Розподіл обов’язків (РO) відіграє визначальну роль у стратегії управління ризиками будь-якої організації.
Згідно зі звітом Асоціації сертифікованих фахівців з розслідування шахрайств (ACFE) за 2022 рік, компанії зазнають збитків в середньому близько 1 783 000 доларів США за кожний випадок шахрайства з боку працівників.
Це підкреслює нагальну потребу сучасного бізнесу в ефективному управлінні ризиками в умовах зростання випадків шахрайства, обману та помилок.
РO спрямований на контроль, управління та мінімізацію цих ризиків, забезпечуючи кращий організаційний контроль, підвищену безпеку та обізнаність.
У цій статті ми розглянемо, що таке РO, його важливість та інші ключові поняття, пов’язані з ним.
Отже, розпочнімо вивчення та візьмемо ситуацію під контроль!
Що таке розподіл обов’язків?
Розподіл обов’язків (РO) – це ключова концепція в управлінні ризиками та внутрішньому контролі організації, яка передбачає розподіл відповідальності за різні етапи виконання завдання між кількома особами. Цей підхід впроваджується для запобігання зловживанню інформацією, шахрайству, крадіжкам та іншим загрозам безпеці.
Хоча одне завдання може бути виконане однією особою, воно розділяється на декілька етапів. Це допомагає уникнути ситуації, коли одна людина має повний контроль над завданням або достатньо впливу для зловживання контролем з несанкціонованою метою чи для шахрайських дій. Натомість виконання забезпечується щонайменше двома особами.
Сьогодні РO використовується в різних сферах, таких як бухгалтерський облік, фінанси, нарахування заробітної плати, адміністративна робота та інші. У політичній сфері це аналогічно поділу влади в демократичних країнах, де уряд поділяється на судову, виконавчу та законодавчу гілки.
РO в управлінні ризиками
РO працює на основі принципу спільної відповідальності, оскільки управління організацією чи бізнесом не повинно бути зосереджено в руках однієї особи. Не можна дозволяти одній людині мати повний контроль над виконанням завдання, що може призвести до шахрайства, помилок або негативно вплинути на репутацію вашої компанії.
Насправді, РO є важливим елементом управління ризиками та забезпечення дотримання нормативних вимог, таких як Закон Сарбейнса-Окслі (SOX) 2002 року.
Розподіл обов’язків між декількома відповідальними особами зменшує ймовірність того, що працівник або третя сторона:
- Зловживатиме конфіденційною інформацією організації
- Розкрадатиме кошти
- Фальсифікуватиме записи (наприклад, фінансові) з метою введення в оману зацікавлених сторін або завищення ціни акцій
- Розпочне кампанію помсти після ймовірного жорстокого поводження
- Братиме участь у корпоративному шпигунстві
Якщо ви не застосовуєте таку стратегію безпеки, як РO, це може завдати значної шкоди вашій організації з фінансової точки зору, призвести до штрафів за недотримання вимог, а також зашкодити іміджу вашого бренду. Саме тому рекомендується впроваджувати РO на всіх рівнях підприємства, від бухгалтерського обліку та нарахування заробітної плати до відділів інформаційних технологій (IT) і кібербезпеки.
Приклади РO
Розглянемо декілька прикладів застосування РO.
Бухгалтерський облік
У сфері бухгалтерського обліку організації можуть запобігти надмірній владі окремих осіб для приховування активів та фінансових маніпуляцій.
РO вимагає ретельного аналізу всіх бухгалтерських ролей у вашій організації та розподілу обов’язків таким чином, щоб одна і та сама особа не могла повністю контролювати певну функцію. Наприклад, одній і тій самій особі не можна дозволяти отримувати чеки та записувати їх надходження.
ІТ та кібербезпека
Політики РO можуть допомогти запобігти ризикам, пов’язаним з контролем доступу у відділі IT. Ви розподіляєте обов’язки робочого процесу таким чином, щоб жодна група чи окрема особа не мала багаторазового доступу.
Якщо одна особа отримує доступ до повноважень, що виходять за рамки її обов’язків, вона може зловживати ними, надаючи інформацію стороннім особам або надаючи їм права доступу, про що ніхто не знатиме.
