Funktionstrennung (Segregation of Duties, SoD)

Die Definition der Funktionstrennung

Die Funktionstrennung, auch bekannt als Segregation of Duties (SoD), ist der Grundsatz, dass kein einzelner Benutzer die vollständige Kontrolle über sensible Systeme, Prozesse oder Aktivitäten haben sollte. Zum Beispiel kann eine Person eine Aufgabe nicht ohne eine andere Person erledigen, die als Kontrollperson fungiert, oder die Anzahl der Zugriffe kann beschränkt werden. Die Funktionstrennung soll Sicherheitsprobleme wie Fehler, Betrug, Informationsmissbrauch, Sabotage und Diebstahl verhindern.

Die Durchsetzung der Funktionstrennung kann statisch oder dynamisch sein.

1. Statische Durchsetzung
   Ein und dieselbe Person kann keine Rollen ausüben, die in Konflikt miteinander stehen. Zum Beispiel sollte die Person, die die Zahlung per Scheck genehmigt, nicht jene sein, die den Scheck elektronisch unterzeichnet.
2. Dynamische Durchsetzung
   Die Kontrolle wird in Echtzeit durchgeführt. Benutzer benötigen eine Genehmigung durch eine autorisierte Person, um eine Aufgabe zu erledigen.

Bei der Funktionstrennung werden die Aufgaben in vier Kategorien unterteilt: Autorisierung, Verwahrung, Abgleich und Aufzeichnung. Den Protokollen folgend, führen verschiedene Personen die folgenden Aufgaben als Teil des Kontrollsystems aus.

1. Autorisierung
   Die Überprüfung und Genehmigung von Transaktionen oder Vorgängen
2. Verwahrung von Vermögenswerten
   Kontrolle des Zugriffs auf physische und digitale Vermögenswerte und Systeme
3. Abgleich
   Die Überprüfung der Richtigkeit, Vollständigkeit und Gültigkeit von Transaktionen oder Vorgängen
4. Aufzeichnung von Transaktionen
   Die Erstellung und Pflege von Aufzeichnungen im Zusammenhang mit Transaktionen oder Vorgängen

Die Bedeutung der Funktionstrennung

Wichtige Unternehmenbereiche für die Funktionstrennung sind:

• Buchhaltung und Finanzen
• Cybersicherheit 
• Informationstechnologie
• Andere Bereiche, die einen entscheidenden Einfluss auf das Unternehmen haben können

Die Einführung der Funktionstrennung in sensiblen Bereichen hilft, Risiken im Zusammenhang mit Insiderbedrohungen zu minimieren, wie: 

• Fälschung von Finanzunterlagen, um Gewinnprognosen zu erfüllen
• Unternehmensspionage
• Diebstahl von Geld des Unternehmens

Compliance ist ein weiterer Grund für die Einführung einer Funktionstrennung. In den Vereinigten Staaten schreibt der Sarbanes-Oxley Act (SOX) von 2002 die Funktionstrennung vor. Das Ziel ist der Schutz vor Buchhaltungsbetrug, bei dem Abschlüsse gefälscht werden.

Unter SOX sind Prüfungsausschüsse und leitende Angestellte für die Richtigkeit der Finanzberichte verantwortlich. Die Funktionstrennung ist erforderlich, um wirksame interne Kontrollsysteme für die Finanzberichterstattung zu schaffen, um ihre Richtigkeit zu gewährleisten.

Hier sind einige weitere Gründe, aus denen eine Funktionstrennung wichtig ist:

Rechenschaftspflicht 
Ein Programm zur Funktionstrennung fördert die Rechenschaftspflicht und Transparenz innerhalb des Unternehmens, indem es bestimmten Teams und Einzelpersonen Zuständigkeiten zuweist. Zusätzlich zu ihren Zuständigkeiten sind sie für die Aufsicht über verwandte Funktionen und Aktivitäten verantwortlich.

Detailgenauigkeit 
Niemand mag es, Fehler zu machen. Die Funktionstrennung bietet einen Überblick, der Fehler sichtbar macht. Aufgrund der Kontrollen entwickelt sich in den Unternehmen eine Kultur der Detailgenauigkeit, die vom Wunsch getragen wird, Fehler zu vermeiden. Davon profitieren alle Aspekte des Unternehmens.

Fehlervermeidung 
Durch die Zuweisung unterschiedlicher Aufgaben und Zuständigkeiten an Einzelpersonen oder Teams ermöglicht es die Funktionstrennung Unternehmen, Fehler rechtzeitig zu erkennen. Auf diese Weise wird verhindert, dass Zeit für Korrekturen (im besten Fall) oder für rechtliche Problemen und Verstöße gegen die Compliance (im schlimmsten Fall) aufgewandt werden muss.

