這是一個典型的「資訊安全治理（Information Security Governance）」與「職責分離（Separation of Duties, SoD）」問題，反映出帳號權限審查制度在落實責任與風險控管之間的平衡難題。您目前流程設計在原則上是合理的，但這次稽核暴露出的是: 流程落實力與稽核覆核強度不足，而非單純缺一層「誰來看誰」的問題。

改善建議：導入「三層權限審查機制」

以 SoD 為原則，設計以下分層審查制度：

第一層：使用單位主管主責初審

對部門內員工的帳號與職務相符性負最終業務責任。
要求主管對每一個權限打勾確認並簽章留存（可電子簽核）。

第二層：資訊安全或稽核單位稽查性抽查

不是系統管理員來覆核，而是由資訊安全單位（CISO 下轄）或稽核部門定期抽查結果，特別針對「高風險職務」「高權限帳號」加強查核。

可設計「權限異常警示報表」（如：擁有管理員權限卻無此職務）。

第三層：系統管理員僅技術執行

嚴格限制其職責為：設定帳號、依照核准單據調整權限、不介入「判斷誰該有什麼權限」。可配合工具紀錄操作軌跡，防止私設帳號。

補強「使用單位審查不確實」的做法

除了流程分層外，還可配合以下手段提升審查品質：

權限異常報表自動產生

例如：相同職稱卻有不同權限、離職未移除帳號、同時擁有申請與核准角色等。
簽核責任納入KPI或內控制度 使用單位主管若漏審導致稽核缺失，應反映在年度考核或內部控制稽核報告中。

定期教育訓練與權限手冊

針對使用單位主管提供簡明扼要的權限分級說明，幫助其了解審查標準。

高風險權限雙人審核

比如：財務系統、主資料維護等敏感系統，須由主管 + 資安稽核共同確認。

AI揭露:

以上回答來自 ChatGPT o3: https://chatgpt.com/share/6879966b-373c-8002-887a-5a9f5770ced8

我遇到的狀況還有一個，非RD與品證單位的人要申請查看RD或者是品證單位的共用資料夾，這時候我會要求一定要申請者的單位最高主管核准後，也要給RD或者品證單位最高主管核准，我才會開啟查看的權限，並且一定要有申請單的核准。

1.不可能由系統管理者覆核,系統管理者只能作權限設定的工作。
2.貴司的帳號權限審查流程稍作修改即可，如下:

1.系統管理員定期提供「帳號與權限審查清單」給各使用單位主管。
2.使用單位主管負責審查其單位人員的帳號與權限是否符合其職務與工作需求。
3.若需要調整權限，需由使用單位**主管核准後**提出權限變更申請，若涉及其他部門管理的資料，則需權責部門主管會簽核可。
4.系統管理員調整權限後,再提供該人員的「權限審查清單」給使用單位主管覆核。