Segregation of duty is not allowing one person to be able to perform all of the steps that are necessary for a transaction.
데이터와 정보들이 통합되어 사용되면서 일어날 수 있는 사고를 방지하고 보안 등 일어날 수 있는 사건들을 방지하기위해 내부통제 (internal control) 이 필요한데 내부통제 (internal control) 에는 segregation of duty (권한분리) 라는 방법이 있고 manual control, automated control 등 다양한 방법들이 있다
Segregation of duty (권한분리 혹은 직무분리) 는 한마디로 한사람에게 결재나 구매 등에 필요한 모든 부분의 권한을 부여하지 않는다는 것인데 segregation of duty 는 왜 필요할까? (segregation of duty 혹은 separation of duty 라고도 함)
80년대 이후부터 ERD 시스템의 도입으로 기업 내의 모든 정보의 공유가 가능해지면서 사내 내부자가 전혀 상관없는 분야에까지 정보의 습득과 권한을 가지게 됨으로써 거래하면 안될 사업체나 접근하면 안되는 권한 부분까지 접근해서 마음대로 결재를 때려버리거나, 기밀을 누출하는 등의 문제가 이야기되고있기때문인데 이런 문제로 엄청난 IT 보안 피해를 보는 회사들이 많다
어느 중소기업에서 80억을 갈취한 경리의 이야기 역시 이에 해당하고 삼성 배당금 지급의 예 역시 이 경우에 해당한다
임무분담제 / 사진 SAP 웹
예 1
제조업체에 근무하는 A씨가 출근과 동시에 C사의 부도소식을 접했고 재빨리 팀을 소집해 조사해본 결과 B과장이 신용한도때문에 출하가 금지된 C사에 거래를 수락 한 것이 드러났고 이는 B과장의 실수일 수도, 아니면 B과장과 C사의 은밀한 거래일 수도 있는 것이다
여기서 자연스레 권한에대한 문제가 제기되는데 이런 타 분야의 권한이나 전혀 상관 없는 분야의 권한을 통제하는 것을 segregation of duty 라고 한다
권한분리의 문제는 대기업 중소기업 모든 기업과 단체들에게도 해당이되는데 예를 한가지 들어보자
예2
고길동씨는 길동주식회사의 외상매입금 (accounts payable) 담당자로 일을하고있다
길동씨는 거래처에 대한 외상매입금 지불과 외상매입금을 회계시스템에 기입하는 직무를 보고있다
거래처로부터 인보이스가 날라오고, 길동씨는 모든 인보이스들을 한 폴더에 집어넣는다
길동씨는 매달 둘쨋주 금요일에 모든 외상 금액을 한꺼번에 지불한다
만약 회계 시스템 상 없는 거래처라고 나오면 그 즉시 그자리에서 새로운 거래처를 입력하는 것도 길동씨에게 주어진 권한과 방법이다
길동씨는 200불 밑의 외상매입금은 혼자 처리할 수 있는 권한이 있는 반면 200불 이상의 금액이라면 매니저에게 보고 후 지불 할 수 있게 되어있다
여기까지 보면 segregation of duty 는 다행히도 이루어지고있당 (200불 이상의 payment 는 길동씨가 직접 만들 수 없는 것이 하나의 권한분리)
하지만 200불 밑의 금액은 모두 길동씨가 처리 할 수 있는 권한이 주어져있고 이를 혹 악용하게된다면 길동씨는 200불 밑의 금액의 권한으로 자신에게 이익을 주는 거래처나 자신 명의의 기업, 계좌로 지속적인 payment 를 만들 수 있게된다
이러한 경우에도 내부통제에서 권한분리가 필요하게되는데
이러한 경우에는 길동씨에게 외상 금액을 지불해야 할 리스트를 만드는 일만을 맡기고 다른 직원에게 그 리스트를 사용해 외상금액을 지불하는 직무를 맡기게되면 문제가 해결 될 수 있고 아니면 200불 이상의 payment 만이 아닌 모든 payment 를 매니저에게 보고 후 매니저가 내려준 오더만을 처리 할 수 있게 권한을 준다면 권한분리에대한 문제는 잘 해결될 수 있다
예3
사진 원인터 박과장
드라마 '미생' 에서의 박과장을 예로 들 수 있겠는데 박과장은 영업 3팀으로 넘어온 후 사우디에 관한 모든 무역 권한을 가지고있다
무어라 할 사람 하나 없고 처음부터 끝까지 자기 마음대로 할 수 있으니 박과장은 자신에게 엄청난 암묵적 이득이 되는 거래처와 거래하게되는 것
