Segregation of Duties (SoD) är ett avgörande element i en organisations riskhanteringsstrategier.
En rapport från 2022 från Association of Certified Fraud Examiners (ACFE) visar att företag bär förluster på cirka 1 783 000 USD för anställdas bedrägeri per ärende.
Detta förklarar varför moderna företag behöver ha hållbar riskhantering i denna tid av ökande bedrägerier, bedrägerier och fel.
Och SoD syftar till att kontrollera, hantera och till och med mildra dessa risker för att få bättre organisatoriska kontroller med ökad säkerhet och medvetenhet.
I den här artikeln kommer jag att diskutera vad SoD är, dess betydelse och andra nyckelterminologier förknippade med det.
Så låt oss börja och lära oss hur man tar tillbaka kontrollen!
Innehållsförteckning
Vad är arbetsuppdelning?
Segregation of Duties (SoD) är ett viktigt koncept för riskhantering och interna kontroller i en organisation där mer än en individ görs ansvarig för att slutföra de olika delarna av en uppgift. Det är implementerat för att förhindra informationsmissbruk, bedrägeri, stöld och andra säkerhetsrelaterade risker.
Uppgiften kan dock utföras av en person, men den är uppdelad i delar. Detta hjälper till att säkerställa att ingen enskild individ har ensam kontroll över uppgiften eller överdrivna kontroller, tillräckligt för att missbruka kontrollen för obehöriga ändamål eller bedrägliga aktiviteter. Istället kommer det att delas av minst två individer.
Idag implementeras SoD inom olika domäner, såsom redovisning, ekonomi, löner, administration etc. Inom politiken blir det maktdelning i demokratier där regeringen är uppdelad i en domstol, en verkställande och en lagstiftande makt.
SoD i riskhantering
SoD arbetar utifrån principen om delat ansvar och att driva en organisation eller verksamhet inte får vara en enskild individs jobb. Du bör inte lita på att en enda person får fullständig kontroll över att utföra en uppgift som potentiellt kan leda till bedrägeri, fel eller skada på ditt företags rykte.
Faktum är att SoD är en viktig del av riskhantering och företagsefterlevnad av bestämmelser som 2002 Sarbanes-Oxley Act (SOX).
Att separera arbetsuppgifter mellan flera ansvariga personal minskar chanserna för en anställd eller en tredje part från:
- Missbruk av konfidentiell organisationsinformation
- Att stjäla pengar
- Förfalskning av register (som ekonomi) för att vilseleda intressenter eller höja aktiekurserna
- Lanserar en hämndkampanj efter att ha blivit utsatt för påstådd misshandel
- Inblandad i företagsspionage
Och om du inte använder en säker strategi som SoD kan det leda till betydande skador för din organisation när det gäller ekonomi, efterlevnadsbaserade påföljder och varumärkesimage. Det är därför det rekommenderas att implementera SoD i ett företag, från redovisning och löneadministration till informationsteknik (IT) och cybersäkerhetsavdelningar.
Exempel på SoD
Låt oss titta på några av exemplen där du kan tillämpa SoD.
Bokföring
Inom redovisning kan organisationer förbjuda enskilda personer att få överdriven makt att dölja tillgångar och ekonomiska fel.
SoD kommer att kräva att du noggrant analyserar alla redovisningsroller i din organisation och separerar uppgifter så att samma person inte kan ha fullständig kontroll över en given funktion. Till exempel ska samma person inte få ta emot checkarna och registrera de mottagna checkarna.
IT och cybersäkerhet
SoD-policyer kan hjälpa till att förhindra åtkomstkontrollrisker på IT-avdelningen. Du separerar arbetsflödesuppgifter och säkerställer att samma grupp eller personer inte ges flera åtkomstbehörigheter.
Om en enskild person får tillgång till makt utöver sina skyldigheter kan de missbruka den och avslöja information för en utomstående eller ge dem åtkomsttillstånd. Samtidigt är det ingen annan som har någon aning om det.
