tehtävien eriyttäminen tilintarkastuksessa on ajatus siitä, että useampaa kuin yhtä henkilöä vaaditaan suorittamaan tietyt keskeiset tehtävät petosten ja virheiden estämiseksi.
tehtävien eriyttäminen on olennainen osa sisäistä valvontaa. Tehtävien eriyttämisen perusperiaatteena on, että kukaan henkilö tai työntekijäryhmä ei saa syyllistyä ja peitellä virheitä tai petoksia päivittäisessä työssään.
yrityksen koosta ja luonteesta riippuen varsinaiset tehtävänimikkeet ja organisaatiorakenteet voivat vaihdella suuresti yritysten välillä.
SOD-käsitteellä liiketoimintakriittiset tehtävät voidaan luokitella neljäntyyppisiin funktioihin:
- valtuutus
- säilytys
- Tietojen kirjaaminen
- täsmäytys
täydellisessä järjestelmässä yhden henkilön ei tulisi hoitaa useampaa kuin yhtä toimintoa.
SOD: n yleisenä käsitteenä on estää yksi henkilö pääsemästä käsiksi varoihin sekä vastuu niiden tilivelvollisuuden ylläpitämisestä. Pohjimmiltaan, SOD edistää jaettu vastuu keskeinen prosessi, joka hajottaa kriittiset toiminnot kyseisen prosessin useammalle kuin yhdelle henkilölle, osasto, tai yritys.
tehtävien eriyttäminen on organisaatioille keskeinen kysymys lakien ja määräysten noudattamisen varmistamiseksi. SOD merkitys johtuu siitä, että antaa yksi henkilö täydellisen määräysvallan liiketoimintaprosessin tai omaisuuserä voi altistaa yrityksen riskille.
siksi SOD: n täytäntöönpano on tärkeä valvontatekijä tehokkaan riskienhallintastrategian saavuttamisen kannalta.
vaikka ei ole olemassa sisäisen valvonnan auditointistandardia tai kirjanpitosääntöä, jossa määrättäisiin erityisistä SOD-vaatimuksista, tehokkaan sisäisen valvonnan järjestelmän ylläpitäminen edellyttää tehtävien asianmukaista erottelua.
jotta sisäinen valvonta olisi tehokasta, vastuualueet on jaettava asianmukaisesti varoja käsittelevien henkilöiden ja valvontatoimia tai kirjanpitomenettelyjä suorittavien kesken.
yleisesti ottaen organisaatioiden tulisi suunnitella tapahtumankäsittelytyö ja siihen liittyvät tehtävät niin, että yhden henkilön työ on riippumatonta toisen työstä tai toimii tarkistuksena toisen työstä.
näin voidaan vähentää havaitsemattomien virheiden riskiä ja rajoittaa mahdollisuuksia kavallukseen tai tahallisten väärintulkintojen peittämiseen yrityksen tilinpäätöksessä. SOD toimii estääkseen petoksia ja estää yksilöä peittelemästä virheitä, koska että yksi henkilö olisi varmistettava toisen yksilön yhteistyötä salata nämä toimet.
SOD on tunnettu tilinpäätösjärjestelmissä. Kaikenkokoiset organisaatiot ymmärtävät, että niiden ei pitäisi yhdistää rooleja, kuten tilien maksujen vastaanottamista ja alaskirjausten hyväksymistä, käteisen tallettamista ja tiliotteiden yhteensovittamista jne.
vaikka SOD on melko uusi useimmissa informaatioteknologian (IT) osastoissa, monet Sarbanes-Oxley (SOX) sisäisen tarkastuksen kysymykset tulevat siitä. Vuonna 2002 hyväksytty SOX auttaa suojaamaan sijoittajia yritysten vilpilliseltä taloudelliselta raportoinnilta.
tietojärjestelmissä tehtävien eriyttäminen auttaa vähentämään yhden henkilön toiminnasta mahdollisesti aiheutuvaa haittaa. Mukaan ISACA: n segregation of Duties Control Matrix, yritysten ei pitäisi yhdistää joitakin tehtäviä yhteen tehtävään.
