adskillelse af pligter (SOD) i Revision er ideen om at kræve, at mere end en person udfører visse nøgleopgaver for at forhindre svig og fejl.
adskillelse af pligter er et grundlæggende element i intern kontrol. Det grundlæggende princip bag adskillelse af pligter er, at ingen person eller gruppe af ansatte skal være i stand til at begå og skjule fejl eller svig i deres daglige job.
afhængigt af virksomhedens størrelse og art kan de faktiske jobtitler og organisationsstrukturer variere meget mellem virksomheder.
under begrebet SOD kan opgaver, der er forretningskritiske, kategoriseres i fire typer funktioner:
- autorisation
- forældremyndighed
- registrering
- afstemning
i et perfekt system skal ingen person håndtere mere end en type funktion.
det generelle koncept for SOD er at forhindre en person i at have adgang til aktiver samt ansvar for at opretholde ansvaret for disse aktiver. I det væsentlige fremmer SOD fælles ansvar for en nøgleproces, der spreder kritiske funktioner i denne proces til mere end en person, afdeling eller virksomhed.
adskillelse af pligter er et centralt spørgsmål for organisationer for at sikre overholdelse af love og regler. Betydningen af SOD stammer fra overvejelsen om, at det at give en person fuldstændig kontrol over en forretningsproces eller et aktiv kan udsætte en virksomhed for risiko.
derfor er håndhævelse af SOD et vigtigt kontrolelement til støtte for at opnå en effektiv risikostyringsstrategi.
selvom der ikke er nogen intern kontrolrevisionsstandard eller regnskabsdiktum, der foreskriver specifikke SOD-krav, kræver opretholdelse af et system med effektiv intern kontrol en passende adskillelse af opgaver.
for at interne kontroller skal være effektive, skal der være en passende ansvarsfordeling mellem de personer, der håndterer aktiver, og dem, der udfører kontrolaktiviteter eller regnskabsprocedurer.
generelt skal organisationer designe arbejdet med transaktionsbehandling og relaterede opgaver, så en persons arbejde er uafhængigt af eller fungerer som en kontrol af en andens arbejde.
dette reducerer risikoen for uopdagede fejl og begrænser mulighederne for at misbruge aktiver eller skjule forsætlige fejlinformationer i en virksomheds årsregnskab. SOD handler for at afskrække svig og forhindre en person i at dække over fejl, fordi den ene person skulle sikre en anden persons samarbejde for at skjule disse aktiviteter.
SOD er velkendt i finansielle regnskabssystemer. Organisationer i alle størrelser forstår, at de ikke bør kombinere roller, såsom modtagelse af betalinger på konti og godkendelse af afskrivninger, deponering af kontanter og afstemning af kontoudtog osv.
selvom SOD er ret nyt for de fleste IT-afdelinger, kommer mange interne revisionsproblemer fra IT. Sok, som blev vedtaget i 2002, hjælper med at beskytte investorer mod svigagtig finansiel rapportering fra virksomheder.
i informationssystemer hjælper adskillelse af pligter med at reducere den potentielle skade fra en persons handlinger. Ifølge ISACAS segregering af Toldkontrolmatricen bør virksomheder ikke kombinere nogle opgaver i en position.
matricen er dog ikke en industristandard, men snarere en generel retningslinje, der angiver, hvilke positioner der skal adskilles, og som kræver kompenserende kontroller, når de kombineres. Kompenserende kontroller er interne kontroller, der har til formål at reducere risikoen for en eksisterende eller potentiel kontrolsvaghed.
når en organisation ikke er i stand til at adskille pligter, skal den indføre kompenserende kontroller. Hvis en person kan udføre og skjule fejl og / eller uregelmæssigheder, der udfører sit daglige arbejde, har han fået tildelt opgaver, der ikke er kompatible med SOD. Der er flere interne kontrolmekanismer, der kan hjælpe en virksomhed med at håndhæve adskillelse af pligter:
- revisionsspor gør det muligt for revisorer at genskabe den faktiske transaktionsstrøm fra dens oprindelse til dens eksistens i en opdateret revisionsfil. Et godt revisionsspor skal give oplysninger om, hvem der startede transaktionen, tidspunktet på dagen og datoen for indrejse, typen af indrejse, hvilke informationsfelter den indeholdt, og hvilke filer den opdaterede.
- vejledere skal håndtere undtagelsesrapporter, understøttet af beviser, der tyder på, at undtagelserne håndteres korrekt og rettidigt. Generelt kræves underskrift af den person, der udarbejder rapporten.
- en organisation skal vedligeholde et manuelt eller automatiseret system-eller applikationstransaktionslog, der registrerer alle de behandlede systemkommandoer eller applikationstransaktioner.
- en virksomhed skal ansætte nogen til at foretage en uafhængig gennemgang, som f.eks.
organisationer bør anvende korrekt SOD ved at kræve adskillelse af pligter mellem enkeltpersoner eller grupper af enkeltpersoner. Der er flere forskellige niveauer af adskillelse af pligter:
- SOD af enkeltpersoner (individuelt niveau SOD): dette er det traditionelle og mest basale niveau for adskillelse af pligter. I dette tilfælde opnås SOD ved at få forskellige mennesker til at udføre forskellige opgaver. For eksempel bemyndiger en leder en arbejdstager til at foretage en betaling.
- SOD efter funktioner eller organisatoriske enheder (enhedsniveau SOD): på dette niveau udfører forskellige funktioner, dvs.afdelinger, de adskilte opgaver. For eksempel kan salgsafdelingen klar et tilbud, og risikostyringsfunktionen underskriver det.
- SOD efter virksomheder (virksomhedsniveau SOD): På dette niveau er forskellige juridiske enheder forpligtet til at udføre operationer. For eksempel kan det kontrollerende selskab muligvis godkende investeringer foretaget af et datterselskab. Et andet eksempel på SOD på virksomhedsniveau er en tredjepartsrevision.
da SOD er intern kontrol, skal en organisation se det inden for rammerne af sine risikostyringsaktiviteter. En virksomhed skal grundigt analysere forretningsprocesser og træffe valg om at opdage og løse potentielle konflikter.
hvis der stadig er konflikter, skal organisationen indføre kompenserende kontroller for at styre de tilknyttede risici korrekt. Vigtigst er det, at SOD kræver, at en organisation har en klar forståelse af de involverede personer, deres roller og eventuelle potentielle konflikter.