Betrugsprävention 
Die Funktionstrennung, wie Autorisierung, Aufzeichnung und Verwahrung, bietet ein System von Kontrollen und Gegenkontrollen, das das Betrugsrisiko erheblich reduziert. Da keine Person oder kein Team die vollständige Kontrolle über sensible Prozesse oder Funktionen hat, werden Manipulation, Veruntreuung oder andere Arten von finanziellem Fehlverhalten ausgeschlossen.

Risiken der Funktionstrennung

Die Funktionstrennung bietet viele Vorteile. Es gibt aber auch eine Reihe von Herausforderungen, darunter wären:

• Sie verkompliziert Geschäftsabläufe.
• Sie schafft Konflikte zwischen Sicherheit und Effizienz.
• Sie erweckt den falschen Eindruck, dass Fehler reduziert werden.
• Sie beeinflusst die Zufriedenheit, das Engagement und die Bindung der Mitarbeitenden.
• Sie erhöht den Personalbedarf und die Kosten.
• Sie bietet Möglichkeiten für geheime Absprachen.
• Sie reduziert die betriebliche Produktivität.

Bewährte Praktiken für die Funktionstrennung

Bewerten Sie die Risikostufen bei der Festlegung des Funktionstrennung

Die Funktionstrennung wird je nach Unternehmen und Abteilung unterschiedlich sein. Bei der Festlegung des besten Ansatzes sollten jedoch alle Unternehmen Richtlinien auf Grundlage der jeweiligen Risikostufen erstellen und umsetzen.

Stellen Sie sicher, dass die Funktionstrennung nachweisbar ist

Um ihre Effizienz zu bestätigen, sollten die Abläufe der Funktionstrennung dokumentiert werden, damit sie für eine externe Partei nachweisbar sind.

Führen Sie Mitarbeiterschulungen durch, um die Bedeutung der Funktionstrennung zu vermitteln.

Nehmen Sie sich Zeit für die Entwicklung und Planung von Mitarbeiterschulungen, die das Wie und Warum der Funktionstrennung erklären. So können Sie die Effizienz des Programms verbessern und die Unterstützung der Mitarbeitenden gewinnen.

Definieren und dokumentieren Sie die Zuständigkeiten im Rahmen der Funktionstrennung

Alle Prozesse, Rollen und Zuständigkeiten der Funktionstrennung sollten klar definiert und dokumentiert werden. Dazu sollte gehören, wer – eine bestimmte Person oder eine betriebliche Position – für die Initiierung, Einreichung, Genehmigung, Überprüfung und Prüfung der Aktivitäten im Rahmen der Funktionstrennung verantwortlich ist.

Kontrolle der Compliance der Funktionstrennung

Für viele Unternehmen ist die Funktionstrennung eine Compliance-Anforderung oder Teil eines Compliance-Programms. Unternehmen sollten das Programm regelmäßig überprüfen, um sicherzustellen, dass die damit verbundenen Kontrollen und Abläufe den sich verändernden Anforderungen entsprechen.

Bewerten Sie die Maßnahmen zur Funktionstrennung, um Verbesserungsmöglichkeiten zu ermitteln

Holen Sie Feedback von Benutzern und Prüfern ein, um proaktiv Bereiche zu identifizieren, die optimiert und verbessert werden können, um Abläufe zu straffen und Risiken zu verringern.

Führen Sie regelmäßige Überprüfungen durch und passen Sie die Abläufe zur Funktionstrennung an

Es sollten Kontrollen definiert und implementiert werden, um eine laufende Überwachung und regelmäßige Überprüfungen der Funktionstrennung durchzuführen und sicherzustellen, dass die Prozesse die betriebliche Effizienz nicht beeinträchtigen. Außerdem sollte die Wirksamkeit überprüft werden. Dies sollte Berichte umfassen, um die Ergebnisse zu dokumentieren.

Funktionstrennung als Ergänzung des Risikomanagement-Portfolios

Die Einbeziehung der Funktionstrennung in das Risikomanagement kann eine einfache und kostengünstige Methode sein, um die Effizienz zu erhöhen. Eine Funktionstrennung im gesamten Unternehmen (vom Betrieb über die Entwicklung und die Finanzen bis zur IT-Sicherheit) kann das Gesamtrisiko verringern.

Durch die Funktionstrennung werden Kontrollen und Gegenkontrollen eingeführt, die dazu beitragen, Probleme zu vermeiden, die sich negativ auf ein Unternehmen auswirken und zu finanziellen Verlusten, behördlichen Strafen und irreparablen Schäden für die Marke führen können. Sie hilft auch, Fehler zu minimieren, Betrug zu verhindern und das Ausmaß der Schäden zu begrenzen, die ein Vorfall verursachen kann.

Das könnte Sie auch interessieren: