简单解释职责分离(SoD)
职责分离(SoD)是组织风险管理策略中至关重要的一部分。
协会注册欺诈审查师(ACFE)的一份报告指出,每起雇员欺诈案件给公司造成的损失约为178.3万美元。
这就解释了为什么当今的企业需要在这个日益增长的欺诈、骗局和错误时代拥有可持续性的风控。
而职责分离的目标是控制、管理甚至减轻这些风险,以实现更好的组织控制,提高安全性和意识。
在本文中,我将讨论什么是职责分离,其重要性以及与之相关的其他关键术语。
所以,让我们开始学习如何重新获得控制权吧!
什么是职责分离?
职责分离(SoD)是组织风险管理和内部控制的重要概念,其中多个人员被指定负责完成任务的不同部分。它的实施旨在防止信息滥用、欺诈、盗窃和其他与安全相关的风险。
尽管一个人可以完成任务,但任务被分解成若干部分。这有助于确保没有单个人完全控制任务或具有过多的控制权,足以滥用控制权进行未经授权的目的或欺诈活动。相反,至少需要两个人共同分享。
如今,职责分离在会计、财务、行政等各个领域得到了实施。在政治领域,它成为民主国家权力分立的体现,政府被划分为司法、行政和立法三个部门。
职责分离在风险管理中的作用
职责分离基于共同责任的原则,企业或企业的运营不应该是一个人的任务。您不应该相信一个人完全控制执行可能导致欺诈、错误或损害公司声誉的任务。
实际上,职责分离是风险管理和企业合规的重要组成部分,与《2002年美国《萨班斯-奥克斯法案》(SOX)等法规有关。
将职责分派给多个负责人员,可以降低员工或第三方:
- 滥用组织机密信息
- 盗窃资金
- 伪造记录(如财务记录)误导利益相关者或抬高股票价格
- 在遭到指控的虐待后发动复仇行动
- 参与企业间谍活动
如果您不采用像职责分离这样的安全策略,可能会对您的组织造成重大损失,包括财务损失、合规处罚和品牌形象的损害。因此,建议在整个企业范围内实施职责分离,从会计和工资核算到信息技术(IT)和网络安全部门。
职责分离的例子
让我们看一些可以应用职责分离的例子。
会计
在会计领域,组织可以禁止个别人拥有隐藏资产和财务错误的过多权力。
职责分离要求您对组织中的所有会计角色进行彻底分析,并分离职责,以便同一个人不能完全控制某一给定功能。例如,同一个人不应被允许同时收取支票和记录收到的支票。
信息技术与网络安全
职责分离政策可以帮助预防信息技术部门的访问控制风险。您需要分离工作流职责,确保不会将同一组或同一人员赋予多个访问权限。
如果一个人获得超出其职责范围的权限,他们可能会滥用这种权限,并将信息透露给外部人员或授予他们访问权限。同时,其他人对此一无所知。
这种情况可能是灾难性的。例如,同一个人不能既接收安全系统的警报,又管理该系统的访问权限。
合规和控制
实施可靠的SOD战略可以帮助消除员工的错误,无论是故意的还是无意的。您还可以发现任何欺诈性申报。这样,您就可以使组织免受合规违规的影响。例如,您必须让同一个人负责提交财务信息并进行审计。
其他例子
同一个人不应该负责:
– 创建和批准申请
– 创建和批准供应商发票
– 准备链接_4并将销售交易录入分类帐
– 支付工资和雇佣员工
– 记录收到的现金和创建贷项通知单
– 交易股票和管理并购
– 设置买家并批准申请或采购订单
SoD的优势
在您的组织中应用SoD的一些优势包括:
1. 防止和检测欺诈
组织比以往更容易成为欺诈的受害者。这涉及欺诈活动,如支票篡改、现金窃取、资产侵占、文件伪造、虚假收据、发票、会计记录错误等。
