ビジネス 事業運営 非公開: 職務分掌 (SoD) を簡単な言葉で説明

職務分掌 (SoD) を簡単な言葉で説明

職務分掌 (SoD) は、組織のリスク管理戦略において重要な要素です。

公認不正検査士協会(ACFE)の 2022年の報告書 では、従業員による不正行為により企業が1件当たり約178万3,000ドルの損失を負担していることが浮き彫りになっている。

これは、詐欺、詐欺、エラーが増加するこの時代に、現代の企業が持続可能なリスク管理を行う必要がある理由を説明しています。

そして SoD は、安全性と意識を高めて組織の管理を強化するために、これらのリスクを制御、管理、さらには軽減することを目指しています。

この記事では、SoD とは何か、その重要性、および SoD に関連するその他の重要な用語について説明します。

それでは、コントロールを取り戻す方法を学びましょう!

コンテンツ 表示

職務分掌とは何ですか?

職務分掌 (SoD) は、複数の個人がタスクのさまざまな部分を完了する責任を負う組織のリスク管理および内部統制の重要な概念です。これは、情報の悪用、詐欺、盗難、その他のセキュリティ関連のリスクを防ぐために実装されています。

職務分掌-2
職務分掌-2

このタスクは 1 人でも完了できますが、複数の部分に分かれています。これにより、単一の個人がタスクを単独で制御したり、制御を不正な目的や不正行為に悪用したりするほどの過剰な制御を持たないようにすることができます。代わりに、少なくとも 2 人の個人によって共有されます。

現在、SoD は会計、財務、給与計算、管理などのさまざまな領域で導入されています。政治においては、政府が司法、行政府、立法府に分かれる民主主義における三権分立となります。

リスク管理における SoD

SoD は責任共有の原則に基づいて機能し、組織やビジネスの運営は 1 人の個人の仕事であってはいけないという原則に基づいています。詐欺、エラー、または会社の評判の低下につながる可能性のあるタスクを実行する完全な制御を 1 人の人物に任せるべきではありません。

実際、SoD はリスク管理と 2002 年のサーベンス オクスリー法 (SOX) などの規制への企業のコンプライアンスにとって重要な要素です。

危機管理
危機管理

複数の責任者間で職務を分離すると、従業員または第三者が以下のような事態に陥る可能性が低くなります。

  • 組織の機密情報の悪用
  • 資金を盗む
  • 利害関係者を誤解させるための記録(財務など)の改ざん、または株価のつり上げ
  • 虐待疑惑を受けて復讐キャンペーンを開始
  • 企業スパイ活動への関与

また、SoD のような安全な戦略を採用しない場合、財務、コンプライアンスに基づく罰則、ブランド イメージの点で組織に重大な損害を与える可能性があります。これが、会計部門や給与部門から情報技術 (IT) 部門やサイバーセキュリティ部門に至るまで、企業全体に SoD を導入することが推奨される理由です。

SoDの例

SoD を適用できる例をいくつか見てみましょう。

会計

会計の分野では、組織は、資産や財務上の誤りを隠すために独身者が過度の権力を握ることを禁止できます。

SoD では、組織内のすべての会計の役割を徹底的に分析し、同じ担当者が特定の機能を完全に制御できないように職務を分離することが求められます。たとえば、同じ人物が小切手を受け取り、受け取った小切手を記録することを許可してはなりません。

ITとサイバーセキュリティ

ITとサイバーセキュリティ-2
ITとサイバーセキュリティ-2

SoD ポリシーは、IT 部門におけるアクセス制御リスクの防止に役立ちます。ワークフローの職務を分離し、同じグループまたは個人に複数のアクセス許可が与えられないようにします。

一人の人間が職務を超えて権力にアクセスした場合、それを悪用して情報を部外者に公開したり、アクセス許可を与えたりする可能性があります。同時に、それについては誰も知りません。

この状況は壊滅的なものになる可能性があります。たとえば、同じ人物がセキュリティ システムからのアラートを受信したり、そのシステムのアクセス許可を管理したりすることを許可してはなりません。

コンプライアンスと管理

堅実な SOD 戦略を導入すると、意図的か非意図的かにかかわらず、従業員のエラーを排除することができます。不正な申請があった場合には、それを発見することもできます。これにより、組織をコンプライアンス違反から守ることができます。たとえば、財務情報の提出と監査を同じ担当者に担当させる必要があります。

その他の例

同じ個人が以下の責任を負うべきではありません。

  • 要求の作成と承認
  • 仕入先請求書の作成と承認
  • 請求書の作成と台帳への販売取引の入力
  • 給与の支払いと従業員の雇用
  • 受け取った現金を記録し、クレジットメモを作成する
  • 株式の取引と合併と買収の管理
  • バイヤーを設定し、要求書または注文書を承認する

SoDのメリット

組織に SoD を適用する利点は次のとおりです。

#1. 不正行為の防止と検出

詐欺防止
詐欺防止

組織はこれまで以上に詐欺の被害者になっています。これには、小切手の改ざん、現金スキミング、資産横領、文書偽造、領収書、請求書の偽造、会計記録の誤りなどの不正行為が含まれます。

SoD を使用すると、特定のタスクのすべての機能を 1 人の個人やグループが実行する責任を負うことがなくなります。これにより、詐欺を犯したり、それを隠したりする機会を阻止できます。タスクをより多くの目で見ることができるということは、誰もが外部または内部の不正行為を検出、報告し、防止できることを意味します。

#2. ヒューマンエラーの削減

組織に SoD を正しく導入すれば、重要な財務プロセスにおける人的エラーとそれに関連するリスクが大幅に減少する可能性があります。これには、取引の不十分な文書化、会計の人員不足、データ入力ミス、不注意な監査などのエラーが含まれる可能性があります。

重要な取引に複数の担当者を雇用すると、基本的に、各担当者が発生したエラーに気づき、それを解決できる可能性が高まります。

#3. 監査の改善

改善された監査
改善された監査

リスクやエラーの可能性を減らすことで、財務、給与、会計、IT、サイバーセキュリティ部門の記録管理が改善されます。 SoD は、記録が適切に整理されていることを確認し、重複、延滞料金、コンプライアンス リスクなどの問題を排除します。

こうすることで、年次、半年、四半期ごとの監査に対する準備が整います。また、規制を順守する前に自信が持てるようになり、罰則を回避できるようになります。

#4. 効率の向上

役割を追加すると非効率になり、コストが高くなるのではないかと考える人もいるかもしれません。ただし、SoD を適切に計画すると、効率が向上します。それは、タスクを複数のサブタスクに分割し、各サブタスクを適切な専門担当者がより高い精度と速度で実行するためです。

これにより、リスクが軽減されるだけでなく、1 人ですべてのタスクを実行する必要がある場合と比較して効率も向上します。さらに、SoD が存在しない場合に会社に損害が生じるコストは、より多くの人員を雇用するために投資した金額よりもはるかに大きくなります。

SoD の用語

SoD をさらに理解するには、次の用語について学ぶ必要があります。

#1. SoD の競合

SoD の紛争は、個人が組織の利益に反して組織の利益に反する行動をとった場合に発生する可能性があります。これは、プロセス内で複数の重要な機能を実行するために、複数の役割を獲得したことを意味します。これを行うと、会社だけでなくプロセスの完全性にも影響を与える可能性があります。

ソッドコンフリクト
ソッドコンフリクト

SoD の競合は、Order to Cash (O2C) や Purchase to Pay (P2P) など、組織のさまざまなドメインで発生する可能性があります。 SoD の競合を軽減するには、そのようなインシデントを分析して評価する必要があります。組織はまた、強固な管理を実施し、違法行為に参加する従業員から身を守る必要があります。

SoD の競合を防ぐための優れた戦略は、組織全体に役割ベースのアクセス制御 (RBAC) を適用することです。 RBAC は、組織内での役割と責任に基づいてユーザーにアクセス許可と制御が与えられることを保証します。

