Aufgabentrennung und Zugriffssicherheit

Während Prüfer Bereiche auf organisatorisches Risiko und Genauigkeit des Auszugs überprüfen, untersuchen sie die Einführung und Praxis verwandter interner Kontrolltechniken für Aufgabentrennung und Zugriffssicherheit.

Aufgabentrennung

Ein Hauptaugenmerk der Einhaltung gesetzlicher Vorschriften liegt darauf, sicherzustellen, dass nur die richtigen Personen auf Daten zugreifen oder diese erstellen. Aufgabentrennung ist der Akt der Trennung und Zuweisung von Schritten in einem Prozess an verschiedene Eigentümer, was als doppelte Überprüfung der Richtigkeit und der Abwesenheit von Betrug dient. Grundsätzlich muss eine Organisation sicherstellen, dass Verantwortlichkeiten die Aufgabentrennung unterstützen, damit eine Person die Finanzkontrollen nicht umgehen oder die End-to-End-Verantwortung für einen Prozess tragen kann.

Weitere Informationen finden Sie unter:

• Berechtigungen
• Berechtigungs-Report für alle Benutzer
• Report zu Benutzerberechtigungsaktivität

Überlegungen zur Aufgabentrennung

Viele Unternehmen haben Schwierigkeiten, einen zugriffsbasierten Rahmen für die Aufgabentrennung zu implementieren, da es an Personal in finanzbezogenen Rollen mangelt. Folglich müssen sie die Zugangskontrollen durch mildernde Detektivkontrollen ergänzen.

Generell gilt: Liste Sie die Steuerelemente für die Aufgabentrennung im Hauptkontrollframework der Organisation und nicht im Zugriffskontrollframework auf. Dies ermutigt das Unternehmen, andere Möglichkeiten zum Risikomanagement in Betracht zu ziehen, als sich auf Zugriff und Berechtigungen zu verlassen.

Zugriffssicherheit und Berechtigungen

Mit Sage Intacct können Administrator*innen den Zugriff auf verschiedene Anwendungsbereiche basierend auf ihrer Rolle und Abteilung einschränken. Ein IT-Manager könnte beispielsweise einem neuen Mitarbeiter, der für die Kreditorenbuchhaltung zuständig ist, nur Zugriff auf die Anwendung "Kreditorenbuchhaltung" von Sage Intacct gewähren und gleichzeitig den Zugriff auf andere Anwendungen wie Debitorenbuchhaltung und Zahlungsverkehr verhindern.

Zu den verschiedenen Möglichkeiten, den Zugriff auf Funktionen einzuschränken und Aufgabentrennung in Sage Intacct zu erreichen, gehören:

• Der Standardweg sind Berechtigungen. Berechtigungen können auf individueller Ebene oder mit Rollen verwaltet werden. Weitere Informationen finden Sie unter:
  • Berechtigungen
  • Reports zu Benutzer-Berechtigungen
• Reports und Dashboards können mit eingeschränkten Zugriffslisten erstellt werden. Bei eingeschränkten Listen können nur bestimmte Benutzer auf die Daten im Report oder Dashboard zugreifen. Weitere Informationen finden Sie unter Tab "Berechtigungen".
• Transaktionsdefinitionen können mit Regeln erstellt werden, um den Zugriff auf Funktionen für eine bestimmte Aktivität einzuschränken. Beispielsweise kann eine Verkaufsrechnung nur mit Bezug auf einen Kundenauftrag erstellt werden. Darüber hinaus kann eine Transaktionsdefinition mit eingeschränkten Zugriffslisten erstellt werden. Bei eingeschränkten Listen können nur bestimmte Benutzer diese Transaktionen erstellen oder darauf zugreifen. Weitere Informationen finden Sie unter Transaktionsdefinitionen (die Benutzer- und Gruppenberechtigungen auf der Tab "Security Konfiguration").

Überlegungen zu Zugriffssicherheit und Berechtigungen

Viele Zugriffsprobleme können aufgrund der Anforderungen und Realitäten des Unternehmens auftreten, insbesondere wenn Unternehmen skalieren und Änderungen an Betrieb und Personal erfahren. Zu diesen Problemen können gehören:

• In kleinen und mittleren Unternehmen sind die Rollen der Mitarbeiter tendenziell flexibler. Es wird also ein Zugriff gewährt, der nicht den Audit-Anforderungen entspricht. Dies ist kein Problem, wenn sie klein bleiben, aber sie erfordern möglicherweise mehr organisatorische Disziplin, wenn sie wachsen, bestimmte Finanzmittel anstreben oder eine Änderung der Rechtsstruktur planen.
• Organisatorische Änderungen, die sich darauf auswirken, wer was tut, erfordern möglicherweise eine Neugestaltung der Zugriffsberechtigungen, nachdem das System verwendet wurde. Eine solche Neugestaltung erfordert zusätzlichen Zeit- und Arbeitsaufwand für die Bewertung, Aktualisierung und Prüfung.
• Viele Unternehmen neigen dazu, sich zu sehr auf Zugriffskontrollen zu verlassen, um Ziele der Existenzkontrolle zu erreichen, anstatt die Leistungsfähigkeit von Detektivkontrollen (wie Berichte und Überwachung) ganzheitlicher zu betrachten, die in kleinen und mittleren Unternehmen oft effektiv sind.
• Es kann sehr komplex sein, Berechtigungen von Anfang an richtig zu gestalten. Verstehen Sie vor dem Entwurf das volle Potenzial der ausgefeilten Zugriffskontrollen von Sage Intacct und antizipieren Sie alle Organisationsanforderungen, einschließlich zukünftiger Anforderungen.

Externe Wirtschaftsprüfungsgesellschaften konzentrieren sich manchmal auf Zugriffskontrollen, bevor sie vollständig verstanden haben, wie eine Sage Intacct-Lösung Finanzkontrollen durchführt, da Zugriffskontrollen einfacher zu prüfen und Fehler leichter zu finden sind. Denken Sie daran, dass Zugangskontrollen nur ein Element der Kontrolle sind und dass auch die anderen Möglichkeiten zum Nachweis der Existenz/Echtheit von Transaktionen in Betracht gezogen werden müssen, wie z. B. Detektiv- und Überwachungskontrollen.

Zugriffssicherheit und Berechtigungen

Zugriffs- und Berechtigungsfunktionen	Begründung	Einschränkungen
Transaktions- und menübasierter Zugriff	Leicht verständlich und sichtbar. Einfach zu gestalten, da Sicherheitsüberprüfungen zu Beginn der Transaktion verrückt sind.	Unterstützt möglicherweise keine komplexen Zugriffsanforderungen
Workflow-basiert	Unerlässlich für die Unterstützung von Workflow-Kontrollen.	Kann komplex sein, wenn die Workflows zu komplex sind
Datenelementbasiert (z. B. Entität oder Lieferant)	Unterstützt die Kontrolle vertraulicher Daten (z. B. Behördenverträge, vertrauliche Felder wie Bankdaten, persönliche Daten von Mitarbeitern, die Lieferanten sind).	Kann die Notwendigkeit einer Transaktionslogik vorschreiben, die erfordert, dass diese Daten im Voraus eingegeben werden
Spezielle Berechtigungen für bestimmte Transaktionen	Wo es spezifische Zugriffsberechtigungen gibt, die an die Funktionalität gebunden sind. Dies ist häufig bei Systemadministrationsaktivitäten der Fall, kann aber auch auf Geschäftsvorgänge ausgeweitet werden.	Erhöht die Komplexität, kann aber eine Lösung für bestimmte Anforderungen sein
Funktionen für benutzerdefinierte Sicherheitsüberprüfungen, die Kunden definierte Regeln ermöglichen	Bietet mehr Flexibilität.	Prüfer müssen die Wirksamkeit dieser Kontrollen verstehen und testen.