Was ist Aufgabentrennung in der Wirtschaftsprüfung

Bild

Aufgabentrennung (SOD) In der Wirtschaftsprüfung ist die Idee, dass mehr als eine Person bestimmte Schlüsselaufgaben erfüllen muss, um Betrug und Fehler zu verhindern.

Die Aufgabentrennung ist ein grundlegendes Element der internen Kontrollen. Das Grundprinzip der Aufgabentrennung besteht darin, dass keine Person oder Gruppe von Mitarbeitern in der Lage sein sollte, Fehler oder Betrug in ihrer täglichen Arbeit zu begehen und zu verbergen.

Je nach Größe und Art eines Unternehmens können die tatsächlichen Berufsbezeichnungen und Organisationsstrukturen zwischen den Unternehmen stark variieren.

Unter dem Konzept der SOD können geschäftskritische Aufgaben in vier Arten von Funktionen eingeteilt werden:

  1. Authorization
  2. Custody
  3. Record keeping
  4. Reconciliation

In einem perfekten System sollte keine Person mehr als eine Art von Funktion behandeln.

Das allgemeine Konzept von SOD besteht darin, zu verhindern, dass eine Person Zugang zu Vermögenswerten hat, sowie die Verantwortung für die Aufrechterhaltung der Rechenschaftspflicht dieser Vermögenswerte. Im Wesentlichen fördert SOD geteilte Verantwortlichkeiten eines Schlüsselprozesses, der kritische Funktionen dieses Prozesses auf mehr als eine Person, Abteilung oder Firma verteilt.

Die Aufgabentrennung ist ein zentrales Thema für Organisationen, um die Einhaltung von Gesetzen und Vorschriften sicherzustellen. Die Bedeutung von SOD ergibt sich aus der Überlegung, dass die vollständige Kontrolle eines Geschäftsprozesses oder eines Vermögenswerts durch eine Person ein Unternehmen einem Risiko aussetzen kann.

Daher ist die Durchsetzung von SOD ein wichtiges Kontrollelement zur Unterstützung einer effektiven Risikomanagementstrategie.

Obwohl es keinen Standard für die interne Kontrolle oder ein Rechnungslegungsdiktum gibt, das spezifische SOD-Anforderungen vorschreibt, erfordert die Aufrechterhaltung eines Systems wirksamer interner Kontrollen eine angemessene Aufgabentrennung.

Damit interne Kontrollen wirksam sind, muss es eine angemessene Aufteilung der Verantwortlichkeiten zwischen den Personen geben, die mit Vermögenswerten umgehen, und denen, die Kontrollaktivitäten oder Rechnungslegungsverfahren durchführen.

Im Allgemeinen sollten Organisationen die Arbeit der Transaktionsverarbeitung und der damit verbundenen Aufgaben so gestalten, dass die Arbeit einer Person unabhängig von der Arbeit einer anderen Person ist oder als Kontrolle dient.

Dies reduziert das Risiko unentdeckter Fehler und begrenzt die Möglichkeiten, Vermögenswerte missbräuchlich zu verwenden oder vorsätzliche falsche Angaben im Jahresabschluss eines Unternehmens zu verbergen. SOD wirkt, um Betrug abzuschrecken und eine Person daran zu hindern, Fehler zu vertuschen, weil diese eine Person die Zusammenarbeit einer anderen Person sicherstellen müsste, um diese Aktivitäten zu verbergen.

SOD ist in Finanzbuchhaltungssystemen bekannt. Organisationen aller Größen verstehen, dass sie Rollen nicht kombinieren sollten, z. B. Zahlungen auf Konten empfangen und Abschreibungen genehmigen, Bargeld einzahlen und Kontoauszüge abgleichen usw.

Obwohl SOD für die meisten IT-Abteilungen relativ neu ist, stammen viele interne Audit-Probleme von Sarbanes-Oxley (SOX) aus der IT. Die 2002 verabschiedete SOX schützt Anleger vor betrügerischen Finanzberichten von Unternehmen.

In Informationssystemen trägt die Aufgabentrennung dazu bei, den potenziellen Schaden durch die Handlungen einer Person zu verringern. Gemäß der ISACA-Kontrollmatrix zur Aufgabentrennung sollten Unternehmen einige Aufgaben nicht in einer Position zusammenfassen.

