Podział obowiązków (SoD) jest kluczowym elementem strategii zarządzania ryzykiem organizacji.
Raport Association of Certified Fraud Examiners (ACFE) z 2022 r. podkreśla, że firmy ponoszą straty w wysokości około 1 783 000 USD z powodu oszustw pracowniczych na przypadek.
To wyjaśnia, dlaczego nowoczesne firmy muszą mieć zrównoważone zarządzanie ryzykiem w dobie rosnących oszustw, oszustw i błędów.
A SoD ma na celu kontrolowanie, zarządzanie, a nawet łagodzenie tych zagrożeń, aby mieć lepszą kontrolę organizacyjną przy zwiększonym bezpieczeństwie i świadomości.
W tym artykule omówię, czym jest SoD, jego znaczenie i inne kluczowe terminologie z nim związane.
Zacznijmy więc i nauczmy się, jak odzyskać kontrolę!
Spis treści:
Czym jest podział obowiązków?
Podział obowiązków (SoD) to ważna koncepcja zarządzania ryzykiem i kontroli wewnętrznej organizacji, w której więcej niż jedna osoba jest odpowiedzialna za wykonanie różnych części zadania. Jest wdrożony, aby zapobiegać niewłaściwemu wykorzystaniu informacji, oszustwom, kradzieży i innym zagrożeniom związanym z bezpieczeństwem.
Zadanie może jednak wykonać jedna osoba, ale jest podzielone na części. Pomaga to zapewnić, że żadna pojedyncza osoba nie ma wyłącznej kontroli nad zadaniem ani nadmiernych kontroli, wystarczających do nadużycia kontroli do nieautoryzowanych celów lub oszukańczych działań. Zamiast tego zostanie udostępniony przez co najmniej dwie osoby.
Obecnie SoD jest wdrażany w różnych dziedzinach, takich jak księgowość, finanse, płace, administracja itp. W polityce staje się trójpodziałem władzy w demokracjach, w których rząd dzieli się na sądowniczą, wykonawczą i ustawodawczą.
SoD w zarządzaniu ryzykiem
SoD działa na zasadzie wspólnej odpowiedzialności, a prowadzenie organizacji lub firmy nie może być zadaniem jednej osoby. Nie należy ufać, że jedna osoba uzyska pełną kontrolę nad wykonaniem zadania, które może potencjalnie prowadzić do oszustwa, błędów lub uszczerbku na reputacji firmy.
W rzeczywistości SoD jest istotnym elementem zarządzania ryzykiem i zgodności przedsiębiorstwa z przepisami, takimi jak ustawa Sarbanes-Oxley Act (SOX) z 2002 roku.
Podział obowiązków pomiędzy wielu odpowiedzialnych pracowników zmniejsza szanse pracownika lub osoby trzeciej na:
- Nadużywanie poufnych informacji organizacyjnych
- Kradzież funduszy
- Fałszowanie dokumentacji (np. finansów) w celu wprowadzenia interesariuszy w błąd lub zawyżanie cen akcji
- Rozpoczęcie kampanii zemsty po rzekomym maltretowaniu
- Zaangażowanie w szpiegostwo korporacyjne
A jeśli nie zastosujesz bezpiecznej strategii, takiej jak SoD, może to doprowadzić do znacznych szkód dla Twojej organizacji pod względem finansowym, kar wynikających ze zgodności i wizerunku marki. Dlatego zaleca się wdrażanie SoD w całym przedsiębiorstwie, od działów księgowości i płac po informatykę (IT) i działy cyberbezpieczeństwa.
Przykłady SoD
Przyjrzyjmy się kilku przykładom, w których można zastosować SoD.
Rachunkowość
W księgowości organizacje mogą zabronić pojedynczym osobom uzyskiwania nadmiernej władzy w celu ukrywania aktywów i błędów finansowych.
SoD będzie wymagać od Ciebie dokładnej analizy wszystkich ról księgowych w Twojej organizacji i rozdzielenia obowiązków tak, aby ta sama osoba nie mogła sprawować pełnej kontroli nad daną funkcją. Na przykład ta sama osoba nie może otrzymywać czeków i rejestrować otrzymanych czeków.
informatyki i cyberbezpieczeństwa
Zasady SoD mogą pomóc w zapobieganiu ryzyku związanemu z kontrolą dostępu w dziale IT. Rozdzielasz obowiązki związane z przepływem pracy, upewniając się, że ta sama grupa lub osoby nie otrzymują wielu uprawnień dostępu.
Jeśli pojedyncza osoba uzyska dostęp do władzy wykraczającej poza jej obowiązki, może ją niewłaściwie wykorzystać i ujawnić informacje osobie z zewnątrz lub udzielić jej pozwolenia na dostęp. Jednocześnie nikt inny nie ma o tym pojęcia.
