Опыт аудита бизнес-процессов на предмет наличия рисков разделения полномочий (SoD-рисков) в информационных системах

Автор: Владимир Жилкинский, внутренний аудитор компании «Делимобиль», член Ассоциации «Институт внутренних аудиторов»¹

В наше время все больше компаний считают важным для себя минимизацию рисков, связанных с разделением полномочий (Segregation of Duties, SoD) в критически важных информационных системах. Практика по управлению SoD-рисками стала активно развиваться в крупнейших мировых компаниях после вступления в силу закона Сарбейнса-Оксли. В последние годы руководство многих российских компаний также осознало важность работы с данным видом рисков, который возникает в связи с наделением излишними полномочиями в информационных системах отдельных сотрудников. Это связано с тем, что цена ошибок, возникающих в результате неконтролируемого присвоения сотрудникам таких излишних полномочий, может быть очень высокой для компании.

Необходимость контроля за разделением полномочий в информационных системах закреплена в различных стандартах и методологиях. Так, его внедрение предусматривается Международным стандартом по созданию, внедрению и улучшению системы менеджмента информационной безопасности (ISMS) ISO 27002:2022. Также контроль за разделением полномочий является одним из основных средств контроля согласно модели COSO.

Вопрос разделения полномочий в информационных системах актуален не только в коммерческих компаниях, но и в государственном секторе. Например, методический документ «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 г.) устанавливает требования к разделению полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационных систем.

Вместе с тем, в настоящее время анализ бизнес-процессов на предмет наличия SoD-рисков не часто включается в план проведения внутренних аудитов в российских компаниях.

В данной статье будет рассмотрен вопрос о том, каким образом можно провести данный аудит и какие рекомендации должны быть даны по его итогам.

Основной принцип правильного разделения полномочий в информационных системах заключается в том, что полномочия на проведение любых важных операций (например, создание и согласование заказа поставщику, заведение заявки на расходование денежных средств и формирование банковской выписки, внесение данных в табель учёта рабочего времени и его согласование) должны быть разделены в информационных системах между работниками таким образом, чтобы ни у кого из них не было возможности провести данные операции единолично. В рамках анализа на наличие SoD-рисков определяются недопустимые комбинации полномочий (конфликты полномочий) в информационных системах, которые не могут быть присвоены отдельному пользователю.

Примерами таких комбинаций являются:

• инициация и согласование заявок на закупку;

• создание, согласование и подписание договоров и дополнительных соглашений;

• заведение в систему нового поставщика и формирование заказа на закупку;

• формирование заказа на закупку и учёт поступления товара на склад;

• заведение в систему нового сотрудника и начисление заработной платы.

Данный подход позволяет значительно снизить риск мошенничества, а также вероятность человеческих ошибок.

С чего внутреннему аудитору следует начать свою проверку? Прежде всего аудитор должен понять, есть ли в компании внутренний нормативный документ (политика, регламент), который определяет основные принципы организации работы с SoD-рисками, а именно:

• какое подразделение и с какой периодичностью должно анализировать бизнес-процессы на предмет появления рисков разделения полномочий;

• какое подразделение и каким образом контролирует присвоение полномочий пользователям ИТ-систем на предмет наличия SoD-рисков;

• каким образом отслеживаются изменения бизнес-процессов на предмет появления новых рисков разделения полномочий;

• какие действия предпринимаются в случае появления пользователей с недопустимой комбинацией полномочий, которая вызывает SoD-риск;

• с какой периодичностью и в каких случаях происходит актуализация матриц разделения полномочий (рекомендуемая периодичность зависит от скорости развития компании и автоматизации бизнес-процессов; на практике, в большинстве случаев, матрицу разделения полномочий следует актуализировать не реже 1 раза в год).

Внутренний аудитор должен оценить эффективность и актуальность подходов по управлению SoD-рисками, изложенными в данном внутреннем нормативном документе, а также убедиться в том, что требования документа выполняются фактически. Например, нормативным документом может быть предусмотрена актуализация матрицы разделения полномочий в случае изменения функционала информационной системы и связанных с этим изменений бизнес-процессов, однако фактически матрицу разделения полномочий не меняют, и появляются риски, связанные с новым функционалом ИТ-систем, которые не охвачены действующей редакцией матрицы.

