segregace povinností (SOD) v auditu je myšlenka vyžadovat, aby více než jedna osoba splnila určité klíčové povinnosti, aby se zabránilo podvodům a chybám.
oddělení povinností je základním prvkem vnitřních kontrol. Základní zásadou, která je základem oddělení povinností, je to, že žádná osoba nebo skupina zaměstnanců by neměla být schopna páchat a skrývat chyby nebo podvody ve své každodenní práci.
v závislosti na velikosti a povaze podniku se skutečné pracovní pozice a organizační struktury mohou mezi společnostmi značně lišit.
pod pojmem SOD lze povinnosti, které jsou kritické pro podnikání, rozdělit do čtyř typů funkcí:
- autorizace
- Úschova
- vedení záznamů
- odsouhlasení
v dokonalém systému by nikdo neměl zpracovávat více než jeden typ funkce.
obecným pojmem SOD je zabránit tomu, aby jedna osoba měla přístup k aktivům, jakož i odpovědnost za zachování odpovědnosti těchto aktiv. V podstatě, SOD podporuje sdílené odpovědnosti klíčového procesu, který rozptýlí kritické funkce tohoto procesu na více než jednu osobu, oddělení, nebo společnost.
segregace povinností je pro organizace klíčovou otázkou k zajištění dodržování zákonů a předpisů. Význam SOD pramení z úvahy, že poskytnutí úplné kontroly nad obchodním procesem nebo aktivem jedné osobě může společnost vystavit riziku.
proto je vynucování SOD důležitým kontrolním prvkem na podporu dosažení účinné strategie řízení rizik.
ačkoli neexistuje žádný standard auditu vnitřní kontroly nebo účetní diktát, který předepisuje specifické požadavky na SOD, udržování systému účinných vnitřních kontrol vyžaduje odpovídající oddělení povinností.
aby byly vnitřní kontroly účinné, musí existovat přiměřené rozdělení odpovědnosti mezi jednotlivce, kteří nakládají s aktivy, a osoby, které provádějí kontrolní činnosti nebo účetní postupy.
organizace by obecně měly navrhnout práci zpracování transakcí a související úkoly tak, aby práce jedné osoby byla nezávislá na práci jiné osoby nebo sloužila jako kontrola.
tím se snižuje riziko nezjištěných chyb a omezují se možnosti zneužití aktiv nebo utajení úmyslných nesprávných údajů v účetní závěrce společnosti. SOD jedná, aby odradil podvody a zabránil jednotlivci zakrývat chyby, protože by jedna osoba musela zajistit spolupráci jiného jednotlivce, aby tyto činnosti zakryla.
SOD je dobře známý ve finančních účetních systémech. Organizace všech velikostí chápou, že by neměly kombinovat role, jako je přijímání plateb na účtech a schvalování odpisů, ukládání hotovosti a sladění bankovních výpisů atd.
ačkoli SOD je pro většinu oddělení informačních technologií (IT) poměrně nová, mnoho otázek interního auditu Sarbanes-Oxley (SOX) pochází z IT. SOX, který byl schválen v roce 2002, pomáhá chránit investory před podvodným finančním výkaznictvím společností.
v informačních systémech pomáhá oddělení povinností snížit potenciální škody způsobené jednáním jedné osoby. Podle matice kontroly segregace povinností ISACA by podniky neměly kombinovat některé povinnosti do jedné pozice.
matice však není průmyslovým standardem, ale spíše obecným vodítkem, které udává, které pozice by měly být odděleny a které vyžadují kompenzační kontroly, když jsou kombinovány. Kompenzační kontroly jsou vnitřní kontroly určené ke snížení rizika stávající nebo potenciální slabosti kontroly.
pokud organizace není schopna oddělit povinnosti, měla by zavést kompenzační kontroly. Pokud jedna osoba může provádět a skrývat chyby a / nebo nesrovnalosti při své každodenní práci, byly jí přiděleny povinnosti, které nejsou slučitelné se SOD. Existuje několik mechanismů vnitřní kontroly, které mohou společnosti pomoci prosadit oddělení povinností:
- auditní stopy umožňují auditorům znovu vytvořit skutečný tok transakcí od jeho vzniku do jeho existence v aktualizovaném souboru auditu. Dobrá auditní stopa by měla poskytnout informace o tom, kdo transakci zahájil, denní čas a datum vstupu, typ záznamu, jaká pole informací obsahovala a jaké soubory aktualizovala.
- orgány dohledu by měly zpracovávat zprávy o výjimkách, které jsou podloženy důkazy o tom, že s výjimkami je nakládáno řádně a včas. Obecně je vyžadován podpis osoby, která zprávu připravuje.
- organizace by měla udržovat ruční nebo automatizované protokoly transakcí systému nebo aplikace zaznamenávající všechny zpracované systémové příkazy nebo transakce aplikací.
- podnik by měl zaměstnat někoho, kdo by provedl nezávislý přezkum, který může například pomoci odhalit chyby a nesrovnalosti v účetní závěrce.
organizace by měly uplatňovat řádné SOD tím, že vyžadují segregaci povinností mezi jednotlivci nebo skupinami jednotlivců. Existuje několik různých úrovní segregace povinností:
- SOD jednotlivci (SOD na individuální úrovni): Jedná se o tradiční a nejzákladnější úroveň segregace povinností. V tomto případě je SOD dosaženo tím, že různí lidé plní různé povinnosti. Například manažer opravňuje pracovníka k provedení platby.
- SOD podle funkcí nebo organizačních jednotek (Sod na úrovni jednotek): na této úrovni vykonávají oddělené povinnosti různé funkce, tj. oddělení. Například obchodní oddělení může připravit nabídku a funkce řízení rizik se na ní podepíše.
- SOD podle společností (SOD na úrovni společnosti): Na této úrovni jsou různé právnické osoby povinny provádět operace. Ovládající společnost může například povolit investice provedené dceřinou společností. Dalším příkladem SOD na úrovni společnosti je audit třetí strany.
protože SOD je vnitřní kontrola, měla by ji organizace zobrazit v rámci svých činností v oblasti řízení rizik. Společnost musí důkladně analyzovat obchodní procesy a rozhodovat se o detekci a řešení potenciálních konfliktů.
pokud zůstanou nějaké konflikty, musí organizace zavést kompenzační kontroly, aby odpovídajícím způsobem zvládla související rizika. A co je nejdůležitější, SOD vyžaduje, aby organizace měla jasnou představu o zúčastněných jednotlivcích, jejich role, a případné konflikty.