用简单的词解释职责分离 (SoD)

作者
Tweet
Share
Share
Pin
0 Shares

职责分离的重要性与实践

职责分离(SoD)是现代组织风险管理中不可或缺的一环。 注册舞弊审查员协会(ACFE)在2022年发布的一份报告中指出,员工舞弊给公司造成的平均损失高达约178.3万美元。 在这样一个欺诈、诈骗和错误频发的时代,可持续的风险管理对企业来说至关重要。

SoD 的核心目的在于控制、管理,甚至减少这些风险,通过提升安全性和风险意识,达到更好的组织控制效果。本文将深入探讨 SoD 的定义、其重要性以及相关的关键概念。让我们一起了解如何重新掌握控制权。

什么是职责分离?

职责分离 (SoD) 是一种在组织风险管理和内部控制中至关重要的策略。它要求一项任务的不同部分由多个人负责完成。这种做法旨在防止信息滥用、欺诈、盗窃以及其他安全风险。

尽管一项任务可能由一个人完成,但通过将其分解为多个部分,可以确保没有人能够单独控制整个任务或掌握过多的权力,从而避免滥用权力或进行欺诈活动。相反,任务的控制权将在至少两人之间分配。

如今,SoD 被广泛应用于会计、金融、工资管理以及行政等多个领域。在政治层面,它也体现为民主国家的三权分立,即将政府权力划分为司法、行政和立法三个分支。

风险管理中的职责分离

SoD 的基本原则是责任分担,一个组织或企业的运营不应由一个人全权负责。 我们不应过度信任某人可以完全控制那些可能导致欺诈、错误或损害公司声誉的任务。

事实上,SoD 是风险管理和企业遵守《萨班斯-奥克斯利法案》(SOX)等法规的重要组成部分。

通过分离多名负责人员的职责,可以显著降低员工或第三方进行以下行为的风险:

  • 滥用组织机密信息
  • 盗窃资金
  • 伪造财务记录以误导利益相关者或抬高股价
  • 在受到指责后发起报复行动
  • 参与商业间谍活动

若不采取类似 SoD 的安全措施,您的组织可能会在财务、合规处罚和品牌形象方面遭受重大损失。 因此,建议在整个企业实施 SoD,从会计和工资单到信息技术 (IT) 和网络安全部门。

职责分离的实例

以下列举一些 SoD 的实际应用示例:

会计

在会计工作中,组织应避免赋予个人过大的权力,使其能够隐藏资产或财务错误。 SoD 要求对组织内的所有会计岗位进行详细分析,并分离职责,防止同一人完全控制某个职能。例如,不允许同一人接收支票并记录已收到的支票。

IT 与网络安全

SoD 策略有助于预防 IT 部门的访问控制风险。它通过分离工作流程职责,确保同一组人或同一个人不会获得多重访问权限。 如果某人获得了超出其职责范围的权力,他们可能会滥用权力,将信息泄露给外部人员,或授予他人访问权限,而其他人对此毫不知情。这种情况可能造成灾难性的后果。 例如,不允许同一个人接收来自安全系统的警报,并管理该系统的访问权限。

合规与控制

实施健全的 SoD 策略可以帮助消除员工有意或无意的错误。它还有助于识别欺诈性文件,从而保护您的组织免受合规违规行为的影响。例如,不应由同一人负责财务信息的存档和审计工作。

其他示例

以下是一些不应由同一个人负责的示例:

  • 创建和批准采购申请
  • 创建和批准供应商发票
  • 准备发票并将销售交易录入分类账
  • 支付工资和雇佣员工
  • 记录收到的现金并创建贷记凭证
  • 交易股票和管理并购
  • 设置采购员并批准采购申请或采购订单

SoD 的优势

在组织中应用 SoD 的一些主要优势包括:

