Segregace povinností (SoD) je klíčovým prvkem ve strategiích řízení rizik organizace.
Zpráva Asociace certifikovaných vyšetřovatelů podvodů (ACFE) z roku 2022 zdůrazňuje, že společnosti nesou ztráty přibližně 1 783 000 USD způsobené podvody zaměstnanců na jeden případ.
To vysvětluje, proč moderní podniky potřebují mít udržitelné řízení rizik v této době rostoucích podvodů, podvodů a chyb.
A SoD si klade za cíl kontrolovat, řídit a dokonce zmírňovat tato rizika, aby měl lepší organizační kontroly se zvýšenou bezpečností a povědomím.
V tomto článku proberu, co je SoD, jeho význam a další klíčové terminologie s ním spojené.
Takže začněme a naučme se, jak získat zpět kontrolu!
Table of Contents
Co je segregace povinností?
Oddělení povinností (SoD) je důležitým konceptem řízení rizik a vnitřních kontrol organizace, kde je více než jedna osoba odpovědná za dokončení různých částí úkolu. Je implementován, aby zabránil zneužití informací, podvodům, krádežím a dalším rizikům souvisejícím s bezpečností.
Úkol však může splnit jedna osoba, ale je rozdělen na části. To pomáhá zajistit, že žádný jednotlivec nebude mít výhradní kontrolu nad úkolem nebo nadměrnou kontrolu, která by byla dostatečná ke zneužití kontroly k neoprávněným účelům nebo k podvodným činnostem. Místo toho jej budou sdílet alespoň dva jednotlivci.
Dnes se SoD implementuje v různých oblastech, jako je účetnictví, finance, mzdy, administrativa atd. V politice se stává dělbou moci v demokraciích, kde je vláda rozdělena na soudnictví, výkonnou a zákonodárnou moc.
SoD v řízení rizik
SoD funguje na principu sdílené odpovědnosti a že řízení organizace nebo podnikání nesmí být náplní práce jednoho jednotlivce. Neměli byste důvěřovat jediné osobě, že získá úplnou kontrolu nad prováděním úkolu, který může potenciálně vést k podvodům, chybám nebo poškození pověsti vaší společnosti.
Ve skutečnosti je SoD zásadním prvkem řízení rizik a dodržování předpisů, jako je Sarbanes-Oxley Act (SOX) z roku 2002.
Rozdělení povinností mezi více odpovědných pracovníků snižuje šance zaměstnance nebo třetí strany z:
- Zneužití důvěrných informací organizace
- Krádež finančních prostředků
- Falšování záznamů (jako jsou finance) za účelem klamání zúčastněných stran nebo nafukování cen akcií
- Zahájení odvetné kampaně po údajném špatném zacházení
- Zapojení do firemní špionáže
A pokud nepoužijete bezpečnou strategii, jako je SoD, mohlo by to vést k významným škodám vaší organizace, pokud jde o finance, pokuty založené na dodržování předpisů a image značky. To je důvod, proč se doporučuje implementovat SoD napříč celým podnikem, od účetnictví a mezd až po oddělení informačních technologií (IT) a kybernetické bezpečnosti.
Příklady SoD
Podívejme se na některé příklady, kde můžete SoD aplikovat.
Účetnictví
V účetnictví mohou organizace zakázat jednotlivým osobám získat nadměrnou moc skrývat majetek a finanční chyby.
SoD bude vyžadovat, abyste důkladně analyzovali všechny účetní role ve vaší organizaci a oddělili povinnosti tak, aby stejná osoba nemohla mít úplnou kontrolu nad danou funkcí. Též osobě nesmí být například umožněno přijímat šeky a evidovat přijaté šeky.
IT a kybernetická bezpečnost
Zásady SoD mohou pomoci předcházet rizikům řízení přístupu v IT oddělení. Oddělíte povinnosti pracovního postupu a zajistíte, že stejné skupině nebo osobám nebude uděleno více přístupových oprávnění.
Pokud jediná osoba získá přístup k moci nad rámec svých povinností, může ji zneužít a vystavit informace někomu zvenčí nebo jí udělit povolení k přístupu. Přitom o tom nikdo jiný nemá ani tušení.