これにより、権限を与えられた個人を割り当てて、すべてのロールを分析し、ロール間およびロール内の両方の SoD 重複に対して割り当てられた権限にアクセスできます。

ただし、すべての紛争が損害を引き起こしたり、違法行為を引き起こしたりすることを意味するものではありません。ユーザーが不注意で誤って実行したり、より多くの権限を必要とする会社に必要な機能を実行したりする可能性があります。

このため、企業は事件を徹底的に調査し、SoD 違反ポリシーを評価して、紛争が詐欺や違法行為に発展しないようにする必要があります。

#2. SoD違反

組織の従業員が割り当てられた役割を悪用し、意図的に情報にアクセスしたり、禁止された活動を実行したりすると、SoD 違反が発生する可能性があります。これは、組織の内部ポリシーまたは外部規制に違反していることを意味します。

従業員が許可された手順を超えて複数のプロセス手順を制御できるようになった場合、SoD 違反を行う可能性があります。次に、彼らは自分たちの利益のためにアクセスを悪用します。

違反
違反

: 会社は、従業員を雇用する側が給与を分配することもできないというポリシーを作成できます。両方の活動を実行すると、それを自分の利益のために悪用し、詐欺や違法行為を画策する可能性があるためです。したがって、これは SoD 違反になります。

これが内部 SoD 違反の様子です。外部 SoD 違反がどのように発生するかを理解しましょう。たとえば、組織の CEO などの上級意思決定者は財務諸表の操作にふけり、SOX 規制に違反します。

これは組織に莫大な罰金を科す可能性があり、従業員は懲役刑に処される可能性もあります。これは、評判とコストの点で組織に悪影響を及ぼします。

SoD 違反を軽減するには、組織は違反と各従業員の活動を監視する必要があります。また、技術分野の変化に合わせてポリシーを更新し続ける必要もあります。

#3. SoDマトリックス

SoD マトリックスは、SoD の複雑さを軽減するために管理者が採用するアプローチです。これにより、マネージャーは組織内のさまざまな責任、役割、リスクを区別できるようになります。

さらに、SoD マトリックスは、組織全体の潜在的な競合を検出し、重大な損害からのセキュリティを提供しながら、時間内に競合を解決できるように支援します。

ERP ソフトウェアに依存している現代の企業では、SoD マトリックスが自動的に生成されます。生成される SoD マトリックスは、ERP ソフトウェアで定義されたユーザーのタスクと役割に基づいています。

ここで、タスクとロールをグループ化するには、各タスクが特定のトランザクション ワークフローのプロセスと一致する必要があり、ユーザーがワークフローで複数のステップを実行できないようにします。

さらに、SoD マトリックスは、SoD の競合を示す X 軸と Y 軸の両方にユーザーの役割が保持されるプロットで表すことができます。また、コンプライアンス チームが矛盾する責任を分離できるようにするために、職務とアクティビティをワークフロー内の役割にマッピングします。

SoD マトリックスは、MS Excel などのソフトウェアを使用して作成することも、紙に手動で作成することもできます。 ERP ツールを使用して作成することもできます。

例: ここでは、従業員の給与計算用の SoD マトリックスを作成する方法の例を示します。役割と責任には、はい/いいえ、色付きの旗や矢印、目盛りなどの任意の記号を使用できます。次のプロットでは Y/N を使用してみましょう。

プロセス 従業員 従業員の新人研修 給与小切手の作成 支払いの清算 福利厚生の管理
従業員の新人研修 1 Y N N N
給与小切手の作成 2 N Y Y N
支払いの清算 3 N Y Y N
福利厚生の管理 4 N N N Y

上のグラフでは、従業員 2 が給与を作成し決済する権限を持っていることが示されています。したがって、福利厚生を変更したり、従業員を雇用したりしてはなりません。そうすると、SoD の競合が発生する可能性があります。同様に、従業員 1 は新しい従業員を雇用する責任があります。したがって、給与を作成したり、福利厚生を管理したり、支払いを清算したりしてはなりません。そうしないと、SoD の競合が発生する可能性があります。

