職責分離 (企業管理)

職責分離是組織內部管理的一個關鍵理念。多人協作完成任務時,組織利用職責分離管理各人職責,防止欺詐、破壞、盜竊、濫用信息和其他危害安全的行為。組織要平衡對於防止失職所作的防護和為其所付出的成本。在政治領域,這稱為權力分立,例如民主政體中政府被分為三個獨立部門:立法機關行政機關司法機關

職責分離可以適當限制個人的活動。IBM Systems Journal中的R.A. Botha和J.H.P Eloff對職責分離的描述如下:

職責分離透過在多個使用者之間分配特定與業務相關的任務和權限,達到防止欺詐和失職的目標。例如在支票上需要兩個授權人的簽名,乃是傳統職責分離案例中的典型。[1]

依據企業的規模和性質,不同組織的職位和架構可能會有很大差異。因此,級別不如所涉及的個人的專業技能和能力重要。採用職責分離的理念,業務的關鍵職責可分四類功能:授權、保管、記錄保存和對賬。在理想的系統中,任何人都不應負責多於一類功能。

原則

可以參考以下一個或多個模板作參考和選擇:

  • 順序分離(兩個簽名原則)
  • 個體分離(四眼原則
  • 空間分離(不同位置獨立行動)
  • 因素分離(有幾個因素有助於任務完成)

輔助模式

具有多種權限的人可能濫用權力。風險最小化的模式是:

  1. 從不可或缺但可能會被濫用的職責開始。
  2. 將其拆分成獨立的步驟,每個步驟都是必需的。
  3. 將每一步均分配給其他不同的人或組織。

需拆分的職責一般如下:

  • 授權
  • 記錄,例如源文件、代碼或性能報告的準備工作
  • 直接或間接資產的保管,例如接收支票或進行對原始碼或數據庫更改
  • 對賬或審計
  • 將安全密鑰分成兩個或多個來分給不同的負責人

在普通業務和會計中的應用

職責分離術語在會計中早已廣為人知。不同規模的公司都會避免將付款、銷賬、存款和對賬、考勤管理和發工資等職責過於集中。

在信息系統中,職責分離有助於減少個人行為造成的潛在危害。部門的組織方式應實現充分的職責分離。根據 ISACA的職責分離控制矩陣[2],一些職責不應合併到一個職位。

注意:該矩陣是建議哪些職責應被拆分,以及哪些職責在作合併時需補償性管控措施的指南,並非行業標準。

不同的公司規模,可能會有不同的職能。未採用職責分離小規模公司通常在付款周期中可能遇到未經審批的採購或付款的問題[3]。若職責不能分離,應有補償性管控措施。補償性管控是旨在降低當下或潛在管理漏洞風險的內部控制。如果特定個人在日常工作中犯錯或違規卻可以隱瞞所作所為時,此人就不符合職責分離原則。有以下幾種控制機制可以協助執行職責分離:

  1. 審計跟蹤讓IT經理或審計員能在更新的文件中重現從開始到交易實際發生為止的記錄。應採用有效的審計跟蹤,以提供有關發起交易的人員、時間和日期、交易類型、所更新的文件以及其所含的交易信息。
  2. 申請表的核對工作及獨立驗證其過程用戶的職責,可提高公司對所提申請可靠性的信心。
  3. 異常報告被監管層處理時,要留由證據證明異常情況已得到妥善及時處理。這一般需要準備報告的人的簽名。
  4. 記錄所有已處理的系統命令或應用程式的手動/自動的交易系統或申請日誌應被妥善維護。
  5. 應通過觀察和提問的方式對流程進行監督檢查。
  6. 應通過預設的流程來補救錯誤或故意失職,建議進行獨立審查。此類審查有助於發現失職和違規行為。

在信息系統中的應用

由於多年會計實踐中積累的已知風險,會計行業在職責分離方面投入了大量資金。

相比會計行業,美國的許多公司發現其內部SOX控制問題有很高的比例來自IT部門 。職責分離通常用於大型IT組織,這樣任何個人都無法在不經察覺的情況下寫入欺詐或惡意代碼及數據。基於角色的訪問控制經常用於需要職責分離的IT系統中。最近,隨着發展中組織所需的員工數量的增加,其通常使用基於屬性的訪問控制的混合訪問控制模型來解決基於角色的訪問控制對應模型的局限。[4]

為了嚴格控制對軟件和數據的更改,要求個人或組織僅負責以下職責之一:

  • 識別需求(或變更請求):如業務、銷售人員
  • 授權和批准:如IT管委會或經理
  • 設計和開發:例如開發人員
  • 審查、檢查和批准:如另一個開發人員或架構師。
  • 投入實用:通常用軟件變更流程或由系統管理員負責。

注意此非對軟件開發生命周期的詳細介紹,而是列出適用於職責分離的關鍵開發職能。

要在信息系統中成功實踐職責分離,需要解決許多問題:

  • 需要有流程確保一個人在系統中的授權權限與其在組織中的職責相一致;
  • 使用的身份驗證方法,例如密碼、密保(密鑰、令牌)或指紋/面部識別等生物學特徵。
  • 解決規避系統權限的問題:例如通過數據庫管理訪問、用戶管理訪問、提供後門訪問的工具或供應商安裝的用戶帳戶。這可能需要特定的控制措施(例如審查活動日誌)來解決這一特定問題。

參考資料

  1. ^ R. A. Botha; J. H. P. Eloff. Separation of Duties for Access Control Enforcement in Workflow Environments. IBM Systems Journal. 2001, 40 (3): 666–682. doi:10.1147/sj.403.0666. (原始內容存檔於December 18, 2001). 
  2. ^ Segregation of Duties Control matrix. ISACA. [2022-07-17]. (原始內容存檔於2011-07-03). 
  3. ^ Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia. Addressing Problems with the Segregation of Duties in Smaller Companies. Faculty Publications. 2010-07-01 [2023-05-23]. (原始內容存檔於2023-06-19). 
  4. ^ Soni, Kritika; Kumar, Suresh. Comparison of RBAC and ABAC Security Models for Private Cloud. 2019 International Conference on Machine Learning, Big Data, Cloud and Parallel Computing (COMITCon). 2019-02-01: 584–587. ISBN 978-1-7281-0211-5. S2CID 204231677. doi:10.1109/COMITCon.2019.8862220.