La segregazione dei doveri (SOD) nell’auditing è l’idea di richiedere a più di una persona di completare determinati compiti chiave per prevenire frodi ed errori.
La separazione dei compiti è un elemento fondamentale dei controlli interni. Il principio di base alla base della segregazione delle funzioni è che nessuna persona o gruppo di dipendenti dovrebbe essere in grado di commettere e nascondere errori o frodi nel loro lavoro quotidiano.
A seconda delle dimensioni e della natura di un’azienda, i titoli di lavoro effettivi e le strutture organizzative possono variare notevolmente tra le aziende.
Sotto il concetto di SOD, funzioni che sono business-critical, che possono essere classificati in quattro tipi di funzioni:
- Autorizzazione
- Custodia
- mantenere Record
- Riconciliazione
In un sistema perfetto, non una persona dovrebbe gestire più di un tipo di funzione.
Il concetto generale di SOD è quello di impedire a una persona di avere accesso ai beni, nonché la responsabilità di mantenere la responsabilità di tali beni. Essenzialmente, SOD promuove responsabilità condivise di un processo chiave che disperde le funzioni critiche di quel processo a più di una persona, dipartimento o azienda.
La segregazione dei doveri è una questione chiave per le organizzazioni per garantire il rispetto delle leggi e dei regolamenti. L’importanza di SOD deriva dalla considerazione che dare a una persona il controllo completo di un processo aziendale o di un asset può esporre un’azienda al rischio.
Pertanto, l’applicazione della SOD è un importante elemento di controllo a sostegno del raggiungimento di un’efficace strategia di gestione del rischio.
Sebbene non esista uno standard di controllo interno o un dettame contabile che prescriva requisiti specifici di SOD, il mantenimento di un sistema di controlli interni efficaci richiede l’appropriata segregazione dei compiti.
Affinché i controlli interni siano efficaci, deve esserci un’adeguata divisione delle responsabilità tra le persone che gestiscono i beni e coloro che svolgono attività di controllo o procedure contabili.
In generale, le organizzazioni dovrebbero progettare il lavoro di elaborazione delle transazioni e le attività correlate in modo che il lavoro di una persona sia indipendente o funga da controllo sul lavoro di un’altra.
In questo modo si riducono i rischi di errori non rilevati e si limitano le opportunità di appropriazione indebita di beni o di nascondere errori intenzionali nei rendiconti finanziari di una società. SOD agisce per scoraggiare le frodi e impedire a un individuo di coprire gli errori perché una persona dovrebbe garantire la cooperazione di un altro individuo per nascondere tali attività.
SOD è ben noto nei sistemi di contabilità finanziaria. Le organizzazioni di tutte le dimensioni capiscono che non dovrebbero combinare ruoli, come ricevere pagamenti sui conti e approvare cancellazioni, depositare contanti e riconciliare estratti conto bancari, ecc.
Sebbene SOD sia abbastanza nuovo per la maggior parte dei dipartimenti di Information Technology (IT), molti problemi di audit interno di Sarbanes-Oxley (SOX) provengono da ESSO. SOX, che è stato approvato nel 2002, aiuta a proteggere gli investitori dalla segnalazione finanziaria fraudolenta da parte delle società.
Nei sistemi informativi, la segregazione dei doveri aiuta a ridurre il potenziale danno derivante dalle azioni di una persona. Secondo la matrice di controllo della segregazione dei doveri di ISACA, le imprese non dovrebbero combinare alcune funzioni in un’unica posizione.
Tuttavia, la matrice non è uno standard industriale, ma piuttosto una linea guida generale che indica quali posizioni devono essere separate e che richiedono controlli compensativi quando vengono combinati. I controlli compensativi sono controlli interni volti a ridurre il rischio di una debolezza di controllo esistente o potenziale.
Quando un’organizzazione non è in grado di separare i compiti, dovrebbe mettere in atto controlli compensativi. Se una persona può eseguire e nascondere errori e / o irregolarità facendo il suo lavoro quotidiano, gli sono stati assegnati compiti che non sono compatibili con SOD. Esistono diversi meccanismi di controllo interno che possono aiutare un’azienda a far rispettare la segregazione dei doveri:
- Gli audit trail consentono agli auditor di ricreare il flusso effettivo della transazione dalla sua origine alla sua esistenza su un file di audit aggiornato. Una buona pista di controllo dovrebbe fornire informazioni su chi ha avviato l’operazione, l’ora del giorno e la data di entrata, il tipo di entrata, quali campi di informazioni conteneva e quali file ha aggiornato.
- Le autorità di vigilanza dovrebbero gestire i rapporti sulle eccezioni, supportati da prove che indicano che le eccezioni sono gestite correttamente e in modo tempestivo. Generalmente, è richiesta la firma della persona che prepara il rapporto.
- Un’organizzazione deve mantenere un sistema manuale o automatizzato o registri delle transazioni dell’applicazione che registrano tutti i comandi di sistema elaborati o le transazioni dell’applicazione.
- Un’impresa dovrebbe impiegare qualcuno per condurre una revisione indipendente, che può aiutare a rilevare errori e irregolarità nei rendiconti finanziari, ad esempio.
Le organizzazioni dovrebbero applicare una corretta SOD richiedendo la segregazione dei doveri tra individui o gruppi di individui. Ci sono diversi livelli di segregazione dei doveri:
- SOD da parte di individui (SOD a livello individuale): Questo è il livello tradizionale e più elementare di segregazione dei doveri. In questo caso, SOD si ottiene facendo svolgere a persone diverse compiti diversi. Ad esempio, un manager autorizza un lavoratore a effettuare un pagamento.
- ZOLLE per funzioni o unità organizzative (ZOLLE a livello di unità): A questo livello, diverse funzioni, cioè dipartimenti, svolgono le funzioni segregate. Ad esempio, il reparto vendite potrebbe preparare un’offerta e la funzione di gestione del rischio firma su di essa.
- SOD per società (SOD a livello aziendale): A questo livello, diverse persone giuridiche sono tenute a eseguire operazioni. Ad esempio, la società controllante potrebbe dover autorizzare gli investimenti effettuati da una controllata. Un altro esempio di SOD a livello aziendale è un audit di terze parti.
Poiché SOD è controllo interno, un’organizzazione dovrebbe vederlo all’interno del quadro delle sue attività di gestione del rischio. Un’azienda deve analizzare a fondo i processi aziendali e fare delle scelte per individuare e risolvere potenziali conflitti.
Se rimangono conflitti, l’organizzazione deve mettere in atto controlli di compensazione per gestire i rischi associati in modo appropriato. Soprattutto, SOD richiede che un’organizzazione abbia una chiara comprensione degli individui coinvolti, dei loro ruoli e di eventuali conflitti potenziali.