SoDの実装方法

したがって、SoD の実装を検討しているものの、どこから始めればよいか迷っている場合は、次の手順に従ってください。

#1. 組織のプロセスとポリシーを定義する

組織方針
組織方針

まず最初に、従業員が責任を負う主要な組織プロセスをすべて定義する必要があります。組織の規模や業種に基づいて決定される可能性があります。すべてのプロセスとタスクを定義したら、ポリシーもリストします。社内の従業員、外部ベンダー、および取引するその他のエンティティ向けのポリシーを定義します。

たとえば、人事部門では、従業員の採用とオンボーディング、福利厚生と報酬の作成、支払いの清算、記録管理などのタスクをリストすることができます。同様に、会計部門では、製品納品の確認、請求書の確認などのタスクをリストすることができます。 、小切手への署名、請求書の支払いなど。

さらに、部門や従業員向けに作成したポリシーの概要を説明する必要があります。たとえば、支払いを発行する従業員が小切手に署名する人であってはなりません。ポリシーの別の例としては、製品の販売を担当する従業員がその納品を確認してはいけない、というものがあります。

#2. SoDマトリックスの作成

タスクとポリシーを定義した後、SoD マトリックスを作成してすべての役割とタスクをリストする必要があります。これは、どの従業員がどのタスクを担当しているのか、SoD の競合または違反の可能性があるかどうかを理解するのに役立ちます。

マトリックスの作成
マトリックスの作成

上のグラフは、組織の SoD マトリックスを作成するのに役立ちます。しかし、特に表現がタスクと適切に一致しない場合には、SoD の競合を検出することが困難になる場合があります。このため、SoD マトリックスの作成時に 2 つのアプローチを取ることができます。

すべてのタスクを明確に定義し、各 SoD 競合にラベルを付けます。これにより、大規模なマトリックスが作成されますが、タスクと役割を視覚的に表現する精度が向上します。

一部のタスクを省略するか、タスクをグループ化します。これにより、分析が容易になり、SoD の競合に焦点を当てることができる凝縮されたマトリックスが提供されます。ただし、誤検知やエラーが発生し、SoD の結果や競合に影響を与える可能性があります。

#3. タスクの割り当て

SoD の競合をすべて検出したら、職務分掌の概念を活用して、従業員へのタスクとサブタスクの割り当てを開始します。 SoD を適用できないシナリオに遭遇した場合は、リスクを阻止するために、タスクを実行する従業員を制御および監視する確実な方法を見つけてください。

#4. 管理とレビュー

管理とレビュー
管理とレビュー

SoD が適切に実装され、競合や違反の可能性がないことを確認するには、タスクと役割を監視およびレビューすることが重要です。見つかった場合は、役割とタスクを再度割り当てて管理します。リスクを防ぐためにモニタリングを継続します。

結論

職務分掌 (SoD) は、内部統制を管理し、不正行為やエラーを防止するための優れた方法を提供します。これは、データ漏洩、詐欺、違法行為などの観点から組織に損害を与えるような過剰な制御を誰かが得ないよう、組織のセキュリティを確保するのに役立ちます。したがって、組織に SoD を導入し、安全かつ警戒を怠らないようにしてください。

オンライン ビジネス向けの不正行為の検出および防止ツールをいくつか検討することもできます。

「職務分掌 (SoD) を簡単な言葉で説明」についてわかりやすく解説!絶対に観るべきベスト2動画

活性酸素とミトコンドリアの関係について解説します【栄養チャンネル信長】
https://www.youtube-nocookie.com/watch?v=DRthWZBSAvc&pp=ygU06IG35YuZ5YiG5o6MIChTb0QpIOOCkuewoeWNmOOBquiogOiRieOBp-iqrOaYjiZobD1KQQ%3D%3D
【癌や老化を撃退⁉️】活性酸素と除去するSOD酵素とは⁉️
https://www.youtube-nocookie.com/watch?v=bpikUjEqHnI&pp=ygU06IG35YuZ5YiG5o6MIChTb0QpIOOCkuewoeWNmOOBquiogOiRieOBp-iqrOaYjiZobD1KQQ%3D%3D

