文章

職能分離

職能分離 (SOD , Segregation of Duties) 也稱為職能分工,是將任務分為至少兩個部分,以確保在可能造成不可逆影響、超出組織對錯誤或詐欺容忍度的情況下,沒有人能單獨執行所有操作。對關鍵職能實施職能分離,有助於保護組織免於因詐欺、人為錯誤或惡意行為而造成的資金、庫存與敏感資訊風險。

觀看這部有關 SoD 的影片,以瞭解管理員如何快速制定原則,以降低詐欺風險並確保法遵。

職能分離是組織有效風險管理和內部控制不可或缺的一部分,可以防止任何個人擁有足夠權限而可能引發問題,例如利用其控制權進行惡意或未經授權的行為。職能分離也有助於避免單純因人為疏失造成的錯誤,這類錯誤通常能透過第二道防線被及時發現並加以更正。

做為風險管理策略的一部分,職能分離旨在防止的活動類型包括:

  • 企業間諜活動
  • 貪污腐敗
  • 未遵守法遵要求及其相關處罰
  • 詐欺
  • 嚴重管理不當
  • 挪用組織的資金或其他資產
  • 怠忽職守
  • 破壞行為
  • 未經授權存取敏感資訊
  • 未加控管的人為疏失
  • 不道德的聘用行為(例如,以過高薪資聘用親友)

職能分離將關鍵業務任務分為四個依職能分類的獨立類別。

  1. 授權(Authorization) 負責審核並核准交易或操作的角色。
  2. 保管(Custody) 有權存取或控制任何資產(例如現金、支票、設備、物資或敏感資訊)的角色。
  3. 記錄保管(Recordkeeping) 負責驗證交易處理或記錄的角色,確保所有交易皆為有效、經過正當授權,並能及時且正確地登載。
  4. 調節(Reconciliation) 該角色負責追蹤並處理已發現的差異或錯誤。

為了有效的風險管理,任何人或部門都不應同時負責多個職能類別。

工作流程規則應採用職能分離以提供監督機制,並確保任何人不會同時掌控多項職責。

風險管理中的職能分離

職能分離的程度取決於組織對風險的容忍度。每個組織都有一定的風險容忍度與偏好曲線,這些曲線描繪了風險發生的機率與使風險變得可接受的潛在價值之間的關係。做為風險管理的一環,職能分離需對所有角色進行全面分析,以根據風險偏好曲線辨識出被視為不相容的職責。

為了有效管理風險,組織會針對關鍵業務流程制定職責分離矩陣。職能分離矩陣會將活動與職責對應到各個角色上,以識別關注領域。這些矩陣通常透過軟體系統建立與管理。

在職能分離矩陣中所涵蓋的範疇,用於識別工作流程中與風險管理相關的潛在角色與職責衝突,包括:

  • 流程(Process)-例如 IT 安全管理
  • 職責(Duty)-例如,提供使用者存取權限
  • 程序(Procedure)-例如,授權特權
  • 角色(Role)-例如管理員

在執行特定流程時,角色會依其風險程度被評定為低、中或高風險。為了降低風險,每個使用者角色應僅對應流程中的一項程序。

如果與衝突職責相關的活動與同一角色關聯,或當一人同時承擔兩個互相衝突的角色時,就會產生高風險衝突。在此情況下,應實施職能分離措施,例如調整流程、變更活動內容,或將職能劃分至不同角色。

如果職能分離在實務上難以執行時,可以採用補償性控制做為替代的風險管理方式。可以採用定期稽核或次級授權來取代職能分離。

從詐欺角度考慮風險管理時,瞭解詐欺三角理論以及職能分離如何打破該三角也至關重要。風險管理與防範詐欺的專家將詐欺三角視為導致挪用資產的三個構成條件。這三個要素包括:

  1. 個人面臨的財務壓力
  2. 對犯罪行為的合理化
  3. 有機可乘的犯罪機會

職能分離可有效打破詐欺三角中「有機可乘」的構面。在知道其行為將受到第三方審查時,個人對可行性的判斷就會動搖,進而降低其犯案的可能性。

會計中的職能分離

會計中運用職能分離來控管資金和其他資產。職能分離在會計領域中主要涵蓋四個以職能為基礎的類別(即,授權、保管、記帳與對帳)。以下是職責分離在會計實務中的一些例子:

  • 核准開立支票的人,不應同時負責在簿記系統中記錄該筆支票,或負責核對支票帳戶
  • 擁有資產存取權限的個人,例如銀行帳戶或庫存,不應同時負責記錄與授權等職能
  • 負責監督支出的個人,不應同時擁有核准該等支出的權限

職能分工能夠有效降低詐欺風險,因為它能夠提供監督機制,並確保同一人無法同時核准發票、在系統中建立新供應商,或開立支票。這能有效防範因職責分離不足而導致的常見會計欺詐行為,例如:

  • 製作虛假發票,並將資金撥入自己掌控的帳戶。
  • 建立不存在的員工、客戶或供應商帳戶(即「幽靈帳戶」)。
  • 處理虛假供應商退款。
  • 開立支票給自己,卻在帳上記錄為付款給供應商。

其他職能部門中的職能分離

職能分離的概念具有廣泛適用性,且成效顯著。雖然人們通常將其與會計與財務領域聯想在一起,但是它在其他職能和產業的風險管理中,也扮演關鍵角色。以醫療產業為例,下列職能就應由不同人員分別執行:

  • 批准並提供對敏感資訊的存取權限
  • 建立和稽核報告
  • 管理庫存與發放管制藥品(例如:鴉片類藥物、興奮劑)
  • 建立並核准請購單或採購單
  • 向供應商訂購貨物並將貨物登錄進會計系統
  • 聘用員工與發放薪資
  • 管理併購事宜與買賣股票

職能分離在風險管理中的另一項常見應用,是運用於治理、風險與法遵 (GRC) 領域。GRC 的目標是協調 IT 與業務目標,以有效控管風險並遵循相關法規。以下是兩個在法遵情境下實施職能分離的例子:

  • 沙賓法案 (SOX) 法規遵循 SOX 規定上市公司必須對其財務報導中所使用的控制機制進行記錄與認證。其中一項關鍵控管即為「職能分離制度」。若無法證明有適當的職能分離,或在相關報告中造假,可能會遭致處罰。
  • 《聯邦法規》(CFR) 第 21 條第 11 部分 美國聯邦政府的 CFR 第 21 條第 11 部分要求實施職能分離,以符合法規遵循的要求。該法規旨在確保記錄與控管報告的真實性,相關資料只能由授權人員建立與編輯。

職能分離(SoD) 使用案例和範例

  • 資產保管與庫存管理 有關庫存的資產保管與紀錄維護工作,不應由同一人負責。
  • 現金保管和應收帳款對帳 管理現金存款與其對應發票的對帳作業,應由不同人員負責。
  • 費用與核准 不得允許任何人核准自己的支出。
  • 聘用與薪酬管理 招聘主管可以對薪酬提出建議,但不應擁有決定薪資的權限。此原則亦適用於獎金發放。
  • 日記帳分錄和核准 將輸入日記帳分錄和核准日記帳分錄的職能分開。
  • 付款和銀行對帳 應將付款作業(例如,向供應商付款、發放薪資)與銀行對帳作業分由不同人員負責。
  • 採購單 應要求經過多次核准。
  • 銷售與核准 銷售交易的核准(例如,利潤或客戶信用的核准)應與銷售流程分開。也就是說,銷售人員不應自行決定利潤率或延長信用條件。
  • 供應商管理 系統中供應商的建檔作業,應與發票登錄與付款作業分由不同人員負責。

職能分離:實施制衡機制的有效方法

職能分離之所以被廣泛運用於風險管理策略中,正是因為其具備卓越的效果。實務經驗一再證明,職能分離能有效防止單一人員或多人勾結時所發生的控制濫用與不法行為。它是防止與偵測各類型組織中詐欺與錯誤的重要控制系統之一。

日期: 2025年9月4日閱讀時間:2 分鐘
法規遵循

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們