Împărțirea responsabilităților, cunoscută și ca Segregarea Sarcinilor (SoD), reprezintă o componentă esențială în strategiile de gestionare a pericolelor pentru orice organizație.
Un studiu realizat de Asociația Examinatorilor de Fraudă Certificați (ACFE) în 2022 a arătat că firmele suportă pierderi de aproximativ 1.783.000 de dolari americani per caz de fraudă comisă de angajați.
Acest aspect subliniază necesitatea ca afacerile contemporane să dețină o administrare eficientă a riscurilor într-o perioadă marcată de creșterea incidentelor de fraudă, înșelătorie și greșeli.
Scopul SoD este de a monitoriza, controla și chiar diminua aceste pericole, contribuind astfel la crearea unor structuri organizaționale mai sigure, cu o conștientizare și siguranță crescute.
În acest articol, vom explora conceptul SoD, importanța acestuia și alte noțiuni fundamentale conexe.
Să începem așadar să învățăm cum să recăpătăm controlul asupra situației!
Ce semnifică Segregarea Sarcinilor?
Segregarea sarcinilor (SoD) este o tehnică esențială de management al riscului și control intern în cadrul unei organizații, prin care diferite aspecte ale unei sarcini sunt delegate mai multor persoane. Scopul său este de a preveni abuzul de informații, fraudele, furtul și alte riscuri legate de securitate.
Deși sarcina poate fi îndeplinită de un singur individ, aceasta este fragmentată în mai multe etape. Acest proces asigură că niciun angajat nu deține controlul exclusiv asupra întregii sarcini, suficient pentru a abuza de autoritate în scopuri neautorizate sau pentru activități frauduloase. În schimb, responsabilitățile sunt distribuite între cel puțin două persoane.
În prezent, SoD este implementat în diverse sectoare, precum contabilitatea, finanțele, salarizarea, administrația etc. În politică, conceptul se materializează prin separarea puterilor în democrații, unde guvernarea este împărțită între sistemul judecătoresc, executiv și legislativ.
SoD în Managementul Riscului
SoD se bazează pe principiul responsabilităților partajate, conform căruia conducerea unei entități sau a unei afaceri nu ar trebui să depindă de un singur individ. Nu este recomandat să oferiți încredere completă unei singure persoane în vederea îndeplinirii unei sarcini, deoarece acest lucru ar putea conduce la fraudă, erori sau afectarea reputației companiei.
În realitate, SoD este un element vital în gestionarea riscurilor și în conformitatea companiilor cu reglementări precum Legea Sarbanes-Oxley din 2002 (SOX).
Prin repartizarea sarcinilor între mai mulți angajați responsabili, se diminuează riscul ca un angajat sau o terță parte să:
- Utilizeze în mod abuziv informațiile confidențiale ale organizației
- Fure fonduri
- Falsifice înregistrările (cum ar fi cele financiare) cu scopul de a induce în eroare părțile interesate sau de a manipula prețurile acțiunilor
- Inițieze o acțiune de răzbunare după ce a fost percepută ca fiind maltratată
- Se implice în spionaj industrial
Lipsa unei strategii sigure precum SoD poate avea consecințe negative majore pentru organizație, inclusiv pierderi financiare, sancțiuni de conformitate și deteriorarea imaginii brandului. De aceea, se recomandă implementarea SoD în toate departamentele unei firme, de la contabilitate și salarizare, până la departamentele de tehnologia informației (IT) și securitate cibernetică.
Exemple de SoD
Să analizăm câteva exemple în care SoD poate fi aplicat.
Contabilitate
În domeniul contabilității, organizațiile pot împiedica un singur individ să obțină putere excesivă care să îi permită să ascundă active și greșeli financiare.
SoD necesită analizarea detaliată a tuturor rolurilor contabile din organizație și separarea sarcinilor, astfel încât nicio persoană să nu dețină controlul total asupra unei funcții specifice. De exemplu, aceeași persoană nu ar trebui să aibă dreptul să primească cecuri și să înregistreze încasările.
IT și Securitate Cibernetică
Politicile SoD pot contribui la reducerea riscurilor legate de controlul accesului în cadrul departamentului IT. Împărțiți fluxul de lucru, asigurându-vă că același grup sau aceleași persoane nu beneficiază de multiple permisiuni de acces.
Dacă o singură persoană obține acces la privilegii ce depășesc responsabilitățile sale, aceasta le poate utiliza în mod abuziv, expunând informațiile unor terți sau oferindu-le acces neautorizat. În același timp, nimeni altcineva nu este conștient de acest lucru.
