Podela dužnosti (SoD) predstavlja ključni aspekt u okviru strategije upravljanja rizicima svake organizacije.
Prema izveštaju Udruženja sertifikovanih ispitivača prevara (ACFE) iz 2022. godine, kompanije trpe gubitke u iznosu od približno 1.783.000 dolara po slučaju zbog prevara koje su počinili zaposleni.
Ovaj podatak jasno ukazuje na neophodnost da moderna preduzeća implementiraju efikasno upravljanje rizicima, posebno u današnje vreme kada su prevare i greške sve učestalije.
SoD ima za cilj da kontroliše, upravlja i umanji ove rizike, kako bi se postigla bolja organizaciona kontrola, uz povećanu bezbednost i svest o potencijalnim opasnostima.
U ovom tekstu, detaljno ću objasniti šta tačno podrazumeva SoD, koja je njegova važnost, kao i druge ključne termine povezane sa ovom praksom.
Započnimo sa razumevanjem kako da povratimo kontrolu nad procesima i rizikom!
Šta je podela dužnosti?
Podela dužnosti (SoD) je važan koncept u upravljanju rizicima i internim kontrolama organizacije, gde je više od jedne osobe odgovorno za obavljanje različitih delova zadatka. Njena primena sprečava zloupotrebu informacija, prevare, krađe i druge bezbednosne rizike.
Zadatak, koji inače može obaviti jedna osoba, podeljen je na više delova. Ovo osigurava da nijedan pojedinac nema potpunu kontrolu nad celim zadatkom, što bi moglo dovesti do zloupotrebe ovlašćenja u neovlašćene svrhe. Umesto toga, zadatak se deli između najmanje dve osobe.
Danas se SoD primenjuje u različitim oblastima, kao što su računovodstvo, finansije, obračun zarada, administracija i slično. U politici, ovo se manifestuje kroz podelu vlasti u demokratskim sistemima, gde su vlasti podeljene na sudsku, izvršnu i zakonodavnu.
SoD u upravljanju rizicima
SoD funkcioniše na principu podele odgovornosti, naglašavajući da vođenje organizacije ili poslovanja ne sme biti u rukama jednog pojedinca. Ne bi trebalo dozvoliti da jedna osoba ima potpunu kontrolu nad zadatkom koji potencijalno može dovesti do prevare, grešaka ili nanošenja štete reputaciji kompanije.
Zapravo, SoD je ključni element u upravljanju rizikom i usklađivanju poslovanja sa propisima kao što je Sarbanes-Oxley Act (SOX) iz 2002. godine.
Razdvajanje dužnosti između više odgovornih lica smanjuje mogućnost da zaposleni ili treća lica:
- Zloupotrebe poverljive informacije o organizaciji
- Kradu sredstva
- Falsifikuju evidenciju (npr. finansijsku) da bi obmanuli zainteresovane strane ili manipulisali cenama akcija
- Pokrenu osvetničke kampanje nakon navodnog maltretiranja
- Učestvuju u korporativnoj špijunaži
Ukoliko ne primenite efikasnu strategiju kao što je SoD, vaša organizacija može pretrpeti značajnu štetu u smislu finansijskih gubitaka, kazni za nepoštovanje propisa i narušavanja imidža brenda. Zato je preporučljivo implementirati SoD u celom preduzeću, od računovodstva i platnog spiska do odeljenja za informacione tehnologije (IT) i sajber bezbednost.
Primeri SoD-a
Pogledajmo neke primere primene SoD-a.
Računovodstvo
U računovodstvu, organizacije bi trebalo da spreče da pojedinci steknu preveliku moć kojom bi mogli da sakriju imovinu i finansijske greške.
SoD zahteva detaljnu analizu svih računovodstvenih uloga u vašoj organizaciji i razdvajanje dužnosti kako ista osoba ne bi imala potpunu kontrolu nad određenom funkcijom. Na primer, ista osoba ne sme primati i evidentirati primljene čekove.
IT i sajber bezbednost
SoD politike mogu pomoći u sprečavanju rizika kontrole pristupa u IT sektoru. Razdvajanjem dužnosti tokom radnog procesa, osigurava se da ista grupa ili pojedinci nemaju više dozvola za pristup.
Ako jedna osoba dobije pristup ovlašćenjima koja prevazilaze njene dužnosti, može ih zloupotrebiti i otkriti informacije neovlašćenim licima. Istovremeno, niko drugi ne mora biti svestan toga.
