Veel bedrijfsprocessen worden tegenwoordig samengevoegd in één allesomvattend systeem, het zogenoemde erp-systeem (enterprise resource planning). Dat is op zich goed nieuws, maar fraudeurs en ‘verduisteringsspecialisten' zien steeds vaker mogelijkheden om via deze systemen een grote slag te slaan. Dat is volgens Henk van der Heijden meestal toe te schrijven aan onwetendheid en nalatigheid van de beheerders. Hij legt uit wat je hier tegen kunt doen.
Fraudeurs en ‘verduisteringsspecialisten' maken steeds vaker misbruik van gaten in en gebrekkige beveiliging van erp-systemen. Deze gaten ontstaan doordat er aan een aantal basiseisen niet wordt voldaan. Zo is er vaak sprake van gebrekkige autorisaties, geen helder taakonderscheid, hanteren van onjuiste beleidsregels enprocedures, amateuristisch ontwerp van de database en slecht onderhoud van deze vaak gevoelige data. Het identificeren en blijvend controleren hiervan verlaagt echter het risico op misbruik van gegevens aanzienlijk.
Fraude en verduistering zijn het gevolg van druk om te frauderen, kwaadwillende bedoeling en gelegenheid. Alleen deze laatste factor is door een bedrijf te beïnvloeden. Het gaat dan vooral om de mate van beheer van informatiesystemen en de aanwezige controlemechanismen.
Gegevens op waarde schatten
De overstap naar een erp-omgeving betekent meestal de samenvoeging van verschillende ‘legacy'-systemen die gevoelige data beheren, zoals bankgegevens en betalingsvoorwaarden. Al deze data wordt steeds vaker beheerd in één systeem met één database. De overstap hiernaartoe is complex en verloopt in drie stappen: het exporteren van de data uit systeem X, het verbeteren van de gegevens en het importeren in het erp-systeem.
Wanneer gedurende een van deze drie stadia de data onvoldoende is beveiligd, is de kans aanwezig dat deze opzettelijk wordt gewijzigd of in verkeerde handen valt. Bedrijven moeten daarom als eerste gevoelige data identificeren en met regelmaat controles uitvoeren op de integriteit van de data en het onderhoud ervan.
Controle en systeembeheer
De implementatie van een veilig erp-systeem staat of valt met het invoeren van controlemechanismen en het juiste systeembeheer. Hoewel de informatie in een dergelijk systeem, zoals gegevens over klanten, medewerkers, leveranciers en resultaten, zeer gevoelig kan zijn, krijgen medewerkers vaak bredere toegang dan noodzakelijk om het systeem gebruiksvriendelijker te maken. Onjuiste autorisaties vergroten echter het risico op fraude en verduistering.
Erp-systemen zijn zeer complex en er zijn verschillende mogelijkheden om brede autorisatie te krijgen. In SAP-systemen is gebruikersbeheer bijvoorbeeld gebaseerd op gebruikersprofielen, -regels en -objecten. Een gebruiker kan dus toegangsrechten krijgen op basis van een onjuist profiel, kan verkeerde regels toegewezen krijgen of gecompromitteerde objecten ontvangen. Het aanscherpen van deze autorisaties is echter een tijdrovend, complex proces.
Taakverdeling en audits
Bedrijfsgebeurtenissen worden door erp-systemen in realtime geregistreerd. Hierdoor wordt de preventie en het ontdekken van fraude lastiger. Als iemand bijvoorbeeld een voorraadlijst steelt en vervolgens direct de voorraadtoepassing in het erp-systeem aanpast, is de verduistering nauwelijks te ontdekken. Het uitvoeren van audits kan dit voorkomen.
Erp-systemen werken via een database. Dit versnelt de informatiestroom en procesintegratie en maakt het mogelijk om de meeste bedrijfsprocessen binnen één systeem te beheren. Wanneer een bedrijf dus geen duidelijk taakonderscheid heeft aangebracht, is misbruik van toegangsrechten waarschijnlijk al regelmatig gebeurd. Verschillende verduisteringen hadden voorkomen kunnen worden door een heldere taakverdeling te maken.
Automatisering van autorisatie
De implementatie van een erp-systeem betreft meestal de samenvoeging van gevoelige procedures als handtekeningautorisatie, inkoopautorisatie en betalingsautorisatie. Voorheen werden deze handmatig uitgevoerd, maar deze procedures gebeuren steeds vaker automatisch. Een onjuiste omgang hiermee kan leiden tot foutieve handelingen die niet zijn terug te draaien. Bedrijven moeten daarom een geschikt audit-raamwerk toepassen dat foutieve toepassing van autorisaties tegengaat.
Aanpak
De probleempunten worden in twee fases aangepakt. Als eerste worden de probleemgebieden als zodanig geïdentificeerd. Vervolgens wordt een audit-raamwerk in stelling gebracht dat blootstelling van gegevens tegengaat. Systemen als SAP en Oracle zijn groot en complex. De identificatie van de probleemgebieden vraagt dan ook vergaande kennis van dergelijke systemen. De aanpak van de probleemgebieden gaat het beste via een assessment-methodologie, die specifiek ontwikkeld is om fraude en verduistering tegen te gaan binnen erp-systemen. Deze aanpak legt de nadruk op het identificeren van specifieke probleempunten en een voortdurende auditing van het systeem.
Henk van der Heijden, Comsec
Reacties
blablabla, wat is er nou nieuw aan deze zgn. analyse?? Dat was toch altijd al zo, ook toen alles nog handmatig werd verwerkt?? Bangmakerij met als doel omzet binnenhalen, verzin eens wat nieuws!!
@rubb juist, bangmakerij.
Ik zou mij pas echt zorgen maken als mijn ERP systeem naar India of Maleisie is ge-outsourced. De SOX-regeltjes worden daar nu eenmaal wat minder strikt nageleefd en het risico om wat strategische data te ontvreemden uit zo?n systeem en verder te verkopen is daar erg hoog in vergelijking met Nederland.