Tato situace může být katastrofální. Též osobě například nesmí být povoleno přijímat výstrahy z bezpečnostních systémů ani spravovat přístupová oprávnění daného systému.
Soulad a kontroly
Implementace solidních strategií SOD může pomoci eliminovat chyby zaměstnanců, úmyslné či neúmyslné. Můžete také zachytit podvodná podání, pokud existují. Tímto způsobem můžete ochránit svou organizaci před porušením předpisů. Musíte například pověřit stejnou osobu odpovědnou za podávání finančních informací a jejich audit.
Další příklady
Stejná osoba by neměla být zodpovědná za:
- Vytváření a schvalování požadavků
- Vytváření a schvalování faktur dodavatelů
- Příprava faktury a zadávání prodejních transakcí do hlavní knihy
- Vyplácení mezd a najímání zaměstnanců
- Evidence přijaté hotovosti a vytváření dobropisů
- Obchodování s akciemi a řízení fúzí a akvizic
- Nastavení kupujících a schvalování požadavků nebo objednávek
Výhody SoD
Některé z výhod použití SoD ve vaší organizaci jsou:
#1. Prevence a detekce podvodů
Organizace se stávají obětí podvodů více než kdy jindy. Zahrnuje podvodné aktivity, jako je manipulace se šekem, skimming hotovosti, zpronevěra majetku, padělání dokumentů, falšované účtenky, faktury, chyby v účetních záznamech a další.
Pomocí SoD můžete zajistit, aby za provádění všech funkcí daného úkolu nebyla odpovědná žádná jednotlivá osoba nebo skupina. Tím se zabrání možnosti spáchání podvodu a jeho skrývání. Větší přehled o úkolu znamená, že kdokoli může odhalit, nahlásit a pomoci předcházet externím nebo interním podvodům.
#2. Snížení lidských chyb
Pokud implementujete SoD správně ve vaší organizaci, pravděpodobně zaznamenáte významné snížení lidských chyb a souvisejících rizik ve vašich kritických finančních procesech. Může se jednat o chyby, jako je nedostatečná dokumentace transakcí, nedostatek pracovních sil v účetnictví, chyby při zadávání dat, nedbalé audity atd.
Zaměstnávání více osob v kritických transakcích v podstatě zvyšuje šanci, že si jednotlivec všimne jakékoli chyby, ke které došlo, a vyřeší ji.
#3. Vylepšené audity
Snížení pravděpodobnosti rizik a chyb zlepší vedení záznamů pro vaše oddělení financí, mezd, účetnictví, IT nebo kybernetické bezpečnosti. SoD pomůže zajistit, aby byly záznamy správně uspořádány, čímž se odstraní problémy, jako je duplicita, poplatky z prodlení, rizika dodržování předpisů atd.
Budete tak lépe připraveni na audity, ať už roční, pololetní nebo čtvrtletní. Budete se také cítit jistěji před dodržováním předpisů a vyhnete se sankcím.
#4. Zvyšuje účinnost
Někdo si může myslet, že přidání více rolí povede k neefektivitě a vyšším nákladům. Pokud však SoD dobře naplánujete, podpoří to efektivitu. Je to proto, že rozdělujete úkol na více dílčích úkolů, z nichž každý provádí vhodný, specializovaný jedinec s lepší přesností a rychlostí.
To nejen snižuje rizika, ale také poskytuje vyšší efektivitu ve srovnání s případem, kdy celý úkol musí vykonávat jedna osoba. Kromě toho jsou náklady na náhradu škody společnosti při absenci SoD mnohem vyšší, než kolik investujete do najímání dalšího personálu.
Některé terminologie SoD
Chcete-li lépe porozumět SoD, musíte se seznámit s následující terminologií:
#1. SoD konflikty
Konflikt SoD může nastat, když osoba jedná proti zájmu organizace a v jejím zájmu. To znamená, že získali více rolí, aby mohli v procesu vykonávat více důležitých funkcí. To by mohlo potenciálně ovlivnit integritu procesu i společnost.
Konflikty SoD se mohou vyskytovat v různých doménách organizace, jako je Order to Cash (O2C) nebo Purchase to Pay (P2P). Chcete-li zmírnit konflikty SoD, musíte takové incidenty analyzovat a posoudit. Organizace musí také zavést pevné kontroly a chránit se před zaměstnanci podílejícími se na nezákonných činnostech.
