Распределение обязанностей (рекомендуемое)
1) Роли и обязанности
- Запросчик (пользователь подразделения)
- Инициирует заявку (PR), указывает обоснование и спецификацию.
- Не составляет заказы, не принимает поставки и не утверждает платежи.
- Закупщик (purchasing officer)
- Формирует и направляет заказ-поручение (PO) поставщику на основании утверждённого PR.
- Не утверждает свои собственные PO и не принимает товары/услуги.
- Утверждающий закупки (line manager / procurement approver)
- Проверяет обоснование и бюджет, утверждает PR/PO в рамках полномочий.
- Не участвует в приёмке и оплате тех же операций.
- Приёмщик/склад (receiving)
- Физически принимает товар, оформляет приходную накладную (GRN).
- Не инициирует PO и не производит оплату.
- Счета к оплате (Accounts Payable, AP)
- Обрабатывает входящие счета, выполняет сверку Invoice ↔ PO ↔ GRN (трёхстороннее сопоставление).
- Не инициирует или не утверждает PO и не занимается наличными операциями.
- Касса / казначейство (Cashier / Treasury)
- Исполняет платежи по утверждённым поручениям; ведёт учёт кассовых операций.
- Не формирует или не утверждает счета/PO и не вносит изменения в мастер-поставщиков.
- Сверяющий / бухгалтер (reconciler)
- Проводит банковские сверки, контроль проводок и контроль распределений.
- Не осуществляет операции кассы/платежей на регулярной основе.
- Внутренний аудит / контролёр
- Периодическая проверка соблюдения процедур, тестирование выборок, расследование инцидентов.
- Отчёты руководству, независим от оперативных ролей.
2) Принципы разделения обязанностей (SoD)
- Никто не должен иметь одновременного контроля над полным циклом "инициация → утверждение → приёмка → оплата".
- Чёткое разделение функций: инициатор ≠ утверждающий ≠ исполнитель платежа ≠ сверяющий.
- Доступы в ERP выдавать по ролям; разделять права: create vendor ≠ approve vendor, create PO ≠ approve PO, execute payment ≠ reconcile bank.
3) Ключевые контрольные механизмы
- Трёхстороннее сопоставление: оплата проводится только при совпадении PO, GRN и Invoice.
- Лимиты утверждения (пример для среднего предприятия; адаптировать под валюту/риски):
- утверждение менеджера: до $100,000$ - утверждение директора: от $100,001$ до $500,000$ - утверждение CEO/совет: свыше $500,000$ - Двойная подпись/двухфакторное одобрение для платежей свыше $50,000$.
- Внесение/изменение поставщика в мастер требует двух независимых подтверждений (ответственный за создание + ответственный за проверку).
- Блокировка возможности одного пользователя одновременно создавать, утверждать и оплачивать одну и ту же транзакцию.
4) Частота проверок и процедур
- Банковская выписка и сверка: не реже чем раз в месяц, завершение сверки в течение $5$ рабочих дней после получения выписки.
- Наличные/петти-кэш: ежедневный учёт и неожиданные инвентаризации не реже чем раз в $1$ месяц; формальные инвентаризации — не реже квартала.
- Цикловые проверки запасов: ежемесячно/по рисковым категориям.
- Внутренний аудит: плановые проверки минимум раз в год + внеплановые по сигналам.
5) Технические и организационные меры
- Раздельные аккаунты в ERP с журналом аудита; период пересмотра прав доступа не реже чем раз в $6$ месяцев.
- Контроль целостности платёжных файлов: генерация платежей отделом AP, утверждение платежей — менеджером/казначейством; исполнение файлов в банковской системе — оператором банка или отдельным сотрудником.
- Процесс управления изменениями в платежных реквизитах: подтверждение реквизитов по альтернативному каналу (телефон/лично) и повторная проверка, если сумма превышает порог.
- Логи и мониторинг аномалий: оповещения по необычным суммам, частым возвратам и сменам поставщиков.
6) Обработка исключений и расследования
- Любое отклонение от стандартного процесса оформляется как exception с обязательным одобрением вышестоящего и документированием причин.
- Незамедлительное уведомление внутреннего аудита при подозрении на мошенничество; сохранение всех электронных и бумажных следов.
7) Контроль эффективности и отчётность
- KPI: время от PR до PO, процент оплат с отклонением от 3‑стороннего соответствия (цель ниже $1\%$), количество нарушений SoD.
- Регулярные отчёты руководству по инцидентам, исключениям и статусу исправления недостатков.
Краткая сводка (Who must not do what)
- Инициатор ≠ Утверждающий ≠ Приёмщик ≠ Плательщик ≠ Сверяющий.
- Create/modify vendor ≠ approve vendor ≠ execute payment.
- Создатель платежа ≠ исполнитель банковского файла.
Адаптируйте пороги и частоты под объём операций и профиль риска предприятия; при высоком риске усиливайте двойные проверки и увеличивайте частоту аудитов.