委外查核案 –希望這僅是個案

    一大清早在混沌模式下進入公司，還沒有回神過來就接到高階主管秘書的電話，說要找個時間談談之前的一件委外查核案，心中覺得百般納悶，什麼時候公司開始這麼重視資安，連不屬於督導管轄的高階主管都開始有興趣，反正再多的猜測，還不如坦然面對，就這樣進入了主管辦公室。

「你之前有去查過某某公司，還有出了一份查核報告?」
「對啊，那是我們年度抽核的委外廠商，今年度我們對這家公司進行實際查核，在查核完後就產生了這份報告。」
「那你報告中是不是有說到另外一家A廠商也有缺失?」
「另外一家廠商? 這不是我查核的範圍，我沒有寫這條缺失。唯一有可能的，其中有一項查核發現，是這家委外廠商對於委外開發程式的廠商，沒有依合約要求，提供原始碼檢測的報告，並且有發現程式開發廠商，沒有完整的測試紀錄，這才有可能提到其他廠商，但我不確認是不是就是A廠商，這可能要回去後看了資料才知道。」
「應該就是這一項，你知不知道你不應該寫這一條?」
「這是委外廠商沒有做好管控，我不清楚為什麼這條不能列出?」
「你知道嗎，A廠商是我們其中一位大股東投資的，在你的查核報告出來後，我們的委外廠商就拿了你的查核報告，要求A公司針對合約中所列的項目，逐條實行，並且要補相關的資料。這也就算了，還依照合約對A廠商進行懲處。這件事情不曉得怎麼在業界傳開了，A公司另外一個案子就沒拿到，後來才弄清楚原來是我們出的報告，大股東就非常不高興，認為我們在拆他的台，現在要我們針對這件事情進行補救。」
「我的查核報告上又沒有提到A公司的名子，要如何補救?」
「這我就不知道了，看是不是再出一份報告，然後把這條拿掉，或是說你誤查，其實A公司都有依照合約執行，反正就是要幫A公司解套，免得同樣的狀況下次再發生。」

    第一次寫查核報告寫得如此心灰意冷，我只知道在查核過程中，針對查核範圍內所觀察到事項記錄在報告中，怎麼知道背後那些權利分配與關係。更何況被發現到沒有做的地方，如果是我，應該趕快去思考解決方案，並且避免再次發生，怎麼會只想到透過高階的關係，去把自己的缺失給掩蓋掉，甚至於將毫不相關的事件一併牽扯進來?反正千錯萬錯都是別人的錯，要不就是要求太多，要不就是環境不適用，只要沒出事都好說。如果大家都是這種心態，那遲早有一天會出大事。我現在也只能希望這僅是個案，只是我不知道要如何收拾這個善後。