Oppgavefordeling (SoD) er en fundamental del av en virksomhets strategi for risikohåndtering.
En rapport fra 2022, publisert av Association of Certified Fraud Examiners (ACFE), viser at selskaper i gjennomsnitt taper rundt 1 783 000 dollar per sak relatert til ansattesvindel.
Dette understreker hvorfor det er avgjørende for moderne virksomheter å ha robust risikostyring i en tid hvor svindel, bedrageri og feil forekommer stadig oftere.
SoD har som formål å kontrollere, håndtere og redusere disse farene, og dermed forbedre organisasjonens interne kontroll, sikkerhet og bevissthet.
I denne artikkelen skal vi utforske hva SoD er, hvorfor det er viktig og andre relaterte begreper.
La oss begynne og se hvordan du kan gjenvinne kontrollen!
Hva innebærer oppgavefordeling?
Oppgavefordeling (SoD) er et sentralt konsept innen risikostyring og internkontroll i en organisasjon. Det innebærer at ulike deler av en oppgave utføres av flere personer. Formålet er å hindre misbruk av informasjon, svindel, tyveri og andre sikkerhetsrisikoer.
Selv om en oppgave kan utføres av én enkelt person, deles den opp i flere faser. Dette sikrer at ingen enkeltperson får for stor kontroll over oppgaven, eller nok makt til å misbruke denne kontrollen til uautoriserte formål eller uredelige handlinger. I stedet skal oppgaven fordeles på minst to personer.
I dag anvendes SoD i en rekke områder, som regnskap, finans, lønn og administrasjon. Innenfor politikken er maktfordelingsprinsippet i demokratier et godt eksempel, hvor myndighetene er delt mellom en dømmende, en utøvende og en lovgivende gren.
SoD i risikostyring
SoD er basert på ideen om delt ansvar, og at driften av en organisasjon eller virksomhet ikke skal være avhengig av én enkeltperson. Man bør ikke gi en person full kontroll over en oppgave som kan potensielt føre til svindel, feil eller skade på bedriftens omdømme.
SoD er et kritisk element i risikostyring og overholdelse av lover og forskrifter, som for eksempel Sarbanes-Oxley Act (SOX) fra 2002.
Ved å fordele oppgaver mellom flere ansatte reduseres risikoen for at en medarbeider eller tredjepart skal:
- Misbruke konfidensiell organisasjonsinformasjon
- Stjele midler
- Forfalske registreringer (f.eks. økonomiske data) for å villede interessenter eller oppblåse aksjekurser
- Iverksette en hevnaksjon etter angivelig urettferdig behandling
- Engasjere seg i bedriftsspionasje
Manglende bruk av en sikker strategi som SoD kan føre til alvorlig skade for organisasjonen din, både økonomisk, ved brudd på regelverk og skade på merkevaren. Derfor er det viktig å implementere SoD i hele virksomheten, fra regnskap og lønn til IT- og cybersikkerhetsavdelinger.
Eksempler på SoD
La oss se på noen konkrete eksempler på hvor SoD kan brukes.
Regnskap
Innen regnskap kan organisasjoner forhindre at enkeltpersoner får for mye makt til å skjule eiendeler og økonomiske feil.
SoD krever at du analyserer alle regnskapsroller grundig og fordeler oppgavene slik at ingen person har full kontroll over en gitt funksjon. For eksempel bør ikke samme person motta betalinger og registrere dem.
IT og cybersikkerhet
SoD-policyer kan redusere risikoen for tilgangskontroll i IT-avdelingen. Ved å skille arbeidsflytoppgaver sikrer du at samme gruppe eller personer ikke får flere tilgangstillatelser.
Dersom en person får for stor makt utover sine plikter, kan de misbruke den og gi informasjon til uvedkommende eller gi dem tilgang. Samtidig har ingen andre oversikt over dette.
En slik situasjon kan være katastrofal. For eksempel bør samme person ikke motta varsler fra sikkerhetssystemer og administrere tilgangstillatelser til systemet.