職務分掌 (SoD) は、組織のリスク管理戦略において重要な要素です。

公認不正検査士協会(ACFE)の 2022年の報告書 では、従業員による不正行為により企業が1件当たり約178万3,000ドルの損失を負担していることが浮き彫りになっている。

これは、詐欺、詐欺、エラーが増加するこの時代に、現代の企業が持続可能なリスク管理を行う必要がある理由を説明しています。

そして SoD は、安全性と意識を高めて組織の管理を強化するために、これらのリスクを制御、管理、さらには軽減することを目指しています。

この記事では、SoD とは何か、その重要性、および SoD に関連するその他の重要な用語について説明します。

それでは、コントロールを取り戻す方法を学びましょう!

コンテンツ 表示

職務分掌とは何ですか?

職務分掌 (SoD) は、複数の個人がタスクのさまざまな部分を完了する責任を負う組織のリスク管理および内部統制の重要な概念です。これは、情報の悪用、詐欺、盗難、その他のセキュリティ関連のリスクを防ぐために実装されています。

職務分掌-2
職務分掌-2

このタスクは 1 人でも完了できますが、複数の部分に分かれています。これにより、単一の個人がタスクを単独で制御したり、制御を不正な目的や不正行為に悪用したりするほどの過剰な制御を持たないようにすることができます。代わりに、少なくとも 2 人の個人によって共有されます。

現在、SoD は会計、財務、給与計算、管理などのさまざまな領域で導入されています。政治においては、政府が司法、行政府、立法府に分かれる民主主義における三権分立となります。

リスク管理における SoD

SoD は責任共有の原則に基づいて機能し、組織やビジネスの運営は 1 人の個人の仕事であってはいけないという原則に基づいています。詐欺、エラー、または会社の評判の低下につながる可能性のあるタスクを実行する完全な制御を 1 人の人物に任せるべきではありません。

実際、SoD はリスク管理と 2002 年のサーベンス オクスリー法 (SOX) などの規制への企業のコンプライアンスにとって重要な要素です。

危機管理
危機管理

複数の責任者間で職務を分離すると、従業員または第三者が以下のような事態に陥る可能性が低くなります。

  • 組織の機密情報の悪用
  • 資金を盗む
  • 利害関係者を誤解させるための記録(財務など)の改ざん、または株価のつり上げ
  • 虐待疑惑を受けて復讐キャンペーンを開始
  • 企業スパイ活動への関与

また、SoD のような安全な戦略を採用しない場合、財務、コンプライアンスに基づく罰則、ブランド イメージの点で組織に重大な損害を与える可能性があります。これが、会計部門や給与部門から情報技術 (IT) 部門やサイバーセキュリティ部門に至るまで、企業全体に SoD を導入することが推奨される理由です。

SoDの例

SoD を適用できる例をいくつか見てみましょう。

会計

会計の分野では、組織は、資産や財務上の誤りを隠すために独身者が過度の権力を握ることを禁止できます。

SoD では、組織内のすべての会計の役割を徹底的に分析し、同じ担当者が特定の機能を完全に制御できないように職務を分離することが求められます。たとえば、同じ人物が小切手を受け取り、受け取った小切手を記録することを許可してはなりません。

ITとサイバーセキュリティ

ITとサイバーセキュリティ-2
ITとサイバーセキュリティ-2

SoD ポリシーは、IT 部門におけるアクセス制御リスクの防止に役立ちます。ワークフローの職務を分離し、同じグループまたは個人に複数のアクセス許可が与えられないようにします。

一人の人間が職務を超えて権力にアクセスした場合、それを悪用して情報を部外者に公開したり、アクセス許可を与えたりする可能性があります。同時に、それについては誰も知りません。

この状況は壊滅的なものになる可能性があります。たとえば、同じ人物がセキュリティ システムからのアラートを受信したり、そのシステムのアクセス許可を管理したりすることを許可してはなりません。

