Можно привести множество целей, которые ожидается достигнуть за счет внедрения программного обеспечения. В первую очередь – это автоматизация рутинных операций для высвобождения времени на решение более интеллектуальных задач, далее – унификация процессов, обеспечение прозрачности операций и увеличение доверия к обрабатываемым данным. Вероятнее всего, СММ-модель наиболее наглядно иллюстрирует цель и задачи автоматизации в контексте зрелости процессов организации.

В законодательстве как Российской Федерации, так и прочих стран земного шара, возможно найти противоречия, когда одно и то же событие в разных нормативно-правовых актах трактуется взаимообратно. Последнее приводит к необходимости судебных разбирательств. Казалось бы, какое это имеет отношение к информационным системам и технологиям? Несмотря на то, что внедрение программного обеспечения сводит до минимума случаи мошенничества и воровства сотрудников за счет прослеживаемости операций, находятся и те, кто умело пользуется недоработками системы.

Детективный контроль позволяет выявлять подобные случае по мере возникновения неблагоприятных событий. Наоборот, предиктивный контроль пресекает подобные исходы на корню. Именно на последних мы и остановим внимание в данной статье. Применительно к программному обеспечению подобный вид проверок тесно связан с термином SOD (Segregation of Duties).

Цель данной работы состоит применение методологии SOD в проектах внедрения корпоративных информационных систем, что обеспечит реализацию бизнес-процессов компании в ИТ-решении образом, исключающим/минимизирующим мошеннические действия со стороны работников. Достижение заявленной цели потребует решения следующих задач:

  • обзор элементов SOD;

  • рассмотрение типовых шагов SOD;

  • реализация SOD в бизнес-процессах и ERP-системах.

1. Определение, назначение и примеры SOD

Введем определение, расшифровывающее SOD, так как данный термин мы будем неоднократно использовать на протяжение всей статьи.

Определение 1Segregation of Duties (SOD) – процедура службы внутреннего контроля компании, нацеленная на предотвращение единоличного выполнения всех операций бизнес-процесса сотрудником, способное привести к ошибкам, искажению информации и мошенничеству [1]. Дословный перевод с английского «разграничение обязанностей».

SOD предполагает распределение обязанностей между сотрудниками организации таким образом, чтобы сквозной бизнес-процесс исполнялся не одним ответственным, а группой людей, каждый из которых отвечает за выполнение лишь определенной операции из всего процесса.

Наглядным примером служит закупка товаров, в которой заказ на покупку в информационной системе (ИС) создает специалист по снабжению, подтверждает – менеджер закупок, а оплачивает – материальный бухгалтер. Подобная организация процесса удовлетворяет правилам SOD, так как действия каждого участника проверяются и контролируются последующими вовлеченными лицами. Наоборот, ситуация наличия у сотрудника полномочий в ИС на выполнение всех трех указанных операций, позволяющих вести бесконтрольную закупку продукции, что может привести к финансовым потерям компании, нарушает каноны SOD.

2. Шаги имплементации SOD-контролей

Внедрение процедур SOD в регулярные процессы организации требуют выполнения указанных 5-ти шагов:

  • выявить критичные бизнес-процессы;

  • создать реестр SOD-рисков и SOD-матрицу;

  • присвоить роли и ответственных;

  • установить механизмы контроля;

  • вести регулярный аудит и мониторинг.

Внедрение процедур SOD в рамках всех процессов компании мероприятие довольно сложное и дорогое. Поэтому ограничиваются рассмотрением лишь наиболее значимых операций, злоупотребление в области которых приносит существенные убытки организации. К подобным процессам обычно относят операции регламентированного учета, а также транзакции в учетных системах, связанные с чувствительными данными.

Построение реестра и матрицы SOD ведется следующим образом. Выбранные процессы декомпозируются на операции. Для всевозможных пар операций выявляются, анализируются и качественно оцениваются риски. Согласно [1], выделяют типовые операции, выполнение которых рекомендуется осуществлять согласно принципу распределения ответственности (табл. 1).

Табл. 1. Типовые бизнес-задачи, выполняемые различными сотрудниками

Область

Задача

1

Финансы

Создание и согласование финансовых документов должно вестись разными людьми, чтобы исключить необдуманные решения и дополнительные затраты.

2

Финансы

Лицо, создающее бухгалтерскую проводку, не должно участвовать в их сверке, что минимизирует искажение финансовой отчетности.

3

Сбыт

Создание заказов на продажу и их отгрузка выполняется отличными ответственными, что препятствует изменению заказов в случае задержки их исполнения.

4

Сбыт

Отгрузка товаров и проведение платежей осуществляется несколькими сотрудниками, что снижает риск нарушения правил кредитного лимитирования при отправке продукции клиенту.

5

Закупки

Регистрация заказов поставщику и оприходование товаров на склад реализуется разными работниками, что снижает затоваривание склада и дефицит продукции.

6

Кадры

Объявление вакансии, сбор резюме, проведение интервью и принятие решения о найме соискателя ведется несколькими HR-сотрудниками, что снижает риск найма неподходящего работника.

7

Кадры

Вовлечение в операции начисления зарплаты и ведения данных сотрудника различных работников исключает риск изменения учетных данных для оплаты необоснованной заработанной платы.

Пример идентифицированных и ранжированных SOD-рисков для пары бизнес-операций, доступных к выполнению заданному сотруднику, дан в табл. 2. Оценивание рисков необходимо для выбора из их множества лишь наиболее значимых и последующего их исключения и/или снижения.

Табл. 2. Фрагмент реестра SOD-рисков

Область

Операция 1

Операция 2

Риск

Ранг риска

1

Финансы

Создание финансового документа

Согласование финансового документа

Принятие необдуманных финансовых решений, что грозит необоснованному увеличению затрат

Высокий

2

Финансы

Создание финансовых проводок

Сверка проведенных документов

Искажение финансовой отчетности

Высокий

3

Сбыт

Создание сбытовых заказов

Отгрузка продукции

Изменение заказов в случае задержки их исполнения, что может привести к нарушению условий договора и штрафам

Средний

4

Сбыт

Отгрузка продукции

Обработка входящих платежей

Нарушение правил кредитного лимита, что может увеличить массу дебиторской задолженности

Низкий 

5

Закупки

Создание заказов поставщику

Оприходование продукции на склад

Затоваривание склада и/или дефицит продукции

Высокий

Используя полученные результаты, строится SOD-матрица, в которой красным отмечаются ячейки с наибольшим рангом рисковой ситуации (рис .1).

Пример SOD-матрицы
Рис. 1. Пример SOD-матрицы

Построенная матрица SOD позволяет выявить области высокорисковых процессов, то есть определяет, какие пары бизнес-операций должны быть запрещены к одновременному выполнению тем или иным должностным ролям и сотрудникам ...

Выходные данные, полный текст статьи

Степанов Д.Ю. SOD-контроли: определение, типовые шаги, реализация в бизнес-процессах и ERP-системах // Корпоративные информационные системы. – 2026. – №1 (33) – c. 1-7. – URL: https://corpinfosys.ru/archive/2026/issue-33/319-2026-33-sod.

SOD: определение, типовые шаги, реализация в бизнес-процессах и ERP-системах