Łatwiej zapobiegać niż leczyć

Ryzyko tego typu nadużycia jest dodatkowo potęgowane, gdy pracownik ma w systemie uprawnienia do wystawiania wszystkich trzech dokumentów. Wówczas, pomimo dobrze zdefiniowanych parametrów "potrójnego uzgodnienia", może dojść do nadużycia, ponieważ wszystkie trzy dokumenty zostały wprowadzone przez jedną osobę, mającą bardzo szerokie, od dawna nieweryfikowane uprawnienia. Zaskakujące jest to, że odpowiednia kontrola i rozdzielenie tego samego procesu na dwie osoby stanowi skuteczną ochronę przed podobnym nadużyciem.

Dość często w tym niechlubnym kontekście pojawiają się też cenniki, zazwyczaj centralnie wprowadzane i obowiązujące w określonych okresach. Nadużycie pojawia się, gdy starannie weryfikowane i zatwierdzane przez kierownictwo cenniki papierowe są wprowadzane do systemu, w którym nikt później ich poprawności nie weryfikuje w związku z domniemaniem, że "przecież ceny są zatwierdzone". Handlowiec dysponując możliwością modyfikacji ceny na zamówieniu, zmniejsza marżę na produkcie, a różnicę spadku premii (często uzależnionej od wypracowanej marży) wynagradza mu bezpośrednio klient, oczywiście nieformalnie.

Bocznymi drzwiami

Co jest najczęstszym powodem nadużyć w systemach ERP? Szukając źródeł problemów w firmach, które doświadczają nadużyć, można znaleźć kilka punktów wspólnych:

- bardzo szybka realizacja projektu wdrożenia systemu ERP, a następnie walka o jak najszybsze uruchomienie podstawowej funkcjonalności procesu biznesowego z pominięciem kluczowych elementów kontrolnych;

- zbyt szeroko zdefiniowane uprawnienia użytkownika - nieadekwatne do zakresu jego obowiązków, pozwalające mu na przejście wszystkich czynności biznesowych w ramach procesu;

- pozostawienie po wdrożeniu systemu otwartych kont konsultantów modułowych z bardzo szerokimi uprawnieniami, z głównym argumentem, że szerokie uprawnienia są potrzebne do pracy w systemie;

- użytkownicy biznesowi są bardziej świadomi ukrytych lub bocznych drzwi w realizacji operacji biznesowych, dlatego coraz łatwiej wykorzystują luki powstałe po wdrożeniu systemu.

Metody zabezpieczeń

Według raportu ACFE, prawie 2/3 nadużyć jest wykonywanych przez pojedyncze osoby, nierzadko bazujące przede wszystkim na dobrej znajomości słabości w mechanizmach kontrolnych systemów ERP. Jak można się przed tym obronić?

Praktyka pokazuje, że bezpieczny system to taki, w którym już w założeniach podkreśla się istotność wdrożenia mechanizmów bezpieczeństwa. Z perspektywy systemu ERP to przede wszystkim wdrożenie procesów biznesowych, które ogranicza dowolność działania użytkownikom. Procesy biznesowe muszą zostać tak ustawione, aby pracownik mógł je realizować tylko zgodnie z ustalonym schematem, jakiekolwiek boczne wejścia i drogi na skróty muszą zostać zamknięte.

Pamiętajmy także o kontrolach automatycznych, konfigurowalnych bezpośrednio w systemie.

Jedną z najmocniejszych kontroli zapobiegających nadużyciu jest wprowadzenie rozdziału obowiązków w organizacji i właściwe przeniesienie go na poziom systemu. Nie jest przypadkowe, że ustawy takie jak SOX olbrzymi nacisk kładą właśnie na kwestie rozdziału obowiązków. Jeśli nie pozwolimy pracownikowi wykonać w systemie całych części procesu, to jesteśmy bezpieczni (przynajmniej w części systemowej). Rozdział obowiązków przy innych kontrolach tego typu czy też dedykowanych rozwiązaniach do detekcji nadużyć wydaje się najbardziej uzasadnioną kosztowo kontrolą.


TOP 200