Segregation of Duties (SoD) ist ein entscheidendes Element in den Risikomanagementstrategien einer Organisation.
Ein Bericht der Association of Certified Fraud Examiners (ACFE) aus dem Jahr 2022 hebt hervor, dass Unternehmen durch Mitarbeiterbetrug pro Fall Verluste in Höhe von etwa 1.783.000 US-Dollar erleiden.
Dies erklärt, warum moderne Unternehmen in Zeiten zunehmender Betrugsfälle, Betrügereien und Fehler ein nachhaltiges Risikomanagement benötigen.
Und SoD zielt darauf ab, diese Risiken zu kontrollieren, zu verwalten und sogar zu mindern, um bessere organisatorische Kontrollen mit erhöhter Sicherheit und Bewusstsein zu haben.
In diesem Artikel werde ich diskutieren, was SoD ist, seine Bedeutung und andere wichtige Terminologien, die damit verbunden sind.
Fangen wir also an und lernen, wie man die Kontrolle zurückerlangt!
Inhaltsverzeichnis
Was ist Aufgabentrennung?
Segregation of Duties (SoD) ist ein wichtiges Konzept des Risikomanagements und der internen Kontrollen einer Organisation, bei dem mehr als eine Person für die Erfüllung der verschiedenen Teile einer Aufgabe verantwortlich gemacht wird. Es wurde implementiert, um Informationsmissbrauch, Betrug, Diebstahl und andere sicherheitsbezogene Risiken zu verhindern.
Die Aufgabe kann zwar von einer Person erledigt werden, ist aber in Teile aufgeteilt. Dadurch wird sichergestellt, dass keine einzelne Person die alleinige Kontrolle über die Aufgabe oder übermäßige Kontrollen hat, die ausreichen, um die Kontrolle für nicht autorisierte Zwecke oder betrügerische Aktivitäten zu missbrauchen. Stattdessen wird es von mindestens zwei Personen geteilt.
Heute wird SoD in verschiedenen Bereichen wie Buchhaltung, Finanzen, Gehaltsabrechnung, Verwaltung usw. implementiert. In der Politik wird es zur Gewaltenteilung in Demokratien, in denen die Regierung in eine Judikative, eine Exekutive und eine Legislative aufgeteilt ist.
SoD im Risikomanagement
SoD arbeitet nach dem Prinzip der geteilten Verantwortung und dass die Führung einer Organisation oder eines Unternehmens nicht die Aufgabe einer einzelnen Person sein darf. Sie sollten nicht darauf vertrauen, dass eine einzelne Person die vollständige Kontrolle über eine Aufgabe übernimmt, die möglicherweise zu Betrug, Fehlern oder einer Schädigung des Rufs Ihres Unternehmens führen kann.
Tatsächlich ist SoD ein wesentliches Element des Risikomanagements und der Einhaltung von Vorschriften wie dem Sarbanes-Oxley Act (SOX) von 2002 durch Unternehmen.
Die Aufgabentrennung zwischen mehreren verantwortlichen Personen verringert die Wahrscheinlichkeit, dass ein Mitarbeiter oder ein Dritter:
- Missbrauch von vertraulichen Informationen der Organisation
- Geld stehlen
- Fälschung von Aufzeichnungen (wie Finanzen), um Interessengruppen in die Irre zu führen oder Aktienkurse aufzublähen
- Starten einer Rachekampagne nach angeblicher Misshandlung
- Beteiligung an Wirtschaftsspionage
Und wenn Sie keine sichere Strategie wie SoD anwenden, könnte dies zu erheblichen Schäden für Ihr Unternehmen in Bezug auf Finanzen, Compliance-basierte Strafen und Markenimage führen. Aus diesem Grund wird empfohlen, SoD im gesamten Unternehmen zu implementieren, von der Buchhaltung und Gehaltsabrechnung bis hin zu den Abteilungen für Informationstechnologie (IT) und Cybersicherheit.
Beispiele für SoD
Sehen wir uns einige Beispiele an, in denen Sie SoD anwenden können.
Buchhaltung
In der Buchhaltung können Organisationen einzelnen Personen verbieten, übermäßige Befugnisse zu erlangen, um Vermögenswerte und finanzielle Fehler zu verbergen.
