Segregarea sarcinilor (SoD) este un element crucial în strategiile de gestionare a riscurilor unei organizații.
Un raport din 2022 al Asociației Certified Fraud Examiners (ACFE) evidențiază că companiile suportă pierderi de aproximativ 1.783.000 USD pentru frauda angajaților per caz.
Acest lucru explică de ce întreprinderile moderne trebuie să aibă un management durabil al riscurilor în această eră a fraudelor, înșelătoriilor și erorilor în creștere.
Și SoD își propune să controleze, să gestioneze și chiar să atenueze aceste riscuri pentru a avea controale organizaționale mai bune, cu siguranță și conștientizare sporite.
În acest articol, voi discuta ce este SoD, importanța sa și alte terminologii cheie asociate cu acesta.
Deci, să începem și să învățăm cum să reluăm controlul!
Cuprins
Ce este Segregarea sarcinilor?
Segregarea sarcinilor (SoD) este un concept important de management al riscului și controale interne ale unei organizații, în care mai mult de o persoană este responsabilă pentru îndeplinirea diferitelor părți ale unei sarcini. Este implementat pentru a preveni utilizarea abuzivă a informațiilor, frauda, furtul și alte riscuri legate de securitate.
Sarcina, însă, poate fi îndeplinită de o singură persoană, dar este împărțită în părți. Acest lucru ajută la asigurarea faptului că niciun individ nu deține controlul exclusiv asupra sarcinii sau controalele excesive, suficient pentru a utiliza greșit controlul în scopuri neautorizate sau activități frauduloase. În schimb, va fi împărtășit de cel puțin două persoane.
Astăzi, SoD este implementat în diverse domenii, cum ar fi contabilitate, finanțe, salarizare, administrație etc. În politică, devine separarea puterilor în democrațiile în care guvernul este împărțit în justiție, executiv și legislativ.
SoD în managementul riscului
SoD funcționează pe principiul responsabilităților partajate și că conducerea unei organizații sau a unei afaceri nu trebuie să fie munca unei singure persoane. Nu ar trebui să aveți încredere într-o singură persoană pentru a obține controlul complet pentru a îndeplini o sarcină care poate duce la fraudă, erori sau deteriorarea reputației companiei dvs.
De fapt, SoD este un element vital al managementului riscului și al conformității întreprinderii cu reglementări precum Legea Sarbanes-Oxley din 2002 (SOX).
Separarea sarcinilor în rândul mai multor personal responsabil reduce șansele ca un angajat sau o terță parte de la:
- Folosirea greșită a informațiilor confidențiale organizaționale
- Furtul de fonduri
- Falsificarea înregistrărilor (cum ar fi finanțele) pentru a induce în eroare părțile interesate sau umflarea prețurilor acțiunilor
- Lansarea unei campanii de răzbunare după ce a primit presupuse maltratări
- Implicarea în spionaj corporativ
Și dacă nu folosiți o strategie sigură precum SoD, aceasta ar putea duce la daune semnificative organizației dvs. în ceea ce privește finanțele, sancțiunile bazate pe conformitate și imaginea mărcii. Acesta este motivul pentru care se recomandă implementarea SoD în cadrul unei întreprinderi, de la contabilitate și salarizare până la departamentele de tehnologie a informației (IT) și securitate cibernetică.
Exemple de SoD
Să ne uităm la câteva dintre exemplele în care puteți aplica SoD.
Contabilitate
În contabilitate, organizațiile pot interzice persoanelor singure să obțină putere excesivă de a ascunde activele și erorile financiare.
SoD vă va cere să analizați în detaliu toate rolurile contabile din organizația dvs. și să separați sarcinile, astfel încât aceeași persoană să nu poată deține controlul complet asupra unei anumite funcții. De exemplu, aceeași persoană nu trebuie să aibă voie să primească cecurile și să înregistreze cecurile primite.
IT și securitate cibernetică
Politicile SoD pot ajuta la prevenirea riscurilor de control al accesului în departamentul IT. Separați sarcinile fluxului de lucru, asigurându-vă că aceluiași grup sau aceleași persoane nu beneficiază de mai multe permisiuni de acces.
Dacă o singură persoană obține acces la putere dincolo de îndatoririle sale, o poate folosi greșit și poate expune informații unui străin sau îi poate acorda permisiunea de acces. În același timp, nimeni altcineva nu are idee despre asta.
