Розподіл обов’язків (SoD) є ключовим елементом стратегії управління ризиками організації.
У звіті Асоціації сертифікованих дослідників шахрайства (ACFE) за 2022 рік наголошується, що компанії несуть збитки від шахрайства співробітників у розмірі приблизно 1 783 000 доларів США за кожен випадок.
Це пояснює, чому сучасний бізнес потребує сталого управління ризиками в епоху зростання шахрайства, шахрайства та помилок.
І SoD прагне контролювати, керувати та навіть зменшувати ці ризики, щоб мати кращий організаційний контроль із підвищеною безпекою та обізнаністю.
У цій статті я обговорю, що таке SoD, його важливість та інші ключові терміни, пов’язані з ним.
Отже, давайте почнемо та навчимося повертати контроль!
Що таке розподіл обов’язків?
Розподіл обов’язків (SoD) — це важлива концепція управління ризиками та внутрішнього контролю організації, згідно з якою більше ніж одна особа відповідає за виконання різних частин завдання. Він реалізований для запобігання зловживанням інформацією, шахрайству, крадіжці та іншим ризикам, пов’язаним із безпекою.
Завдання, правда, може виконати одна людина, але воно розбито на частини. Це допомагає гарантувати, що жодна особа не має одноосібного контролю над завданням або надмірного контролю, достатнього для зловживання контролем для неавторизованих цілей або шахрайських дій. Натомість ним користуватимуться щонайменше дві особи.
Сьогодні SoD реалізується в різних сферах, таких як бухгалтерський облік, фінанси, нарахування заробітної плати, адміністрування тощо. У політиці це стає поділом влади в демократичних країнах, де уряд поділяється на судову, виконавчу та законодавчу владу.
SoD в управлінні ризиками
SoD працює за принципом спільної відповідальності, і управління організацією чи бізнесом не повинно бути роботою однієї людини. Ви не повинні довіряти одній людині отримати повний контроль над виконанням завдання, яке потенційно може призвести до шахрайства, помилок або завдати шкоди репутації вашої компанії.
Насправді SoD є життєво важливим елементом управління ризиками та дотримання підприємством нормативних актів, таких як Закон Сарбейнса-Окслі (SOX) 2002 року.
Розподіл обов’язків між кількома відповідальним персоналом знижує шанси працівника або третьої сторони:
- Зловживання конфіденційною інформацією організації
- Розкрадання коштів
- Фальсифікація записів (наприклад, фінансів) для введення в оману зацікавлених сторін або завищення цін на акції
- Запуск кампанії помсти після ймовірного жорстокого поводження
- Залучення до корпоративного шпигунства
І якщо ви не використовуєте таку безпечну стратегію, як SoD, це може призвести до значної шкоди вашій організації з точки зору фінансів, штрафних санкцій, пов’язаних із відповідністю, та іміджу бренду. Ось чому рекомендується впроваджувати SoD на всьому підприємстві, від бухгалтерського обліку та нарахування заробітної плати до відділів інформаційних технологій (ІТ) і кібербезпеки.
Приклади SoD
Давайте розглянемо кілька прикладів застосування SoD.
Бухгалтерський облік
У бухгалтерському обліку організації можуть заборонити окремим особам отримати надмірну владу для приховування активів і фінансових помилок.
SoD вимагатиме від вас ретельного аналізу всіх бухгалтерських ролей у вашій організації та розподілу обов’язків, щоб одна й та сама особа не могла повністю контролювати певну функцію. Наприклад, одній і тій же особі не можна допускати отримання чеків і записувати отримані чеки.
ІТ та кібербезпека
Політики SoD можуть допомогти запобігти ризикам контролю доступу в ІТ-відділі. Ви розподіляєте обов’язки робочого циклу, гарантуючи, що одній групі чи особам не надається багаторазовий доступ.
Якщо одна особа отримує доступ до влади поза межами своїх обов’язків, вона може зловживати нею та надати інформацію стороннім особам або надати їй дозвіл на доступ. При цьому більше ніхто про це не має поняття.
