Waarom is functiescheiding belangrijk?

Omdat de meeste verliezen twee dingen vergen: de daad zelf en het verhullen ervan. Eén persoon die apparatuur kan bestellen, in ontvangst kan nemen en het register kan bijwerken, kan een asset laten verdwijnen zonder dat iemand het merkt. Verdeel die stappen over meerdere mensen, en dezelfde daad vraagt nu om samenspanning of levert een verschil op dat iemand anders zal zien. Het beschermt ook eerlijke medewerkers - kon niemand het alleen doen, dan staat ook niemand automatisch onder verdenking wanneer er iets verdwijnt.

Wat is een voorbeeld van functiescheiding?

Een medewerker vraagt een nieuwe laptop aan; zijn leidinggevende keurt het goed; degene die de inkoop regelt plaatst de bestelling; de medewerker tekent bij de overdracht voor het apparaat; en het register legt elke stap vast onder de naam van wie het deed. Niemand in die keten geeft zowel akkoord voor de uitgave als controle over de vastlegging ervan. Dezelfde vorm geldt bij afstoting: wie een asset afschrijft, mag niet degene zijn die hem als laatste in bezit had.

Hoe kan een klein team functiescheiding toepassen?

Richt u eerst op de scheidingen met het hoogste risico in plaats van op volledige scheiding: wie uitgaven goedkeurt mag het register niet bijhouden, en wie een asset in bezit heeft mag niet degene zijn die bij een telling bevestigt dat hij bestaat. Waar een scheiding onmogelijk is, gebruikt u compenserende maatregelen - een eigenaar of leidinggevende bekijkt regelmatig het auditlogboek, goedkeuringen zijn verplicht boven een geldbedrag, en tellingen worden gedaan door iemand buiten het proces.

Functiescheiding: betekenis en voorbeelden

Segregation of duties (functiescheiding) is een interne beheersmaatregel die een proces over meerdere mensen verdeelt, zodat niemand een fout of fraude tegelijk kan plegen én verbergen.

Segregation of duties (SoD, in het Nederlands functiescheiding, soms separation of duties genoemd) is een interne beheersmaatregel die de stappen van een proces over verschillende mensen verdeelt, zodat niemand een fout of fraude tegelijk kan plegen én verbergen. De logica is eenvoudig: de meeste verliezen vergen twee handelingen - de daad uitvoeren en de daad verbergen - en wie elk daarvan mag doen uit elkaar trekken, maakt van een eenpersoonsprobleem een samenspanning, wat zeldzamer, riskanter en makkelijker te ontdekken is.

De vier functies die u gescheiden houdt

Accountants zien functiescheiding als het scheiden van vier rollen binnen elk proces:

Goedkeuring - de aankoop, uitgifte of afschrijving accorderen.
Beheer - de asset, de voorraad of het geld fysiek onder zich hebben.
Vastlegging - het register of grootboek bijhouden waarin de asset voorkomt.
Afstemming - controleren of de administratie overeenkomt met de werkelijkheid.

Een proces is goed gescheiden wanneer niemand twee van deze rollen vervult voor dezelfde transactie. Wie een afstoting goedkeurt, mag niet degene zijn die de asset onder zich had; wie het register bijhoudt, mag niet degene zijn die ertegen telt.

Hoe het eruitziet bij assetbeheer

Bij apparatuur worden fouten in de functiescheiding tastbaar. De patronen die de moeite waard zijn om te handhaven: de medewerker die materiaal wil, is nooit degene die de uitgave goedkeurt; wie leveringen in ontvangst neemt, is niet degene die de bestelling plaatste; wie het register bijhoudt, keurt geen afschrijvingen goed; en de jaarlijkse telling wordt gedaan door iemand die de assets niet onder zich heeft en hun administratie niet bijhoudt. Zelfs alledaags gedeeld materiaal - webcams, scanners, leenlaptops - heeft baat bij de scheiding aanvragen-goedkeuren-vastleggen, want gepoolde apparatuur zonder beheerder is juist waar stille uitval gebeurt. Wie wat mag doen, hoort vastgelegd in een assetbeleid, niet als kennis die alleen in de hoofden van mensen zit.

Kleine teams en compenserende maatregelen

Een bedrijf van drie personen kan vier functies niet vier kanten op verdelen, en doen alsof is een fout op zich. De eerlijke aanpak is risico’s rangschikken en compenserende maatregelen toepassen waar scheiding onmogelijk is: een leidinggevende die het auditspoor bekijkt, verplichte vastlegging van elke goedkeuring, geldbedragen waarboven een tweede persoon moet tekenen, en steekproeftellingen door wie het verst van het proces af staat. Functiescheiding weegt bovendien zwaar genoeg in beveiligingskaders dat ISO 27001 het als afzonderlijke maatregel noemt - certificeringsauditors zullen vragen hoe conflicterende taken worden gescheiden of, als dat niet kan, worden bewaakt.

Veelgemaakte fouten

De maatregel faalt op voorspelbare manieren. Taken op papier scheiden terwijl iedereen één login deelt, maakt het hele punt teniet - herleidbaarheid is wat de scheiding afdwingbaar maakt. Functiescheiding alleen op geld toepassen en niet op assets, mist de makkelijkere diefstal. Beheerdersrechten negeren is de subtiele valkuil: wie elk record kan bewerken, kan elke scheiding omzeilen, dus beheerderstoegang vraagt om een eigen controle. En één overbelaste persoon achtereenvolgens door alle vier functies laten rouleren is geen functiescheiding, dat is planning.

Functiescheiding in de praktijk

De maatregel werkt alleen als de dagelijkse tools hem afdwingen, want mensen omzeilen onder tijdsdruk alles wat optioneel is. In AMPthilly scheidt het rollenmodel de functies van nature - medewerkers vragen assets aan, leidinggevenden of beheerders keuren goed, en elke beslissing wordt in het auditspoor vastgelegd onder de genoemde goedkeurder. Hoe het ook wordt ingericht, de toets blijft dezelfde: kies een asset die vorig jaar het gebouw verliet en vraag u af of één persoon dat alleen, zonder registratie, had kunnen laten gebeuren.

Gerelateerde termen

ISO 27001 Asset Management - de beveiligingsstandaard die functiescheiding als maatregel noemt
Informatieregister (ISO 27001) - de vastlegfunctie die volgens functiescheiding gescheiden moet zijn van het beheer
Assetbeleid - waar de wie-mag-wat-scheidingen worden vastgelegd
Gebruikersreglement - de bijbehorende regels voor de mensen die de assets onder zich hebben
Bewaartermijn administratie - houdt goedkeurings- en auditbewijs ook later opvraagbaar

Begrippenlijst

Wat is functiescheiding?

De vier functies die u gescheiden houdt

Hoe het eruitziet bij assetbeheer

Kleine teams en compenserende maatregelen

Veelgemaakte fouten

Functiescheiding in de praktijk

Gerelateerde termen

Gerelateerde gidsen

Webcams beheren: een register voor bedrijfswebcams

Scanners beheren: document- en barcodescanners bijhouden

Begrippen uit deze gids

Laat uw register het werk doen

Wij respecteren uw privacy