Această situație ar putea fi catastrofală. De exemplu, aceleiași persoane nu trebuie să primească alerte de la sistemele de securitate și să gestioneze permisiunile de acces ale sistemului respectiv.
Conformitate și controale
Implementarea unor strategii solide SOD poate ajuta la eliminarea erorilor angajaților, intenționate sau neintenționate. De asemenea, puteți prinde dosare frauduloase, dacă există. În acest fel, vă puteți proteja organizația de încălcările conformității. De exemplu, trebuie să faceți aceeași persoană responsabilă pentru depunerea informațiilor financiare și auditarea acestora.
Alte Exemple
Aceeași persoană nu ar trebui să fie responsabilă pentru:
- Crearea si aprobarea solicitarilor
- Crearea si aprobarea facturilor furnizorilor
- Intocmirea facturii si introducerea tranzactiilor de vanzare in registru
- Plata salariilor si angajarea angajatilor
- Înregistrarea numerarului primit și crearea notelor de credit
- Tranzacționarea acțiunilor și gestionarea fuziunilor și achizițiilor
- Configurarea cumpărătorilor și aprobarea cererilor sau comenzilor de achiziție
Avantajele SoD
Unele dintre avantajele aplicării SoD în organizația dvs. sunt:
#1. Prevenirea și detectarea fraudelor
Organizațiile devin victime ale fraudei mai mult ca niciodată. Aceasta implică activități frauduloase, cum ar fi manipularea cecurilor, eliminarea numerarului, deturnarea activelor, falsificarea de documente, chitanțe falsificate, facturi, erori de înregistrare contabilă și multe altele.
Cu SoD, vă puteți asigura că nicio persoană sau grup nu este responsabil pentru îndeplinirea tuturor funcțiilor unei anumite sarcini. Acest lucru va descuraja oportunitatea de a comite fraudă și de a o ascunde. A avea mai mulți ochi pe o sarcină înseamnă că oricine poate detecta, raporta și poate ajuta la prevenirea fraudelor externe sau interne.
#2. Reducerea erorilor umane
Dacă implementați corect SoD în organizația dvs., veți observa probabil o reducere semnificativă a erorilor umane și a riscurilor aferente în procesele dumneavoastră financiare critice. Poate implica erori precum documentarea insuficientă a tranzacțiilor, forța de muncă redusă în contabilitate, greșeli de introducere a datelor, audituri neglijente etc.
Angajarea mai multor persoane în tranzacții critice crește în esență șansa ca un individ să observe orice eroare care a apărut și să o rezolve.
#3. Audituri îmbunătățite
Reducerea șanselor de riscuri și erori va îmbunătăți evidența pentru departamentul dvs. de finanțe, salarizare, contabilitate, IT sau securitate cibernetică. SoD vă va ajuta să vă asigurați că înregistrările sunt aranjate corect, eliminând probleme precum duplicarea, taxele de întârziere, riscurile de conformitate etc.
În acest fel, veți fi mai bine pregătiți pentru audituri, fie că sunt anuale, semestriale sau trimestriale. De asemenea, te vei simți mai încrezător înainte de a respecta reglementările și vei evita penalizările.
#4. Crește eficiența
Unii pot crede că adăugarea mai multor roluri va duce la ineficiențe și la costuri mai mari. Cu toate acestea, dacă planificați bine SoD, va promova eficiența. Se datorează faptului că împărțiți o sarcină în mai multe subsarcini, fiecare realizată de o persoană adecvată și specializată, cu o precizie și o viteză mai bune.
Acest lucru nu numai că scade riscurile, dar oferă și o eficiență mai mare în comparație cu cazul în care o singură persoană trebuie să îndeplinească întreaga sarcină. În plus, costul daunelor aduse companiei în absența SoD este mult mai mare decât ceea ce investești în angajarea mai multor personal.
Unele terminologii SoD
Pentru a înțelege mai mult SoD, trebuie să învățați despre următoarele terminologii:
#1. Conflicte SoD
Un conflict SoD poate apărea atunci când o persoană acționează împotriva interesului organizației și în interesul acesteia. Aceasta înseamnă că au dobândit mai multe roluri pentru a îndeplini mai multe funcții importante într-un proces. Acest lucru ar putea afecta integritatea procesului, precum și compania.
Conflictele SoD pot apărea în diferite domenii ale unei organizații, cum ar fi Order to Cash (O2C) sau Purchase to Pay (P2P). Pentru a atenua conflictele SoD, trebuie să analizați și să evaluați astfel de incidente. Organizațiile trebuie, de asemenea, să implementeze controale solide și să se protejeze de angajații care participă la activități ilegale.
