Warum ist Segregation of Duties wichtig?

Weil die meisten Verluste zwei Dinge brauchen: die Tat selbst und die Vertuschung. Eine Person, die Ausrüstung bestellen, entgegennehmen und das Register pflegen kann, kann ein Asset verschwinden lassen, ohne dass es jemand merkt. Verteilt man die Schritte, erfordert dieselbe Tat entweder ein abgestimmtes Zusammenspiel oder erzeugt eine Diskrepanz, die jemand anderes sieht. Das schützt auch ehrliche Mitarbeitende - wenn niemand allein hätte handeln können, steht auch niemand automatisch unter Verdacht, wenn etwas fehlt.

Was ist ein Beispiel für Segregation of Duties?

Ein Mitarbeitender fordert einen neuen Laptop an; der Manager genehmigt; Einkauf legt die Bestellung auf; der Mitarbeitende quittiert das Gerät bei Übergabe; und das Register protokolliert jeden Schritt unter dem Namen der handelnden Person. Niemand in dieser Kette hat sowohl die Ausgabe autorisiert als auch die Aufzeichnung kontrolliert. Dasselbe Muster gilt bei Entsorgung: wer ein Asset abschreibt, sollte nicht der letzte Halter gewesen sein.

Wie wendet ein kleines Team Segregation of Duties an?

Zuerst die risikoreichsten Trennungen anstreben statt einer vollständigen Trennung: Wer Ausgaben genehmigt, sollte nicht das Register pflegen, und wer ein Asset verwahrt, sollte nicht selbst bestätigen, dass es bei der Zählung existiert. Wo eine Trennung unmöglich ist, helfen kompensierende Kontrollen - ein Inhaber oder Manager prüft regelmäßig das Audit-Protokoll, ab einer bestimmten Geldschwelle ist eine zusätzliche Freigabe nötig, und die Zählungen übernimmt jemand außerhalb des Prozesses.

Funktionstrennung: Definition und Beispiele

Segregation of Duties ist eine interne Kontrolle, die einen Prozess auf mehrere Personen verteilt, sodass niemand allein einen Fehler oder Betrug begehen und verbergen kann.

Segregation of Duties (SoD, auf Deutsch Funktionstrennung) ist eine interne Kontrolle, die Prozessschritte auf verschiedene Personen verteilt, sodass niemand allein einen Fehler oder Betrug begehen und zugleich verbergen kann. Die Logik ist einfach: Die meisten Verluste brauchen zwei Handlungen - die Tat und das Vertuschen. Trennt man, wer welche dieser Handlungen ausführen darf, wird aus einem Ein-Personen-Problem ein Zusammenspiel mehrerer - und das ist seltener, riskanter und leichter zu entdecken.

Die vier Funktionen, die getrennt bleiben sollten

Prüfer denken bei SoD an vier Rollen in jedem Prozess:

Autorisierung - Kauf, Ausgabe oder Abschreibung genehmigen.
Verwahrung - das Asset, den Bestand oder das Bargeld physisch halten.
Aufzeichnung - das Register oder Hauptbuch pflegen, in dem das Asset erscheint.
Abstimmung - prüfen, dass Aufzeichnungen der Realität entsprechen.

Ein Prozess ist gut getrennt, wenn niemand zwei dieser Rollen für dieselbe Transaktion abdeckt. Wer eine Entsorgung genehmigt, sollte nicht der Halter des Assets sein; wer das Register pflegt, sollte nicht gegen dasselbe zählen.

Wie es im Asset Management aussieht

Bei der Ausrüstung werden SoD-Fehler greifbar. Die Muster, die sich lohnen: Wer ein Gerät anfordert, ist nie derjenige, der die Ausgabe genehmigt; wer Lieferungen entgegennimmt, hat nicht die Bestellung aufgegeben; wer das Register pflegt, gibt Abschreibungen nicht selbst frei; und die Jahreszählung übernimmt jemand, der weder die Assets verwahrt noch ihre Datensätze führt. Selbst alltägliche Pool-Geräte - Webcams, Scanner, Leih-Laptops - profitieren von der Aufteilung in Anfordern, Genehmigen und Erfassen, denn Pool-Geräte ohne festen Verantwortlichen schwinden genau dort leise dahin. Wer was darf, gehört in eine Asset Management Policy geschrieben - und nicht in ungeschriebenes Erfahrungswissen.

Kleine Teams und kompensierende Kontrollen

Ein Drei-Personen-Unternehmen kann vier Funktionen nicht auf vier Personen verteilen, und das vorzutäuschen ist selbst ein Fehler. Der ehrliche Ansatz: die Risiken nach Priorität ordnen und dort, wo eine Trennung unmöglich ist, mit kompensierenden Kontrollen arbeiten - eine regelmäßige Prüfung des Audit-Trails durch die Leitung, eine verpflichtende Dokumentation jeder Freigabe, Geldschwellen, ab denen eine zweite Person unterschreiben muss, und Stichzählungen durch diejenige Person, die am weitesten vom Prozess entfernt ist. SoD ist auch in Sicherheitsframeworks wichtig genug, dass ISO 27001 sie als eigene Kontrolle benennt - Zertifizierungsprüfer fragen, wie widersprüchliche Aufgaben getrennt oder, falls das nicht geht, überwacht werden.

Häufige Fehler

Die Kontrolle scheitert auf vorhersehbare Weise. Auf dem Papier getrennte Aufgaben, die über einen gemeinsamen Login laufen, machen den ganzen Zweck zunichte - erst die eindeutige Zuordnung zur Person macht die Trennung durchsetzbar. SoD nur auf Geld und nicht auf Assets anzuwenden, übersieht den einfacheren Diebstahl. Administratorrechte zu ignorieren, ist der subtile Fall: Wer jeden Datensatz bearbeiten kann, umgeht jede Trennung - der Admin-Zugang braucht daher eine eigene Überprüfung. Und eine überlastete Person nacheinander durch alle vier Funktionen rotieren zu lassen, ist keine Funktionstrennung, sondern bloße Terminplanung.

Segregation of Duties in der Praxis

Die Kontrolle wirkt nur, wenn die alltäglich genutzten Tools sie durchsetzen, denn unter Termindruck wird alles umgangen, was sich umgehen lässt. In AMPthilly trennt das Rollenmodell die Funktionen von vornherein - Mitarbeitende fordern Assets an, Manager oder Admins genehmigen, und jede Entscheidung wird im Audit-Trail unter dem namentlich benannten Genehmiger protokolliert. Wie auch immer es umgesetzt ist, der Test bleibt derselbe: Nehmen Sie ein Asset, das letztes Jahr das Gebäude verlassen hat, und fragen Sie, ob eine einzelne Person das allein und unbemerkt bewirken konnte.

Was ist Segregation of Duties?

Die vier Funktionen, die getrennt bleiben sollten

Wie es im Asset Management aussieht

Kleine Teams und kompensierende Kontrollen

Häufige Fehler

Segregation of Duties in der Praxis

Verwandte Begriffe

Verwandte Leitfäden

Webcams verwalten: Büro-Webcams im Griff behalten

Scanner verwalten: Dokumenten- und Barcode-Scanner im Blick

Glossarbegriffe in diesem Leitfaden

Setzen Sie Ihr Register produktiv ein

Wir respektieren Ihre Privatsphäre