Jak podaje amerykańska organizacja - ACFE (Association of Certified Fraud Examiners) w swoich badaniach dotyczących nadużyć w firmach, tylko w 2008 roku, średnio 7% przychodów traciły przedsiębiorstwa w wyniku działań mających charakter nadużycia. Tylko w USA, daje to ukryty koszt rzędu 994 miliardów dolarów. Dodatkowym czynnikiem są wydarzenia związane z globalnym kryzysem na rynkach finansowych, które z jednej strony wprowadzają dodatkową presję na wyniki pracowników (np. nierealistyczne, w nowej sytuacji, plany sprzedażowe), a z drugiej strony - stawiają pracowników przed problemami, takimi jak: niepewność zatrudnienia, czy też opóźnienia w wypłacaniu pensji.

Jednym z najczęstszych (24% ogółu przypadków) rodzajów nadużycia, według raportu ACFE, były oszustwa realizowane na fakturach, czyli dokumentach księgowych, przetwarzanych bezpośrednio w module finansowo-księgowym systemu ERP. W raporcie podjęto próbę analizy przyczyn tego zjawiska. Wśród respondentów, aż 35% badanych, jako główny powód wystąpienia nadużycia, podawało brak dostatecznej kontroli wewnętrznej. Ten sam raport wskazuje, że ponad ¾ pokrzywdzonych firm zmieniło swoje systemy kontroli wewnętrznej po odkryciu, że padły ofiarą defraudacji. Najpowszechniejszą modyfikacją było wprowadzenie nadzoru menedżerskiego nad instrumentami kontroli wewnętrznej.

Te dające do myślenia liczby, inspirują kierownictwo firm na świecie oraz w Polsce do szukania coraz to nowszych sposobów na ograniczenie możliwości wystąpienia nadużyć. W tym kontekście niezmiernie istotne jest zweryfikowanie podejścia do wykorzystywanych w spółkach systemów informatycznych. ERP do zapobiegania nadużyciom jest wśród kierownictwa polskich spółek niezbyt powszechna.

Jak łatwo popełnić nadużycie w systemie ERP

W ostatnich latach spółki poprzez realizację działań mających na celu centralizację zasobów informatycznych, w sposób bardzo istotny zwiększyły zależność bezpieczeństwa prowadzonego biznesu i ciągłości jego operacji od dostępności centralnych systemów klasy ERP. Praktyka biznesowa pokazuje, że działania mające na celu centralizację systemów IT były w ostatnich latach prowadzone w sposób bardzo dynamiczny, często z pominięciem kanonów zarządzania projektami tej wielkości i istotności. Oczywiście, po części wynika to z ograniczeń budżetowych nakładanych przez właścicieli biznesu. Nie poprawia sytuacji fakt, że polski rynek jest coraz bardziej konkurencyjny, a nieustanna walka dostawców, głównie niską ceną, o nowe projekty wdrożenia systemów ERP znacząco odbija się na wielu obszarach prac projektowych, które w pierwszej kolejności są usuwane z budżetu przedsięwzięcia. Doświadczenie pokazuje, że w grupie tych zagadnień najczęściej pojawiające się kwestie dotyczą bezpieczeństwa systemu ERP związanego z właściwie zdefiniowanymi uprawnieniami użytkowników oraz mechanizmami kontrolnymi adresującymi ryzyka w procesach biznesowych. Realizowane pod dużą presją czasową projekty wdrożeniowe skutkują pozostawieniem otwartych ścieżek dla potencjalnych nadużyć, które są coraz częściej wykorzystywane do generowania środków finansowych, nie dla właściciela biznesu, lecz dla zapracowanego menadżera, który w ten sposób wynagradza sobie często obcinaną w okresie kryzysu pensję. Ścieżki i sposoby nadużyć finansowych w systemach klasy ERP są często odkrywane przez pracowników firmy przez przypadek (badania ACFE pokazują, że sprawcy nadużyć zawodowych to z reguły sprawcy ‘pierwszorazowi’) lub jako efekt popularyzacji rozmaitych grup i forów dyskusyjnych w Internecie. Zaskakujące jest tylko tempo, w jakim początkowy użytkownik systemu ERP uczy się nowych sposobów dokonania działań o charakterze nadużycia.