Ova situacija može imati katastrofalne posledice. Na primer, istoj osobi ne bi trebalo dozvoliti da prima upozorenja iz sigurnosnih sistema i istovremeno upravlja dozvolama pristupa tom sistemu.
Usklađenost i kontrole
Implementacija čvrstih SoD strategija može pomoći u eliminisanju grešaka zaposlenih, bilo namernih ili nenamernih. Takođe, možete otkriti lažna dokumenta, ako ih ima. Na taj način, možete zaštititi svoju organizaciju od kršenja propisa. Na primer, ne treba dopustiti da ista osoba bude odgovorna za podnošenje finansijskih izveštaja i za njihovu reviziju.
Drugi primeri
Ista osoba ne bi trebalo da bude odgovorna za:
- Izradu i odobravanje zahteva
- Kreiranje i odobravanje faktura dobavljača
- Pripremu fakture i unos prodajnih transakcija u knjigu
- Isplatu plata i zapošljavanje novih radnika
- Evidentiranje primljenog novca i kreiranje kreditnih nota
- Trgovanje akcijama i upravljanje spajanjima i akvizicijama
- Postavljanje kupaca i odobravanje porudžbina ili nabavki
Prednosti SoD-a
Neke od prednosti primene SoD-a u vašoj organizaciji su:
#1. Prevencija i otkrivanje prevara
Organizacije su danas izložene većem riziku od prevara nego ikada ranije. Ovo uključuje lažne radnje kao što su neovlašćene izmene čekova, krađa gotovine, pronevera imovine, falsifikovanje dokumenata, lažne priznanice, fakture, greške u računovodstvenim evidencijama i slično.
Sa SoD-om, osiguravate da nijedna osoba ili grupa nije odgovorna za obavljanje svih funkcija datog zadatka. Ovo sprečava mogućnost počinjenja i prikrivanja prevare. Više pažnje posvećene zadatku znači da svako može otkriti, prijaviti i pomoći u sprečavanju spoljne ili unutrašnje prevare.
#2. Smanjenje ljudskih grešaka
Ako ispravno implementirate SoD u svojoj organizaciji, verovatno ćete primetiti značajno smanjenje ljudskih grešaka i povezanih rizika u vašim kritičnim finansijskim procesima. To mogu biti greške poput neadekvatne dokumentacije transakcija, nedostatka osoblja u računovodstvu, grešaka pri unosu podataka, nepažljivih revizija itd.
Angažovanje više pojedinaca u kritičnim transakcijama suštinski povećava šanse da neko primeti i ispravi eventualnu grešku.
#3. Poboljšane revizije
Smanjenje šansi za rizik i greške poboljšaće vođenje evidencije vaših finansija, platnog spiska, računovodstva, IT-a ili sajber bezbednosti. SoD će vam pomoći da osigurate da su zapisi ispravno uređeni, eliminišući probleme kao što su dupliranje, kašnjenja u plaćanju, rizici usklađenosti itd.
Na ovaj način, bićete bolje pripremljeni za revizije, bilo godišnje, polugodišnje ili tromesečne. Takođe ćete se osećati sigurnije u poštovanju propisa i izbegavanju kazni.
#4. Povećava efikasnost
Neki mogu pomisliti da će dodavanje više uloga dovesti do neefikasnosti i viših troškova. Međutim, ako dobro planirate SoD, to će promovisati efikasnost. To je zato što delite zadatak na manje potzadatke, od kojih svaki obavlja odgovarajuća, specijalizovana osoba sa većom preciznošću i brzinom.
Ovo ne samo da smanjuje rizike, već i obezbeđuje veću efikasnost u poređenju sa situacijom kada jedna osoba mora obaviti ceo zadatak. Uz to, troškovi štete za kompaniju u nedostatku SoD-a su mnogo veći od onoga što ulažete u angažovanje više osoblja.
Neka SoD terminologija
Da biste bolje razumeli SoD, morate se upoznati sa sledećim terminima:
#1. SoD konflikti
SoD konflikt može nastati kada osoba deluje protiv interesa organizacije, a u svom ličnom interesu. To znači da je ta osoba stekla više uloga kako bi obavljala više važnih funkcija u procesu. Ovo potencijalno može ugroziti integritet procesa, kao i celu kompaniju.