Ta sytuacja może być katastrofalna. Na przykład ta sama osoba nie może otrzymywać alertów z systemów bezpieczeństwa ani zarządzać uprawnieniami dostępu do tego systemu.
Zgodność i kontrole
Wdrożenie solidnych strategii SOD może pomóc w wyeliminowaniu błędów pracowników, zamierzonych lub niezamierzonych. Możesz także złapać fałszywe zgłoszenia, jeśli takie istnieją. W ten sposób możesz chronić swoją organizację przed naruszeniami zgodności. Na przykład musisz powierzyć tej samej osobie odpowiedzialność za składanie informacji finansowych i ich audyt.
Inne przykłady
Ta sama osoba nie powinna odpowiadać za:
- Tworzenie i zatwierdzanie zamówień
- Tworzenie i zatwierdzanie faktur od dostawców
- Sporządzanie faktur i wprowadzanie transakcji sprzedaży do księgi
- Wypłacanie wynagrodzeń i zatrudnianie pracowników
- Ewidencja otrzymanych środków pieniężnych i tworzenie not kredytowych
- Handel akcjami oraz zarządzanie fuzjami i przejęciami
- Konfigurowanie kupujących i zatwierdzanie zapotrzebowań lub zamówień zakupu
Zalety SoD
Niektóre z zalet zastosowania SoD w Twojej organizacji to:
# 1. Zapobieganie i wykrywanie oszustw
Organizacje stają się ofiarami oszustw bardziej niż kiedykolwiek. Obejmuje oszukańcze działania, takie jak fałszowanie czeków, wyłudzanie gotówki, sprzeniewierzenie aktywów, fałszowanie dokumentów, sfałszowane paragony, faktury, błędy w zapisach księgowych i inne.
Dzięki SoD możesz mieć pewność, że żadna pojedyncza osoba ani grupa nie jest odpowiedzialna za wykonanie wszystkich funkcji danego zadania. Odstraszy to możliwość popełnienia oszustwa i ukrycia go. Większa liczba oczu skupionych na zadaniu oznacza, że każdy może wykrywać, zgłaszać i zapobiegać zewnętrznym lub wewnętrznym oszustwom.
#2. Redukcja błędów ludzkich
Jeśli prawidłowo wdrożysz SoD w swojej organizacji, prawdopodobnie zauważysz znaczną redukcję błędów ludzkich i związanego z nimi ryzyka w krytycznych procesach finansowych. Może to obejmować błędy, takie jak niewystarczająca dokumentacja transakcji, mała kadra w księgowości, błędy we wprowadzaniu danych, niestaranne audyty itp.
Zatrudnianie wielu osób w krytycznych transakcjach zasadniczo zwiększa szansę, że jedna osoba zauważy każdy błąd i go rozwiąże.
#3. Ulepszone audyty
Zmniejszenie prawdopodobieństwa wystąpienia ryzyka i błędów usprawni prowadzenie dokumentacji w dziale finansów, płac, księgowości, IT czy cyberbezpieczeństwa. SoD pomoże zapewnić prawidłowe ułożenie zapisów, eliminując problemy takie jak powielanie, opłaty za opóźnienia, ryzyko związane ze zgodnością itp.
W ten sposób będziesz lepiej przygotowany do audytów, czy to rocznych, półrocznych czy kwartalnych. Poczujesz się też pewniej przed przestrzeganiem przepisów i unikniesz kar.
#4. Zwiększa wydajność
Niektórzy mogą pomyśleć, że dodanie większej liczby ról doprowadzi do nieefektywności i wyższych kosztów. Jeśli jednak dobrze zaplanujesz SoD, będzie to promować efektywność. Dzieje się tak dlatego, że dzielisz zadanie na wiele podzadań, z których każde jest wykonywane przez odpowiednią, wyspecjalizowaną osobę z większą dokładnością i szybkością.
To nie tylko zmniejsza ryzyko, ale także zapewnia wyższą wydajność w porównaniu z przypadkiem, w którym jedna osoba musi wykonać całe zadanie. Ponadto koszt szkód dla firmy w przypadku braku SoD jest znacznie większy niż to, co inwestujesz w zatrudnienie większej liczby pracowników.
Niektóre terminologie SoD
Aby lepiej zrozumieć SoD, musisz zapoznać się z następującą terminologią:
# 1. Konflikty SoD
Konflikt SoD może powstać, gdy osoba działa wbrew interesom organizacji i we własnym interesie. Oznacza to, że nabyli wiele ról w celu wykonywania wielu ważnych funkcji w procesie. Może to potencjalnie wpłynąć na integralność procesu, a także na firmę.