通过SoD,您可以确保没有单个人或团队负责执行给定任务的所有功能。这将阻止欺诈和掩盖欺诈的机会。多人参与任务意味着任何人都可以发现、报告和帮助防止内部或外部欺诈。
2. 减少人为错误
如果您在组织中正确实施SoD,您很可能会看到关键财务流程中人为错误和相关风险的显著减少。这可能涉及交易不充分的文档记录、会计部门人手不足、数据输入错误、粗心的审计等错误。
在关键交易中雇佣多个人员基本上增加了一个人员注意到任何错误并予以解决的机会。
3. 改进审计
降低风险和错误的机会将改进财务、工资、链接_5、IT或网络安全部门的记录。SoD将有助于确保记录被正确地整理,消除重复、滞纳金、合规风险等问题。
这样,您将更好地准备年度、半年度或季度审计。您也会在遵守法规和避免罚款之前更有信心。
4. 提高效率
有人可能认为增加角色会导致低效和更高的成本。然而,如果您计划良好的SoD,它将促进效率。这是因为您将一个任务分解成多个子任务,每个子任务由适合、专业的个人完成,准确性和速度更高。
这不仅降低了风险,而且与一个人执行整个任务的情况相比,提供了更高的效率。此外,在没有SoD的情况下,对公司的损害成本远远超过您在雇佣更多人员方面的投资。
一些SoD术语
要更好地理解SoD,您必须了解以下术语:
#1. SoD冲突
当一个人违背组织的利益而符合自己的利益时,就会出现SoD冲突。这意味着他们为了执行一个过程中的多个重要功能而获得了多个角色。这样做有可能对过程的完整性以及公司产生影响。
SoD冲突可能发生在组织的不同领域,比如订单到现金(O2C)或采购到支付(P2P)。为了缓解SoD冲突,您必须分析和评估此类事件。组织还必须实施坚实的控制措施,以使自己免受员工参与非法活动的损害。
预防SoD冲突的一个好策略可能是在整个组织中应用基于角色的访问控制(RBAC)。RBAC确保根据用户在组织中的角色和责任分配访问权限和控制,而不是更多。
在这种情况下,您可以指定授权个人分析分配给他们的每个角色和访问权限,以便进行角色间和角色内SoD重叠。
然而,并不是每个冲突都意味着会造成损害或导致非法行为。用户可能会意外地这样做,出于粗心大意,或者为了公司需要更多权限而执行所需功能。
这就是为什么公司应该仔细审查案件并评估其SoD违规政策,以确保冲突不会变成欺诈或非法活动。
#2. SoD违规
如果组织的员工利用其分配的角色有意访问信息或执行禁止活动,则可能发生SoD违规。这意味着他们违反了组织的内部政策或外部法规。
当员工控制了多个过程步骤,超出了允许的步骤,并且滥用访问权限以获得自己的利益时,他们就会进行SoD违规。
例如:公司可以制定一项政策,即负责雇佣员工的人不得分发工资支票。这是因为如果他们执行两种活动,他们可能会利用它来获得自己的利益并策划欺诈或非法活动。因此,这将成为SoD违规。
这就是内部SoD违规的情况;现在我们来了解一下外部SoD违规可能发生的情况。例如,组织的高级决策者,如CEO,参与操纵财务报表,违反SOX法规。
这可能导致组织巨额罚款,而员工也可能被判处监禁。这对组织的声誉和成本都是有害的。
为了缓解SoD违规,组织必须监控违规行为和每个员工的活动。他们还必须根据不断变化的技术环境不断更新他们的政策。
#3. SoD矩阵
SoD矩阵是管理者采用的一种方法,以减少SoD复杂性。它使管理者能够区分组织中的不同责任、角色和风险。
此外,SoD矩阵还可以检测组织中潜在的冲突,并帮助及时解决冲突,同时提供严重损害的安全保障。
现代公司依赖于ERP software的公司会自动生成SoD矩阵。生成的SoD矩阵基于用户在其ERP软件中定义的任务和角色。