Dobrou strategií, jak předejít konfliktům SoD, by mohlo být použití řízení přístupu založeného na rolích (RBAC) napříč vaší organizací. RBAC zajišťuje, že přístupová oprávnění a kontroly jsou uživatelům uděleny na základě jejich rolí a odpovědností v organizaci, ne více než to.
Zde můžete přiřadit oprávněnou osobu, aby analyzovala každou roli a přístupová oprávnění, která jim byla přidělena pro překrývání SoD mezi rolemi i uvnitř rolí.
Každý konflikt však neznamená způsobit škodu nebo vyústit v protiprávní jednání. Uživatel by to mohl udělat náhodně, z nepozornosti nebo provést požadovanou funkci pro společnost, která potřebuje více oprávnění.
To je důvod, proč by společnosti měly důkladně prozkoumat případ a posoudit své zásady porušování SoD, aby zajistily, že se konflikty nezvrhnou v podvod nebo nezákonnou činnost.
#2. Porušení SoD
K porušení SoD může dojít, pokud zaměstnanec organizace zneužije svou přidělenou roli a záměrně přistupuje k informacím nebo provádí zakázanou činnost. To znamená, že porušují vnitřní politiku organizace nebo vnější předpisy.
Zaměstnanci mohou narušit SoD, když získají kontrolu nad více kroky procesu a překročí povolené kroky. Dále zneužijí přístup ve svůj prospěch.
Příklad: Společnost může stanovit politiku, že osoba, která najímá zaměstnance, nemůže také rozdávat výplaty. Je to proto, že pokud provádějí obě činnosti, mohou to využít ve svůj vlastní prospěch a organizovat podvody nebo nezákonnou činnost. Tím se to změní v porušení SoD.
Tak vypadá vnitřní porušení SoD; pojďme pochopit, jak může dojít k narušení externí SoD. Například vedoucí osoba s rozhodovací pravomocí, jako je generální ředitel organizace, se vyžívá v manipulaci s finančními výkazy, čímž porušuje předpisy SOX.
Pro organizaci to může vést k vysokým pokutám a zaměstnanec si může odpykat i trest odnětí svobody. To poškozuje organizaci z hlediska pověsti a nákladů.
Pro zmírnění porušování SoD musí organizace sledovat jejich porušování a činnost každého zaměstnance. Musí také neustále aktualizovat své politiky s měnícím se technologickým prostorem.
#3. SoD matice
Matice SoD je přístup, který manažeři používají, aby snížili složitost SoD. Umožňuje manažerům rozlišovat různé odpovědnosti, role a rizika v organizaci.
Kromě toho může SoD matice detekovat potenciální konflikty v celé organizaci a pomoci je včas vyřešit a zároveň poskytnout ochranu před vážným poškozením.
SoD matice jsou automaticky generovány v moderních společnostech, které se spoléhají na ERP software. Vygenerovaná matice SoD je založena na úkolech a rolích uživatele definovaných v jejich softwaru ERP.
Zde by se každá úloha měla shodovat s procesem v daném transakčním pracovním postupu, aby bylo možné seskupit úkoly a role a zajistit, aby žádný uživatel nemohl provést více než jeden krok pracovního postupu.
Kromě toho může být matice SoD reprezentována grafem, kde jsou uživatelské role udržovány na obou osách – X a Y, které znamenají konflikty SoD. Také mapuje povinnosti a aktivity na role v pracovním postupu, aby týmy pro dodržování předpisů mohly oddělit neslučitelné odpovědnosti.
Matici SoD můžete vytvořit buď pomocí softwaru, jako je MS Excel, nebo ručně na listu papíru. Lze je také vytvořit pomocí nástroje ERP.
Příklad: Zde je příklad toho, jak můžete vytvořit matici SoD pro mzdy pro zaměstnance. Pro role a odpovědnosti můžete použít jakýkoli označující znak, jako je ano/ne, barevné vlajky nebo šipky, značka zaškrtnutí atd. Použijme Y/N v následujícím grafu.
