Einführung einer umfassenden Verwaltung der Aufgabentrennung in einer Organisation
- 7 März 2023
- Kategorie: Nachrichten
Unter Aufgabentrennung (Segregation of Duties – SoD) versteht man, vereinfacht ausgedrückt, die Zuweisung verschiedener Teile einer Aufgabe oder Transaktion an verschiedene Personen, um zu verhindern, dass eine Person die ausschließliche oder übermäßige Kontrolle über einen Prozess erlangt und diese Kontrolle dann für kriminelle oder unerlaubte Zwecke missbraucht, z. B. für Betrug oder Veruntreuung.
Die Identifizierung von Aufgaben und Transaktionen, die eine Trennung erfordern, basiert auf einer Risikoanalyse der Prozesse.
Die Umsetzung und Durchsetzung der Aufgabentrennung (SoD) ist eine wichtige Aufgabe, die es zu erfüllen gilt:
- ein Mittel der internen Kontrolle in der Organisation
- eine Komponente der Risikomanagementstrategie
- Sicherstellung der Einhaltung von Gesetzen und Vorschriften
- Verringerung der Möglichkeit, Fehler oder Betrug zu verbergen
SoD als ein Element der Risikomanagementstrategie ermöglicht auch:
- Verständnis dafür, welche Risiken sich aus der Nutzung einer bestimmten Technologie/eines bestimmten Informationssystems ergeben (Datenprozesse, Anzahl der Nutzer, Standort der Zugangspunkte, Authentifizierungsverfahren).
- Die Einrichtung und Umsetzung von Kontrollen und Verfahren (auch im Bereich der Cybersicherheit) ermöglicht es einem Unternehmen, kritische Prozesse ohne Unterbrechung durchzuführen.
Die Implementierung von SoD bezieht sich auf die Aufteilung von Aufgaben oder Transaktionen in Prozessen in kleinere (Teil-)Aufgaben innerhalb verschiedener Arten von Verantwortlichkeiten, einschließlich Autorisierung, Überwachung, Ausführung und Verifizierung, und deren Zuweisung an verschiedene Personen.
Im Zuge einer ordnungsgemäß durchgeführten SoD-Implementierung sollte man mindestens:
- die Prozesse identifizieren, für die die Aufgabentrennung eingeführt werden soll
- eine Risikoanalyse durchführen und auf dieser Grundlage die Prozesse auswählen und die Aufgaben in Teilverantwortlichkeiten aufteilen
- eine SoD-Matrix erstellen, die zeigt, welche Kombination von Aufgaben aufgrund von Risiken verboten ist
- die Implementierung der Aufgabentrennung in der Organisation durchführen und beginnen Sie mit der Überwachung auf mögliche Konflikte und Verstöße, auch mit Hilfe von Überwachungsinstrumenten, die z.B. in ERP-Systemen zur Verfügung stehen.
- zur Erleichterung der Umsetzung, verwenden wir vorbereitete Listen typischer Prozesse, die von potenziellen Risiken betroffen sind sowie eine bewährte SoD-Matrixstruktur.
Die Vorteile der SoD-Implementierung sind:
- Verhinderung von einseitigen, unkontrollierten Aktivitäten innerhalb der laufenden Geschäftsprozesse
- Aufteilung kritischer Geschäftsaufgaben in Schlüsselprozessen auf verschiedene Funktionen
- Einführung von Kontrollelementen in die Arbeitsabläufe und Schaffung eines Risikobewusstseins in der Organisation
- Effiziente und effektive Verfolgung und Identifizierung von Fehlern, Störungen oder Betrug.
- Effektive Aufteilung der Verantwortlichkeiten zwischen den einzelnen Benutzern
- Erkennen von Risiken, die sich aus dem Zugriff der Benutzer auf eine zu große Anzahl von Funktionen ergeben
Bei der Implementierung von SoD in Organisationen mit IFS Application konfigurieren wir die SoD-Audit-Komponente des Systems. Die Arbeit konzentriert sich u.a. auf:
- die Analyse der Konfiguration der Berechtigungen und der risikobehafteten Zugriffsebenen auf das System
- die Verteilung der Zuständigkeiten auf die einzelnen Benutzer auf der Grundlage von Berechtigungen
- die Konfiguration von SoD-Regeln im Audit-Modul