Implementarea managementului cuprinzător de împărțire a sarcinilor în organizație

Împărțirea sarcinilor (eng. Segregation of Duties) este, pe scurt, atribuirea realizării diferitelor părți ale unei sarcini sau tranzacții unor persoane diferite, astfel încât să prevină ca o singură persoană să obțină control exclusiv sau excesiv asupra procesului, și apoi să utilizeze abuziv acest control în scopuri criminale sau neautorizate, cum ar fi comiterea de fraudă sau delapidare.

Identificarea sarcinilor și tranzacțiilor care necesită împărțire, se bazează pe analiza riscului în procese.

Implementarea și executarea Împărțirii Sarcinilor (SoD) este o problemă importantă care constituie:

  • Metoda controlului intern în organizație
  • Element al Strategiei de Management al Riscului
  • Asigurarea respectării legilor și reglementărilor
  • Reducerea posibilităților de a ascunde erori sau abuzuri

SoD, ca element al Strategiei de Management al Riscului, permite, de asemenea:

  • Înțelegerea riscurilor reieșite din utilizarea unei anumite tehnologii/sisteme IT (date prelucrate, numărul de utilizatori, locația punctelor de acces, metoda de autentificare)
  • Introducerea și implementarea controalelor și procedurilor (inclusiv în domeniul securității cibernetice) pentru a face posibilă realizarea proceselor critice fără perturbări

Implementarea SoD este legată de împărțirea sarcinilor sau tranzacțiilor în procese în sarcini mai mici (parțiale) în cadrul tipurilor de atribuții (Autorizare, Supraveghere, Realizare, Verificare) și atribuirea acestora diferitelor persoane.

În cursul unei implementări SoD efectuate corect, ar trebui cel puțin:

  • Să se identifice procesele pentru care dorim să implementăm împărțirea sarcinilor
  • Să se efectueze o analiză de risc și, pe această bază, să se selecteze procesele și să se împartă sarcinile în responsabilități parțiale
  • Să se construiască o matrice SoD care să arate ce sarcini nu pot fi combinate din cauza riscului
  • Să se implementeze împărțirea sarcinilor în organizație și să se înceapă monitorizarea eventualelor conflicte și încălcări, inclusiv prin utilizarea instrumentelor de monitorizare furnizate, de exemplu, în sistemele ERP.

Pentru a îmbunătăți implementarea, folosim liste pregătite de procese tipice afectate de potențiale amenințări, și structura dovedită a matricei SoD.

Avantajele implementării SoD sunt:

  • Prevenirea activităților unilaterale, necontrolate în proces
  • Împărțirea sarcinilor critice de afaceri în cele mai importante procese pe diferite funcții
  • Introducerea elementelor de control în fluxurile de muncă și conștientizarea organizației cu privire la riscuri
  • Urmărirea și identificarea eficientă și eficace a erorilor, vinovăției sau fraudei.
  • Împărțirea eficientă a sarcinilor între utilizatorii individuali
  • Detectarea amenințărilor rezultate din accesul utilizatorului la un domeniu excesiv al funcției

În timpul implementării SoD în organizațiile care dețin sistemul IFS Applications, configurăm componenta de audit SoD în acest sistem. Iar lucrările se concentrează, printre altele, pe:

  • Analiza nivelului de configurare a competențelor și a nivelurilor de acces la sistem, generatoare de risc
  • Împărțirea sarcinilor între utilizatorii individuali pe baza competențelor
  • Configurarea regulilor SoD în modulul de audit