#1. 欺诈预防与检测

如今,组织比以往任何时候都更容易成为欺诈的受害者。欺诈活动包括篡改支票、盗窃现金、挪用资产、伪造文件、伪造收据、发票和会计记录等。 通过使用 SoD,您可以确保没有个人或团队负责执行某项任务的所有功能。 这将大大减少实施和隐藏欺诈的机会。更多人关注一项任务,意味着任何人都有机会发现、报告并协助预防外部或内部欺诈。

#2. 减少人为错误

在组织中正确实施 SoD 后,您可能会发现关键财务流程中的人为错误和相关风险显著减少。这些错误可能包括交易记录不完整、会计人手不足、数据输入错误以及审计疏忽等。在关键交易中安排多人参与,可以显著增加发现并解决错误的可能性。

#3. 改进审计

降低风险和错误的发生率将有助于改进您的财务、工资、会计、IT 或网络安全部门的记录管理。 SoD 有助于确保记录的正确安排,消除重复、滞纳金和合规风险等问题。这样,您将为年度、半年或季度审计做好更充分的准备,并且在遵守法规和避免处罚方面将更有信心。

#4. 提高效率

有些人可能认为增加更多角色会导致效率低下和成本增加。 但是,如果合理规划 SoD,它反而会提高效率。这是因为您可以将一项任务划分为多个子任务,每个子任务都由合适的、专业的人员以更高的准确性和速度执行。与必须由一个人执行整个任务的情况相比,这不仅可以降低风险,还可以提高效率。而且,在没有 SoD 的情况下,公司的损失成本将远远超过您在雇佣更多人员方面的投资。

一些 SoD 的相关术语

为了更深入地理解 SoD,您需要了解以下相关术语:

#1. SoD 冲突

当个人的行为违背组织的利益时,就会产生 SoD 冲突。这意味着他们拥有多个角色,以便在流程中执行多个关键功能。这可能会影响流程的完整性以及公司的利益。

SoD 冲突可能发生在组织的各个领域,例如订单到现金 (O2C) 或采购到付款 (P2P)。 为了缓解 SoD 冲突,必须分析和评估这些情况。组织还必须实施可靠的控制措施,保护自己免受员工参与非法活动的侵害。

防止 SoD 冲突的一个有效策略是在整个组织中采用基于角色的访问控制 (RBAC)。RBAC 确保仅根据用户在组织中的角色和职责授予访问权限和控制。在此,您可以指派授权人员分析分配给他们的每个角色和访问权限,以了解角色间和角色内的 SoD 重叠。

然而,并非所有冲突都意味着会造成损害或导致非法行为。用户可能不小心、粗心地这样做,或者为需要更多权限的公司执行必要的功能。因此,公司应彻底审查每个案例,并评估其 SoD 违规政策,以确保冲突不会演变成欺诈或非法活动。

#2. 违反 SoD

当组织的员工利用其被分配的角色,故意访问信息或执行被禁止的活动时,可能会发生违反 SoD 的情况。这意味着他们违反了组织的内部政策或外部法规。 当员工获得对多个流程步骤的控制权时,他们可能会违反 SoD,并为了自身利益滥用访问权限。

例如,公司可以制定一项政策,规定雇用员工的人员不得同时发放薪水,因为如果他们执行这两个操作,他们可能会利用职位之便进行欺诈或非法活动。这就构成了 SoD 违规。这是内部 SoD 违规的一个示例。 外部 SoD 违规的一个示例是,当组织的高级决策者(如首席执行官)操纵财务报表时,违反了 SOX 法规。这可能会给组织带来巨额罚款,相关人员也可能面临牢狱之灾,并严重损害组织的声誉和成本。

为了减少 SoD 违规行为,组织必须监控自身的违规行为和每位员工的活动,并根据技术发展不断更新政策。

#3. SoD 矩阵

SoD 矩阵是管理人员用于降低 SoD 复杂性的方法。它可以帮助管理人员区分组织中的不同职责、角色和风险。此外,SoD 矩阵能够检测整个组织的潜在冲突,并及时解决这些冲突,同时提供安全性以防止严重损害。

