Rollebasert tilgangsstyring (RBAC) gir hver bruker i regnskapssystemet en tydelig rolle, slik at de kun får tilgang til data og prosesser de faktisk trenger. Modellen støtter kravene til internkontroll og minimerer risikoen for feil eller misbruk av kritiske regnskapsdata.
Hvorfor rollebasert tilgangsstyring er kritisk
- Beskyttelse av sensitiv data: Avgrenser hvem som kan se lønnsinformasjon, leverandørgjeld og selskapshemmeligheter.
- Støtte for revisjon og sporbarhet: Detaljert logging gjør det enklere å føre avvikshåndtering.
- Effektiv oppgavedeling: Klare roller bidrar til bedre arbeidsflyt og raskere kontinuerlig regnskapsavslutning.
- Regulatorisk etterlevelse: Dokumentert tilgangskontroll er et krav i internkontrollforskriften.
Vanlige roller i et regnskapssystem
| Rolle | Typiske tilganger | Nøkkelkontroller |
|---|---|---|
| Økonomisjef | Full oversikt, budsjett, perioderapporter | Må godkjenne rolleendringer og følge opp nøkkeltall |
| Regnskapsfører | Bilagsføring, bank, mva-melding | To-faktor og godkjenning av hovedbok før rapportering |
| Lønnsmedarbeider | Lønn, fravær, ansattreskontro | Begrenset innsyn i hovedbok, kontroll av lønnslister |
| Prosjektleder | Prosjektbudsjett, tidsbruk, attestering av fakturaer | Må attestere innen frist og har ingen bokføringsrettigheter |
| Revisor/Controller | Lesetilgang, rapporter, loggdata | Lesetilgang kombinert med tofaktorautentisering |
Slik bygger du en RBAC-modell i ReAI
- Kartlegg prosessene: Dokumenter hvem som eier ansvar for fakturering, rapportering og betaling.
- Definer roller og rettigheter: Beskriv hvilke funksjoner hver rolle trenger, og koble regnskapskonti og moduler til rollen.
- Etabler godkjenningsregler: Krev at leder eller styre godkjenner nye roller og endringer.
- Aktiver tofaktor: Kombiner roller med tofaktorautentisering for brukere med sensitive tilganger.
- Test og dokumenter: Kjør tilgangstester og lagre resultater som en del av systemets revisjonsforberedelse.
Automatiserte kontroller og varsler
- Varsler ved rollekonflikt: ReAI flagger når samme bruker har roller som bryter med prinsippet om funksjonsdeling.
- Logganalyse: Systemet analyserer aktivitet og fremhever uvanlige hendelser som kan kreve avstemming.
- Periodiske tester: Ukentlige kontrollrapporter viser hvilke roller som ikke har vært brukt, slik at de kan deaktiveres og redusere angrepsflaten.
Beste praksis sjekkliste
- Lås inaktive brukere etter 30 dager uten innlogging.
- Dokumenter godkjenning av roller i styreprotokoll eller delegeringsmatrise.
- Gjennomfør kvartalsvis gjennomgang av roller sammen med styret.
- Kombiner rollegjennomgang med styrets overordnede vurdering av virksomhetsrisiko for å sikre helhetlig internkontroll.
Ofte stilte spørsmål
Hvordan balanserer vi sikkerhet og effektivitet?
Start med standardroller, men gi fleksibilitet gjennom midlertidige tilganger med utløpsdato. På den måten får medarbeidere nødvendig tilgang uten at sikkerheten svekkes.
Hva gjør vi når ansatte bytter rolle?
Bruk en offboarding-prosess som automatisk fjerner gamle roller før nye rettigheter gis, og sørg for at endringer logges for eventuell revisjon.
Hvordan dokumenterer vi rolleendringer for revisjonen?
Eksporter endringslogg fra ReAI og legg ved revisjonsfilene sammen med signert godkjenning fra leder eller styret.