Ця ситуація може мати катастрофічні наслідки. Наприклад, одній особі не можна дозволяти отримувати сповіщення від систем безпеки, а також керувати правами доступу до цієї системи.
Відповідність і контроль
Впровадження надійних стратегій РO може допомогти виявляти помилки співробітників, навмисні чи випадкові. Ви також можете виявити підроблені документи, якщо вони існують. Таким чином ви захистите свою організацію від порушень вимог. Наприклад, потрібно призначити одну особу відповідальною за подання фінансової інформації, а іншу – за її аудит.
Інші приклади
Одна й та сама особа не повинна відповідати за:
- Створення та затвердження заявок
- Створення та затвердження рахунків-фактур постачальника
- Підготовку рахунка-фактури та внесення операцій продажу до книги
- Виплату заробітної плати та наймання працівників
- Облік отриманих готівкових коштів і створення кредитової ноти
- Торгівлю акціями та управління злиттями й поглинаннями
- Налаштування клієнтів та затвердження заявок або замовлень на купівлю
Переваги РO
Деякі з переваг застосування РO у вашій організації:
#1. Запобігання та виявлення шахрайства
Сьогодні організації частіше, ніж будь-коли, стають жертвами шахрайства. До них належать такі шахрайські дії, як підробка чеків, виведення готівки, незаконне присвоєння активів, фальсифікація документів, підроблені квитанції, рахунки-фактури, помилки в бухгалтерському обліку тощо.
Завдяки РO ви можете бути впевнені, що жодна особа чи група не несе відповідальності за виконання всіх функцій певного завдання. Це допомагає уникнути можливості вчинення шахрайства та його приховування. Більша увага до завдання означає, що будь-хто може виявити, повідомити про порушення та допомогти запобігти зовнішньому чи внутрішньому шахрайству.
#2. Зменшення кількості людських помилок
Правильне впровадження РO у вашій організації сприятиме значному зменшенню людських помилок і пов’язаних з ними ризиків у ваших важливих фінансових процесах. До них можуть належати такі помилки, як відсутність документації транзакцій, недостатня кількість співробітників у бухгалтерії, помилки під час введення даних, недбалість під час перевірок тощо.
Залучення декількох осіб до важливих транзакцій істотно збільшує ймовірність того, що хтось помітить будь-яку помилку та усуне її.
#3. Покращення якості аудитів
Зменшення ймовірності виникнення ризиків та помилок покращить ведення документації для вашого фінансового відділу, відділу нарахування заробітної плати, бухгалтерського обліку, IT або відділу кібербезпеки. РO допоможе забезпечити належний порядок у записах, усуваючи такі проблеми, як дублювання, прострочені платежі, ризики, пов’язані з дотриманням вимог, тощо.
Таким чином, ви будете краще підготовлені до перевірок, незалежно від того, чи проводяться вони на щорічній, піврічній чи квартальній основі. Ви також почуватиметеся впевненіше у дотриманні нормативних вимог і уникнете штрафних санкцій.
#4. Підвищення ефективності
Деякі можуть подумати, що додавання додаткових ролей призведе до неефективності та збільшення витрат. Однак, якщо ви правильно сплануєте РO, це підвищить ефективність. Це тому, що ви поділяєте завдання на декілька підзавдань, кожне з яких виконує відповідна спеціалізована особа з більшою точністю та швидкістю.
Це не тільки зменшує ризики, але й забезпечує вищу ефективність, ніж у випадку, коли одна людина має виконувати все завдання. Крім того, вартість збитків, завданих компанії за відсутності РO, значно перевищує суму, яку ви інвестуєте в наймання додаткового персоналу.
Деякі терміни РO
Щоб краще зрозуміти РO, вам слід ознайомитися з такими термінами:
#1. Конфлікти РO
Конфлікт РO може виникнути, коли особа діє проти інтересів організації та в своїх інтересах. Це означає, що вони отримали декілька ролей, що дозволяють виконувати кілька важливих функцій у процесі. Це потенційно може вплинути на цілісність процесу, а також на всю компанію.
