Skip to main content

È il culmine di un film di guerra fittizio ad alto budget e il Presidente ha appena approvato il lancio d'emergenza di una testata nucleare. Gli ufficiali solenni iniziano la sequenza di lancio recuperando due chiavi, che girano in modo drammaticamente lento. 

Per quanto questa scena possa sembrare un cliché, riflette un processo reale all'interno dell'esercito statunitense. La cosiddetta Regola delle Due Persone, istituita durante la Guerra Fredda, garantisce che l'accesso agli armamenti sensibili richieda sempre l'intervento di due distinti individui di alto rango, anche dopo l'approvazione verbale da parte del comandante. 

E non riguarda solo l'ambito militare. I protocolli di controllo a due persone sono usati da governi, banche, società di sicurezza, gestori di patrimoni e aziende farmaceutiche, solo per citarne alcuni. 

Vuoi di più da The CFO Club?

Crea un account gratuito per terminare questo articolo e unirti a una comunità di moderni CFO ed executive finanziari che accedono a framework comprovati, strumenti e approfondimenti utili a navigare la finanza guidata dall’IA.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

L'obiettivo è ridurre il rischio di errore, frode o comportamenti dolosi suddividendo la responsabilità delle azioni chiave tra due o più parti. Il concetto base è noto come segregazione delle funzioni — ed è di importanza cruciale per le aziende tecnologiche. Ecco perché. 

Cos’è la segregazione delle funzioni?

Rappresentazione grafica di come ogni richiesta di pagamento sia suddivisa per coinvolgere due parti.

La segregazione delle funzioni (SoD, Segregation of Duties) è un controllo interno che assicura che almeno 2 persone siano congiuntamente responsabili di un determinato compito. Di solito viene implementato assegnando a 2 o più persone la gestione di componenti separate di un’attività specifica. 

Ad esempio, un CFO potrebbe decidere di delegare la contabilità delle retribuzioni al Dipendente A, ma far approvare l’effettivo pagamento degli stipendi al Dipendente B. 

L’intento è di ridurre il rischio di frode ed errore umano, assicurando che nessun singolo soggetto abbia il totale controllo di un processo importante. Segregazione delle funzioni è detta anche separazione delle funzioni — i termini possono essere usati in modo intercambiabile. 

In generale, esistono 4 principali ruoli o tipologie di attività che idealmente dovrebbero essere separati. Ciò significa che nessun individuo dovrebbe essere responsabile di tutte e 4 queste attività; e nella situazione ideale, ognuna dovrebbe essere gestita in modo indipendente. Queste categorie sono: 

Autorizzazione o approvazione (AUT)

L’individuo che autorizza una transazione, un ordine o una significativa azione interna, e/o la persona che approva tale azione.

Custodia degli asset (CUS)

L’individuo responsabile della conservazione degli asset, come scorte o un assegno fisico ricevuto da un cliente.

Unisciti al collettivo più innovativo d’America del Nord composto da CFO tecnologici.

Unisciti al collettivo più innovativo d’America del Nord composto da CFO tecnologici.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Registrazione delle transazioni (REC)

L’individuo che registra le transazioni in un sistema contabile o in altra registrazione interna. 

Riconciliazione/Controllo/Verifica (VER)

L’individuo che riconcilia i movimenti bancari, i livelli di inventario fisico, ecc.

I protocolli SoD sono rilevanti in tutta l’azienda, ma le applicazioni più significative sono nella gestione dei rischi e nella contabilità. Questi protocolli si applicano allo stesso modo in contesti aziendali, nonprofit o agenzie governative. 

Alcuni esempi di segregazione delle funzioni sono riportati di seguito. 

