Можно привести множество целей, которые ожидается достигнуть за счет внедрения программного обеспечения. В первую очередь – это автоматизация рутинных операций для высвобождения времени на решение более интеллектуальных задач, далее – унификация процессов, обеспечение прозрачности операций и увеличение доверия к обрабатываемым данным. Вероятнее всего, СММ-модель наиболее наглядно иллюстрирует цель и задачи автоматизации в контексте зрелости процессов организации.
В законодательстве как Российской Федерации, так и прочих стран земного шара, возможно найти противоречия, когда одно и то же событие в разных нормативно-правовых актах трактуется взаимообратно. Последнее приводит к необходимости судебных разбирательств. Казалось бы, какое это имеет отношение к информационным системам и технологиям? Несмотря на то, что внедрение программного обеспечения сводит до минимума случаи мошенничества и воровства сотрудников за счет прослеживаемости операций, находятся и те, кто умело пользуется недоработками системы.
Детективный контроль позволяет выявлять подобные случае по мере возникновения неблагоприятных событий. Наоборот, предиктивный контроль пресекает подобные исходы на корню. Именно на последних мы и остановим внимание в данной статье. Применительно к программному обеспечению подобный вид проверок тесно связан с термином SOD (Segregation of Duties).
Цель данной работы состоит применение методологии SOD в проектах внедрения корпоративных информационных систем, что обеспечит реализацию бизнес-процессов компании в ИТ-решении образом, исключающим/минимизирующим мошеннические действия со стороны работников. Достижение заявленной цели потребует решения следующих задач:
- обзор элементов SOD;
- рассмотрение типовых шагов SOD;
- реализация SOD в бизнес-процессах и ERP-системах.
1. Определение, назначение и примеры SOD
Введем определение, расшифровывающее SOD, так как данный термин мы будем неоднократно использовать на протяжение всей статьи.
Определение 1. Segregation of Duties (SOD) – процедура службы внутреннего контроля компании, нацеленная на предотвращение единоличного выполнения всех операций бизнес-процесса сотрудником, способное привести к ошибкам, искажению информации и мошенничеству [1]. Дословный перевод с английского «разграничение обязанностей».
SOD предполагает распределение обязанностей между сотрудниками организации таким образом, чтобы сквозной бизнес-процесс исполнялся не одним ответственным, а группой людей, каждый из которых отвечает за выполнение лишь определенной операции из всего процесса.
Наглядным примером служит закупка товаров, в которой заказ на покупку в информационной системе (ИС) создает специалист по снабжению, подтверждает – менеджер закупок, а оплачивает – материальный бухгалтер. Подобная организация процесса удовлетворяет правилам SOD, так как действия каждого участника проверяются и контролируются последующими вовлеченными лицами. Наоборот, ситуация наличия у сотрудника полномочий в ИС на выполнение всех трех указанных операций, позволяющих вести бесконтрольную закупку продукции, что может привести к финансовым потерям компании, нарушает каноны SOD.
2. Шаги имплементации SOD-контролей
Внедрение процедур SOD в регулярные процессы организации требуют выполнения указанных 5-ти шагов:
- выявить критичные бизнес-процессы;
- создать реестр SOD-рисков и SOD-матрицу;
- присвоить роли и ответственных;
- установить механизмы контроля;
- вести регулярный аудит и мониторинг.
Внедрение процедур SOD в рамках всех процессов компании мероприятие довольно сложное и дорогое. Поэтому ограничиваются рассмотрением лишь наиболее значимых операций, злоупотребление в области которых приносит существенные убытки организации. К подобным процессам обычно относят операции регламентированного учета, а также транзакции в учетных системах, связанные с чувствительными данными.
Построение реестра и матрицы SOD ведется следующим образом. Выбранные процессы декомпозируются на операции. Для всевозможных пар операций выявляются, анализируются и качественно оцениваются риски. Согласно [1], выделяют типовые операции, выполнение которых рекомендуется осуществлять согласно принципу распределения ответственности (табл. 1).
Табл. 1. Типовые бизнес-задачи, выполняемые различными сотрудниками
Пример идентифицированных и ранжированных SOD-рисков для пары бизнес-операций, доступных к выполнению заданному сотруднику, дан в табл. 2. Оценивание рисков необходимо для выбора из их множества лишь наиболее значимых и последующего их исключения и/или снижения.
Табл. 2. Фрагмент реестра SOD-рисков
Используя полученные результаты, строится SOD-матрица, в которой красным отмечаются ячейки с наибольшим рангом рисковой ситуации (рис .1).
Построенная матрица SOD позволяет выявить области высокорисковых процессов, то есть определяет, какие пары бизнес-операций должны быть запрещены к одновременному выполнению тем или иным должностным ролям и сотрудникам ...
Выходные данные, полный текст статьи
Степанов Д.Ю. SOD-контроли: определение, типовые шаги, реализация в бизнес-процессах и ERP-системах // Корпоративные информационные системы. – 2026. – №1 (33) – c. 1-7. – URL: https://corpinfosys.ru/archive/2026/issue-33/319-2026-33-sod.