Ohne Trennung der Aufgaben verbrennen Sie bare Münze
Es ist der Höhepunkt eines fiktiven, hochbudgetierten Kriegsfilms und der Präsident hat gerade den Notstart eines Nuklearsprengkopfs genehmigt. Die ernsten Offiziere beginnen die Startsequenz, indem sie zwei Schlüssel holen und sie dramatisch langsam umdrehen.
So klischeehaft diese Szene auch ist, spiegelt sie doch einen realen Prozess im US-Militär wider. Die sogenannte Zwei-Mann-Regel, die während des Kalten Krieges eingeführt wurde, stellt sicher, dass der Zugang zu sensiblen Waffen immer die Zustimmung von zwei verschiedenen hochrangigen Personen erfordert, selbst wenn der Vorgesetzte den Einsatz bereits mündlich genehmigt hat.
Und das gilt nicht nur für das Militär. Zwei-Personen-Kontrollprotokolle werden unter anderem von Regierungen, Banken, Sicherheitsfirmen, Vermögensverwaltern und Pharmaunternehmen eingesetzt.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Die Idee ist, das Risiko von Fehlern, Betrug oder böswilligem Verhalten zu minimieren, indem entscheidende Aufgaben zwischen zwei oder mehr Parteien aufgeteilt werden. Das Grundkonzept ist als Funktionstrennung bekannt – und es ist für Technologieunternehmen von entscheidender Bedeutung. Hier ist der Grund.
Was ist Funktionstrennung?
Funktionstrennung (SoD) ist eine interne Kontrollmaßnahme, die sicherstellt, dass mindestens zwei Personen gemeinsam für eine Aufgabe verantwortlich sind. In der Regel wird dies umgesetzt, indem zwei oder mehr Personen unterschiedliche Bestandteile einer spezifischen Aufgabe übernehmen.
Beispielsweise könnte ein CFO beschließen, die Lohnbuchhaltung an Mitarbeiter A zu delegieren, während Mitarbeiter B die endgültige Auszahlung der Gehälter abzeichnet.
Die Idee dahinter ist, das Risiko von Betrug und menschlichen Fehlern zu verringern, indem keine einzelne Person vollständige Kontrolle über einen wichtigen Prozess hat. Funktionstrennung wird auch als Aufgabentrennung bezeichnet – die Begriffe können synonym verwendet werden.
Allgemein gesprochen gibt es vier zentrale Rollen oder Tätigkeitstypen, die idealerweise voneinander getrennt werden sollten. Das bedeutet, dass keine einzelne Person für alle vier Aktivitäten gleichzeitig verantwortlich sein sollte; und im Idealfall sollte jede dieser Aktivitäten unabhängig voneinander bearbeitet werden. Diese Kategorien sind:
Genehmigung oder Freigabe (AUT)
Die Person, die eine Transaktion, Bestellung oder wichtige interne Maßnahme autorisiert und/oder diese Maßnahme genehmigt.
Vermögensverwaltung (CUS)
Die Person, die für die Aufbewahrung von Vermögenswerten verantwortlich ist, etwa von Lagerbeständen oder einem physischen Scheck von einem Kunden.
Erfassung von Buchungen (REC)
Die Person, die Buchungen in einem Buchhaltungssystem oder einem anderen internen Register erfasst.
Abstimmung/Kontrolle/Verifizierung (VER)
Die Person, die Bankkonten abstimmt, den physischen Lagerbestand überprüft usw.
SoD-Protokolle sind unternehmensweit relevant, die wichtigsten Anwendungsbereiche liegen jedoch im Risikomanagement und in der Buchhaltung. Diese Protokolle gelten gleichermaßen in Unternehmen, Non-Profit-Organisationen oder öffentlichen Behörden.
Einige Beispiele für Funktionstrennung finden Sie im Folgenden.
Risikomanagement
Risikomanagement-Teams können Aufgaben trennen, indem sie zum Beispiel:
- Für größere IT-Änderungen, Website-Aktualisierungen usw. die Unterschrift mehrerer Beteiligter einholen
- Sicherstellen, dass interne Prüfungen (mit mehreren Beteiligten) vor der Veröffentlichung von Finanzberichten durchgeführt werden (zur Einhaltung der SOX-Vorschriften)
- Sensible interne Kommunikation und Geschäftsgeheimnisse überwachen und nur Mitarbeitern mit entsprechender Berechtigung zugänglich machen
- Die Verantwortung für IT-Sicherheitsmaßnahmen und das Zugriffsmanagement auf Rollenebene aufteilen
Buchhaltung
Einige Beispiele für die Trennung von Aufgaben im Buchhaltungsteam sind:
- Unterschiedliche Mitarbeiter sind für die Lohnbuchhaltung und die Auszahlung der Gehälter zuständig
- Ein Mitarbeiter führt das Inventarverzeichnis, während ein anderer die physische Verwahrung und Bearbeitung des Inventars übernimmt
- Ein Mitarbeiter bestätigt den Erhalt physischer Waren, ein anderer wickelt die Bezahlung dieser Waren ab
Weitere Funktionen
Die Trennung von Aufgaben (Segregation of Duties, SoD) kann ebenfalls während des Einstellungsprozesses Anwendung finden (um Vetternwirtschaft zu verhindern), während des Kündigungs- oder Entlassungsprozesses (um Sabotage oder andere böswillige Handlungen zu verhindern) sowie in verschiedenen anderen Bereichen des Personalwesens.
Warum sich der Aufwand lohnt
Der Hauptnachteil von SoD – und der Grund, warum einige Unternehmen darauf verzichten – ist, dass es bestimmte Prozesse verlangsamen kann. SoD trennt per Definition Aufgaben, die theoretisch eine einzelne Person erledigen könnte, was zu einer gewissen Ineffizienz führen kann.
Doch das Vernachlässigen von SoD-Protokollen kann verheerende Folgen haben.
Zum einen öffnet es Tür und Tor für Zahlungsbetrug, Unterschlagung und Diebstahl. Wenn eine einzige Person für die Bestellung, den Wareneingang, die Zahlungsfreigabe und die Abstimmung der Unterlagen verantwortlich ist, ist die Gelegenheit für betrügerische Aktivitäten viel zu groß.
Das Risiko interner Betrugshandlungen mag weit hergeholt erscheinen, stellt jedoch eine sehr reale Bedrohung für die meisten Unternehmen dar. Ein Bericht der Association of Certified Fraud Examiners aus dem Jahr 2022 ergab, dass Unternehmen weltweit jährlich 5 % ihres Umsatzes durch Betrug verlieren – und Betrug durch Mitarbeitende war sowohl die häufigste als auch die kostspieligste Form.
Zweitens erhöht sich die Wahrscheinlichkeit, dass menschliche Fehler Ihr Unternehmen beeinträchtigen. Gibt es keine zweite Prüfungsinstanz für wichtige interne Prozesse, steigt die Chance, dass Fehler unentdeckt bleiben, erheblich.
Und drittens führen fehlende SoD-Kontrollen zu weniger wirksamen internen Kontrollsystemen. Zulassen von einseitigen Entscheidungen und Maßnahmen erhöht das Risiko, dass eine einzelne Person (beabsichtigt oder unbeabsichtigt) großen Schaden im Unternehmen anrichtet.
Beste SoD-Praktiken
Die besten Praktiken zur Trennung von Aufgaben sehen je nach Unternehmensgröße unterschiedlich aus. Kleinere Unternehmen müssen unter Umständen auf einige SoD-Protokolle verzichten, einfach weil das Team kleiner ist.
Dennoch gibt es einige allgemeine Richtlinien für bewährte Verfahren, darunter:
Implementierung von SoD auf mehreren Ebenen: Je nach Unternehmensgröße kann es sinnvoll sein, SoD nicht nur auf individueller Ebene, sondern auch auf Abteilungs- und Gesamtunternehmensebene (bzw. Tochterunternehmen) umzusetzen. Beispielsweise könnten Investitionen eines Tochterunternehmens die Genehmigung der Muttergesellschaft erfordern, oder eine Verkaufsabteilung benötigt die Freigabe durch den Bereich Operations vor der abschließenden Zustimmung.
Einsatz einer SoD-Matrix: Eine Segregation of Duties-Matrix ist eine einfache tabellarische Darstellung, in der Nutzergruppen und zugehörige Aufgaben/Rollen auf den X- und Y-Achsen aufgeführt sind. Geeignete Rollen werden per Häkchen markiert, wodurch Unvereinbarkeiten leicht zu erkennen sind. Nachfolgend ein Beispiel einer SoD-Matrix für eine Lohn- und Gehaltsfunktion.
| Verfahren | Nutzergruppe | Lohnschein erstellen | Vergütung ändern | Leistungen ändern | Lohnschein genehmigen |
|---|---|---|---|---|---|
| Lohnschein erstellen | A | ✓ | |||
| Vergütung ändern | B | ✓ | ✓ | ||
| Leistungen ändern | C | ✓ | ✓ | ||
| Lohnschein genehmigen | D | ✓ |
Risikoszenarien identifizieren: Einige Risikoszenarien sind offensichtlich, andere erfordern genauere Analysen. Die folgende Tabelle listet gängige Risikoszenarien sowie Überschneidungen bei Rollen auf (Hinweis: CUS = Verwahrung, AUT = Autorisierung, VER = Verifizierung, REC = Buchung)
Regelmäßige SoD-Audits durchführen: Die Trennung von Aufgaben ist kein einmaliger Prozess, sondern eine fortlaufende betriebliche Leitlinie für Ihr gesamtes Unternehmen. Eine regelmäßige Überprüfung der internen Kontrollsysteme, einschließlich SoD-Frameworks, ist entscheidend für den langfristigen Erfolg.
Protokollierung — und Sanktionierung — von SoD-Verstößen: Ein SoD-Verstoß liegt vor, wenn eine Person ihre Rolle und ihren Zugriff bewusst dazu nutzt, das SoD-Protokoll zu umgehen (in der Regel absichtlich). Dies kann eine Verletzung interner Unternehmensrichtlinien oder externer Vorschriften sein. In jedem Fall ist es entscheidend, SoD-Verstöße zu erkennen und zu dokumentieren sowie die betreffende Person gegebenenfalls zu sanktionieren.
Mindestschwellen festlegen, um Bürokratie zu vermeiden: Dies ist zwar nicht unbedingt eine "Best Practice", sondern vielmehr ein Ansatz, den einige kleinere Unternehmen wählen. Um den alltäglichen Betrieb reibungslos zu gestalten, legen Firmen oftmals Mindestschwellenwerte (in der Regel als Geldbetrag) für Transaktionen fest, die außerhalb der standardmäßigen SoD-Kontrollen abgewickelt werden dürfen. Beispielsweise kann ein Manager Teammitgliedern erlauben, für berechtigte Ausgaben bis $500 selbst zu genehmigen und zu zahlen, ohne externe Freigabe. Solche Ausnahmen im kleinen Rahmen ermöglichen es Teams, sich besser auf das Wesentliche zu konzentrieren.
Nutzen Sie interne und externe Audits: Regelmäßige Audits sind für jedes Unternehmen wichtig. Während viele Aufgaben intern mit Hilfe von Audit-Management-Software erledigt werden können, kann es sich auch lohnen, externe Prüfer und Berater hinzuzuziehen. Ein erfahrener Berater kann einen detaillierten und völlig unparteiischen Blick auf den inneren Aufbau Ihrer Organisationsstruktur, Arbeitsabläufe und Zugriffsberechtigungen der Mitarbeitenden werfen, um Schwachstellen zu identifizieren, die Ihrem Team möglicherweise entgangen sind (oder schlimmer noch, absichtlich verborgen wurden).
Tools, die bei der Trennung von Aufgaben helfen
Maßnahmen zur Trennung von Aufgaben (SoD) können durch verschiedene Tools unterstützt werden, darunter Software sowie externe Berater oder Prüfer.
Software-Tools für SoD
In manchen Fällen verfügen Unternehmenssoftwares bereits über integrierte SoD-Frameworks, die Teams bei der Erstellung einer SoD-Matrix, der Identifikation potenzieller Konflikte sowie sogar der Überwachung und Protokollierung von Verstößen unterstützen.
Enterprise Resource Planning (ERP) Software von Anbietern wie Oracle, Sage und SAP bietet häufig bereits Funktionen zur Trennung von Aufgaben. Auch Enterprise Risk Management Software kann Teams dabei unterstützen. Der Funktionsumfang variiert je nach Softwareanbieter und sogar nach gebuchtem Servicetier, aber grundsätzlich können diese Tools Teams unterstützen, die SoD-Best-Practices etablieren möchten.
Es gibt auch speziell für SoD-Compliance, interne Zugriffskontrollen und das interne SoD-Richtlinienmanagement entwickelte Softwarelösungen.
Audits und Beratungen zur Trennung von Aufgaben
Wie bereits erwähnt, kann es auch sinnvoll sein, Prüfer hinzuzuziehen. Dies kann unabhängig erfolgen oder als Teil eines größeren internen Audits.
Viele Wirtschaftsprüfungsgesellschaften bieten SoD-Audit-Services an. Spezialisierte Berater unterstützen oft auch bei der anfänglichen Umsetzung eines SoD-Frameworks.
SoD: Eine bewährte Methode für organisatorische Kontrollen und Gleichgewichte
Ähnlich wie die verschiedenen Zweige der Regierung soll die Trennung von Aufgaben ein System von Kontrollen und Gleichgewichten schaffen. Wenn sie korrekt umgesetzt wird, kann ein SoD-Framework das Risiko von Betrug, böswilligen Handlungen, Wirtschaftsspionage und einfachen menschlichen Fehlern reduzieren.
Suchen Sie nach weiteren wertvollen Einblicken in das Corporate Finance für Technologieunternehmen? Der CFO Club Newsletter bietet Ihnen wöchentlich wertvolle Informationen von Finance-Leadern, für Finance-Leader — kostenlos. Abonnieren Sie jetzt.
