Skip to the main content.

Produktpakker

SIVIS Enterprise Security er den ultimative løsning til hurtig og effektiv IAM. Udforsk vores udgaver og find den løsning, der opfylder din organisations behov. 

Få mere at vide 

Karriere hos SIVIS

Din karriere starter her! Ansøg hos SIVIS og bliv en del af et fantastisk team.

Ledige stillinger

 

Segregation of Duty


Book en demo

Sikring af en pålidelig adskillelse af opgaver

Ved Segregation of Duty (SoD) forstås en kombination af tilladelser og beslutningsbeføjelser, der forhindrer, at der opstår for store interessekonflikter i en organisation, eller at enkeltpersoner forårsager store skader, hvis de ikke overvåges. Med andre ord er det et princip om arbejdsdeling, der primært har til formål at minimere økonomiske risici i enhver forretningsproces.

Det kaldes også for funktionsadskillelse eller undgåelse af compliance-konflikter; nogle gange bruges også udtrykket "adskillelse af opgaver".

 

Hvorfor er Segregation of Duty vigtigt?

Der kan opstå en Segregation of Duty-konflikt, hvis en bruger har for mange rettigheder i et SAP-system - dette sker ofte, men kan medføre større omkostninger for virksomheden.

Et eksempel kunne være en medarbejder i regnskabsafdelingen, som kan administrere kunde- og leverandørdata samt føre tilsyn med oprettelse og betaling af fakturaer. Teoretisk set ville denne medarbejder kunne oprette en fiktiv leverandør og pålægge denne at betale for fakturaer, som han selv har oprettet.

For at minimere risikoen for, at denne adfærd overhovedet er mulig, og for at undgå, at der overhovedet opstår mistanke, er de her beskrevne opgaver og pligter fordelt på flere personer (adskillelse). Administrationen af autorisationer bør altid organiseres på en sådan måde, at retningslinjerne for compliance overholdes.

Segregation of Duties spiller også en rolle i forbindelse med adskillelse af f.eks. oplagring, bestilling og kontrol med virksomhedens lager (Assets) af materialer eller produkter - igen for at undgå fejl og misbrug af tildelte autorisationer.

Systemer som SAP sikrer kontrol

I systemer som SAP er det muligt at tildele (og begrænse) specifikke tilladelser, hvilket i høj grad minimerer Segregation of Duty-konflikter.

Et centralt princip for SoD er Role-Based Access Control (RBAC), som skal forhindre interessekonflikter og svigagtige handlinger, men først og fremmest forhindre simple fejl. Det centrale princip er, at visse ændringer og handlinger kræver godkendelse fra mere end én bruger.

Inden for et it-system kan en sådan godkendelsesmodel gennemføres, vedligeholdes og overvåges f.eks. af en centraliseret Identity and Access Management-platform (IAM).


En audit kontrollerer, om der er mulige konflikter

I de fleste it-systemer er der mulighed for automatiserede audits, som kan registrere, om de tildelte tilladelser kan udløse SoD-konflikter. Hvis der identificeres en konflikt, udarbejdes der normalt et forslag til at løse konflikten.

Typisk løses konflikten ved at tilbagekalde visse autorisationer fra de enkelte brugere. Det er dog ikke altid alle konflikter, der kan undgås i alle processer - i meget små teams kan rollerne og dermed opgaverne f.eks. kun i et vist omfang opdeles. Dette skal så begrundes og logges af hensyn til compliance - og beslutninger, der træffes på trods af en kendt konflikt, skal måske undersøges særskilt under en audit.

Prøv vores Compliance Quick Check!

Med over 500 gennemprøvede Audit Queries og vores mangeårige erfaring kan vi hurtigt fastslå, om der er konflikter i dit autorisationskoncept, og give dig øjeblikkelige anbefalinger til, hvordan du løser dem.

Få mere at vide om Quick Checks nu!

orangeArrowDown

Hvis du bruger SAP, er der mulighed for at bruge SAP's GRC-løsninger direkte; GRC står for "Governance, Risk & Compliance". Disse tilbyder automatisk og kontinuerlig kontrolovervågning i realtid. Implementeringen er dog meget tidskrævende, kompleks og omkostningskrævende.


Et spørgsmål om compliance

Overtrædelser af compliance er altid et vigtigt spørgsmål for revisorer og interne og eksterne auditorer - og kan hurtigt blive et problem. Det er derfor vigtigt at bruge passende software til proaktivt at sikre at eksisterende compliance-retningslinjer og andre regler sikres gennem fornuftig Segregation of Duties i dit system.