Funktionstrennung zuverlässig gewährleisten

Unter Segregation of Duty (SoD) versteht man eine Kombination von Berechtigungen und Entscheidungsbefugnissen, die innerhalb einer Organisation verhindern, dass zu große Interessenkollisionen entstehen bzw. einzelne Personen unbeaufsichtigt größeren Schaden anzurichten vermögen. Es ist also ein Prinzip der Arbeitsteilung, das vor allem wirtschaftliche Risiken in jedem Geschäftsprozess minimieren soll.

Man spricht auch von Funktionstrennung oder der Vermeidung eines Auditkonflikts; manchmal wird auch der Begriff “Separation of Duties” verwendet.

Security Camera Promo Right
Questions

Häufige Fragen zu Segregation of Duty

Warum ist Segregation of Duties wichtig?

Ein Funktionstrennungskonflikt kann zum Beispiel entstehen, wenn ein Benutzer in einem SAP-System zu viele Rechte hat – das kommt häufig vor, kann dem Unternehmen aber größere Kosten verursachen.

Ein Beispiel wäre ein Mitarbeiter im Accounting, der sowohl Kunden- und Lieferantendaten verwalten kann als auch die Erstellung und Auszahlung von Rechnungen betreuen kann. Theoretisch hätte dieser Mitarbeiter die Möglichkeit, einen fiktiven Lieferanten anzulegen und ihm Geld für von ihm selbst erstellte Rechnungen anzuweisen.

Um das Risiko dafür zu minimieren, dass dieses Verhalten überhaupt möglich ist, und um schon den Verdacht gar nicht erst aufkommen zu lassen, werden die Aufgaben und Pflichten (Duties), die hier beschrieben sind, auf mehrere Personen verteilt (Segregation). Das Management der Berechtigungen sollte dabei immer so organisiert sein, dass Compliance-Richtlinien eingehalten werden.

Segregation of Duties spielt auch eine Rolle, um zum Beispiel Lagerhaltung, Bestellung und Kontrolle über den Unternehmensbestand (Inventory) von Materialien oder Produkten voneinander zu trennen – auch hier, um Fehler und Missbrauch von zugewiesenen Berechtigungen zu vermeiden.

Systeme wie SAP sichern Kontrolle

In Systemen wie SAP besteht die Möglichkeit, gezielt Berechtigungen zu vergeben (und zu beschränken) und so Funktionstrennungskonflikte weitgehend zu minimieren.

Ein zentrales Prinzip für SoD ist dabei die Rollenbasierte Zugriffskontrolle (Role-Based Access Control oder RBAC), mit der Interessenkonflikte und betrügerisches Vorgehen, vor allem aber auch schlicht Fehler verhindert werden sollen. Ihr Kernprinzip besteht darin, dass bestimmte Änderungen und Maßnahmen die Zustimmung von mehr als einem Benutzer benötigen.

Innerhalb eines IT-Systems lässt sich ein solches Berechtigungsmodell etwa durch ein zentral gepflegtes Identity & Access Management (IAM) umsetzen, pflegen und überwachen.

Laptop Promo Right

Ein Audit prüft mögliche Konflikte

In den meisten IT-Systemen sind automatisierte Audits möglich, durch die sich automatisiert erkennen lässt, ob die vergebenen Berechtigungen möglicherweise SoD-Konflikte auslösen. Wenn ein Konflikt erkannt wurde, wird dann in der Regel ein Vorschlag dazu entwickelt, den Konflikt zu beheben.

In der Regel wird der Konflikt gelöst, indem einzelnen Nutzern bestimmte Rechte entzogen werden. Allerdings ist nicht jeder Konflikt für alle Prozesse immer vermeidbar – zum Beispiel lassen sich in sehr kleinen Teams Rollen und damit Aufgaben nur in einem gewissen Maße wirklich aufteilen. Dies wird dann im Sinne der Compliance begründet und protokolliert – und Entscheidungen, die trotz eines bekannten Konflikts getroffen werden, müssen ggf. bei einem Audit gesondert geprüft werden.

Team Work Promo Left

Wenn Sie SAP nutzen, besteht die Möglichkeit, die GRC-Lösungen von SAP direkt zu nutzen; GRC steht für “GRC – Governance, Risk & Compliance”. Diese bieten automatische und kontinuierliche Kontrollüberwachung in Echtzeit. Allerdings ist die Einführung sehr aufwändig, komplex und kostenintensiv.

Eine Frage der Compliance

Für die Kontrollen durch Wirtschaftsprüfer, interne und externe Revisionen sind Compliance-Verstöße stets ein wichtiges Thema – und können dann schnell zum Problem werden. Deshalb ist es wichtig, mit geeigneter Software proaktiv durch sinnvolle Aufgabentrennung in Ihrem System sicherzustellen, dass die Einhaltung der bestehenden Compliance-Richtlinien und weiterer Vorschriften garantiert ist.

Atmosphere Shipping
SoD-Matrix

A segregation-of-duties matrix gives you an overview of potential compliance conflicts

Mehr erfahren über SoD-Matrix Generic Page