SoD konflikti se mogu pojaviti u različitim oblastima organizacije, kao što su „Narudžbina do naplate“ (Order to Cash – O2C) ili „Nabavka do plaćanja“ (Purchase to Pay – P2P). Da biste ublažili SoD konflikte, morate analizirati i proceniti takve incidente. Organizacije takođe moraju da sprovedu stroge kontrole i da se zaštite od zaposlenih koji učestvuju u nezakonitim aktivnostima.
Dobra strategija za sprečavanje SoD konflikata može biti implementacija kontrole pristupa na osnovu uloga (Role-Based Access Control – RBAC) u celoj organizaciji. RBAC obezbeđuje da se dozvole pristupa i kontrole daju korisnicima na osnovu njihovih uloga i odgovornosti u organizaciji, ništa više od toga.
U tom slučaju, možete dodeliti ovlašćeno lice koje će analizirati svaku ulogu i dozvolu pristupa dodeljenu za moguće preklapanje SoD-a između uloga i unutar njih.
Međutim, svaki sukob ne znači nužno nanošenje štete ili rezultirati nezakonitim radnjama. Korisnik može to učiniti slučajno, iz nepažnje ili zbog potrebe obavljanja funkcije za kompaniju koja zahteva više dozvola.
Stoga, kompanije treba temeljno da istraže slučaj i procene svoje politike kršenja SoD-a kako bi osigurale da se sukobi ne pretvore u prevare ili nezakonite aktivnosti.
#2. SoD kršenje
Do kršenja SoD-a može doći kada zaposleni u organizaciji zloupotrebi dodeljenu ulogu i namerno pristupi informacijama ili izvrši zabranjenu radnju. To znači da krši internu politiku organizacije ili spoljne propise.
Zaposleni mogu počiniti kršenje SoD-a kada steknu kontrolu nad više koraka procesa, prelazeći dozvoljene granice. Zatim zloupotrebljavaju pristup za svoju korist.
Primer: Kompanija može usvojiti politiku da osoba koja zapošljava nove radnike ne sme distribuirati plate. To je zato što, ako obavlja obe aktivnosti, može ih zloupotrebiti u svoju korist i orkestrirati prevaru ili nezakonitu aktivnost. Dakle, ovo bi se pretvorilo u kršenje SoD-a.
To je primer internog kršenja SoD-a; hajde da razumemo kako može doći do spoljnog kršenja SoD-a. Na primer, visoki donosilac odluka kao što je generalni direktor organizacije može manipulisati finansijskim izveštajima kršeći SOX propise.
Ovo može dovesti do ogromnih novčanih kazni za organizaciju, a zaposleni može završiti i u zatvoru. Ovo je štetno za organizaciju u smislu reputacije i troškova.
Da bi ublažila kršenja SoD-a, organizacija mora pratiti prekršaje i aktivnosti svakog zaposlenog. Takođe, moraju nastaviti da ažuriraju svoje politike u skladu sa promenama u tehnološkom okruženju.
#3. SoD Matrica
SoD matrica je alat koji menadžeri koriste za pojednostavljivanje složenosti SoD-a. Omogućava menadžerima da razlikuju različite odgovornosti, uloge i rizike u organizaciji.
Uz to, SoD matrica može otkriti potencijalne konflikte u celoj organizaciji i pomoći u njihovom blagovremenom rešavanju, sprečavajući potencijalnu ozbiljnu štetu.
SoD matrice se automatski generišu u savremenim kompanijama koje koriste ERP softver. Generisana SoD matrica se zasniva na zadacima i ulogama korisnika definisanim u ERP softveru.
Ovde se svaki zadatak usklađuje sa procesom u radnom toku kako bi se grupisali zadaci i uloge, osiguravajući da nijednom korisniku nije dozvoljeno da izvrši više od jednog koraka u radnom toku.
Štaviše, SoD matrica se može predstaviti i dijagramom gde su uloge korisnika prikazane na obe ose – X i Y, koje ukazuju na SoD konflikte. Takođe mapira dužnosti i aktivnosti na uloge u radnom toku, omogućavajući timovima za usklađenost da razdvoje nekompatibilne odgovornosti.
Možete kreirati SoD matricu koristeći softver kao što je MS Excel ili ručno na listu papira. Takođe, mogu se kreirati i uz pomoć ERP alata.
Primer: Evo primera kako možete kreirati SoD matricu za platni spisak zaposlenog. Za uloge i odgovornosti možete koristiti bilo koji označitelj kao što je da/ne, obojene zastavice ili strelice, kvačice itd. Koristićemo D/N u sledećem dijagramu.
| Proces | Zapošljavanje zaposlenog | Kreiranje plata | Obrada plaćanja | Upravljanje beneficijama |
| Zaposleni 1 | D | N | N | N |
| Kreiranje plata 2 | N | D | D | N |
| Obrada plaćanja 3 | N | N | D | N |
| Upravljanje beneficijama 4 | N | N | N | D |
U gornjoj tabeli prikazano je da zaposleni 2 ima ovlašćenje da kreira i obrađuje plate. Dakle, oni ne bi smeli da menjaju beneficije ili zapošljavaju nove radnike. Ako to učine, može doći do SoD konflikta. Slično, zaposleni 1 je odgovoran za zapošljavanje novih radnika. Stoga, ne smeju da kreiraju plate, upravljaju beneficijama ili obrađuju plaćanja. U suprotnom, može doći do SoD konflikta.
Kako implementirati SoD
Ako razmišljate o implementaciji SoD-a, ali ne znate odakle da počnete, evo nekoliko koraka koje možete pratiti:
Definišite organizacione procese i politike
Pre svega, morate definisati sve ključne organizacione procese za koje su zaposleni odgovorni. To može zavisiti od veličine vaše organizacije i tipa industrije. Kada definišete svaki proces i zadatak, navedite i svoje smernice. Definišite politike za svoje interne zaposlene, spoljne dobavljače i druge saradnike.
Na primer, u vašem odeljenju za ljudske resurse, možda ćete želeti da navedete zadatke kao što su zapošljavanje i prijem zaposlenih, kreiranje beneficija i kompenzacija, obračunavanje plata, vođenje evidencije itd. Slično, u odeljenju za računovodstvo, možete da navedete zadatke kao što su potvrda isporuke proizvoda, pregled faktura, potpisivanje čekova, plaćanje faktura itd.
Uz to, moraćete da navedete politike koje ste uspostavili za svoja odeljenja i zaposlene. Na primer, zaposleni koji izdaje isplatu ne sme biti i onaj koji potpisuje čekove. Drugi primer politike može biti – zaposleni odgovoran za prodaju proizvoda ne sme da potvrdi i njegovu isporuku.
Kreirajte SoD matricu
Nakon što definišete svoje zadatke i politike, morate kreirati SoD matricu kako biste naveli sve uloge i zadatke. To će vam pomoći da razumete koji zaposleni su odgovorni za koje zadatke i da li postoji bilo kakva mogućnost sukoba ili kršenja SoD-a.
Gornji grafikon će vam pomoći da kreirate SoD matricu za vašu organizaciju. Ponekad postaje teško otkriti SoD sukobe, posebno kada se reprezentacije ne poklapaju sa zadacima. U tom slučaju možete koristiti dva pristupa prilikom kreiranja SoD matrice:
Jasno definišite sve zadatke i označite svaki SoD konflikt: Stvara veliku matricu, ali nudi bolju preciznost u vizuelnom predstavljanju zadataka i uloga.
Izostavite neke zadatke ili ih grupišite: Pruža sažetu matricu koju je lako analizirati i fokusirati na SoD konflikte. Međutim, može dovesti do lažnih pozitivnih rezultata i grešaka koje utiču na SoD ishode i konflikte.
Dodeli zadatke
Kada otkrijete sve SoD sukobe, počnite dodeljivati zadatke i podzadatke zaposlenima, koristeći princip podele dužnosti. Ako naiđete na situaciju u kojoj ne možete da primenite SoD, osmislite dobar način da kontrolišete i nadgledate zaposlenog koji obavlja zadatak kako biste sprečili eventualne rizike.
Upravljajte i pregledajte
Od vitalnog je značaja da nadgledate i pregledate svoje zadatke i uloge kako biste bili sigurni da je SoD pravilno implementiran i da nema potencijalnih sukoba ili kršenja. Ako ih otkrijete, upravljajte svojim ulogama i zadacima tako što ćete ih ponovo dodeliti. Nastavite sa praćenjem kako biste sprečili rizike.
Zaključak
Podela dužnosti (SoD) pruža odličan način za upravljanje internim kontrolama i sprečavanje prevara i grešaka. Pomaže u obezbeđivanju sigurnosti organizacije tako da niko ne dobije preveliku kontrolu koja bi mogla da naškodi vašoj organizaciji u smislu curenja podataka, prevare ili nezakonitih aktivnosti. Dakle, implementirajte SoD u svojoj organizaciji i ostanite sigurni i oprezni.
Takođe, možete istražiti alate za otkrivanje i prevenciju prevara za online poslovanja.