Zoeken

Home / Kennisbank / Autorisatiestructuur

Jouw operatie onder de loep nemen?

Wij denken graag vrijblijvend mee in een korte health check van 15 minuten.

Health Check aanvraag

Autorisatiestructuur wat is het en hoe werkt het?

Geschreven door Wim Grünholz
Bijgewerkt op
autorisatiestructuur

Een autorisatiestructuur is het geheel van regels dat bepaalt wie welke handelingen mag uitvoeren in een organisatie. Wie mag een bestelling plaatsen? Wie mag een factuur goedkeuren? Tot welk bedrag? Een heldere autorisatiestructuur is de basis van functiescheiding, interne controle en fraudepreventie. Dit artikel legt uit wat een autorisatiestructuur inhoudt, hoe je die inricht en hoe systemen die structuur borgen.

Wat is een autorisatiestructuur?

Een autorisatiestructuur is een formeel kader dat vastlegt welke personen of rollen bevoegd zijn om bepaalde handelingen uit te voeren, tot welk bedrag, en onder welke voorwaarden.

In finance en operations gaat het doorgaans om drie typen bevoegdheden:

Uitvoeringsbevoegdheid: het recht om een handeling te initiëren, zoals een bestelling plaatsen of een factuur invoeren.
Goedkeuringsbevoegdheid: het recht om een handeling te accorderen, zoals een factuur goedkeuren of een betaling autoriseren.
Toegangsbevoegdheid: het recht om bepaalde gegevens in te zien of te muteren, zoals masterdata of grootboekrekeningen.

Autorisatiestructuren worden vastgelegd in een bevoegdhedenmatrix (ook wel mandaatregeling of procuratiematrix) en geïmplementeerd in het ERP-systeem via gebruikersprofielen en rollen.

Waarom is een autorisatiestructuur belangrijk?

Zonder autorisatiestructuur kan iedereen alles. Dat is een risico voor fraude, fouten en ongecontroleerde uitgaven.

Bevoegdheidslimieten zorgen dat grote transacties een extra goedkeuringsstap vereisen. Dat maakt het moeilijker om frauduleuze betalingen door te voeren zonder dat iemand het opmerkt.

Budgethouders die alleen tot een bepaald bedrag mogen goedkeuren, kunnen niet zonder toestemming buiten hun budget treden.

Een autorisatiestructuur is een kernonderdeel van interne controle. Het borgt dat verantwoordelijkheden en bevoegdheden helder zijn verdeeld en dat functiescheiding in de praktijk wordt nageleefd.

Als elke handeling is geautoriseerd door een bevoegd persoon, is het verwerkingsproces reconstrueerbaar. Wie heeft wat goedgekeurd, wanneer en op basis waarvan?

Hoe werkt een autorisatiestructuur in de praktijk?

Een autorisatiestructuur werkt via twee lagen: de beleidslaag en de systeemlaag.

De bevoegdhedenmatrix legt op papier of in een beleidsdocument vast wie welke bevoegdheden heeft. Die matrix is goedgekeurd door het management en wordt periodiek herzien.

Het ERP-systeem implementeert de bevoegdheden via gebruikersrollen. Een gebruiker die de rol “factuurverwerker” heeft, kan facturen invoeren maar niet goedkeuren. Een gebruiker met de rol “budgethouder” kan facturen goedkeuren tot een bepaald bedrag maar niet betalen. Het systeem weigert handelingen die buiten de bevoegdheid van de gebruiker vallen.

In de goedkeuringsflow voor facturen betekent dat concreet: een factuur boven een bepaald bedrag wordt automatisch doorgestuurd naar een hogere bevoegde. Een factuur boven een tweede drempel vereist twee handtekeningen. Die regels zijn geconfigureerd in het systeem en worden automatisch toegepast.

Ontdek de kracht van Inkoopmanagement

Hoe richt je een autorisatiestructuur stap voor stap in?

  1. Inventariseer de processen

    Bepaal welke processen autorisatieregels vereisen: inkoop, crediteuren, debiteuren, voorraadbeheer, salarisverwerking.

  2. Benoem de bevoegdheidsniveaus

    Bepaal de drempelbedragen en de bijbehorende bevoegde functies. Bijvoorbeeld: tot 500 euro: medewerker, 500–5.000 euro: teamleider, boven 5.000 euro: directie.

  3. Stel de bevoegdhedenmatrix op

    Leg per handeling en per bedragcategorie vast wie bevoegd is. Zorg dat conflicterende bevoegdheden niet bij dezelfde functie liggen (functiescheiding).

  4. Laat de matrix goedkeuren

    De autorisatiestructuur moet worden vastgesteld door het management. Dat geeft het formele kader.

  5. Implementeer in het ERP

    Configureer de gebruikersrollen en goedkeuringsflows op basis van de matrix.

  6. Test de inrichting

    Controleer of de autorisatieregels correct werken: kunnen gebruikers handelingen uitvoeren die buiten hun bevoegdheid liggen?

  7. Onderhoud en review

    Beoordeel de autorisatiestructuur minimaal jaarlijks en bij organisatiewijzigingen.

Hoe gaan organisaties om met autorisatiestructuren?

Organisaties die hun autorisatiestructuur goed hebben ingericht, merken dat de goedkeuringsflows soepeler verlopen. Facturen gaan automatisch naar de juiste persoon op basis van bedrag en kostenplaats. Er is geen discussie over wie iets moet goedkeuren.

Een veelvoorkomend probleem is dat autorisatiestructuren verouderen. Na reorganisaties, promoties of vertrek van medewerkers kloppen de bevoegdheden in het systeem niet meer met de werkelijkheid. Iemand die is doorgegroeid naar een managementrol heeft soms nog de bevoegdheden van zijn vorige functie. Periodieke reviews zijn daarvoor de oplossing.

Een ander aandachtspunt is de tijdelijke overdracht van bevoegdheden bij afwezigheid. Als een budgethouder twee weken op vakantie is, moeten facturen toch door kunnen. Organisaties regelen dat via formele vervangersbevoegdheden, vastgelegd in het systeem en niet ad hoc geregeld via e-mail.

Automatisering van documentverwerking maakt autorisatiestructuren beter handhaafbaar. Het systeem stuurt facturen automatisch naar de juiste bevoegde op basis van de geconfigureerde regels, zonder dat iemand daar handmatig een beslissing over hoeft te nemen.

Veelgestelde vragen

Wat is het verschil tussen een autorisatiestructuur en een procuratiematrix?

Een procuratiematrix is een specifieke vorm van een autorisatiestructuur, gericht op de tekenbevoegdheid voor juridisch bindende documenten zoals contracten en betalingsopdrachten. Een autorisatiestructuur is breder en omvat ook interne goedkeuringen voor facturen, bestellingen en masterdata-wijzigingen.

Hoe bepaal je de juiste drempelbedragen?

Dat hangt af van de risicotolerantie van de organisatie, de omvang van de transacties en de branche. Een vuistregel is dat hogere bedragen meer controle vereisen. De drempels moeten praktisch zijn: te lage drempels leiden tot overbelaste managers; te hoge drempels bieden onvoldoende controle.

Kan iemand tijdelijk extra bevoegdheden krijgen?

Ja, via een formeel overdrachtsproces. Tijdelijke bevoegdheden worden vastgelegd in het systeem met een begin- en einddatum. Na de einddatum vervallen de extra bevoegdheden automatisch.

Hoe worden autorisatiestructuren gecontroleerd door accountants?

Accountants beoordelen of de autorisatiestructuur adequaat is ingericht en of die in de praktijk wordt nageleefd. Ze kijken naar de bevoegdhedenmatrix, de systeeminrichting en steekproefsgewijs naar de feitelijke goedkeuringshandelingen in het systeem.

Wat als niemand beschikbaar is om een factuur goed te keuren?

Goede autorisatiestructuren voorzien in een escalatieroute. Als de primaire bevoegde niet beschikbaar is, gaat de goedkeuring automatisch naar een aangewezen vervanger of naar een hoger niveau. Dat voorkomt dat facturen blijven liggen door afwezigheid.

Disclaimer

*De informatie in dit artikel is bedoeld als algemene toelichting op autorisatiestructuren in finance- en operationsprocessen. Het is geen juridisch of fiscaal advies. Voor specifieke situaties raden we aan om contact op te nemen met een deskundige.*

Plan een korte Health Check

In 15 minuten zie je precies waar jouw proces stokt en waar wij kunnen aansluiten. Vrijblijvend en direct nuttig.