Denna situation kan bli katastrofal. Till exempel får samma person inte tillåtas att ta emot varningar från säkerhetssystem samt hantera åtkomstbehörigheterna för det systemet.
Efterlevnad och kontroller
Att implementera solida SOD-strategier kan hjälpa till att eliminera anställdas fel, avsiktliga eller oavsiktliga. Du kan också fånga bedrägliga anmälningar, om några. På så sätt kan du skydda din organisation från överträdelser av efterlevnad. Du måste till exempel göra samma person ansvarig för att lämna in ekonomisk information och granska den.
Andra exempel
Samma person ska inte vara ansvarig för:
- Skapa och godkänna rekvisitioner
- Skapa och godkänna leverantörsfakturor
- Förbereda fakturan och lägga in försäljningstransaktioner i reskontran
- Betala löner och anställa anställda
- Registrera mottagna kontanter och skapa kreditnotor
- Handel med aktier och hantering av fusioner och förvärv
- Ställa in köpare och godkänna rekvisitioner eller inköpsorder
Fördelar med SoD
Några av fördelarna med att tillämpa SoD i din organisation är:
#1. Bedrägeriförebyggande och upptäckt
Organisationer blir offer för bedrägerier mer än någonsin. Det involverar bedrägliga aktiviteter som manipulering av checkar, skumning av kontanter, förskingring av tillgångar, dokumentförfalskning, förfalskade kvitton, fakturor, bokföringsfel och mer.
Med SoD kan du säkerställa att ingen enskild person eller grupp är ansvarig för att utföra alla funktioner för en given uppgift. Detta kommer att avskräcka möjligheten att begå bedrägeri och dölja det. Att ha fler ögon på en uppgift innebär att alla kan upptäcka, rapportera och hjälpa till att förhindra externa eller interna bedrägerier.
#2. Minskning av mänskliga misstag
Om du implementerar SoD korrekt i din organisation kommer du sannolikt att se en betydande minskning av mänskliga fel och relaterade risker i dina kritiska ekonomiska processer. Det kan handla om fel som otillräcklig dokumentation av transaktioner, låg personalstyrka i bokföring, inmatningsfel, slarviga revisioner, etc.
Att anställa flera individer i kritiska transaktioner ökar väsentligen chansen att en individ upptäcker något fel som uppstått och löser det.
#3. Förbättrade revisioner
Genom att minska riskerna för risker och fel förbättras journalföringen för din ekonomi-, löne-, redovisnings-, IT- eller cybersäkerhetsavdelning. SoD kommer att hjälpa till att säkerställa att journalerna ordnas på rätt sätt, vilket eliminerar problem som dubbelarbete, förseningsavgifter, efterlevnadsrisker, etc.
På så sätt kommer du att vara bättre förberedd för revisioner, oavsett om det är årligen, halvårsvis eller kvartalsvis. Du kommer också att känna dig mer självsäker innan du följer reglerna och undvika påföljder.
#4. Ökar effektiviteten
Vissa kanske tror att att lägga till fler roller kommer att leda till ineffektivitet och högre kostnader. Men om du planerar SoD väl kommer det att främja effektiviteten. Det beror på att du delar upp en uppgift i flera deluppgifter, var och en utförd av en lämplig, specialiserad individ med bättre noggrannhet och snabbhet.
Detta minskar inte bara riskerna utan ger också högre effektivitet jämfört med fallet där en enskild person ska utföra hela uppgiften. Dessutom är kostnaden för skadestånd för företaget i avsaknad av SoD mycket mer än vad man investerar i att anställa mer personal.
Vissa SoD-terminologier
För att förstå SoD mer måste du lära dig om följande terminologier:
#1. SoD-konflikter
En SoD-konflikt kan uppstå när en person agerar mot organisationens intresse och i deras intresse. Detta innebär att de har förvärvat flera roller för att utföra flera viktiga funktioner i en process. Att göra detta kan potentiellt påverka processens integritet såväl som företaget.
SoD-konflikter kan uppstå i olika domäner i en organisation, till exempel Order to Cash (O2C) eller Purchase to Pay (P2P). För att mildra SoD-konflikter måste du analysera och bedöma sådana incidenter. Organisationer måste också genomföra solida kontroller och skydda sig mot att anställda deltar i illegala aktiviteter.
