Die Trennung von Verantwortlichkeiten (Segregation of Duties, SoD) ist ein unverzichtbarer Bestandteil jeder wirksamen Risikomanagementstrategie in Unternehmen.
Laut einer Studie der Association of Certified Fraud Examiners (ACFE) aus dem Jahr 2022 erleiden Firmen durch interne Betrugsfälle durchschnittliche Verluste von etwa 1.783.000 US-Dollar pro Fall.
Dies unterstreicht, wie wichtig ein solides Risikomanagement für Unternehmen in einer Zeit ist, die von zunehmenden Betrugsversuchen, Täuschungen und Fehlern geprägt ist.
SoD dient der Steuerung, dem Management und der Minimierung dieser Risiken und trägt so zu verbesserten Unternehmenskontrollen, erhöhter Sicherheit und einem stärkeren Risikobewusstsein bei.
In diesem Beitrag werden wir uns näher damit befassen, was SoD bedeutet, warum es so wichtig ist und welche weiteren Schlüsselbegriffe damit zusammenhängen.
Lassen Sie uns also beginnen und gemeinsam herausfinden, wie Sie die Kontrolle zurückgewinnen!
Was versteht man unter Aufgabentrennung?
Die Aufgabentrennung (SoD) ist ein essenzielles Konzept im Risikomanagement und in den internen Kontrollsystemen von Organisationen. Es sieht vor, dass die verschiedenen Schritte einer Aufgabe von mehr als einer Person durchgeführt werden. Der Hauptzweck dieser Aufteilung ist die Prävention von Informationsmissbrauch, Betrug, Diebstahl und anderen sicherheitsrelevanten Risiken.
Obwohl eine Aufgabe theoretisch von einer einzelnen Person ausgeführt werden könnte, wird sie in mehrere Teilbereiche aufgespalten. Hierdurch wird sichergestellt, dass keine einzelne Person die absolute Kontrolle über die Aufgabe oder übermäßig viel Macht erhält, die sie für unbefugte oder betrügerische Zwecke missbrauchen könnte. Die Verantwortung wird stattdessen auf mindestens zwei Personen verteilt.
Heutzutage wird SoD in unterschiedlichen Bereichen wie der Buchhaltung, dem Finanzwesen, der Gehaltsabrechnung und der Verwaltung angewandt. Im politischen Bereich findet sie sich als Gewaltenteilung in Demokratien wieder, wo die Regierung in Judikative, Exekutive und Legislative gegliedert ist.
SoD im Rahmen des Risikomanagements
SoD basiert auf dem Prinzip der geteilten Verantwortung und der Erkenntnis, dass die Leitung einer Organisation oder eines Unternehmens nicht in den Händen einer einzigen Person liegen sollte. Es ist riskant, einer einzigen Person die vollständige Kontrolle über eine Aufgabe zu überlassen, da dies potenziell zu Betrug, Fehlern oder Rufschädigung des Unternehmens führen kann.
In der Tat ist SoD ein entscheidender Aspekt des Risikomanagements und der Einhaltung von Vorschriften, wie zum Beispiel dem Sarbanes-Oxley Act (SOX) von 2002, dem Unternehmen unterliegen.
Die Trennung von Aufgaben auf mehrere verantwortliche Personen reduziert die Wahrscheinlichkeit, dass ein Mitarbeiter oder eine dritte Partei:
- Vertrauliche Informationen der Organisation missbraucht
- Geld stiehlt
- Aufzeichnungen (wie Finanzdaten) fälscht, um Interessengruppen zu täuschen oder Aktienkurse zu manipulieren
- Eine Rachekampagne nach einer vermeintlichen Ungerechtigkeit startet
- Sich an Wirtschaftsspionage beteiligt
Die Abwesenheit einer soliden Strategie wie SoD könnte zu erheblichen Schäden für Ihr Unternehmen führen, sei es in finanzieller Hinsicht, durch Compliance-Strafen oder durch eine Beschädigung des Markenimages. Aus diesem Grund empfiehlt es sich, SoD unternehmensweit anzuwenden – von der Buchhaltung und Gehaltsabrechnung bis hin zu den Abteilungen für Informationstechnologie (IT) und Cybersicherheit.
Beispiele für SoD
Sehen wir uns einige Beispiele an, in welchen Bereichen Sie SoD anwenden können.
Buchhaltung
Im Bereich der Buchhaltung können Unternehmen durch SoD verhindern, dass einzelne Personen zu viel Macht erlangen, um Vermögenswerte zu verbergen oder finanzielle Fehler zu vertuschen.