Această situație ar putea fi dezastruoasă. De exemplu, nu ar trebui ca o singură persoană să primească alerte de la sistemele de securitate și să gestioneze permisiunile de acces la acel sistem.
Conformitate și Controale
Implementarea unor strategii SoD solide poate contribui la eliminarea erorilor angajaților, fie că sunt intenționate sau accidentale. De asemenea, se pot depista cazurile de fraudă, dacă acestea există. În acest fel, puteți proteja organizația împotriva încălcărilor de conformitate. De exemplu, nu ar trebui să încredințați aceleiași persoane responsabilitatea de a depune informații financiare și, ulterior, de a le audita.
Alte Exemple
Aceeași persoană nu ar trebui să fie responsabilă pentru:
- Generarea și aprobarea cererilor
- Generarea și aprobarea facturilor de la furnizori
- Întocmirea facturii și înregistrarea tranzacțiilor de vânzare
- Plata salariilor și angajarea personalului
- Înregistrarea încasărilor și crearea notelor de credit
- Tranzacționarea acțiunilor și gestionarea fuziunilor și achizițiilor
- Configurarea clienților și aprobarea cererilor sau comenzilor de achiziții
Beneficiile SoD
Câteva dintre avantajele implementării SoD în cadrul organizației dvs. sunt:
#1. Prevenirea și Depistarea Fraudelor
În prezent, organizațiile sunt din ce în ce mai des victime ale fraudelor. Acest fenomen include activități ilegale precum manipularea cecurilor, deturnarea de fonduri, sustragerea de active, falsificarea de documente, falsificarea de chitanțe și facturi, erori în înregistrările contabile și multe altele.
Prin SoD, se asigură că niciun individ sau grup nu este responsabil pentru îndeplinirea tuturor funcțiilor aferente unei anumite sarcini. Acest lucru va descuraja posibilitatea comiterii unei fraude și ascunderea acesteia. Supravegherea unei sarcini de către mai multe persoane crește probabilitatea ca o eventuală fraudă, externă sau internă, să fie depistată, raportată și prevenită.
#2. Reducerea Erorilor Umane
Dacă implementați corect SoD în cadrul organizației dvs., este foarte probabil să observați o diminuare semnificativă a erorilor umane și a riscurilor asociate în procesele financiare critice. Printre acestea se pot număra documentarea insuficientă a tranzacțiilor, numărul redus de personal în departamentul de contabilitate, greșeli în introducerea datelor, audituri realizate cu neglijență etc.
Prin implicarea mai multor persoane în tranzacțiile critice, crește posibilitatea ca un angajat să observe orice eroare apărută și să o corecteze.
#3. Audituri Îmbunătățite
Reducerea riscurilor și a erorilor va îmbunătăți calitatea înregistrărilor pentru departamentele de finanțe, salarizare, contabilitate, IT sau securitate cibernetică. SoD vă va ajuta să vă asigurați că înregistrările sunt aranjate corect, eliminând probleme precum dublarea, taxele de întârziere, riscurile de conformitate etc.
În acest mod, veți fi mai bine pregătiți pentru audituri, fie că sunt anuale, semestriale sau trimestriale. De asemenea, veți avea mai multă încredere în conformitatea cu reglementările, evitând penalitățile.
#4. Sporirea Eficienței
Unii ar putea crede că adăugarea mai multor roluri va genera ineficiență și costuri mai ridicate. Totuși, dacă planificați corect SoD, acesta va stimula eficiența. Acest lucru se datorează faptului că împărțiți o sarcină în mai multe sub-sarcini, fiecare fiind realizată de un individ potrivit și specializat, cu o precizie și o viteză mai mare.
Acest lucru nu doar reduce riscurile, ci oferă și o eficiență mai mare comparativ cu situația în care o singură persoană ar trebui să îndeplinească întreaga sarcină. Mai mult, costul daunelor aduse companiei în absența SoD este mult mai mare decât suma investită în angajarea unui număr suplimentar de personal.
Terminologii SoD
Pentru o înțelegere mai bună a SoD, este important să cunoașteți următoarele terminologii:
#1. Conflicte SoD
Un conflict SoD apare atunci când o persoană acționează împotriva interesului organizației, în favoarea propriului interes. Aceasta presupune că persoana respectivă a dobândit mai multe roluri pentru a îndeplini multiple funcții importante într-un proces, ceea ce ar putea afecta integritatea procesului și a companiei.