SoD erfordert, dass Sie alle Buchhaltungsrollen in Ihrer Organisation gründlich analysieren und Aufgaben trennen, sodass nicht dieselbe Person die vollständige Kontrolle über eine bestimmte Funktion haben kann. Beispielsweise darf nicht dieselbe Person Schecks entgegennehmen und erhaltene Schecks erfassen.
IT und Cybersicherheit
SoD-Richtlinien können dazu beitragen, Risiken bei der Zugriffskontrolle in der IT-Abteilung zu vermeiden. Sie trennen Workflow-Aufgaben und stellen sicher, dass dieselbe Gruppe oder dieselben Personen nicht mehrere Zugriffsberechtigungen erhalten.
Wenn eine einzelne Person über ihre Pflichten hinaus Zugang zu Macht erhält, kann sie diese missbrauchen und Informationen an Außenstehende weitergeben oder ihnen eine Zugangsberechtigung erteilen. Gleichzeitig hat niemand sonst eine Ahnung davon.
Diese Situation könnte katastrophal sein. Beispielsweise darf es nicht derselben Person gestattet sein, Warnungen von Sicherheitssystemen zu erhalten und die Zugriffsberechtigungen dieses Systems zu verwalten.
Compliance und Kontrollen
Die Implementierung solider SOD-Strategien kann dazu beitragen, absichtliche oder unbeabsichtigte Mitarbeiterfehler zu beseitigen. Sie können auch betrügerische Anmeldungen erkennen, falls vorhanden. Auf diese Weise können Sie Ihr Unternehmen vor Compliance-Verstößen schützen. Beispielsweise müssen Sie dieselbe Person für die Einreichung von Finanzinformationen und deren Prüfung verantwortlich machen.
Andere Beispiele
Dieselbe Person sollte nicht verantwortlich sein für:
- Bestellanforderungen erstellen und genehmigen
- Erstellen und Genehmigen von Lieferantenrechnungen
- Erstellen der Rechnung und Eintragen von Verkaufstransaktionen in das Hauptbuch
- Gehälter zahlen und Mitarbeiter einstellen
- Geldeingänge erfassen und Gutschriften erstellen
- Handel mit Aktien und Verwaltung von Fusionen und Übernahmen
- Einrichten von Käufern und Genehmigen von Anforderungen oder Bestellungen
Vorteile von SoD
Einige der Vorteile der Anwendung von SoD in Ihrer Organisation sind:
#1. Betrugsprävention und -erkennung
Unternehmen werden mehr denn je Opfer von Betrug. Es geht um betrügerische Aktivitäten wie Scheckmanipulation, Bargeldabschöpfung, Veruntreuung von Vermögenswerten, Dokumentenfälschung, gefälschte Quittungen, Rechnungen, Fehler in Buchhaltungsunterlagen und mehr.
Mit SoD können Sie sicherstellen, dass keine einzelne Person oder Gruppe für die Ausführung aller Funktionen einer bestimmten Aufgabe verantwortlich ist. Dies wird die Gelegenheit verhindern, Betrug zu begehen und ihn zu verbergen. Wenn Sie eine Aufgabe besser im Auge behalten, kann jeder externe oder interne Betrugsfälle erkennen, melden und verhindern.
#2. Reduzierung menschlicher Fehler
Wenn Sie SoD korrekt in Ihrem Unternehmen implementieren, werden Sie wahrscheinlich eine deutliche Reduzierung menschlicher Fehler und damit verbundener Risiken in Ihren kritischen Finanzprozessen feststellen. Dies kann Fehler wie unzureichende Dokumentation von Transaktionen, zu wenig Personal in der Buchhaltung, Fehler bei der Dateneingabe, nachlässige Prüfungen usw. beinhalten.
Die Beschäftigung mehrerer Personen bei kritischen Transaktionen erhöht wesentlich die Wahrscheinlichkeit, dass eine Person einen aufgetretenen Fehler bemerkt und ihn behebt.
#3. Verbesserte Audits
Die Verringerung der Wahrscheinlichkeit von Risiken und Fehlern verbessert die Aufzeichnungen für Ihre Finanz-, Gehaltsabrechnungs-, Buchhaltungs-, IT- oder Cybersicherheitsabteilung. SoD trägt dazu bei, dass die Aufzeichnungen ordnungsgemäß angeordnet sind, wodurch Probleme wie Duplizierung, Mahngebühren, Compliance-Risiken usw.
