Die Funktionstrennung (Segregation of Duties, SoD) ist ein entscheidendes Element in den Risikomanagementstrategien eines Unternehmens.
Ein Bericht der Association of Certified Fraud Examiners (ACFE) aus dem Jahr 2022 hebt hervor, dass Unternehmen pro Fall von Betrug durch Mitarbeiter Verluste in Höhe von ca. 1.783.000 Dollar erleiden.
Das erklärt, warum moderne Unternehmen in dieser Ära zunehmender Betrügereien, Betrügereien und Fehler ein nachhaltiges Risikomanagement benötigen.
Und SoD zielt darauf ab, diese Risiken zu kontrollieren, zu verwalten und sogar abzumildern, um bessere organisatorische Kontrollen mit mehr Sicherheit und Bewusstsein zu haben.
In diesem Artikel werde ich erläutern, was SoD ist, wie wichtig es ist und welche anderen wichtigen Begriffe damit verbunden sind.
Fangen wir also an und lernen Sie, wie Sie die Kontrolle zurückerlangen können!
Was ist Aufgabentrennung?
Die Aufgabentrennung (Segregation of Duties, SoD) ist ein wichtiges Konzept des Risikomanagements und der internen Kontrollen eines Unternehmens, bei dem mehr als eine Person für die Ausführung der verschiedenen Teile einer Aufgabe verantwortlich ist. Es wird eingeführt, um Informationsmissbrauch, Betrug, Diebstahl und andere sicherheitsrelevante Risiken zu verhindern.
Die Aufgabe kann zwar von einer Person erledigt werden, aber sie ist in Teile aufgeteilt. Dadurch wird sichergestellt, dass keine einzelne Person die alleinige Kontrolle über die Aufgabe oder übermäßige Kontrollen hat, die ausreichen, um die Kontrolle für unbefugte Zwecke oder betrügerische Aktivitäten zu missbrauchen. Stattdessen wird sie von mindestens zwei Personen geteilt.
SoD wird heute in verschiedenen Bereichen eingesetzt, z.B. in der Buchhaltung, im Finanzwesen, in der Lohnbuchhaltung, in der Verwaltung usw. In der Politik wird sie zur Gewaltenteilung in Demokratien, wo die Regierung in eine Judikative, eine Exekutive und eine Legislative unterteilt ist.
SoD im Risikomanagement
SoD beruht auf dem Prinzip der geteilten Verantwortung und darauf, dass die Leitung einer Organisation oder eines Unternehmens nicht die Aufgabe einer einzelnen Person sein darf. Sie sollten einer einzelnen Person nicht die vollständige Kontrolle über eine Aufgabe anvertrauen, die möglicherweise zu Betrug, Fehlern oder einer Schädigung des Rufs Ihres Unternehmens führen kann.
Tatsächlich ist SoD ein wesentliches Element des Risikomanagements und der Einhaltung von Vorschriften wie dem Sarbanes-Oxley Act (SOX) von 2002.
Die Aufteilung der Aufgaben auf mehrere verantwortliche Personen verringert die Wahrscheinlichkeit, dass ein Mitarbeiter oder ein Dritter:
- Vertrauliche Informationen des Unternehmens zu missbrauchen
- Gelder zu stehlen
- Aufzeichnungen zu fälschen (z.B. Finanzen), um Stakeholder in die Irre zu führen oder Aktienkurse aufzublähen
- Einen Rachefeldzug zu starten, nachdem er angeblich schlecht behandelt wurde
- Beteiligung an Unternehmensspionage
Und wenn Sie keine sichere Strategie wie SoD anwenden, könnte dies Ihrem Unternehmen erheblichen finanziellen Schaden zufügen, Strafen wegen Nichteinhaltung der Vorschriften nach sich ziehen und das Markenimage schädigen. Deshalb wird empfohlen, SoD im gesamten Unternehmen zu implementieren, von der Buchhaltung und Lohnbuchhaltung bis hin zu den Abteilungen für Informationstechnologie (IT) und Cybersicherheit.
Beispiele für SoD
Sehen wir uns einige Beispiele an, bei denen Sie SoD anwenden können.
Buchhaltung
In der Buchhaltung können Unternehmen verhindern, dass einzelne Personen übermäßige Macht erlangen, um Vermögenswerte und finanzielle Fehler zu verbergen.