Conflictele SoD pot apărea în diverse domenii ale unei organizații, cum ar fi Order to Cash (O2C) sau Purchase to Pay (P2P). Pentru a atenua conflictele SoD, este necesară analiza și evaluarea acestor incidente. Organizațiile trebuie să implementeze controale solide și să se protejeze împotriva angajaților care se implică în activități ilegale.
O strategie eficientă de prevenire a conflictelor SoD ar putea fi aplicarea controalelor de acces bazate pe roluri (RBAC) în cadrul întregii organizații. RBAC asigură că permisiunile și controalele de acces sunt acordate utilizatorilor în funcție de rolurile și responsabilitățile lor în cadrul organizației, și nu mai mult de atât.
În acest scop, puteți desemna o persoană autorizată să evalueze fiecare rol și permisiunea de acces asociată, atât pentru suprapuneri SoD între roluri, cât și în cadrul aceluiași rol.
Totuși, orice conflict nu implică neapărat intenția de a provoca daune sau de a comite acte ilegale. Un utilizator ar putea săvârși o acțiune accidental, din neatenție sau în timpul exercitării unei funcții necesare companiei care necesită permisiuni suplimentare.
De aceea, este important ca firmele să analizeze cu atenție fiecare caz și să își evalueze politicile privind încălcarea SoD, asigurându-se că eventualele conflicte nu degenerează în fraude sau activități ilegale.
#2. Încălcarea SoD
Încălcările SoD pot avea loc atunci când un angajat al organizației exploatează rolul încredințat și accesează în mod intenționat informații sau desfășoară activități interzise, încălcând astfel politicile interne ale organizației sau reglementările externe.
Angajații pot comite o încălcare SoD atunci când obțin control asupra mai multor pași ai procesului, depășind limitele permise. Ulterior, aceștia abuzează de accesul acordat în avantajul lor.
De exemplu: o companie poate adopta o politică conform căreia persoana care angajează personal nu poate distribui și salariile, deoarece dacă ar desfășura ambele activități, ar putea abuza de acest lucru și ar putea organiza fraude sau activități ilegale. Această situație ar constitui o încălcare SoD.
Acesta este un exemplu de încălcare SoD internă; haideți să înțelegem cum ar putea avea loc o încălcare SoD externă. De exemplu, un factor de decizie important, cum ar fi directorul general al unei organizații, se implică în manipularea situațiilor financiare, încălcând reglementările SOX.
Această acțiune poate atrage amenzi considerabile pentru organizație, iar angajatul poate primi inclusiv o pedeapsă cu închisoarea, cauzând daune semnificative organizației în termeni de reputație și costuri.
Pentru a diminua încălcările SoD, organizațiile trebuie să monitorizeze activitatea și încălcările fiecărui angajat, actualizându-și constant politicile în conformitate cu evoluțiile tehnologice.
#3. Matricea SoD
Matricea SoD este o metodă prin care managerii pot reduce complexitățile SoD. Aceasta permite managerilor să identifice diferite responsabilități, roluri și riscuri în cadrul unei organizații.
De asemenea, matricea SoD poate detecta posibilele conflicte interne, facilitând rezolvarea acestora în timp util și oferind protecție împotriva daunelor grave.
În companiile moderne, matricele SoD sunt generate automat folosind software-uri ERP. O matrice SoD este creată pe baza sarcinilor și rolurilor unui utilizator definite în cadrul software-ului ERP.
În acest context, fiecare sarcină trebuie să corespundă unui proces dintr-un anumit flux de lucru al tranzacțiilor, pentru a grupa sarcinile și rolurile, asigurându-se că niciun utilizator nu are permisiunea de a executa mai mult de o etapă în fluxul de lucru.
Mai mult, matricea SoD poate fi prezentată grafic, unde rolurile utilizatorilor sunt plasate pe ambele axe – X și Y – indicând conflictele SoD. De asemenea, aceasta corelează sarcinile și activitățile cu rolurile dintr-un flux de lucru, permițând echipelor responsabile cu conformitatea să separe responsabilitățile incompatibile.
Matricea SoD poate fi creată atât folosind software precum MS Excel, cât și manual pe o foaie de hârtie sau cu ajutorul unui instrument ERP.