En bra strategi för att förhindra SoD-konflikter kan vara att tillämpa rollbaserade åtkomstkontroller (RBAC) i hela din organisation. RBAC säkerställer att åtkomstbehörigheter och kontroller ges till användare baserat på deras roller och ansvar i organisationen, inte mer än så.
I detta kan du tilldela en auktoriserad individ att analysera varje roll och åtkomstbehörighet som tilldelats dem för både inter-roll och intra-roll SoD-överlappningar.
Men varje konflikt innebär inte att orsaka skada eller resultera i olagliga handlingar. En användare kan göra det av misstag, av slarv, eller utföra en nödvändig funktion för företaget som behöver fler behörigheter.
Det är därför företag bör undersöka ärendet noggrant och bedöma sina policyer för överträdelse av SoD för att säkerställa att konflikterna inte förvandlas till bedrägeri eller olaglig aktivitet.
#2. SoD-överträdelse
SoD-överträdelser kan inträffa om en organisations anställd utnyttjar sin tilldelade roll och avsiktligt kommer åt information eller utför en förbjuden aktivitet. Det betyder att de bryter mot organisationens interna policy eller externa regler.
Anställda kan utföra en SoD-överträdelse när de har fått kontroll över flera processsteg, vilket överskrider de tillåtna stegen. Därefter missbrukar de tillgången till deras fördel.
Exempel: Ett företag kan göra en policy att den som anställer anställda inte också kan dela ut lönecheckar. Det beror på att om de utför båda aktiviteterna kan de utnyttja det till sin egen fördel och organisera bedrägerier eller olaglig aktivitet. Detta kommer alltså att förvandlas till en SoD-överträdelse.
Det var så en intern SoD-överträdelse ser ut; låt oss förstå hur en extern SoD-överträdelse kan uppstå. Till exempel ägnar sig en senior beslutsfattare som VD:n för en organisation åt att manipulera bokslut och bryta mot SOX-reglerna.
Det kan leda till enorma böter för organisationen, och den anställde kan även avtjäna ett fängelsestraff. Detta är skadligt för organisationen vad gäller anseende och kostnad.
För att mildra SoD-överträdelser måste en organisation övervaka sina överträdelser och varje anställds aktivitet. De måste också fortsätta att uppdatera sin politik med föränderliga tekniska utrymmen.
#3. SoD Matrix
SoD-matris är ett tillvägagångssätt som chefer använder för att minska SoD-komplexiteten. Det gör det möjligt för chefer att särskilja olika ansvarsområden, roller och risker i en organisation.
Dessutom kan SoD-matrisen upptäcka potentiella konflikter i hela organisationen och hjälpa till att lösa dem i tid samtidigt som den ger säkerhet mot allvarliga skador.
SoD-matriser genereras automatiskt i moderna företag som förlitar sig på affärssystem. En SoD-matris som genereras är baserad på en användares uppgifter och roller definierade i deras affärssystem.
Här bör varje uppgift matcha en process i ett givet transaktionsarbetsflöde för att gruppera uppgifter och roller, vilket säkerställer att ingen användare tillåts utföra mer än ett steg i arbetsflödet.
Dessutom kan en SoD-matris representeras av en plot där användarroller hålls på båda axlarna – X och Y som betecknar SoD-konflikter. Den kartlägger också uppgifterna och aktiviteterna till roller i ett arbetsflöde för att göra det möjligt för efterlevnadsteam att separera inkompatibla ansvarsområden.
Du kan antingen skapa en SoD-matris med programvara som MS Excel eller manuellt på ett pappersark. De kan också skapas med ett ERP-verktyg.
Exempel: Här är ett exempel på hur du kan skapa en SoD-matris för lön för en anställd. Du kan använda vilken betecknare som helst som ja/nej, färgade flaggor eller pilar, en bock etc. för roller och ansvar. Låt oss använda Y/N i följande plot.
