Om fraude te voorkomen binnen je organisatie is functiescheiding essentieel. Door de bevoegdheden rondom het verwerken van gegevens te verdelen, beperk je bedrijfsrisico’s en bevorder je transparantie.
Voor veel organisaties is het echter lastig om dit goed te organiseren. Vooral op gebied op HR & Payroll. Vaak zijn er namelijk maar een handvol medewerkers voor een breed takenpakket verantwoordelijk.
Hoe kun je functiescheiding dan goed organiseren? In dit artikel krijg je antwoord op al je vragen.
Waarom is functiescheiding belangrijk?
Functiescheiding is een belangrijk principe van interne controle. Het houdt in dat je taken en verantwoordelijkheden zo verdeelt, dat tegengestelde belangen en fraude worden voorkomen.
In de salarisadministratie betekent dit dat de verantwoordelijkheden van de verschillende taken moeten worden gescheiden. Op deze manier voorkom je dat één persoon het hele proces van begin tot eind kan beheersen.
Voorbeeld
Wie controleert het payrollproces als alle teamleden in de salarisadministratie ook betrokken zijn bij de salarisverwerking? Hier is geen vastomlijnd antwoord op.
Bij de ene organisatie ligt deze controlerende functie bij de HR-directeur, bij de andere organisatie ligt dit bij finance. Het belangrijkste hierbij is dat degene die de salarisverwerking controleert, niet bevoegd is om te muteren.
Administreren vs. controleren
Hier ligt dan ook de uitdaging. Vaak bestaat de verwarring dat de salarisadministratie ook verantwoordelijk is voor de uiteindelijke totaalcontrole. Maar eigenlijk zegt de functietitel het al: zij administreren op hun vakgebied.
Wil je functiescheiding goed borgen?
Zorg dan dat degene die de eindcontrole doet de salarisdata wél kan inzien, maar níet kan wijzigen.
De verwerking en controle moeten dus onafhankelijk van elkaar gebeuren.
Is dit niet het geval? Dan loop je het risico dat degene die controleert, ook direct de wijziging doorvoert. Dit doet de waarde van de eindcontrole eigenlijk teniet.
Het maakt daarom niet uit of HR of finance verantwoordelijk is voor de payroll-controle. Als zij maar niet kunnen muteren in het systeem.
Dit betekent uiteraard niet dat de salarisadministratie niets controleert. De salarisadministratie is juist verantwoordelijk voor de controle van de salarissen op basis van wet- en regelgeving.
De eindcontrole gaat echter om vragen als:
- zijn de uitbetaalde salarissen naar verwachting, is dit meer dan vorige maand?
- Klopt het verwachte bedrag aan bonussen en vakantiegeld?
Dit moet worden gecontroleerd door mensen die alleen de salarisdata kunnen bekijken, maar niets kunnen wijzigen.
Hier zie je een illustratie van een simpele functiescheiding rondom het payrollproces:
Controleren voor of na de uitbetaling
De uitdaging van een goede functiescheiding is dat de doorlooptijd van de salarisverwerking langer wordt.
Je moet immers wachten op de controle door een andere partij. Klopt er vervolgens iets niet? Dan moet het langs de salaris- of personeelsadministratie om de gegevens te onderzoeken en wijzigen. Daarna kan het weer naar de eindcontrole.
Dit heeft natuurlijk een nadeel. Als je na de uitbetaling van de salarissen controleert, moet je de maand erop de correcties doorvoeren. Idealiter vinden de controles dus eerder plaats dan de betaling van de salarissen.
Zo zorg je dat je controleert vóór de uitbetaling
Door je proces slim te automatiseren, kun je de functiescheiding borgen en eerder in het proces controleren. Hoe meer je automatiseert en meer gebruik maakt van workflows waarin je looncomponenten standaard koppelt, hoe sneller je de controle kunt doen. Het mooiste is natuurlijk als dit gebeurt voordat je uitbetaalt.
Kun je alles automatiseren?
Vanwege uitzonderingen is in de praktijk meestal niet wenselijk is om de complete administratie te automatiseren.
Stel je voor dat alle medewerkers vanaf 10 km woonwerk automatisch een vergoeding krijgen op basis van een staffel. Toch heb je bij het aannemen van bepaalde medewerkers iets anders afgesproken. Hiervoor moet de vergoeding dus handmatig ingevoerd worden. De controle hiervan kun je niet automatiseren.
