Phân chia nhiệm vụ (SoD) là một yếu tố chính trong chiến lược quản lý rủi ro của tổ chức.
Báo cáo năm 2022 của Hiệp hội các nhà kiểm tra gian lận được chứng nhận (ACFE) nhấn mạnh rằng các công ty phải chịu thiệt hại khoảng 1 783.000 USD do gian lận của nhân viên trong mỗi trường hợp.
Điều này giải thích tại sao các doanh nghiệp hiện đại phải quản lý rủi ro một cách cân bằng trong thời đại gian lận, gian lận và sai sót ngày càng gia tăng.
Và SoD nhằm mục đích kiểm soát, quản lý và thậm chí giảm thiểu các mối đe dọa này để tổ chức có khả năng kiểm soát tốt hơn với mức độ nhận thức và bảo mật được tăng cường.
Trong bài viết này, tôi sẽ thảo luận về SoD là gì, ý nghĩa của nó và các thuật ngữ chính khác liên quan đến nó.
Vì vậy, hãy bắt đầu và học cách lấy lại quyền kiểm soát!
Sự phân chia nhiệm vụ là gì?
Phân chia nhiệm vụ (SoD) là một khái niệm quan trọng trong quản lý rủi ro và kiểm soát nội bộ trong một tổ chức nơi có nhiều người chịu trách nhiệm thực hiện các phần khác nhau của một nhiệm vụ. Nó được thực hiện để ngăn chặn việc lạm dụng thông tin, gian lận, trộm cắp và các rủi ro bảo mật khác.
Tuy nhiên, nhiệm vụ có thể được thực hiện bởi một người, nhưng nó được chia thành nhiều phần. Điều này giúp đảm bảo rằng không một cá nhân nào có quyền kiểm soát độc quyền đối với nhiệm vụ hoặc kiểm soát quá mức đến mức có thể lạm dụng các biện pháp kiểm soát cho các mục đích trái phép hoặc các hoạt động gian lận. Thay vào đó, nó sẽ được chia sẻ bởi ít nhất hai người.
Hiện nay, SoD đang được triển khai trong nhiều lĩnh vực khác nhau như kế toán, tài chính, tiền lương, hành chính, v.v. Trong chính trị, nó đang trở thành sự phân chia quyền lực ba bên trong các nền dân chủ nơi chính phủ được chia thành tư pháp, hành pháp và lập pháp.
SoD trong quản lý rủi ro
SoD hoạt động trên cơ sở chia sẻ trách nhiệm và việc điều hành một tổ chức hoặc doanh nghiệp không thể là trách nhiệm của một người. Đừng tin tưởng một người sẽ có toàn quyền kiểm soát một nhiệm vụ có khả năng dẫn đến gian lận, sai sót hoặc gây tổn hại đến danh tiếng của công ty.
Trên thực tế, SoD là một yếu tố thiết yếu trong quản lý rủi ro doanh nghiệp và tuân thủ các quy định như Đạo luật Sarbanes-Oxley (SOX) năm 2002.
Việc phân chia trách nhiệm giữa nhiều nhân viên có trách nhiệm sẽ làm giảm cơ hội của nhân viên hoặc bên thứ ba về:
- Lạm dụng thông tin bí mật của tổ chức
- Trộm cắp tiền
- Làm giả hồ sơ (ví dụ: tài chính) để đánh lừa các bên liên quan hoặc làm tăng giá cổ phiếu
- Chiến dịch trả thù được phát động sau khi bị cáo buộc lạm dụng
- Tham gia vào hoạt động gián điệp của công ty
Và nếu bạn không tuân theo chiến lược an toàn như SoD, điều đó có thể dẫn đến thiệt hại đáng kể cho tổ chức của bạn về mặt tài chính, các hình phạt tuân thủ và hình ảnh thương hiệu. Do đó, nên triển khai SoD trong toàn doanh nghiệp, từ bộ phận kế toán, tiền lương đến bộ phận công nghệ thông tin (CNTT) và an ninh mạng.
Ví dụ về SoD
Hãy xem xét một số ví dụ có thể sử dụng SoD.
Kế toán
Trong kế toán, các tổ chức có thể cấm các cá nhân đạt được quyền lực quá mức để che giấu tài sản và các sai sót tài chính.
SoD sẽ yêu cầu bạn phân tích cẩn thận tất cả các vai trò kế toán trong tổ chức của bạn và tách biệt các nhiệm vụ để cùng một người không thể thực hiện toàn quyền kiểm soát một chức năng nhất định. Ví dụ: cùng một người không thể nhận séc và ghi lại séc đã nhận.
công nghệ thông tin và an ninh mạng
Chính sách SoD có thể giúp ngăn ngừa rủi ro kiểm soát truy cập CNTT. Bạn phân bổ trách nhiệm quy trình công việc bằng cách đảm bảo rằng cùng một nhóm hoặc cá nhân không được cấp nhiều quyền truy cập.
Nếu một cá nhân có quyền truy cập vượt quá trách nhiệm của họ, họ có thể sử dụng sai mục đích và tiết lộ thông tin cho người ngoài hoặc cấp cho họ quyền truy cập. Đồng thời, không ai khác biết về nó.
Tình trạng này có thể là thảm họa. Ví dụ: cùng một người không thể nhận cảnh báo từ hệ thống bảo mật hoặc quản lý quyền truy cập vào hệ thống đó.
Tuân thủ và kiểm soát
Việc thực hiện các chiến lược SOD mạnh mẽ có thể giúp loại bỏ các lỗi của nhân viên, dù cố ý hay vô ý. Bạn cũng có thể bắt gặp các báo cáo giả mạo nếu có. Bằng cách này, bạn có thể bảo vệ tổ chức của mình khỏi các hành vi vi phạm tuân thủ. Ví dụ: bạn phải giao cho cùng một người trách nhiệm nộp hồ sơ và kiểm tra thông tin tài chính của bạn.
Những ví dụ khác
Cùng một người không phải chịu trách nhiệm về:
- Tạo và phê duyệt đơn hàng
- Tạo và phê duyệt hóa đơn nhà cung cấp
- Chuẩn bị hóa đơn và nhập các giao dịch bán hàng vào sổ cái
- Trả lương và tuyển dụng nhân viên
- Ghi lại tiền mặt nhận được và tạo ghi chú tín dụng
- Giao dịch chứng khoán và quản lý mua bán sáp nhập
- Thiết lập người mua và phê duyệt yêu cầu hoặc đơn đặt hàng
Ưu điểm của SD
Một số lợi ích của việc sử dụng SoD trong tổ chức của bạn là:
# 1. Phòng ngừa và phát hiện gian lận
Các tổ chức đang trở thành nạn nhân của gian lận hơn bao giờ hết. Nó bao gồm các hoạt động gian lận như gian lận séc, tống tiền tiền mặt, biển thủ tài sản, giả mạo tài liệu, biên lai giả, hóa đơn, lỗi kế toán, v.v.
Với SoD, bạn có thể chắc chắn rằng không một cá nhân hay nhóm nào chịu trách nhiệm thực hiện tất cả các chức năng của một nhiệm vụ nhất định. Điều này sẽ làm giảm khả năng phạm tội gian lận và che giấu nó. Nhiều sự chú ý hơn đến nhiệm vụ hiện tại có nghĩa là bất kỳ ai cũng có thể phát hiện, báo cáo và ngăn chặn gian lận nội bộ hoặc bên ngoài.
#2. Giảm lỗi của con người
Nếu bạn triển khai SoD một cách chính xác trong tổ chức của mình, bạn có thể thấy lỗi của con người và rủi ro liên quan giảm đáng kể trong các quy trình tài chính quan trọng của mình. Điều này có thể bao gồm các lỗi như chứng từ giao dịch không đầy đủ, nhân viên kế toán nhỏ, lỗi nhập dữ liệu, kiểm toán cẩu thả, v.v.
Việc sử dụng nhiều người thực hiện các giao dịch quan trọng về cơ bản sẽ làm tăng cơ hội để một người phát hiện ra mọi lỗi và sửa nó.
#3. Kiểm toán cải tiến
Việc giảm khả năng xảy ra rủi ro và sai sót sẽ cải thiện việc lưu trữ hồ sơ trong các bộ phận tài chính, tiền lương, kế toán, CNTT hoặc an ninh mạng. SoD sẽ giúp đảm bảo rằng hồ sơ của bạn được sắp xếp chính xác, loại bỏ các vấn đề như trùng lặp, phí trễ hạn, rủi ro tuân thủ, v.v.
Bằng cách này, bạn sẽ được chuẩn bị tốt hơn cho các cuộc kiểm toán, dù là hàng năm, nửa năm hay hàng quý. Bạn cũng sẽ cảm thấy tự tin hơn trong việc tuân thủ các quy định và tránh bị phạt.
#4. Tăng hiệu quả
Một số người có thể nghĩ rằng việc bổ sung thêm vai trò sẽ dẫn đến kém hiệu quả và chi phí cao hơn. Tuy nhiên, nếu bạn lập kế hoạch tốt cho SoD của mình thì nó sẽ phát huy được hiệu quả. Điều này là do bạn chia nhiệm vụ thành nhiều nhiệm vụ phụ, mỗi nhiệm vụ được thực hiện bởi người có chuyên môn phù hợp với độ chính xác và tốc độ cao hơn.
Điều này không chỉ giảm thiểu rủi ro mà còn mang lại hiệu quả cao hơn so với trường hợp một người phải làm toàn bộ công việc. Ngoài ra, chi phí thiệt hại cho công ty khi không có SoD sẽ lớn hơn nhiều so với số tiền bạn đầu tư để thuê thêm nhân viên.
Một số thuật ngữ SoD
Để hiểu rõ hơn về SoD, bạn cần làm quen với các thuật ngữ sau:
# 1. xung đột SoD
Xung đột SoD có thể nảy sinh khi một người hành động trái với lợi ích của tổ chức và lợi ích của chính họ. Điều này có nghĩa là họ có nhiều vai trò để thực hiện nhiều chức năng quan trọng trong quy trình. Điều này có thể ảnh hưởng đến tính toàn vẹn của quy trình cũng như hoạt động kinh doanh.
Xung đột SoD có thể xảy ra trên các miền khác nhau của một tổ chức, chẳng hạn như Đặt hàng bằng tiền mặt (O2C) hoặc Mua để thanh toán (P2P). Để giảm xung đột SoD, những sự cố như vậy cần được phân tích và đánh giá. Các tổ chức cũng phải thực hiện các biện pháp kiểm soát chặt chẽ và đề phòng nhân viên tham gia vào các hoạt động bất hợp pháp.
Một chiến lược tốt để ngăn ngừa xung đột SoD có thể là sử dụng kiểm soát truy cập dựa trên vai trò (RBAC) trong toàn tổ chức. RBAC đảm bảo rằng các quyền truy cập và kiểm soát được cấp cho người dùng dựa trên vai trò và trách nhiệm của họ trong tổ chức, không hơn thế nữa.
Trong trường hợp này, bạn có thể chỉ định người được ủy quyền để phân tích từng vai trò được giao và quyền truy cập đối với sự chồng chéo SoD giữa các vai trò và trong các vai trò.
Tuy nhiên, bất kỳ xung đột nào đều không có nghĩa là gây tổn hại hoặc hoạt động bất hợp pháp. Người dùng có thể đã vô tình, vô tình thực hiện việc này hoặc thực hiện một chức năng bắt buộc đối với một công ty cần nhiều quyền hơn.
Do đó, các công ty nên xem xét cẩn thận vụ việc và đánh giá các chính sách vi phạm SoD của mình để đảm bảo rằng xung đột không leo thang thành gian lận hoặc hoạt động bất hợp pháp.
#2. vi phạm SoD
Vi phạm SoD có thể xảy ra khi nhân viên của một tổ chức lạm dụng vai trò của mình và cố tình truy cập thông tin hoặc thực hiện các hoạt động bị cấm. Điều này có nghĩa là họ vi phạm chính sách nội bộ của tổ chức hoặc các quy định bên ngoài.
Nhân viên có thể vi phạm SoD khi nắm quyền kiểm soát nhiều bước trong quy trình bằng cách vượt quá các bước cho phép. Sau đó, họ lạm dụng quyền truy cập vì lợi ích riêng của họ.