SoD verlangt eine detaillierte Analyse aller Buchhaltungsrollen in Ihrem Unternehmen und eine Trennung der Aufgaben, sodass keine einzelne Person die vollständige Kontrolle über eine bestimmte Funktion hat. Beispielsweise sollte nicht dieselbe Person Schecks entgegennehmen und die erhaltenen Schecks verbuchen.
IT und Cybersicherheit
SoD-Richtlinien können dazu beitragen, Risiken bei der Zugriffskontrolle in der IT-Abteilung zu minimieren. Sie trennen Workflow-Aufgaben und stellen sicher, dass dieselbe Person oder Personengruppe nicht über mehrere Zugriffsberechtigungen verfügt.
Wenn eine einzelne Person über ihre ursprünglichen Pflichten hinaus Zugriffsbefugnisse erhält, kann sie diese missbrauchen und Informationen an Außenstehende weitergeben oder diesen unbefugt Zugang verschaffen. Gleichzeitig ist dies für alle anderen unbemerkt.
Eine solche Situation könnte katastrophal sein. Beispielsweise sollte nicht derselben Person gestattet sein, Warnmeldungen von Sicherheitssystemen zu empfangen und gleichzeitig die Zugriffsberechtigungen dieses Systems zu verwalten.
Compliance und Kontrollen
Die Implementierung durchdachter SoD-Strategien kann dazu beitragen, absichtliche oder unbeabsichtigte Fehler von Mitarbeitern zu reduzieren und gegebenenfalls betrügerische Praktiken aufzudecken. So schützen Sie Ihr Unternehmen vor Compliance-Verstößen. So sollte beispielsweise nicht dieselbe Person für die Einreichung von Finanzinformationen und deren Prüfung verantwortlich sein.
Weitere Beispiele
Es sollte vermieden werden, dass dieselbe Person verantwortlich ist für:
- Das Erstellen und Genehmigen von Bestellanforderungen
- Das Erstellen und Genehmigen von Lieferantenrechnungen
- Das Erstellen von Rechnungen und das Buchen von Verkaufstransaktionen im Hauptbuch
- Die Auszahlung von Gehältern und die Einstellung von Mitarbeitern
- Das Erfassen von Geldeingängen und das Erstellen von Gutschriften
- Den Handel mit Aktien sowie die Verwaltung von Fusionen und Übernahmen
- Das Einrichten von Käufern und das Genehmigen von Anforderungen oder Bestellungen
Vorteile von SoD
Die Einführung von SoD in Ihrem Unternehmen bietet eine Reihe von Vorteilen:
#1. Betrugsprävention und -aufdeckung
Unternehmen sind mehr denn je Opfer von Betrug. Dies umfasst betrügerische Aktivitäten wie Scheckmanipulation, Bargeldabschöpfung, Veruntreuung von Vermögenswerten, Dokumentenfälschung, gefälschte Quittungen, Rechnungen, Fehler in Buchhaltungsunterlagen und vieles mehr.
Durch SoD wird sichergestellt, dass keine einzelne Person oder Gruppe für die Durchführung aller Aufgaben einer bestimmten Funktion verantwortlich ist. Dies verringert die Möglichkeiten für das Begehen und Verbergen von Betrug. Wenn mehrere Augen auf eine Aufgabe gerichtet sind, können externe oder interne Betrugsfälle einfacher erkannt, gemeldet und verhindert werden.
#2. Reduzierung menschlicher Fehler
Eine korrekte Implementierung von SoD in Ihrem Unternehmen führt wahrscheinlich zu einer deutlichen Reduzierung menschlicher Fehler und den damit verbundenen Risiken in Ihren kritischen Finanzprozessen. Dies kann Fehler wie unzureichende Dokumentation von Transaktionen, Personalmangel in der Buchhaltung, Fehler bei der Dateneingabe, nachlässige Überprüfungen usw. umfassen.
Die Einbindung mehrerer Personen in kritische Transaktionen erhöht die Wahrscheinlichkeit erheblich, dass eine Person einen aufgetretenen Fehler bemerkt und korrigiert.
#3. Verbesserte Audits
Die Verringerung des Risikos von Fehlern und Unregelmäßigkeiten verbessert die Qualität der Aufzeichnungen für Ihre Finanz-, Gehalts-, Buchhaltungs-, IT- oder Cybersicherheitsabteilung. SoD trägt dazu bei, dass die Aufzeichnungen ordnungsgemäß und nachvollziehbar geführt werden und Probleme wie Duplizierungen, Mahngebühren, Compliance-Risiken usw. vermieden werden.
