직무 분리의 정의
직무 분리(SoD)는 업무 분리라고도 불리며, 어떤 사용자도 민감한 시스템, 프로세스 또는 활동에 대해 전적인 제어 권한을 가져서는 안 된다는 원칙입니다. 예를 들어 한 사람이 다른 사람의 확인 없이 혼자서 모든 작업을 완료할 수 없도록 하거나, 액세스를 일정 횟수로 제한할 수 있습니다. 직무 분리는 오류, 사기, 정보 오용, 방해 행위, 도난과 같은 보안 침해를 예방하기 위해 고안되었습니다.
관리자가 사기 위험을 줄이고 컴플라이언스를 유지하기 위해 직무 분리 정책을 신속하게 수립할 수 있는 방법을 확인해 보세요.
직무 분리의 적용 방식은 정적 방식과 동적 방식으로 구분됩니다.
정적 시행
이해 상충이 발생하는 역할은 동일한 사람이 수행할 수 없습니다. 예를 들어, 수표 결제를 승인하는 사람은 해당 수표에 전자 서명을 할 수 없습니다.
동적 시행
제어가 실시간으로 처리됩니다. 사용자는 작업을 완료하기 위해 인가된 사람의 승인을 받아야 합니다.
직무 분리에서는 작업을 네 가지 범주(승인, 수탁, 조정, 기록 관리)로 분류합니다. 이러한 프로토콜을 따르면 견제와 균형 시스템의 일환으로 서로 다른 사람이 다음 각 작업을 수행하게 됩니다.
승인
거래 또는 운영에 대한 검토 및 승인
자산 수탁
물리적 및 디지털 자산과 시스템에 대한 접근 제어
조정
거래 또는 운영의 정확성, 완전성, 유효성 검증
거래 기록
거래 또는 운영과 관련된 기록의 생성 및 유지 관리
직무 분리의 중요성
직무 분리가 중요한 조직 기능은 다음과 같습니다.
- 회계 및 재무
- 사이버 보안
- 정보 기술
- 기타 조직에 중대한 영향을 미칠 수 있는 영역
민감한 기능을 수행하는 부서에 직무 분리를 구현하면 다음과 같은 내부자 위협과 관련된 위험을 최소화하는 데 도움이 됩니다.
- 실적 전망치를 맞추기 위해 재무 기록을 조작하는 행위
- 기업 스파이 활동
- 조직의 자금을 횡령하는 행위
컴플라이언스 또한 직무 분리를 구현해야 하는 이유 중 하나입니다. 미국에서는 2002년 제정된 사베인스-옥슬리법(SOX)에서 직무 분리의 필요성을 명시하고 있습니다. 그 목적은 재무제표가 조작되는 회계 사기를 방지하는 데 있습니다.
SOX에 따르면 감사위원회와 고위 경영진은 재무제표의 정확성에 책임을 집니다. 진실성을 보장하기 위해 재무 보고에 대한 효과적인 내부 제어 시스템을 제공하려면 직무 분리가 요구됩니다.
이 외에도 직무 분리가 중요한 이유는 다음과 같습니다.
책임성
직무 분리 프로그램은 책임을 특정 팀과 개인에게 할당함으로써 조직 내 책임성과 투명성을 촉진합니다. 각자의 책임 외에도, 직원들은 부차적인 기능과 활동에 대한 감독 책임을 지게 됩니다.
세심한 주의
누구도 자신으로 인해 오류가 발생하는 것을 좋아하지 않습니다. 직무 분리는 오류를 식별할 수 있는 감독 체계를 제공합니다. 이러한 견제와 균형 시스템 덕분에 오류를 피하기 위해 세부 사항에 주의를 기울이는 문화가 형성되며, 이는 조직 전반에 긍정적인 영향을 미칩니다.
오류 방지
서로 다른 개인이나 팀에 업무와 책임을 할당하여 조직은 오류를 적시에 식별할 수 있습니다. 이를 통해 수정에 소요되는 시간을 줄이고, 최악의 경우 발생할 수 있는 법적 문제나 컴플라이언스 위반을 예방할 수 있습니다.