SoD verlangt von Ihnen eine gründliche Analyse aller Buchhaltungsfunktionen in Ihrem Unternehmen und eine Trennung der Aufgaben, damit nicht ein und dieselbe Person die vollständige Kontrolle über eine bestimmte Funktion haben kann. Zum Beispiel darf nicht dieselbe Person die Schecks entgegennehmen und die eingegangenen Schecks verbuchen.
IT und Cybersecurity
SoD-Richtlinien können helfen, Risiken bei der Zugriffskontrolle in der IT-Abteilung zu vermeiden. Sie sorgen für eine Trennung der Arbeitsabläufe und stellen sicher, dass dieselbe Gruppe oder dieselben Personen nicht mehrere Zugriffsberechtigungen erhalten.
Wenn eine einzelne Person Befugnisse erhält, die über ihre Pflichten hinausgehen, kann sie diese missbrauchen und Informationen an Außenstehende weitergeben oder ihnen Zugriffsrechte erteilen. Gleichzeitig hat niemand sonst eine Ahnung davon.
Diese Situation könnte katastrophal sein. So darf beispielsweise nicht ein und dieselbe Person sowohl Warnungen von Sicherheitssystemen erhalten als auch die Zugriffsberechtigungen dieses Systems verwalten.
Compliance und Kontrollen
Die Umsetzung solider SOD-Strategien kann dazu beitragen, absichtliche oder unabsichtliche Fehler von Mitarbeitern zu vermeiden. Sie können auch betrügerische Anmeldungen aufdecken, falls es welche gibt. Auf diese Weise können Sie Ihr Unternehmen vor Compliance-Verstößen bewahren. So müssen Sie beispielsweise dieselbe Person für die Einreichung von Finanzinformationen und deren Prüfung verantwortlich machen.
Andere Beispiele
Die gleiche Person sollte nicht verantwortlich sein für:
- Erstellen und Genehmigen von Bestellanforderungen
- Erstellen und Genehmigen von Lieferantenrechnungen
- Vorbereitung der Rechnung und Eingabe der Verkaufstransaktionen in das Hauptbuch
- Auszahlen von Gehältern und Einstellen von Mitarbeitern
- Bareingänge erfassen und Gutschriften erstellen
- Handel mit Aktien und Verwaltung von Fusionen und Übernahmen
- Einrichten von Einkäufern und Genehmigen von Bestellanforderungen oder Bestellungen
Vorteile von SoD
Einige der Vorteile der Anwendung von SoD in Ihrem Unternehmen sind:
#1. Betrugsprävention und -aufdeckung
Unternehmen werden mehr denn je Opfer von Betrug. Dabei geht es um betrügerische Aktivitäten wie Scheckmanipulation, Bargeldabschöpfung, Veruntreuung von Vermögenswerten, Dokumentenfälschung, gefälschte Belege, Rechnungen, Fehler in der Buchführung und vieles mehr.
Mit SoD können Sie sicherstellen, dass keine einzelne Person oder Gruppe für die Ausführung aller Funktionen einer bestimmten Aufgabe verantwortlich ist. Dies verhindert die Möglichkeit, Betrug zu begehen und diesen zu verbergen. Wenn mehr Personen für eine Aufgabe zuständig sind, kann jeder externe oder interne Betrügereien aufdecken, melden und verhindern helfen.
#2. Verringerung menschlicher Fehler
Wenn Sie SoD in Ihrem Unternehmen richtig implementieren, werden Sie wahrscheinlich eine deutliche Verringerung der menschlichen Fehler und der damit verbundenen Risiken in Ihren kritischen Finanzprozessen feststellen. Dabei kann es sich um Fehler wie eine unzureichende Dokumentation von Transaktionen, wenig Personal in der Buchhaltung, Fehler bei der Dateneingabe, nachlässige Prüfungen usw. handeln.
Der Einsatz mehrerer Personen bei kritischen Transaktionen erhöht im Wesentlichen die Chance, dass eine Person einen aufgetretenen Fehler bemerkt und ihn behebt.
#3. Verbesserte Audits
Die Verringerung von Risiken und Fehlern verbessert die Aufzeichnungen Ihrer Finanz-, Lohnbuchhaltungs-, Buchhaltungs-, IT- oder Cybersicherheitsabteilung. SoD stellt sicher, dass die Aufzeichnungen ordnungsgemäß geordnet sind, so dass Probleme wie Duplizierung, Verzugsgebühren, Compliance-Risiken usw. vermieden werden.
