Разделение обязанностей

Разделение обязанностей (SoD; также известное как разделение обязанностей) - это концепция, когда для выполнения задачи требуется более одного человека. В бизнесе разделение более чем одного человека на одну задачу является внутренним контролем, предназначенным для предотвращения мошенничества и ошибки. Эту концепцию можно также назвать разделением обязанностей или, в политической сфере, разделением властей. В демократиях отделение законодательства от администрации служит той же цели. Эта концепция рассматривается в технических системах и в информационных технологиях эквивалентно и обычно рассматривается как избыточность.

• 1 Общее описание
  • 1.1 Принципы
  • 1.2 Вспомогательные шаблоны
• 2 Применение в общем бизнесе и бухгалтерском учете
• 3 Применение в информационных системах
• 4 Ссылки
• 5 Внешние ссылки

Разделение обязанностей является ключевым понятие внутреннего контроля. Повышенная защита от мошенничества и ошибок должна быть сбалансирована с увеличением требуемых затрат / усилий.

По сути, SoD обеспечивает соответствующий уровень сдержек и противовесов в отношении деятельности отдельных лиц. Р. А. Бота и Дж. Х. П. Элофф в IBM Systems Journal описывают SoD следующим образом.

Разделение обязанностей как принцип безопасности имеет своей основной целью предотвращение мошенничества и ошибок. Эта цель достигается путем распространения задач и связанных с ними привилегий для конкретного бизнес-процесса среди множества пользователей. Этот принцип демонстрируется на традиционном примере разделения обязанностей, обнаруженном в требовании наличия двух подписей на чеке.

Фактические названия должностей и организационная структура могут сильно различаться от одной организации к другой, в зависимости от размера и характера бизнеса. Соответственно, ранг или иерархия менее важны, чем набор навыков и способности вовлеченных лиц. С помощью концепции SoD критически важные для бизнеса обязанности можно разделить на четыре типа функций: авторизация, хранение, ведение записей и согласование. В идеальной системе никто не должен выполнять более одного типа функций.

Принципы

В принципе несколько подходов факультативно жизнеспособны как частично или полностью разные парадигмы:

• последовательное разделение (принцип двух сигнатур)
• индивидуальное разделение (четыре глаза принцип )
• пространственное разделение (отдельные действия в разных местах)
• факторное разделение (несколько факторов способствуют завершению)

Вспомогательные шаблоны

Человек с несколькими функциональными ролями имеет возможность злоупотреблять Эти полномочия. Схема минимизации риска:

1. Начните с функции, которая незаменима, но потенциально может быть нарушена.
2. Разделите функцию на отдельные шаги, каждый из которых необходим для работы функции или для мощность, позволяющая злоупотреблять этой функцией.
3. Назначьте каждый шаг другому человеку или организации.

Общие категории функций, которые необходимо разделить:

• функция авторизации
• функция записи, например, подготовка исходных документов или кода или отчетов о производительности
• хранение актива прямо или косвенно, например получение чеков по почте или внедрение изменений исходного кода или базы данных.
• согласование или аудит
• разделение одного ключа безопасности на две (более) части между ответственными лицами

В первую очередь индивидуальное разделение рассматривается как единственный выбор.

Термин SoD уже хорошо известен в системах финансового учета. Компании любого размера понимают, что нельзя совмещать такие роли, как получение чеков (оплата по счету) и утверждение списаний, внесение наличных и сверка банковских выписок, утверждение временных карт и хранение зарплатных чеков и т. Д. SoD довольно нова для большинства информационных систем. Отделы технологий (ИТ), но высокий процент вопросов внутреннего аудита Сарбейнса-Оксли исходит от ИТ.

В информационных системах разделение обязанностей помогает снизить потенциальный ущерб от действий одного человек. ИБ или отдел конечных пользователей должны быть организованы таким образом, чтобы обеспечить адекватное разделение обязанностей. Согласно матрице контроля разделения обязанностей ISACA, некоторые обязанности не следует объединять в одну позицию. Эта матрица не является отраслевым стандартом, а просто общим руководством, предлагающим, какие позиции следует разделять, а какие требуют компенсирующих элементов управления при объединении.