Все риски разделения полномочий должны быть отражены в наборе правил (ruleset), который обычно формируется в виде матрицы разделения полномочий. Каждая строчка данной матрицы состоит из 3-х частей:

1. полномочия в ИТ-системе;

2. другие полномочия в ИТ-системе, которые вступают с первыми полномочиями в конфликт;

3. описание риска, возникающего при совмещении данных полномочий.

Матрица может формироваться как на уровне бизнес-операций (в данном случае описываются сами полномочия без указания конкретных технических параметров), так и на более глубоком техническом уровне (в данном случае помимо полномочий в матрице указываются конкретные технические параметры, позволяющие пользователям иметь данные полномочия).

Ниже приведен пример того, как может выглядеть матрица разделения полномочий:

Полномочия 1 в ИТ-системе	Полномочия 2 в ИТ-системе	Описание риска	Уровень риска
Ведение данных по бюджетированию	Ведение проектов	По причине совмещения полномочий на ведение данных по бюджетированию и на ведение проектов возникает риск списания перерасхода бюджета на фиктивно созданный проект	Высокий
Ведение данных по кадрам	Расчеты с персоналом	По причине совмещения полномочий на ведение данных по кадрам и на расчеты с персоналом возникает риск неавторизованных дополнительных выплат по фиктивно внесенным учетным данным работника	Высокий
Ведение данных ТМЦ	Инвентаризация ТМЦ	В результате совмещения полномочий на ведение данных ТМЦ и на инвентаризацию ТМЦ возникает риск некорректного/ неполного отражения в учете, списания в доход/ убыток полученных/ выбывших запасов по итогам инвентаризации	Высокий
Ведение данных качества	Движение материалов	По причине совмещения полномочий на ведение данных качества и на движение материалов возникает риск приемки некачественного материала за счет неправомерного занижения основных параметров качества	Высокий
Ведение документов по казначейским операциям	Расчеты с персоналом	По причине совмещения полномочий на ведение документов по казначейским операциям и на расчеты с персоналом возникает риск выплаты начислений сотруднику по фиктивным документам, подтверждающим необходимость выплат	Высокий
Обработка счетов контрагентов	Движение материалов	По причине совмещения полномочий на обработку счетов контрагентов и на движение материалов возникает риск регистрации входящих счетов-фактур от поставщиков к фиктивно отраженным поступлениям ТМЦ в учете (фактически не полученным)	Высокий

Внутреннему аудитору нужно рассмотреть существующую в компании матрицу разделения полномочий на предмет её актуальности. В рамках проверки выполнения требований нормативного документа, который определяет основные принципы организации работы с SoD-рисками, рекомендуется проанализировать, как часто фактически актуализируется SoD-матрица, совпадает ли фактическая периодичность актуализации матрицы с периодичностью, предусмотренной указанным внутренним нормативным документом.

Также целесообразно детально проанализировать все основные бизнес-процессы компании (желательно с формированием пошаговой диаграммы), выделить в них шаги, выполняемые в ИТ-системах, и понять, все ли потенциальные риски отражены в матрице.

Следует определить полный перечень используемых в компании ИТ-систем, выявить среди них те информационные системы, которые оказывают существенное влияние на бизнес-процессы организации и злоупотребление полномочиями в которых может привести к искажению финансовой и налоговой отчётностей, потере активов, проведению нецелесообразных дорогостоящих закупок, нарушению принципа непрерывности бизнес-процессов организации. Иногда матрица разрабатывается только для основной ERP-системы (например, 1С), в то время как ряд критически важных операций для непрерывности процесса организации может выполняться в других информационных системах, которым также могут быть присущи риски разделения полномочий.

Существует различная классификация SoD-рисков, однако обычно они делятся на высокие, средние и низкие. В ходе внутреннего аудита можно оценить, насколько объективно дана оценка по каждому конкретному риску. На практике, чаще всего, классификация риска происходит экспертным путем на основе опыта, знаний и понимания важности бизнес-процесса, что может повлечь за собой субъективность при оценке. Наличие методологии оценки SoD-рисков с объективными критериями оценки является положительным фактором.

На любой SoD-риск в организации обязательно должна быть выработана стратегия реагирования. Следует выделить следующие наиболее эффективные варианты стратегии реагирования на SoD-риски:

1. Перераспределение ролей и полномочий сотрудников, в результате которого новые полномочия полностью исключают SoD-риск. В некоторых информационных системах (например, 1С) имеется техническая возможность установить точечные ограничения на уровне записей (RLS, record level security) на права и полномочия отдельного пользователя, что значительно упрощает реагирование на выявленные риски. Перераспределение ролей и полномочий, как стратегия реагирования на SoD-риск, является наиболее эффективной, так как она исключает необходимость внедрения дополнительных компенсирующих контрольных процедур, выполняемых другими сотрудниками, тем самым снизив человеческий фактор. Некоторые GRC-системы позволяют проводить автоматический анализ полномочий на предмет возникновения SoD-конфликтов при присвоении пользователям новых ролей в информационных системах, блокируя такое присвоение ролей и вынуждая пользователей к принятию мер.

2. Не всегда возможности информационной системы, а также численность персонала позволяют разделить важные процессы на несколько частей, права на которые распределяются между различными сотрудниками. В таких случаях происходит внедрение компенсирующих контрольных процедур. Данные процедуры должны выполняться независимым работником, иметь достаточную для покрытия риска периодичность, а также иметь следы. Примером такой компенсирующей контрольной процедуры может быть еженедельная проверка выгрузки со всеми заведенными за данную неделю договорами на предмет соответствия договорных условий рыночным, целесообразности заключения договора и т.д. сотрудником, отличным от сотрудника, который, например, завел новый договор в систему.

В ходе внутреннего аудита возможно провести оценку того, насколько правильно определена стратегия реагирования на данные риски, эффективны ли и достаточны ли внедренные компенсирующие контрольные процедуры.

Рекомендуется выбрать ряд рисков, по которым разработаны компенсирующие контрольные процедуры, и выборочно проверить факт их исполнения. Также необходимо проанализировать, есть ли в информационных системах пользователи, которые обладают конфликтами полномочий, отраженными в матрице разделения полномочий. Особое внимание необходимо обратить на пользователей, которые меняли свои должности или переходили из одного подразделения в другое: существует риск того, что таким пользователям при переводе сохранили старые полномочия в информационных системах, которые в сочетании с новыми могут привести к возникновению конфликта полномочий.

Следует уделить внимание тому, какое подразделение занимается в компании вопросами, связанными с SoD-рисками. Насколько данное подразделение вовлечено в процесс и хватает ли у него ресурсов для того, чтобы своевременно реагировать на возникающие риски, входит ли работа по минимизации SoD-рисков в список первоочередных задач данного подразделения. На практике чаще всего данный вопрос может быть в зоне ответственности службы внутреннего контроля и службы ИТ. Служба внутреннего контроля обычно разрабатывает матрицы разделения полномочий, определяет и оценивает риски, в то время как служба ИТ обеспечивает непосредственное выполнение принципов, заложенных в матрицу разделения полномочий при наделении полномочиями в ИТ-системах конкретных пользователей.

По итогам внутреннего аудита могут быть даны следующие рекомендации:

1. Разработать или актуализировать нормативный документ, который определяет основные принципы организации работы с SoD-рисками;

2. Разработать или актуализировать матрицу разделения полномочий, добавить в неё новые риски, либо убрать неактуальные;

3. Включить в матрицу разделения полномочий риски по информационным системам и процессам, которые ранее не были учтены;

4. Актуализировать существующую неэффективную стратегию реагирования на риски разделения полномочий (например, разработать новые компенсирующие контрольные процедуры);

5. Перераспределить полномочия в информационных системах у конкретных пользователей.

Происходящие во всех крупных компаниях процессы автоматизации бизнес-процессов вынуждают руководство данных компаний уделять внимание вопросам, связанным с SoD-рисками, в связи с чем тема разделения полномочий в информационных системах будет все чаще рассматриваться со стороны внутренних аудиторов. Достижение эффективности, прозрачности и контролируемости бизнес-процессов в любой организации в текущих условиях невозможно без выстроенной системы по управлению SoD-рисками.

---