Overholdelse og kontroller
Implementering av gode SoD-strategier kan bidra til å unngå feil fra ansatte, enten de er tilsiktede eller utilsiktede. Det kan også hjelpe med å oppdage falske registreringer, dersom det forekommer. På denne måten kan du beskytte organisasjonen mot brudd på overholdelse av regelverk. For eksempel bør ikke samme person være ansvarlig for å sende inn finansiell informasjon og revidere den.
Andre eksempler
Samme person bør ikke være ansvarlig for:
- Opprette og godkjenne rekvisisjoner
- Opprette og godkjenne leverandørfakturaer
- Klargjøre fakturaer og registrere salgstransaksjoner i reskontro
- Utbetale lønn og ansette ansatte
- Registrere mottatte kontanter og opprette kreditnotaer
- Handle aksjer og styre fusjoner og oppkjøp
- Sette opp kjøpere og godkjenne rekvisisjoner eller innkjøpsordrer
Fordeler med SoD
Noen av fordelene ved å bruke SoD i organisasjonen din inkluderer:
#1. Forebygging og oppdagelse av svindel
Organisasjoner er mer utsatt for svindel enn noen gang. Dette omfatter uredelige aktiviteter som tukling med sjekker, underslag av kontanter, urettmessig tilegnelse av eiendeler, dokumentforfalskning, falske kvitteringer, fakturaer, regnskapsfeil og mer.
Med SoD sikrer du at ingen enkeltperson eller gruppe er ansvarlig for å utføre alle funksjonene i en gitt oppgave. Dette reduserer muligheten for å begå svindel og skjule den. Når flere personer er involvert i en oppgave, er det større sjanse for at noen vil oppdage, rapportere og bidra til å forhindre både ekstern og intern svindel.
#2. Reduksjon av menneskelige feil
Riktig implementering av SoD i organisasjonen din vil sannsynligvis føre til en betydelig reduksjon i menneskelige feil og relaterte risikoer i kritiske økonomiske prosesser. Det kan inkludere feil som utilstrekkelig dokumentasjon av transaksjoner, lav kompetanse i regnskapsarbeid, feil ved datainntasting og uforsiktige revisjoner.
Ved å involvere flere personer i kritiske transaksjoner økes sjansen for at en person vil legge merke til og rette opp en feil som har oppstått.
#3. Forbedret revisjon
Ved å redusere sjansene for risiko og feil, forbedres journalføringen i økonomi-, lønns-, regnskaps-, IT- eller cybersikkerhetsavdelingene. SoD bidrar til å sikre at registreringer blir gjort på en korrekt måte, og eliminerer problemer som duplisering, forsinkelsesgebyrer og risiko for brudd på overholdelse.
Dette gjør at du er bedre forberedt på revisjoner, enten de er årlige, halvårlige eller kvartalsvise. Du vil også ha større selvtillit i forhold til å overholde regelverk og unngå straffer.
#4. Økt effektivitet
Noen kan tro at å legge til flere roller vil føre til ineffektivitet og høyere kostnader. Men dersom SoD planlegges godt, kan det faktisk øke effektiviteten. Dette skyldes at en oppgave deles opp i mindre underoppgaver som utføres av spesialiserte personer med større nøyaktighet og hurtighet.
Dette reduserer ikke bare risikoen, men gir også høyere effektivitet sammenlignet med situasjonen hvor en enkeltperson må utføre hele oppgaven. I tillegg er kostnadene for skader for et selskap uten SoD mye høyere enn det du investerer i å ansette flere medarbeidere.
Noen SoD-terminologier
For å bedre forstå SoD er det viktig å kjenne til følgende begreper:
#1. SoD-konflikter
En SoD-konflikt kan oppstå når en person handler mot organisasjonens interesser og til egen fordel. Det betyr at vedkommende har fått flere roller som gjør det mulig å utføre flere viktige funksjoner i en prosess. Dette kan påvirke prosessens integritet og selskapet som helhet.
SoD-konflikter kan oppstå i forskjellige områder i en organisasjon, som Order to Cash (O2C) eller Purchase to Pay (P2P). For å redusere SoD-konflikter må du analysere og vurdere slike hendelser. Organisasjoner må også innføre solide kontroller for å hindre at ansatte engasjerer seg i ulovlig aktivitet.
