fbpx
Überspringen zu Hauptinhalt

FunktionstrennungFunktionstrennung ist ein etwas abstraktes Geschäftskonzept, aber man begegnet ihm bewusst oder unbewusst jeden Tag. Bei der Funktionstrennung (Segregation of Duty – SoD) handelt es sich formal um eine Reihe von Kontrollen und Richtlinien, die Genauigkeit gewährleisten und die Einhaltung von Vorschriften wie Sarbanes Oxley durch Unternehmen sicherstellen sollen. Einfach ausgedrückt geht es bei SoD jedoch darum, sicherzustellen, dass die Kontrollen dort stattfinden, wo sie erforderlich sind, und bestimmte Aufgabenüberschneidungen zu verhindern, die Betrug oder Unterschlagung erleichtern könnten – zum Beispiel, indem verhindert wird, dass eine einzelne Person einen Anbieter erstellt und bezahlt.

Was ist Funktionstrennung?

Waren Sie schon einmal in einem Geschäft und der Kassierer hat den Geschäftsführer gerufen, damit dieser eine Streichung an der Kasse durchführt, um Ihre Transaktion zu stornieren? Das ist ein alltägliches Beispiel für SoD. Die Funktionen des Kassierers erlauben es ihm nicht Kassentransaktionen zu streichen. Das ist ausschließlich Aufgabe des Geschäftsführers. Wenn der Kassierer eine Transaktion streichen könnte, bestünde das Risiko des Diebstahls durch Mitarbeiter.

Menschen sind nicht perfekt, sie machen Fehler, haben zuweilen ein schlechtes Urteilsvermögen und geben Versuchungen nach. Wenn Menschen jedoch Zugang zu ERP haben, können die Folgen enorm sein. Mitarbeiter können Investoren um Millionen betrügen, die Sicherheit der Verbraucher mit unentdeckten Fehlern gefährden und Arbeitgeber zivil- und strafrechtlich belasten.

Ihre Politik der Funktionstrennung teilt die Transaktionen auf, um es einerseits zu erschweren, dass Fehler unentdeckt durchgehen, und andererseits die Mitarbeiter und die Führung zur Verantwortung zu ziehen. Obwohl man nicht gern darüber nachdenkt, ist das Betrugsrisiko real, und „Vertrauen“ ist keine Kontrolle. Verantwortungsbewusste Unternehmen achten darauf, diese Risiken durch SoD bei ERP-Systemen und anderen Kontrollen zu minimieren.

Das Ziel der SoD ist es, Aufgabenüberschneidungen zu verhindern, die Betrug oder Unterschlagung erleichtern könnten. Im betrieblichen Rechnungswesen sorgt die SoD dafür, dass Personen Zwischenschritte zu einer bestimmten Transaktion übergeben müssen, um sicherzustellen, dass diese korrekt ausgeführt werden. Beispiele sind:

  • Die Person, die neue Lieferanten genehmigt, kann Lieferanten keine Bestellungen genehmigen
  • Die Person, die Bestellungen genehmigt, kann nicht die Ausstellung von Schecks genehmigen
  • Die Person, die Rechnungen erstellt, kann nicht zusätzlich Verkaufsvorgänge im Hauptbuch erfassen

Richtlinie zur Funktionstrennung bei der Konformität

SoD spielt bei der Einhaltung des Sarbanes Oxley Act (SOX) eine wichtige Rolle. SOX schreibt vor, dass börsennotierte Unternehmen ihre Kontrollen über die Finanzberichterstattung, einschließlich der SoD, dokumentieren und zertifizieren. Nach einer sorgfältigen Prüfung müssen der CEO und der CFO der Aktiengesellschaft eine Bescheinigung über die Kontrollen abgeben. Sie können für Ungenauigkeiten in diesen Aussagen verantwortlich gemacht werden. Wenn festgestellt wird, dass sie absichtlich die SoD gefälscht haben, droht ihnen sogar eine Haftstrafe.

Die 21 CFR Part 11-Regel der US-Bundesregierung (CFR steht für „Code of Federal Regulation“) hängt auch von der Einhaltung der SoD ab. Sie betrifft die medizinische Forschung und andere Branchen, in denen Leben von der Führung von Aufzeichnungen und der Berichterstattung über Kontrollen abhängen könnten. Die SoD stellt sicher, dass Datensätze nur von autorisierten Personen erstellt und bearbeitet werden.

Matrix der Funktionstrennung

Die Matrix der Funktionstrennung

Es gibt viele Möglichkeiten, eine Funktionstrennung zu entwickeln und umzusetzen. Früher wurde dies anhand von farbigen Papieren gehandhabt, z. B. ging die rosa Kopie eines Kaufbelegs an Person A, während die gelbe Kopie an Person B ging. Wenn die gelbe und die rosa Kopie nicht übereinstimmten, gab es ein Problem. Seitdem hat sich viel getan.

Die SoD wird nun über Zugriffsrechte ausgeführt, die an Benutzerrollen auf SAP-Systemen gebunden sind. Wenn der Buchhalter für Verbindlichkeiten einen Scheck nicht autorisieren soll, kann er in seiner Rolle nicht auf den Teil der ERP-Lösung zugreifen, der für die Autorisierung von Schecks verwendet wird.

