Segregation of Duties (SoD) er et avgjørende element i en organisasjons risikostyringsstrategier.
En rapport fra 2022 fra Association of Certified Fraud Examiners (ACFE) fremhever at selskaper bærer tap på omtrent $1 783 000 til ansattesvindel per sak.
Dette forklarer hvorfor moderne virksomheter må ha bærekraftig risikostyring i denne epoken med økende svindel, svindel og feil.
Og SoD har som mål å kontrollere, administrere og til og med redusere disse risikoene for å ha bedre organisasjonskontroller med økt sikkerhet og bevissthet.
I denne artikkelen vil jeg diskutere hva SoD er, dens betydning og andre viktige terminologier knyttet til det.
Så la oss begynne og lære hvordan du tar tilbake kontrollen!
Innholdsfortegnelse
Hva er oppgavedeling?
Segregering av plikter (SoD) er et viktig konsept for risikostyring og internkontroll i en organisasjon der mer enn én person er ansvarlig for å fullføre de forskjellige delene av en oppgave. Den er implementert for å forhindre misbruk av informasjon, svindel, tyveri og andre sikkerhetsrelaterte risikoer.
Oppgaven kan imidlertid fullføres av én person, men den er delt opp i deler. Dette bidrar til å sikre at ingen enkeltperson har enekontroll over oppgaven eller overdreven kontroll, nok til å misbruke kontrollen til uautoriserte formål eller uredelige aktiviteter. I stedet vil den deles av minst to personer.
I dag implementeres SoD på ulike domener, som regnskap, økonomi, lønn, administrasjon osv. I politikken blir det maktfordeling i demokratier hvor regjeringen er delt inn i en rettsvesen, en utøvende og en lovgivende makt.
SoD i risikostyring
SoD arbeider ut fra prinsippet om delt ansvar og at det å drive en organisasjon eller virksomhet ikke må være en enkelt persons jobb. Du bør ikke stole på en enkelt person for å få full kontroll for å utføre en oppgave som potensielt kan føre til svindel, feil eller skade på omdømmet til bedriften din.
Faktisk er SoD et viktig element i risikostyring og bedriftsoverholdelse av forskrifter som 2002 Sarbanes-Oxley Act (SOX).
Å skille oppgaver mellom flere ansvarlige personell reduserer sjansene for at en ansatt eller en tredjepart fra:
- Misbruk av organisatorisk konfidensiell informasjon
- Å stjele midler
- Forfalskning av poster (som økonomi) for å villede interessenter eller blåse opp aksjekurser
- Lanserer en hevnkampanje etter å ha blitt påstått mishandling
- Delta i bedriftsspionasje
Og hvis du ikke bruker en sikker strategi som SoD, kan det føre til betydelige skader på organisasjonen din når det gjelder økonomi, overholdelsesbaserte straffer og merkevareimage. Dette er grunnen til at det anbefales å implementere SoD på tvers av en bedrift, fra regnskap og lønn til informasjonsteknologi (IT) og cybersikkerhetsavdelinger.
Eksempler på SoD
La oss se på noen av eksemplene der du kan bruke SoD.
Regnskap
I regnskap kan organisasjoner forby enkeltpersoner å få overdreven makt til å skjule eiendeler og økonomiske feil.
SoD vil kreve at du grundig analyserer alle regnskapsrollene i organisasjonen din og skiller oppgaver slik at den samme personen ikke kan ha fullstendig kontroll over en gitt funksjon. For eksempel må ikke samme person få motta sjekkene og føre de mottatte sjekkene.
IT og cybersikkerhet
SoD-policyer kan bidra til å forhindre tilgangskontrollrisiko i IT-avdelingen. Du skiller arbeidsflytoppgaver, og sikrer at samme gruppe eller personer ikke gis flere tilgangstillatelser.
Hvis en enkelt person får tilgang til makt utover sine plikter, kan de misbruke den og avsløre informasjon for en utenforstående eller gi dem tilgangstillatelse. Samtidig er det ingen andre som har peiling på det.
Denne situasjonen kan være katastrofal. For eksempel må den samme personen ikke få lov til å motta varsler fra sikkerhetssystemer samt administrere tilgangstillatelsene til det systemet.
