HomeAktualnościWdrożenie kompleksowego zarządzania podziałem obowiązków w organizacji

Wdrożenie kompleksowego zarządzania podziałem obowiązków w organizacji

  • 2 marca 2023
  • Kategoria: Aktualności
Security and segregation of duties

Podział obowiązków (ang. Segregation of Duties) polega w największym skrócie na przypisaniu do realizacji różnych części zadania lub transakcji różnym osobom, tak aby zapobiec uzyskaniu przez jedną osobę wyłącznej lub nadmiernej kontroli nad procesem, a następnie nadużyciu tej kontroli do przestępczych lub nieautoryzowanych celów, takich jak popełnianie oszustw lub defraudacja.

Identyfikacja zadań i transakcji wymagających podziału odbywa się na bazie analizy ryzyka w procesach.

Wdrożenie i egzekwowanie Podziału Obowiązków (SoD) jest ważnym zadaniem, stanowiącym:

  • Sposób kontroli wewnętrznej w organizacji
  • Element Strategii Zarządzania Ryzykiem
  • Zapewnienie zgodności z prawem i regulacjami
  • Ograniczenie możliwości ukrywania błędów lub nadużyć

SoD jako element Strategii Zarządzania Ryzykiem umożliwia też:

  • Zrozumienie, jakie zagrożenia płyną z użytkowania danej technologii / systemów informatycznych (przetwarzane dane, liczba użytkowników, lokalizacja punktów dostępu, sposób uwierzytelniania)
  • Wprowadzenie i realizację kontroli i procedur (w tym z obszaru cyberbezpieczeństwa), aby umożliwić realizację krytycznych procesów bez zakłóceń

Wdrożenie SoD związane jest z podziałem zadań lub transakcji w procesach na mniejsze (cząstkowe) zadania w ramach typów obowiązków (Autoryzacja, Nadzór, Realizacja, Weryfikacja) i przypisaniu ich do różnych osób.

W trakcie poprawnie wykonanego wdrożenia SoD powinno się co najmniej:

  • Dokonać identyfikacji procesów w odniesieniu do których podział obowiązków chcemy wdrożyć
  • Dokonać analizy ryzyka i na tej podstawie wybrać procesy i podzielić zadania na cząstkowe obowiązki
  • Zbudować macierz SoD pokazująca, łączenie jakich obowiązków jest zabronione z uwagi na ryzyka
  • Wdrożyć podział obowiązków w organizacji i rozpocząć monitorowanie ew. konfliktów i naruszeń, w tym za pomocą narzędzi do monitorowania dostarczanych np. w systemach ERP.

W celu usprawnienia wdrożenia posługujemy się przygotowanymi listami typowych procesów, których dotyczą potencjalne zagrożenia oraz sprawdzoną struktura macierzy SoD.

Korzyściami z wdrożenia SoD są:

  • Zapobieganie jednostronnym, niekontrolowanym działaniom w procesie
  • Podział krytycznych zadań biznesowych w najważniejszych procesach na różne funkcje
  • Wprowadzenie do przepływów pracy elementów kontroli i uświadomienie ryzyka wewnątrz organizacji
  • Sprawne i skuteczne śledzenie i identyfikowanie pomyłki, winy lub oszustwa.
  • Skuteczne podzielnie obowiązków pomiędzy poszczególnych użytkowników
  • Wykrywanie zagrożeń wynikających z dostępów użytkowników do nadmiernego zakresu funkcji

Podczas wdrożenia SoD w organizacjach posiadających system IFS Application konfigurujemy komponent audytu SoD w tym systemie. A prace koncentrują się między innymi na:

  • Analizie poziomu konfiguracji uprawnień i generujących ryzyka poziomów dostępu do systemu
  • Rozdzieleniu obowiązków pomiędzy poszczególnych użytkowników na bazie uprawnień
  • Konfiguracji reguł SoD w module audytu