techblik.com

用简单的词解释职责分离 (SoD)

Tweet
Share
Share
Pin
0 Shares

职责分离 (SoD) 是组织风险管理策略中的关键要素。

注册舞弊审查员协会 (ACFE) 2022 年的一份报告强调,公司因每个案件的员工舞弊而承担的损失约为 1,783,000 美元。

这解释了为什么现代企业需要在这个欺诈、诈骗和错误日益增多的时代进行可持续的风险管理。

SoD 旨在控制、管理甚至减轻这些风险,以通过提高安全性和意识来实现更好的组织控制。

在本文中,我将讨论什么是 SoD、它的重要性以及与之相关的其他关键术语。

那么,让我们开始学习如何夺回控制权吧!

什么是职责分离?

职责分离 (SoD) 是组织风险管理和内部控制的一个重要概念,其中不止一个人负责完成一项任务的不同部分。 它的实施是为了防止信息滥用、欺诈、盗窃和其他与安全相关的风险。

虽然这项任务可以由一个人完成,但它被分解成多个部分。 这有助于确保没有一个人单独控制任务或过度控制,足以将控制滥用于未经授权的目的或欺诈活动。 相反,它将由至少两个人共享。

今天,SoD在会计、金融、工资、行政等各​​个领域得到实施。在政治上,它成为民主国家的三权分立,政府分为司法、行政和立法机关。

风险管理中的 SoD

SoD 的工作原则是分担责任,经营一个组织或企业不能是一个人的工作。 您不应该相信一个人可以完全控制执行可能导致欺诈、错误或损害公司声誉的任务。

事实上,SoD 是风险管理和企业遵守 2002 年萨班斯-奥克斯利法案 (SOX) 等法规的重要组成部分。

将多名负责人员的职责分开可以降低员工或第三方的机会:

  • 滥用组织机密信息
  • 窃取资金
  • 伪造记录(如财务)以误导利益相关者或抬高股价
  • 在涉嫌虐待后发起报复运动
  • 参与企业间谍活动

如果您不采用像 SoD 这样的安全策略,它可能会在财务、基于合规的处罚和品牌形象方面对您的组织造成重大损害。 这就是为什么建议在整个企业实施 SoD,从会计和工资单到信息技术 (IT) 和网络安全部门。

  如何在没有设备的情况下取消 Amazon FreeTime

SoD 的例子

让我们看一些可以应用 SoD 的示例。

会计

在会计中,组织可以禁止个人获得隐藏资产和财务错误的过度权力。

SoD 将要求您彻底分析组织中的所有会计角色并分离职责,以便同一个人无法完全控制给定职能。 例如,不得允许同一个人接收支票并记录收到的支票。

IT 和网络安全

SoD 策略有助于防止 IT 部门的访问控制风险。 您分离工作流职责,确保同一组或同一个人不会获得多重访问权限。

如果一个人获得超出其职责范围的权力,他们可能会滥用权力并将信息暴露给外人或授予他们访问权限。 与此同时,其他人对此一无所知。

这种情况可能是灾难性的。 例如,不得允许同一个人接收来自安全系统的警报以及管理该系统的访问权限。

合规与控制

实施可靠的 SOD 策略可以帮助消除员工有意或无意的错误。 您还可以捕获欺诈性文件(如果有)。 这样,您可以保护您的组织免受合规性违规行为的影响。 例如,您必须让同一个人负责财务信息的归档和审计。

其他例子

同一个人不应负责:

  • 创建和批准请购单
  • 创建和批准供应商发票
  • 准备发票并将销售交易录入分类账
  • 支付工资和雇用员工
  • 记录收到的现金并创建贷记凭证
  • 交易股票和管理并购
  • 设置采购员并批准请购单或采购订单

SoD的优势

在您的组织中应用 SoD 的一些优势是:

#1。 欺诈预防和检测

组织比以往任何时候都更容易成为欺诈的受害者。 它涉及欺诈活动,如篡改支票、盗取现金、挪用资产、伪造文件、伪造收据、发票、会计记录错误等。

使用 SoD,您可以确保没有一个人或一个团队负责执行给定任务的所有功能。 这将阻止实施欺诈和隐藏欺诈的机会。 更多地关注一项任务意味着任何人都可以检测、报告并帮助防止外部或内部欺诈。

