親身涉入委外 執行管理之責

向公司請了一天假處理些個人的事務，沒想到比預期提早完成。趁著難得的空檔，漫步在東區的街頭，享受一下難得的寧靜。就這樣與以前的同事C君不期而遇。目前是資安顧問的C，外表看上去還是光鮮亮麗，只是眉宇深鎖，似乎有著無窮的壓力，就在街角的咖啡館，有了下面的對話。

「唉!!這年頭案子越來越難做了」C君迫不及待的就開始吐起苦水。
「如果案子好做，那還需要顧問來做什麼，你做顧問也不是第一天，這個道理你應該知道啊!」
「話是沒錯，或者說自己還要磨練吧。客戶簽完約，就很明白的告訴你，他們手邊事情很多，不太可能有多餘的時間精力來配合這個專案。擺明的接下來全部都是你顧問的事情。」
「訪談寫差異分析，這些本來就應該是顧問做的事，所有的程序書都要顧問一手包，說出來也許你不相信，那些程序書還包括日常的操作手冊，我那有辦法懂那麼多實務上操作的問題?還要把畫面一個一個剪下來，然後還不能寫得客戶看不懂。要客戶加強控制，又開始吵翻天，一下子說我們不懂他們實務，以前都沒有做還不是好好的。一下又說管的東西已經太多，也沒聽說其他單位有管得這樣嚴。反正只有一句話，我就是不做，看你能奈我何?」
「那不是展現你顧問實力的時候嗎？」半調侃的對C回了一句話。
「你也知道，顧問最後還有一招，找個其他人來稽核，到時候上了稽核報告，證明不是只有顧問一個人的想法，大家的看法都一致。沒想到這次踢到鐵板，客戶看到內部稽核報告，也不管過去得前因後果，就說顧問什麼事情都沒做，不然怎麼會被記缺失，擺明的是顧問在打爛仗，後面的結果要顧問自己來收。還直接和我們主管投訴，說其他單位最後驗證的時候是幾項缺失通過的，如果將來驗證的時候缺失數多於這個標準，到時候驗收就很麻煩了。」
「問題是客戶永遠是對的，你也只有耐心的把他做完，不過我覺得很好奇，客戶到底自己有沒有在做事?」
「怎麼說客戶沒做事，客戶把程序書從頭看到尾，然後問你說，建立、建置、設立、設置這四個詞有什麼不同，分別要用在什麼地方?」

委外作業，並不表示只要有廠商處理，接下來就可以不聞不問，到時候有問題就廠商全權處理，沒事情就天下太平。資安的業務，也不是產生了一堆程序文件，就可以高枕無憂的過日子。顧問固然對於整個方法論與相關得程序較為熟悉，但組織的特性與文化，還是業務承辦單位最為熟悉。如果只是百分之百的硬套顧問所提供的樣本，或是一味的抗拒變革，這樣的結果，對於組織是不會有成長的空間。更重要的是，通過驗證之後才會是另一段重頭戲的開始，如果還是對委外的廠商不負監督管理的責任，那36小時的當機事件，可能還會不斷的上演著。