資訊循環:整個資訊環境可不可信,看的是這一個

by Abby Huang

資訊循環在九大循環裡長得不太一樣。前面八個循環,問的都是「這個控制要不要交給 ERP」;資訊循環問的是另一件事——產生這些紀錄的系統,可不可信。

要先把範圍講清楚。這個循環管的不只是 ERP,是整個資訊環境。ERP 只是裡面最大的一個系統,旁邊還有出勤、簽核、CRM、MES,甚至跑帳的 Excel,只要會把資料送進財報,都算在內。再外圈,還有守住這些系統的資安軟硬體,以及實際在用系統的人。系統、資安、人,三者都屬於這個循環。

資訊循環不直接賣東西、不碰錢,常被擺到最後,當成 IT 的事。但前面每一篇講「交給系統擋比較省事」,能不能成立,全看這個循環。系統裡的紀錄可不可信,就是它在管的。地基鬆了,上面八層蓋得再整齊都沒用。

這個循環管的是系統本身

資訊循環的主體,是資訊系統的一般控制,英文叫 ITGC。它不看某一筆交易對不對,看的是產生這些紀錄的系統能不能被信任。核心大致四塊:誰能進系統、誰能改系統、系統怎麼運轉、系統怎麼來的。

控制領域控制原則常見的辦法與表單最常見的破口
存取與權限權限按職能區隔;特權帳號嚴管;到職離職即時調整權限申請核准辦法、權限清單、特權帳號使用紀錄共用 admin 帳號(誰做的查不出)、離職帳號沒收、權限給超過需要
變更管理程式與設定變更須申請、測試、核准才上線;開發與正式環境分離變更申請單、測試紀錄、上線核准直接在正式環境改、沒測試沒留痕、IT 自己改自己上
系統營運批次作業正常、資料定期備份且可還原、異常有處理備份紀錄、還原測試紀錄、異常處理單備份從沒測過還原、機房或雲端權限沒人管
系統開發導入新系統導入須評估、驗收、權限規劃導入驗收文件、上線檢核表廠商後門帳號沒關、導入時權限照抄沒重設

這張表是資訊循環的主體。但範圍不只到這裡:守住這些系統的資訊安全(防火牆、防毒、網路區隔、弱點修補、機房與雲端安全),以及實際在用系統的人(資安意識、密碼與權限的使用紀律、委外廠商管理、個資保護),同樣屬於這個循環。它們各自都能寫成專文,這篇只先標明它們在範圍內、查核時會看到——有沒有資安政策、有沒有委外管理辦法。這兩塊沒顧,前面的系統控制就少了一半。

為什麼這個循環沒有「交給 ERP」的選項

前面幾篇都在分哪些控制交給系統、哪些靠人。到了資訊循環,這個分法用不上了,因為它管的就是系統本身。你沒辦法用 ERP 去確保 ERP 可信,這得靠系統之外的一套控制——誰開的權限、誰核的變更、備份誰在測。這些大多是 IT 和管理流程,不是 ERP 畫面上的一個欄位。

權限區隔,是地基裡的地基

四塊裡面,最該先顧的是權限。採購那篇講過一個例子:三方比對設得再嚴,只要採購自己能改驗收單,把關就被繞過。那個「能不能改」,就是資訊循環在管的權限區隔。

往回看會發現,前面每個循環的職能分工,最後都落在系統的權限設定上。制度寫「請購和採購要分開」「收款和記帳要分開」,這些話要兌現,靠的是 ERP 裡這兩個角色的權限真的切開了。權限沒切,所有循環的職能分工都只是寫在紙上。這個循環雖然排在最後,它其實撐著前面每一個。

最容易被忽略的,是「誰改了系統」

權限之外,第二個重點是變更管理。系統不是裝好就不動,它會改參數、改流程、改報表,甚至改權限本身。這些變更有沒有人管,是關鍵。

最危險的狀況,是有人直接在正式環境上改,沒有申請、沒有測試、沒有留痕。今天三方比對好好的,明天有人把那個檢核關掉,沒人知道,也查不出是誰。變更管理要做的,就是讓每一次動到系統的人,都留下「誰、改了什麼、誰核准的」。

理想長這樣,實際差在哪

資訊循環的落差,在中小企業特別明顯,因為 IT 人手少、又常外包。最常見的幾種:

一個 IT,或一家外包廠商,同時握有開發權、正式環境權、資料庫權,想改什麼改什麼,沒有第二個人看得到。全公司共用一個 admin 帳號,Log 上每件事都是同一個人,等於沒有軌跡。員工離職了帳號還留著。ERP 導入時廠商開的後門帳號,上線後忘了關。

這些都不會寫在制度上,得實際去看權限清單、翻變更紀錄、問一句「你們上次改系統是誰核准的」,才挖得出來。看得出一家公司的權限其實沒分、變更其實沒管,是這個循環顧問最該先做的事。

這一層垮了,前面全部不算

會計師做內控專審,資訊循環是基礎中的基礎。道理很直接:系統本身的存取和變更管不住,ERP 產出的每一個數字,會計師都沒辦法採信,因為任何人都可能在沒人知道的情況下動過它。

前面八個循環做得再漂亮,只要資訊循環這層站不住,整套內控的可信度就一起垮。它不直接連到營收,卻是會計師心裡的重中之重。


回到總覽那句話:系統幫你省工的前提,是系統自己先可信。資訊循環就是在確保那個前提,讓前面八個循環「交給 ERP 擋」的省力,真的能被查核採信。

九大循環只剩生產還沒寫。生產牽涉成本歸集和存貨追溯,範圍最大、最複雜,留到最後單獨處理。

You may also like

3 comments

上線後要養幾個人?內部 ERP 團隊與超級使用者制度的建置方法 – ERP Master 2026-07-05 - 21:17

[…] 導入預算表上有顧問費、有授權費,唯獨沒有一行叫「上線後自己要養的人」。於是很多公司在顧問撤場後才發現:權限沒人管、報表沒人開、問題沒人接、每件小事都要開顧問工單——單次幾千到幾萬的工單費是小事,每個問題都要等外部排程才是慢性失血。這篇講內部團隊的最小配置、超級使用者制度怎麼建、以及什麼該自己養、什麼該繼續外包。 […]

Reply
IPO 專審的資安題:委員要的不是沒生過病的人,是一份誠實的健檢報告 – ERP Master 2026-07-06 - 02:23

[…] 老闆翻到資安那一頁,眉頭皺起來。特權帳號多久覆核一次?系統變更的核准紀錄調得出來嗎?上一次還原演練是什麼時候?最近三年有沒有資安事件、怎麼處置的? […]

Reply

Leave a Comment