Разделение обязанностей

Часть серии о
Бухгалтерский учет
Историческая стоимость Постоянная покупательная способность Управление Налог
показывать Основные типы Audit Budget Cost Forensic Financial Fund Governmental Management Social Tax
показывать Ключевые понятия Accounting period Accrual Constant purchasing power Economic entity Fair value Going concern Historical cost Matching principle Materiality Revenue recognition Unit of account
показывать Выбранные аккаунты Assets Cash Cost of goods sold Depreciation / Amortization (business) Equity Expenses Goodwill Liabilities Profit Revenue
показывать Стандарты бухгалтерского учета Generally-accepted principles Generally-accepted auditing standards Convergence International Financial Reporting Standards International Standards on Auditing Management Accounting Principles
показывать Финансовая отчетность Annual report Balance sheet Cash-flow Equity Income Management discussion Notes to the financial statements
показывать Бухгалтерия Bank reconciliation Debits and credits Double-entry system FIFO and LIFO Journal Ledger / General ledger Trial balance
показывать Аудит Financial Internal Firms Report Sarbanes–Oxley Act
показывать Люди и организации Accountants Accounting organizations Luca Pacioli
показывать Разработка History Research Positive accounting Sarbanes–Oxley Act
показывать Проступок Creative Earnings management Error account Hollywood Off-balance-sheet Two sets of books
v т и

Разделение обязанностей (SoD), также известное как разделение обязанностей , — это концепция, согласно которой для выполнения задачи требуется более одного человека. Это административный контроль, используемый организациями для предотвращения мошенничества, саботажа, кражи, неправильного использования информации и других угроз безопасности. В политической сфере это известно как разделение властей , что можно увидеть в демократических странах , где правительство разделено на три независимые ветви власти: законодательную , исполнительную и судебную .

Разделение обязанностей является ключевой концепцией внутреннего контроля. Повышенная защита от мошенничества и ошибок должна быть сбалансирована с увеличением необходимых затрат/усилий.

По сути, SoD реализует соответствующий уровень сдержек и противовесов в отношении деятельности отдельных лиц. Р. А. Бота и Дж. Х. П. Элофф в IBM Systems Journal описывают SoD следующим образом.

Разделение обязанностей как принцип безопасности имеет своей основной целью предотвращение мошенничества и ошибок. Эта цель достигается путем распространения задач и связанных с ними привилегий для конкретного бизнес-процесса среди нескольких пользователей. Этот принцип демонстрируется на традиционном примере разделения обязанностей, заключающемся в требовании двух подписей на чеке. ^{[ 1 ]}

Фактические названия должностей и организационная структура могут сильно различаться в разных организациях, в зависимости от размера и характера бизнеса. Соответственно, ранг или иерархия менее важны, чем набор навыков и способности участвующих лиц. С помощью концепции SoD критически важные для бизнеса обязанности можно разделить на четыре типа функций: авторизация, хранение, ведение учета и сверка. В идеальной системе ни один человек не должен выполнять более одного типа функций.

В принципе, несколько подходов могут быть частично или полностью разными парадигмами:

• последовательное разделение (принцип двух подписей)
• индивидуальное разделение ( принцип четырех глаз )
• пространственное разделение (отдельное действие в отдельных локациях)
• факторное разделение (несколько факторов способствуют завершению)

Человек с несколькими функциональными ролями имеет возможность злоупотреблять этими полномочиями. Схема минимизации риска следующая:

1. Начните с функции, которая незаменима, но потенциально может стать объектом злоупотреблений.
2. Разделите функцию на отдельные этапы, каждый из которых необходим для работы функции или для получения полномочий, позволяющих злоупотреблять этой функцией.
3. Назначьте каждый шаг другому человеку или организации.

Общие категории функций, которые следует разделить:

• функция авторизации
• функция записи, например, подготовка исходных документов или кода или отчетов о производительности
• прямое или косвенное хранение активов, например, получение чеков по почте или внесение изменений в исходный код или базу данных.
• сверка или аудит
• разделение одного ключа безопасности на две (более) части между ответственными лицами

В первую очередь индивидуальное разделение рассматривается как единственный выбор.

Термин SoD уже хорошо известен в системах финансового учета. Компании всех размеров понимают, что не следует совмещать такие функции, как получение чеков (оплата на счет) и одобрение списаний, внесение наличных и сверка банковских выписок, утверждение табелей учета рабочего времени и хранение чеков по заработной плате и т. д. SoD является довольно новым явлением для большинства информационных систем. Технологических (ИТ) отделов, но высокий процент проблем внутреннего аудита Сарбейнса-Оксли связан с ИТ. ^{[ 2 ]}

В информационных системах разделение обязанностей помогает снизить потенциальный ущерб от действий одного человека. Отдел информационных технологий или конечных пользователей должен быть организован таким образом, чтобы обеспечить адекватное разделение обязанностей. Согласно матрице контроля разделения обязанностей ISACA, ^{[ 3 ]} некоторые обязанности не следует совмещать в одной должности. Эта матрица не является отраслевым стандартом, а лишь общим руководством, предполагающим, какие позиции следует разделить, а какие требуют компенсирующих мер управления при объединении.

