在朋友推薦下,某位大學教授希望我能到它們系上做個專題講座。基本上這類演講沒有特定主題,就談談工作經驗或這個領域的八卦奇聞,雖然講師費不高,但可以聽聽現在年輕人的想法,也是一件不錯的事。整理了最近發生的資安事件作為演講主軸,沒想到演講過後,居然還有學生留下來發問,這讓我有些意外。
「老師,你剛剛提到電腦稽核的工作好像不錯喔!」
「你為什麼這麼想?」
「我最近上了校外單位辦的課程,當中也有講到稽核,最後還要考試,第一題光是題目就長長的好幾頁,叫我們要挑出其中的錯誤,哇!真是好刺激喔!」
「這和稽核工作有什麼關係?」
「因為那個老師在課堂上面說,你做稽核就是要挑別人的錯,有哪一個工作可以一直去挑別人毛病,別人還要把你捧得高高的,這不是很酷嗎?」
「我不知道那位老師在課堂中怎麼講的,但以我自身的經驗,做稽核如果只是去找問題,那這個工作真的不難,只要用最嚴格的標準來檢視,有人抗議就丟一句這是基於風險考量。或是極度以自我為中心,任何事只要和我想的不一樣就是錯,如果有人向你挑戰,只要回說為了維持稽核作業的獨立性,你不可以左右稽核的想法,一棒子就能打回去。但是,你如何知道要查核的地方在哪裡?這個地方有哪些風險?受查對象所做的事是否真如他人所說?要如何蒐集證據?這些都需要投注時間與精力,才能找到答案,決不只是找麻煩這麼簡單。如果你有心投入稽核工作,要學習的地方還有很多。」
「老師,你的想法很另類喔!」
也許這樣的想法,真的和別人不太一樣,我也曾經聽過,有些主管以稽核缺失的多寡,當作評論稽核員績效的依據,甚至像業務員一樣,每次出隊都有基本的責任額,一定要寫滿多少條缺失才可以;也有些稽核借職務之名作威作福,對某同仁不滿就趁機多計兩筆;有些甚至變成檢查表的稽核,只會照著檢核表一步一步問,超出檢查表的範圍就完全相應不理。
這些和我們當年所接受完整西方稽核訓練的理念,有著非常大的差異,在台灣,真正專業的稽核實在是少之又少,能提出建言,而且敢挑戰體制的,很多也都被送進冷藏室中,當然,我們也不必太過自怨自哀,到不如將這樣的動能轉換成另一股推動的力量,一起攜手為打造更健全的稽核體制而努力。