コンプライアンスと管理

堅実な SOD 戦略を導入すると、意図的か非意図的かにかかわらず、従業員のエラーを排除することができます。不正な申請があった場合には、それを発見することもできます。これにより、組織をコンプライアンス違反から守ることができます。たとえば、財務情報の提出と監査を同じ担当者に担当させる必要があります。

その他の例

同じ個人が以下の責任を負うべきではありません。

  • 要求の作成と承認
  • 仕入先請求書の作成と承認
  • 請求書の作成と台帳への販売取引の入力
  • 給与の支払いと従業員の雇用
  • 受け取った現金を記録し、クレジットメモを作成する
  • 株式の取引と合併と買収の管理
  • バイヤーを設定し、要求書または注文書を承認する

SoDのメリット

組織に SoD を適用する利点は次のとおりです。

#1. 不正行為の防止と検出

詐欺防止
詐欺防止

組織はこれまで以上に詐欺の被害者になっています。これには、小切手の改ざん、現金スキミング、資産横領、文書偽造、領収書、請求書の偽造、会計記録の誤りなどの不正行為が含まれます。

SoD を使用すると、特定のタスクのすべての機能を 1 人の個人やグループが実行する責任を負うことがなくなります。これにより、詐欺を犯したり、それを隠したりする機会を阻止できます。タスクをより多くの目で見ることができるということは、誰もが外部または内部の不正行為を検出、報告し、防止できることを意味します。

#2. ヒューマンエラーの削減

組織に SoD を正しく導入すれば、重要な財務プロセスにおける人的エラーとそれに関連するリスクが大幅に減少する可能性があります。これには、取引の不十分な文書化、会計の人員不足、データ入力ミス、不注意な監査などのエラーが含まれる可能性があります。

重要な取引に複数の担当者を雇用すると、基本的に、各担当者が発生したエラーに気づき、それを解決できる可能性が高まります。

#3. 監査の改善

改善された監査
改善された監査

リスクやエラーの可能性を減らすことで、財務、給与、会計、IT、サイバーセキュリティ部門の記録管理が改善されます。 SoD は、記録が適切に整理されていることを確認し、重複、延滞料金、コンプライアンス リスクなどの問題を排除します。

こうすることで、年次、半年、四半期ごとの監査に対する準備が整います。また、規制を順守する前に自信が持てるようになり、罰則を回避できるようになります。

#4. 効率の向上

役割を追加すると非効率になり、コストが高くなるのではないかと考える人もいるかもしれません。ただし、SoD を適切に計画すると、効率が向上します。それは、タスクを複数のサブタスクに分割し、各サブタスクを適切な専門担当者がより高い精度と速度で実行するためです。

これにより、リスクが軽減されるだけでなく、1 人ですべてのタスクを実行する必要がある場合と比較して効率も向上します。さらに、SoD が存在しない場合に会社に損害が生じるコストは、より多くの人員を雇用するために投資した金額よりもはるかに大きくなります。

SoD の用語

SoD をさらに理解するには、次の用語について学ぶ必要があります。

#1. SoD の競合

SoD の紛争は、個人が組織の利益に反して組織の利益に反する行動をとった場合に発生する可能性があります。これは、プロセス内で複数の重要な機能を実行するために、複数の役割を獲得したことを意味します。これを行うと、会社だけでなくプロセスの完全性にも影響を与える可能性があります。

ソッドコンフリクト
ソッドコンフリクト

SoD の競合は、Order to Cash (O2C) や Purchase to Pay (P2P) など、組織のさまざまなドメインで発生する可能性があります。 SoD の競合を軽減するには、そのようなインシデントを分析して評価する必要があります。組織はまた、強固な管理を実施し、違法行為に参加する従業員から身を守る必要があります。

SoD の競合を防ぐための優れた戦略は、組織全体に役割ベースのアクセス制御 (RBAC) を適用することです。 RBAC は、組織内での役割と責任に基づいてユーザーにアクセス許可と制御が与えられることを保証します。

これにより、権限を与えられた個人を割り当てて、すべてのロールを分析し、ロール間およびロール内の両方の SoD 重複に対して割り当てられた権限にアクセスできます。

ただし、すべての紛争が損害を引き起こしたり、違法行為を引き起こしたりすることを意味するものではありません。ユーザーが不注意で誤って実行したり、より多くの権限を必要とする会社に必要な機能を実行したりする可能性があります。

このため、企業は事件を徹底的に調査し、SoD 違反ポリシーを評価して、紛争が詐欺や違法行為に発展しないようにする必要があります。

#2. SoD違反

組織の従業員が割り当てられた役割を悪用し、意図的に情報にアクセスしたり、禁止された活動を実行したりすると、SoD 違反が発生する可能性があります。これは、組織の内部ポリシーまたは外部規制に違反していることを意味します。

従業員が許可された手順を超えて複数のプロセス手順を制御できるようになった場合、SoD 違反を行う可能性があります。次に、彼らは自分たちの利益のためにアクセスを悪用します。

違反
違反

: 会社は、従業員を雇用する側が給与を分配することもできないというポリシーを作成できます。両方の活動を実行すると、それを自分の利益のために悪用し、詐欺や違法行為を画策する可能性があるためです。したがって、これは SoD 違反になります。

これが内部 SoD 違反の様子です。外部 SoD 違反がどのように発生するかを理解しましょう。たとえば、組織の CEO などの上級意思決定者は財務諸表の操作にふけり、SOX 規制に違反します。

これは組織に莫大な罰金を科す可能性があり、従業員は懲役刑に処される可能性もあります。これは、評判とコストの点で組織に悪影響を及ぼします。

SoD 違反を軽減するには、組織は違反と各従業員の活動を監視する必要があります。また、技術分野の変化に合わせてポリシーを更新し続ける必要もあります。

#3. SoDマトリックス

SoD マトリックスは、SoD の複雑さを軽減するために管理者が採用するアプローチです。これにより、マネージャーは組織内のさまざまな責任、役割、リスクを区別できるようになります。

さらに、SoD マトリックスは、組織全体の潜在的な競合を検出し、重大な損害からのセキュリティを提供しながら、時間内に競合を解決できるように支援します。

ERP ソフトウェアに依存している現代の企業では、SoD マトリックスが自動的に生成されます。生成される SoD マトリックスは、ERP ソフトウェアで定義されたユーザーのタスクと役割に基づいています。

ここで、タスクとロールをグループ化するには、各タスクが特定のトランザクション ワークフローのプロセスと一致する必要があり、ユーザーがワークフローで複数のステップを実行できないようにします。

さらに、SoD マトリックスは、SoD の競合を示す X 軸と Y 軸の両方にユーザーの役割が保持されるプロットで表すことができます。また、コンプライアンス チームが矛盾する責任を分離できるようにするために、職務とアクティビティをワークフロー内の役割にマッピングします。

SoD マトリックスは、MS Excel などのソフトウェアを使用して作成することも、紙に手動で作成することもできます。 ERP ツールを使用して作成することもできます。

例: ここでは、従業員の給与計算用の SoD マトリックスを作成する方法の例を示します。役割と責任には、はい/いいえ、色付きの旗や矢印、目盛りなどの任意の記号を使用できます。次のプロットでは Y/N を使用してみましょう。

プロセス 従業員 従業員の新人研修 給与小切手の作成 支払いの清算 福利厚生の管理
従業員の新人研修 1 Y N N N
給与小切手の作成 2 N Y Y N
支払いの清算 3 N Y Y N
福利厚生の管理 4 N N N Y

上のグラフでは、従業員 2 が給与を作成し決済する権限を持っていることが示されています。したがって、福利厚生を変更したり、従業員を雇用したりしてはなりません。そうすると、SoD の競合が発生する可能性があります。同様に、従業員 1 は新しい従業員を雇用する責任があります。したがって、給与を作成したり、福利厚生を管理したり、支払いを清算したりしてはなりません。そうしないと、SoD の競合が発生する可能性があります。