Nog een voorbeeld: De gewerkte uren importeer je rechtstreeks via een urenkoppeling. Daarnaast worden er nog enkele uitzonderingen handmatig geregistreerd, omdat een aantal collega’s niet met het urenregistratiesysteem werken.
80-20%-regel
Ons advies is om 80% van de administratie te automatiseren en 20% door de medewerkers te laten invoeren of wijzigen. Zo muteert de salarisadministratie zo weinig mogelijk. Hierdoor kunnen zij zich juist richten op de controles en de 20% uitzonderingen.
Dit zorgt ervoor dat het payrollproces zo efficiënt mogelijk verloopt. De payroll-specialist kan in een vroeg stadium zijn eigen controles doen. Hierdoor kan het op tijd naar de eindverantwoordelijke (HR of finance director). Mooi bijkomend voordeel: hiermee voorkom je de piekbelasting in de salarisadministratie.
Handmatig ingevoerde mutaties
In het geval van handmatig ingevoerde mutaties, is het slim om het 4-ogen principe te hanteren. Dit komt de nauwkeurigheid en integriteit van de salarisadministratie ten goede.
Functiescheiding organiseren in 8 stappen
Dit klinkt allemaal logisch, maar in kleine teams is het lastig om een strikte functiescheiding te handhaven. Want wat gebeurt er als er iemand op vakantie is en je voor elkaar moet invallen? Hoe zorg je dat iemand op het juiste moment totaal geen rechten heeft?
Een deel van deze uitdagingen ondervang je met behulp van logbestanden. Hierin kun je terugzien wie er op welk moment wat wijzigt en wie er welke rechten heeft.
Met de volgende stappen verbeter je de interne controle en beperk je het risico op fraude:
- Geef alleen toegang tot specifieke functies en gegevens die relevant zijn voor hun taken.
- Autoriseer altijd op basis van functies en niet op de medewerker zelf. Bijvoorbeeld: beperk de toegang van de personeelsadministrateurs tot salarisgerelateerde gegevens en omgekeerd.
- Om functiescheiding te handhaven, mogen controlerende functies geen mutaties kunnen doorvoeren.
Matrix: verantwoordelijkheid en taken
Hieronder vind je een voorbeeldmatrix met verschillende taken en verantwoordelijkheden van de personeels- en salarisadministratie.
Let wel: verantwoordelijkheid staat niet gelijk staat aan uitvoering.
De verantwoordelijke wordt erop aangesproken als er iets misgaat. De uitvoering van taken kan automatisch gebeuren. Denk aan een urenregistratiesysteem. Ook kan de uitvoering bij een andere afdeling liggen, bijvoorbeeld de personeelsadministratie.
De salarisadministratie is er vervolgens verantwoordelijk voor dat het voldoet aan de wet- en regelgeving.
Deze matrix geeft een brede selectie van taken en verantwoordelijkheden weer in de personeels- en salarisadministratie.
Let op: de daadwerkelijke taken kunnen variëren afhankelijk van de specifieke organisatie en context. Deze matrix kun je als een startpunt gebruiken en aanpassen aan de specifieke behoeften van jouw administratie.
2 handige trainingen
Het handhaven van een strikte functiescheiding in een geïntegreerd systeem kan een uitdaging kan zijn. De genoemde maatregelen versterken de interne controle en verminderen het risico op ongepaste handelingen. Tenslotte kunnen de volgende twee trainingen je hierbij helpen.
Controleren zonder blinde vlekken
In deze training leer je meer over risico inventarisatie & analyse in de HR- en salarisadministratie. Je krijgt een antwoord op de volgende vragen:
- Wie is waar verantwoordelijk voor?
- Wie muteert de medewerker in de workflow?
- Wat is de rol van de salarisadministratie?
Na deze training weet je het hele payrollproces van A tot Z te borgen én op tijd te controleren.
Autorisaties in de grip (AFAS-training)
Voor een succesvolle functiescheiding is het belangrijk dat je autorisaties in AFAS goed hebt ingericht. Omdat hier geen standaard AFAS-workflow voor bestaat, leer je tijdens deze training hoe je dit aanpakt:
- Hoe start je een goedkeurings-workflow naar de eindverantwoordelijke voor de uitbetalingen?
- Hoe zorg je dat opmerkingen goed worden vastgelegd en teruggekoppeld?
- Hoe regel je dit bij vakantie of ziekte?
- Hoe zorg je dat de juiste documentatie (bijv. analyse en controle-bestanden) automatisch bij de juiste persoon terecht komt?
Na deze training weet je hoe je autorisaties zó inricht, dat AFAS je autorisatiestructuur borgt.
