직무 분리(SoD)는 조직의 위험 관리 전략에서 중요한 요소입니다.
ACFE(공인 사기 심사관 협회)의 2022년 보고서에 따르면 회사는 직원 사기로 인해 사례당 약 $1,783,000의 손실을 입는다고 강조합니다.
이것은 현대 기업이 사기, 사기, 오류가 증가하는 이 시대에 지속 가능한 위험 관리가 필요한 이유를 설명합니다.
그리고 SoD는 이러한 위험을 제어, 관리 및 완화하여 안전성과 인식을 향상하여 더 나은 조직 제어를 제공하는 것을 목표로 합니다.
이 기사에서는 SoD가 무엇인지, 그 중요성 및 이와 관련된 기타 주요 용어에 대해 설명합니다.
자, 시작하고 통제권을 되찾는 방법을 배우도록 합시다!
목차
직무 분리란 무엇입니까?
직무 분리(Segregation of Duties, SoD)는 한 명 이상의 개인이 작업의 서로 다른 부분을 완료하는 데 책임을 지는 조직의 위험 관리 및 내부 통제의 중요한 개념입니다. 정보 오용, 사기, 도난 및 기타 보안 관련 위험을 방지하기 위해 구현됩니다.
그러나 작업은 한 사람이 완료할 수 있지만 여러 부분으로 나뉩니다. 이렇게 하면 승인되지 않은 목적이나 사기 행위를 위해 제어를 오용할 정도로 한 개인이 작업을 단독으로 제어하거나 과도한 제어를 하지 않도록 할 수 있습니다. 대신 최소 두 사람이 공유합니다.
오늘날 SoD는 회계, 재무, 급여, 행정 등 다양한 영역에서 구현되고 있습니다. 정치에서는 정부가 사법부, 행정부, 입법부로 나뉘어 있는 민주주의에서 삼권 분립이 됩니다.
위험 관리의 SoD
SoD는 공유 책임의 원칙에 따라 운영되며 조직 또는 비즈니스를 운영하는 것이 한 개인의 일이 되어서는 안 됩니다. 잠재적으로 사기, 오류 또는 회사의 평판 손상으로 이어질 수 있는 작업을 수행하기 위해 한 사람이 완전한 통제권을 갖게 될 것이라고 믿어서는 안 됩니다.
실제로 SoD는 위험 관리 및 2002년 SOX(Sarbanes-Oxley Act)와 같은 규정 준수에 필수적인 요소입니다.
여러 책임 직원 간의 업무를 분리하면 직원 또는 제3자가 다음과 같은 기회를 낮출 수 있습니다.
- 조직의 기밀 정보 오용
- 자금 훔치기
- 이해 관계자를 오도하거나 주가를 부풀리기 위해 기록(예: 재정)을 위조
- 학대 혐의를 받고 보복 캠페인 시작
- 기업 스파이 활동에 관여
또한 SoD와 같은 안전한 전략을 사용하지 않으면 재정, 규정 준수에 따른 처벌, 브랜드 이미지 측면에서 조직에 심각한 피해를 줄 수 있습니다. 그렇기 때문에 회계 및 급여에서 정보 기술(IT) 및 사이버 보안 부서에 이르기까지 기업 전체에 SoD를 구현하는 것이 좋습니다.
SoD의 예
SoD를 적용할 수 있는 몇 가지 예를 살펴보겠습니다.
회계
회계에서 조직은 독신자가 자산과 재정 오류를 숨길 수 있는 과도한 권한을 얻는 것을 금지할 수 있습니다.
SoD는 조직의 모든 회계 역할을 철저히 분석하고 동일한 사람이 주어진 기능을 완전히 제어할 수 없도록 업무를 분리해야 합니다. 예를 들어, 동일한 사람이 수표를 수령하고 수령한 수표를 기록하도록 허용해서는 안 됩니다.
IT 및 사이버 보안
SoD 정책은 IT 부서의 액세스 제어 위험을 방지하는 데 도움이 될 수 있습니다. 워크플로우 의무를 분리하여 동일한 그룹 또는 개인에게 다중 액세스 권한이 부여되지 않도록 합니다.
한 사람이 직무 이상의 권한을 갖게 되면 이를 오용하여 외부인에게 정보를 노출하거나 접근 권한을 부여할 수 있습니다. 동시에 아무도 그것에 대해 전혀 모릅니다.
이 상황은 치명적일 수 있습니다. 예를 들어, 동일한 사람이 보안 시스템에서 경고를 수신하고 해당 시스템의 액세스 권한을 관리하도록 허용해서는 안 됩니다.