Auf diese Weise sind Sie besser auf Audits vorbereitet, egal ob es sich um jährliche, halbjährliche oder vierteljährliche Prüfungen handelt. Sie werden sich auch sicherer fühlen, bevor Sie die Vorschriften einhalten und Strafen vermeiden.
#4. Steigert die Effizienz
Manche mögen denken, dass das Hinzufügen weiterer Rollen zu Ineffizienz und höheren Kosten führt. Wenn Sie SoD jedoch gut planen, wird es die Effizienz fördern. Das liegt daran, dass Sie eine Aufgabe in mehrere Teilaufgaben aufteilen, die jeweils von einer geeigneten, spezialisierten Person mit besserer Genauigkeit und Geschwindigkeit ausgeführt werden.
Das senkt nicht nur die Risiken, sondern sorgt auch für mehr Effizienz im Vergleich zu dem Fall, dass eine einzige Person die gesamte Aufgabe erledigen muss. Darüber hinaus sind die Kosten für Schäden, die dem Unternehmen durch das Fehlen von SoD entstehen, viel höher als das, was Sie in die Einstellung von mehr Personal investieren.
Einige SoD-Terminologien
Um SoD besser zu verstehen, müssen Sie sich mit den folgenden Terminologien vertraut machen:
#1. SoD-Konflikte
Ein SoD-Konflikt kann entstehen, wenn eine Person gegen das Interesse der Organisation und in ihrem eigenen Interesse handelt. Das bedeutet, dass sie mehrere Rollen übernommen hat, um mehrere wichtige Funktionen in einem Prozess zu erfüllen. Dies könnte sowohl die Integrität des Prozesses als auch des Unternehmens beeinträchtigen.
SoD-Konflikte können in verschiedenen Bereichen eines Unternehmens auftreten, z.B. bei Order to Cash (O2C) oder Purchase to Pay (P2P). Um SoD-Konflikte zu entschärfen, müssen Sie solche Vorfälle analysieren und bewerten. Unternehmen müssen außerdem solide Kontrollen einführen und sich vor der Beteiligung von Mitarbeitern an illegalen Aktivitäten schützen.
Eine gute Strategie zur Vermeidung von SoD-Konflikten könnte die Anwendung von rollenbasierten Zugriffskontrollen (RBAC) in Ihrem Unternehmen sein. RBAC stellt sicher, dass die Zugriffsberechtigungen und -kontrollen für Benutzer auf der Grundlage ihrer Rollen und Verantwortlichkeiten im Unternehmen vergeben werden und nicht darüber hinaus.
Dabei können Sie eine autorisierte Person damit beauftragen, jede Rolle und jede Zugriffsberechtigung, die ihr zugewiesen wurde, auf SoD-Überschneidungen zwischen den Rollen und innerhalb der Rollen zu analysieren.
Allerdings bedeutet nicht jeder Konflikt, dass er Schaden anrichtet oder zu illegalen Aktionen führt. Ein Benutzer könnte dies versehentlich oder aus Unachtsamkeit tun oder eine für das Unternehmen erforderliche Funktion ausführen, für die mehr Berechtigungen benötigt werden.
Deshalb sollten Unternehmen den Fall gründlich prüfen und ihre Richtlinien für SoD-Verletzungen bewerten, um sicherzustellen, dass die Konflikte nicht zu Betrug oder illegalen Handlungen führen.
#2. SoD-Verletzung
SoD-Verstöße können auftreten, wenn ein Mitarbeiter eines Unternehmens die ihm zugewiesene Rolle ausnutzt und absichtlich auf Informationen zugreift oder eine verbotene Aktivität durchführt. Das bedeutet, dass sie gegen die internen Richtlinien des Unternehmens oder gegen externe Vorschriften verstoßen.
Mitarbeiter können einen SoD-Verstoß begehen, wenn sie die Kontrolle über mehrere Prozessschritte erlangt haben und dabei die zulässigen Schritte überschreiten. Anschließend missbrauchen sie den Zugriff zu ihrem Vorteil.
Beispiel: Ein Unternehmen kann eine Richtlinie aufstellen, die besagt, dass die Person, die Mitarbeiter einstellt, nicht auch die Gehaltsschecks verteilen darf. Denn wenn sie beide Tätigkeiten ausführt, könnte sie dies zu ihrem eigenen Vorteil ausnutzen und Betrug oder illegale Aktivitäten inszenieren. Dies wird dann zu einem SoD-Verstoß.