De exemplu: iată un mod în care se poate genera o matrice SoD pentru salarizare pentru un angajat. Puteți utiliza orice simbol, cum ar fi da/nu, indicatori sau săgeți colorate, o bifă etc., pentru roluri și responsabilități. Să utilizăm Y/N în graficul următor:
| Proces | Angajat | Încorporarea angajaților | Crearea cecurilor de plată | Eliminarea plăților | Gestionarea beneficiilor |
| Încorporarea angajaților | 1 | Y | N | N | N |
| Crearea cecurilor de plată | 2 | N | Y | Y | N |
| Eliminarea plăților | 3 | N | Y | Y | N |
| Gestionarea beneficiilor | 4 | N | N | N | Y |
În graficul de mai sus, se poate observa că angajatul 2 are autorizația de a crea și elimina salariile. Prin urmare, acesta nu ar trebui să modifice beneficiile sau să angajeze angajați. În cazul în care se întâmplă acest lucru, ar putea apărea un conflict SoD. Similar, angajatul 1 este responsabil de angajarea de noi angajați. Prin urmare, acesta nu ar trebui să creeze salariile, să gestioneze beneficiile sau să elimine plățile, deoarece în caz contrar ar putea apărea un conflict SoD.
Cum se Implementează SoD
Dacă intenționați să implementați SoD, dar nu știți de unde să începeți, iată câțiva pași pe care îi puteți urma:
Definiți Procesele și Politicile Organizaționale
Primul pas este definirea tuturor proceselor organizaționale esențiale pentru care sunt responsabili angajații. Acest aspect poate varia în funcție de dimensiunea organizației și de tipul industriei în care activează. Odată definite fiecare proces și sarcină, stabiliți politicile corespunzătoare, atât pentru angajații interni, cât și pentru furnizorii externi și alte entități cu care organizația interacționează.
De exemplu, în departamentul de resurse umane, se pot enumera sarcini precum angajarea și integrarea angajaților, crearea beneficiilor și a sistemului de compensare, efectuarea plăților, păstrarea înregistrărilor etc. În departamentul de contabilitate, se pot menționa sarcini precum confirmarea livrării produselor, verificarea facturilor, semnarea cecurilor, efectuarea plăților etc.
De asemenea, trebuie să stabiliți politicile interne pentru departamente și angajați. De exemplu, un angajat care emite plăți nu trebuie să fie și cel care semnează cecuri. Un alt exemplu ar fi ca angajatul care este responsabil de vânzarea unui produs să nu fie responsabil și de confirmarea livrării acestuia.
Creați o Matrice SoD
După definirea sarcinilor și a politicilor, este necesară crearea unei matrice SoD care să conțină toate rolurile și sarcinile. Aceasta va facilita înțelegerea responsabilităților angajaților și va permite identificarea eventualelor conflicte sau încălcări SoD.
Graficul de mai sus poate servi ca ghid pentru crearea matricei SoD a organizației. Totuși, uneori, devine dificil să detectați conflictele SoD, în special atunci când reprezentările nu se potrivesc corect cu sarcinile. Pentru a evita acest lucru, puteți adopta două abordări:
Definiți clar toate sarcinile și etichetați fiecare conflict SoD: această abordare generează o matrice mare, dar oferă o acuratețe superioară în reprezentarea vizuală a sarcinilor și rolurilor.
Omiteți anumite sarcini sau grupați-le: rezultă o matrice condensată, ușor de analizat, cu accent pe conflictele SoD. Totuși, aceasta ar putea conduce la rezultate fals pozitive și erori care ar putea afecta evaluarea conflictelor SoD.
Alocați Sarcinile
După identificarea conflictelor SoD, începeți să alocați sarcini și sub-sarcini angajaților, respectând conceptul de segregare a sarcinilor. În cazul în care vă confruntați cu o situație în care SoD nu poate fi implementat, identificați o modalitate eficientă de a controla și monitoriza angajatul care îndeplinește sarcina, pentru a reduce orice risc potențial.
Administrați și Revizuiți
Este crucial să monitorizați și să revizuiți constant sarcinile și rolurile pentru a vă asigura că SoD este implementat corect și că nu există niciun conflict sau încălcare potențială. Dacă detectați o astfel de situație, administrați rolurile și sarcinile prin realocarea acestora. Monitorizarea continuă este esențială pentru prevenirea riscurilor.
Concluzie
Segregarea sarcinilor (SoD) oferă o metodă excelentă de gestionare a controalelor interne și de prevenire a fraudelor și erorilor. Acest sistem contribuie la asigurarea securității organizaționale, împiedicând orice persoană să obțină un control excesiv care ar putea provoca daune organizației, cum ar fi scurgeri de date, fraude sau activități ilegale. Prin urmare, implementați SoD în cadrul organizației dvs. și rămâneți în siguranță și vigilenți.
De asemenea, puteți analiza anumite instrumente de detectare și prevenire a fraudelor pentru afacerile online.