Кратко: предложенная система внутреннего контроля сочетает превентивные, детективные и корректирующие меры с жестким разграничением полномочий, контролями в системе электронного документооборота (ЭДО) и автоматической аналитикой для компании с численностью персонала $200$ человек.
Основные элементы
1) Разграничение обязанностей (SOD)
- Разделить роли: найм/увольнение — HR; учёт рабочего времени/отпусков — руководители подразделений; ввод/корректировка данных в кадровом справочнике — HR с правом лишь на черновик; расчёт зарплаты — отдел расчёта; выгрузка банковских платежей и их подпись — финансовый директор/главбух. Нельзя совмещать функции формирования зарплаты и утверждения банковских выплат.
- Формализовать матрицу полномочий и хранить её в ЭДО.
2) Контроль изменений в кадровом справочнике и тарифах
- Любое изменение (оклад, надбавка, банковские реквизиты) через рабочий процесс ЭДО с обязательным согласованием руководителя и HR; изменения вступают в силу только после двухстороннего одобрения.
- Внедрить электронную подпись для участников процесса и неизменяемый журнал аудита изменений.
3) Контроль ввода рабочего времени и листов нетрудоспособности
- Источник данных — электронные табели/биометрия. Руководитель утверждает табель в ЭДО. Любые ретро-изменения требуют двойного согласования и записи причины.
- Блокировка ретро-изменений без согласования внутреннего аудитора.
4) Процедуры расчёта и оплаты
- Автоматизированный расчёт в закрытой системе; ручные корректировки минимальны и фиксируются с обоснованием и согласованием.
- Перед формированием платежного файла: двухэтапное подтверждение — ответственное лицо расчёта и уполномоченное лицо финансового блока.
- Подпись платежного файла — не тем же лицом, что формировал файл.
5) Сверки и отчётность (детективные контроли)
- Ежемесячные сверки: выплаты в системе ↔ банковские выписки ↔ бухгалтерский учёт. Результат оформляется и подписывается.
- Выборочная проверка: ежемесячно проверять не менее либо $5\%$ выплат, либо минимум $10$ записей (что больше) на предмет соответствия кадровым данным и оснований.
- Согласование всех дополнительных выплат и удержаний отдельным журналом с утверждением руководства.
6) Автоматическая аналитика и триггеры (антифрод)
- Настроить правила сигнализации: выплаты, превышающие среднюю на сотрудника по подразделению более $\mu +3\sigma$; дублирование банковских реквизитов; новые сотрудники с банковским счётом, не совпадающим с налоговыми данными; массовые изменения тарифов. Формула: проверять $x$ когда $x>\mu +3\sigma$.
- Рассылать ежедневные/еженедельные отчёты о аномалиях внутреннему аудитору и руководству.
7) Контроллинг доступа в ЭДО/ИС
- RBAC (ролевой доступ), SSO, двухфакторная аутентификация для всех пользователей с правом изменения данных.
- Раздельная среда разработки/тестирования и продакшена; запрет прямых изменений в продовой БД без протоколируемого релиза.
- Логи доступа и действий хранятся минимум $3$ года и доступны для аудита.
8) Банковские и платежные меры
- Расчётная ведомость выгружается в файл, который подписывается внутренне и отдельно проверяется перед отправкой в банк.
- Ограничение доступа к реквизитам и контроль изменения реквизитов через многоступенчатый процесс с подтверждением по телефону/э-почте на независимый контакту.
9) Внешние и внутренние проверки
- Внутренний аудит: плановые проверки раз в квартал и внеплановые при срабатывании триггеров.
- Внешняя проверка зарплатной дисциплины и ИТ-контролей — ежегодно.
10) Исправительные меры и документирование
- Процедура расследования аномалий, исправления ошибок и уведомления пострадавших сотрудников; журнал корректировок с подписаниями.
- Контроль исполнения замечаний аудита с дедлайнами и ответственными.
Распределение ответственности (пример)
- HR: достоверность кадровых данных, приём/увольнение, изменения окладов (инициация).
- Руководитель подразделения: утверждение табелей, начислений бонусов.
- Расчёт зарплаты: подготовка и расчёт (не утверждение платежей).
- Финансы/главбух: проверка и подпись платежей.
- IT: поддержка защиты ЭДО и логов.
- Внутренний аудит: выборочные проверки и расследования.
Шаги внедрения (кратко)
1) Зафиксировать матрицу полномочий и бизнес‑процессы.
2) Настроить процессы в ЭДО (подписи, workflow, логирование).
3) Внедрить RBAC и 2FA; запрет прямых правок в проде.
4) Настроить автоматические правила аномалий и ежемесячные сверки.
5) Обучить сотрудников и запустить пилот, затем масштабировать.
6) Регулярно ревизовать эффективность контролей (KPIs: число аномалий, время их устранения, количество ошибок после внедрения).
Заключение
Такая схема с разделением обязанностей, обязательными согласованиями в ЭДО, неизменяемыми журналами и автоматической аналитикой значительно снижает риски фальсификаций в учёте зарплаты для компании с $200$ сотрудниками.