사기 방지
승인, 기록, 수탁과 같은 직무 분리는 사기 위험을 크게 줄이는 견제와 균형 시스템을 제공합니다. 어떤 개인이나 팀도 민감한 프로세스나 기능을 완전히 제어하지는 못하기 때문에, 이러한 시스템을 통해 조작, 횡령, 기타 형태의 재무 부정 행위가 발생할 여지 자체가 사라집니다.
직무 분리와 관련된 위험
직무 분리는 많은 이점을 제공하지만, 다음과 같은 여러 과제도 수반합니다.
- 업무 프로세스가 복잡해집니다.
- 보안과 효율성 간의 충돌을 초래합니다.
- 오류 감소에 대한 잘못된 인식을 제공합니다.
- 직원 만족도, 참여, 잔류에 영향을 미칩니다.
- 인력 요구 사항과 비용을 증가시킵니다.
- 공모의 기회를 제공합니다.
- 운영 생산성을 저하시킵니다.
직무 분리 모범 사례
SoD 수립 시 위험 수준 평가
직무 분리는 조직과 부서에 따라 달라집니다. 그러나 최적의 접근 방식을 결정할 때, 모든 조직은 관련 위험 수준을 기반으로 정책을 수립하고 구현해야 합니다.
직무 분리 입증 가능성 확보
효과성을 확인하기 위해, 직무 분리에 사용되는 프로세스에 대한 문서는 외부 이해관계자에게 입증할 수 있어야 합니다.
SoD의 중요성을 공유하기 위한 직원 교육 실시
직무 분리의 방식과 필요성을 설명하는 직원 교육을 개발하고 일정을 수립합니다. 이는 프로그램의 효과성을 개선하고 직원들의 지지를 얻는 데 도움이 됩니다.
직무 분리에 대한 책임 정의 및 문서화
직무 분리 프로세스의 각 단계, 역할 및 책임은 명확하게 정의되고 문서화되어야 합니다. 여기에는 SoD에 해당하는 활동의 시작, 제출, 승인, 검토, 감사에 대해 특정 개인 또는 역할 중 누가 책임을 지는지도 포함되어야 합니다.
컴플라이언스를 위한 SoD 모니터링
많은 조직에서 직무 분리는 컴플라이언스 요구 사항이거나 컴플라이언스 프로그램의 일부입니다. 조직은 관련 제어와 프로세스가 변화하는 요구 사항을 충족하도록 하기 위해 프로그램을 정기적으로 검토해야 합니다.
개선 기회를 식별하기 위한 직무 분리 조치 평가
최적화 및 개선이 가능한 영역을 선제적으로 식별하여 운영을 간소화하고 위험을 줄일 수 있도록, 사용자와 감사인으로부터 SoD 프로그램에 대한 피드백을 수집하세요.
정기 검토 수행 및 SoD 프로세스 유지
직무 분리가 어떻게 수행되고 있는지를 지속적으로 모니터링하고 정기적으로 검토할 수 있도록 제어를 정의하고 구현하여, 프로세스가 운영 효율성을 저해하지 않는지 확인하고 효과성을 감사해야 합니다. 여기에는 결과를 문서화하기 위한 보고 메커니즘도 포함되어야 합니다.
위험 관리 포트폴리오에 대한 추가 요소로서의 SoD
위험 관리 프로그램에 직무 분리를 포함하면 쉽고 간편하게 효과를 높일 수 있습니다. 운영과 개발부터 재무 및 IT 보안에 이르기까지 조직 전반에 걸친 직무 분리를 통해 전체적인 위험을 줄일 수 있습니다.
직무 분리는 조직에 부정적인 영향을 미치는 문제, 즉 재무적 손실, 규제에 따른 제재, 회복 불가능한 브랜드 손상으로 이어질 수 있는 문제를 예방하는 데 도움이 되는 견제와 균형 시스템을 구현합니다. 또한 오류를 최소화하고, 사기를 방지하며, 사고 발생 시 피해 범위를 제한하는 데 기여합니다.