Samsvar og kontroller
Implementering av solide SOD-strategier kan bidra til å eliminere ansattes feil, tilsiktet eller utilsiktet. Du kan også fange falske registreringer, hvis noen. På denne måten kan du holde organisasjonen din trygg mot brudd på samsvar. For eksempel må du gjøre den samme personen ansvarlig for innlevering av finansiell informasjon og revisjon av den.
Andre eksempler
Den samme personen skal ikke være ansvarlig for:
- Opprette og godkjenne rekvisisjoner
- Opprette og godkjenne leverandørfakturaer
- Klargjøring av faktura og innføring av salgstransaksjoner i reskontro
- Utbetale lønn og ansette ansatte
- Registrering av mottatte kontanter og opprettelse av kreditnotaer
- Handle aksjer og administrere fusjoner og oppkjøp
- Sette opp kjøpere og godkjenne rekvisisjoner eller innkjøpsordrer
Fordeler med SoD
Noen av fordelene med å bruke SoD i organisasjonen din er:
#1. Forebygging og oppdagelse av svindel
Organisasjoner blir ofre for svindel mer enn noen gang. Det involverer uredelige aktiviteter som tukling av sjekker, smussing av kontanter, urettmessig tilegnelse av eiendeler, dokumentforfalskning, forfalskede kvitteringer, fakturaer, regnskapsfeil og mer.
Med SoD kan du sikre at ingen enkeltperson eller gruppe er ansvarlig for å utføre alle funksjonene til en gitt oppgave. Dette vil avskrekke muligheten for å begå svindel og skjule det. Å ha flere øyne på en oppgave betyr at alle kan oppdage, rapportere og bidra til å forhindre ekstern eller intern svindel.
#2. Reduksjon i menneskelige feil
Hvis du implementerer SoD riktig i organisasjonen din, vil du sannsynligvis se en betydelig reduksjon i menneskelige feil og relaterte risikoer i dine kritiske økonomiske prosesser. Det kan innebære feil som utilstrekkelig dokumentasjon av transaksjoner, lav arbeidskraft i regnskap, feil ved inntasting av data, uforsiktige revisjoner, etc.
Å ansette flere personer i kritiske transaksjoner øker i hovedsak sjansen for at en person legger merke til en feil som har oppstått og løser den.
#3. Forbedret revisjon
Å redusere sjansene for risiko og feil vil forbedre journalføringen for din økonomi-, lønns-, regnskaps-, IT- eller cybersikkerhetsavdeling. SoD vil bidra til å sikre at postene er ordnet på riktig måte, og eliminerer problemer som duplisering, forsinkelsesgebyrer, overholdelsesrisiko osv.
På denne måten vil du være bedre forberedt på revisjoner, enten det er årlig, halvårlig eller kvartalsvis. Du vil også føle deg mer selvsikker før overholdelse av regelverket og unngå straffer.
#4. Øker effektiviteten
Noen tror kanskje at å legge til flere roller vil føre til ineffektivitet og høyere kostnader. Men hvis du planlegger SoD godt, vil det fremme effektiviteten. Det er fordi du deler en oppgave inn i flere underoppgaver, hver utført av en passende, spesialisert person med bedre nøyaktighet og hastighet.
Dette reduserer ikke bare risikoen, men gir også høyere effektivitet sammenlignet med tilfellet der en enkelt person må utføre hele oppgaven. I tillegg er kostnadene for skader for selskapet i fravær av SoD mye mer enn det du investerer i å ansette mer personell.
Noen SoD-terminologier
For å forstå SoD mer, må du lære om følgende terminologier:
#1. SoD-konflikter
En SoD-konflikt kan oppstå når en person handler mot organisasjonens interesser og i deres interesse. Dette betyr at de har tilegnet seg flere roller for å utføre flere viktige funksjoner i en prosess. Å gjøre dette kan potensielt påvirke prosessens integritet så vel som selskapet.
SoD-konflikter kan oppstå i forskjellige domener i en organisasjon, for eksempel Order to Cash (O2C) eller Purchase to Pay (P2P). For å dempe SoD-konflikter må du analysere og vurdere slike hendelser. Organisasjoner må også implementere solide kontroller og sikre seg mot at ansatte deltar i ulovlige aktiviteter.
En god strategi for å forhindre SoD-konflikter kan være å bruke rollebaserte tilgangskontroller (RBAC) på tvers av organisasjonen. RBAC sikrer at tilgangstillatelser og kontroller gis til brukere basert på deres roller og ansvar i organisasjonen, ikke mer enn det.
I dette kan du tilordne en autorisert person til å analysere hver rolle og tilgangstillatelse som er tildelt dem for både inter-rolle og intra-roll SoD-overlappinger.
Men enhver konflikt betyr ikke å forårsake skade eller resultere i ulovlige handlinger. En bruker kan gjøre det ved et uhell, av uforsiktighet, eller utføre en nødvendig funksjon for selskapet som trenger flere tillatelser.
Dette er grunnen til at selskaper bør undersøke saken grundig og vurdere retningslinjene deres for brudd på SoD for å sikre at konfliktene ikke blir til svindel eller ulovlig aktivitet.
#2. SoD-brudd
SoD-brudd kan skje hvis en organisasjons ansatt utnytter sin tildelte rolle og med vilje får tilgang til informasjon eller utfører en forbudt aktivitet. Dette betyr at de bryter organisasjonens interne retningslinjer eller eksterne regelverk.
Ansatte kan utføre et SoD-brudd når de har fått kontroll over flere prosesstrinn, som overskrider de tillatte trinnene. Deretter misbruker de tilgangen til deres fordel.
Eksempel: Et selskap kan lage en policy om at personen som ansetter ansatte ikke også kan dele ut lønnsslipp. Det er fordi hvis de utfører begge aktivitetene, kan de utnytte det til egen fordel og orkestrere svindel eller ulovlig aktivitet. Dermed vil dette bli til et SoD-brudd.
Det var slik et internt SoD-brudd ser ut; la oss forstå hvordan et eksternt SoD-brudd kan oppstå. For eksempel, en senior beslutningstaker som administrerende direktør i en organisasjon hengir seg til å manipulere regnskaper, og bryter SOX-regelverket.
Det kan føre til enorme bøter for organisasjonen, og den ansatte kan også sone en fengselsstraff. Dette er skadelig for organisasjonen med tanke på omdømme og kostnader.
For å redusere SoD-brudd må en organisasjon overvåke sine brudd og hver enkelt ansatts aktivitet. De må også fortsette å oppdatere sine retningslinjer med skiftende teknologiske rom.
#3. SoD Matrix
SoD-matrise er en tilnærming som ledere tar for å redusere SoD-kompleksiteten. Det gjør det mulig for ledere å skille ulike ansvarsområder, roller og risikoer i en organisasjon.
I tillegg kan SoD-matrisen oppdage potensielle konflikter på tvers av organisasjonen og bidra til å løse dem i tide samtidig som den gir sikkerhet mot alvorlig skade.
SoD-matriser genereres automatisk i moderne selskaper som er avhengige av ERP-programvare. En generert SoD-matrise er basert på en brukers oppgaver og roller definert i deres ERP-programvare.
Her bør hver oppgave matche en prosess i en gitt transaksjonsarbeidsflyt for å gruppere oppgaver og roller, og sikre at ingen bruker har tillatelse til å utføre mer enn ett trinn i arbeidsflyten.
Dessuten kan en SoD-matrise representeres av et plot der brukerroller holdes på begge aksene – X og Y som betyr SoD-konflikter. Den kartlegger også plikter og aktiviteter til roller i en arbeidsflyt for å gjøre det mulig for compliance-team å separere inkompatible ansvarsområder.
Du kan enten lage en SoD-matrise ved hjelp av programvare som MS Excel eller manuelt på et papirark. De kan også opprettes ved hjelp av et ERP-verktøy.
Eksempel: Her er et eksempel på hvordan du kan lage en SoD-matrise for lønn for en ansatt. Du kan bruke hvilken som helst betegnelse som ja/nei, fargede flagg eller piler, et hakemerke osv. for roller og ansvar. La oss bruke J/N i følgende plot.