So sind Sie besser auf Audits vorbereitet, egal ob jährlich, halbjährlich oder vierteljährlich. Sie werden sich auch vor der Einhaltung von Vorschriften sicherer fühlen und Strafen vermeiden.
#4. Erhöht die Effizienz
Einige mögen denken, dass das Hinzufügen weiterer Rollen zu Ineffizienzen und höheren Kosten führt. Wenn Sie SoD jedoch gut planen, wird dies die Effizienz fördern. Das liegt daran, dass Sie eine Aufgabe in mehrere Unteraufgaben aufteilen, die jeweils von einer geeigneten, spezialisierten Person mit besserer Genauigkeit und Geschwindigkeit ausgeführt werden.
Dies senkt nicht nur Risiken, sondern bietet auch eine höhere Effizienz im Vergleich zu dem Fall, in dem eine einzelne Person die gesamte Aufgabe ausführen muss. Darüber hinaus sind die Schadenskosten für das Unternehmen ohne SoD viel höher als das, was Sie in die Einstellung von mehr Personal investieren.
Einige SoD-Terminologien
Um SoD besser zu verstehen, müssen Sie sich mit den folgenden Terminologien vertraut machen:
#1. SoD-Konflikte
Ein SoD-Konflikt kann entstehen, wenn eine Person gegen die Interessen der Organisation und in ihrem Interesse handelt. Das bedeutet, dass sie mehrere Rollen übernommen haben, um mehrere wichtige Funktionen in einem Prozess auszuführen. Dies könnte möglicherweise die Prozessintegrität sowie das Unternehmen beeinträchtigen.
SoD-Konflikte können in verschiedenen Domänen einer Organisation auftreten, z. B. Order to Cash (O2C) oder Purchase to Pay (P2P). Um SoD-Konflikte zu entschärfen, müssen Sie solche Vorfälle analysieren und bewerten. Organisationen müssen außerdem solide Kontrollen implementieren und sich vor Mitarbeitern schützen, die an illegalen Aktivitäten teilnehmen.
Eine gute Strategie zur Vermeidung von SoD-Konflikten könnte darin bestehen, rollenbasierte Zugriffskontrollen (RBAC) in Ihrer gesamten Organisation anzuwenden. RBAC stellt sicher, dass Benutzern Zugriffsberechtigungen und -kontrollen auf der Grundlage ihrer Rollen und Verantwortlichkeiten in der Organisation erteilt werden, nicht mehr.
Dabei können Sie eine autorisierte Person damit beauftragen, jede Rolle und die ihr zugewiesenen Zugriffsberechtigungen sowohl auf SoD-Überschneidungen zwischen Rollen als auch innerhalb von Rollen zu analysieren.
Nicht jeder Konflikt bedeutet jedoch, Schaden zu verursachen oder zu illegalen Handlungen zu führen. Ein Benutzer könnte dies versehentlich oder aus Unachtsamkeit tun oder eine erforderliche Funktion für das Unternehmen ausführen, das mehr Berechtigungen benötigt.
Aus diesem Grund sollten Unternehmen den Fall gründlich untersuchen und ihre Richtlinien zu SoD-Verstößen bewerten, um sicherzustellen, dass die Konflikte nicht zu Betrug oder illegalen Aktivitäten führen.
#2. SoD-Verletzung
SoD-Verstöße können auftreten, wenn ein Mitarbeiter einer Organisation seine zugewiesene Rolle ausnutzt und absichtlich auf Informationen zugreift oder eine verbotene Aktivität ausführt. Dies bedeutet, dass sie gegen die internen Richtlinien der Organisation oder externe Vorschriften verstoßen.
Mitarbeiter können einen SoD-Verstoß begehen, wenn sie die Kontrolle über mehrere Prozessschritte erlangt haben und die zulässigen Schritte überschritten haben. Als nächstes missbrauchen sie den Zugang zu ihrem Vorteil.
Beispiel: Ein Unternehmen kann festlegen, dass die Person, die Mitarbeiter einstellt, nicht auch Gehaltsschecks verteilen kann. Denn wenn sie beide Aktivitäten ausführen, können sie dies zu ihrem eigenen Vorteil nutzen und Betrug oder illegale Aktivitäten inszenieren. Somit wird dies zu einer SoD-Verletzung.