#2。 减少人为错误

如果您在组织中正确实施 SoD,您可能会发现关键财务流程中的人为错误和相关风险显着减少。 它可能涉及交易记录不足、会计人力不足、数据输入错误、审计不慎等错误。

在关键交易中雇用多个人实质上增加了一个人注意到发生的任何错误并解决它的机会。

#3。 改进审计

降低风险和错误的可能性将改善您的财务、薪资、会计、IT 或网络安全部门的记录保存。 SoD 将有助于确保正确安排记录,消除重复、滞纳金、合规风险等问题。

这样,您将为审计做好更好的准备,无论是年度审计、半年审计还是季度审计。 在遵守法规和避免处罚之前,您也会更有信心。

#4。 提高效率

有些人可能认为增加更多角色会导致效率低下和成本增加。 但是,如果你规划好 SoD,它会提升效率。 这是因为您将一项任务划分为多个子任务,每个子任务都由合适的、专门的人员以更高的准确性和速度执行。

与必须由一个人执行整个任务的情况相比,这不仅可以降低风险,还可以提供更高的效率。 此外,在没有 SoD 的情况下,公司的损失成本远远超过您在雇用更多人员方面的投资。

一些 SoD 术语

要更多地了解 SoD,您必须了解以下术语:

#1。 SoD 冲突

当一个人的行为违背组织的利益和他们的利益时,SoD 冲突就会上升。 这意味着他们已经获得了多个角色,以便在流程中执行多个重要功能。 这样做可能会影响流程的完整性以及公司。

SoD 冲突可能发生在组织的不同领域,例如订单到现金 (O2C) 或采购到付款 (P2P)。 要缓解 SoD 冲突,您必须分析和评估此类事件。 组织还必须实施可靠的控制并保护自己免受员工参与非法活动的侵害。

  如何在 PHP 客户端中使用 techblik.com API

防止 SoD 冲突的一个好策略是在整个组织中应用基于角色的访问控制 (RBAC)。 RBAC 确保根据用户在组织中的角色和职责给予访问权限和控制,仅此而已。

在此,您可以指派授权人员分析分配给他们的每个角色和访问权限,以了解角色间和角色内 SoD 重叠。

但是,每一次冲突并不意味着造成损害或导致非法行为。 用户可能不小心、粗心地这样做,或者为需要更多权限的公司执行所需的功能。

这就是为什么公司应该彻底审查案件并评估他们的 SoD 违规政策,以确保冲突不会变成欺诈或非法活动。

#2。 违反 SoD

如果组织的员工利用其分配的角色并故意访问信息或执行禁止的活动,则可能会发生违反 SoD 的情况。 这意味着他们违反了组织的内部政策或外部法规。

当员工获得超过允许步骤的多个流程步骤的控制权时,他们可能会违反 SoD。 接下来,他们为了自己的利益滥用访问权限。

示例:公司可以制定一项政策,规定雇用员工的人不能同时发放薪水。 这是因为如果他们执行这两种活动,他们可能会利用它来谋取私利并策划欺诈或非法活动。 因此,这将变成 SoD 违规。

这就是内部 SoD 违规的样子; 让我们了解如何发生外部 SoD 违规。 例如,像组织的首席执行官这样的高级决策者沉迷于操纵财务报表,违反了 SOX 法规。

这可能会给组织带来巨额罚款,员工也可能会被判入狱。 这对组织的声誉和成本而言是有害的。

为了减少 SoD 违规,组织必须监控他们的违规行为和每个员工的活动。 他们还必须随着技术空间的变化不断更新政策。

#3。 SOD矩阵

SoD 矩阵是管理人员为降低 SoD 复杂性而采用的一种方法。 它使管理人员能够区分组织中的不同职责、角色和风险。

此外,SoD 矩阵可以检测整个组织的潜在冲突并帮助及时解决这些冲突,同时提供安全性以防止严重损害。

SoD 矩阵在依赖 ERP 软件的现代公司中自动生成。 生成的 SoD 矩阵基于用户在其 ERP 软件中定义的任务和角色。

在这里,每项任务都应与给定交易工作流中的流程相匹配,以便对任务和角色进行分组,确保不允许任何用户在工作流中执行多个步骤。

此外,SoD 矩阵可以用图表表示,其中用户角色保留在两个轴上 – X 和 Y 表示 SoD 冲突。 此外,它将职责和活动映射到工作流中的角色,以使合规团队能够分离不兼容的职责。