Ví dụ: Một công ty có thể thiết lập một chính sách theo đó người thuê nhân viên cũng không được chia tiền lương. Điều này là do nếu họ làm cả hai, họ có thể sử dụng nó để làm lợi thế cho mình và sắp xếp một hoạt động lừa đảo hoặc bất hợp pháp. Vì vậy, nó sẽ trở thành vi phạm SoD.
Đây là hình thức vi phạm SoD nội bộ; chúng tôi sẽ hiểu vi phạm SoD bên ngoài có thể xảy ra như thế nào. Ví dụ, người ra quyết định cấp cao như Giám đốc điều hành của một tổ chức có hành vi thao túng báo cáo tài chính vi phạm các quy định của SOX.
Điều này có thể dẫn đến các hình phạt tài chính nặng nề cho tổ chức và nhân viên cũng có thể phải đối mặt với án tù. Điều này gây bất lợi cho tổ chức về mặt uy tín và chi phí.
Để giảm thiểu vi phạm SoD, tổ chức phải giám sát các vi phạm của mình và hành động của từng nhân viên. Họ cũng cần cập nhật chính sách của mình với không gian công nghệ đang thay đổi.
#3. ma trận SoD
Ma trận SoD là một phương pháp được các nhà quản lý sử dụng để giảm độ phức tạp của SoD. Nó cho phép các nhà quản lý phân biệt giữa các trách nhiệm, vai trò và rủi ro khác nhau trong tổ chức.
Ngoài ra, mảng SoD có thể phát hiện các xung đột tiềm ẩn trong toàn tổ chức và giúp giải quyết chúng kịp thời đồng thời bảo vệ khỏi những thiệt hại lớn.
Ở các công ty hiện đại dựa vào phần mềm ERP, mảng SoD được tạo tự động. Ma trận SoD được tạo dựa trên nhiệm vụ và vai trò của người dùng được xác định trong phần mềm ERP của họ.
Trong trường hợp này, mỗi tác vụ phải khớp một quy trình trong luồng giao dịch nhất định với các nhiệm vụ và vai trò nhóm, đảm bảo rằng không người dùng nào có thể hoàn thành nhiều hơn một bước trong quy trình làm việc.
Hơn nữa, ma trận SoD có thể được biểu diễn bằng biểu đồ trong đó vai trò của người dùng được duy trì trên cả hai trục – X và Y, biểu thị xung đột SoD. Nó cũng ánh xạ các trách nhiệm và hoạt động thành các vai trò trong quy trình công việc để cho phép các nhóm tuân thủ phân tách các trách nhiệm không tương thích.
Ma trận SoD có thể được tạo bằng phần mềm như MS Excel hoặc bằng tay trên một tờ giấy. Chúng cũng có thể được tạo bằng công cụ ERP.
Ví dụ: Đây là ví dụ về tạo ma trận SoD cho bảng lương của nhân viên. Bạn có thể sử dụng bất kỳ ý nghĩa nào như có/không, cờ hoặc mũi tên màu, dấu kiểm, v.v. cho vai trò và trách nhiệm. Hãy sử dụng Y/N trong biểu đồ bên dưới.
Quy trìnhTham gia nhân viênTạo séc tính lươngThanh toán thanh toánQuản lý phúc lợiTham gia nhân viên1YNNNOTham gia1YNNNTạo thanh toán2NYYNThanh toán thanh toán3NYYNQuản lý phúc lợi4NNNY
Biểu đồ trên cho thấy người lao động 2 có quyền tạo ra các khoản thanh toán và giải quyết chúng. Vì vậy, họ không thể thay đổi phúc lợi hoặc thuê nhân công. Nếu họ làm vậy thì có thể xảy ra xung đột SoD. Nhân viên cũng vậy 1 chịu trách nhiệm tuyển dụng nhân viên mới. Do đó, họ không thể tạo các khoản thanh toán, quản lý lợi ích hoặc giải quyết các khoản thanh toán. Nếu không, xung đột SoD có thể xảy ra.
Cách triển khai SoD
Vì vậy, nếu bạn đang nghĩ đến việc triển khai SoD nhưng không biết bắt đầu từ đâu, đây là các bước bạn có thể làm theo:
Xác định các quy trình và chính sách của tổ chức
Trước hết, tất cả các quy trình tổ chức quan trọng mà nhân viên chịu trách nhiệm phải được xác định. Nó có thể dựa trên quy mô tổ chức và loại hình ngành của bạn. Sau khi xác định từng quy trình và nhiệm vụ, hãy liệt kê các chính sách của bạn. Xác định chính sách cho nhân viên nội bộ, nhà cung cấp bên ngoài và các bên khác mà bạn làm việc cùng.
