作者:編輯部 
2007 / 10 / 22
當稽核員來到各單位時,通常都會讓大家如履薄冰,深怕被記上一個缺失,然而稽核員真的以「找碴」為樂趣嗎?
記得當年剛開始做電腦稽核的時候,我的主管常會分享她在國外擔任稽核的經驗,她說每一次一到新的單位,或是資訊主管換人,她一定會和新到任的資訊主管講一句話:「我們是站在同一條船上,如果資訊單位出事情,稽核單位也脫離不了責任。」那個時候只當做是老生常談,並沒有特別的感觸。頂著電腦稽核的光環,在客戶上市上櫃的審查報告中,有八成以上都是寫資訊系統的缺失,弄得被查核單位人仰馬翻。隨著工作環境改變,從原來的稽核單位轉換為被查核單位,角色立場的不同,連稽核報告上「得」或「應」這兩個字的差別都會斤斤計較。這個時候才慢慢領會以前主管的那一席話,稽核單位與被查核單位,就像是象棋的棋盤,楚河漢界分得清清楚楚。稽核單位有他的立場與堅持,而資訊單位要考慮的,除了相關的要求外,還包括整個資訊系統的運作,自然思考的層面又不同。稽核單位覺得組織不可能十全十美,一定會有缺失,甚至會有許多隱藏的缺失,一旦問題發生了,不要隔天見報才知道。資訊單位也有這樣的想法,稽核單位對於現況根本不清楚,技術也不熟悉,所提的建議立意甚佳,但實際執行上有很大的困難。就這樣你躲我藏,追逐的戲碼不斷的上演著,彼此間的隔閡也就越來越大了。要這兩個單位攜手並進,絕對不是單方努力就夠的。一般人覺得稽核單位就只要挑毛病就好了,挑毛病容易做嗎?讓我們一起來說分明。
不可諱言,國內資訊系統稽核,也不過是十幾年的歷史,與國外的經驗相比,實在有一大段的差異,在國外甚至有專門電腦稽核的系所。或許是因為國內市場不大,相對的電腦稽核人員數量也顯得不足。目前電腦稽核的來源,大概從兩個管道,一部分是財會背景出身的,因為對電腦有興趣,所以轉型到這個領域。另外一部分則是資訊人員,因為職務輪調或是其他因素,而轉任電腦稽核。但電腦稽核單有一方面的專業知識是不夠的,一定要同時具備審計及電腦這兩方面的技能。財會背景出身的,要加快腳步去瞭解各類的電腦名詞。而資訊作業起家的,則要充實財會及審計概念。曾經有一位前輩這樣形容電腦稽核的養成訓練,他說剛開始進入這一行,連訪談對象講些什麼都聽不懂(不要以為這是笑話,找一位寫傳統主機程式的人員和管網路的人員對談,看能激盪出什麼樣的火花),接下來聽得懂了,但不知道有沒有問題。好不容易聽懂了,也知道有些地方不對勁,只是說不出問題的所以然來。又過了一段時間,問題也找的出來了,但給的建議對不對,查核單位能不能用,還是有很大的問號。這樣又跌跌撞撞一段時間,才能夠確保所提的建議是確實有幫助的。這段過程還要看所接觸的查核案件,以及個人特質,真是一語道盡電腦稽核培養的艱辛。
而國內對於稽核的訓練,許多還是停留在學徒制的階段,或是速食文化下的產物,上了十天一個禮拜的課,再見習個一兩次,就可以披掛上陣了。曾經有一位電腦稽核,私底下我們戲稱他最大的特長,是顛覆了審計學傳統的想法,為審計學重新定義了新的原理,並創造了許多新的審計學公式。這也許是一句玩笑話,或者我們應該給當事人澄清的機會,但背後的含意絕對不是那樣單純。也正因為如此,查核的方式與技巧十幾年來還是差不多。當國外已經在討論資訊系統稽核與控制標準(CobiT)、資訊技術基礎架構庫(ITIL)、資訊治理、資訊與企業價值時,國內的環境大部分還是在沿襲傳統的遵循性測試,也就是看你所訂的制度是不是照著這樣走。不要覺得不可思議,到現在還有些電腦稽核會問「有沒有都安裝防毒軟體?」「防毒軟體的病毒碼有沒有更新?」「病毒碼多久更新一次?」「那我們抽幾台電腦看看是不是有安裝防毒軟體,病毒碼是不是都有更新」。有沒有稽核和我談談網頁型病毒要如何防範?因應間諜程式,要如何提升使用者的安全意識?大規模病毒爆發時,我的應變計畫為何?如果有這樣的深度對談,對於釐清問題一定會有極大的幫助。
此外或許是資訊人員的特性,對於一些事件有比較明顯的定見。如果套到資訊系統查核上,再加上前輩們耳提面命的告誡,說稽核的工作就是要防止組織內弊端的發生。有了這樣先入為主的觀念,有些人在查核時會先假設組織所有制度都沒有執行,被查核單位這時就算提供再多的證據,大概也很難上演逆轉的戲碼。當然這對查核的效率絕對有正面的助益,但其實這已經是邏輯上的瑕疵。就如同所有科學原理是一樣的,如果我想證明太陽系只有一顆恆星,我的假設一定是太陽系還有其他的恆星,藉由不斷的實驗來證明我的假設是錯誤的。如果一開始就認定是沒有做,就不會看到被查核單位有做那些。這些查核程序,不管是觀察、訪談、附件蒐集的步驟、乃至於最後查核缺失及查核報告的撰寫,這一路的過程都必須很明確的交代清楚。不是印了附件,就會自動產生查核發現及缺失。再對照建議事項時,又發覺彼此的關連性有些牽強。查核的過程,不是自己看得懂就沒事,包括受查單位,或是其他單位在調件時,這樣程序一定要清清楚楚,如果有任何一丁點含糊都會遭受質疑。即便在寫查核報告,用字遣詞都會影響到結論的判斷。曾經有過這樣的經驗,受查單位對於查核缺失沒有意見,但對於報告的內容有不一樣的看法,就這樣來來回回全部改了六次才定案。更不要說前面查核計畫的擬定、查核過程的資源安排,以及查核結果的討論。這樣看來,電腦稽核要學的東西還真是不少。
除此之外,當我在教電腦稽核考試的課程時,我也常常會講一句話「稽核是一門藝術,但不要做成異數」,在稽核踏進受查單位的那一刻起,其實就已經開始在工作了。稽核的工作不是只有躲在會議室裡翻翻書面資料而已,眼觀四方、耳聽八方,這些都是必要的技巧。也曾經有人三不五時就跑去抽菸室,名義上是菸癮很大,但全都是在那聽是非八卦,聽完之後再去蒐集相關的佐證。茶水間、電梯間,都可能是執行稽核作業的場所。即便是在會議室裡面訪談,不是把兩個訪談對象的內容比一下,有差異的地方就是缺失的所在。在訪談的過程中,怎麼樣去聽到背後的問題,要如何去驗證、需要找那些補強的資料。甚至有時連做筆記的動作,都會引起訪談對象的注意,更不要說使用錄音筆了。要從大處著眼,小處著手,但也不是要把自己比擬為八點檔連續劇的編劇,去創造許多無中生有的模擬場景。每一個徵兆,後面還有許多歸納分析的動作,這些敏感度都不是教科書上所能定義的。
林林總總列了這麼許多,電腦稽核的工作就結束了?對不起,還不只這些。有一個同業曾經說過,放眼受查單位是滿目瘡痍,但高階主管的認知覺得資安與稽核是阻礙企業進步的絆腳石,寫再多的缺失高層也無動於衷,資訊單位即便有心想改善,決策單位輕輕一句過去也沒有發生過就結案了。稽核報告寫了也知道資訊單位做不到,但是不寫又覺得有失職守。現實與理想間的天人交戰,那又是另外一門看不到得功課。
留言列表