Gestione del rischio

I team che si occupano di gestione del rischio possono separare le funzioni tramite:

  • Richiedere la firma di più stakeholder per qualsiasi modifica IT rilevante, aggiornamento del sito web, ecc.
  • Assicurare che i processi di revisione interna (coinvolgendo più stakeholder) siano applicati prima della pubblicazione di qualsiasi bilancio (per assicurare la conformità alle normative SOX)
  • Garantire che le comunicazioni interne sensibili e i segreti commerciali siano monitorati e accessibili solo al personale con le dovute autorizzazioni
  • Far sì che chi si occupa della sicurezza IT condivida la responsabilità per l’impostazione dei controlli sugli accessi basati sui ruoli

Contabilità

Alcuni esempi di segregazione delle funzioni nei team contabili sono:

  • Affidare a dipendenti diversi la gestione contabile delle buste paga e l’elaborazione effettiva dei pagamenti
  • Attribuire a un dipendente la responsabilità della registrazione dell’inventario e a un altro la detenzione e la gestione fisica dello stesso
  • Richiedere che un dipendente attesti la ricezione dei beni fisici e un altro si occupi del pagamento relativo a tali beni

Altre funzioni

La separazione delle mansioni può essere applicata anche durante il processo di assunzione (per prevenire il nepotismo), durante il licenziamento o i licenziamenti collettivi (per prevenire sabotaggi o altri comportamenti dannosi), e in vari altri contesti delle risorse umane. 

Perché Ne Vale la Pena

Lo svantaggio principale della separazione delle mansioni (SoD) — e la ragione per cui alcune aziende vi rinunciano — è che tende a creare dei colli di bottiglia in determinati processi. Per definizione, la SoD separa compiti che teoricamente potrebbero essere svolti da una sola persona, il che può portare a inefficienze. 

Tuttavia, trascurare i protocolli SoD può avere conseguenze devastanti. 

Per esempio, espone l’azienda al rischio di frode sui pagamenti, appropriazione indebita e furto. Se una sola persona si occupa di effettuare ordini, riceverli, approvare i pagamenti e riconciliare i registri, le opportunità per attività illecite sono fin troppo accessibili. 

La minaccia di frodi interne può sembrare remota, ma rappresenta un rischio reale per la maggior parte delle aziende. Un rapporto del 2022 dell’Association of Certified Fraud Examiners ha rilevato che, a livello mondiale, le organizzazioni perdono il 5% del fatturato annuo a causa delle frodi — e che le frodi commesse dai dipendenti erano sia le più comuni che le più costose. 

In secondo luogo, aumenta le probabilità che errori umani influiscano sull’attività. Se non si dispone di un secondo controllo su processi interni importanti, le possibilità di non accorgersi degli errori aumentano sensibilmente.

In terzo luogo, rende i controlli interni meno efficaci. Consentendo decisioni e azioni unilaterali, aumenta la possibilità che una sola persona generi caos in azienda (volontariamente o meno). 

Migliori Pratiche SoD

Le migliori pratiche per la separazione delle mansioni variano in base alle dimensioni dell’azienda. Le realtà più piccole potrebbero dover sacrificare alcuni protocolli SoD semplicemente a causa di team di dimensioni ridotte. 

Detto ciò, esistono alcune linee guida generali sulle migliori pratiche, tra cui:

Applicare la SoD su più livelli: A seconda delle dimensioni dell’azienda, si può desiderare di implementare la SoD non solo a livello individuale, ma anche a livello dipartimentale e di società/controllata. Ad esempio, gli investimenti effettuati da una controllata possono richiedere l’approvazione della società madre, oppure il reparto vendite può necessitare del via libera dal reparto operativo prima dell’approvazione finale. 

Utilizzare una matrice SoD: Una matrice di separazione delle mansioni è una semplice tabella che incrocia i gruppi di utenti e le rispettive procedure/ruoli sugli assi X e Y. I ruoli compatibili sono segnati con un segno di spunta, cosa che aiuta a individuare facilmente le mansioni incompatibili. Di seguito un esempio di matrice SoD relativa alla funzione paghe. 

