職能分工 (SoD)

2023年07月28日

職能分工的定義

職能分工 (Segregation of Duties,SoD) 也稱為職能分離,是指不得讓單一使用者完全掌控敏感系統、流程或活動的原則。舉例來說,任何人不得在未經他人檢查的情況下獨自完成一項工作,或是可將存取限制為固定次數。職能分工的用意在於防範安全漏洞,如錯誤、詐騙、濫用資訊、破壞和盜竊。

瞭解管理員如何快速制定職能分工原則,進而降低詐騙風險並遵循法規。

職能分工的執行可分為靜態和動態兩種。

  1. 靜態執行(Static enforcement)
    同一個人不得執行相衝突的角色:例如授權支票付款的人不得同時是支票的電子簽署人。
  2. 動態執行(Dynamic enforcement)
    採即時處理的控制方式。使用者需要授權人員的核准才能完成工作。

職能分工將工作分成四類—授權、保管、核對和記錄保存。遵循通訊協定,由不同人員各自執行下列工作,成為系統制衡的一部分。

  1. 授權 (延伸閱讀: 驗證與授權的差異)
    審核和核准交易或操作
  2. 資產保管
    控制實體和數位資產及系統的存取
  3. 核對
    驗證交易和操作的準確性、完整性和有效性
  4. 交易記錄
    建立和維護交易或操作相關記錄

職能分工的重要性

職能分工的重要組織職能包括:

  • 會計與財務 (Accounting and finance)
  • 網路安全 (Cybersecurity)
  • 資訊科技 (Information Technology)
  • 對組織有重大影響的其他領域

對各敏感職能實行職能分工有助於降低內部威脅(insider threat)相關風險,例如:

  • 為了達成目標盈餘而偽造財務記錄
  • 從事商業間諜活動
  • 竊取組織的資金

法規遵循(Regulatory Compliance)是必須實行職能分工的另一個原因。美國的2002 年沙賓法案 (SOX) 中明定職能分工的必要性,其目的在於防止偽造財務報表的會計舞弊行為。

依據 SOX 的規定,審計委員會和高層主管必須負責確保財務報表的正確性。實行職能分工是為了提供有效的內部控制系統,以確保財務報告的真實性。

職能分工之所以重要的其他理由說明如下。

問責(accountability) 
職能分工計畫藉由將職責指派給特定團隊或個人,促進落實組織內部的問責(accountability)和透明化。除了職責之外,還必須負責監督與自身無關的職能和活動。

注重細節 
沒有人喜歡被發現犯錯,職能分工可提供發現錯誤的監督機制。由於存在制衡制度,組織會因為受到避免犯錯的驅使下而培養出注重細節的企業文化,使得企業各方面都能因此受惠。

預防錯誤 
職能分工藉由將不同的工作和職責指派給不同的個人或團體,協助組織即時發現錯誤。就好的方面來說,它可以避免因修正錯誤而浪費時間,最壞的情況下還可預防發生法律問題及違反法規遵循。

預防詐騙 
職能分工 (如授權、記錄和保管) 提供的制衡系統可大幅降低詐騙風險。由於沒有任何單一個人或團隊可完全掌控敏感流程或職能,這杜絕了操縱、挪用公款或從事其他財務不當行為的機會。

與職能分工有關的風險

儘管職能分工有很多優點,但仍存在一些挑戰,包括:

  • 業務流程複雜
  • 安全與效率間產生衝突
  • 給人錯誤減少的錯覺
  • 影響員工的滿意度、參與度和流動率
  • 增加人力需求和人事成本
  • 提供勾結機會
  • 降低營運生產力

職能分工的最佳做法

在訂立 SoD 時評估風險級別

職能分工的形式會依組織和部門而異。然而,在決定最佳方法時,所有組織都必須根據相關的風險級別來制定和實行原則。

能夠展示職能分工

為了確認成效,必須要能向外部第三方展示職能分工採用的記錄流程。

執行員工培訓,宣導 SoD 的重要性

花時間制定並安排員工培訓,說明實行職能分工的原因和方法。這麼做可改善計畫成效並獲得員工支持。

定義並記錄職能分工的職責

組織必須明確定義並記錄職能分工的每個步驟、角色和責任,其內容需包含是由誰 (無論特定人員或角色) 負責啟動、提交、授權、審查和稽核所有 SoD 相關活動。

監控 SoD 的法遵情況

很多組織把職能分工當成是法遵要求或法遵計畫的一部分。組織應定期審查計畫,確保相關控制措施和流程符合不斷更新的法規要求。

評估職能分工的實行成果,找出改善的機會

向使用者和稽核人員徵求有關 SoD 計畫的意見回饋,主動找出可以優化及改善的地方,以利簡化作業流程並降低風險。

執行定期審查並維護 SoD 流程

組織需定義並實行控制措施,持續監控並定期審查職能分工的執行情況,確保流程不會阻礙營運效率並稽核成效。此處應包含報告機制以記錄結果。

把 SoD 納入風險管理組合方案的附加工具

透過將職能分工納入風險管理(Risk Management)計畫來提高計畫成效,這種做法簡單易行且技術門檻較低。在整個組織中實行職能分工 (從營運、開發到財務和 IT 安全均涵蓋在內) 可降低整體風險。

職能分工的制衡機制有助於預防可能危害組織的問題發生,導致財務損失、監管裁罰及不可挽回的品牌形象損傷。它還能夠將錯誤降至最低、防止詐騙,以及限縮事故的損害範圍。

以下是您可能會感興趣的其他主題:

解決方案

職能分工原則管理

文章

什麼是威脅向量(Threat Vector)?

文章

什麼是監管法遵?

您的身分安全策略成熟度有多高?

認識身分安全的 5 個層次。

接受評估