Przykłady nadużyć dokonywanych w systemach klasy ERP są rozmaite. Tymi najprostszymi są zmiany w danych podstawowych rachunków bankowych rzadko używanych dostawców, lub wręcz tworzenie nowego fikcyjnego dostawcy, na rzecz, którego okresowo dokonywane są płatności, na przykład z tytułu rzekomego zakupu materiałów biurowych dla naszej firmy, bądź wykonania usług remontowych lub budowlanych w oddziałach naszego przedsiębiorstwa. Takie przelewy, często na niewielkie kwoty wchodzą w skład dużych, mających często po kilkadziesiąt / kilkaset pozycji, paczek z płatnościami do dostawców, oczywiście w pełni zautomatyzowanymi w programach do płatności, lub systemach klasy ERP. Innym przykładem nadużycia jest zmiana miejsca wysyłki towaru, za który zapłacił klient. Na ten rodzaj nadużycia szczególnie podatne są biznesy dostarczające na rynek produkty wysoko cenne. W systemie ERP pracownik zmienia miejsce wysyłki towaru na fikcyjny adres, tzw. „dziuplę”, kierowca, który dostarcza towar na podstawie dokumentów z systemu, nie jest w stanie zweryfikować, czy wskazany magazyn towaru jest właściwy, szczególnie w sytuacji, w której spedycję dla naszej firmy realizuje podmiot zewnętrzny. Przy bardzo dużych i często realizowanych wysyłkach oraz centralnym dziale księgowości, takie nadużycie może być niezauważalne przez bardzo długi czas. Może się tak stać szczególnie w sytuacji, jeżeli nasz klient ma bardzo wysoki limit kredytowy, również ustawiany i pilnowany przez centralny system ERP, lub nasz pracownik, dzięki wysokim uprawnieniom w systemie, ma możliwość zmiany parametrów raportu wiekowania należności.

Kolejnym przykładem są nadużycia realizowane w procesie zakupowym, w którym oszustwo może polegać na wprowadzaniu do systemu ERP faktury z błędną ceną (niezgodną z ceną widniejącą na zamówieniu) lub z ilością produktu, inną niż ta przyjęta na dokumencie PZ do magazynu firmy. Pracownik popełniający nadużycie wykorzystuje lukę systemową, polegającą na braku automatycznego wymuszania przez system zgodności ceny i ilości towaru pomiędzy zamówieniem, dokumentem przyjęcia a fakturą. Ten rodzaj nadużycia pojawia się również w spółkach, gdzie występuje kontrola w tym obszarze, jednakże jest ona wykonywana wyłącznie przez pracowników działu księgowości, którzy w sposób ręczny uzgadniają duże ilości papierowych dokumentów, natomiast nie wykorzystuje się możliwości systemu ERP, który w tym zakresie jest niewłaściwe skonfigurowany. Ryzyko tego typu nadużycia jest dodatkowo potęgowane, gdy nasz pracownik ma w systemie uprawnienia do wystawiania wszystkich trzech dokumentów. Wówczas, pomimo dobrze zdefiniowanych parametrów ”potrójnego uzgodnienia”, może dojść do nadużycia, ponieważ wszystkie trzy dokumenty zostały wprowadzone przez jedną osobę, mającą bardzo szerokie, od dawna nieweryfikowane uprawnienia. Zaskakujące jest przy tym to, że ten sam proces odpowiednio kontrolowany i rozdzielony na dwie osoby, stanowi skuteczną ochronę przed tego typu nadużyciem. Ostatnim przykładem dość często pojawiającym się w tym niechlubnym kontekście są cenniki, zazwyczaj centralnie wprowadzane i obowiązujące w określonych okresach. Nadużycie pojawia się wtedy, gdy bardzo starannie weryfikowane i zatwierdzane przez kierownictwo cenniki papierowe są wprowadzane do systemu, w którym nikt później ich poprawności nie weryfikuje, poprzez domniemanie, że przecież ceny są zatwierdzone. Handlowiec, dysponując możliwością modyfikacji ceny na zamówieniu, zmniejsza marżę na produkcie, a różnicę spadku premii (często uzależnionej od wypracowanej marży) wynagradza mu bezpośrednio klient, oczywiście nieformalnie.