ProceduraGruppo utenteCrea busta pagaModifica retribuzioneModifica benefitApprova busta paga
Crea busta pagaA
Modifica retribuzioneB
Modifica benefitC
Approva busta pagaD

Individuare gli scenari di rischio: Alcuni scenari di rischio sono evidenti, mentre altri richiedono un’analisi più approfondita. La tabella seguente illustra scenari di rischio comuni e la sovrapposizione dei ruoli (promemoria: CUS = custodia, AUT = autorizzazione, VER = verifica, REC = registrazione)

Esempi di scenari di rischio, utilizzando il framework discusso in questo articolo.
Schermata tratta dall’articolo di Stefano Ferroni, Implementare la Segregazione delle Mansioni: Un'Esperienza Pratica Basata su Best Practice, pubblicato sull’ISACA Journal (Fonte Immagine)

Svolgere audit SoD periodici: La separazione delle mansioni non è un processo "una tantum", bensì una linea guida operativa continua per tutta l’organizzazione. Eseguire audit regolari dei controlli interni, inclusi i framework SoD, è essenziale per il successo a lungo termine.

Registrare — e sanzionare — le violazioni SoD: Una violazione della SoD si verifica quando un individuo abusa del proprio ruolo e livello di accesso per aggirare il protocollo SoD (di solito in modo deliberato). Può essere una violazione di una politica aziendale interna o di un requisito normativo esterno. In ogni caso, è fondamentale che le violazioni SoD vengano individuate e registrate, e che la persona responsabile venga eventualmente sanzionata. 

Stabilire soglie minime per evitare la burocrazia: Questo non è necessariamente una best practice, ma piuttosto una soluzione adottata da alcune piccole aziende. Per garantire il buon funzionamento delle operazioni quotidiane, alcune aziende scelgono di fissare soglie minime (di solito in termini di importi in dollari) per le transazioni che possono essere elaborate al di fuori dei controlli standard SoD. Ad esempio, un manager può autorizzare i membri del team ad approvare e pagare determinate spese inferiori a $500, senza un’approvazione esterna. Questo genere di piccole eccezioni permette ai team di concentrarsi sul quadro generale. 

Utilizza audit interni e esterni: L'audit di routine è importante per qualsiasi azienda. Sebbene molte attività possano essere gestite internamente con l'aiuto di software di gestione audit, può essere altrettanto utile coinvolgere revisori e consulenti esterni. Un consulente esperto può esaminare in modo dettagliato e completamente imparziale il funzionamento interno della tua struttura organizzativa, dei processi di lavoro e dei livelli di accesso dei dipendenti per individuare vulnerabilità che il tuo team potrebbe aver trascurato (o peggio, nascosto). 

Strumenti che aiutano a separare i compiti

Le procedure di segregazione dei compiti possono essere supportate da diversi strumenti, inclusi software e consulenti/revisori esterni. 

Strumenti software per la SoD

In alcuni casi, i software aziendali dispongono di framework SoD integrati per aiutare i team a creare una matrice SoD, identificare potenziali conflitti e persino monitorare e registrare le violazioni. 

I software di pianificazione delle risorse aziendali (ERP) di fornitori come Oracle, Sage e SAP includono spesso funzionalità per la segregazione dei compiti. Anche i software per la gestione del rischio aziendale possono essere utili per i team. Le funzionalità variano a seconda del fornitore del software e persino del livello di servizio sottoscritto, ma generalmente questi strumenti possono agevolare i team che perseguono le migliori pratiche SoD. 

Esistono anche soluzioni software sviluppate specificamente per la conformità SoD, il controllo degli accessi interni e la gestione delle policy SoD interne. 

Audit/Consulenti per la segregazione dei compiti

Come accennato, può essere saggio coinvolgere revisori. Ciò può essere fatto in modo indipendente o come parte di un audit interno di più ampio respiro. 

Molte società di revisione offrono servizi di audit SoD. Consulenti specializzati possono anche offrire supporto per l'implementazione iniziale di un framework SoD. 

SoD: Un metodo comprovato di controlli e contrappesi organizzativi

Come i diversi rami del governo, la segregazione dei compiti è pensata per creare un sistema di controlli e bilanciamenti. Se implementati correttamente, i framework SoD possono ridurre il rischio di frodi, atti dolosi, spionaggio aziendale ed errori umani.

Cerchi altri approfondimenti utili sulla finanza aziendale per le aziende tech? La Newsletter di The CFO Club offre settimanalmente informazioni di valore da leader finanziari, per leader finanziari — gratuitamente. Iscriviti oggi.