규정 준수 및 통제
견고한 SOD 전략을 구현하면 의도적이든 비의도적이든 직원 오류를 제거하는 데 도움이 될 수 있습니다. 사기 신고가 있는 경우 이를 잡을 수도 있습니다. 이렇게 하면 규정 위반으로부터 조직을 안전하게 보호할 수 있습니다. 예를 들어 재무 정보 제출 및 감사를 담당하는 동일한 사람을 지정해야 합니다.
다른 예
동일한 개인이 다음에 대해 책임지지 않아야 합니다.
- 요청 생성 및 승인
- 공급업체 송장 생성 및 승인
- 송장 작성 및 원장에 판매 트랜잭션 입력
- 급여를 지급하고 직원을 고용합니다.
- 받은 현금 기록 및 대변 메모 작성
- 주식 거래 및 인수합병 관리
- 구매자 설정 및 요청 또는 구매 발주 승인
SOD의 장점
조직에 SoD를 적용하면 다음과 같은 이점이 있습니다.
#1. 사기 예방 및 탐지
조직은 그 어느 때보다 사기의 피해자가 되고 있습니다. 여기에는 수표 변조, 현금 스키밍, 자산 유용, 문서 위조, 위조 영수증, 송장, 회계 기록 오류 등과 같은 사기 행위가 포함됩니다.
SoD를 사용하면 주어진 작업의 모든 기능을 수행할 책임이 있는 개인이나 그룹이 없도록 할 수 있습니다. 이렇게 하면 사기를 저지르고 숨길 기회를 막을 수 있습니다. 작업에 대한 더 많은 시선을 갖는다는 것은 누구나 외부 또는 내부 사기를 탐지, 보고 및 방지할 수 있다는 것을 의미합니다.
#2. 인적 오류 감소
조직에서 SoD를 올바르게 구현하면 중요한 재무 프로세스에서 인적 오류 및 관련 위험이 크게 감소할 수 있습니다. 거래 문서화 부족, 회계 인력 부족, 데이터 입력 실수, 부주의한 감사 등의 오류가 포함될 수 있습니다.
중요한 거래에 여러 사람을 고용하면 본질적으로 개인이 발생한 오류를 알아차리고 해결할 가능성이 높아집니다.
#삼. 향상된 감사
위험 및 오류 가능성을 줄이면 재무, 급여, 회계, IT 또는 사이버 보안 부서의 기록 관리가 향상됩니다. SoD는 기록이 적절하게 정리되어 중복, 연체료, 규정 준수 위험 등과 같은 문제를 제거하는 데 도움이 됩니다.
이렇게 하면 연간, 반기 또는 분기별 감사에 더 잘 대비할 수 있습니다. 또한 규정을 준수하기 전에 더 자신감을 갖고 처벌을 피할 수 있습니다.
#4. 효율성 증가
어떤 사람들은 더 많은 역할을 추가하면 비효율성과 비용 증가로 이어질 것이라고 생각할 수 있습니다. 그러나 SoD를 잘 계획하면 효율성이 향상됩니다. 작업을 여러 개의 하위 작업으로 나누고 각 하위 작업은 더 나은 정확도와 속도로 적합하고 전문화된 개인이 수행하기 때문입니다.
이것은 위험을 낮출 뿐만 아니라 한 사람이 전체 작업을 수행해야 하는 경우에 비해 높은 효율성을 제공합니다. 또한, SoD가 없을 때 회사가 입게 되는 손해 비용은 더 많은 인력을 고용하는 데 투자하는 것보다 훨씬 큽니다.
일부 SoD 용어
SoD를 더 잘 이해하려면 다음 용어에 대해 알아야 합니다.
#1. SoD 충돌
SoD 충돌은 개인이 조직의 이익과 그들의 이익에 반하는 행동을 할 때 발생할 수 있습니다. 이것은 프로세스에서 여러 중요한 기능을 수행하기 위해 여러 역할을 획득했음을 의미합니다. 이렇게 하면 프로세스 무결성과 회사에 잠재적으로 영향을 미칠 수 있습니다.
SoD 충돌은 O2C(Order to Cash) 또는 P2P(Purchase to Pay)와 같은 조직의 다양한 도메인에서 발생할 수 있습니다. SoD 충돌을 완화하려면 이러한 인시던트를 분석하고 평가해야 합니다. 조직은 또한 강력한 통제를 구현하고 불법 활동에 참여하는 직원으로부터 스스로를 보호해야 합니다.
SoD 충돌을 방지하기 위한 좋은 전략은 조직 전체에 RBAC(역할 기반 액세스 제어)를 적용하는 것입니다. RBAC는 조직에서의 역할과 책임에 따라 사용자에게 액세스 권한과 제어가 부여되도록 합니다.
여기에서 승인된 개인을 할당하여 역할 간 및 역할 내 SoD 중복에 대해 할당된 모든 역할 및 액세스 권한을 분석할 수 있습니다.
그러나 모든 분쟁이 피해를 주거나 불법 행위를 초래하는 것은 아닙니다. 사용자가 부주의로 실수로 수행하거나 더 많은 권한이 필요한 회사에 필요한 기능을 수행할 수 있습니다.
그렇기 때문에 회사는 사건을 철저히 조사하고 SoD 위반 정책을 평가하여 충돌이 사기 또는 불법 활동으로 이어지지 않도록 해야 합니다.
#2. 잔디 위반
조직의 직원이 할당된 역할을 악용하고 의도적으로 정보에 액세스하거나 금지된 활동을 수행하는 경우 SoD 위반이 발생할 수 있습니다. 이것은 그들이 조직의 내부 정책이나 외부 규정을 위반하고 있음을 의미합니다.
직원은 허용된 단계를 초과하여 여러 프로세스 단계를 제어할 수 있는 경우 SoD 위반을 수행할 수 있습니다. 다음으로 그들은 자신의 이익을 위해 액세스 권한을 오용합니다.
예: 회사는 직원을 고용하는 사람이 급여도 분배할 수 없도록 하는 정책을 만들 수 있습니다. 두 활동을 모두 수행하면 자신의 이익을 위해 활용하고 사기나 불법 활동을 조율할 수 있기 때문입니다. 따라서 이것은 SoD 위반이 됩니다.
이것이 내부 SoD 위반의 모습입니다. 외부 SoD 위반이 어떻게 발생할 수 있는지 알아보겠습니다. 예를 들어, 조직의 CEO와 같은 고위 의사결정자는 재무제표 조작에 빠져 SOX 규정을 위반합니다.
이는 조직에 막대한 벌금을 부과할 수 있으며 직원은 징역형을 선고받을 수도 있습니다. 이는 명성과 비용 측면에서 조직에 해를 끼칩니다.
SoD 위반을 완화하기 위해 조직은 위반과 각 직원의 활동을 모니터링해야 합니다. 또한 변화하는 기술 공간에 따라 정책을 계속 업데이트해야 합니다.
#삼. SoD 매트릭스
SoD 매트릭스는 관리자가 SoD 복잡성을 줄이기 위해 취하는 접근 방식입니다. 이를 통해 관리자는 조직의 다양한 책임, 역할 및 위험을 구별할 수 있습니다.
또한 SoD 매트릭스는 조직 전체에서 잠재적인 충돌을 감지하고 심각한 손상으로부터 보안을 제공하면서 적시에 해결하는 데 도움을 줄 수 있습니다.
SoD 매트릭스는 ERP 소프트웨어에 의존하는 현대 기업에서 자동으로 생성됩니다. 생성된 SoD 매트릭스는 ERP 소프트웨어에 정의된 사용자의 작업 및 역할을 기반으로 합니다.
여기에서 각 작업은 작업과 역할을 그룹화하기 위해 지정된 트랜잭션 워크플로의 프로세스와 일치해야 하며 사용자가 워크플로에서 두 단계 이상을 실행할 수 없도록 해야 합니다.
또한 SoD 매트릭스는 사용자 역할이 SoD 충돌을 나타내는 X와 Y의 두 축에 유지되는 플롯으로 나타낼 수 있습니다. 또한 규정 준수 팀이 호환되지 않는 책임을 분리할 수 있도록 업무 및 활동을 워크플로의 역할에 매핑합니다.
MS Excel과 같은 소프트웨어를 사용하거나 종이 시트에 수동으로 SoD 매트릭스를 생성할 수 있습니다. ERP 도구를 사용하여 생성할 수도 있습니다.
예: 다음은 직원의 급여에 대한 SoD 매트릭스를 만드는 방법의 예입니다. 역할과 책임에 대해 예/아니오, 색상 플래그 또는 화살표, 눈금 표시 등과 같은 기호를 사용할 수 있습니다. 다음 플롯에서 Y/N을 사용하겠습니다.