ProcesZaměstnanecPřijímání zaměstnancůVytváření platůZúčtování platebSpráva výhodPřijímání zaměstnanců1YNNNCVytváření platů2NYYNCUplatňování plateb3NYYNNSpráva výhod4NNNY
Ve výše uvedeném grafu je znázorněno, že zaměstnanec 2 má oprávnění vytvářet výplaty a vyúčtovat je. Nesmí tedy měnit benefity ani najímat zaměstnance. Pokud tak učiní, může dojít ke konfliktu SoD. Podobně je zaměstnanec 1 zodpovědný za přijímání nových zaměstnanců. Nesmí tedy vytvářet výplatní pásky, spravovat benefity nebo zúčtovávat platby. Jinak může dojít ke konfliktu SoD.
Jak implementovat SoD
Pokud tedy uvažujete o implementaci SoD, ale nevíte, kde začít, zde jsou kroky, které můžete provést:
Definujte organizační procesy a zásady
Nejprve musíte definovat všechny klíčové organizační procesy, za které jsou zaměstnanci odpovědní. Může být založeno na velikosti vaší organizace a typu odvětví. Jakmile definujete každý proces a úkol, uveďte také své zásady. Definujte zásady pro své interní zaměstnance, externí dodavatele a další subjekty, se kterými jednáte.
Například ve svém HR oddělení můžete chtít uvést seznam úkolů, jako je najímání a přijímání zaměstnanců, vytváření výhod a kompenzací, zúčtování plateb, vedení záznamů atd. Podobně můžete v účetním oddělení vypsat úkoly, jako je potvrzení doručení produktu, kontrola faktur , podepisování šeků, placení faktur atd.
Kromě toho budete muset nastínit zásady, které jste vytvořili pro svá oddělení a zaměstnance. Například zaměstnanec vystavující platbu nesmí být zároveň tím, kdo podepisuje šeky. Dalším příkladem politiky může být – zaměstnanec odpovědný za prodej produktu nesmí zároveň potvrdit jeho dodání.
Vytvořte matici SoD
Po definování úkolů a zásad musíte vytvořit matici SoD, která bude obsahovat seznam všech rolí a úkolů. Pomůže vám pochopit, kteří zaměstnanci jsou zodpovědní za jaké úkoly a zda existuje nějaká možnost konfliktu nebo porušení SoD.
Výše uvedená tabulka vám pomůže vytvořit matici SoD pro vaši organizaci. Někdy je však obtížné detekovat konflikty SoD, zvláště když reprezentace neodpovídají úkolům. Za tímto účelem můžete při vytváření matice SoD použít dva přístupy:
Jasně definujte všechny úkoly a označte každý konflikt SoD: vytváří velkou matici, ale nabízí lepší přesnost při vizuální reprezentaci úkolů a rolí.
Vynechejte některé úkoly nebo je seskupte: Poskytne vám to zhuštěnou matici, kterou lze snadno analyzovat a zaměřit se na konflikty SoD. Mohlo by to však vést k falešným pozitivům a chybám ovlivňujícím výsledky SoD a konflikty.
Přidělovat úkoly
Jakmile zjistíte všechny konflikty SoD, začněte přidělovat úkoly a dílčí úkoly zaměstnancům a využijte koncept segregace povinností. Pokud narazíte na scénář, kdy nemůžete SoD použít, vymyslete solidní způsob, jak kontrolovat a monitorovat zaměstnance provádějícího úkol, abyste zabránili případným rizikům.
Spravovat a kontrolovat
Je důležité monitorovat a kontrolovat své úkoly a role, aby bylo zajištěno, že SoD je dobře implementován a nedochází k žádnému potenciálnímu konfliktu nebo porušení. A pokud nějaké objevíte, spravujte své role a úkoly tím, že je znovu přiřadíte. Pokračujte ve sledování, abyste předešli rizikům.
Závěr
Segregace povinností (SoD) poskytuje vynikající způsob, jak řídit vnitřní kontroly a předcházet podvodům a chybám. Pomůže zajistit bezpečnost organizace, aby nikdo nezískal nadměrnou kontrolu, která by vaší organizaci způsobila škody v podobě úniků dat, podvodů nebo nezákonných aktivit. Implementujte tedy SoD ve své organizaci a buďte v bezpečí a bdělí.
Můžete také prozkoumat některé nástroje pro odhalování a prevenci podvodů pro online podniky.