Het autorisatieformulier voor applicaties

Een goed autorisatieformulier voor het toekennen van autorisaties van groot belang. Dit geldt nog sterker bij uit bij het uitbesteden van de IT dan bij een interne organisatie. De leverancier kent de organisatie immers nog niet en is niet verantwoordelijk voor onterechte autorisaties. Met behulp van een algemeen autorisatieformulier kunnen we nieuwe gebruikers aan een informatiesysteem toevoegen. Bij de uitgifte van autorisaties zijn er een aantal zaken die we in de gaten moeten houden.

• In de eerste plaats is het zo dat we de gebruiker autoriseren om een bepaalde taak uit te voeren. De rechten die hij daarvoor binnen een systeem krijgt dienen slechts als hulpmiddel.
• In de tweede plaats dient bekend te zijn welke autorisaties een gebruiker al heeft. Zodoende kunnen we controleren of de regels voor functiescheiding goed zijn toegepast. Het zou immers erg vervelend zijn als gebruikers in staat blijken fraude te plegen dankzij het feit dat ze daarvoor voldoende rechten hebben.

Parafenlijst

Naast dit formulier bestaat er binnen de organisatie een parafenlijst met de parafen van alle medewerkers. Tevens is op dit formulier aangegeven waarvoor deze medewerkers geautoriseerd zijn. Zodoende kan iedere medewerker controleren of de autorisatie wel terecht is. De medewerker moet wel bevoegd zijn om een bepaalde transactie uit te voeren. Functioneel beheer is vaak belast met de uitgifte en het beheer van autorisaties.

Een elektronische variant op deze procedure met de nodige waarborgen is ideaal.

Autorisatieformulier gebruiker

De volgende onderdelen op het “Autorisatieformulier Gebruiker” lichten we nader toe:

• Aanvrager: De aanvrager is niet de medewerker die de autorisatie krijgt, maar de medewerker die de autorisatie voor hem aanvraagt. Meestal is dit een lijnfunctionaris die bevoegd is om dit soort aanvragen te mogen doen.
• Handtekening: Handtekening van de aanvrager. Deze handtekening dienen we juistheid te controleren aan de hand van de parafenlijst. (En elektronisch dan?)
• Functie: De functie van de aanvrager dient tevens ter verificatie te zijn vermeld. Hiermee voorkomen we dat de aanvrager autorisaties uitgeeft van systemen waarvoor hij niet bevoegd is.
• Aanvraagdatum: Datum waarop de autorisatie is aangevraagd. Aan de hand van deze datum kunnen we achteraf vaststellen hoe lang het heeft geduurd voordat de autorisatie werd ingevoerd.
• Gebruiker: Volledige naam van de te autoriseren medewerker.
• Afdeling/Groep: Organisatorische eenheid waarbij de medewerker werkzaam is.
• Gewenste ingangsdatum: De datum waarop de autorisatie ingaat kan afwijken van de aanvraagdatum maar moet daarna liggen. Het is aan te raden om de autorisaties ruim van te voren aan te melden. Zodoende kan men de werkzaamheden die bij het autoriseren horen beter inplannen.
• Kamernummer: Kamer als de medewerker een vaste werkplek heeft, waar hij werkt als hij de autorisatie nodig heeft.
• Telefoonnr: Telefoonnummer van de medewerker die de autorisatie krijgt. Bij calamiteiten moet de verwerkingsorganisatie direct contact op kunnen nemen met de gebruikers. Tevens kunnen we de medewerker bij een spoed autorisatie direct op de hoogte stellen dat de autorisatie is toegekend.
• Einddatum geldigheid: In veel gevallen zal deze rubriek leeg zijn gelaten omdat er een permanente autorisatie is toegekend. Het komt echter voor dat bepaalde werkzaamheden slecht van korte duur zijn. Het gaat dan om medewerkers die we op contract aanne­men of vakantiewerk komen verrichten. In die gevallen passen we de “Einddatum geldigheid” toe.
• Autorisatie: Aanvragen/Wijzigen/Intrekken : De aanvrager dient hier de aard van de autorisatie aan te geven.
• User-id: Nieuwe medewerkers krijgen meestal een gebruikersnaam die van hun eigen naam is afgeleid. Deze gebruikersnaam noemen we User-id in het vakjargon.

Applicaties en functies op het autorisatieformulier

Tot zo ver zijn aanvrager en medewerker geïdentificeerd, de feitelijke autorisatiekenmer­ken volgen hieronder. Vaak is uit meerdere pakketten of faciliteiten per autorisatie te kiezen. Dan dient de naam van de keuze achter het item te worden gezet.

• Autorisatie communicatie: Voor elektronische communicatie buiten het gebouw kunnen de volgende autorisatie plaatsvinden; inbel-faciliteiten; uitbel-faciliteiten; mailing pakket en eventueel andere communicatie.
• Autorisatie Software: De volgende autorisaties zijn mogelijk; tekstverwerking pakket; database pakket; spreadsheet pakket; opvraagtaal; maatwerkpakketten; eventueel overige pakketten.
• Autorisatie Formulieren: Hier geven we aan of de medewerker gerechtigd is om de formulieren te ondertekenen.
• Procedurele autorisaties: Binnen de organisatie bestaan vele processen en procedures. Verschillende daarvan hebben betrekking op geautomatiseerde processen waarbij data het informatiesysteem verlaat of binnen komt. Bij de overdracht van deze data moet we voor ontvangst tekenen om fraude tegen te gaan. Met dit formulier kunnen we de volgende overdrachten regelen: In ontvangst nemen van informatiedragers; Aanvragen van uitvoer en het aa­n­vra­gen van invoer.
• Algemene opmerkingen: Op deze plaats kunnen we aanvullende opmerkingen plaatsen. Bijvoorbeeld voor de extra autorisatie voor het overdragen van bestanden. Maar ook voor het doorgeven van rechten en de toekenning van subautorisaties (rollen of modules).
• Uitvoering/aanvrager : Tenslotte tekenen betrokkenen voor de juiste uitvoering van het toekennen van de autorisaties. De aanvrager dient in principe te controleren of de autorisatie juist is doorgevoerd.

Klik hier voor een voorbeeld autorisatieformulier.

Discussieer mee op LinkedIn.