프로세스직원직원 온보딩급여 생성지급 정산복리후생 관리직원 온보딩1YNNN급여 생성2NYYN지불 정산3NYYN복리후생 관리4NNNY
위의 차트에서 직원 2가 급여를 생성하고 정산할 권한이 있음을 보여줍니다. 따라서 혜택을 변경하거나 직원을 고용해서는 안 됩니다. 그렇게 하면 SoD 충돌이 발생할 수 있습니다. 마찬가지로 직원 1은 신입 사원 채용을 담당합니다. 따라서 그들은 급여를 생성하거나 혜택을 관리하거나 지불을 명확하게 해서는 안 됩니다. 그렇지 않으면 SoD 충돌이 발생할 수 있습니다.
SoD 구현 방법
따라서 SoD 구현을 생각하고 있지만 어디서부터 시작해야 할지 혼란스럽다면 다음 단계를 따르십시오.
조직 프로세스 및 정책 정의
먼저 직원이 담당하는 모든 주요 조직 프로세스를 정의해야 합니다. 조직의 규모와 산업 유형을 기반으로 할 수 있습니다. 모든 프로세스와 작업을 정의한 후에는 정책도 나열하십시오. 내부 직원, 외부 공급업체 및 거래하는 기타 엔터티에 대한 정책을 정의합니다.
예를 들어 HR 부서에서 직원 채용 및 온보딩, 복리후생 및 보상 생성, 지불 정산, 기록 보관 등과 같은 작업을 나열할 수 있습니다. 마찬가지로 회계 부서에서 제품 배송 확인, 송장 검토와 같은 작업을 나열할 수 있습니다. , 수표 서명, 인보이스 지불 등
또한 부서 및 직원을 위해 만든 정책의 개요를 작성해야 합니다. 예를 들어 지불을 발행하는 직원이 수표에 서명하는 사람이 아니어야 합니다. 정책의 또 다른 예는 다음과 같습니다. 제품 판매를 담당하는 직원은 배송도 확인해서는 안 됩니다.
SoD 매트릭스 만들기
작업 및 정책을 정의한 후에는 모든 역할 및 작업을 나열하는 SoD 매트릭스를 생성해야 합니다. 어떤 직원이 어떤 작업을 담당하는지, SoD 충돌 또는 위반 가능성이 있는지 이해하는 데 도움이 됩니다.
위의 차트는 조직의 SoD 매트릭스를 만드는 데 도움이 됩니다. 그러나 때로는 특히 표현이 작업과 적절하게 일치하지 않는 경우 SoD 충돌을 감지하기가 어려워집니다. 이를 위해 SoD 매트릭스를 생성하는 동안 두 가지 접근 방식을 취할 수 있습니다.
모든 작업을 명확하게 정의하고 각 SoD 충돌에 레이블을 지정합니다. 큰 매트릭스를 생성하지만 작업과 역할을 시각적으로 표현하는 데 더 나은 정확도를 제공합니다.
일부 작업 생략 또는 그룹화: 요약된 매트릭스를 제공하여 SoD 충돌에 집중하고 분석하기 쉽습니다. 그러나 SoD 결과 및 충돌에 영향을 미치는 잘못된 긍정 및 오류로 이어질 수 있습니다.
작업 할당
모든 SoD 충돌을 감지했으면 업무 분리 개념을 활용하여 직원에게 작업 및 하위 작업을 할당하기 시작합니다. SoD를 적용할 수 없는 시나리오에 직면한 경우 위험을 방지하기 위해 작업을 수행하는 직원을 제어하고 모니터링하는 확실한 방법을 찾으십시오.
관리 및 검토
작업과 역할을 모니터링하고 검토하여 SoD가 제대로 구현되고 잠재적 충돌이나 위반이 없는지 확인하는 것이 중요합니다. 그리고 발견한 역할과 작업을 다시 할당하여 관리하십시오. 위험을 방지하기 위해 계속 모니터링하십시오.
결론
직무 분리(SoD)는 내부 제어를 관리하고 사기 및 오류를 방지하는 탁월한 방법을 제공합니다. 데이터 유출, 사기 또는 불법 활동과 관련하여 조직에 피해를 줄 만큼 과도한 통제권을 얻는 사람이 없도록 조직 보안을 보장하는 데 도움이 됩니다. 따라서 조직에 SoD를 구현하고 안전과 경계를 유지하십시오.
온라인 비즈니스를 위한 몇 가지 사기 탐지 및 방지 도구를 탐색할 수도 있습니다.