En god strategi for å forebygge SoD-konflikter kan være å bruke rollebasert tilgangskontroll (RBAC) i hele organisasjonen. RBAC sikrer at tilgangstillatelser gis til brukere basert på deres rolle og ansvar i organisasjonen, ikke mer enn det.
Her kan du tildele en autorisert person til å analysere hver rolle og tilgangstillatelse som er gitt for både interne og eksterne SoD-overlappinger.
Men ikke enhver konflikt betyr at det vil oppstå skade eller ulovlig aktivitet. En bruker kan gjøre det ved et uhell, av uforsiktighet, eller fordi det er nødvendig for selskapet å utføre en funksjon som krever flere tillatelser.
Derfor bør selskaper undersøke slike saker grundig og vurdere sine retningslinjer for brudd på SoD, for å forsikre seg om at konflikter ikke fører til svindel eller ulovlig aktivitet.
#2. SoD-brudd
Et SoD-brudd kan skje dersom en ansatt i en organisasjon misbruker sin tildelte rolle og bevisst får tilgang til informasjon eller utfører en forbudt aktivitet. Dette betyr at vedkommende bryter organisasjonens interne retningslinjer eller eksterne regelverk.
Ansatte kan begå et SoD-brudd når de har fått kontroll over flere trinn i en prosess, som overskrider de tillatte trinnene. Deretter misbruker de tilgangen til egen fordel.
Eksempel: Et selskap kan ha en policy om at den som ansetter ansatte ikke også skal dele ut lønnsslipp. Grunnen er at hvis de utfører begge oppgavene, kan de misbruke det til egen fordel og begå svindel eller ulovlig aktivitet. Dermed blir dette et SoD-brudd.
Det var et eksempel på et internt SoD-brudd. La oss se på et eksempel på et eksternt SoD-brudd. En senior leder, som en administrerende direktør i en organisasjon, manipulerer regnskapet og bryter SOX-regelverket.
Dette kan føre til store bøter for organisasjonen, og den ansatte kan også risikere fengselsstraff. Dette er svært skadelig for organisasjonen med tanke på omdømme og kostnader.
For å redusere SoD-brudd må organisasjonen overvåke sine brudd og aktiviteten til hver ansatt. De må også fortsette å oppdatere sine retningslinjer i takt med den teknologiske utviklingen.
#3. SoD-matrise
En SoD-matrise er et verktøy som ledere bruker for å håndtere kompleksiteten i SoD. Den gjør det mulig for ledere å skille ulike ansvarsområder, roller og risikoer i en organisasjon.
SoD-matrisen kan identifisere potensielle konflikter i hele organisasjonen og hjelpe til med å løse dem i tide, samtidig som den gir beskyttelse mot alvorlig skade.
SoD-matriser genereres automatisk i moderne selskaper som bruker ERP-programvare. En generert SoD-matrise er basert på brukerens oppgaver og roller som er definert i ERP-programvaren.
Her bør hver oppgave samsvare med en prosess i en transaksjonsarbeidsflyt for å gruppere oppgaver og roller, og sikre at ingen bruker har tillatelse til å utføre mer enn ett trinn i arbeidsflyten.
En SoD-matrise kan også representeres ved hjelp av et diagram, der brukerrollene er plassert på begge aksene – X og Y – som representerer SoD-konflikter. Den kartlegger også plikter og aktiviteter i roller i en arbeidsflyt, for at compliance-team kan skille uforenlige ansvarsområder.
Du kan lage en SoD-matrise ved hjelp av programvare som MS Excel eller manuelt på papir. De kan også lages ved hjelp av et ERP-verktøy.
Eksempel: Her er et eksempel på hvordan du kan lage en SoD-matrise for lønn for en ansatt. Du kan bruke ulike symboler, som ja/nei, fargede flagg eller piler, et hakemerke, osv. for roller og ansvar. La oss bruke J/N i diagrammet nedenfor.
| Prosess | Medarbeider | Ansettelse av ansatte | Opprette lønnsslipper | Sletting av betalinger | Administrere fordeler |
| Ansettelse av ansatte | 1 | J | N | N | N |
| Opprette lønnsslipper | 2 | N | J | J | N |
| Sletting av betalinger | 3 | N | J | J | N |
| Administrere fordeler | 4 | N | N | N | J |
I tabellen over ser vi at ansatt 2 har tillatelse til å opprette lønnsslipper og slette dem. De skal derfor ikke endre ytelser eller ansette ansatte. Hvis de gjør det, kan det oppstå en SoD-konflikt. Tilsvarende er ansatt 1 ansvarlig for å ansette nye medarbeidere. Dermed skal de ikke opprette lønnsslipper, administrere fordeler eller slette betalinger. Hvis de gjør det, kan det oppstå en SoD-konflikt.