Dies bereitet Sie besser auf Audits vor, egal ob diese jährlich, halbjährlich oder vierteljährlich stattfinden. Sie gewinnen dadurch auch mehr Sicherheit im Hinblick auf die Einhaltung von Vorschriften und vermeiden potenzielle Strafen.
#4. Steigerung der Effizienz
Einige könnten befürchten, dass die Einführung zusätzlicher Rollen zu Ineffizienzen und höheren Kosten führt. Tatsächlich führt eine sorgfältige Planung von SoD zu Effizienzsteigerungen. Dies liegt daran, dass eine Aufgabe in mehrere Teilaufgaben aufgeteilt wird, die jeweils von einer geeigneten, spezialisierten Person mit größerer Genauigkeit und Geschwindigkeit ausgeführt werden können.
Dies reduziert nicht nur die Risiken, sondern bietet auch eine höhere Effizienz im Vergleich zu einer Situation, in der eine einzelne Person die gesamte Aufgabe bewältigen muss. Darüber hinaus sind die Kosten, die durch Schäden entstehen, die ohne SoD auftreten, viel höher als die Investition in zusätzliches Personal.
Wichtige Terminologien im Zusammenhang mit SoD
Um SoD besser zu verstehen, sollten Sie sich mit den folgenden Begriffen vertraut machen:
#1. SoD-Konflikte
Ein SoD-Konflikt tritt auf, wenn eine Person entgegen den Interessen der Organisation handelt und versucht, ihre eigenen Interessen durchzusetzen. Dies bedeutet, dass diese Person mehrere Rollen übernommen hat, um wesentliche Funktionen in einem Prozess durchzuführen. Dadurch kann die Integrität des Prozesses und des Unternehmens beeinträchtigt werden.
SoD-Konflikte können in verschiedenen Bereichen eines Unternehmens auftreten, wie z. B. im „Order to Cash“- (O2C) oder „Purchase to Pay“-Prozess (P2P). Um SoD-Konflikte zu entschärfen, ist es notwendig, solche Vorfälle zu analysieren und zu bewerten. Organisationen müssen zudem solide Kontrollen implementieren und sich vor Mitarbeitern schützen, die illegale Aktivitäten planen.
Eine wirksame Strategie zur Vermeidung von SoD-Konflikten kann die Implementierung einer rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) im gesamten Unternehmen sein. RBAC stellt sicher, dass Benutzern Zugriffsberechtigungen und -kontrollen entsprechend ihrer Rollen und Verantwortlichkeiten in der Organisation und nicht darüber hinaus gewährt werden.
Hierbei kann eine befugte Person beauftragt werden, jede Rolle und die ihr zugewiesenen Zugriffsberechtigungen zu analysieren, sowohl hinsichtlich Überschneidungen zwischen Rollen als auch innerhalb einzelner Rollen.
Nicht jeder Konflikt bedeutet jedoch, dass Schaden verursacht oder illegale Handlungen begangen werden. Ein Benutzer könnte dies unbeabsichtigt oder aus Unachtsamkeit tun oder eine erforderliche Funktion für das Unternehmen ausüben, die mehr Berechtigungen erfordert.
Aus diesem Grund sollten Unternehmen den Einzelfall gründlich prüfen und ihre Richtlinien zu SoD-Verstößen bewerten, um sicherzustellen, dass die Konflikte nicht zu Betrug oder illegalen Aktivitäten führen.
#2. SoD-Verstoß
Ein SoD-Verstoß tritt auf, wenn ein Mitarbeiter eines Unternehmens seine zugewiesene Rolle missbraucht und bewusst auf Informationen zugreift oder eine unerlaubte Handlung vornimmt. Dies bedeutet, dass er gegen die internen Richtlinien des Unternehmens oder gegen externe Vorschriften verstößt.
Mitarbeiter können einen SoD-Verstoß begehen, wenn sie die Kontrolle über mehrere Prozessschritte erlangt haben und die zulässigen Handlungsbereiche überschreiten. Im Folgenden missbrauchen sie ihren Zugang, um sich Vorteile zu verschaffen.
Ein Beispiel: Ein Unternehmen kann festlegen, dass die Person, die Mitarbeiter einstellt, nicht auch die Gehaltsschecks verteilen darf. Denn wenn eine Person beide Aufgaben übernimmt, kann sie dies zu ihrem Vorteil nutzen und Betrug oder illegale Aktivitäten inszenieren. Dies wäre ein SoD-Verstoß.
Dies ist ein Beispiel für einen internen SoD-Verstoß. Sehen wir uns nun an, wie ein externer SoD-Verstoß aussehen kann. Beispielsweise kann ein hochrangiger Entscheidungsträger, wie der CEO eines Unternehmens, Finanzberichte manipulieren und dadurch gegen die SOX-Bestimmungen verstoßen.
Dies kann zu enormen Geldstrafen für das Unternehmen führen, und der Mitarbeiter riskiert eine Gefängnisstrafe. Dies verursacht einen Reputationsschaden und erhebliche Kosten für das Unternehmen.
Um SoD-Verstöße zu reduzieren, muss ein Unternehmen seine Verstöße und die Aktivitäten der Mitarbeiter kontinuierlich überwachen. Außerdem müssen die Richtlinien laufend an den sich verändernden technologischen Kontext angepasst werden.
#3. SoD-Matrix
Die SoD-Matrix ist ein Instrument, mit dem Manager die Komplexität von SoD reduzieren können. Sie ermöglicht es Managern, verschiedene Verantwortlichkeiten, Rollen und Risiken innerhalb eines Unternehmens zu identifizieren.
Darüber hinaus hilft die SoD-Matrix, potenzielle Konflikte im gesamten Unternehmen zu erkennen und rechtzeitig zu lösen, wodurch gleichzeitig ein Schutz vor ernsten Schäden gewährleistet wird.
In modernen Unternehmen, die ERP-Software einsetzen, werden SoD-Matrizen automatisch generiert. Eine solche Matrix basiert auf den Aufgaben und Rollen eines Benutzers, die in der ERP-Software hinterlegt sind.
Hierbei sollte jede Aufgabe einem Prozess in einem bestimmten Transaktionsworkflow entsprechen. So können Aufgaben und Rollen gruppiert und sichergestellt werden, dass kein Benutzer mehr als einen Schritt im Workflow ausführen darf.
Außerdem kann eine SoD-Matrix in einem Diagramm dargestellt werden, in dem Benutzerrollen auf beiden Achsen – X und Y – eingetragen werden, um SoD-Konflikte anzuzeigen. Die Matrix ordnet zudem Aufgaben und Aktivitäten Rollen in einem Workflow zu, sodass Compliance-Teams inkompatible Verantwortlichkeiten erkennen und trennen können.
Eine SoD-Matrix kann mit Hilfe von Software wie MS Excel, manuell auf Papier oder mit einem ERP-Tool erstellt werden.
Beispiel: Hier ist ein Beispiel dafür, wie Sie eine SoD-Matrix für die Gehaltsabrechnung eines Mitarbeiters erstellen können. Sie können beliebige Zeichen wie Ja/Nein, farbige Markierungen, Pfeile, Häkchen usw. für Rollen und Verantwortlichkeiten verwenden. In der folgenden Tabelle verwenden wir J/N.
Prozess | Mitarbeiter einstellen | Gehaltsschecks erstellen | Zahlungen verarbeiten | Leistungen verwalten | |
Mitarbeiter einarbeiten | 1 | J | N | N | N |
Gehaltsschecks erstellen | 2 | N | J | J | N |
Zahlungen verarbeiten | 3 | N | J | J | N |
Leistungen verwalten | 4 | N | N | N | J |
Die obige Tabelle zeigt, dass Mitarbeiter 2 berechtigt ist, Gehaltsschecks zu erstellen und zu verarbeiten. Sie sollten daher keine Leistungen ändern oder Mitarbeiter einstellen. Wenn sie dies dennoch tun, kann ein SoD-Konflikt entstehen. Ebenso ist Mitarbeiter 1 für die Einstellung neuer Mitarbeiter zuständig. Aus diesem Grund dürfen sie keine Gehaltsschecks erstellen, Leistungen verwalten oder Zahlungen verarbeiten. Andernfalls kann ein SoD-Konflikt entstehen.
Wie implementiert man SoD?
Wenn Sie die Implementierung von SoD planen, aber unsicher sind, wie Sie beginnen sollen, können Ihnen die folgenden Schritte helfen:
Definieren Sie organisatorische Prozesse und Richtlinien
Zunächst müssen Sie alle wesentlichen organisatorischen Prozesse definieren, für die die Mitarbeiter verantwortlich sind. Dies hängt von der Größe und der Branche Ihres Unternehmens ab. Nachdem Sie alle Prozesse und Aufgaben definiert haben, erstellen Sie zudem eine Liste Ihrer Richtlinien. Definieren Sie Richtlinien für Ihre internen Mitarbeiter, externe Anbieter und andere Unternehmen, mit denen Sie zusammenarbeiten.
