scheiding van taken (SOD) in auditing is het idee om meer dan één persoon te verplichten bepaalde belangrijke taken te vervullen om fraude en fouten te voorkomen.
de scheiding van taken is een fundamenteel element van de interne controles. Het basisbeginsel dat ten grondslag ligt aan de scheiding van taken is dat geen enkele persoon of groep werknemers in staat mag zijn fouten of fraude in hun dagelijkse werk te begaan en te verbergen.
afhankelijk van de omvang en de aard van een bedrijf kunnen de feitelijke functietitels en organisatiestructuren sterk van bedrijf tot bedrijf verschillen.
Onder het begrip SOD kunnen taken die bedrijfskritisch zijn, worden onderverdeeld in vier soorten functies:
- autorisatie
- bewaring
- registratie
- aansluiting
In een perfect systeem mag niemand meer dan één type functie hanteren.
het algemene concept van SOD is om te voorkomen dat één persoon toegang heeft tot activa en dat hij verantwoordelijk is voor het handhaven van de verantwoordingsplicht van die activa. In wezen, SOD bevordert gedeelde verantwoordelijkheden van een belangrijk proces dat kritische functies van dat proces verspreidt naar meer dan één persoon, afdeling, of bedrijf.
scheiding van taken is een belangrijke kwestie voor organisaties om de naleving van wet-en regelgeving te waarborgen. Het belang van SOD komt voort uit de overweging dat het geven van een persoon volledige controle over een bedrijfsproces of een actief een bedrijf aan risico kan blootstellen.
daarom is het afdwingen van de SOD een belangrijk controle-element ter ondersteuning van het bereiken van een effectieve strategie voor risicobeheer.
hoewel er geen internecontrolenorm of boekhoudkundig dictum bestaat die specifieke SOD-vereisten voorschrijft, vereist het handhaven van een systeem van effectieve interne controles de juiste scheiding van taken.
wil de interne controle doeltreffend zijn, dan moet er een adequate verdeling van de verantwoordelijkheden zijn tussen de personen die met activa omgaan en degenen die controleactiviteiten of boekhoudprocedures uitvoeren.
in het algemeen dienen organisaties het werk van de transactieverwerking en aanverwante taken zo te ontwerpen dat het werk van de ene persoon onafhankelijk is van, of dient als controle op, het werk van een ander.
hierdoor wordt het risico op onopgemerkte fouten beperkt en worden de mogelijkheden beperkt om activa te verduisteren of opzettelijke onjuistheden in de jaarrekening van een onderneming te verbergen. SOD handelt om fraude af te schrikken en te voorkomen dat een individu fouten verdoezelt, omdat die ene persoon de medewerking van een ander individu zou moeten verzekeren om die activiteiten te verbergen.
SOD is bekend in financiële boekhoudsystemen. Organisaties van alle groottes begrijpen dat ze rollen niet moeten combineren, zoals het ontvangen van betalingen op rekeningen en het goedkeuren van afschrijvingen, het storten van contant geld en het verzoenen van bankafschriften, enz.
hoewel SOD vrij nieuw is voor de meeste IT-afdelingen, komen er veel interne auditkwesties van Sarbanes-Oxley (SOX) uit voort. SOX, dat werd goedgekeurd in 2002, helpt beleggers te beschermen tegen frauduleuze financiële rapportage door bedrijven.
in informatiesystemen helpt scheiding van taken de potentiële schade als gevolg van handelingen van één persoon te verminderen. Volgens ISACA ‘ s Segregation of Duties Control Matrix mogen ondernemingen bepaalde taken niet in één positie combineren.
de matrix is echter geen industriestandaard, maar een algemene richtlijn die aangeeft welke posities gescheiden moeten worden en welke compenserende controles vereisen wanneer deze gecombineerd worden. Compenserende controles zijn interne controles die bedoeld zijn om het risico van een bestaande of potentiële tekortkoming in de controle te verminderen.
wanneer een organisatie niet in staat is taken te scheiden, moet zij compenserende controles instellen. Als één persoon fouten en/of onregelmatigheden in zijn dagelijkse werk kan uitvoeren en verbergen, heeft hij taken toegewezen gekregen die niet verenigbaar zijn met SOD. Er zijn verschillende interne controlemechanismen die een onderneming kunnen helpen bij het afdwingen van scheiding van taken:
- Audit trails stellen auditors in staat om de werkelijke transactiestroom van de oorsprong tot het bestaan ervan opnieuw op te nemen in een bijgewerkt auditbestand. Een goed controlespoor moet informatie verschaffen over wie de transactie heeft geïnitieerd, het tijdstip en de datum van binnenkomst, het type binnenkomst, welke informatievelden het bevatte en welke bestanden het heeft bijgewerkt.
- toezichthouders dienen uitzonderingsrapporten te behandelen, gestaafd met bewijsmateriaal waaruit blijkt dat de uitzonderingen correct en tijdig worden behandeld. In het algemeen is de handtekening van de persoon die het rapport opstelt vereist.
- een organisatie moet een handmatig of geautomatiseerd systeem-of toepassingstransactielogboek bijhouden waarin alle verwerkte systeemcommando ‘ s of toepassingstransacties worden geregistreerd.
- een onderneming moet iemand in dienst nemen om een onafhankelijke beoordeling uit te voeren, die bijvoorbeeld kan helpen fouten en onregelmatigheden in financiële overzichten op te sporen.
organisaties dienen de juiste SOD toe te passen door scheiding van taken tussen individuen of groepen van individuen te eisen. Er zijn verschillende niveaus van scheiding van functies:
- SOD door individuele personen (SOD op individueel niveau): Dit is het traditionele en meest fundamentele niveau van scheiding van functies. In dit geval wordt SOD bereikt door verschillende mensen verschillende taken te laten uitvoeren. Bijvoorbeeld, een manager machtigt een werknemer om een betaling te doen.
- SOD naar functie of organisatie-eenheid (SOD op eenheidsniveau): op dit niveau voeren verschillende functies, d.w.z. afdelingen, de gescheiden taken uit. Bijvoorbeeld, de verkoopafdeling kan klaar zijn voor een aanbod, en de risicobeheerfunctie tekent af op het.
- SOD per onderneming (SOD op bedrijfsniveau): Op dit niveau zijn verschillende rechtspersonen verplicht om activiteiten uit te voeren. Zo zou de controlerende onderneming bijvoorbeeld de investeringen van een dochteronderneming moeten goedkeuren. Een ander voorbeeld van SOD op bedrijfsniveau is een audit door derden.
omdat SOD interne controle is, moet een organisatie deze in het kader van haar risicobeheeractiviteiten bekijken. Een bedrijf moet bedrijfsprocessen grondig analyseren en keuzes maken over het detecteren en oplossen van potentiële conflicten.
indien er conflicten blijven bestaan, moet de organisatie compenserende controles Instellen om de bijbehorende risico ‘ s adequaat te beheren. Het belangrijkste is dat SOD vereist dat een organisatie een duidelijk begrip heeft van de betrokken individuen, hun rollen en eventuele conflicten.