مصفوفة الصلاحيات والأدوار
استخدم هذا الدليل لتعيين الصلاحيات بطريقة تدعم العمل اليومي وتحمي السجلات الحساسة. امنح كل مستخدم أقل مستوى من الصلاحيات اللازمة لأداء مسؤولياته، ثم راجع التعيينات بانتظام عند تغيّر الفرق أو المهام.
إرشادات الصلاحيات
| الدور | العرض | الإنشاء | التعديل | الاعتماد | الحذف | التصدير | التعيين الموصى به |
|---|---|---|---|---|---|---|---|
| مسؤول العميل | جميع المجالات المخصصة للمؤسسة | السجلات الإدارية والفرق وعناصر الإعداد | معظم السجلات، باستثناء الحالات التي تتطلب استقلالية الاعتماد | الاعتمادات الإدارية وتغييرات الوصول العاجلة | بشكل محدود للسجلات غير المطلوبة والتي لا ترتبط بعمل نشط | التقارير اللازمة للحوكمة والمتابعة | عدد محدود من المسؤولين الموثوقين لإدارة الوصول والإعدادات والرقابة |
| مدير الالتزام | التقييمات والسياسات والضوابط والقضايا والنتائج والأدلة والتقارير | التقييمات ومراجعات السياسات والقضايا والنتائج وخطط المعالجة | سجلات الالتزام ضمن نطاق مسؤوليته | مراجعات الالتزام وإقرارات السياسات وتوصيات الإغلاق | نادرا؛ فقط للسجلات المكررة أو القديمة | تقارير الالتزام للإدارة والمراجعين | قادة برامج الحوكمة ودورات المراجعة |
| مدير المخاطر | المخاطر والضوابط والمعالجات والاستثناءات والحوادث والأصول والموردين والتقارير | المخاطر والمعالجات والاستثناءات ومراجعات المخاطر | سجلات المخاطر وخطط المعالجة | قبول المخاطر واعتماد المعالجات وتوصيات الاستثناء | نادرا؛ فقط للسجلات المكررة أو القديمة | سجلات المخاطر والملخصات القيادية | ملاك المخاطر وقادة إدارة المخاطر وفرق الرقابة |
| مالك الأعمال | السجلات المرتبطة بمجال عمله | المخاطر والقضايا والاستثناءات والأصول والموردون والمعلومات الداعمة | السجلات التي يملكها أو يطلب منه تحديثها | قبول الأعمال وتوقيع المالك وإكمال الإجراءات | غير موصى به | بشكل محدود ضمن مجاله عند الحاجة | رؤساء الإدارات وملاك العمليات وملاك الخدمات |
| المقيّم | التقييمات المعينة وطلبات الأدلة والضوابط والنتائج | ملاحظات الأدلة وملاحظات التقييم ومسودات النتائج | ردود التقييم وتفاصيل الأدلة المعينة له | غير موصى به لأعمال التقييم التي ينفذها | غير موصى به | أوراق عمل التقييم ضمن النطاق المعين عند السماح | المراجعون الداخليون ومختبرو الضوابط وفرق التقييم |
| المعتمد | العناصر المحالة إليه لاتخاذ قرار | التعليقات وملاحظات الاعتماد وطلبات التوضيح | الحقول المحدودة اللازمة لإكمال المراجعة | الاعتماد أو الرفض أو طلب التعديل أو القبول | غير موصى به | سجلات القرار عند الحاجة | المديرون والقادة المسؤولون عن القرارات الرسمية |
| المساهم | المهام والسجلات المعينة له | التحديثات والأدلة والتعليقات وردود المهام | مشاركاته قبل المراجعة النهائية | غير موصى به | غير موصى به | غير موصى به إلا إذا تطلب دوره ذلك | الموظفون الذين يقدمون الأدلة والتحديثات وردود الإجراءات |
| مستخدم للقراءة فقط | المعلومات التي تمت مشاركتها معه | غير موصى به | غير موصى به | غير موصى به | غير موصى به | عادة غير موصى به؛ يسمح به فقط لمهام التقارير | التنفيذيون والمراقبون والمراجعون المؤقتون ودعم المراجعة |
ملاحظات صلاحيات حسب الوحدة
| المجال | نمط الوصول الموصى به |
|---|---|