So sieht ein interner SoD-Verstoß aus; lassen Sie uns nun verstehen, wie ein externer SoD-Verstoß entstehen kann. Ein Beispiel: Ein leitender Entscheidungsträger wie der CEO eines Unternehmens manipuliert den Jahresabschluss und verstößt damit gegen die SOX-Vorschriften.
Dies kann zu enormen Geldstrafen für das Unternehmen führen, und der Mitarbeiter kann auch eine Gefängnisstrafe verbüßen. Dies schadet dem Ruf des Unternehmens und verursacht Kosten.
Um SoD-Verstöße einzudämmen, muss ein Unternehmen seine Verstöße und die Aktivitäten der einzelnen Mitarbeiter überwachen. Außerdem müssen sie ihre Richtlinien ständig an die sich verändernden technologischen Gegebenheiten anpassen.
#3. SoD-Matrix
Die SoD-Matrix ist ein Ansatz, den Manager verfolgen, um die Komplexität von SoD zu reduzieren. Sie ermöglicht es Managern, verschiedene Verantwortlichkeiten, Rollen und Risiken in einer Organisation zu unterscheiden.
Darüber hinaus kann die SoD-Matrix potenzielle Konflikte in der gesamten Organisation aufdecken und dabei helfen, sie rechtzeitig zu lösen und gleichzeitig vor ernsthaften Schäden zu schützen.
SoD-Matrizen werden in modernen Unternehmen, die sich auf ERP-Software stützen, automatisch erstellt. Eine generierte SoD-Matrix basiert auf den Aufgaben und Rollen eines Benutzers, die in seiner ERP-Software definiert sind.
Dabei sollte jede Aufgabe einem Prozess in einem bestimmten Transaktions-Workflow entsprechen, um Aufgaben und Rollen zu gruppieren und sicherzustellen, dass kein Benutzer mehr als einen Schritt im Workflow ausführen darf.
Außerdem kann eine SoD-Matrix durch ein Diagramm dargestellt werden, in dem die Benutzerrollen auf beiden Achsen – X und Y, die SoD-Konflikte bedeuten – festgehalten werden. Außerdem ordnet sie die Aufgaben und Aktivitäten den Rollen in einem Workflow zu, so dass Compliance-Teams inkompatible Verantwortlichkeiten trennen können.
Sie können eine SoD-Matrix entweder mit einer Software wie MS Excel oder manuell auf einem Papierbogen erstellen. Sie können auch mit einem ERP-Tool erstellt werden.
Beispiel: Hier ist ein Beispiel dafür, wie Sie eine SoD-Matrix für die Gehaltsabrechnung eines Mitarbeiters erstellen können. Sie können für Rollen und Zuständigkeiten beliebige Zeichen wie Ja/Nein, farbige Fähnchen oder Pfeile, ein Häkchen usw. verwenden. Lassen Sie uns in der folgenden Darstellung J/N verwenden.
| Prozess | Mitarbeiter | Onboarding von Mitarbeitern | Erstellen von Gehaltsschecks | Zahlungen ausgleichen | Verwaltung von Sozialleistungen |
| Onboarding von Mitarbeitern | 1 | Y | N | N | N |
| Gehaltsschecks erstellen | 2 | N | Y | Y | N |
| Clearing von Zahlungen | 3 | N | Y | Y | N |
| Vorteile verwalten | 4 | N | N | N | Y |
In der obigen Tabelle ist ersichtlich, dass Mitarbeiter 2 die Berechtigung hat, Gehaltsschecks zu erstellen und abzurechnen. Er darf also weder Leistungen ändern noch Mitarbeiter einstellen. Wenn er dies doch tut, kann ein SoD-Konflikt entstehen. In ähnlicher Weise ist Mitarbeiter 1 für die Einstellung neuer Mitarbeiter zuständig. Er darf also keine Gehaltsabrechnungen erstellen, keine Leistungen verwalten und keine Zahlungen abrechnen. Andernfalls kann es zu einem SoD-Konflikt kommen.
Wie Sie SoD implementieren
Wenn Sie also mit dem Gedanken spielen, SoD einzuführen, aber nicht wissen, wo Sie anfangen sollen, können Sie die folgenden Schritte befolgen:
#1. Definieren Sie organisatorische Abläufe und Richtlinien
Zuallererst müssen Sie alle wichtigen organisatorischen Prozesse definieren, für die Ihre Mitarbeiter verantwortlich sind. Dies kann von der Größe Ihres Unternehmens und der Branche abhängen. Sobald Sie alle Prozesse und Aufgaben definiert haben, sollten Sie auch Ihre Richtlinien auflisten. Definieren Sie Richtlinien für Ihre internen Mitarbeiter, externen Anbieter und andere Einheiten, mit denen Sie zu tun haben.
