Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

ERP-systemen zijn gevoelig voor fraude en diefstal

10 juni 2008 - 13:274 minuten leestijdOpinieSoftware & DevelopmentOracleSAP
Henk van der Heijden
Henk van der Heijden

Veel bedrijfsprocessen worden tegenwoordig samengevoegd in één allesomvattend systeem, het zogenoemde erp-systeem (enterprise resource planning). Dat is op zich goed nieuws, maar fraudeurs en ‘verduisteringsspecialisten' zien steeds vaker mogelijkheden om via deze systemen een grote slag te slaan. Dat is volgens Henk van der Heijden meestal toe te schrijven aan onwetendheid en nalatigheid van de beheerders. Hij legt uit wat je hier tegen kunt doen.

Fraudeurs en ‘verduisteringsspecialisten' maken steeds vaker misbruik van gaten in en gebrekkige beveiliging van erp-systemen. Deze gaten ontstaan doordat er aan een aantal basiseisen niet wordt voldaan. Zo is er vaak sprake van gebrekkige autorisaties, geen helder taakonderscheid, hanteren van onjuiste beleidsregels enprocedures, amateuristisch ontwerp van de database en slecht onderhoud van deze vaak gevoelige data. Het identificeren en blijvend controleren hiervan verlaagt echter het risico op misbruik van gegevens aanzienlijk.

Fraude en verduistering zijn het gevolg van druk om te frauderen, kwaadwillende bedoeling en gelegenheid. Alleen deze laatste factor is door een bedrijf te beïnvloeden. Het gaat dan vooral om de mate van beheer van informatiesystemen en de aanwezige controlemechanismen.

Gegevens op waarde schatten

De overstap naar een erp-omgeving betekent meestal de samenvoeging van verschillende ‘legacy'-systemen die gevoelige data beheren, zoals bankgegevens en betalingsvoorwaarden. Al deze data wordt steeds vaker beheerd in één systeem met één database. De overstap hiernaartoe is complex en verloopt in drie stappen: het exporteren van de data uit systeem X, het verbeteren van de gegevens en het importeren in het erp-systeem.

Wanneer gedurende een van deze drie stadia de data onvoldoende is beveiligd, is de kans aanwezig dat deze opzettelijk wordt gewijzigd of in verkeerde handen valt. Bedrijven moeten daarom als eerste gevoelige data identificeren en met regelmaat controles uitvoeren op de integriteit van de data en het onderhoud ervan.

Controle en systeembeheer

De implementatie van een veilig erp-systeem staat of valt met het invoeren van controlemechanismen en het juiste systeembeheer. Hoewel de informatie in een dergelijk systeem, zoals gegevens over klanten, medewerkers, leveranciers en resultaten, zeer gevoelig kan zijn, krijgen medewerkers vaak bredere toegang dan noodzakelijk om het systeem gebruiksvriendelijker te maken. Onjuiste autorisaties vergroten echter het risico op fraude en verduistering.

Erp-systemen zijn zeer complex en er zijn verschillende mogelijkheden om brede autorisatie te krijgen. In SAP-systemen is gebruikersbeheer bijvoorbeeld gebaseerd op gebruikersprofielen, -regels en -objecten. Een gebruiker kan dus toegangsrechten krijgen op basis van een onjuist profiel, kan verkeerde regels toegewezen krijgen of gecompromitteerde objecten ontvangen. Het aanscherpen van deze autorisaties is echter een tijdrovend, complex proces.

Taakverdeling en audits

Bedrijfsgebeurtenissen worden door erp-systemen in realtime geregistreerd. Hierdoor wordt de preventie en het ontdekken van fraude lastiger. Als iemand bijvoorbeeld een voorraadlijst steelt en vervolgens direct de voorraadtoepassing in het erp-systeem aanpast, is de verduistering nauwelijks te ontdekken. Het uitvoeren van audits kan dit voorkomen.

Erp-systemen werken via een database. Dit versnelt de informatiestroom en procesintegratie en maakt het mogelijk om de meeste bedrijfsprocessen binnen één systeem te beheren. Wanneer een bedrijf dus geen duidelijk taakonderscheid heeft aangebracht, is misbruik van toegangsrechten waarschijnlijk al regelmatig gebeurd. Verschillende verduisteringen hadden voorkomen kunnen worden door een heldere taakverdeling te maken.

Automatisering van autorisatie

De implementatie van een erp-systeem betreft meestal de samenvoeging van gevoelige procedures als handtekeningautorisatie, inkoopautorisatie en betalingsautorisatie. Voorheen werden deze handmatig uitgevoerd, maar deze procedures gebeuren steeds vaker automatisch. Een onjuiste omgang hiermee kan leiden tot foutieve handelingen die niet zijn terug te draaien. Bedrijven moeten daarom een geschikt audit-raamwerk toepassen dat foutieve toepassing van autorisaties tegengaat.

 

Aanpak

De probleempunten worden in twee fases aangepakt. Als eerste worden de probleemgebieden als zodanig geïdentificeerd. Vervolgens wordt een audit-raamwerk in stelling gebracht dat blootstelling van gegevens tegengaat. Systemen als SAP en Oracle zijn groot en complex. De identificatie van de probleemgebieden vraagt dan ook vergaande kennis van dergelijke systemen. De aanpak van de probleemgebieden gaat het beste via een assessment-methodologie, die specifiek ontwikkeld is om fraude en verduistering tegen te gaan binnen erp-systemen. Deze aanpak legt de nadruk op het identificeren van specifieke probleempunten en een voortdurende auditing van het systeem.

Henk van der Heijden, Comsec

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat Digitale Connectiviteit Bouw- en Installatiebranche

    Connectiviteit is de kern van veel processen en van strategisch belang voor de toekomst. Waar sta jij?

    Computable.nl

    Design Sprints: 4 dagen van idee naar prototype

    Hoe zet je in vier dagen tijd een gevalideerd prototype neer met Design Sprints?

    Computable.nl

    Resultaatgericht Samenwerken (RGS).

    RGS is een gestructureerde methode die vastgoedprofessionals direct ondersteunt bij kwaliteitsverbetering, kostenefficiëntie en verduurzaming.

    Meer lezen

    Computable.nl
    ActueelFinanciële dienstverlening

    ‘Flexibel ERP-systeem voorkomt omzetverlies’

    ActueelData & AI

    Verzekeraar zoekt fraude met BI-software SPSS

    2 reacties op “ERP-systemen zijn gevoelig voor fraude en diefstal”

    1. rubb schreef:
      16 juni 2008 om 13:07

      blablabla, wat is er nou nieuw aan deze zgn. analyse?? Dat was toch altijd al zo, ook toen alles nog handmatig werd verwerkt?? Bangmakerij met als doel omzet binnenhalen, verzin eens wat nieuws!!

      Login om te reageren
    2. Arie schreef:
      3 december 2008 om 21:07

      @rubb juist, bangmakerij.
      Ik zou mij pas echt zorgen maken als mijn ERP systeem naar India of Maleisie is ge-outsourced. De SOX-regeltjes worden daar nu eenmaal wat minder strikt nageleefd en het risico om wat strategische data te ontvreemden uit zo?n systeem en verder te verkopen is daar erg hoog in vergelijking met Nederland.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialData & AI

    Private AI helpt gemeenten met vertrou...

    In een tijd waarin gemeenten geconfronteerd worden met groeiende verwachtingen van burgers, toenemende wet- en regelgeving en druk op budgetten,...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs