Varför är uppdelning av arbetsuppgifter viktigt?

För att de flesta förluster kräver två saker: själva handlingen och att dölja den. En person som kan beställa utrustning, ta emot den och uppdatera registret kan få en tillgång att försvinna utan att någon märker det. Delar man de stegen mellan flera personer krävs det antingen samverkan eller en avvikelse som någon annan ser. Det skyddar dessutom ärlig personal - när ingen ensam kunde agera hamnar ingen ensam under automatisk misstanke när något försvinner.

Vad är ett exempel på uppdelning av arbetsuppgifter?

En medarbetare begär en ny laptop, chefen godkänner, den som sköter inköp lägger ordern, medarbetaren kvitterar ut enheten vid överlämningen, och registret loggar varje steg under namnet på den som utförde det. Ingen i den kedjan både godkände utgiften och för posten om den. Samma form gäller avyttringar: den som skriver av en tillgång bör inte vara den som senast hade den i sin vård.

Hur kan ett litet team tillämpa uppdelning av arbetsuppgifter?

Sikta på de mest riskfyllda uppdelningarna först i stället för full åtskillnad: den som godkänner utgifter bör inte sköta registret, och den som har en tillgång i sin vård bör inte vara den som bekräftar att den finns vid räkningen. Där en uppdelning är omöjlig, använd kompenserande kontroller - en ägare eller chef går igenom revisionsloggen regelbundet, godkännande krävs över ett visst belopp, och räkningarna görs av någon utanför processen.

Uppdelning av arbetsuppgifter: definition och exempel

Uppdelning av arbetsuppgifter är en intern kontroll som delar en process mellan personer så ingen ensam kan både begå och dölja ett fel eller bedrägeri.

Uppdelning av arbetsuppgifter (SoD, på engelska separation of duties) är en intern kontroll som fördelar stegen i en process mellan olika personer, så att ingen ensam kan både begå och dölja ett fel eller bedrägeri. Logiken är enkel: de flesta förluster kräver två handlingar - att utföra dådet och att dölja det - och genom att skilja på vem som kan göra vad förvandlas ett enmansproblem till en sammansvärjning, vilket är mer sällsynt, mer riskfyllt och lättare att upptäcka.

De fyra funktionerna att hålla isär

Revisorer tänker på SoD som att separera fyra roller inom varje process:

Auktorisering - godkänna köpet, utcheckningen, avskrivningen.
Förvaring - fysiskt hålla tillgången, lagret eller kassan.
Posthållning - underhålla registret eller huvudboken tillgången syns i.
Avstämning - kontrollera att posterna matchar verkligheten.

En process är väl separerad när ingen individ täcker två av dessa för samma transaktion. Den som godkänner en avyttring bör inte vara den som höll tillgången; den som håller registret bör inte vara den som räknar mot det.

Hur det ser ut i tillgångshantering

Utrustning är där bristande uppdelning blir påtaglig. Mönstren värda att hålla fast vid: medarbetaren som vill ha utrustning är aldrig den som godkänner utgiften, den som tar emot leveranser är inte den som lade ordern, den som sköter registret godkänner inte avskrivningar, och den årliga räkningen görs av någon som varken har tillgångarna i sin vård eller för deras poster. Även vardaglig delad utrustning - webbkameror, skannrar, utlånade laptops - gynnas av uppdelningen begär-godkänn-registrera, eftersom poolad utrustning utan en namngiven ansvarig är just där saker försvinner i tysthet. Vem som får göra vad bör stå skrivet i en tillgångshanteringspolicy, inte leva som muntlig tradition.

Små team och kompenserande kontroller

Ett företag med tre anställda kan inte fördela fyra funktioner på fyra personer, och att låtsas göra det är ett misslyckande i sig. Det ärliga angreppssättet är att rangordna riskerna och sätta in kompenserande kontroller där åtskillnad är omöjlig: ledningen går igenom revisionsspåret, varje godkännande dokumenteras, över ett visst belopp måste en andra person skriva under, och räkningarna stickprovskontrolleras av den som står längst från processen. Uppdelning av arbetsuppgifter väger dessutom så tungt för säkerhetsramverken att ISO 27001 tar upp den som en egen kontroll - certifieringsrevisorer frågar hur oförenliga arbetsuppgifter hålls isär eller, när det inte går, bevakas.

Vanliga misstag

Kontrollen fallerar på förutsägbara sätt. Att dela upp arbetsuppgifter på papper medan alla delar samma inloggning omintetgör hela poängen - det är spårbarheten till en namngiven person som gör uppdelningen möjlig att upprätthålla. Att tillämpa uppdelningen bara på pengar och inte på tillgångar missar den enklare stölden. Den lömskaste fällan är att glömma administratörsrättigheterna: en person som kan redigera vilken post som helst kan kringgå varje uppdelning, så adminåtkomst behöver sin egen granskning. Och att låta en överbelastad person rotera genom alla fyra funktionerna i tur och ordning är inte uppdelning - det är schemaläggning.

Uppdelning av arbetsuppgifter i praktiken

Kontrollen fungerar bara om vardagens verktyg upprätthåller den, för under tidspress väljer folk bort allt som är frivilligt. I AMPthilly håller rollmodellen isär funktionerna från grunden - medarbetare begär tillgångar, chefer eller administratörer godkänner, och varje beslut loggas i revisionsspåret under den namngivna godkännaren. Hur det än byggs är testet detsamma: välj en tillgång som lämnade byggnaden förra året och fråga om en enda person kunde få det att hända på egen hand, oregistrerat.

Relaterade termer

ISO 27001 tillgångshantering - säkerhetsstandarden som nämner uppdelning av arbetsuppgifter som kontroll
Informationstillgångsregister - posthållningsfunktionen SoD säger ska sitta isär från förvaring
Tillgångshanteringspolicy - där vem-får-göra-vad-uppdelningarna skrivs ner
Policy för acceptabel användning - följdreglerna för de som håller tillgångarna
Policy för datalagring - håller godkännande- och revisionsbevis producerbara senare

Ordlista

Vad är uppdelning av arbetsuppgifter?

De fyra funktionerna att hålla isär

Hur det ser ut i tillgångshantering

Små team och kompenserande kontroller

Vanliga misstag

Uppdelning av arbetsuppgifter i praktiken

Relaterade termer

Relaterade guider

Koll på webbkameror: håll reda på kontorswebbkameror

Koll på skannrar: håll reda på dokument- och streckkodsskannrar

Begrepp i den här guiden

Låt registret göra jobbet

Vi värnar om din integritet