Łatwiej zapobiegać niż leczyć

Przeciwdziałanie nadużyciom w firmach staje się coraz trudniejsze na skutek centralizacji wiedzy, informacji i danych biznesowych w systemach klasy ERP.

System ERP przynosi oczywiste i wymierne korzyści spółce, ale zwiększa też znacząco możliwości popełnienia nadużycia przez szeregowych pracowników. Jak wynika z badań amerykańskiej organizacji ACFE (Association of Certified Fraud Examiners), w 2008 r. przedsiębiorstwa straciły średnio 7% przychodów w wyniku działań mających charakter nadużycia. Tylko w USA daje to ukryty koszt rzędu 994 mld USD. Jednym z najczęstszych rodzajów nadużycia (24% ogółu przypadków) były oszustwa dokonywane na fakturach, czyli dokumentach księgowych przetwarzanych bezpośrednio w module finansowo-księgowym systemu ERP.

Aż 35% badanych przez ACFE jako główny powód wystąpienia nadużycia podawało brak dostatecznej kontroli wewnętrznej. Ponad ¾ pokrzywdzonych firm zmieniło swoje systemy kontroli wewnętrznej po odkryciu, że padły ofiarą defraudacji. Najpowszechniejszą modyfikacją było wprowadzenie nadzoru menedżerskiego nad instrumentami kontroli wewnętrznej. W tym kontekście niezmiernie istotne jest zweryfikowanie podejścia do wykorzystywanych w spółkach systemów informatycznych, w tym systemów klasy ERP, będących centralnym miejscem przetwarzania wszystkich istotnych z punktu widzenia biznesu firmy danych i informacji.

Fałszywa faktura, fałszywa cena

Przykłady nadużyć dokonywanych w systemach klasy ERP są rozmaite. Tymi najprostszymi są zmiany w danych podstawowych rachunków bankowych rzadko używanych dostawców, lub wręcz tworzenie nowego, fikcyjnego dostawcy, na którego rzecz okresowo dokonywane są płatności, na przykład z tytułu rzekomego zakupu materiałów biurowych dla firmy bądź wykonania usług remontowych czy budowlanych w oddziałach przedsiębiorstwa. Takie przelewy, często na niewielkie kwoty, wchodzą w skład dużych, mających po kilkadziesiąt / kilkaset pozycji paczek z płatnościami do dostawców, oczywiście w pełni zautomatyzowanymi w programach do płatności lub systemach klasy ERP.

Innym przykładem nadużycia jest zmiana miejsca wysyłki towaru, za który zapłacił klient. Na ten rodzaj nadużycia szczególnie podatny jest biznes dostarczający na rynek cenne produkty. W systemie ERP pracownik zmienia miejsce wysyłki towaru na fikcyjny adres, tzw. "dziuplę", kierowca, który dostarcza towar na podstawie dokumentów z systemu, nie jest w stanie zweryfikować, czy wskazany magazyn towaru jest właściwy, szczególnie w sytuacji, gdy spedycję dla naszej firmy realizuje podmiot zewnętrzny. Przy bardzo dużych i często realizowanych wysyłkach oraz centralnym dziale księgowości takie nadużycie może być niezauważalne przez bardzo długi czas. Może się tak stać zwłaszcza w sytuacji, kiedy nasz klient ma wysoki limit kredytowy, również ustawiany i pilnowany przez centralny system ERP lub nasz pracownik dzięki wysokim uprawnieniom w systemie ma możliwość zmiany parametrów raportu wiekowania należności.

Kolejnym przykładem są nadużycia realizowane w procesie zakupowym. Oszustwo może polegać na wprowadzaniu do systemu ERP faktury z błędną ceną (niezgodną z ceną widniejącą na zamówieniu) lub z ilością produktu inną niż przyjęta na dokumencie PZ do magazynu firmy. Pracownik popełniający nadużycie wykorzystuje lukę systemową, polegającą na braku automatycznego wymuszania przez system zgodności ceny i ilości towaru pomiędzy zamówieniem, dokumentem przyjęcia a fakturą. Ten rodzaj nadużycia pojawia się również w spółkach, gdzie występuje kontrola w tym obszarze, jednakże jest ona wykonywana wyłącznie przez pracowników działu księgowości, którzy w sposób ręczny uzgadniają duże ilości papierowych dokumentów, nie wykorzystując możliwości systemu ERP, a system w tym zakresie jest niewłaściwie skonfigurowany.