В зависимости от размера компании функции и обозначения могут отличаться. Когда обязанности не могут быть разделены, следует применять компенсирующие меры. Компенсирующий контроль - это внутренний контроль, предназначенный для снижения риска существующей или потенциальной слабости контроля. Если один человек может выполнять и скрывать ошибки и / или нарушения в ходе выполнения своей повседневной деятельности, на него возлагаются несовместимые с SoD обязанности. Существует несколько механизмов контроля, которые могут помочь в обеспечении разделения обязанностей:

1. Журналы аудита позволяют ИТ-менеджерам или аудиторам воссоздать реальный поток транзакций с момента их возникновения до его существования в обновленном файле. Должны быть включены надежные контрольные журналы, чтобы предоставлять информацию о том, кто инициировал транзакцию, время дня и дату записи, тип записи, какие поля информации она содержала и какие файлы она обновляла.
2. Сверка приложения и процесс независимой проверки, в конечном итоге, являются обязанностью пользователей, что может быть использовано для повышения уровня уверенности в том, что приложение было успешно запущено.
3. Отчеты об исключениях обрабатываются на уровне надзора и подтверждаются свидетельствами, указывающими на то, что исключения обрабатываются должным образом и своевременно. Обычно требуется подпись лица, составляющего отчет.
4. Следует вести ручные или автоматизированные журналы транзакций системы или приложений, в которых записываются все обработанные системные команды или транзакции приложений.
5. Надзорный обзор должен проводиться путем наблюдения и расследования.
6. Чтобы компенсировать ошибки или умышленные неудачи в соответствии с установленной процедурой, рекомендуется независимая проверка. Такие обзоры могут помочь обнаружить ошибки и нарушения.

Бухгалтеры вложили значительные средства в разделение обязанностей из-за осознанных рисков, накопленных за сотни лет бухгалтерской практики.

Напротив, многие корпорации в Соединенных Штатах обнаружили, что неожиданно высокая доля их проблем с внутренним контролем Сарбейнса-Оксли связана с ИТ. Разделение обязанностей обычно используется в крупных ИТ-организациях, поэтому ни один человек не может ввести мошеннический или вредоносный код или данные без обнаружения. Управление доступом на основе ролей часто используется в ИТ-системах, где требуется SoD. Для строгого контроля программного обеспечения и изменений данных потребуется, чтобы одно и то же лицо или организация выполняли только одну из следующих ролей:

• Идентификация требования (или запроса на изменение); например деловое лицо
• Авторизация и согласование; например совет по управлению ИТ или менеджер
• Дизайн и разработка; например разработчик
• Проверка, проверка и согласование ; например другой разработчик или архитектор.
• Внедрение в производство; обычно это изменение программного обеспечения или системный администратор.

. Это не исчерпывающая презентация жизненного цикла разработки программного обеспечения, а список важнейших функций разработки, применимых к разделению обязанностей.

Для успешной реализации разделения обязанностей в информационных системах необходимо решить ряд проблем:

• Процесс, используемый для обеспечения того, чтобы права авторизации человека в системе соответствовали его роли в организации.
• Используемый метод аутентификации, такой как знание пароля, владение объектом (ключом, токеном) или биометрическими характеристиками.
• Может произойти обход прав в системе через доступ для администрирования базы данных, доступ для администрирования пользователей, инструменты, которые обеспечивают черный доступ или учетные записи пользователей, установленные поставщиком. Для решения этой конкретной проблемы могут потребоваться специальные средства контроля, такие как просмотр журнала действий.

• Эссе Ника Сабо на тему Разделение обязанностей
• ISACA, Определение разделения / разделения обязанностей
• Разделение обязанностей для снижения рисков безопасности [1]
• Прозрачность, разделение, разделение, ротация и надзор за обязанностями в ISM3