الفصل بين الواجبات والمعروف أيضَا باختصار «إس أو دي» أو العزل بين الواجبات هو مفهوم يفسر اشتراك أكثر من شخص من أجل إكمال مهمة معينة. يكون الفصل في العمل من خلال مشاركة أكثر من فرد في عمل مهمة واحدة لضمان الرقابة الداخلية للعمل بهدف منع الاحتيال أو الأخطاء. يُطلق على هذا المجال عند استخدامه في المجال السياسي مصطلح فصل السلطات بدلًا من الفصل بين الواجبات. يخدم فصل التشريعات عن الإدارة في الأنظمة الديمقراطية غرضًا مشابهًا، أما تكنولوجيًا وفي نظم التقنية يُتناول المفهوم لنفس الغرض وبشكل عام يتعامل معه على أنه حرص زائد لمنع الأخطاء أو الاحتيال.
شرح عام
يعتبر الفصل بين الواجبات مفهومًا رئيسيًا للرقابة الداخلية كما تجب الموازنة بين الحماية من الاحتيال والتقليل من الأخطاء مع التكاليف والجهود المطلوبة للقيام بذلك.
ينفذ «إس أو دي» في جوهره مستوى مناسبًا من الضوابط والتوازنات على أنشطة الأفراد. يصف ر.أي.بوذا وج.إتش.بّي إلوف نظام «الإس أو دي» في صحيفة آي بي إم على النحو التالي:
«يتمثل الهدف الأساسي للفصل بين الواجبات كمبدأ أمني يهدف لمنع الاحتيال أو الأخطاء. يتحقق هذا الهدف من خلال توزيع المهام والمسؤوليات المرتبطة بعملية تجارية معينة بين عدة مستخدمين. يظهر هذا المبدأ في المثال التقليدي لفصل الواجبات الموجود في اشتراط توقيعين على الشيك».
قد تختلف عناوين الوظائف الفعلية والتنظيمية اختلافًا كبيرًا بين مؤسسة وأخرى بحسب طبيعة وحجم العمل. يكون الترتيب أو التسلسل الهرمي أقل أهمية من مهارات وقدرات الأفراد المعنيين. يمكن تصنيف الواجبات المهمة للأعمال في مفهوم «إس أو دي» إلى أربعة أنواع من الوظائف: التفويض والحضانة وحفظ السجلات والمصالحة. لا ينبغي لأي شخص في أي نظام مثالي أن يتعامل مع أكثر من نوع واحد من هذه الوظائف.
المبادئ
توجد عدة أساليب قابلة للتطبيق اختياريًا بشكل أساسي كنماذج مختلفة جزئيًا أو كليًا:
- الفصل التسلسلي (مبدأ التوقيعين).
- الانفصال المنفرد (مبدأ العيون الأربع).
- الفصل المكاني (عمل منفصل وفي مواقع منفصلة).
- الفصل بين العوامل (مساهمة عدة عوامل في انتهاء العمل).
أنماط مساعدة
يعتبر أي شخص يمتلك صلاحيات لأداء أدوارٍ وظيفية متعددة هو شخص لديه قابلية لإساءة استخدام تلك الصلاحيات. ينص نمط تقليل المخاطر على:
- ابدأ بالوظيفة الأكثر أهمية والتي لا غنى عنها مع وجود احتمالية لإساءة عملها.
- قسم المهمة المطلوبة لخطوات منفصلة والتي تعتبر كل منها ضرورية لإتمام العمل من أجل تقليل فرص الخطأ في إنجاز المهمة.
- حدد شخص أو منظمة مختلفة من أجل إنجاز كل مهمة من المهام المقسمة.
الفئات العامة للوظائف الواجب فصلها
- وظيفة منح السلطات.
- وظيفة التقييد والتسجيل، على سبيل المثال وظيفة إعداد وثائق أو أكواد أو تقارير الأداء.
- حراسة الأصول سواء كان بشكل مباشر أو غير مباشر مثل تلقي الشيكات بريديًا أو تنفيذ تعليمات المصدر البرمجية أو تغيير قواعد البيانات.
- المصالحة أو التدقيق.
- تقسيم مفتاح أمان واحد بين الأشخاص المسؤولين في المقام الأول ضمن جزأين أو أكثر من أجل أخذ الفصل على أنه الاختيار الوحيد.
التطبيق في الأعمال العامة والمحاسبة
يُعرف مصطلح إس أو دي بالفعل ضمن أنظمة المحاسبة المالية، وتفهم جميع الشركات من جميع الأحجام وجوب عدم الجمع بين الأدوار، مثل استلام الشيكات والموافقة على الشّطب أو إيداع الأموال وتسوية البيانات المصرفية أو الموافقة على بطاقات الوقت وحراسة شيكات الدفع وما إلى ذلك. يعتبر الإس أو دي نمطًا جديدًا تقريبًا في أقسام التكنولوجيا (آي تي) بالرغم من أن نسبة كبيرة من قضايا المراجعات الداخلية تأتي من أقسام التكنولوجيا.[1]
يساعد الفصل بين الواجبات في أنظمة المعلومات في التقليل من الضرر المحتمل والناجم عن التصرفات الفردية. يجب تنظيم قسم المستخدم النهائي «الآي إس أو» بطريقة تحقق الفصل المناسب بين الواجبات. لا ينبغي وفقًا لمصفوفة الفصل بين مراقبة الواجبات في «إساكا» دمج عدة واجبات في منصب واحد. لا تعتبر هذه المصفوفة معيارًا صناعيًا إنما مجرد مبدأ توجيهي عام والذي يقترح المسؤوليات التي ينبغي فصلها والتي تتطلب ضوابطًا للتعويض عند الجمع.[2]
قد تختلف الوظائف والتسميات باختلاف حجم الشركة. يجب أن تكون ضوابط التعويض مطبقة عندما لا يمكن فصل الواجبات. تعرف الضوابط التعويضية بأنها الضوابط الداخلية الهادفة للحد من خطر وجود ضعف في السيطرة الحالية أو المحتملة. تكون الواجبات غير متوافقة مع نمط إس أو دي في حال كان بإمكان شخص واحد تنفيذ المهمة مع إخفاء الأخطاء أو المخالفات الحادثة أثناء القيام بالأنشطة اليومية.
