第一步規劃時,制定以風險為考量的稽核策略。本來Day3預計講風險管理,剛好最近有事件,就先拿案例開始
金管會 - 裁罰案件 南山人壽保險股份有限公司「境界成就計畫專案」
1.專案控管作業:
未將該專案管理團隊是否有效評估及控制合約內容可能衍生之風險,及履約過程是否建立妥適之內部控制監督機制等項目納入查核,致無法適時提供相關改進建議,不利董事會之有效監督
2.採購控管作業:
境界專案之採購係直接與特定廠商合作,未依一般採購程序辦理及比價,該公司初始採購即未依其內部採購作業準則辦理,且未能在採購前完整評估掌握專案需求及時程,致專案進度延遲並大幅追加預算
3.財務控管作業:
該公司因境界系統上線後之投資型保險商品帳務處理系統錯誤,導致帳務不正確
聯合新聞網 - 歷年罕見!南山人壽裁罰案 金管會說明稿長達六頁
商業週刊 - 南山風暴追蹤》「大爆炸」轉型失控,投資銀行鋼鐵教父被停職
圖片來源
天下雜誌 -【南山人壽啟示錄】台灣金融業最具野心的數位投資,為何變成600萬保戶的夢魘?
依照新聞收集到的資訊 (片面資訊可能不完全)
專案進行開始時就需要請稽核人員參與,稽核人員控制
為達到資料一致性、功能完整性,新系統上線時通常會保留舊系統,在災難發生時才能及時還原,當然成本會增加。
須依據法規執行、未通報的風險可能會導致巨額罰款。以GDPR為例,一旦發生個資外洩,需要在72小時內通報給主管機關,如果沒有即時通報,會被處以2千萬歐元或全球總營業額4%的罰鍰。
在DEVOPS界熱門的書,非常建議到圖書館借,可以當小說來看,與這次南山的情況很像 。
故事簡介:
新的IT改造計劃,代號鳳凰專案,對無極限零件公司的未來至關重要,是組織能否起死回生的關鍵,然而,這個專案嚴重爆預算,進度大幅落後,CEO要比爾接管相關IT事務,直接向他報告,並於九十天內收拾爛攤子
來看看別人的[讀書心得]作者最後成功拯救公司並不是靠「鳳凰計劃」,而是一套完整的系統監控與自動化開發環境,讓開發與部署可以順暢且可靠
《鳳凰專案-看IT部門如何讓公司從谷底翻身的傳奇故事》
三步工作法