Ví dụ: trong bộ phận nhân sự, bạn có thể muốn liệt kê các nhiệm vụ như tuyển dụng và giới thiệu, tạo phúc lợi và tiền lương, thanh toán, lưu giữ hồ sơ, v.v. Tương tự, trong bộ phận kế toán, bạn có thể muốn liệt kê các nhiệm vụ như xác nhận giao sản phẩm, xem xét hóa đơn, ký séc, thanh toán hóa đơn, v.v.
Ngoài ra, bạn sẽ cần trình bày các chính sách mà bạn đã áp dụng cho các phòng ban và nhân viên của mình. Ví dụ: nhân viên thực hiện thanh toán không thể ký séc cùng một lúc. Một ví dụ khác về chính sách có thể là nhân viên chịu trách nhiệm bán sản phẩm không thể đồng thời xác nhận việc giao hàng.
Tạo mảng SoD
Sau khi xác định nhiệm vụ và chính sách, hãy tạo ma trận SoD liệt kê tất cả các vai trò và nhiệm vụ. Điều này sẽ giúp bạn hiểu nhân viên nào chịu trách nhiệm cho nhiệm vụ nào và liệu có khả năng xảy ra xung đột hoặc vi phạm SoD hay không.
Biểu đồ trên sẽ giúp bạn tạo ma trận SoD cho tổ chức của mình. Tuy nhiên, đôi khi rất khó phát hiện xung đột SoD, đặc biệt khi các biểu diễn không phù hợp với nhiệm vụ. Đối với điều này, có thể thực hiện hai cách tiếp cận khi tạo mảng SoD:
Xác định rõ ràng tất cả các nhiệm vụ và gắn nhãn cho mọi xung đột SoD: tạo ra một ma trận lớn nhưng mang lại độ chính xác cao hơn trong việc thể hiện trực quan các nhiệm vụ và vai trò.
Bỏ qua một số nhiệm vụ hoặc nhóm chúng: Điều này sẽ cung cấp một ma trận cô đọng, dễ phân tích và tập trung vào các xung đột SoD. Tuy nhiên, điều này có thể dẫn đến kết quả dương tính giả và lỗi ảnh hưởng đến kết quả và xung đột SoD.
Phân công nhiệm vụ
Sau khi phát hiện tất cả xung đột SoD, hãy bắt đầu phân công nhiệm vụ và nhiệm vụ phụ cho nhân viên bằng cách sử dụng khái niệm phân chia nhiệm vụ. Nếu bạn gặp phải tình huống không thể áp dụng SoD, hãy nghĩ ra một cách mạnh mẽ để kiểm soát và giám sát công nhân đang thực hiện công việc nhằm ngăn chặn mọi rủi ro.
Quản lý và duyệt
Điều rất quan trọng là phải giám sát và xem xét các nhiệm vụ cũng như vai trò của bạn để đảm bảo SoD được triển khai tốt và không có xung đột hoặc vi phạm tiềm ẩn. Và nếu bạn phát hiện bất kỳ điều gì, hãy quản lý vai trò và nhiệm vụ của mình bằng cách phân công lại chúng. Tiếp tục theo dõi để ngăn chặn các mối đe dọa.
Ứng dụng
Phân chia nhiệm vụ (SoD) cung cấp một cách tuyệt vời để quản lý kiểm soát nội bộ và ngăn chặn gian lận và sai sót. Nó sẽ giúp đảm bảo an ninh cho tổ chức để không ai có được sự kiểm soát quá mức, đủ để gây thiệt hại cho tổ chức của bạn dưới hình thức rò rỉ dữ liệu, gian lận hoặc hoạt động bất hợp pháp. Do đó, hãy triển khai SoD trong tổ chức của bạn và đảm bảo an toàn và cảnh giác.
Bạn cũng có thể xem một số công cụ phát hiện và ngăn chặn gian lận dành cho doanh nghiệp trực tuyến.