Die Matrix ist jedoch kein Industriestandard, sondern eine allgemeine Richtlinie, die angibt, welche Positionen getrennt werden sollten und welche Kompensationssteuerungen erfordern, wenn sie kombiniert werden. Kompensationskontrollen sind interne Kontrollen, die das Risiko einer bestehenden oder potenziellen Kontrollschwäche verringern sollen.

Wenn eine Organisation nicht in der Lage ist, Aufgaben zu trennen, sollte sie Kompensationskontrollen einführen. Wenn eine Person Fehler und / oder Unregelmäßigkeiten in ihrer täglichen Arbeit ausführen und verbergen kann, wurden ihr Aufgaben zugewiesen, die nicht mit SOD vereinbar sind. Es gibt mehrere interne Kontrollmechanismen, die einem Unternehmen helfen können, die Aufgabentrennung durchzusetzen:

  • Audit-Trails ermöglichen es Auditoren, den tatsächlichen Transaktionsfluss von seinem Ursprung bis zu seiner Existenz in einer aktualisierten Audit-Datei nachzubilden. Ein guter Prüfpfad sollte Informationen darüber enthalten, wer die Transaktion initiiert hat, die Uhrzeit und das Datum der Eingabe, die Art der Eingabe, welche Informationsfelder darin enthalten sind und welche Dateien aktualisiert wurden.
  • Aufsichtsbehörden sollten Ausnahmeberichte behandeln, die durch Nachweise dafür gestützt werden, dass die Ausnahmen ordnungsgemäß und rechtzeitig behandelt werden. Im Allgemeinen ist die Unterschrift der Person erforderlich, die den Bericht erstellt.
  • Eine Organisation sollte ein manuelles oder automatisiertes System- oder Anwendungstransaktionsprotokoll führen, in dem alle verarbeiteten Systembefehle oder Anwendungstransaktionen aufgezeichnet werden.
  • Ein Unternehmen sollte jemanden beschäftigen, der eine unabhängige Prüfung durchführt, um beispielsweise Fehler und Unregelmäßigkeiten in Abschlüssen zu erkennen.

Organisationen sollten eine ordnungsgemäße SOD anwenden, indem sie eine Aufgabentrennung zwischen Einzelpersonen oder Gruppen von Einzelpersonen verlangen. Es gibt verschiedene Ebenen der Aufgabentrennung:

  • SOD von Einzelpersonen (Individual-Level-SOD): Dies ist die traditionelle und grundlegendste Ebene der Aufgabentrennung. In diesem Fall wird SOD erreicht, indem verschiedene Personen unterschiedliche Aufgaben erfüllen. Zum Beispiel autorisiert ein Manager einen Arbeiter, eine Zahlung zu leisten.
  • SOD nach Funktionen oder Organisationseinheiten (Unit-level SOD): Auf dieser Ebene führen verschiedene Funktionen, d. h. Abteilungen, die getrennten Aufgaben aus. Beispielsweise kann die Verkaufsabteilung ein Angebot erstellen und die Risikomanagementfunktion meldet es ab.
  • SOD nach Unternehmen (SOD auf Unternehmensebene): Auf dieser Ebene müssen verschiedene juristische Personen Operationen durchführen. Beispielsweise muss das kontrollierende Unternehmen möglicherweise Investitionen einer Tochtergesellschaft genehmigen. Ein weiteres Beispiel für SOD auf Unternehmensebene ist ein Third-Party-Audit.

Da es sich bei SOD um eine interne Kontrolle handelt, sollte eine Organisation diese im Rahmen ihrer Risikomanagementaktivitäten betrachten. Ein Unternehmen muss Geschäftsprozesse gründlich analysieren und Entscheidungen zur Erkennung und Lösung potenzieller Konflikte treffen.

Wenn Konflikte bestehen bleiben, muss die Organisation Kompensationskontrollen einführen, um die damit verbundenen Risiken angemessen zu steuern. Am wichtigsten ist, dass SOD erfordert, dass eine Organisation ein klares Verständnis der beteiligten Personen, ihrer Rollen und möglicher Konflikte hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.