Hvordan implementere SoD
Hvis du vurderer å implementere SoD, men er usikker på hvor du skal begynne, kan du følge disse trinnene:
Definer organisasjonsprosesser og retningslinjer
Først må du definere alle de sentrale organisasjonsprosessene som de ansatte er ansvarlige for. Dette kan avhenge av organisasjonens størrelse og bransje. Når du har definert hver prosess og oppgave, bør du også liste opp retningslinjene dine. Definer retningslinjer for dine interne ansatte, eksterne leverandører og andre enheter du samarbeider med.
I HR-avdelingen kan det for eksempel være nyttig å liste opp oppgaver som ansettelse av ansatte, opprette fordeler og kompensasjon, betalinger, journalføring osv. På samme måte kan du i regnskapsavdelingen liste opp oppgaver som bekreftelse av produktlevering, gjennomgang av fakturaer, signering av sjekker, betaling av fakturaer osv.
I tillegg må du beskrive retningslinjene du har laget for dine avdelinger og ansatte. For eksempel skal en ansatt som utsteder en betaling ikke også være den som signerer sjekken. Et annet eksempel kan være at den ansatte som er ansvarlig for å selge et produkt ikke også skal bekrefte leveringen.
Lag en SoD-matrise
Etter å ha definert oppgavene og retningslinjene, må du lage en SoD-matrise for å liste opp alle rollene og oppgavene. Dette vil hjelpe deg med å forstå hvilke ansatte som er ansvarlige for hvilke oppgaver, og om det er fare for en SoD-konflikt eller brudd.
Diagrammet ovenfor kan hjelpe deg med å lage en SoD-matrise for organisasjonen din. Men noen ganger er det vanskelig å oppdage SoD-konflikter, spesielt når representasjonene ikke passer til oppgavene. I slike tilfeller kan du bruke to tilnærminger når du lager en SoD-matrise:
Definer tydelig alle oppgavene og merk hver SoD-konflikt: Dette skaper en stor matrise, men gir bedre nøyaktighet når det gjelder visuell representasjon av oppgaver og roller.
Utelat noen oppgaver eller grupper dem: Dette gir deg en mer konsentrert matrise som er lettere å analysere og fokusere på SoD-konflikter. Det kan imidlertid føre til falske positive funn og feil som påvirker SoD-resultatene og konfliktene.
Tildele oppgaver
Når du har identifisert alle SoD-konfliktene, kan du begynne å tildele oppgaver og underoppgaver til ansatte, og dermed dra nytte av oppgavefordeling. Hvis du kommer over et scenario hvor du ikke kan bruke SoD, må du finne en god måte å kontrollere og overvåke den ansatte som utfører oppgaven på, for å unngå risiko.
Administrer og gjennomgå
Det er viktig å overvåke og gjennomgå oppgavene og rollene dine for å sikre at SoD er implementert korrekt, og at det ikke er noen potensielle konflikter eller brudd. Hvis du oppdager noen, må du administrere rollene og oppgavene ved å tildele dem på nytt. Fortsett overvåkingen for å forhindre risiko.
Konklusjon
Oppgavefordeling (SoD) er en utmerket måte å håndtere interne kontroller og forebygge svindel og feil. Det vil bidra til å sikre organisasjonens sikkerhet, slik at ingen får for stor kontroll, nok til å forårsake skade på organisasjonen din i form av datalekkasjer, svindel eller ulovlige aktiviteter. Implementer SoD i organisasjonen din og vær trygg og årvåken.
Du kan også utforske noen verktøy for svindeloppdagelse og forebygging for nettbaserte virksomheter.