Конфлікти РO можуть виникати в різних сферах організації, наприклад, в процесах “Замовлення до оплати” (Order to Cash, O2C) або “Закупівля до оплати” (Purchase to Pay, P2P). Щоб зменшити конфлікти РO, ви повинні аналізувати та оцінювати такі інциденти. Організації також повинні запровадити суворий контроль і захищатися від участі співробітників у незаконній діяльності.
Ефективною стратегією запобігання конфліктам РO може бути застосування контролю доступу на основі ролей (Role-Based Access Control, RBAC) у вашій організації. RBAC гарантує, що права доступу та елементи керування надаються користувачам відповідно до їхніх ролей та обов’язків в організації, і не більше.
У цьому випадку ви можете призначити уповноважену особу для аналізу кожної ролі та дозволу на доступ, призначеного їй, на наявність конфліктів між ролями та в межах ролей.
Проте кожен конфлікт не означає навмисної шкоди або незаконних дій. Користувач може зробити це випадково, через необережність, або виконати необхідну функцію для компанії, яка потребує додаткових дозволів.
Ось чому компанії повинні ретельно вивчити кожен випадок та оцінити політику порушення РO, щоб упевнитися, що конфлікти не переростуть у шахрайство чи незаконну діяльність.
#2. Порушення РO
Порушення РO можуть виникати, коли співробітник організації зловживає своєю призначеною роллю та навмисно отримує доступ до інформації або виконує заборонені дії. Це означає, що вони порушують внутрішню політику організації або зовнішні нормативні вимоги.
Співробітники можуть вчиняти порушення РO, коли вони отримують контроль над декількома етапами процесу, що виходять за межі дозволених. Потім вони зловживають доступом для власної вигоди.
Приклад: компанія може прийняти політику, згідно з якою особа, яка наймає працівників, не може також розподіляти заробітну плату. Це пояснюється тим, що якщо вони виконують обидві дії, вони можуть використовувати це для особистої вигоди та організовувати шахрайство чи незаконну діяльність. Таким чином, це призведе до порушення РO.
Ось як виглядає внутрішнє порушення РO; розглянемо, як може відбуватися зовнішнє порушення РO. Наприклад, особа, що приймає важливі рішення, наприклад генеральний директор організації, може маніпулювати фінансовою звітністю, порушуючи правила SOX.
Це може призвести до значних штрафів для організації, а працівник може бути ув’язнений. Це завдає шкоди організації з точки зору репутації та вартості.
Для зменшення порушень РO організація повинна контролювати порушення та діяльність кожного співробітника. Вони також повинні постійно оновлювати свою політику відповідно до змін технологічного простору.
#3. Матриця РO
Матриця РO – це підхід, який використовують менеджери для зменшення складності РO. Це дозволяє менеджерам розрізняти різні обов’язки, ролі та ризики в організації.
Крім того, матриця РO допомагає виявляти потенційні конфлікти в організації та вчасно їх вирішувати, що забезпечує захист від серйозних збитків.
Матриці РO автоматично генеруються в сучасних компаніях, які використовують програмне забезпечення ERP. Створена матриця РO базується на завданнях і ролях користувача, визначених у їхньому програмному забезпеченні ERP.
Тут кожне завдання має бути пов’язане з процесом у певному робочому циклі транзакцій, щоб згрупувати завдання та ролі, гарантуючи, що жоден користувач не зможе виконувати більше одного етапу в робочому процесі.
Матриця РO може бути представлена у вигляді діаграми, де ролі користувачів розміщені на обох осях – X і Y, які позначають конфлікти РO. Крім того, вона зіставляє обов’язки та дії з ролями в робочому процесі, дозволяючи командам із забезпечення відповідності розділити несумісні обов’язки.
Ви можете створити матрицю РO за допомогою таких інструментів, як MS Excel, або вручну на аркуші паперу. Їх також можна створити за допомогою ERP інструменту.
