Articles for maart 2017

Autorisaties en bevoegdheden vastleggen. Ook noodzakelijk voor het MKB

Het vastleggen van autorisaties en bevoegdheden lijkt voor kleine en middelgrote organisaties niet echt nodig te zijn. De directeur en/ of een daarvoor aangewezen medewerker doen de betalingen. De administratie legt alles vast. Inkoop bestelt nieuwe voorraden en Logistiek / het Magazijn let op de voorraden.
 
Duidelijk! Toch?
Nou nee!
Want wat mag de administratie vastleggen? En mag Inkoop alles bestellen en inkopen? En hoe let Logistiek / het Magazijn op de voorraden? Dit zijn allemaal vragen, die met bevoegdheden en autorisaties te maken hebben. Zeker als daar een geautomatiseerd systeem bij betrokken is, waar de voorraad wordt bijgehouden door Logistiek / het Magazijn, Inkoop de inkopen vastlegt en de afdeling Verkoop nagaat of er genoeg voorraad is om te verkopen.
Een dergelijk systeem roept ook weer vragen op zoals: wie mag welke zaken zoals aantallen voorraden, hoogte bestellingen, het aantal verkochte stuks bijhouden. Maar ook vragen als: wie mag nieuwe artikelen opvoeren in het systeem, wie mag prijzen aanpassen en niet onbelangrijk wie mag wijzigingen in het geautomatiseerd systeem uitvoeren.
Het vastleggen van al deze bevoegdheden en autorisaties lijkt bureaucratisch, maar geeft aan de organisatie – groot én klein – duidelijkheid, structuur en rust.
 
Redenen om autorisaties en bevoegdheden vast te leggen
Hieronder staan enkele belangrijke redenen waarom u de autorisatie van medewerkers vastlegt:
  • duidelijkheid naar medewerkers wat ze wel en wat ze niet mogen
  • door het vastleggen van autorisaties wordt de functiescheiding tussen medewerkers duidelijk
  • wijzigingen in het systeem zijn traceerbaar
  • bescherming van gevoelige gegevens
  • voorkomen van fraude
  • het niet zomaar overschrijden van limieten.
 
Hoe legt u autorisaties en bevoegdheden vast?
Van elk systeem inventariseert u welke medewerkers toegang hebben of moeten hebben en wat hun taken en verantwoordelijkheden zijn met betrekking tot dat systeem. U registreert dus de rollen van de medewerkers in het systeem. Rollen als raadplegen, invoeren, wijzigingen. Rollen kunt u ook zien als de handelingen, die een medewerker in het systeem mag uitvoeren.
Bijvoorbeeld: het hoofd van een afdeling mag de gegevens van zijn medewerkers alleen inzien, terwijl de medewerker van de personeelsadministratie deze gegevens ook mag invoeren en wijzigen.
Deze rollen legt u dan vast in een autorisatietabel.
Deze rollen zult u dan ook in het systeem moeten (laten) programmeren, zodat het systeem ook “meewerkt”. Vervolgens zult u dan ook bij wijzigingen de autorisatietabel moeten onderhouden.
En dat geldt zowel voor de wijzigingen bij de medewerkers, alsook wijzigingen in de rollen en de wijzigingen in de gegevens in het systeem, die bij de rollen horen.
Wanneer een dergelijke registratie van autorisaties door middel van tabellen is vastgelegd en wordt onderhouden, houdt u grip op uw organisatie. Kortom u weet welke medewerkers, welke acties mogen uitvoeren in uw bedrijfssysteem.
Wilt u meer weten over autorisatie, autorisatietabellen en procedures rondom autorisatie? Neem dan contact op met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.