职责分离 (企业管理)

职责分离是组织内部管理的一个关键理念。多人协作完成任务时，组织利用职责分离管理各人职责，防止欺诈、破坏、盗窃、滥用信息和其他危害安全的行为。组织要平衡对于防止失职所作的防护和为其所付出的成本。在政治领域，这称为权力分立，例如民主政体中政府被分为三个独立部门：立法机关、行政机关和司法机关。

职责分离可以适当限制个人的活动。IBM Systems Journal中的R.A. Botha和J.H.P Eloff对职责分离的描述如下：

职责分离透过在多个使用者之间分配特定与业务相关的任务和权限，达到防止欺诈和失职的目标。例如在支票上需要两个授权人的签名，乃是传统职责分离案例中的典型。^[1]

依据企业的规模和性质，不同组织的职位和架构可能会有很大差异。因此，级别不如所涉及的个人的专业技能和能力重要。采用职责分离的理念，业务的关键职责可分四类功能：授权、保管、记录保存和对账。在理想的系统中，任何人都不应负责多于一类功能。

原则

可以参考以下一个或多个模板作参考和选择：

顺序分离（两个签名原则）
个体分离（四眼原则）
空间分离（不同位置独立行动）
因素分离（有几个因素有助于任务完成）

辅助模式

具有多种权限的人可能滥用权力。风险最小化的模式是：

从不可或缺但可能会被滥用的职责开始。
将其拆分成独立的步骤，每个步骤都是必需的。
将每一步均分配给其他不同的人或组织。

需拆分的职责一般如下：

授权
记录，例如源文件、代码或性能报告的准备工作
直接或间接资产的保管，例如接收支票或进行对源代码或数据库更改
对账或审计
将安全密钥分成两个或多个来分给不同的负责人

在普通业务和会计中的应用

职责分离术语在会计中早已广为人知。不同规模的公司都会避免将付款、销账、存款和对账、考勤管理和发工资等职责过于集中。

在信息系统中，职责分离有助于减少个人行为造成的潜在危害。部门的组织方式应实现充分的职责分离。根据 ISACA的职责分离控制矩阵^[2]，一些职责不应合并到一个职位。

注意：该矩阵是建议哪些职责应被拆分，以及哪些职责在作合并时需补偿性管控措施的指南，并非行业标准。

不同的公司规模，可能会有不同的职能。未采用职责分离小规模公司通常在付款周期中可能遇到未经审批的采购或付款的问题^[3]。若职责不能分离，应有补偿性管控措施。补偿性管控是旨在降低当下或潜在管理漏洞风险的内部控制。如果特定个人在日常工作中犯错或违规却可以隐瞒所作所为时，此人就不符合职责分离原则。有以下几种控制机制可以协助执行职责分离：

审计跟踪让IT经理或审计员能在更新的文件中重现从开始到交易实际发生为止的记录。应采用有效的审计跟踪，以提供有关发起交易的人员、时间和日期、交易类型、所更新的文件以及其所含的交易信息。
申请表的核对工作及独立验证其过程用户的职责，可提高公司对所提申请可靠性的信心。
异常报告被监管层处理时，要留由证据证明异常情况已得到妥善及时处理。这一般需要准备报告的人的签名。
记录所有已处理的系统命令或应用程序的手动／自动的交易系统或申请日志应被妥善维护。
应通过观察和提问的方式对流程进行监督检查。
应通过预设的流程来补救错误或故意失职，建议进行独立审查。此类审查有助于发现失职和违规行为。

在信息系统中的应用

由于多年会计实践中积累的已知风险，会计行业在职责分离方面投入了大量资金。

相比会计行业，美国的许多公司发现其内部SOX控制问题有很高的比例来自IT部门。职责分离通常用于大型IT组织，这样任何个人都无法在不经察觉的情况下写入欺诈或恶意代码及数据。基于角色的访问控制经常用于需要职责分离的IT系统中。最近，随着发展中组织所需的员工数量的增加，其通常使用基于属性的访问控制的混合访问控制模型来解决基于角色的访问控制对应模型的局限。^[4]

为了严格控制对软件和数据的更改，要求个人或组织仅负责以下职责之一：

识别需求（或变更请求）：如业务、销售人员
授权和批准：如IT管委会或经理
设计和开发：例如开发人员
审查、检查和批准：如另一个开发人员或架构师。
投入实用：通常用软件变更流程或由系统管理员负责。

注意此非对软件开发生命周期的详细介绍，而是列出适用于职责分离的关键开发职能。

要在信息系统中成功实践职责分离，需要解决许多问题：

需要有流程确保一个人在系统中的授权权限与其在组织中的职责相一致；
使用的身份验证方法，例如密码、密保（密钥、令牌）或指纹／面部识别等生物学特征。
解决规避系统权限的问题：例如通过数据库管理访问、用户管理访问、提供后门访问的工具或供应商安装的用户帐户。这可能需要特定的控制措施（例如审查活动日志）来解决这一特定问题。

参考资料

^ R. A. Botha; J. H. P. Eloff. Separation of Duties for Access Control Enforcement in Workflow Environments. IBM Systems Journal. 2001, 40 (3): 666–682. doi:10.1147/sj.403.0666. （原始内容存档于December 18, 2001）.
^ Segregation of Duties Control matrix. ISACA. [2022-07-17]. （原始内容存档于2011-07-03）.
^ Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia. Addressing Problems with the Segregation of Duties in Smaller Companies. Faculty Publications. 2010-07-01 [2023-05-23]. （原始内容存档于2023-06-19）.
^ Soni, Kritika; Kumar, Suresh. Comparison of RBAC and ABAC Security Models for Private Cloud. 2019 International Conference on Machine Learning, Big Data, Cloud and Parallel Computing (COMITCon). 2019-02-01: 584–587. ISBN 978-1-7281-0211-5. S2CID 204231677. doi:10.1109/COMITCon.2019.8862220.

[1] R. A. Botha; J. H. P. Eloff. Separation of Duties for Access Control Enforcement in Workflow Environments. IBM Systems Journal. 2001, 40 (3): 666–682. doi:10.1147/sj.403.0666. （原始内容存档于December 18, 2001）.

[2] Segregation of Duties Control matrix. ISACA. [2022-07-17]. （原始内容存档于2011-07-03）.

[3] Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia. Addressing Problems with the Segregation of Duties in Smaller Companies. Faculty Publications. 2010-07-01 [2023-05-23]. （原始内容存档于2023-06-19）.

[4] Soni, Kritika; Kumar, Suresh. Comparison of RBAC and ABAC Security Models for Private Cloud. 2019 International Conference on Machine Learning, Big Data, Cloud and Parallel Computing (COMITCon). 2019-02-01: 584–587. ISBN 978-1-7281-0211-5. S2CID 204231677. doi:10.1109/COMITCon.2019.8862220.

[1]

[2]

[3]

[4]