הפרדת תפקידים וסמכויות - ככה מונעים הונאות ומעילות

ב-ynet פורסם הבוקר כי בכיר במנהל החינוך בעירייה, חשוד בהוצאת כספים במרמה. המנהל, אחראי בין היתר על עובדי קבלן חיצוני שקשור בחוזה עם העירייה. בכל סוף חודש הוא דיווח על מספר העובדים ששלח הקבלן ועל השעות שעבדו - ובהתאם לכך הוציאו בגזברות העירייה שיקים למשכורות.

אלא שבבדיקת המבקרת נמצא שלפחות שני עובדים היו רק "עובדים על הנייר", שהפסיקו עבודתם עבור העירייה מזה זמן. למרות זאת, המנהל המשיך לדווח עליהם, ואת השיקים שהוצאו עבור משכורתם כביכול - הפקיד בחשבונו.

עד כאן קטע מ-YNET הבוקר.

הפרדת תפקידים וסמכויות, בעיקר בכל הנוגע לתהליכים שבהם יש כסף (משכורות, רכש, "קופה קטנה" ועוד) הנה הבסיס למניעת מעילות והונאות. הרעיון הבסיסי הנו שאדם אחד איננו יכול לבצע בעצמו את כל הרצף של הפעילויות שתחילתן במשהו שיאפשר קבלת כסף וסיומו בקבלת הכסף עצמו. לדוגמה: אדם אחד איננו רשאי בעצמו להגדיר עובד, את התשלום עבורו ולאשר את התשלום.

התהליך הארגוני הנדרש הנו בן השלבים הבאים:

1. הגדרה ברורה של תפקידים באופן שמממש את הפרדת התפקידים והסמכויות. שלב זה איננו קשור כלל למערכות מידע. הוא חלק מתהליכים האמורים להתבצע באגף משאבי אנוש ובו מוגדרים התפקידים בארגון באופן שמממש (בין היתר) את חלוקת הסמכויות.

2. הגדרה אלו תפקידים אסורים בבצוע ע"י אותו אדם. זה שהתפקידים הוגדרו נכון, דהיינו, מומשה בהגדרתם תפישת הפרדת הסמכויות עלולה להיות מטורפדת בהמשך באם אדם אחד יקבל לידיו בצוע של שני תפקידים אשר בהיותם מבוצעים ע"י אדם אחד פוגעים באותה הפרדת סמכויות עצמה. גם פעילות זו איננה חלק מתהליך טכנולוגי, אלא אמורה להיות מוגדרת במסגרת פעולות האגף למשאבי אנוש.

3. רק בשלב השלישי מדובר על מימוש מה שנקבע בשני השלבים הראשונים במערכות טכנולוגיית המידע. וכאן קיימים שני תת שלבים:

א. הראשון, הענקה ראשונית של הרשאות, דהיינו, הצימוד הראשוני של העובד/ת לתפקיד/תפקידים אותם אמור/ה למלא.

ב. השני, מתמשך, בעת מתן הרשאות פרטניות מעת לעת במהלך העבודה בארגון. גם במצב זה יש לוודא כי כל הרשאה בדידה שניתנת לעובד/ת איננה פורצת את עיקרון הפרדת התפקידים והסמכויות.