ISACA Journal
Volume 4, 2,014 

Translated Articles 

一個簡化職能分工的方式來提升資訊治理 Enhancing IT Governance With a Simplified Approach to Segregation of Duties 

作者:Kevin Kobelsky, Ph.D.,CISA, CA, CPA (Canada) 

以資訉科技為基礎的系統治理中,有一個中心議題是設計與建置有效的職能分工(Segregation of Duties, SoD)。在COSO(Committee of Sponsoring Organization of the Treadway Commission)整合架構1 的內部控制中,它是被考慮在選擇與開發控制活動(原則10 的重點)裡的六個重要特性之一。它同時也在PCAOB(Public Company Accounting Oversight Board)的第五稽核標準2 和AICPA(American Institute of Certified Public Accounts)的AU3143 中所被強調。雖然它的目的很簡單:「分派一個員工的工作使他無法犯下並掩蓋錯誤和舞弊」4,但是要建制它則並不容易。我們看到許多… 公司為職能分工的治理很掙扎,而且它 …不斷窒息著資訊、內部控制和財務部門5 。這絕大部分是由於對職能分工的最佳實務缺乏共識6,特別是以資訊科技相關的職能為最。要去分辨不相稱的作業功能7 8 而且又沒有人開發出可以有效運用在各種實務狀況的一般性原則可供參考,在較過去更多量的分工控制矩陣這件惱人的事裡,缺乏前述之共識是很清楚的。對小公司而言,這是一個特殊的問題,其中職能分工這項弱點佔了內部控制報告裡重大缺失的大部分9

有一個簡單但能辨明職能分工(IT為基礎)衝突的強力方法被開發了出來,它還是根據組織基本控制原則的10。 這套方法可以讓組織使用比傳 統方式更少的職能來強化職能分工,幫助小型到大型組織提升內部控制並且改進作業的效率與彈性。

基本的職能分工(SoD):資產保管相對於認可

要對IT所支援的工作提供一個職能分工的概念基礎,我們必須從最基本的職能分工:資產保管與認可開始(圖一)談起。沒有獨立的認可機制,保管資產的員工可能在沒有偵測機制的情形下盜用或減損資產價值。

保管資產是交易作業的一部分,在這職能之中為組織處理(實體的或虛擬的)有價值的事物、指定或認定他的價值,而這項職能如果沒有做好將會造成組織的損失。在業務循環裹,以下是這些職能及其相關潛在損失的例子:

  • 業務訂單之定價。 一個資產評價沒有經過實際保管作業的例子是,業務人員標示了一個不恰當的低價格將造成組織的損失。
  • 從庫存撿貨及托運。 這裡所有的處置都會牽涉員工竊盜與損壞的風險,輸入時低報托運數量將導致損失,反之多報數量會對顧客超收。
  • 從顧客收到付款或其他金融資產,可能被竊取、會遺失、或者不正確的記錄下來。

一個交易可能同時伴隨有資產交換,通常賣方會拿到付款的保證,這個以記錄為基礎的資產只存在於公司的紀錄中,而這紀錄是很容易被操弄及破壞的。輸入這些交易到紀錄中的員工通常也被考慮可以保管資產。這些職能與相關威脅的例子包含:

  • 根據托運的數量與價格計算發票總金額並在應收帳款中記錄這個總金額
  • 根據勾銷或收到付款從應收帳款中減去

從這些保管職能產生的每一個交易必須被一個有專業或有指引輔助(足以用來評量)的獨立員工來認可11。 舉例來說,在動態商業環境下,如果複雜的客製化產品價格是經業務代表談判協商成立的,那這個認可人員必須要對價格是否合適有足夠的評估知識。如果有經過事先核准的價格表,那麼認可人員必須使用這個價格表。認可人員不可以是資產保管人員的直接或間接部屬。資產保管人員用同事做他的認可人員是可以的:但是同事之間經常會相互影響以致損害他們的獨立性,並且增加相互勾結的風險。獨立性在相反方向上也是絕對必要的:認可人員不可以啟動或以別的方式指示任何他/她所負責認可的保管交易,這是防止認可人員勾結外部人員啟動並認可一個盜用交易。

一個基本的職能分工模型(有IT支持的作業下)

