Funktionsad-skil-lel-se

20. november 2018

Tingene bør skilles ad i administrationen

Mange af vores kunder har i tidens løb oplevet, at vi i revisionsprotokollater, breve eller andetsteds fortæller om funktionsadskillelse.

Det, vi fortæller om, er helt nøjagtigt de risici, der kan være ved en manglende eller en eksisterende, men dårlig funktionsadskillelse.

Som oftest kredser vi om begrebet i relation til virksomhedernes administration, særligt bogholderiet. Imidlertid kan begrebet også være anvendt ved eksempelvis lagerstyring.

Begrebet funktionsadskillelse

Det er på sin plads at uddybe, hvad vi som revisorer mener med begrebet funktionsadskillelse, herunder naturligvis manglende eller dårlig funktionsadskillelse. 

Helt grundlæggende er det et begreb, der let lader sig definere: Funktionsadskillelse er, at en person ikke har adgang til eller mulighed for at udføre flere forskellige funktioner, hvor der i funktionen er en form for kontrol.

Et eksempel kan tydeliggøre dette: I en virksomheds bogholderi godkender én person regningerne fra leverandører, og en anden person betaler regningerne.

Konsekvenser, hvis funktionsadskillelsen halter eller svigter

Denne artikel er født i lyset af en sag, der i oktober måned har været meget omtalt i offentligheden: En ansat i socialministeriet har tilsyneladende bedraget ministeriet for et trecifret millionbeløb. Sagen er speciel derhen, at den omtaler personen med navns nævnelse og samtidig opruller de handlinger, der har medført det postulerede bedrageri.

Ud fra presseomtalen må vi som revisorer undre os såre: Det er absolut første års pensum til revisoruddannelsen, at hvis bogholderen har flere funktioner, eksempelvis at anvise et beløb til udbetaling og derefter som bogholder også betale beløbet, er der en mulighed for misbrug af stillingen.

I den omtalte sag ser det ud fra pressens omtale ud til, at den pågældende person ud over at være superbruger af ministeriets it også har kunnet anvise og betale de mange penge, hvor personen ved betalingen har anvendt sit eget kontonummer som modtager – og efterfølgende rettet kontonummeret tilbage til rette modtager i bogholderiet.

Det understreges, at sagen kun kendes fra medierne – men metodikken stemmer ganske overens med de metoder, vi som revisorer desværre også en sjælden gang imellem kommer ud for.

Nogle eksempler

Ovenfor er nævnt situationen, hvor en person – typisk bogholderen – overfører penge til sig selv i stedet for til virksomhedens kreditorer. Dette kan kun muliggøres af, at personen har for mange beføjelser – og at der ikke holdes opsyn.

Pengene behøver ikke at være taget fra selskabets kreditorer. Et andet eksempel er, at den, der har adgang til at betale, betaler fiktive fakturaer – hvilket kan ske ved, at der ikke er en person, der godkender betalingen inden denne sker, eller som efterfølgende kontrollerer den. Modposten kan være varekøb, omkostninger, eller – som det ofte er set – kontoen for indgående moms, hvor det så er det offentlige, der i den sidste ende betaler.

Ud over penge kan det være eksempelvis kreditnotaer, der medfører en udbetaling. Her vil det også være muligt at unddrage virksomheden penge, hvis den samme person kan udstede, godkende og udbetale.

Den samme problematik kan findes ved portkontrollen på varelageret, hvor der også kan ske misbrug, hvis én person kan det hele. 

Den lille virksomheds dilemma

Det er klart, at små og mindre virksomheder ikke kan have tilstrækkeligt med ansatte i administrationen til at kunne etablere en fornuftig funktionsadskillelse. Her må virksomheden etablere systemer, der med det begrænsede personale bedst muligt indeholder kontrolmuligheder og opsyn.

Bedragerier sker i små virksomheder, de sker i store virksomheder – og tilsyneladende også i ministerier. Man kan aldrig gardere sig 100 %, og selv om man har gode systemer, kan disse omgås.

Den person, der har adgang til at betale, holder ferie – og en anden får adgangen til at gøre det. Hvis denne anden som følge af den lille personalemængde også godkender fakturaer, er kontrollen tilsidesat. En anden klassiker er, at kodeordet til banken opbevares i øverste skrivebordsskuffe eller på en gul selvklæbende seddel under skriveunderlaget.

Vores rolle

Som revisorer har vi pligt til at gøre opmærksom på, at en virksomheds administration ikke har de fornødne funktionsadskillelser, herunder at den ikke har personale til det, og at ledelsen derfor selv må udføre en ekstra kontrol af det daglige bogholderi. Vores revision kan i sagens natur ikke omfatte samtlige bilag, og vi kan derfor ikke garantere, at vi afdækker uregelmæssigheder.

I en større virksomhed vil vi ind imellem teste, at kontrollerne virker – og påtale, hvis de ikke gør det. Det kan være i form af en afprøvning af forretningsgange – og det kan, hvis det giver mening, være i form af et uanmeldt besøg i virksomheden.

Derfor rapporterer vi i revisionsprotokollatet eller på anden måde om manglende funktionsadskillelse og mulige konsekvenser heraf.

 

 

Tilbage til oversigt