Brain-Media.de/Compliance-Lexikon/Segregation of Duties/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Segregation of Duties – Praxis

Segregation of Duties ist im Audit ein klassisches Prüffeld – und gleichzeitig eines, bei dem kleine und mittlere Organisationen strukturell benachteiligt sind: Wenig Personal bedeutet viele Rollenkonflikte. Entscheidend ist nicht, alle Konflikte aufzulösen, sondern sie zu kennen und nachweisbar zu adressieren.

Was Auditoren konkret prüfen

Der Auditor erwartet eine SoD-Matrix, aus der hervorgeht, welche Rollenkombinationen als kritisch eingestuft werden und wie mit bestehenden Konflikten umgegangen wird – entweder durch Trennung oder durch kompensatorische Kontrollen.

BAM-Objekt · Praxis GOV-SOD-01
Gap-CheckLiegt eine aktuelle SoD-Matrix mit dokumentierten Konflikten und Maßnahmen vor?
RemediationKritische Prozesse identifizieren, Rollenkonflikte dokumentieren, Trennung oder kompensatorische Kontrollen implementieren
EvidenceSoD-Matrix mit Datum, Maßnahmen für jeden Konflikt, Review-Protokoll bei Rollenänderungen

Häufige Fehler

  • Keine SoD-Matrix vorhanden
  • Konflikte dokumentiert, aber keine kompensatorischen Kontrollen definiert
  • SoD-Analyse nur einmalig, nicht bei Rollenänderungen wiederholt

Praxis-Tipp

Eine SoD-Matrix muss nicht komplex sein. Eine Tabelle mit Rollen in Zeilen und Spalten, in der kritische Kombinationen markiert sind, reicht als Ausgangspunkt. Wichtig ist, dass für jeden markierten Konflikt eine Maßnahme (Trennung oder kompensatorische Kontrolle) eingetragen ist.

Aufbau einer SoD-Matrix

Schritt 1: Kritische Prozesse identifizieren (Finanz, IT-Admin, Deployment, Audit). Schritt 2: Rollen und Personen diesen Prozessen zuordnen. Schritt 3: Konflikte identifizieren (eine Person in zwei inkompatiblen Rollen). Schritt 4: Für jeden Konflikt entweder Trennung oder kompensatorische Kontrolle definieren und dokumentieren. Schritt 5: Matrix mindestens jährlich und bei Rollenänderungen aktualisieren.

Evidence-Anforderungen im Audit

Vorzulegen sind: aktuelle SoD-Matrix mit Datum, Nachweis der Maßnahmen für identifizierte Konflikte, Review-Protokoll und Nachweis, dass SoD-Analyse bei Rollenänderungen wiederholt wird. Das BAM-Objekt GOV-SOD-01 listet diese Anforderungen als prüfbare Checkliste.

Nächster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – SoD als strukturelles Steuerungsprinzip – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper