很快的，資訊查核的時間，咻～一下就過去了，1~2個禮拜的工作天（上軌道之後，順利的話通常2~3天就結束了），主要為資訊的蒐集與訪談，只要平常都有按部就班的執行，這些查核都只是些例行公事，並不會耽誤掉太多時間。（啊！這樣也可以講那麼久喔！）

而且配合公司內部的稽核制度，有確實落實執行，都不會有太大問題的。
那為何還要每半年進行查核呢？主要就是檢討之前查核的問題，是否有得到改善與落實。這些都是資訊主管必須與會計師資訊查核人員做好溝通的工作，並達成雙方的共識。

舉例來說，會計師基於資訊安全與權責控管的考量，會要求執行ERP程式修改的人員，其正式環境的執行權限必須受到限制。也就是說，開發人員不得在正式環境中有修改程式或上線程式的權限，以確保正式環境中的程式都是被經過認可後上線的。

您可能會跳腳了，我一個部門才多少人？而且懂ERP的人也才這個一個，怎麼可能做這樣的區分？當下您可能就要反彈了，可是認真想想，這是有必要性的，如果開發人員任意將程式上線，而沒有人知道，這樣您會安心嗎？所以，先考量其合理性，再來想權宜的措施與作法，與審核人員溝通，並擬定出可行的辦法，於書審問題回覆時將作法與改善方式回覆給會計師，以作為日後查核之依據。

以當初上櫃審查時的經驗，查核的項目真的非常仔細，各種權限控管措施，程式修改的時間與申請單據上面所記錄的修改完成時間/上線時間是否相符，上線程式的 Owner 是誰等等；更甚者，在檢視ERP 作業系統的安全性時，會於伺服器上執行一些 Script，當下各種資訊全部呈現，比對鉅細靡遺，當下真的傻眼，也真正感受到資訊安全控管要做到什麼程度，原來自己的認知還差這麼遠。

其實，我對於IT管理工作的認知，很多都來自於資訊查核過程中所提出的疑問與檢討，知道哪些部分沒有達到安全的要求，並想辦法去改善與落實。

全系列文章列表