前言

第一步規劃時，制定以風險為考量的稽核策略。本來Day3預計講風險管理，剛好最近有事件，就先拿案例開始

金管會 - 裁罰案件 南山人壽保險股份有限公司「境界成就計畫專案」

1.專案控管作業：

未將該專案管理團隊是否有效評估及控制合約內容可能衍生之風險，及履約過程是否建立妥適之內部控制監督機制等項目納入查核，致無法適時提供相關改進建議，不利董事會之有效監督

2.採購控管作業：

境界專案之採購係直接與特定廠商合作，未依一般採購程序辦理及比價，該公司初始採購即未依其內部採購作業準則辦理，且未能在採購前完整評估掌握專案需求及時程，致專案進度延遲並大幅追加預算

3.財務控管作業：

該公司因境界系統上線後之投資型保險商品帳務處理系統錯誤，導致帳務不正確

相關新聞

聯合新聞網 - 歷年罕見！南山人壽裁罰案 金管會說明稿長達六頁
商業週刊 - 南山風暴追蹤》「大爆炸」轉型失控，投資銀行鋼鐵教父被停職

圖片來源
天下雜誌 -【南山人壽啟示錄】台灣金融業最具野心的數位投資，為何變成600萬保戶的夢魘？

依照新聞收集到的資訊 (片面資訊可能不完全)

1. 境界成就計畫自2014年中啟動，但直到2017年底總稽核才辦理專案查核

• 影響:
  未將該專案管理團隊是否有效評估及控制合約內容可能衍生之風險，及履約過程是否建立妥適之內部控制監督機制等項目納入查核，致無法適時提供相關改進建議

專案進行開始時就需要請稽核人員參與，稽核人員控制

2. 系統上線未進行平行測試，或相關完備之替代測試方案，草率匆促取代舊系統上線，致產生諸多問題

• 影響:
  系統測試範圍不完整及程式功能未完成修復，導致投資型保險商品之系統功能頻繁出錯

為達到資料一致性、功能完整性，新系統上線時通常會保留舊系統，在災難發生時才能及時還原，當然成本會增加。

3. 系統有發生作業重大缺失事項，卻未依規定即時向本會辦理重大偶發事件通報

須依據法規執行、未通報的風險可能會導致巨額罰款。以GDPR為例，一旦發生個資外洩，需要在72小時內通報給主管機關，如果沒有即時通報，會被處以2千萬歐元或全球總營業額4%的罰鍰。

在DEVOPS界熱門的書，非常建議到圖書館借，可以當小說來看，與這次南山的情況很像 。
故事簡介:
新的IT改造計劃，代號鳳凰專案，對無極限零件公司的未來至關重要，是組織能否起死回生的關鍵，然而，這個專案嚴重爆預算，進度大幅落後，CEO要比爾接管相關IT事務，直接向他報告，並於九十天內收拾爛攤子

來看看別人的[讀書心得]
作者最後成功拯救公司並不是靠「鳳凰計劃」，而是一套完整的系統監控與自動化開發環境，讓開發與部署可以順暢且可靠

《鳳凰專案-看IT部門如何讓公司從谷底翻身的傳奇故事》

三步工作法

• 第一步 暸解工作目標是否連結公司目標
• 第二步 建立自動機制、快速反應回饋
• 第三步工作法 建立風氣、文化