Segregation of Duties – Strategie

Segregation of Duties ist eines der ältesten Kontrollprinzipien in der Governance – und eines der wirksamsten. Es setzt nicht auf Vertrauen, sondern auf Prozessdesign: Missbrauch und Fehler werden strukturell erschwert, nicht nur durch Richtlinien verboten.

Die strategische Perspektive

In einem strategisch aufgestellten Compliance-Programm ist SoD kein nachträglicher Kontrollgedanke, sondern ein Designprinzip. Prozesse werden von Beginn an so gestaltet, dass kritische Schritte auf mehrere Schultern verteilt sind. Das reduziert nicht nur Missbrauchsrisiken, sondern auch Fehlerquoten – weil ein zweites Paar Augen viele Irrtümer verhindert.

SoD und Zero Trust

Zero-Trust-Architekturen und SoD verfolgen dasselbe Ziel: Kein einzelner Akteur soll unkontrollierten Zugriff auf kritische Ressourcen haben. SoD ist die organisatorische Umsetzung dieses Prinzips, Zero Trust die technische. Wer beides konsequent umsetzt, hat eine doppelte Schutzschicht – die organisatorische Rollenstruktur verhindert Missbrauch, die technische Zugriffskontrolle erzwingt sie. Das BAM-Objekt GOV-SOD-01 verknüpft beide Ebenen.

Automatisierung von SoD-Analysen

In ERP-Systemen wie SAP oder in Identity-Governance-Plattformen lassen sich SoD-Konflikte automatisiert erkennen und bei Rollenzuweisungen blockieren. Diese Automatisierung ist der strategische Hebel: SoD wird von einer manuellen Prüfung zu einem laufend überwachten Kontrollmechanismus. Evidence entsteht automatisch, der Audit-Aufwand sinkt erheblich.

Den praktischen Einstieg – SoD-Matrix, Konfliktanalyse und kompensatorische Kontrollen – findet sich auf Ebene 2.