ProsessMedarbeiderInnføring av ansatte Opprette lønnsslipperSletting av betalingerAdministrere fordelerInnføring av ansatte1YNNNOpprette lønnsslipper2NYYNFjerning av betalinger3NYYNAdministrere fordeler4NNNY
I diagrammet ovenfor er det vist at ansatt 2 har autorisasjon til å opprette lønnsslipper og slette dem. Så de må ikke endre ytelser eller ansette ansatte. Hvis de gjør det, kan det oppstå en SoD-konflikt. Tilsvarende er ansatt 1 ansvarlig for å ansette nye medarbeidere. Dermed må de ikke opprette lønnsslipper, administrere fordeler eller klare betalinger. Ellers kan det oppstå en SoD-konflikt.
Hvordan implementere SoD
Så hvis du tenker på å implementere SoD, men er forvirret over hvor du skal begynne, her er trinnene du kan følge:
Definer organisasjonsprosesser og retningslinjer
Først av alt må du definere alle de sentrale organisatoriske prosessene som ansatte er ansvarlige for. Det kan være basert på organisasjonens størrelse og bransjetype. Når du har definert hver prosess og oppgave, bør du også liste opp retningslinjene dine. Definer retningslinjer for dine interne ansatte, eksterne leverandører og andre enheter du har å gjøre med.
I HR-avdelingen din kan det for eksempel være lurt å liste opp oppgaver som å ansette og ta ansatte, opprette fordeler og kompensasjon, rydde betalinger, journalføring osv. På samme måte kan du i kontoavdelingen føre opp oppgaver som bekreftelse av produktlevering, gjennomgang av fakturaer , signere sjekker, betale fakturaer osv.
I tillegg må du skissere retningslinjer du har laget for dine avdelinger og ansatte. For eksempel må en ansatt som utsteder betaling ikke også være den som signerer sjekker. Et annet eksempel på en policy kan være – den ansatte som er ansvarlig for å selge et produkt må ikke også bekrefte leveringen.
Lag en SoD-matrise
Etter å ha definert oppgavene og retningslinjene dine, må du lage en SoD-matrise for å liste opp alle rollene og oppgavene. Det vil hjelpe deg å forstå hvilke ansatte som er ansvarlige for hvilke oppgaver, og om det er noen mulighet for en SoD-konflikt eller brudd.
Diagrammet ovenfor vil hjelpe deg med å lage en SoD-matrise for organisasjonen din. Men noen ganger blir det vanskelig å oppdage SoD-konflikter, spesielt når representasjonene ikke passer til oppgavene. For dette kan du ta to tilnærminger mens du lager en SoD-matrise:
Definer tydelig alle oppgavene og merk hver SoD-konflikt: det skaper en stor matrise, men gir bedre nøyaktighet når det gjelder å representere oppgavene og rollene visuelt.
Utelat noen oppgaver eller grupper dem: Det vil gi deg en fortettet matrise, som er enkel å analysere og fokusere på SoD-konflikter. Det kan imidlertid føre til falske positiver og feil som påvirker SoD-utfallene og konfliktene.
Tilordne oppgaver
Når du har oppdaget alle SoD-konfliktene, begynn å tildele oppgaver og deloppgaver til ansatte, og dra nytte av konseptet med oppgaveseparering. Hvis du kommer over et scenario der du ikke kan bruke SoD, finne ut en solid måte å kontrollere og overvåke den ansatte som utfører oppgaven for å avskrekke enhver risiko.
Administrer og gjennomgå
Det er viktig å overvåke og gjennomgå oppgavene og rollene dine for å sikre at SoD er godt implementert og at det ikke er noen potensiell konflikt eller brudd. Og hvis du oppdager noen, administrer rollene og oppgavene dine ved å tilordne dem på nytt. Fortsett overvåking for å forhindre risiko.
Konklusjon
Segregation of Duties (SoD) gir en utmerket måte å administrere interne kontroller og forhindre svindel og feil. Det vil bidra til å sikre organisasjonssikkerhet slik at ingen får overdreven kontroll, nok til å forårsake skade på organisasjonen din i form av datalekkasjer, svindel eller ulovlige aktiviteter. Så implementer SoD i organisasjonen din og vær trygg og årvåken.
Du kan også utforske noen svindeloppdagings- og forebyggingsverktøy for nettbaserte virksomheter.