Patrząc na te przykłady nadużyć, warto zastanowić się - co jest najczęstszym powodem nadużyć w systemach ERP? Doświadczenie i praktyka audytowa pokazuje, że szukając źródeł problemów, w firmach, które doświadczają nadużyć, można znaleźć kilka punktów wspólnych:

• bardzo szybka realizacja projektu wdrożenia systemu ERP, a następnie „walka” o jak najszybsze uruchomienie podstawowej funkcjonalności procesu biznesowego w terminie zgodnym z zaplanowanym (w sposób zbyt optymistyczny) w harmonogramie projektu– z pominięciem zakresu kluczowych elementów kontrolnych,
• zbyt szeroko zdefiniowane uprawnienia użytkownika – nieadekwatne do zakresu jego obowiązków, pozwalające mu na przejście wszystkich czynności biznesowych w ramach procesu, np. w przypadku procesu zakupowego – przejście od zamówienia do zapłaty faktury,
• pozostawienie po wdrożeniu systemu otwartych kont konsultantów modułowych z bardzo szerokimi uprawnieniami, które są dodatkowo wykorzystywane przez pracowników firmy, z głównym argumentem, że szerokie uprawnienia są potrzebne do pracy w systemie,
• żytkownicy biznesowi są bardziej świadomi (dobrodziejstwo Internetu) ukrytych lub bocznych drzwi, w realizacji operacji biznesowych, dlatego coraz łatwiej wykorzystują luki powstałe po wdrożeniu systemu.

Metody zabezpieczeń

Większość firm, w których nadużycia mogą być problemem, posiada własne mechanizmy radzenia sobie z nimi. Od zaawansowanych mechanizmów prewencyjnych, które pozwalają im zapobiec, po mechanizmy detekcyjne tzw. z ang. whistle-blowers hotline (dedykowane numery do zgłaszania nadużyć w firmach) oraz oczywiście znane wszystkim informatykom mechanizmy korekcyjne, takie jak zabezpieczenie dysków, obrazy, kopie zapasowe itd.

Według raportu ACFE prawie 2/3 nadużyć jest wykonywanych przez pojedyncze osoby, nierzadko bazując przede wszystkim na bardzo dobrej znajomości słabości w mechanizmach kontrolnych systemów ERP. Jak można się przed tym obronić?

Praktyka pokazuje, że bezpieczny system to taki, w którym już w założeniach podkreśla się istotność wdrożenia mechanizmów bezpieczeństwa. Z perspektywy systemu ERP, to przede wszystkim takie wdrożenie procesów biznesowych, które ogranicza dowolność użytkownikom. Procesy biznesowe muszą zostać tak ustawione, aby pracownik mógł je realizować tylko zgodnie z ustalonym schematem, jakiekolwiek boczne wejścia i drogi na skróty muszą zostać zamknięte, ponieważ rodzą ryzyko dla działającego systemu. Pamiętajmy także o kontrolach automatycznych (konfigurowalnych bezpośrednio w systemie). Kilka dodatkowych dni pracy konsultanta na etapie projektowania i jeszcze mniej na etapie wdrażania, znikome wartości przy całościowym budżecie projektu. Jednak ta inwestycja pozwala na takie zabezpieczeni systemu, aby maksymalnie utrudnić wykonanie nadużycia, nie wpływając oczywiście istotnie na czas realizacji procesów w systemie. Nie każdą kontrolę da się jednak zaimplementować bezpośrednio w systemie, nie łatwo jest zastąpić np. ręczną weryfikację podpisów, dlatego tak ważne jest zapewnienie dopełnienia w postaci mocnego środowiska kontroli ręcznych. Pozwólmy jednak ten obszar ustawić ekspertom od kontroli wewnętrznej, z wiedzą z zakresu możliwości kontrolnych naszego systemu ERP, to właśnie oni mają najlepszą znajomość ograniczeń systemowych oraz możliwości wprowadzenia dedykowanych zmian.