Das klingt ziemlich einfach, aber es kann ziemlich schnell kompliziert werden. In modernen Unternehmen haben Sie mitunter Dutzende von Rollen an verschiedenen Standorten und Geschäftseinheiten. Nur um es klarzustellen, wenn wir zusammen mit einem Kunden daran arbeiten, seine SoD-Regeln festzulegen, werden viele davon bereits „gebrauchsfertig“ mit ControlPanelGRC mitgeliefert. Die Prämisse folgt einer sogenannten „Matrix der Funktionstrennung“. Die Regeln sind standardisiert und folgen in der Regel einem Matrixansatz, wie hier gezeigt, um inkompatible Teile von Geschäftsvorfällen zu identifizieren.

So prüfen Sie SoD-Konflikte in SAP

Das Raster zeigt potenzielle Rollenkonflikte an und zeigt, welche Rollen sich bei der Durchführung von Transaktionen ergänzen. Anhand der Matrix können Sie sehen, wem der Zugriff auf Systemfunktionen erlaubt oder verweigert werden soll. Sie können das Raster verwenden, um SoD-Konflikte in Ihrer SAP-Landschaft zu erkennen. So hat beispielsweise die Rolle „Eingabe von Verbindlichkeitsbelegen“ keinen Zugriff auf die ERP-Funktionalität, die für die Rolle „Verbindlichkeitszahlungen“ eingerichtet wurde usw.

Ausgleichskontrollen in der SoD

In einigen Fällen zeigt eine Prüfung der Funktionstrennung einen Konflikt, der einfach nicht durch Kontrollen gelöst werden kann. Um dieses Problem zu lösen, kann das Unternehmen eine „Ausgleichskontrolle“ einrichten. Dies dient dazu, die durch den Konflikt verursachten Risiken zu reduzieren. Wenn ein Unternehmen beispielsweise einen einzigen Mitarbeiter hat, der Lieferanten einrichtet und bezahlt, kann eine Ausgleichskontrolle eine wöchentliche Überprüfung der Lieferantentransaktionen beinhalten.

SAP GRC als Notwendigkeit für die SoD

SAP GRC bietet grundlegende Funktionen zur Implementierung von SoD-Kontrollen. Da Kontrollen jedoch nur dann zuverlässig sind, wenn sie regelmäßig getestet, überprüft und auditiert werden, automatisiert die SAP GRC-Software diese zeitaufwändigen Aufgaben. Außerdem zentralisiert sie SoD-Kontrollen. Unsere ControlPanelGRC Suite bringt Sie dank der SAP SoD-Risikoanalyse, die potenzielle Risiken erfasst, bevor sie geschehen, weiter.

ControlPanelGRC überwacht kontinuierlich SoD-Konflikte in Echtzeit. So können Sie auftretende Konflikte erkennen und beheben. Die Software-Suite erstellt automatisch umfassende Prüfberichte und leitet sie zur Genehmigung im Unternehmen weiter.

Zu den spezifischen Funktionen von ControlPanelGRC gehören:

  • SAP Segregation of Duties (SoD) Risk Analysis – Definiert die SoD durch SAP-Risikoanalysen in Echtzeit, legt sensible Autorisierungen fest und verhindert übermäßigen Benutzerzugriff.
  • SAP Transaction Usage Analysis – Optimiert mit den SAP GRC Transaktionsnutzungsdaten Geschäftsprozesse und vermeidet Compliance-Risiken, spart zudem Zeit und Geld durch Upgrades und zugleich optimaler Nutzung der SAP Lizenz.
  • SAP Emergency Access Management – Bewahrt durch die Aufzeichnung der Nutzeraktivität während einer SAP-Firecall-Sitzung ständige Revisionsfähigkeit.
  • SAP User Provisioning and Role Management – Beschleunigt die tägliche SAP-Sicherheitsverwaltung und gewährleistet die Revisionsfähigkeit.
  • SAP User Access Review Automation – Bietet eine automatisierte Lösung für den Benutzerzugriff und die Überprüfung der Rollenzertifizierung.
  • SAP Audit Management – Weniger Zeit und Aufwand bei der Revisionsvorbereitung durch automatisierte Ausführung, Lieferung und Validierung der SAP-Audit-Reports.
  • SAP HR Security Automation – Hiermit können Nutzer von SAP Human Capital Management (HCM) HR-Sicherheitsanforderungen handhaben, wie z. B. die Überprüfung und den Schutz sensibler HR-Daten.

Erfahren Sie, wie die ControlPanelGRC automatisierten Kontrollen von Symmetry Ihnen helfen können, eine bessere SoD zu erreichen und die Kosten für die Einhaltung gleichzeitig zu senken.

Scott Goolik - VP, Compliance and Security Services

Scott Goolik is VP of Compliance and Security Services at Symmetry. A recognized expert in the field of SAP security and compliance, Scott has over 20 years of expertise in SAP security and is a regular presenter at SAP industry tradeshows and ASUG events. His experience includes working for one of the Big Four accounting firms and developing auditing tools, including those for segregation of duties (SOD). Scott is also responsible for architecting the ControlPanelGRC® solution which provides audit automation and acceleration of security and control processes.