Ця ситуація може бути катастрофічною. Наприклад, одній особі не можна дозволяти отримувати сповіщення від систем безпеки, а також керувати правами доступу цієї системи.
Відповідність і контроль
Впровадження надійних стратегій SOD може допомогти усунути помилки співробітників, навмисні чи ненавмисні. Ви також можете виявити шахрайські документи, якщо такі є. Таким чином ви можете захистити свою організацію від порушень відповідності. Наприклад, ви повинні зробити одну особу відповідальною за подання фінансової інформації та її аудит.
Інші приклади
Одна і та сама особа не повинна нести відповідальність за:
- Формування та затвердження заявок
- Створення та затвердження рахунків-фактур постачальника
- Підготовка рахунка-фактури та внесення операцій з продажу до книги
- Виплата заробітної плати та найм працівників
- Облік отриманої готівки та створення кредит-ноти
- Торгівля акціями та управління злиттями та поглинаннями
- Налаштування покупців і затвердження заявок або замовлень на купівлю
Переваги SoD
Деякі з переваг застосування SoD у вашій організації:
#1. Запобігання та виявлення шахрайства
Організації частіше, ніж будь-коли, стають жертвами шахрайства. Це включає шахрайські дії, як-от підробка чеків, зняття готівки, незаконне привласнення активів, підробка документів, фальсифіковані квитанції, рахунки-фактури, помилки в бухгалтерських записах тощо.
За допомогою SoD ви можете переконатися, що жодна особа чи група не несе відповідальності за виконання всіх функцій певного завдання. Це дозволить уникнути можливості вчинення шахрайства та його приховування. Більше уваги до завдання означає, що будь-хто може виявити, повідомити про це та допомогти запобігти зовнішньому чи внутрішньому шахрайству.
#2. Зменшення людських помилок
Якщо ви правильно запровадите SoD у своїй організації, ви, ймовірно, побачите значне зниження людських помилок і пов’язаних із ними ризиків у ваших важливих фінансових процесах. Це може включати такі помилки, як недостатня документація транзакцій, низька кількість кадрів у бухгалтерії, помилки при введенні даних, недбалі перевірки тощо.
Залучення кількох осіб до критичних транзакцій істотно збільшує ймовірність того, що особа помітить будь-яку помилку, що сталася, і усуне її.
#3. Покращені аудити
Зменшення ймовірності ризиків і помилок покращить ведення документації для вашого відділу фінансів, заробітної плати, бухгалтерського обліку, ІТ або відділу кібербезпеки. SoD допоможе переконатися, що записи впорядковані належним чином, усуваючи такі проблеми, як дублювання, прострочені збори, ризики відповідності тощо.
Таким чином ви будете краще підготовлені до перевірок, будь то річні, піврічні чи квартальні. Ви також почуватиметеся впевненіше перед виконанням правил і уникнете штрафів.
#4. Підвищує ефективність
Деякі можуть подумати, що додавання додаткових ролей призведе до неефективності та збільшення витрат. Однак якщо ви добре сплануєте SoD, це підвищить ефективність. Це тому, що ви розділяєте завдання на кілька підзавдань, кожне з яких виконує відповідна спеціалізована особа з кращою точністю та швидкістю.
Це не тільки знижує ризики, але й забезпечує вищу ефективність порівняно з випадком, коли одна людина повинна виконувати все завдання. Крім того, вартість збитків, завданих компанії за відсутності SoD, значно перевищує суму, яку ви інвестуєте в наймання додаткового персоналу.
Деякі термінології SoD
Щоб краще зрозуміти SoD, ви повинні дізнатися про такі терміни:
#1. Конфлікти SoD
Конфлікт SoD може виникнути, коли особа діє проти інтересів організації та в її інтересах. Це означає, що вони отримали кілька ролей, щоб виконувати кілька важливих функцій у процесі. Це потенційно може вплинути на цілісність процесу, а також на компанію.
Конфлікти SoD можуть виникати в різних доменах організації, наприклад Order to Cash (O2C) або Purchase to Pay (P2P). Щоб пом’якшити конфлікти SoD, ви повинні аналізувати та оцінювати такі інциденти. Організації також повинні запровадити суворий контроль і захищатися від участі працівників у незаконній діяльності.