Niewątpliwie jedną z najmocniejszych kontroli zapobiegających nadużyciu jest wprowadzenie rozdziału obowiązków w organizacji i właściwe przeniesienie go na poziom systemu. Nie jest przypadkowe, że ustawy takie jak SOx olbrzymi nacisk kładą właśnie na kwestie rozdziału obowiązków. Jeśli nie pozwolimy pracownikowi wykonać w systemie całych części procesu, które wykonane jednoosobowo mogą kończyć się nadużyciem, to jesteśmy bezpieczni (przynajmniej w części systemowej). Rozdział obowiązków, przy innych kontrolach tego typu, czy też dedykowanych rozwiązaniach do detekcji nadużyć, wydaje się najbardziej uzasadnioną kosztowo kontrolą. Oczywiście rozwiązania typu ArcSight, czy Sentinel mają możliwość głębszego wniknięcia w przebieg samego procesu, a nawet pewnej heurystyki, z wykorzystaniem narzędzi korelujących. Zastanówmy się jednak, czy w naszej organizacji to się opłaca? Czy koszta kontroli nie przewyższą spodziewanych korzyści?

Dlaczego warto, czy to się opłaca?

Największy problem z perspektywy nadużyć mają firmy, które obracają np. finansami swoich klientów. Informacja prasowa o nadużyciu w takiej firmie, może spowodować utratę znacznej części klientów, a w konsekwencji nawet wypadnięcie z rynku. Dlatego wiele firm przyjmuje strategię zero tolerancji dla nadużyć, która wiąże się ze znacznymi kosztami prowadzonych kontroli, ale pozwala w maksymalnym stopniu chronić reputację przedsiębiorstwa. Jak wspomniano we wstępie, prawie 78% firm wprowadziło, lub zmieniło kontrole w obszarze nadużyć dopiero po ich wystąpieniu. Czy trzeba tyle czekać żeby zacząć walczyć z chorobą? Zapobieganie okazuje się w praktyce dużo bardziej skuteczne i efektywne kosztowo. Przede wszystkim popatrzmy z perspektywy kontroli wewnętrznej, spośród tych 78% firm, aż 56% skierowało działania naprawcze w stronę większego wzmocnienia i testowania mechanizmów kontroli wewnętrznej, a za najbardziej ryzykowny obszar uznano finanse i księgowość, aż 29% nadużyć popełniono w tych działach. Idealnym kandydatem do wprowadzenia zmian wydaje się, więc serce tych działów, czyli system finansowo księgowy. To właśnie zmiany na poziomie tego systemu mogą istotnie wpłynąć na szczelność całego procesu. Z perspektywy całej organizacji przekłada się to na najistotniejsze systemy IT, takie jak ERP. ROI i efektywność kontroli jest maksymalne, jeśli kontrola może zostać zautomatyzowana i zbudowana, jako prewencyjna, czyli zapobiegające, a nie lecząca objawy. Automatyczne mechanizmy kontrolne, polegające m.in. na ograniczeniu uprawnień i/lub rozdzieleniu obowiązków, są najskuteczniejszymi i najtańszymi (najbardziej efektywnymi kosztowo) sposobami umożliwiającymi ograniczenie ryzyk biznesowych. Pamiętajmy, że z badań ACFE wynika, że większość osób popełniających nadużycie robi to po raz pierwszy, to okazja czyni złodzieja, dlatego dobre kontrole prewencyjne zniechęcają potencjalnych kandydatów do eksperymentów. Warto także zauważyć, że sama zmiana systemu ERP nie wystarczy, aby zlikwidować wszystkie typy nadużyć. Nadużycia całkowicie niezwiązane z systemem takie jak np. korupcja, wymagają innego podejścia i przede wszystkim podnoszenia świadomości w organizacji. Dobrze zbalansowany system kontrolny sięga do różnych obszarów, a naszą sprawą jest jak zaadresować ryzyko w stopniu wymaganym w naszej spółce, równocześnie nie przekraczając przyznanych środków. Kontrole automatyczne i rozdział obowiązków na pewno nie zaszkodzą firmie, a w większości przypadków mogą bardzo aktywnie przyczynić się do zwiększenia bezpieczeństwa.