您可以使用 MS Excel 等软件或在纸上手动创建 SoD 矩阵。 它们也可以使用 ERP 工具创建。

示例:这是一个示例,说明如何为员工的工资单创建 SoD 矩阵。 您可以使用任何指示符,如是/否、彩色旗帜或箭头、刻度线等来表示角色和职责。 让我们在下图中使用 Y/N。

ProcessEmployee入职员工创建薪水结算付款管理福利入职员工1YNNN创建薪水支票2NYYN清算付款3NYYN管理福利4NNNY

在上图中,显示员工 2 有权创建薪水并清除它们。 因此,他们不得更改福利或雇用员工。 如果他们这样做,则可能会出现 SoD 冲突。 同样,员工 1 负责雇用新员工。 因此,他们不得创造薪水、管理福利或清算付款。 否则,可能会发生 SoD 冲突。

  如何使用模拟器在 NVIDIA SHIELD 电视上玩复古游戏

如何实施 SoD

因此,如果您正在考虑实施 SoD 但不知道从哪里开始,可以遵循以下步骤:

定义组织流程和政策

首先,您必须定义员工负责的所有关键组织流程。 它可以基于您组织的规模和行业类型。 定义每个流程和任务后,还要列出您的政策。 为您的内部员工、外部供应商和您打交道的其他实体制定政策。

例如,在您的人力资源部门,您可能希望列出诸如雇用和入职员工、创造福利和补偿、清算付款、记录保存等任务。同样,在会计部门,您可以列出诸如产品交付确认、审查发票等任务、签署支票、支付发票等。

此外,您还需要概述您为部门和员工制定的政策。 例如,签发付款的员工不得同时是签署支票的员工。 政策的另一个例子可能是——负责销售产品的员工不得同时确认其交付。

创建 SoD 矩阵

定义任务和策略后,您必须创建一个 SoD 矩阵来列出所有角色和任务。 它将帮助您了解哪些员工负责哪些任务,以及是否存在 SoD 冲突或违规的可能性。

上图将帮助您为您的组织创建 SoD 矩阵。 但有时,检测 SoD 冲突变得很困难,尤其是当表示与任务不恰当匹配时。 为此,您可以在创建 SoD 矩阵时采用两种方法:

清楚地定义所有任务并标记每个 SoD 冲突:它创建了一个大矩阵,但在视觉上表示任务和角色时提供了更高的准确性。

省略一些任务或将它们分组:它将为您提供一个压缩矩阵,便于分析和关注 SoD 冲突。 但是,它可能会导致影响 SoD 结果和冲突的误报和错误。

分配任务

一旦检测到所有 SoD 冲突,就开始向员工分配任务和子任务,利用职责分离的概念。 如果您遇到无法应用 SoD 的场景,请找出一种可靠的方法来控制和监控执行任务的员工,以阻止任何风险。

管理和审查

监控和审查您的任务和角色以确保 SoD 得到很好的实施并且没有潜在的冲突或违规行为是至关重要的。 如果您检测到任何问题,请通过重新分配它们来管理您的角色和任务。 持续监测,防范风险。

结论

职责分离 (SoD) 提供了一种管理内部控制和防止欺诈和错误的绝佳方法。 它将有助于确保组织安全,使任何人都不会获得过多的控制权,而这些控制权足以在数据泄露、欺诈或非法活动方面对您的组织造成损害。 因此,在您的组织中实施 SoD 并保持安全和警惕。

您还可以探索一些用于在线业务的欺诈检测和预防工具。

You might also like

2022 年可供选择的 9 家最佳 SD-WAN 供应商

使用 Sync 存储文档并与队友协作

HandsFree 让您在 Mac 上拨打和接听电话