Хорошою стратегією запобігання конфліктам SoD може бути застосування контролю доступу на основі ролей (RBAC) у вашій організації. RBAC гарантує, що права доступу та елементи керування надаються користувачам на основі їхніх ролей і обов’язків в організації, не більше того.
У цьому випадку ви можете призначити уповноважену особу для аналізу кожної ролі та дозволу на доступ, призначеного їй, на наявність міжрольових і внутрішньорольових SoD.
Проте кожен конфлікт не означає завдати шкоди чи призвести до незаконних дій. Користувач може зробити це випадково, з необережності або виконати необхідну функцію для компанії, якій потрібні додаткові дозволи.
Ось чому компанії повинні ретельно вивчити справу та оцінити свою політику порушення SoD, щоб переконатися, що конфлікти не переростуть у шахрайство чи незаконну діяльність.
#2. Порушення SoD
Порушення SoD можуть статися, якщо співробітник організації використовує свою призначену роль і навмисно отримує доступ до інформації або виконує заборонену діяльність. Це означає, що вони порушують внутрішню політику організації або зовнішні правила.
Співробітники можуть вчинити порушення SoD, коли вони отримали контроль над кількома етапами процесу, перевищуючи дозволені етапи. Далі вони зловживають доступом для власної вигоди.
Приклад: компанія може прийняти політику, згідно з якою особа, яка наймає працівників, не може також розподіляти зарплату. Це тому, що якщо вони виконують обидві дії, вони можуть використовувати це для власної вигоди та організовувати шахрайство чи незаконну діяльність. Таким чином, це призведе до порушення SoD.
Ось так виглядає внутрішнє порушення SoD; давайте розберемося, як може статися зовнішнє порушення SoD. Наприклад, старша особа, яка приймає рішення, наприклад генеральний директор організації, маніпулює фінансовою звітністю, порушуючи правила SOX.
Це може призвести до величезних штрафів для організації, а працівник може відбути тюремне ув’язнення. Це шкодить організації з точки зору репутації та вартості.
Щоб пом’якшити порушення SoD, організація повинна контролювати їх порушення та діяльність кожного співробітника. Вони також повинні постійно оновлювати свою політику відповідно до змін технологічного простору.
#3. Матриця SoD
Матриця SoD — це підхід, який використовують менеджери, щоб зменшити складність SoD. Це дозволяє менеджерам розрізняти різні обов’язки, ролі та ризики в організації.
Крім того, матриця SoD може виявляти потенційні конфлікти в організації та допомагати вчасно їх вирішувати, забезпечуючи захист від серйозних збитків.
Матриці SoD автоматично генеруються в сучасних компаніях, які покладаються на програмне забезпечення ERP. Створена матриця SoD базується на завданнях і ролях користувача, визначених у його програмному забезпеченні ERP.
Тут кожне завдання має відповідати процесу в певному робочому процесі транзакцій, щоб згрупувати завдання та ролі, гарантуючи, що жодному користувачеві не буде дозволено виконувати більше ніж один крок у робочому процесі.
Крім того, матриця SoD може бути представлена діаграмою, де ролі користувачів зберігаються на обох осях – X і Y, які означають конфлікти SoD. Крім того, він зіставляє обов’язки та дії з ролями в робочому процесі, щоб дати можливість командам із відповідності розділити несумісні обов’язки.
Ви можете створити матрицю SoD за допомогою такого програмного забезпечення, як MS Excel, або вручну на аркуші паперу. Їх також можна створити за допомогою інструменту ERP.
Приклад. Ось приклад того, як можна створити матрицю SoD для нарахування заробітної плати для працівника. Для ролей і обов’язків можна використовувати будь-який знак, як-от так/ні, кольорові прапорці чи стрілки, галочку тощо. Давайте використаємо Y/N у наступному сюжеті.
ProcessEmployeeНалаштування співробітниківСтворення чеків заробітної плати Очищення платежівУправління вигодамиНалаштування співробітників1YNNNСтворення чеків заробітної плати2NYYNПогашення платежів3NYYNУправління вигодами4NNNY
На наведеній вище діаграмі показано, що працівник 2 має повноваження створювати чеки та виплачувати їх. Тому вони не повинні змінювати пільги чи наймати працівників. Якщо вони це зроблять, то може виникнути конфлікт SoD. Так само працівник 1 відповідає за наймання нових працівників. Таким чином, вони не повинні виплачувати зарплати, керувати пільгами чи чистими платежами. Інакше може виникнути конфлікт SoD.
Як реалізувати SoD
Отже, якщо ви думаєте про впровадження SoD, але не знаєте, з чого почати, ось кроки, які ви можете виконати:
Визначте організаційні процеси та політику
Перш за все, ви повинні визначити всі ключові організаційні процеси, за які відповідають співробітники. Це може залежати від розміру вашої організації та типу галузі. Коли ви визначите кожен процес і завдання, також перерахуйте свої політики. Визначте політику для своїх внутрішніх співробітників, зовнішніх постачальників та інших організацій, з якими ви маєте справу.
Наприклад, у відділі кадрів ви можете перелічити такі завдання, як найм і адаптація працівників, створення пільг і компенсацій, оформлення платежів, ведення обліку тощо. Подібним чином у відділі бухгалтерії ви можете перелічити такі завдання, як підтвердження доставки продукту, перегляд рахунків-фактур , підписання чеків, оплата рахунків тощо.
Крім того, вам потрібно буде окреслити політику, яку ви створили для своїх відділів і співробітників. Наприклад, працівник, який видає платіж, не повинен також підписувати чеки. Іншим прикладом політики може бути те, що працівник, відповідальний за продаж товару, не повинен також підтверджувати його доставку.
Створіть матрицю SoD
Після визначення ваших завдань і політик ви повинні створити матрицю SoD для переліку всіх ролей і завдань. Це допоможе вам зрозуміти, які працівники відповідають за які завдання, і чи існує ймовірність конфлікту або порушення SoD.
Наведена вище діаграма допоможе вам створити матрицю SoD для вашої організації. Але іноді стає важко виявити конфлікти SoD, особливо коли представлення не відповідають завданням. Для цього ви можете використовувати два підходи під час створення матриці SoD:
Чітко визначте всі завдання та позначте кожен конфлікт SoD: це створює велику матрицю, але пропонує кращу точність у візуальному представленні завдань і ролей.
Пропустіть деякі завдання або згрупуйте їх: це надасть вам стислу матрицю, яку легко проаналізувати та зосередити увагу на конфліктах SoD. Однак це може призвести до хибних спрацьовувань і помилок, що вплине на результати та конфлікти SoD.
Призначити завдання
Коли ви виявите всі конфлікти SoD, почніть розподіляти завдання та підзавдання між співробітниками, використовуючи концепцію розподілу обов’язків. Якщо ви зіткнулися зі сценарієм, коли ви не можете застосувати SoD, знайдіть надійний спосіб контролю та моніторингу співробітника, який виконує завдання, щоб запобігти будь-яким ризикам.
Керувати та переглядати
Важливо відстежувати та переглядати свої завдання та ролі, щоб переконатися, що SoD правильно реалізовано та немає потенційних конфліктів чи порушень. І якщо ви виявите такі, керуйте своїми ролями та завданнями, перепризначивши їх знову. Продовжуйте моніторинг, щоб запобігти ризикам.
Висновок
Розподіл обов’язків (SoD) забезпечує чудовий спосіб керувати внутрішніми засобами контролю та запобігати шахрайству та помилкам. Це допоможе забезпечити безпеку організації, щоб ніхто не отримав надмірний контроль, достатній, щоб завдати шкоди вашій організації через витік даних, шахрайство або незаконну діяльність. Отже, запровадьте SoD у своїй організації та залишайтеся в безпеці та пильними.
Ви також можете дослідити деякі інструменти виявлення та запобігання шахрайству для онлайн-бізнесу.