In Ihrer Personalabteilung sollten Sie beispielsweise Aufgaben wie die Einstellung und Eingliederung von Mitarbeitern, die Erstellung von Leistungen und Vergütungen, die Verrechnung von Zahlungen, die Führung von Aufzeichnungen usw. auflisten. Ebenso können Sie in der Buchhaltung Aufgaben wie die Bestätigung von Produktlieferungen, die Überprüfung von Rechnungen, die Unterzeichnung von Schecks, die Bezahlung von Rechnungen usw. auflisten.
Darüber hinaus müssen Sie Richtlinien aufstellen, die Sie für Ihre Abteilungen und Mitarbeiter festgelegt haben. Zum Beispiel darf ein Mitarbeiter, der eine Zahlung ausstellt, nicht auch derjenige sein, der die Schecks unterschreibt. Ein anderes Beispiel für eine Richtlinie könnte sein, dass der Mitarbeiter, der für den Verkauf eines Produkts zuständig ist, nicht auch dessen Lieferung bestätigen darf.
#2. Erstellen Sie eine SoD-Matrix
Nachdem Sie Ihre Aufgaben und Richtlinien definiert haben, müssen Sie eine SoD-Matrix erstellen, um alle Rollen und Aufgaben aufzulisten. Sie wird Ihnen dabei helfen zu verstehen, welche Mitarbeiter für welche Aufgaben verantwortlich sind und ob die Möglichkeit eines SoD-Konflikts oder eines Verstoßes besteht.
Das obige Diagramm hilft Ihnen, eine SoD-Matrix für Ihr Unternehmen zu erstellen. Manchmal ist es jedoch schwierig, SoD-Konflikte zu erkennen, insbesondere wenn die Darstellungen nicht mit den Aufgaben übereinstimmen. Hierfür können Sie bei der Erstellung einer SoD-Matrix zwei Ansätze wählen:
Definieren Sie alle Aufgaben klar und kennzeichnen Sie jeden SoD-Konflikt: Dies führt zu einer großen Matrix, bietet aber eine bessere Genauigkeit bei der visuellen Darstellung der Aufgaben und Rollen.
Lassen Sie einige Aufgaben weg oder gruppieren Sie sie: So erhalten Sie eine komprimierte Matrix, die leicht zu analysieren ist und sich auf SoD-Konflikte konzentriert. Es könnte jedoch zu falsch positiven Ergebnissen und Fehlern führen, die sich auf die SoD-Ergebnisse und Konflikte auswirken.
#3. Aufgaben zuweisen
Sobald Sie alle SoD-Konflikte aufgedeckt haben, beginnen Sie damit, den Mitarbeitern Aufgaben und Unteraufgaben zuzuweisen und dabei das Konzept der Aufgabentrennung zu nutzen. Wenn Sie auf ein Szenario stoßen, in dem Sie SoD nicht anwenden können, überlegen Sie sich eine solide Methode, um den Mitarbeiter, der die Aufgabe ausführt, zu kontrollieren und zu überwachen, um jegliche Risiken zu vermeiden.
#4. Verwalten und Überprüfen
Es ist wichtig, Ihre Aufgaben und Rollen zu überwachen und zu überprüfen, um sicherzustellen, dass die SoD gut umgesetzt wird und es keine potenziellen Konflikte oder Verstöße gibt. Und wenn Sie welche entdecken, verwalten Sie Ihre Rollen und Aufgaben, indem Sie sie neu zuweisen. Setzen Sie die Überwachung fort, um Risiken zu vermeiden.
Fazit
Die Trennung der Zuständigkeiten (Segregation of Duties – SoD) bietet eine hervorragende Möglichkeit, interne Kontrollen zu verwalten und Betrug und Fehler zu verhindern. Sie trägt dazu bei, die organisatorische Sicherheit zu gewährleisten, so dass niemand eine übermäßige Kontrolle erlangt, die ausreicht, um Ihrer Organisation in Form von Datenlecks, Betrug oder illegalen Aktivitäten Schaden zuzufügen. Implementieren Sie also SoD in Ihrem Unternehmen und bleiben Sie sicher und wachsam.
Sie können auch einige Tools zur Erkennung und Vorbeugung von Betrug für Online-Unternehmen ausprobieren.