Konflikty SoD mogą wystąpić w różnych domenach organizacji, takich jak Order to Cash (O2C) lub Purchase to Pay (P2P). Aby ograniczyć konflikty SoD, należy analizować i oceniać takie incydenty. Organizacje muszą również wdrożyć solidne kontrole i zabezpieczyć się przed pracownikami uczestniczącymi w nielegalnych działaniach.
Dobrą strategią zapobiegania konfliktom SoD może być stosowanie kontroli dostępu opartej na rolach (RBAC) w całej organizacji. RBAC zapewnia, że uprawnienia dostępu i kontrole są przyznawane użytkownikom na podstawie ich ról i obowiązków w organizacji, a nie więcej.
W tym przypadku możesz przypisać upoważnioną osobę do analizy każdej przypisanej jej roli i uprawnień dostępu pod kątem nakładania się SoD między rolami i wewnątrz ról.
Jednak każdy konflikt nie oznacza wyrządzania szkód lub skutkujących działaniami niezgodnymi z prawem. Użytkownik mógł to zrobić przypadkowo, przez nieuwagę lub wykonać wymaganą funkcję dla firmy, która potrzebuje więcej uprawnień.
Dlatego firmy powinny dokładnie przeanalizować sprawę i ocenić swoje zasady naruszenia SoD, aby upewnić się, że konflikty nie przekształcą się w oszustwo lub nielegalną działalność.
#2. Naruszenie SoD
Naruszenia SoD mogą mieć miejsce, gdy pracownik organizacji wykorzystuje przypisaną mu rolę i celowo uzyskuje dostęp do informacji lub wykonuje zabronione działania. Oznacza to, że naruszają wewnętrzną politykę organizacji lub zewnętrzne regulacje.
Pracownicy mogą popełnić naruszenie SoD, gdy przejmą kontrolę nad wieloma etapami procesu, przekraczając dozwolone kroki. Następnie nadużywają dostępu dla własnej korzyści.
Przykład: Firma może ustanowić zasadę, zgodnie z którą osoba zatrudniająca pracowników nie może również rozdzielać wypłat. Dzieje się tak dlatego, że jeśli wykonują obie czynności, mogą to wykorzystać dla własnej korzyści i zaaranżować oszustwo lub nielegalną działalność. W ten sposób zmieni się to w naruszenie SoD.
Tak wygląda wewnętrzne naruszenie SoD; zrozumiemy, w jaki sposób może wystąpić zewnętrzne naruszenie SoD. Na przykład starszy decydent, taki jak dyrektor generalny organizacji, oddaje się manipulowaniu sprawozdaniami finansowymi, naruszając przepisy SOX.
Może to prowadzić do ogromnych kar finansowych dla organizacji, a pracownik może również odbyć karę pozbawienia wolności. Jest to szkodliwe dla organizacji pod względem reputacji i kosztów.
Aby złagodzić naruszenia SoD, organizacja musi monitorować ich naruszenia i działania każdego pracownika. Muszą również aktualizować swoje polityki wraz ze zmieniającą się przestrzenią technologiczną.
#3. Matryca SoD
Matryca SoD to podejście stosowane przez menedżerów w celu zmniejszenia złożoności SoD. Umożliwia menedżerom rozróżnienie różnych obowiązków, ról i ryzyk w organizacji.
Ponadto macierz SoD może wykryć potencjalne konflikty w całej organizacji i pomóc rozwiązać je na czas, zapewniając jednocześnie ochronę przed poważnymi szkodami.
W nowoczesnych firmach, które opierają się na oprogramowaniu ERP, automatycznie generowane są macierze SoD. Wygenerowana macierz SoD jest oparta na zadaniach i rolach użytkownika zdefiniowanych w jego oprogramowaniu ERP.
W tym przypadku każde zadanie powinno pasować do procesu w danym przepływie transakcji, aby pogrupować zadania i role, zapewniając, że żaden użytkownik nie może wykonać więcej niż jednego kroku w przepływie pracy.
Co więcej, macierz SoD może być reprezentowana przez wykres, w którym role użytkowników są utrzymywane na obu osiach – X i Y, które oznaczają konflikty SoD. Ponadto odwzorowuje obowiązki i działania na role w przepływie pracy, aby umożliwić zespołom ds. zgodności segregację niekompatybilnych obowiązków.
Macierz SoD można utworzyć za pomocą oprogramowania takiego jak MS Excel lub ręcznie na kartce papieru. Można je również tworzyć za pomocą narzędzia ERP.
Przykład: Oto przykład tworzenia macierzy SoD dla listy płac dla pracownika. Możesz użyć dowolnego znaczącego, takiego jak tak/nie, kolorowe flagi lub strzałki, znacznik wyboru itp. dla ról i obowiązków. Użyjmy Y/N na poniższym wykresie.