O strategie bună pentru a preveni conflictele SoD ar putea fi aplicarea controalelor de acces bazate pe roluri (RBAC) în întreaga organizație. RBAC se asigură că permisiunile și controalele de acces sunt acordate utilizatorilor în funcție de rolurile și responsabilitățile lor în organizație, nu mai mult de atât.
În aceasta, puteți atribui o persoană autorizată să analizeze fiecare rol și permisiunea de acces care i-a fost atribuită atât pentru suprapuneri SoD inter-rol, cât și intra-rol.
Cu toate acestea, orice conflict nu înseamnă să provoace daune sau să ducă la acțiuni ilegale. Un utilizator ar putea să o facă accidental, din neatenție sau să îndeplinească o funcție necesară pentru compania care are nevoie de mai multe permisiuni.
Acesta este motivul pentru care companiile ar trebui să examineze amănunțit cazul și să își evalueze politicile de încălcare a SoD pentru a se asigura că conflictele nu se transformă în fraudă sau activități ilegale.
#2. Încălcare SoD
Încălcările SoD se pot întâmpla dacă angajatul unei organizații exploatează rolul atribuit și accesează intenționat informații sau efectuează o activitate interzisă. Aceasta înseamnă că încalcă politica internă a organizației sau reglementările externe.
Angajații pot efectua o încălcare SoD atunci când au câștigat controlul asupra mai multor pași ai procesului, depășind pașii permisi. Apoi, aceștia folosesc abuziv accesul în beneficiul lor.
Exemplu: o companie poate face o politică conform căreia persoana care angajează angajați nu poate distribui și salarii. Se datorează faptului că, dacă desfășoară ambele activități, ei ar putea să o folosească în beneficiul lor și să orchestreze fraude sau activități ilegale. Astfel, acest lucru se va transforma într-o încălcare SoD.
Așa arată o încălcare internă a SoD; haideți să înțelegem cum poate apărea o încălcare externă a SoD. De exemplu, un factor de decizie senior, cum ar fi CEO-ul unei organizații, se complace să manipuleze situațiile financiare, încălcând reglementările SOX.
Poate duce la amenzi uriașe pentru organizație, iar angajatul poate executa și o pedeapsă cu închisoarea. Acest lucru este dăunător pentru organizație în ceea ce privește reputația și costul.
Pentru a atenua încălcările SoD, o organizație trebuie să-și monitorizeze încălcările și activitatea fiecărui angajat. De asemenea, trebuie să-și actualizeze în continuare politicile în funcție de spațiul tehnologic în schimbare.
#3. SoD Matrix
Matricea SoD este o abordare pe care managerii o adoptă pentru a reduce complexitățile SoD. Acesta permite managerilor să distingă diferite responsabilități, roluri și riscuri într-o organizație.
În plus, matricea SoD poate detecta potențiale conflicte în cadrul organizației și poate ajuta la rezolvarea lor la timp, oferind în același timp securitate împotriva daunelor grave.
Matricele SoD sunt generate automat în companiile moderne care se bazează pe software-ul ERP. O matrice SoD generată se bazează pe sarcinile și rolurile unui utilizator definite în software-ul său ERP.
Aici, fiecare sarcină ar trebui să se potrivească cu un proces dintr-un anumit flux de lucru de tranzacție pentru a grupa sarcini și roluri, asigurându-se că niciun utilizator nu are permisiunea de a executa mai mult de un pas în fluxul de lucru.
Mai mult, o matrice SoD poate fi reprezentată printr-o diagramă în care rolurile utilizatorului sunt păstrate pe ambele axe – X și Y care semnifică conflicte SoD. De asemenea, mapează sarcinile și activitățile cu rolurile dintr-un flux de lucru pentru a permite echipelor de conformitate să separe responsabilitățile incompatibile.
Puteți crea fie o matrice SoD utilizând un software precum MS Excel, fie manual pe o foaie de hârtie. Ele pot fi create și folosind un instrument ERP.
Exemplu: Iată un exemplu despre cum puteți crea o matrice SoD pentru salarizare pentru un angajat. Puteți folosi orice semnificant precum da/nu, steaguri sau săgeți colorate, un semn de bifare etc. pentru roluri și responsabilități. Să folosim Y/N în următorul grafic.
ProcesAngajat Încorporarea angajaților Crearea cecurilor de plată Înlăturarea plăților Gestionarea beneficiilor Încorporarea angajaților1YNNNCrearea cecurilor de plată2NYYNCecarea plăților3NYYNMoarea beneficiilor4NNNY
În graficul de mai sus, se arată că angajatul 2 are autorizația de a crea salarii și de a le șterge. Deci, nu trebuie să schimbe beneficiile sau să angajeze angajați. Dacă fac acest lucru, atunci poate apărea un conflict SoD. În mod similar, angajatul 1 este responsabil pentru angajarea de noi angajați. Astfel, ei nu trebuie să creeze salarii, să gestioneze beneficiile sau să clarifice plăți. În caz contrar, poate apărea un conflict SoD.
Cum se implementează SoD
Deci, dacă vă gândiți să implementați SoD, dar sunteți confuz cu privire la unde să începeți, iată pașii pe care îi puteți urma:
Definiți procesele și politicile organizaționale
În primul rând, trebuie să definiți toate procesele organizaționale cheie de care sunt responsabili angajații. S-ar putea baza pe dimensiunea organizației dvs. și pe tipul de industrie. Odată ce ați definit fiecare proces și sarcină, enumerați și politicile dvs. Definiți politici pentru angajații dvs. interni, furnizorii externi și alte entități cu care aveți de-a face.
De exemplu, în departamentul dvs. de resurse umane, este posibil să doriți să enumerați sarcini precum angajarea și integrarea angajaților, crearea de beneficii și compensații, compensarea plăților, păstrarea evidenței etc. În mod similar, în departamentul de conturi, puteți enumera sarcini precum confirmarea livrării produselor, revizuirea facturilor. , semnarea cecurilor, plata facturilor etc.
În plus, va trebui să schițați politicile pe care le-ați făcut pentru departamentele și angajații dvs. De exemplu, un angajat care emite plăți nu trebuie să fie și cel care semnează cecuri. Un alt exemplu de politică ar putea fi – angajatul responsabil cu vânzarea unui produs nu trebuie să confirme și livrarea acestuia.
Creați o matrice SoD
După ce vă definiți sarcinile și politicile, trebuie să creați o matrice SoD pentru a enumera toate rolurile și sarcinile. Vă va ajuta să înțelegeți care angajați sunt responsabili pentru ce sarcini și dacă există vreo posibilitate de conflict sau încălcare SoD.
Graficul de mai sus vă va ajuta să creați o matrice SoD pentru organizația dvs. Dar uneori, devine greu să detectezi conflictele SoD, mai ales când reprezentările nu se potrivesc în mod adecvat cu sarcinile. Pentru aceasta, puteți lua două abordări în timp ce creați o matrice SoD:
Definiți clar toate sarcinile și etichetați fiecare conflict SoD: creează o matrice mare, dar oferă o mai bună acuratețe în reprezentarea vizuală a sarcinilor și rolurilor.
Omiteți unele sarcini sau grupați-le: vă va oferi o matrice condensată, care este ușor de analizat și de concentrat asupra conflictelor SoD. Cu toate acestea, ar putea duce la fals pozitive și erori care afectează rezultatele și conflictele SoD.
Atribuiți sarcini
Odată ce ați detectat toate conflictele SoD, începeți să atribuiți sarcini și sub-sarcini angajaților, valorificând conceptul de segregare a sarcinilor. Dacă întâlniți un scenariu în care nu puteți aplica SoD, găsiți o modalitate solidă de a controla și monitoriza angajatul care îndeplinește sarcina pentru a descuraja orice risc.
Gestionați și revizuiți
Este vital să vă monitorizați și să vă revizuiți sarcinile și rolurile pentru a vă asigura că SoD este bine implementat și că nu există niciun conflict sau încălcare potențială. Și dacă detectați vreuna, gestionați-vă rolurile și sarcinile reatribuindu-le din nou. Continuați monitorizarea pentru a preveni riscurile.
Concluzie
Segregarea sarcinilor (SoD) oferă o modalitate excelentă de a gestiona controalele interne și de a preveni frauda și erorile. Acesta va ajuta la asigurarea securității organizaționale, astfel încât nimeni să nu obțină control excesiv, suficient pentru a provoca daune organizației dvs. în ceea ce privește scurgerile de date, frauda sau activitățile ilegale. Așadar, implementați SoD în organizația dvs. și rămâneți în siguranță și vigilenți.
De asemenea, puteți explora câteva instrumente de detectare și prevenire a fraudelor pentru afacerile online.