segregering av uppgifter (SOD) i revision är tanken att kräva mer än en person att slutföra vissa viktiga uppgifter för att förhindra bedrägerier och fel.
uppdelningen av arbetsuppgifter är en grundläggande del av den interna kontrollen. Den grundläggande principen som ligger till grund för arbetsuppgifterna är att ingen person eller grupp av anställda ska kunna begå och dölja fel eller bedrägerier i sina dagliga jobb.
beroende på företagets storlek och karaktär kan de faktiska jobbtitlarna och organisationsstrukturerna variera mycket mellan företag.
under begreppet SOD kan uppgifter som är affärskritiska kategoriseras i fyra typer av funktioner:
- tillstånd
- förvaring
- registrering
- avstämning
i ett perfekt system bör ingen person hantera mer än en typ av funktion.
det allmänna begreppet SOD är att förhindra en person från att ha tillgång till tillgångar samt ansvar för att upprätthålla ansvarsskyldigheten för dessa tillgångar. I huvudsak främjar SOD delat ansvar för en nyckelprocess som sprider kritiska funktioner i processen till mer än en person, avdelning eller företag.
segregering av uppgifter är en nyckelfråga för organisationer att säkerställa överensstämmelse med lagar och förordningar. Betydelsen av SOD härrör från övervägande att ge en person fullständig kontroll över en affärsprocess eller en tillgång kan utsätta ett företag för risk.
därför är att tillämpa SOD ett viktigt kontrollelement för att uppnå en effektiv riskhanteringsstrategi.
även om det inte finns någon intern kontrollrevisionsstandard eller bokföringsdiktum som föreskriver specifika SOD-krav, Kräver upprätthållande av ett system med effektiva interna kontroller Lämplig åtskillnad av uppgifter.
för att interna kontroller ska vara effektiva måste det finnas en adekvat ansvarsfördelning mellan de personer som hanterar tillgångar och de som utför kontrollaktiviteter eller redovisningsförfaranden.
i allmänhet bör organisationer utforma arbetet med transaktionsbehandling och relaterade uppgifter så att en persons arbete är oberoende av eller fungerar som en kontroll av en annans arbete.
att göra det minskar riskerna för oupptäckta fel och begränsar möjligheterna att missbruka tillgångar eller dölja avsiktliga felaktigheter i ett företags finansiella rapporter. SOD agerar för att avskräcka bedrägeri och stoppa en individ från att täcka upp fel eftersom att en person skulle behöva säkra en annan persons samarbete för att dölja dessa aktiviteter.
SOD är välkänt inom finansiella redovisningssystem. Organisationer av alla storlekar förstår att de inte bör kombinera roller, som att ta emot betalningar på konton och godkänna avskrivningar, deponera kontanter och förena kontoutdrag etc.
även om SOD är ganska nytt för de flesta IT-avdelningar, kommer många Sarbanes-Oxley (SOX) internrevisionsfrågor från det. SOX, som godkändes 2002, hjälper till att skydda investerare från bedräglig finansiell rapportering av företag.
i informationssystem bidrar segregering av uppgifter till att minska den potentiella skadan från en persons handlingar. Enligt ISACAS segregering av Tullkontrollmatris bör företag inte kombinera vissa uppgifter i en position.
matrisen är dock inte en industristandard, utan snarare en allmän riktlinje som anger vilka positioner som ska separeras och vilka som kräver kompensationskontroller när de kombineras. Kompensationskontroller är interna kontroller avsedda att minska risken för en befintlig eller potentiell kontrollsvaghet.
när en organisation inte kan segregera uppgifter bör den sätta kompensationskontroller på plats. Om en person kan utföra och dölja fel och / eller oegentligheter som gör sitt dagliga arbete, har han tilldelats uppgifter som inte är kompatibla med SOD. Det finns flera interna kontrollmekanismer som kan hjälpa ett företag att genomdriva segregering av uppgifter:
- revisionsspår gör det möjligt för revisorer att återskapa det faktiska transaktionsflödet från dess ursprung till dess existens i en uppdaterad revisionsfil. En bra verifieringskedja bör ge information om vem som initierade transaktionen, tid på dagen och datum för inresa, typ av post, vilka informationsfält den innehöll och vilka filer den uppdaterade.
- handledare bör hantera undantagsrapporter, med stöd av bevis som indikerar att undantagen hanteras korrekt och i rätt tid. I allmänhet krävs underskrift av den person som förbereder rapporten.
- en organisation bör upprätthålla en manuell eller automatiserad system-eller applikations transaktionsloggar som registrerar alla bearbetade systemkommandon eller applikationstransaktioner.
- ett företag bör anställa någon för att göra en oberoende granskning, vilket kan hjälpa till att upptäcka fel och oegentligheter i finansiella rapporter, till exempel.
organisationer bör tillämpa korrekt SOD genom att kräva åtskillnad av uppgifter mellan individer eller grupper av individer. Det finns flera olika nivåer av segregering av uppgifter:
- SOD av individer (individnivå SOD): detta är den traditionella och mest grundläggande nivån för segregering av uppgifter. I detta fall uppnås SOD genom att olika personer utför olika uppgifter. Till exempel tillåter en chef en arbetare att göra en betalning.
- SOD efter funktioner eller organisatoriska enheter (enhetsnivå SOD): på denna nivå utför olika funktioner, dvs avdelningar, de segregerade uppgifterna. Till exempel kan försäljningsavdelningen redo ett erbjudande, och riskhanteringsfunktionen signerar på den.
- SOD av företag (sod på företagsnivå): På denna nivå krävs olika juridiska personer för att utföra operationer. Till exempel kan det kontrollerande företaget behöva godkänna investeringar som görs av ett dotterbolag. Ett annat exempel på sod på företagsnivå är en tredjepartsrevision.
eftersom SOD är intern kontroll bör en organisation se den inom ramen för sin riskhanteringsverksamhet. Ett företag måste noggrant analysera affärsprocesser och göra val om att upptäcka och lösa potentiella konflikter.
om några konflikter kvarstår måste organisationen införa kompensationskontroller för att hantera de tillhörande riskerna på lämpligt sätt. Viktigast kräver SOD att en organisation har en tydlig förståelse för de inblandade individerna, deras roller och eventuella konflikter.