引進資訊科技(IT)來支援商業作業代表在建制職能分工上需要更多的考慮,因為以IT為基礎的作業有其獨特性,因此在新的方式之下,以紀錄為基礎的資產所相關的資料,以及保管和認可職能的紀錄,變得很容易受到操弄或損失。第一,交易及主檔資料必須輸入電腦系統,因而導致可能發生錯誤。第二,這些資料可能被在開發 /維護或操作執行時造成程式錯誤的軟體所執行。這些資料或程式撰寫錯誤可以造成一個正常交易流失、一個交易或交易要素錯誤(例如:使用了不正確的價格)、一個錯誤的交易記錄(例如:一個職員記錄的數量比實際托運的少)、和錯誤的交易認可(例如:例外報表沒有顯示有價格不恰當的交易)。這些新增的資料和程式風險是我們需要對IT支援的作業有新的分工,如此才能達到相當於圖一所描述人工作業職能分工的水準。就如同實體資產,以紙本紀錄為主的資產需要有執行保管及認可的技能。執行這些職能的紀錄是用人工作業方式的存取限制來保護以達到基本的職能分工。以IT為基礎的資料和修改資料的程式,同時也必須有存取的限制。在人工作業中,存取控制是實體的,透過政策推動來限制存取資產、記錄、及認可的能力。以上是透過所有參與該作業的員工(包含一些獨立於保管和認可工作之外的人)來實施。在IT支援的作業中,存取控制基本上是虛擬的不外顯的,透過IT專業人員所管理的軟體機制,在應用系統、資料庫、及作業系統層面來實施。這意味和IT所支援的作業一起之外還要採用一些額外的步驟才能確保存取限制使職職能分工完整的形成並有效地實行。

在圖二所表達的方式有兩個要素:

  1. 它將四個IT活動(資料輸入、修改主檔、修改程式、執行程式)視為保管職能的具體顯現,而這些需要被獨立的認可來預防或偵測(並提報)不恰當的交易。舉例來說:輸入業務訂單資料時,對於會影響定價、數量、以及其他欄位都必須有能夠減少輸入錯誤情況的控制。修改主檔必須要被覆核,以此來確保交易不是被暫時修改成不恰當的值(例如:在出支票前修改供應商名字和郵寄地址,把支票寄給一個未經認可的供應商),之後再把資料修改回來。同樣的,修改任何程式都必須被獨立的測試,而且要有正確的預防性與偵測性控制來確保執行的程式(定時執行之程式與檢核操作日誌) 都
  2. 它認定限制存取資料及程式是這些職能分工的基礎(例如:禁止能修改主檔的使用者同時也能去認可這些修改)。因此在應用系統、資料庫、作業系統、及網路各層面的存取許可必須可以被獨立的認可。這項存取許可職能同時也包括促進存取控制的工作(例如:使用加密技術)。存取許可的認可者不應該執行任何其他的保管或認可職能。如果他/她可以的話(例:某項保管職能),當存取許可者因錯誤給了存取許可的認可者一個應該分工開的職能(例:該項保管職能的認可權),這時存取許可的認可者可能會因為這讓他有機會侵佔公司資產而傾向不向上呈報這個存取許可的錯誤。12

有一點很重要,就是這個模型並不是要所有的職能分工。第一,資料和程式相關的職能可以合在一起。只要有另外一個獨立的人員(或許是他/她的主管)控制輸入、核准主檔/程式/程式排程的修改並覆核正式作業環境程式的執行日誌,同一個員工可以擔任輸入資料、修改主檔、撰寫 /維護程式等工作,同時也可以是電腦操作人員。就像沒有IT支援的作業下,如果在進行修改前必須有輸入控制與核准,那這些控制就足以預防詐欺交易發生。進一步說,圖二除了存取許可的認 可之外,只要每一個使用者的保管工作是被獨立認可的,那其他的職能都不必跟使用者的保管及認可工作做分工。這與一般建議將IT功能(即:開發、測試、操作)與使用者部門分工,將資料輸入與程式修改分工13 的實務是相反的。

第二,只要有一個獨立人員來認可存取許可,存取許可職能可以和任何的保管和認可職能(包含執行程式)合併在一起。這也是某些建議如將 DBA功能與使用者部門分工、將IT安全功能與其他IT功能分工是相反的。在這模型中,只有存取許可的認可職能(不是存取許可功能本身)是作用在每一個層面(包含實體、應用系統、資料庫、作業系統、及網路)而必須與所有其他的職能分工。

如此分工是有需要的,這樣存取許可的認可者才不能去認可他/她自己層級的修改,才不會危害他/她的獨立性。這樣可以實行為一個預防性控制(存取許可先獲得認可)或偵測性控制(事後獲得認可)。這裡意味著在IT支援的作業中,要達到一個職能分工(SoD)基本水準的最少員工人數是三。

這個三向的分工模型跟傳統四向的分工(開發、測試、操作、及存取控制)是很不相同的。因為圖二中每一列的分工是獨立評價的,為了加強效率,任一列中的兩個IT員工都可以互換工作。舉例來說,這個模型允許一個員工輸入資料、修改程式、認可第二個員工所做的主檔修改及其作業日誌。而第二個員工則可以做修改主檔、執行程式、認可前一員工所做的輸入、修改程式、並且同時負責使用者的存取許可,而這些存取許可則需要被第三個員工來覆核及認可。小型公司只願意花費很少的時間來執行上面所說第三個員工的工作,這個存取許可的認可工作可以讓組織外面一個可以信任的安全專家來執行。對於互換職能唯一的限制是有關執行輸入控制、保存稽核軌跡、輸入資料、修改主檔程式的測試。在這種情形下,如果同一個人有資料相關的職能並執行該程式的測試,那將會危及這測試,因為對於會減少不恰當輸入資料或修改主檔控制的程式錯誤他將可能不提報出來。

如同傳統的做法,這模型需要IT系統提供可靠的日誌(執行什麼程式、資料/程式/存取許可有什麼修改)。而如果沒留下被修改的軌跡,這些日誌是不能被修改的(例如:使用一次寫入多次讀取(W O R M)的裝置)。

結論

在組織內部控制治理上有一個核心要素,就是要採用一個能檢驗職能分工在實務上是嚴謹但彈性卻有效的概念性做法。這裡提出的模型挑戰傳統作法,並且讓組織(尤其是小型的)能更有效率、效果的實施一個具基本水準的職能分工(SoD)。

Endnotes

1 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Internal Control—Integrated Framework, 2013, www.coso.org/IC.htm
2 Public Company Accounting Oversight Board (PCAOB), Auditing Standard No. 5, “An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements,” 2007, http://pcaobus.org/Standards/Auditing/Pages/Auditing_Standard_5.aspx
3 American Institute of Certified Public Accountants, Audit and Attest Standards: AU Section 314.126 B15, 2006, http://aicpa.org/
4 Stone, N.; “Simplifying Segregation of Duties,” Internal Auditor, April, 2009, www.theiia.org/intAuditor/itaudit/2009-articles/simplifying-segregation-of-duties/
5 Adolphson, M.; J. Greis; “A Risk-based Approach to SoD, Partnering IT and the Business to Meet the Challenges of Global Regulatory Compliance,” ISACA Journal, vol. 5, 2009
6 Hare, J.; “Beyond Segregation of Duties: IT Audit’s Role in Assessing User Access Control Risk,” ISACA Journal, vol. 5, 2009
7 ISACA, CISA Review Manual 2005, USA, 2004, chapter 2, p. 88-91
8 ISACA, “Best Practices to Resolve Segregation of Duties Conflicts in Any ERP Environment,” 2012, www.isaca.org/Groups/Professional-English/it-audit-guidelines/GroupDocuments/SOD
9 Gramling, A.; D. Hermanson; H. Hermanson; Z. Ye; “Addressing Problems With the Segregation of Duties in Smaller Companies,” CPA Journal, July 2010, p. 30-34
10 Kobelsky, K.; “A Conceptual Model for Segregation of Duties: Integrating Theory and Practice for Manual and IT-based Processes,” International Journal of Accounting Information Systems, forthcoming
11 Protiviti, “Enhancing Sarbanes-Oxley Compliance Cost-Effectiveness,” FS Insights, vol. 2, no.5, July 2007. The segregation of custody and authorization can operate in a preventive or detective manner. If the authorization duty occurs simultaneously with the custody duty before the latter can be completed, so that the transaction can be stopped before a loss occurs, it is preventive (e.g., reconciliation of batch control data before batch input is accepted for processing). If the authorization occurs after a loss might occur, it is detective (e.g., checking prices on orders after they are accepted by salespeople). Preventive controls reduce the likelihood of perpetration of errors, while detective controls reduce the likelihood of concealment of errors. In practice, firms often find that a preventive approach is more cost-effective.
12 It is possible that the access granter could make the error of simultaneously giving the access grant authorizer access to custody and authorization duties, which would compromise the effectiveness of the authorization. An alternative approach to ensure that authorization of access grants is handled appropriately would be to have all access grant changes for the access grant authorizer’s user ID reviewed by a third person. This would allow the access grant authorizer to perform other custody or authorization duties, keeping the total number of employees required for SoD to three. This alternative is not illustrated in figure 2 for simplicity of presentation.
13 Singleton, T.; “What Every IT Auditor Should Know About Proper Segregation of Incompatible IT Activities,” ISACA Journal, vol. 6, 2012 14 Ibi

作者:Kevin Kobelsky, Ph.D.,CISA, CA, CPA (Canada) is an assistant professor of accounting at the University of Michigan—Dearborn College of Business (USA). Prior to academia, Kobelsky was an IT audit manager in the Toronto office of Ernst & Young and the manager of internal audit at Canadian Tire Corp. His research on the impacts of IT on organizational performance, market value and internal control has been published in several leading journals including The Accounting Review, Journal of Information Systems and the International Journal of Accounting Information Systems. His research has been funded by the US National Science Foundation (NSF) and profiled in InformationWeek. He is a member of the editorial boards of the Journal of Information Systems and the International Journal of Accounting Information Systems.

譯者: 邵之美, CISA, ISO27001 LA,中華民國電腦稽核協會編譯出版委員會委員


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 4, 2014of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2014,Volume 4中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.