U bent hier

Onderneming & Administratie
Risicomanagement8. Functiescheiding8.3 Ongewenste functiecombinatie
Voor Onderneming & Administratie

8.3 Ongewenste functiecombinatie

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: april 2025

voorkomen

Als je niet alle gewenste functiescheidingen kunt realiseren, moet je overwegen welke combinatie van functies het minste risico van onjuist handelen met zich meebrengt. Het gaat dus om het voorkómen van ongewenste functiecombinaties. Vooral combinaties van de beschikkende, bewarende en registrerende functies zijn ongewenst. Zo is het ongewenst dat het hoofd administratie optreedt als procuratiehouder, het kasgeld beheert én het kasboek bijhoudt.

Voorbeeld

Ter illustratie een voorbeeld van een ongewenste functiecombinatie. Stel dat een werknemer van de crediteurenadministratie een inkoopfactuur inboekt en ook de systeemrechten heeft om gegevens en rekeningnummers van crediteuren te wijzigen. Dan bestaat er een kans dat deze werknemer rekeningnummers van crediteuren wijzigt in zijn eigen rekeningnummer. Om te voorkomen dat de échte crediteur aanmaningen gaat sturen, maakt de werknemer daarnaast valse facturen aan. De werknemer heeft dus te veel bevoegdheden en de kans op fraude ligt dan op de loer.

Stappen

acties

Het is belangrijk om nog eens goed te kijken naar de functiescheiding in de onderneming. Je kunt de volgende acties ondernemen om fraude tegen te gaan:

  • Som relevante processen op (verkoop, inkoop, voorraadbeheer, salarissen).
  • Beschrijf van elk proces de handelingen binnen het proces, het type handeling (beschikkend, bewarend, registrerend of controlerend) en de werknemer die de handeling uitvoert.
  • Bepaal of sprake is van ongewenste functiecombinaties en hef deze op door handelingen te herverdelen of andere werknemers en controlerende handelingen aan het proces toe te voegen.

8.3.1 Toekennen van systeemrechten

oplossing

Om fraude binnen een onderneming tegen te gaan, is het belangrijk om de gelegenheid voor het plegen van fraude tot een minimum te beperken. Een oplossing om functiescheidingen te garanderen is het toekennen van systeemrechten aan werknemers, bijvoorbeeld met een systeem voor ‘enterprise resource planning’ (ERP). Dit is een overkoepelend IT-systeem dat helpt om de beschikbare middelen in de onderneming, zoals materialen en de capaciteit van personeel en machines, zo effectief mogelijk in te zetten.

Te veel bevoegdheden voor de systeembeheerder

zelfstandig

Als het goed is, zijn in het ERP-systeem de gewenste functiescheidingen van de onderneming vastgelegd. Maar als de systeembeheerder als enige de bevoegdheid heeft om zelfstandig systeemrechten te verstrekken, te wijzigen of in te trekken, dan heeft de systeembeheerder weer te veel bevoegdheid. De systeembeheerder kan daardoor eenvoudig de functiescheidingen doorbreken en fraude plegen.

onderbelicht

De handhaving van functiescheidingen in een geautomatiseerd systeem is vaak onderbelicht. Je moet daar voldoende aandacht aan schenken en dat goed regelen voor de onderneming.

Voorkomen

logging

De fraude door een systeembeheerder (zie kader hiervoor) kun je voorkomen door in het proces van rechtentoekenning een scheiding aan te brengen. Het gaat er om dat de handelingen van de systeembeheerder digitaal worden bijgehouden (‘logging’) en gemonitord als compenserende maatregel tegen de ontbrekende functiescheidingen. De systeembeheerder moet de logging dan natuurlijk niet ‘uit kunnen zetten’ en die logfile moet je natuurlijk wel onafhankelijk van hem controleren.

8.3.2 Te weinig werknemers

vier ogen

Als er in de onderneming te weinig werknemers werken om met ‘vier ogen’ naar de uitvoering van een functie te kijken, kun je op verschillende manieren problemen (zoals het maken van fouten en fraude plegen) voorkomen.

Door middel van automatisering en beperking van bevoegdheden kun je fraude tegengaan. Maar ook onverwachte tellingen of voorraadinventarisaties kunnen deze onvolkomenheden aan het licht brengen.

Integer

normen en waarden

Breng ongewenste functiecombinaties in beeld en schat de risico’s hiervan in. Het is raadzaam om gewenste normen en waarden helder te communiceren en vast te leggen, met het daarbij behorende sanctiebeleid. Leg ook richtlijnen en instructies voor de uitvoering van procedures schriftelijk vast. Uiteraard moet je zelf het goede voorbeeld geven en een integere en gezonde organisatiecultuur voorstaan.