ProcesPracownik Wdrażanie pracownikówTworzenie czeków płacowychRozliczanie płatnościZarządzanie korzyściamiWdrażanie pracowników1YNNNTworzenie wypłat2NYYNRozliczanie płatności3NYYNZarządzanie świadczeniami4NNNY
Na powyższym wykresie pokazano, że pracownik 2 ma uprawnienia do tworzenia wypłat i ich rozliczania. Nie mogą więc zmieniać świadczeń ani zatrudniać pracowników. Jeśli to zrobią, może dojść do konfliktu SoD. Podobnie pracownik 1 jest odpowiedzialny za zatrudnianie nowych pracowników. W związku z tym nie mogą tworzyć wypłat, zarządzać świadczeniami ani rozliczać płatności. W przeciwnym razie może wystąpić konflikt SoD.
Jak wdrożyć SoD
Jeśli więc myślisz o wdrożeniu SoD, ale nie wiesz, od czego zacząć, oto kroki, które możesz wykonać:
Zdefiniuj procesy i zasady organizacyjne
Przede wszystkim należy zdefiniować wszystkie kluczowe procesy organizacyjne, za które odpowiadają pracownicy. Może być oparty na wielkości Twojej organizacji i typie branży. Po zdefiniowaniu każdego procesu i zadania wypisz również swoje zasady. Zdefiniuj zasady dla pracowników wewnętrznych, dostawców zewnętrznych i innych podmiotów, z którymi współpracujesz.
Na przykład w dziale HR możesz chcieć wymienić zadania, takie jak zatrudnianie i wdrażanie pracowników, tworzenie świadczeń i wynagrodzeń, rozliczanie płatności, prowadzenie dokumentacji itp. Podobnie w dziale księgowości możesz wymieniać zadania, takie jak potwierdzenie dostawy produktów, przeglądanie faktur podpisywanie czeków, płacenie faktur itp.
Ponadto będziesz musiał przedstawić zasady, które wprowadziłeś dla swoich działów i pracowników. Na przykład pracownik dokonujący płatności nie może jednocześnie podpisywać czeków. Innym przykładem polityki może być – pracownik odpowiedzialny za sprzedaż produktu nie może jednocześnie potwierdzać jego dostawy.
Utwórz macierz SoD
Po zdefiniowaniu zadań i zasad należy utworzyć macierz SoD zawierającą listę wszystkich ról i zadań. Pomoże ci to zrozumieć, którzy pracownicy są odpowiedzialni za jakie zadania i czy istnieje jakakolwiek możliwość konfliktu lub naruszenia SoD.
Powyższy wykres pomoże Ci stworzyć macierz SoD dla Twojej organizacji. Czasami jednak trudno jest wykryć konflikty SoD, zwłaszcza gdy reprezentacje nie pasują do zadań. W tym celu można zastosować dwa podejścia podczas tworzenia macierzy SoD:
Jasno zdefiniuj wszystkie zadania i oznacz każdy konflikt SoD: tworzy dużą macierz, ale oferuje lepszą dokładność wizualnego przedstawiania zadań i ról.
Pomiń niektóre zadania lub pogrupuj je: Zapewni to skondensowaną macierz, którą łatwo przeanalizować i skupić się na konfliktach SoD. Może to jednak prowadzić do fałszywych alarmów i błędów wpływających na wyniki i konflikty SoD.
Przydziel zadania
Po wykryciu wszystkich konfliktów SoD zacznij przydzielać pracownikom zadania i podzadania, wykorzystując koncepcję podziału obowiązków. Jeśli natkniesz się na scenariusz, w którym nie możesz zastosować SoD, wymyśl solidny sposób kontrolowania i monitorowania pracownika wykonującego zadanie, aby zapobiec wszelkim zagrożeniom.
Zarządzaj i przeglądaj
Bardzo ważne jest monitorowanie i przeglądanie swoich zadań i ról, aby upewnić się, że SoD jest dobrze wdrożony i nie ma potencjalnego konfliktu lub naruszenia. A jeśli wykryjesz jakieś, zarządzaj swoimi rolami i zadaniami, przypisując je ponownie. Kontynuuj monitorowanie, aby zapobiegać zagrożeniom.
Wniosek
Podział obowiązków (SoD) zapewnia doskonały sposób zarządzania kontrolami wewnętrznymi i zapobiegania oszustwom i błędom. Pomoże zapewnić bezpieczeństwo organizacji, aby nikt nie uzyskał nadmiernej kontroli, wystarczającej do wyrządzenia szkód Twojej organizacji w postaci wycieku danych, oszustwa lub nielegalnej działalności. Dlatego wdrażaj SoD w swojej organizacji i bądź bezpieczny i czujny.
Możesz także zapoznać się z niektórymi narzędziami do wykrywania oszustw i zapobiegania im dla firm internetowych.