Приклад. Ось приклад створення матриці РO для нарахування заробітної плати працівника. Для ролей та обов’язків можна використовувати будь-яке позначення, як-от «так/ні», кольорові позначки, стрілки, галочки тощо. Давайте використаємо Y/N у наведеному прикладі.
| Процес | Працівник | Налаштування працівників | Створення чеків на оплату | Здійснення платежів | Управління пільгами |
| Налаштування працівників | 1 | Y | N | N | N |
| Створення чеків на оплату | 2 | N | Y | Y | N |
| Здійснення платежів | 3 | N | Y | Y | N |
| Управління пільгами | 4 | N | N | N | Y |
На наведеній вище діаграмі показано, що працівник 2 має повноваження створювати чеки та здійснювати платежі. Тому він не повинен змінювати пільги чи наймати працівників. Якщо він це зробить, може виникнути конфлікт РO. Подібним чином, працівник 1 відповідає за найм нових працівників. Таким чином, він не повинен здійснювати виплату заробітної плати, керувати пільгами чи здійснювати платежі. В іншому випадку може виникнути конфлікт РO.
Як впровадити РO
Отже, якщо ви плануєте впровадити РO, але не знаєте, з чого почати, ось кроки, які ви можете виконати:
Визначте організаційні процеси та політику
Насамперед необхідно визначити всі ключові організаційні процеси, за які відповідають працівники. Це може залежати від розміру вашої організації та типу галузі. Коли ви визначите кожен процес і завдання, також перерахуйте свої політики. Визначте політику для своїх внутрішніх працівників, зовнішніх постачальників та інших організацій, з якими ви співпрацюєте.
Наприклад, у відділі кадрів ви можете перерахувати такі завдання, як найм і адаптація працівників, створення пільг і компенсацій, обробка платежів, ведення обліку тощо. Аналогічно, у відділі бухгалтерського обліку ви можете перерахувати такі завдання, як підтвердження доставки продукту, перевірка рахунків-фактур, підписання чеків, оплата рахунків тощо.
Крім того, вам потрібно буде окреслити політику, яку ви створили для своїх відділів та співробітників. Наприклад, працівник, який ініціює платіж, не повинен також підписувати чеки. Іншим прикладом політики може бути те, що працівник, відповідальний за продаж товару, не повинен також підтверджувати його доставку.
Створіть матрицю РO
Після визначення ваших завдань і політик, ви повинні створити матрицю РO для переліку всіх ролей і завдань. Це допоможе вам зрозуміти, які працівники відповідальні за які завдання, і чи існує ймовірність конфлікту або порушення РO.
Наведена вище діаграма допоможе вам створити матрицю РO для вашої організації. Але іноді стає важко виявити конфлікти РO, особливо коли представлення не відповідають завданням. Для цього ви можете використати два підходи під час створення матриці РO:
Чітко визначте всі завдання та позначте кожен конфлікт РO: це створить велику матрицю, але забезпечить кращу точність у візуальному представленні завдань і ролей.
Пропустіть деякі завдання або згрупуйте їх: це дозволить отримати стислу матрицю, яку легко аналізувати та зосередити увагу на конфліктах РO. Однак це може призвести до хибних спрацювань і помилок, що вплине на результати та виявлення конфліктів РO.
Призначте завдання
Коли ви визначите всі конфлікти РO, почніть розподіляти завдання та підзавдання між працівниками, використовуючи концепцію розподілу обов’язків. Якщо ви зіткнулися зі сценарієм, коли ви не можете застосувати РO, знайдіть надійний спосіб контролю та моніторингу працівника, який виконує завдання, щоб запобігти будь-яким ризикам.
Керуйте та переглядайте
Важливо відстежувати та переглядати свої завдання та ролі, щоб упевнитися, що РO правильно впроваджено та немає потенційних конфліктів чи порушень. І якщо ви їх виявите, керуйте своїми ролями та завданнями, перепризначивши їх знову. Продовжуйте моніторинг, щоб запобігти виникненню ризиків.
Висновок
Розподіл обов’язків (РO) – це ефективний спосіб керувати внутрішніми засобами контролю та запобігати шахрайству та помилкам. Це допоможе забезпечити безпеку організації таким чином, щоб ніхто не отримав надмірного контролю, достатнього для того, щоб завдати шкоди вашій організації через витік даних, шахрайство або незаконну діяльність. Отже, запровадьте РO у своїй організації та залишайтеся в безпеці та пильними.
Також рекомендуємо вам вивчити деякі інструменти виявлення та запобігання шахрайству для онлайн-бізнесу.