So sieht eine interne SoD-Verletzung aus; Lassen Sie uns verstehen, wie eine externe SoD-Verletzung auftreten kann. Beispielsweise manipuliert ein hochrangiger Entscheidungsträger wie der CEO einer Organisation Finanzberichte und verstößt gegen die SOX-Vorschriften.
Es kann zu enormen Geldstrafen für die Organisation führen, und der Mitarbeiter kann auch eine Gefängnisstrafe verbüßen. Dies schadet der Organisation in Bezug auf Reputation und Kosten.
Um SoD-Verstöße zu mindern, muss eine Organisation ihre Verstöße und die Aktivitäten jedes Mitarbeiters überwachen. Sie müssen auch ihre Richtlinien ständig an den sich ändernden technologischen Raum anpassen.
#3. SoD-Matrix
Die SoD-Matrix ist ein Ansatz, den Manager verfolgen, um die SoD-Komplexität zu reduzieren. Es ermöglicht Managern, verschiedene Verantwortlichkeiten, Rollen und Risiken in einer Organisation zu unterscheiden.
Darüber hinaus kann die SoD-Matrix potenzielle Konflikte im gesamten Unternehmen erkennen und dazu beitragen, sie rechtzeitig zu lösen, während sie gleichzeitig Schutz vor ernsthaften Schäden bietet.
SoD-Matrizen werden in modernen Unternehmen, die auf ERP-Software setzen, automatisch generiert. Eine generierte SoD-Matrix basiert auf den Aufgaben und Rollen eines Benutzers, die in seiner ERP-Software definiert sind.
Hier sollte jede Aufgabe einem Prozess in einem bestimmten Transaktionsworkflow entsprechen, um Aufgaben und Rollen zu gruppieren und sicherzustellen, dass kein Benutzer mehr als einen Schritt im Workflow ausführen darf.
Darüber hinaus kann eine SoD-Matrix durch ein Diagramm dargestellt werden, in dem Benutzerrollen auf beiden Achsen gehalten werden – X und Y, die SoD-Konflikte anzeigen. Außerdem ordnet es die Aufgaben und Aktivitäten Rollen in einem Workflow zu, damit Compliance-Teams unvereinbare Verantwortlichkeiten trennen können.
Sie können eine SoD-Matrix entweder mit einer Software wie MS Excel oder manuell auf einem Blatt Papier erstellen. Sie können auch mit einem ERP-Tool erstellt werden.
Beispiel: Hier ist ein Beispiel, wie Sie eine SoD-Matrix für die Gehaltsabrechnung eines Mitarbeiters erstellen können. Sie können beliebige Zeichen wie Ja/Nein, farbige Flaggen oder Pfeile, ein Häkchen usw. für Rollen und Verantwortlichkeiten verwenden. Verwenden wir Y/N im folgenden Diagramm.
ProzessMitarbeiterEingliederung von MitarbeiternGehaltsschecks erstellenZahlungen verrechnenVergünstigungen verwaltenMitarbeiter einarbeiten1YNNNGehaltsschecks erstellen2NYYNZahlungen verrechnen3NYYNVergünstigungen verwalten4NNNY
In der obigen Tabelle wird angezeigt, dass Mitarbeiter 2 die Berechtigung hat, Gehaltsschecks zu erstellen und zu löschen. Sie dürfen also keine Leistungen ändern oder Mitarbeiter einstellen. Wenn sie dies tun, kann es zu einem SoD-Konflikt kommen. Ebenso ist Mitarbeiter 1 für die Einstellung neuer Mitarbeiter zuständig. Daher dürfen sie keine Gehaltsschecks erstellen, Leistungen verwalten oder Zahlungen löschen. Andernfalls kann ein SoD-Konflikt auftreten.
So implementieren Sie SoD
Wenn Sie also daran denken, SoD zu implementieren, aber unsicher sind, wo Sie anfangen sollen, können Sie die folgenden Schritte ausführen:
Definieren Sie organisatorische Prozesse und Richtlinien
Zunächst müssen Sie alle wesentlichen organisatorischen Prozesse definieren, für die die Mitarbeiter verantwortlich sind. Sie könnte auf der Größe und Branche Ihres Unternehmens basieren. Nachdem Sie alle Prozesse und Aufgaben definiert haben, listen Sie auch Ihre Richtlinien auf. Definieren Sie Richtlinien für Ihre internen Mitarbeiter, externen Anbieter und andere Unternehmen, mit denen Sie zu tun haben.
