fbpx
Academy Lab

Разделение обязанностей – как правильно?

Правильное разделение обязанностей – это один из «китов», на которых основывается грамотно построенная система внутренних контролей. Об этом знают все, ну или почти все, кто так или иначе сталкивается с управлением. Однако, далеко не все трактуют это понятие одинаково.

Классическая теория построения системы внутренних контролей говорит, что несовместимыми являются три функции:

  1. Авторизация (authorize)
  2. Запись в бухгалтерской системе (record)
  3. Хранение активов (custody).

Главной целью такого разделения является сокращение риска мошенничества, а главным ограничением – принцип «затраты-выгоды», который гласит, что затраты по внедрению контроля не должны превышать выгод от его применения.

Уверена, что многие из Вас прекрасно помнят, что в эффективной системе внутренних контролей разные сотрудники (или отделы) отвечают за инициирование приобретения запасов (отдела учета запасов), авторизацию закупок (отдела закупок), запись в бухгалтерской системе (отдел бухгалтерии) и хранение активов (склад). В случае, если же некоторые несовместимые функции оказываются в «одних руках», должны быть внедрены компенсирующие контроли.

Как и в традиционном «бухгалтерском» подходе, существуют несовместимые IT функции, которые не должны быть «в одних руках». Приведем наиболее показательные функции, которые должны быть разделены.

  • ИТ-функция и пользовательские функции в отделе. Хотя в отделе и может существовать ИТ-поддержка, решающая небольшие задачи (так называемый help desk), но «пользовательские» отделы не должны заниматься вопросами своей информационной безопасности, программирования и другими критическими ИТ-функциями. Пользователи должны внести свой вклад, участвуя в тестировании систем и приложений. Однако, большинство ИТ-функций должны быть «закрыты» для пользователей. В свою очередь ИТ-специалисты не должны «работать» конечными пользователями – вводить, изменять данные.
  • Функция администратора базы данных (database administratorDBA) и остальные ИТ-функции. Администратор баз данных – это некий супер-пользователь, который «знает о данных все и даже больше». Он знает, что это за данные, структуру базы данных и систему управления базами данных, может удалять и изменять данные. Как следствие, в хорошей структуре администратор баз данных никогда не будет заниматься программированием, вопросами безопасности или вводом компьютерных операций.
  • Разработка компьютерных приложений и остальные ИТ-функции. Это значит, что те, кто занимаются вводом данных, поддержкой, управлением ИТ-инфраструктурой, не должны заниматься разработкой, написанием и поддержкой программ. Кроме того, те сотрудники, которые «принимают» написанное приложение или программу, должны отличаться от тех, кто отвечает за ее написание и тестирование.
  • Функция информационной безопасности и остальные ИТ-функции. Крупные компании выделяют данную функцию из ИТ-отдела. Отдел информационной безопасности обычно подчиняется напрямую первому лицу в компании и занимается работами по защите информации (выявление возможных каналов утечки, других угроз, обеспечение выполнения законодательных требований в сфере защиты информации).

Хотите получить систематизированные знания по системе внутреннего контроля?

Узнайте больше о возможностях обучения в Академии бизнеса Б1

    Академия бизнеса

    Оставьте свой комментарий