Традиционный подход к распределению полномочий между сотрудниками сводится к тому, что при недостатке объема работ сотрудники могут совмещать роли и задачи. В области информационных технологий такой подход не всегда применим, так как есть работы, совмещение которых резко увеличивает риски организации или совмещение которых невозможно "по определению", например разработка и тестирование, так как ни один человек не может адекватно оценить результаты своего труда). Тем не менее, не вдаваясь в подробности последствий, подчеркнем лишь, что они могут быть несоизмеримы с экономией на ресурсах, и рассмотрим возможности для совмещения (табл. 6).
В небольших организациях, к сожалению, такое разделение реализовать полностью редко удается, поэтому необходимо использовать компенсационные механизмы - контрольные процедуры (compensative controls). Такие процедуры направлены на предотвращение, обнаружение или смягчение нежелательных последствий совмещения обязанностей. Примером таких контрольных процедур являются периодическая проверка, аудит, протоколирование действий, документирование, специализированные программные продукты и т.п.
Возможность совмещения участков работ*(5)
┌────────────┬────────┬─────────┬───────┬────────┬────────┬─────────┬──────────┬────────┬────────┬──────────┬─────────┬──────────┐
│ │Систем- │Приклад- │Тести- │ Храни- │Систем- │Админист-│Админист- │Контро- │Инженеры│ Инженеры │Эксперты │Банковские│
│ │ ные │ ные │ровщики│ нители │ ные │ раторы │ раторы │ леры │ по │ по │поддержки│технологи │
│ │аналити-│програм- │ │программ│програм-│ данных │безопасно-│качества│компью- │ телеком- │ │ │
│ │ ки │ мисты │ │ │ мисты │ │ сти │ │ терам │муникациям│ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ │ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │ 10 │ 11 │ 12 │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ Системные │ │ │ │ X │ X │ │ X │ X │ │ │ │ │
│ аналитики │ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ Прикладные │ │ │ X │ X │ X │ X │ X │ X │ │ X │ X │ │
│программисты│ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│Тестировщики│ │ X │ │ │ X │ X │ X │ │ │ │ X │ X │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ Хранители │ X │ X │ │ │ X │ │ X │ │ │ │ │ X │
│ программ │ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ Системные │ X │ X │ X │ X │ X │ X │ X │ │ X │ X │ X │ X │
│программисты│ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│Администра- │ │ X │ X │ │ X │ │ │ │ │ │ │ │
│торы данных │ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│Администра- │ X │ X │ X │ X │ X │ │ │ │ X │ X │ X │ X │
│ торы │ │ │ │ │ │ │ │ │ │ │ │ │
│безопасности│ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│ Контролеры │ X │ X │ │ │ │ │ │ │ X │ X │ │ X │
│ качества │ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤
│Инженеры по │ │ │ │ │ X │ │ X │ X │ │ │ │ X │
│компьютерам │ │ │ │ │ │ │ │ │ │ │ │ │
├────────────┼────────┼─────────┼───────┼────────┼────────┼─────────┼──────────┼────────┼────────┼──────────┼─────────┼──────────┤