ERP-systemen voegen vrijwel alle bedrijfsprocessen samen in één allesomvattend systeem. Dat is het goede nieuws. Dit gegeven trekt echter ook fraudeurs en ‘verduisteringsspecialisten’ aan. Een aantal veelvoorkomende zwakheden werken dit verder in de hand, zoals algemene autorisaties, geen helder taakonderscheid, onjuiste beleidsregels en procedures, amateuristisch ontwerp van de database en slecht onderhoud van deze vaak gevoelige data. Er moet meer controle hierop komen, om het risico op misbruik van gegevens aanzienlijk te verlagen.
De implementatie van een veilig ERP-systeem staat of valt met de invoering van controlemechanismen en het juiste systeembeheer. Al tijdens de invoering van ERP moet beveiliging van gegevens een hoofdrol krijgen. Vervolgens moet voor het gebruik van het systeem een heldere, scherpe taakverdeling worden gemaakt. Helaas zien we nog vaak dat medewerkers bredere toegang dan noodzakelijk krijgen om het systeem gebruiksvriendelijker te maken. Onjuiste autorisaties vergroten echter het risico op fraude en verduistering.
Autorisaties moeten op verschillende niveaus worden gecontroleerd. In SAP-systemen is gebruikersbeheer bijvoorbeeld gebaseerd op gebruikersprofielen, -regels en -objecten. Een gebruiker kan dus toegangsrechten krijgen op basis van een onjuist profiel, kan verkeerde regels toegewezen krijgen of gecompromitteerde objecten ontvangen. Het aanscherpen van deze autorisaties is echter een tijdrovend, complex proces.
Een veilig ERP-systeem is niet voldoende. Er moet ook veilig gebruik van worden gemaakt. Met andere woorden, het is een continu proces. Hier ligt een taak voor de betreffende organisatie, maar vooral ook voor de begeleider van het implementatieproces. Implementatie, training, controle, auditing; het houdt niet op bij het afleveren van een werkend systeem. Er blijven aanvullende diensten nodig tijdens het gebruik op de langere termijn. Een kans dus voor menig partner!
Henk van der Heijden
Managing director Benelux bij Comsec