ProcessAnställdOmbordanställdaSkapa lönecheckarRensa betalningarHantera förmånerOmbordanställda1YNNNSkapa lönecheckar2NYYNRensa betalningar3NYYNHantera förmåner4NNNY
I diagrammet ovan visas att anställd 2 har behörighet att skapa lönecheckar och rensa dem. Så de får inte byta förmåner eller anställa anställda. Om de gör det kan en SoD-konflikt uppstå. På samma sätt ansvarar anställd 1 för att nyanställa. De får alltså inte skapa lönecheckar, hantera förmåner eller rensa ut betalningar. Annars kan en SoD-konflikt uppstå.
Hur man implementerar SoD
Så om du funderar på att implementera SoD men är förvirrad över var du ska börja, här är stegen du kan följa:
Definiera organisatoriska processer och policyer
Först och främst måste du definiera alla viktiga organisatoriska processer som medarbetarna ansvarar för. Det kan baseras på din organisations storlek och branschtyp. När du har definierat varje process och uppgift, lista dina policyer också. Definiera policyer för dina interna anställda, externa leverantörer och andra enheter du har att göra med.
Till exempel, på din HR-avdelning, kanske du vill lista uppgifter som att anställa och ta in anställda, skapa förmåner och ersättning, clearing av betalningar, journalföring, etc. På samma sätt kan du på kontoavdelningen lista uppgifter som produktleveransbekräftelse, granska fakturor , signering av checkar, betalning av fakturor osv.
Dessutom måste du beskriva policyer som du har gjort för dina avdelningar och anställda. Till exempel får en anställd som utfärdar betalning inte också vara den som undertecknar checkar. Ett annat exempel på en policy kan vara – den anställde som är ansvarig för att sälja en produkt får inte också bekräfta leveransen.
Skapa en SoD-matris
Efter att ha definierat dina uppgifter och policyer måste du skapa en SoD-matris för att lista alla roller och uppgifter. Det hjälper dig att förstå vilka anställda som är ansvariga för vilka uppgifter, och om det finns någon möjlighet för en SoD-konflikt eller överträdelse.
Ovanstående diagram hjälper dig att skapa en SoD-matris för din organisation. Men ibland blir det svårt att upptäcka SoD-konflikter, särskilt när representationerna inte stämmer överens med uppgifterna. För detta kan du ta två tillvägagångssätt när du skapar en SoD-matris:
Definiera tydligt alla uppgifter och märk varje SoD-konflikt: det skapar en stor matris men ger bättre noggrannhet när det gäller att representera uppgifterna och rollerna visuellt.
Utelämna några uppgifter eller gruppera dem: Det kommer att ge dig en komprimerad matris, som är lätt att analysera och fokusera på SoD-konflikter. Det kan dock leda till falska positiva resultat och fel som påverkar SoD-resultaten och konflikterna.
Tilldela uppgifter
När du har upptäckt alla SoD-konflikter, börja tilldela uppgifter och deluppgifter till anställda, utnyttja konceptet med segregering av arbetsuppgifter. Om du stöter på ett scenario där du inte kan tillämpa SoD, hitta ett bra sätt att kontrollera och övervaka den anställde som utför uppgiften för att avskräcka eventuella risker.
Hantera och granska
Det är viktigt att övervaka och granska dina uppgifter och roller för att säkerställa att SoD är väl implementerat och att det inte finns någon potentiell konflikt eller kränkning. Och om du upptäcker några, hantera dina roller och uppgifter genom att tilldela dem igen. Fortsätt övervaka för att förebygga risker.
Slutsats
Segregation of Duties (SoD) är ett utmärkt sätt att hantera interna kontroller och förhindra bedrägerier och fel. Det kommer att bidra till att säkerställa organisatorisk säkerhet så att ingen får överdriven kontroll, tillräckligt för att orsaka skada på din organisation i form av dataläckor, bedrägerier eller olagliga aktiviteter. Så implementera SoD i din organisation och var säker och vaksam.
Du kan också utforska några verktyg för upptäckt och förebyggande av bedrägerier för onlineföretag.