| إعادة استخدام أدلة التقييم | يستطيع المقيمون وملاك الضوابط إعادة استخدام الأدلة المرتبطة فقط للضوابط التي يتحملون مسؤوليتها. قد يحتاج مدير الامتثال إلى صلاحية تحديث أوسع للتقييمات لدعم الإسناد أو التصحيح أو مراجعة الجودة. |
| رفع الأدلة | يجب حصر صلاحية الرفع في المستخدمين الذين يقدمون الأدلة أو يديرونها. إعادة الاستخدام لا تغني عن صلاحية الرفع عندما يكون الملف الجديد مطلوبا. |
| اعتماد التقييم | لا ينبغي أن يكون الشخص الذي يقيم الضابط أو يقدم الدليل هو الشخص الوحيد الذي يعتمد التقييم. |
| نتائج التدقيق | ينشئ المدققون النتائج ويتحققون منها. يرد ملاك المعالجة ويقدمون الأدلة، لكن لا ينبغي أن يتحققوا من إغلاق عملهم بأنفسهم. |
| ضوابط التقييم المرتبطة | من ينشئ نتائج مبنية على تقييم يحتاج إلى وصول كاف في التدقيق لإنشاء النتائج، ورؤية كافية في التقييم لاختيار ضابط التقييم الفاشل بدقة. |
ملاحظات فصل المهام
| المجال | الفصل الموصى به |
|---|---|
| إدارة الوصول | يجب ألا يكون الشخص الذي يمنح الوصول هو الشخص الوحيد الذي يراجع استمرار ملاءمة ذلك الوصول. |
| قبول المخاطر | يجب ألا يكون الشخص الذي ينشئ الخطر أو يحدثه هو المعتمد الوحيد لقبول الخطر. |
| اعتماد السياسات | يجب ألا يكون كاتب السياسة هو المعتمد النهائي الوحيد لها. |
| إكمال التقييم | يجب ألا يكون الشخص الذي يقدم الدليل هو الشخص الوحيد الذي يؤكد كفاية الدليل. |
| اعتماد الاستثناءات | يجب ألا يكون طالب الاستثناء هو المعتمد الوحيد لذلك الاستثناء. |
| إغلاق القضايا | يجب ألا يكون الشخص الذي ينفذ المعالجة هو الشخص الوحيد الذي يؤكد الإغلاق. |
| صلاحيات الحذف | يجب أن تكون صلاحية الحذف محدودة وتراجع كثيرا لأنها قد تزيل سجلا مفيدا. |
| صلاحيات التصدير | يجب أن تقتصر صلاحية التصدير على المستخدمين الذين لديهم حاجة عمل واضحة للتعامل مع السجلات خارج مساحة العمل. |
الأخطاء الشائعة
| الخطأ | سبب الخطورة | الممارسة الأفضل |
|---|---|---|
| منح صلاحية المسؤول لعدد كبير من المستخدمين | الوصول الواسع يزيد احتمال التغييرات غير المقصودة ويضعف وضوح المساءلة. | اجعل صلاحية المسؤول محدودة لملاك محددين وراجعها بانتظام. |
| السماح لشخص واحد بإنشاء العنصر واعتماده | تضعف المراجعة المستقلة. | عيّن الاعتماد لمالك مسؤول مختلف كلما أمكن. |
| استخدام حساب مشترك لفريق كامل | لا يمكن ربط النشاط بشخص محدد. | امنح كل مستخدم حسابا ودورا خاصين به. |
| إبقاء الوصول نشطا بعد تغير الدور | قد يحتفظ المستخدمون بصلاحيات لم يعودوا بحاجة إليها. | راجع الوصول بعد النقل الوظيفي والمغادرة وتغيّر المسؤوليات. |
| منح صلاحية التصدير بشكل افتراضي | يصعب التحكم في المعلومات بعد تصديرها. | اسمح بالتصدير فقط لمن لديهم مسؤوليات تقارير أو مراجعة أو قيادة. |
| استخدام الحذف بدلا من الإغلاق أو الأرشفة أو وضع علامة غير نشط | قد يؤدي الحذف إلى فقدان سياق مهم للمراجعات. | حافظ على السجل ما لم تكن الإزالة معتمدة ومناسبة بوضوح. |
| تعيين صلاحيات الاعتماد دون مساءلة واضحة | قد تتأخر القرارات أو يتخذها الشخص غير المناسب. | اربط صلاحيات الاعتماد بالملكية وصلاحية القرار الموثقة. |
| منح المساهمين صلاحية تعديل السجلات النهائية | قد تتغير السجلات النهائية بعد المراجعة. | احصر المساهمين في المهام والأدلة والتعليقات المعينة لهم. |
وتيرة المراجعة
راجع تعيينات الأدوار كل ثلاثة أشهر على الأقل، وكلما تغيرت مسؤوليات أي شخص. ركز بشكل خاص على صلاحيات المسؤول والمعتمد والحذف والتصدير لأنها تحمل أعلى أثر تشغيلي.