Łatwiej zapobiegać niż leczyć

Dlaczego warto? Czy to się opłaca?

Największy problem z perspektywy nadużyć mają firmy, które obracają finansami swoich klientów. Informacja prasowa o nadużyciu w takiej firmie może spowodować utratę znacznej części klientów, a w konsekwencji nawet wypadnięcie z rynku. Dlatego wiele firm przyjmuje strategię zero tolerancji dla nadużyć, która wiąże się ze znacznymi kosztami prowadzonych kontroli, ale pozwala w maksymalnym stopniu chronić reputację przedsiębiorstwa. Jak wspomniano we wstępie, prawie 78% firm wprowadziło lub zmieniło kontrole w obszarze nadużyć dopiero po ich wystąpieniu. Czy trzeba aż tyle czekać, żeby zacząć walczyć z chorobą?

Zapobieganie okazuje się w praktyce dużo skuteczniejsze i efektywniejsze kosztowo. ROI i efektywność kontroli są maksymalne, jeśli kontrola może zostać zautomatyzowana i zbudowana jako prewencyjna, czyli zapobiegająca, a nie lecząca objawy. Automatyczne mechanizmy kontrolne, polegające m.in. na ograniczeniu uprawnień i/lub rozdzieleniu obowiązków, są najskuteczniejszymi i najtańszymi (najbardziej efektywnymi kosztowo) sposobami umożliwiającymi ograniczenie ryzyka biznesowego.

OCHRONA DZIĘKI WSPÓŁPRACY

Bezpieczeństwo systemu ERP należy zaprojektować na wczesnym etapie wdrożenia. Niestety, częstą praktyką jest koncentracja klienta oraz zespołu wdrożeniowego na uzyskaniu pożądanej funkcjonalności systemu i pozostawieniu sprawy ochrony informacji "tym specjalistom od bezpieczeństwa". A przecież tylko świadomy klient jest w stanie określić swoje koncepcje ochrony informacji (przydział zadań i rozdział obowiązków). Dodatkowo trzeba zdać sobie sprawę, że w rozbudowanych systemach ERP żaden ekspert nie zna specyfiki funkcjonowania całego programu, koncentrując swą wiedzę na wybranym module funkcjonalnym. A to moduły funkcjonalne dostarczają podstawowych elementów do poprawnego i spójnego zdefiniowania uprawnień użytkownika w systemie. "Specjaliści od bezpieczeństwa" znają tylko niektóre elementy, te, z którymi zetknęli się już podczas poprzednich wdrożeń. Wobec konieczności kompleksowej ochrony informacji w systemie współpraca klienta i specjalistów od modułów funkcjonalnych z "tymi od bezpieczeństwa" jest niezbędna. I to już od etapu dokumentowania procesów, zanim jeszcze ktokolwiek zacznie konfigurowanie systemu.

Robert Nikołajew, CISA, dyrektor Audytu i Kontroli Wewnętrznej w Cyfrowym Polsacie

BEZPIECZNE ERP

Sytuacją idealną z punktu widzenia kontroli ryzyka byłoby umożliwienie użytkownikowi poruszania się po systemie jedynie w takim wymiarze, w jakim zostało mu powierzone wykonywanie procesu biznesowego. Dopasowanie uprawnień będzie możliwe jedynie pod warunkiem, że firma będzie w stanie precyzyjnie przedstawić zestaw czynności, które dany użytkownik będzie wykonywał. W praktyce wiele firm może mieć z tym problem. Nawet jeżeli firma ma spisane procesy biznesowe, brakującym ogniwem może okazać się przetłumaczenie ich na uprawnienia systemowe. Bardzo pomocne - i często w Polsce niedoceniane - mogą okazać się kontrole automatyczne. Największym wyzwaniem jest ich poprawne "skalibrowanie": ustalenie progów tolerancji i obsługa wyjątków, które generują.

Marcin Bednarski, ACCA, CISA, CIA, ekspert ds. audytu wewnętrznego w dużej firmie telekomunikacyjnej


TOP 200