Beispielsweise möchten Sie in Ihrer Personalabteilung möglicherweise Aufgaben wie das Einstellen und Einarbeiten von Mitarbeitern, das Erstellen von Leistungen und Vergütungen, das Verrechnen von Zahlungen, das Führen von Aufzeichnungen usw. auflisten. In ähnlicher Weise können Sie in der Buchhaltung Aufgaben wie die Bestätigung der Produktlieferung und das Überprüfen von Rechnungen auflisten , Schecks unterschreiben, Rechnungen bezahlen usw.
Darüber hinaus müssen Sie Richtlinien skizzieren, die Sie für Ihre Abteilungen und Mitarbeiter erstellt haben. Beispielsweise darf ein Mitarbeiter, der eine Zahlung ausstellt, nicht auch derjenige sein, der Schecks unterschreibt. Ein weiteres Beispiel für eine Richtlinie könnte sein: Der für den Verkauf eines Produkts zuständige Mitarbeiter darf nicht auch dessen Lieferung bestätigen.
Erstellen Sie eine SoD-Matrix
Nachdem Sie Ihre Aufgaben und Richtlinien definiert haben, müssen Sie eine SoD-Matrix erstellen, um alle Rollen und Aufgaben aufzulisten. Es hilft Ihnen zu verstehen, welche Mitarbeiter für welche Aufgaben verantwortlich sind und ob die Möglichkeit eines SoD-Konflikts oder -Verstoßes besteht.
Das obige Diagramm hilft Ihnen beim Erstellen einer SoD-Matrix für Ihr Unternehmen. Aber manchmal wird es schwierig, SoD-Konflikte zu erkennen, insbesondere wenn die Darstellungen nicht genau zu den Aufgaben passen. Dazu können Sie beim Erstellen einer SoD-Matrix zwei Ansätze verfolgen:
Definieren Sie alle Aufgaben klar und kennzeichnen Sie jeden SoD-Konflikt: Es erstellt eine große Matrix, bietet aber eine bessere Genauigkeit bei der visuellen Darstellung der Aufgaben und Rollen.
Lassen Sie einige Aufgaben weg oder gruppieren Sie sie: Sie erhalten eine komprimierte Matrix, die sich leicht analysieren und auf SoD-Konflikte konzentrieren lässt. Es könnte jedoch zu Fehlalarmen und Fehlern führen, die sich auf die SoD-Ergebnisse und Konflikte auswirken.
Aufgaben zuweisen
Sobald Sie alle SoD-Konflikte erkannt haben, beginnen Sie mit der Zuweisung von Aufgaben und Unteraufgaben an Mitarbeiter und nutzen Sie dabei das Konzept der Aufgabentrennung. Wenn Sie auf ein Szenario stoßen, in dem Sie SoD nicht anwenden können, finden Sie eine solide Möglichkeit, den Mitarbeiter, der die Aufgabe ausführt, zu kontrollieren und zu überwachen, um Risiken abzuwenden.
Verwalten und überprüfen
Es ist wichtig, Ihre Aufgaben und Rollen zu überwachen und zu überprüfen, um sicherzustellen, dass SoD gut implementiert ist und es keine potenziellen Konflikte oder Verstöße gibt. Und wenn Sie welche entdecken, verwalten Sie Ihre Rollen und Aufgaben, indem Sie sie erneut zuweisen. Überwachung fortsetzen, um Risiken zu vermeiden.
Abschluss
Segregation of Duties (SoD) bietet eine hervorragende Möglichkeit, interne Kontrollen zu verwalten und Betrug und Fehler zu verhindern. Es trägt dazu bei, die Unternehmenssicherheit zu gewährleisten, damit niemand übermäßige Kontrolle erlangt, die Ihrem Unternehmen in Form von Datenlecks, Betrug oder illegalen Aktivitäten Schaden zufügen könnte. Implementieren Sie also SoD in Ihrer Organisation und bleiben Sie sicher und wachsam.
Sie können auch einige Tools zur Betrugserkennung und -prävention für Online-Unternehmen erkunden.