matriisi ei kuitenkaan ole alan standardi, vaan yleisohje, joka kertoo, mitkä positiot on erotettava ja mitkä vaativat kompensoivia kontrolleja yhdistettäessä. Korvaavat tarkastukset ovat sisäisiä tarkastuksia, joiden tarkoituksena on vähentää olemassa olevan tai mahdollisen valvonnan heikkouden riskiä.
kun organisaatio ei pysty eriyttämään tehtäviä, sen pitäisi ottaa käyttöön korvaavat tarkastukset. Jos yksi henkilö voi suorittaa ja salata virheitä ja/tai sääntöjenvastaisuuksia päivittäisessä työssään, hänelle on määrätty tehtäviä, jotka eivät ole yhteensopivia SOD: n kanssa. On olemassa useita sisäisiä valvontamekanismeja, jotka voivat auttaa yritystä valvomaan tehtävien eriyttämistä:
- kirjausketjut mahdollistavat sen, että tilintarkastajat voivat luoda todellisen tapahtumavirran sen alkuperästä sen olemassaoloon päivitetyssä tilintarkastusaineistossa. Hyvän kirjausketjun avulla olisi saatava tietoa siitä, kuka on aloittanut liiketoimen, kellonaika ja saapumispäivä, kirjaustyyppi, mitä tietoja se sisältää ja mitä tiedostoja se on päivittänyt.
- valvojien olisi käsiteltävä poikkeusilmoitukset, joiden tueksi on esitetty todisteet siitä, että poikkeukset käsitellään asianmukaisesti ja oikea-aikaisesti. Yleensä tarvitaan raportin laatijan allekirjoitus.
- organisaation tulee ylläpitää manuaalista tai automaattista järjestelmän tai sovelluksen tapahtumalokia, joka tallentaa kaikki käsitellyt järjestelmän komennot tai sovellustapahtumat.
- yrityksen olisi palkattava joku tekemään riippumaton selvitys, jonka avulla voidaan havaita esimerkiksi tilinpäätöksissä olevat virheet ja sääntöjenvastaisuudet.
organisaatioiden tulisi soveltaa asianmukaista SOD: tä vaatimalla tehtävien eriyttämistä yksilöiden tai yksilöryhmien välillä. Tehtävien eriytymisessä on useita eri tasoja:
- SOD by individual-level SOD: This is the traditional and most basic level of distribution of duties. Tässä tapauksessa SOD saavutetaan laittamalla eri ihmiset suorittamaan erilaisia tehtäviä. Esimies esimerkiksi valtuuttaa työntekijän suorittamaan maksun.
- FUNKTIOITTAIN tai organisaatioyksiköittäin (yksikkötason SOD): tällä tasolla eri funktiot eli osastot hoitavat eriytettyjä tehtäviä. Esimerkiksi myyntiosasto saattaa valmistella osakeannin ja riskienhallintatoiminto allekirjoittaa sen.
- yritykset (yhtiötason SOD): Tällä tasolla eri oikeushenkilöitä vaaditaan suorittamaan toimintoja. Määräysvaltayhtiö voi joutua esimerkiksi hyväksymään tytäryhtiön tekemät investoinnit. Toinen esimerkki yritys-tason SOD on kolmannen osapuolen tilintarkastus.
koska SOD on sisäinen valvonta, organisaation tulisi tarkastella sitä riskienhallintatoimintojensa puitteissa. Yrityksen on perusteellisesti analysoitava liiketoimintaprosesseja ja tehtävä valintoja mahdollisten ristiriitojen havaitsemisesta ja ratkaisemisesta.
jos konflikteja on jäljellä, organisaation on otettava käyttöön kompensoiva valvonta niihin liittyvien riskien hallitsemiseksi asianmukaisesti. Mikä tärkeintä, SOD edellyttää, että organisaatio on selkeä käsitys yksilöiden mukana, heidän roolinsa, ja mahdolliset konfliktit.