SoDの実装方法

したがって、SoD の実装を検討しているものの、どこから始めればよいか迷っている場合は、次の手順に従ってください。

#1. 組織のプロセスとポリシーを定義する

組織方針
組織方針

まず最初に、従業員が責任を負う主要な組織プロセスをすべて定義する必要があります。組織の規模や業種に基づいて決定される可能性があります。すべてのプロセスとタスクを定義したら、ポリシーもリストします。社内の従業員、外部ベンダー、および取引するその他のエンティティ向けのポリシーを定義します。

たとえば、人事部門では、従業員の採用とオンボーディング、福利厚生と報酬の作成、支払いの清算、記録管理などのタスクをリストすることができます。同様に、会計部門では、製品納品の確認、請求書の確認などのタスクをリストすることができます。 、小切手への署名、請求書の支払いなど。

さらに、部門や従業員向けに作成したポリシーの概要を説明する必要があります。たとえば、支払いを発行する従業員が小切手に署名する人であってはなりません。ポリシーの別の例としては、製品の販売を担当する従業員がその納品を確認してはいけない、というものがあります。

#2. SoDマトリックスの作成

タスクとポリシーを定義した後、SoD マトリックスを作成してすべての役割とタスクをリストする必要があります。これは、どの従業員がどのタスクを担当しているのか、SoD の競合または違反の可能性があるかどうかを理解するのに役立ちます。

マトリックスの作成
マトリックスの作成

上のグラフは、組織の SoD マトリックスを作成するのに役立ちます。しかし、特に表現がタスクと適切に一致しない場合には、SoD の競合を検出することが困難になる場合があります。このため、SoD マトリックスの作成時に 2 つのアプローチを取ることができます。

すべてのタスクを明確に定義し、各 SoD 競合にラベルを付けます。これにより、大規模なマトリックスが作成されますが、タスクと役割を視覚的に表現する精度が向上します。

一部のタスクを省略するか、タスクをグループ化します。これにより、分析が容易になり、SoD の競合に焦点を当てることができる凝縮されたマトリックスが提供されます。ただし、誤検知やエラーが発生し、SoD の結果や競合に影響を与える可能性があります。

#3. タスクの割り当て

SoD の競合をすべて検出したら、職務分掌の概念を活用して、従業員へのタスクとサブタスクの割り当てを開始します。 SoD を適用できないシナリオに遭遇した場合は、リスクを阻止するために、タスクを実行する従業員を制御および監視する確実な方法を見つけてください。

#4. 管理とレビュー

管理とレビュー
管理とレビュー

SoD が適切に実装され、競合や違反の可能性がないことを確認するには、タスクと役割を監視およびレビューすることが重要です。見つかった場合は、役割とタスクを再度割り当てて管理します。リスクを防ぐためにモニタリングを継続します。

結論

職務分掌 (SoD) は、内部統制を管理し、不正行為やエラーを防止するための優れた方法を提供します。これは、データ漏洩、詐欺、違法行為などの観点から組織に損害を与えるような過剰な制御を誰かが得ないよう、組織のセキュリティを確保するのに役立ちます。したがって、組織に SoD を導入し、安全かつ警戒を怠らないようにしてください。

オンライン ビジネス向けの不正行為の検出および防止ツールをいくつか検討することもできます。

「職務分掌 (SoD) を簡単な言葉で説明」についてわかりやすく解説!絶対に観るべきベスト2動画

活性酸素とミトコンドリアの関係について解説します【栄養チャンネル信長】
https://www.youtube-nocookie.com/watch?v=DRthWZBSAvc&pp=ygU06IG35YuZ5YiG5o6MIChTb0QpIOOCkuewoeWNmOOBquiogOiRieOBp-iqrOaYjiZobD1KQQ%3D%3D
【癌や老化を撃退⁉️】活性酸素と除去するSOD酵素とは⁉️
https://www.youtube-nocookie.com/watch?v=bpikUjEqHnI&pp=ygU06IG35YuZ5YiG5o6MIChTb0QpIOOCkuewoeWNmOOBquiogOiRieOBp-iqrOaYjiZobD1KQQ%3D%3D

最新記事一覧

関連記事一覧