Разделение полномочий (SoD): что это и зачем
Разделение полномочий (в английском — segregation of duties, SoD) — это принцип, по которому критичную операцию нельзя провести в одиночку. Тот, кто инициирует, и тот, кто одобряет, — разные люди. Смысл не в бюрократии, а в том, чтобы у ошибки и злоупотребления был барьер.
Зачем это нужно
Там, где один человек ведёт всю цепочку, совпадают две роли, которые должны быть разными: исполнитель и контролёр. Он и тратит, и проверяет сам себя. Пока всё честно и без ошибок — работает. Проблема в том, что система держится на личности, а не на устройстве.
- —Защита от злоупотреблений: провести фиктивную операцию в одиночку нельзя.
- —Защита от ошибок: второй участник ловит то, что первый не заметил.
- —Требование аудита: разделение критичных функций проверяют при due diligence и в регламентах.
Классические конфликты
| Операция | Что нельзя совмещать в одном лице |
|---|---|
| Платёж | Создавать платёж и одобрять его |
| Закупка | Выбирать поставщика и принимать работу |
| Зарплата | Заводить сотрудника и начислять выплаты |
| Доступы | Запрашивать доступ и выдавать его себе |
В каждой паре одна роль создаёт основание, вторая подтверждает. Если обе на одном человеке, контроль исчезает — а на бумаге всё выглядит нормально.
Как увидеть конфликт
На словах нарушение SoD незаметно — оно прячется за «так исторически сложилось». В матрице ответственности его видно сразу: если одна роль стоит и на шаге «создать», и на шаге «одобрить» одной операции, это и есть совмещение несовместимого.
Чинится не увольнением, а расстановкой: одобрение переносят на другую роль. Иногда достаточно второй подписи руководителя — но она должна быть у другого человека, не у исполнителя.
Постройте матрицу ответственности для своего процесса — бесплатно и без регистрации.