SoD 矩阵在依赖 ERP 软件的现代公司中可以自动生成。生成的 SoD 矩阵基于用户在 ERP 软件中定义的任务和角色。在此,每项任务都应与给定交易工作流中的流程相匹配,以便对任务和角色进行分组,确保不允许任何用户在工作流中执行多个步骤。

此外,SoD 矩阵可以用图表表示,其中用户角色保留在两个轴上——X 和 Y 表示 SoD 冲突。它还可以将职责和活动映射到工作流中的角色,以便合规团队可以分离不兼容的职责。 您可以使用 MS Excel 等软件手动创建 SoD 矩阵,也可以使用 ERP 工具创建。

示例:以下是一个如何为员工工资单创建 SoD 矩阵的示例。 您可以使用任何指示符,如是/否、彩色标记或箭头、刻度线等来表示角色和职责。在下图中,我们使用 Y/N。

流程 员工入职 创建薪水 结算付款 管理福利
员工入职 1 Y N N N
创建薪水支票 2 N Y Y N
清算付款 3 N Y Y N
管理福利 4 N N N Y

在上图中,员工 2 被授权创建工资并清算付款。 因此,他们不应更改福利或雇用员工。 如果他们这样做,则可能会出现 SoD 冲突。同样,员工 1 负责雇用新员工。 因此,他们不应创建工资、管理福利或清算付款。 否则,可能会发生 SoD 冲突。

如何实施 SoD

如果您正在考虑实施 SoD,但不知从何入手,可以遵循以下步骤:

定义组织流程和政策

首先,您必须定义员工负责的所有关键组织流程。 这取决于您组织的规模和行业类型。在定义每个流程和任务后,还需列出您的政策。为您的内部员工、外部供应商和您打交道的其他实体制定政策。

例如,在您的人力资源部门,您可能希望列出如雇用和入职员工、创建福利和薪酬、结算付款和记录保存等任务。同样,在会计部门,您可以列出诸如确认产品交付、审核发票、签署支票和支付发票等任务。

此外,您还需要概述您为部门和员工制定的政策。 例如,签发付款的员工不应同时是签署支票的员工。政策的另一个示例可能是:负责销售产品的员工不应同时确认其交付。

创建 SoD 矩阵

在定义了任务和策略后,您必须创建一个 SoD 矩阵来列出所有角色和任务。 它将帮助您了解哪些员工负责哪些任务,以及是否存在 SoD 冲突或违规的可能性。

上图将帮助您为您的组织创建 SoD 矩阵。但有时,检测 SoD 冲突变得很困难,尤其是当表示与任务不恰当匹配时。 为此,您可以在创建 SoD 矩阵时采用两种方法:

清楚地定义所有任务并标记每个 SoD 冲突:它将创建一个大矩阵,但在可视化任务和角色时提供更高的准确性。

省略某些任务或将它们分组:这会为您提供一个简化的矩阵,便于分析和关注 SoD 冲突。 但是,它可能导致影响 SoD 结果和冲突的误报和错误。

分配任务

一旦检测到所有 SoD 冲突,就开始利用职责分离的概念,向员工分配任务和子任务。 如果您遇到无法应用 SoD 的情况,请找到一种可靠的方法来控制和监视执行任务的员工,以防止任何风险。

管理和审查

监控和审查您的任务和角色,确保 SoD 得到良好的实施,并且没有潜在的冲突或违规行为至关重要。如果您发现任何问题,请通过重新分配任务来管理您的角色和任务。 持续监控,防范风险。

结论

职责分离 (SoD) 提供了一种管理内部控制和防止欺诈和错误的绝佳方法。 它将有助于确保组织安全,防止任何人获得过多的控制权,从而避免数据泄露、欺诈或非法活动给您的组织造成损害。因此,请务必在您的组织中实施 SoD,并保持安全和警惕。

此外,您还可以探索一些用于在线业务的欺诈检测和预防工具。