В зависимости от размера компании функции и обозначения могут различаться. Небольшие компании, у которых нет SoD, обычно сталкиваются с проблемами в циклах выплат, когда могут происходить несанкционированные покупки и платежи. ^{[ 4 ]} Когда обязанности не могут быть разделены, следует предусмотреть компенсирующий контроль. Компенсирующие средства контроля – это средства внутреннего контроля, которые предназначены для снижения риска существующей или потенциальной слабости средств контроля. Если один человек может совершать и скрывать ошибки и/или нарушения в ходе выполнения своей повседневной деятельности, на него возлагаются обязанности, несовместимые с SoD. Существует несколько механизмов контроля, которые могут помочь обеспечить разделение обязанностей:

1. Журналы аудита позволяют ИТ-менеджерам или аудиторам воссоздать фактический поток транзакций от точки их создания до момента их существования в обновленном файле. Должен быть обеспечен хороший контрольный журнал, позволяющий предоставлять информацию о том, кто инициировал транзакцию, время суток и дату записи, тип записи, какие поля информации она содержала и какие файлы она обновляла.
2. Согласование приложений и независимый процесс проверки в конечном итоге лежат на пользователях, что можно использовать для повышения уровня уверенности в том, что приложение работало успешно.
3. Отчеты об исключениях обрабатываются на надзорном уровне и подкрепляются доказательствами того, что исключения обрабатываются правильно и своевременно. Обычно требуется подпись лица, составившего отчет.
4. Необходимо вести ручные или автоматизированные журналы транзакций системы или приложений, в которых фиксируются все обработанные системные команды или транзакции приложений.
5. Надзорная проверка должна осуществляться путем наблюдения и расследования.
6. Чтобы компенсировать ошибки или преднамеренные неудачи, следуя установленной процедуре, рекомендуется проводить независимые проверки. Такие проверки могут помочь обнаружить ошибки и нарушения.

Бухгалтерская профессия вложила значительные средства в разделение обязанностей из-за осознания рисков, накопленных за сотни лет бухгалтерской практики.

Напротив, многие корпорации в Соединенных Штатах обнаружили, что неожиданно высокая доля проблем внутреннего контроля Сарбейнса-Оксли связана с ИТ. Разделение обязанностей обычно используется в крупных ИТ-организациях, чтобы ни один человек не мог внедрить мошеннический или вредоносный код или данные незамеченным. Управление доступом на основе ролей часто используется в ИТ-системах, где требуется SoD. В последнее время, когда количество ролей в растущей организации увеличивается, гибридная модель управления доступом с управлением доступом на основе атрибутов . для устранения ограничений ее аналога на основе ролей используется ^{[ 5 ]}

Строгий контроль над изменениями программного обеспечения и данных потребует, чтобы одно и то же лицо или организация выполняли только одну из следующих ролей:

• Идентификация требования (или запроса на изменение); например, деловой человек
• Разрешение и одобрение; например совет по управлению ИТ или менеджер
• Проектирование и разработка; например, разработчик
• Рассмотрение, проверка и утверждение ; например, другой разработчик или архитектор.
• Внедрение в производство; обычно это специалист по изменению программного обеспечения или системный администратор .

Это не исчерпывающее описание жизненного цикла разработки программного обеспечения , а список критических функций разработки, применимых к разделению обязанностей.

Для успешной реализации разделения обязанностей в информационных системах необходимо решить ряд проблем:

• Процесс, используемый для обеспечения прав авторизации человека в системе, соответствует его роли в организации.
• Используемый метод аутентификации , например, знание пароля, владение объектом (ключом, жетоном) или биометрической характеристикой.
• Обход прав в системе может происходить через доступ к администрированию базы данных, доступ к администрированию пользователей, инструменты, обеспечивающие черный доступ, или учетные записи пользователей, установленные поставщиком. Для решения этой конкретной проблемы могут потребоваться специальные меры контроля, такие как просмотр журнала активности.

• Ника Сабо Эссе о разделении обязанностей в Wayback Machine (архивировано 6 марта 2016 г.)
• «Определение разделения/разделения обязанностей» , ISACA
• «Разделение обязанностей для уменьшения рисков безопасности» , Datamation
• «Прозрачность, разделение, разделение, ротация и контроль обязанностей» , ISM3