In Ihrer Personalabteilung können Sie beispielsweise Aufgaben wie die Einstellung und Einarbeitung von Mitarbeitern, die Erstellung von Leistungen und Vergütungen, die Verarbeitung von Zahlungen, die Führung von Aufzeichnungen usw. auflisten. In der Buchhaltung können Sie analog dazu Aufgaben wie die Bestätigung der Produktlieferung und die Überprüfung von Rechnungen auflisten, das Unterschreiben von Schecks, die Bezahlung von Rechnungen usw.
Darüber hinaus müssen Sie Richtlinien festlegen, die Sie für Ihre Abteilungen und Mitarbeiter erstellt haben. Beispielsweise sollte ein Mitarbeiter, der eine Zahlung veranlasst, nicht auch derjenige sein, der Schecks unterschreibt. Ein weiteres Beispiel für eine Richtlinie könnte sein: Der für den Verkauf eines Produkts zuständige Mitarbeiter sollte nicht auch dessen Lieferung bestätigen.
Erstellen Sie eine SoD-Matrix
Nachdem Sie Ihre Aufgaben und Richtlinien definiert haben, sollten Sie eine SoD-Matrix erstellen, in der alle Rollen und Aufgaben aufgelistet sind. Dies hilft Ihnen zu erkennen, welche Mitarbeiter für welche Aufgaben verantwortlich sind und ob die Möglichkeit eines SoD-Konflikts oder -Verstoßes besteht.
Das obige Diagramm soll Ihnen bei der Erstellung einer SoD-Matrix für Ihr Unternehmen helfen. Manchmal ist es jedoch schwierig, SoD-Konflikte zu erkennen, insbesondere dann, wenn die Darstellungen nicht exakt zu den Aufgaben passen. Hierfür können Sie bei der Erstellung einer SoD-Matrix zwei Ansätze verfolgen:
Definieren Sie alle Aufgaben präzise und kennzeichnen Sie jeden SoD-Konflikt: Dies führt zwar zu einer großen Matrix, bietet aber eine höhere Genauigkeit bei der Visualisierung der Aufgaben und Rollen.
Lassen Sie einige Aufgaben weg oder fassen Sie sie zusammen: Sie erhalten eine komprimierte Matrix, die einfacher zu analysieren ist und den Fokus auf SoD-Konflikte legt. Dies kann jedoch zu Fehlalarmen und Fehlern führen, welche die Ergebnisse von SoD und die Konflikte beeinträchtigen können.
Aufgaben zuweisen
Sobald Sie alle SoD-Konflikte identifiziert haben, können Sie mit der Zuweisung von Aufgaben und Teilaufgaben an Mitarbeiter beginnen und dabei die Idee der Aufgabentrennung nutzen. Wenn Sie auf ein Szenario stoßen, in dem Sie SoD nicht anwenden können, finden Sie eine zuverlässige Möglichkeit, den Mitarbeiter, der die Aufgabe ausführt, zu kontrollieren und zu überwachen, um Risiken zu minimieren.
Verwalten und überprüfen
Es ist wichtig, Ihre Aufgaben und Rollen zu überwachen und zu überprüfen, um sicherzustellen, dass SoD effektiv implementiert ist und dass keine potenziellen Konflikte oder Verstöße vorliegen. Sollten Sie Konflikte entdecken, müssen Sie Ihre Rollen und Aufgaben neu zuweisen. Die kontinuierliche Überwachung ist entscheidend, um Risiken zu vermeiden.
Fazit
Die Aufgabentrennung (SoD) bietet eine ausgezeichnete Möglichkeit, interne Kontrollen zu implementieren und Betrug und Fehler zu vermeiden. Sie trägt dazu bei, die Sicherheit des Unternehmens zu gewährleisten und verhindert, dass Einzelpersonen zu viel Macht erlangen, die dem Unternehmen durch Datenlecks, Betrug oder illegale Aktivitäten schaden könnte. Implementieren Sie also SoD in Ihrem Unternehmen, um sich zu schützen und stets wachsam zu sein.
Darüber hinaus können Sie sich nach Tools zur Betrugserkennung und -prävention für Online-Unternehmen umsehen.