segregering av plikter (SOD) i auditering er ideen om å kreve mer enn en person til å fullføre visse viktige plikter for å forhindre svindel og feil.
arbeidsdeling er et grunnleggende element i internkontroll. Det grunnleggende prinsippet bak segregering av plikter er at ingen person eller gruppe av ansatte skal være i stand til å begå og skjule feil eller svindel i sine daglige jobber.
avhengig av størrelsen og arten av en bedrift, kan de faktiske stillingstitlene og organisasjonsstrukturene variere sterkt blant selskapene.
under BEGREPET SOD kan oppgaver som er forretningskritiske kategoriseres i fire typer funksjoner:
- Autorisasjon
- Forvaring
- Journalføring
- Avstemming
i et perfekt system bør ingen person håndtere mer enn en type funksjon.
DET generelle konseptet MED SOD er å hindre at en person har tilgang til eiendeler, samt ansvar for å opprettholde ansvaret for disse eiendelene. I hovedsak fremmer SOD felles ansvar for en nøkkelprosess som sprer kritiske funksjoner i denne prosessen til mer enn en person, avdeling eller selskap.
Segregering av plikter er et sentralt tema for organisasjoner for å sikre overholdelse av lover og forskrifter. BETYDNINGEN av SOD stammer fra hensynet til at det å gi en person full kontroll over en forretningsprosess eller en eiendel kan utsette et selskap for risiko.
derfor er håndheving AV SOD et viktig kontrollelement for å oppnå en effektiv risikostyringsstrategi.
Selv om det ikke er noen internkontrollrevisjonsstandard eller regnskapsdiktum som foreskriver spesifikke SOD-krav, krever det å opprettholde et system med effektive interne kontroller riktig segregering av plikter.
for at internkontroll skal være effektiv, må det være en tilstrekkelig ansvarsfordeling mellom de som håndterer eiendeler og de som utfører kontrollaktiviteter eller regnskapsprosedyrer.
generelt bør organisasjoner utforme arbeidet med transaksjonsbehandling og relaterte oppgaver slik at arbeidet til en person er uavhengig av, eller fungerer som en sjekk på, arbeidet til en annen.
dette reduserer risikoen for uoppdagede feil og begrenser mulighetene for å underslå eiendeler eller skjule forsettlig feilinformasjon i et selskaps regnskap. SOD virker for å avskrekke svindel og stoppe en person fra å dekke opp feil fordi den ene personen må sikre en annen persons samarbeid for å skjule disse aktivitetene.
SOD er godt kjent i finansielle regnskapssystemer. Organisasjoner av alle størrelser forstår at de ikke bør kombinere roller, for eksempel å motta betalinger på kontoer og godkjenne avskrivninger, sette inn penger og forene kontoutskrifter, etc.
SELV OM SOD er ganske nytt for DE FLESTE it-avdelinger, kommer mange sarbanes-Oxley (SOX) internrevisjonsproblemer fra IT. SOX, som ble vedtatt i 2002, bidrar til å beskytte investorer mot bedragerisk finansiell rapportering av selskaper.
i informasjonssystemer bidrar segregering av plikter til å redusere potensiell skade fra en persons handlinger. IFØLGE ISACA Segregering Av Plikter Kontroll Matrise, bedrifter bør ikke kombinere noen plikter i en posisjon.
matrisen er imidlertid ikke en industristandard, men en generell retningslinje som angir hvilke posisjoner som skal skilles og som krever kompenserende kontroller når de kombineres. Kompenserende kontroller er interne kontroller som skal redusere risikoen for en eksisterende eller potensiell kontrollsvakhet.
når en organisasjon ikke er i stand til å skille oppgaver, bør den sette kompenserende kontroller på plass. Hvis en person kan utføre og skjule feil og / eller uregelmessigheter som gjør sitt daglige arbeid, har han blitt tildelt oppgaver som ikke er kompatible med SOD. Det er flere interne kontrollmekanismer som kan hjelpe et selskap håndheve segregering av plikter:
- Revisjonsspor gjør det mulig for revisorer å gjenskape den faktiske transaksjonsflyten fra opprinnelsen til eksistensen på en oppdatert revisjonsfil. Et godt revisjonsspor skal gi informasjon om hvem som startet transaksjonen, tidspunktet på dagen og datoen for oppføringen, typen oppføring, hvilke informasjonsfelt den inneholdt, og hvilke filer den oppdaterte.
- Veiledere bør håndtere unntaksrapporter, støttet av bevis som indikerer at unntakene håndteres riktig og i tide. Vanligvis er signaturen til personen som forbereder rapporten nødvendig.
- en organisasjon bør opprettholde en manuell eller automatisert system-eller programtransaksjonslogger som registrerer alle behandlede systemkommandoer eller programtransaksjoner.
- et foretak bør ansette noen til å gjennomføre en uavhengig gjennomgang, som kan bidra til å oppdage feil og uregelmessigheter i regnskapet, for eksempel.
Organisasjoner bør søke riktig SOD ved å kreve segregering av plikter mellom enkeltpersoner eller grupper av enkeltpersoner. Det er flere forskjellige nivåer av segregering av plikter:
- SOD av enkeltpersoner (individnivå SOD): dette er det tradisjonelle og mest grunnleggende nivået av segregering av plikter. I dette tilfellet oppnås SOD ved at forskjellige mennesker utfører forskjellige oppgaver. For eksempel tillater en leder en arbeider å foreta en betaling.
- SOD etter funksjoner eller organisatoriske enheter( enhetsnivå SOD): på dette nivået utfører forskjellige funksjoner, dvs. avdelinger, de segregerte oppgavene. Salgsavdelingen kan for eksempel forberede et tilbud, og risikostyringsfunksjonen signerer på det.
- SOD av selskaper (selskapsnivå SOD): På dette nivået er ulike juridiske personer pålagt å utføre operasjoner. For eksempel kan det kontrollerende selskapet måtte godkjenne investeringer gjort av et datterselskap. Et annet eksempel på SOD på BEDRIFTSNIVÅ er en tredjepartsrevisjon.
FORDI SOD er intern kontroll, bør en organisasjon se det innenfor rammen av sine risikostyringsaktiviteter. Et selskap må grundig analysere forretningsprosesser og ta valg om å oppdage og løse potensielle konflikter.
hvis noen konflikter vedvarer, må organisasjonen sette kompenserende kontroller på plass for å håndtere de tilknyttede risikoene på riktig måte. VIKTIGST, SOD krever at en organisasjon har en klar forståelse av de involverte personene, deres roller og eventuelle konflikter.