在这里,每个任务都应与给定交易工作流程中的一个流程相匹配,以便对任务和角色进行分组,确保任何用户不被允许在工作流程中执行多个步骤。
此外,SoD矩阵可以通过绘图来表示,其中用户角色保留在X轴和Y轴上,表示SoD冲突。它还将职责和活动映射到工作流程中的角色,以使合规团队能够分离不兼容的责任。
您可以使用诸如MS Excel之类的软件或手动在纸上创建SoD矩阵。也可以使用ERP工具创建。
示例:以下是关于如何为员工的工资单创建SoD矩阵的示例。您可以使用任何标识符,如是/否、彩色旗帜或箭头、勾号等来表示角色和责任。让我们在以下图中使用是/否。
| 流程 | 员工 | 员工入职 | 创建工资单 | 结算付款 | 福利管理 |
| 员工入职 | 1 | 是 | 否 | 否 | 否 |
| 创建工资单 | 2 | 否 | 是 | 是 | 否 |
| 结算付款 | 3 | 否 | 是 | 是 | 否 |
| 福利管理 | 4 | 否 | 否 | 否 | 是 |
在上图中,显示了员工2有权限创建工资单并结算付款。因此,他们不得更改福利或雇佣员工。如果他们这样做,那么可能会发生SoD冲突。同样,员工1负责雇佣新员工。因此,他们不得创建工资单、管理福利或结算付款。否则,可能会发生SoD冲突。
如何实施SoD
因此,如果您想要实施SoD但对从何处开始感到困惑,以下是您可以遵循的步骤:
#1. 定义组织过程和政策
首先,您必须定义员工负责的所有关键组织流程。这可能基于您的组织规模和行业类型。一旦您定义了每个流程和任务,还要列出您的政策。为您的内部员工、外部供应商和其他与您打交道的实体制定政策。
例如,在您的人力资源部门中,您可能希望列出招聘和雇佣员工、制定福利和薪酬、结算付款、记录等任务。同样,在财务部门中,您可以列出产品交付确认、审核发票、签发支票、支付发票等任务。
此外,您还需要概述您为部门和员工制定的政策。例如,负责发放付款的员工不能同时签署支票。另一个政策的例子可能是,负责销售产品的员工不能同时确认其交付。
#2. 创建SoD矩阵
在定义任务和政策之后,您必须创建一个SoD矩阵,列出所有角色和任务。它将帮助您了解哪些员工负责哪些任务,以及是否存在SoD冲突或违规的可能性。
上面的图表将帮助您为组织创建SoD矩阵。但有时,当表示不完全匹配任务时,检测SoD冲突变得困难。为此,在创建SoD矩阵时可以采取两种方法:
清晰定义所有任务并为每个SoD冲突加标签:这将创建一个大矩阵,但在可视化表示任务和角色方面提供更准确的结果。
省略某些任务或将其分组:这将为您提供一个简化的矩阵,易于分析和关注SoD冲突。然而,它可能导致错误的阳性,影响SoD结果和冲突。
#3. 分配任务
一旦您检测到所有的SoD冲突,开始分配任务和子任务给员工,利用分离职责的概念。如果您遇到无法应用SoD的情况,请找出一种可靠的方法来控制和监控执行任务的员工,以防止任何风险。
#4. 管理和审查
监控和审查任务和角色对于确保SoD的有效实施以及避免潜在的冲突或违规非常重要。如果您发现任何问题,请重新分配角色和任务。继续监控以防止风险。
结论
职责分离(SoD)为管理内部控制和防止欺诈和错误提供了一个极好的方式。它将帮助确保组织的安全性,以免有人获得过多的控制权,从而对您的组织造成数据泄露、欺诈或非法活动的损害。因此,在您的组织中实施SoD,并保持安全和警惕。
您还可以了解一些在线业务的fraud detection and prevention tools。
