艱困時刻，真功夫更珍貴

2014 / 12 / 09

編輯部

     別人在打選戰，我們卻為了委外查核忙的不可開交。或許是因為個資法的關係，到現在還有一堆委外廠商的案子沒查完，人手拮据的情況，連我也被安排了好幾場。今天又來到一家過去沒有接觸過的廠商。對方態度還算客氣，又是通過某某驗證，翻翻拿出來的文件，沒特別仔細看，但感覺總是缺了些什麼，為了節省時間，就直接跳入主題。

「你們有做備援演練嗎? 能不能提供一下備援演練的記錄?」
「有啊，我們每年都有做測試，這是我們這兩年的演練記錄。」

     仔細看一下備援演練記錄，這就有點奇怪了，去年演練的場景是網路線被挖斷了，預計要半天的時間才能恢復線路。今年是發生火災，所有的設備都沒有影響，只有線路中斷，又是半天才能正常運作，怎麼不同的情況，都只會造成網路斷線，再仔細往下看，居然演練計劃的程序和步驟兩年都是一樣的，更驚訝的是這些程序步驟居然和作業程序書所描述的完全一字不漏。

「請問你們有沒有做業務衝擊分析，那出來的結果是如何?」
「我們很久以前有做過，後來都沒有變，就只有這一份您參考一下。」

     聽到得這樣的答案，大概心理已經有個譜了，備援演練並沒有和業務衝擊分析相結合，這也就是剛才我覺得有些少的地方。再看看演練記錄，果不其然，又發現他們並沒有去測試取得異地存放磁帶的時間，就直接從抵達備援機房算是演練開始。

「你們這些都沒有串連起來喔，業務衝擊分析做完後就好像斷了線一樣，然後你們演練怎麼會是前一天先拿好磁帶，隔天再到備援機房，測試的時間又是從備援機房開始算起?還有怎麼連兩年的場景都一樣，火災和一般網路斷線的處理程序怎麼可能相同?然後檢討會議怎麼會連一項需要調整的地方都沒有?」

     對方有點不知所措，就只好淡淡得冒出一句
「好，我們會來改進，你好厲害喔，怎麼你看到得我們都沒有想到，連驗證公司來看的時候都沒有發現?」

     查核的結果自然可想而知，原本以為回去寫報告就好了，在回程的路上，一起前往的業務單位同事悄悄的和我說「他們剛剛主管有打電話給我，說你提的意見他們會想辦法改，但他們也不敢保證可以改到什麼地步，只希望我們缺失儘量寫得少一點，不然這份報告如果被高階主管看到了，大概年終獎金又泡湯了。」接著又補了一句:「不要到時候報告出來，逼得我們明年要換廠商，現在可以配合我們作業的廠商已經不多了。」

     原來委外查核還有這麼多書本上沒教的知識，基於我工作上的職責，我應該還是要把這份報告完整的呈現出來。如果只要做做樣子，大家行禮如儀，這樣子就完全失去委外查核的意義。只是我不知道，到底還有多少的廠商是只做表面功夫的呢?

稽核委外