هناك العديد من آليات التحكم والتي بإمكانها المساعدة في فرض الفصل بين الواجبات:
- تتيح مسارات المراجعة إعادة إنشاء تدفق المعاملات الفعلي لمديري تقنية المعلومات أو مراجعي الحسابات من نقطة الأصل وحتى وجودها في الملف المحدث. يجب تمكين مسارات المراجعة الجيدة من أجل تقديم معلومات حول من بدأ المعاملة مع الوقت وتاريخ الدخول ونوع الإدخال وحقول المعلومات الحاوية عليها بالإضافة للملفات المحُدثة.
- تعتبر مسؤولية التفريق بين التطبيقات وعمليات المراجعة المستقلة النهاية مسؤولية المستخدمين مع إمكانية استخدامها من أجل زيادة مستوى الثقة في تنفيذ التطبيق بشكل ناجح.
- يعتبر التعامل مع تقارير الاستثناء المدعومة بأدلة مشيرة لتعامل الاستثناءات معها بشكل صحيح وفي وقت صحيح على المستوى الإشرافي. يكون توقيع الشخص المعدّ للتقارير مطلوبًا بشكل شبه دائم.
- يجب الاحتفاظ بسجلات المعاملات اليدوية أو الآلية للنظام أو سجلات التطبيق والتي تسجل جميع أوامر النظام المعالج أو معاملات التطبيق.
- يجب إجراء المراجعة الإشرافية من خلال عمليات الملاحظة والتحري.
- يوصى بإجراء مراجعات مستقلة من أجل التعويض عن الأخطاء أو الإخفاقات المتعمدة. يمكن أن تساعد هذه المراجعات على اكتشاف الأخطاء والمخالفات.
التطبيق في نظم المعلومات
استُخدم نمط فصل الواجبات في مهنة المحاسبة بشكل كبير بسبب المخاطر المتراكمة على مدى مئات السنين من الممارسة المحاسبية.
على النقيض من ذلك، وجدت العديد من الشركات في الولايات المتحدة أن نسبة عالية من قضايا الرقابة الداخلية جاءت من قسم التكنولوجيا بشكل غير متوقع. شاع استخدام الفصل بين الواجبات في مؤسسات تقنيات المعلومات الكبيرة بشكل لا يضع شخصًا واحدًا بمفرده في موضع يسمح له بتقديم كود أو بيانات هدفها الضرر أو الاحتيال دون أن يُكتشف. يستخدم التحكم في الوصول المستند للأدوار والمهام بشكل متكرر في أنظمة تكنولوجيا المعلومات؛ إذ يُطلب نمط إس أو دي بشكل كبير. يتطلب التحكم الصارم في تغييرات البرامج والبيانات أن يقوم الشخص أو المؤسسة نفسها بأداء أحد الأدوار التالية فقط دون الجمع بين عدة مهام:
- تحديد المتطلبات للشركة، على سبيل المثال: رجل أعمال.
- الإذن والموافقة، على سبيل المثال: مجلس إدارة تكنولوجيا المعلومات، أو مديرها.
- التصميم والتطوير، على سبيل المثال: مطوّر.
- المراجعة والتفتيش والموافقة، على سبيل المثال: مطوّر أو مهندس آخر.
- إنتاج وتنفيذ العمل، تكون عادة تغييرًا للبرنامج أو مسؤول النظام.
لا يعتبر هذا عرضًا شاملًا لطريقة العمل في تكنولوجيا المعلومات ولكنه قائمة بالوظائف المهمة والتي يُطبق فيها فصل الواجبات في قسم التطوير.
يجب معالجة عدد من المخاوف من أجل التنفيذ الناجح لنمط فصل المهام في نظم المعلومات:
- تتماشى العملية المستخدمة لضمان حقوق ترخيص الشخص ضمن النظام مع تحديد دوره وتعريف القسم التابع له.
- طريقة المصادقة المستخدمة مثل معرفة كلمة المرور أو حيازة مفتاح أو رميز مميز.
- يمكن أن يحدث التحايل على الحقوق ضمن هذا النظام من خلال الوصول لإدارة قاعدة البيانات أو الوصول لإدارة المستخدم أو الأدوات التي توفر الوصول «للباب الخلفي» أو حسابات المستخدم المثبتة من قبل المورد. قد تكون هناك حاجة لعناصر تحكم محددة مثل مراجعة سجل النشاط من أجل معالجة هذه العقبة.
المراجع
- Kevin Coleman, Separation of Duties and IT Security - تصفح: نسخة محفوظة 12 مايو 2010 على موقع واي باك مشين.
- ISACA, Segregation of Duties Control matrix - تصفح: نسخة محفوظة 26 يناير 2020 على موقع واي باك مشين.