最近工作情緒的惡性循環 老娘跟沙氏拼了 永遠搞不清楚狀況的豬頭user又來問笨問題 老闆們沒有rule 又沒有guts. 請大家靠右邊走! 圖片皆引用自 彎彎 公司因在美上市所以財報及內部控管需要受 沙氏法案 的規範. IT部門內的SOP(標準工作流程)也需要接受會計師的稽核. 其實, 早在去年公司就為了因應沙氏, 開始重新訂定IT內部SOP且針對一定會被稽核的單位進行分析以找出現行作業模式與規範之間的gap. 並且想辦法close gap. 由於我們單位一開始並未被劃入"躲不掉"重點稽核對象. 因此老闆就只做了"必要的"因應處理. 也就是針對規範補齊必備的文件. 如職能分工表, 權限安全管理.. 等 可是在實際作業面, 大家還是跟沒有沙氏法案前一樣作業, 完全沒變! 老闆應該是抱持著, 反正不會稽核到, 有文件可以交差就好了的心態吧? 根本沒下指定做變革. 至於那些被列入重點稽核對象的因應措施, 那就更厲害囉! 負責訂定IT內部SOP的主管幫這些可憐蟲寫了"劇本"分配角色, 並教大家 "角色扮演". ㄟ..工作模式還是可以大致維持不變喔! 迷之音: 架厲害! 真是不知道這些人到底在想什麼~~是打算報名參加金沙獎最佳編劇, 跟最佳導演喔?! 結果, 銷管就這樣被抓出一個High Risk. 要列入財報. 原因主要是資訊安全沒做好. 系統開發人員有正式區程式的修改權限. 簡單來說, 就是一人分飾多角, 違反權責規定, 被抓到. 迷之音: 就愛演吧~ 說說敝單位發生的鳥事... please excuse my English. 我們因為被請採購流程 "畫" 到, 且我們的物料十分昂貴. 所以稽核部要求我們也要列入重點稽核. 這下子, 事情就很大條囉. 因為那個申請系統龐大, 複雜. 受限於種種系統因素根本沒辦法做到規定的資訊安全控管. 更糟的是, 稽核部現在才說, 都幾月了. 六月份就要正式稽核ㄟ!! 老闆看完規範, 覺得根本不可能做的出來. 這時負責IT沙氏的主管就想了一個好辦法. 那就是把跟採購相關的部分從申請系統獨立出來. 丟給我. 只要一個人受苦, 其他人就可免於修改系統囉. 老闆一聽, 算盤一打 -- 划算!! 反正兩個禮拜就可以完成. 就這樣交辦了. 迷之...