Sytuacją idealną z punktu widzenia kontroli ryzyka – zarówno nadużyć, jak i pomyłek – byłoby umożliwienie użytkownikowi poruszania się po systemie jedynie w takim wymiarze, w jakim zostało mu powierzone wykonywanie procesu biznesowego.

Można to osiągnąć poprzez dopasowanie uprawnień użytkowników do wykonywanych etapów procesu, rozdzielenie poszczególnych czynności pomiędzy użytkowników oraz poprzez wdrożenie kontroli automatycznych.

Dopasowanie uprawnień będzie możliwe jedynie pod warunkiem, że firma będzie w stanie precyzyjnie przedstawić zestaw czynności, które dany użytkownik będzie wykonywał. W praktyce, wiele firm może mieć problem już z tym pierwszym krokiem. Nawet jeżeli firma ma „spisane” procesy biznesowe, brakującym ogniwem może okazać się przetłumaczenie ich na uprawnienia systemowe. Ponadto, podział obowiązków pomiędzy użytkownikami w małych organizacjach może okazać się niemożliwy z powodu niewielkiej liczby zatrudnionych osób.

Bardzo pomocne – i często w Polsce niedoceniane – mogą okazać się kontrole automatyczne. Największym wyzwaniem jest ich poprawne „skalibrowanie”: ustalenie progów tolerancji i obsługa wyjątków, które generują.

Być może jednak największym wyzwaniem przy wdrażaniu systemu kontroli ryzyka jest przezwyciężenie niechęci właścicieli procesów biznesowych i przekonanie ich, że praca włożona w projektowanie go przyniesie wymierne efekty w postaci efektywności i niezawodności realizowanych procesów biznesowych.

Marcin Bednarski, ACCA, CISA, CIA, Ekspert ds. audytu wewnętrznego w dużej firmie telekomunikacyjnej

Bezpieczeństwo systemu ERP należy zaprojektować na bardzo wczesnym etapie wdrożenia.

Niestety, częstą praktyką jest koncentracja klienta i zespołu wdrożeniowego na uzyskaniu pożądanej funkcjonalności systemu, sprawę ochrony informacji pozostawiając „tym specjalistom od bezpieczeństwa”. A przecież tylko świadomy klient jest w stanie określić swoje koncepcje ochrony informacji (przydział zadań i rozdział obowiązków). Dodatkowo trzeba zdać sobie sprawę, że w rozbudowanych systemach ERP, żaden ekspert nie zna specyfiki funkcjonowania całego programu, koncentrując swą wiedzę na wybranym module funkcjonalnym. Zaś to te moduły funkcjonalne dostarczają podstawowych elementów do poprawnego i spójnego zdefiniowania uprawnień użytkownika w systemie.

„Specjaliści od bezpieczeństwa” znają tylko niektóre z tych elementów, te, z którymi zetknęli się już podczas poprzednich wdrożeń. Wobec konieczności kompleksowej ochrony informacji w systemie, współpraca klienta i specjalistów od modułów funkcjonalnych z „tymi od bezpieczeństwa” jest niezbędna. I to już od etapu dokumentowania procesów, zanim jeszcze ktokolwiek zacznie konfigurowanie systemu.

Oczywistym jest, że podczas wdrożenia wykonuje się kilka faz testowania. Są to przede wszystkim testy „pozytywne”, czyli sprawdzenie czy pożądana funkcjonalność jest przez system realizowana. Jednak do weryfikacji bezpieczeństwa informacji istotniejsze są testy „negatywne”, czyli sprawdzanie, czy konkretny użytkownik może wykonać tylko przeznaczone dla niego zadania. Testy te z natury rzeczy można wykonywać dopiero gdy wszystkie elementy systemy są już (prawie) gotowe. W praktyce – pod olbrzymia presją czasu, tuż przed… Niejednokrotnie prowadzi to do kompromisów: „startujemy, przecież system działa, a te niedostatki bezpieczeństwa doszlifujemy już po”. Co może być sensowne, ale może też doprowadzić do pozostawienia „dziur” już na zawsze. Zwłaszcza, gdy wymogi bezpieczeństwa nie zostały wzięte pod uwagę na etapie projektowym, i załatanie dziury wymagałoby istotnej modyfikacji konfiguracji funkcjonalnej.

Robert Nikołajew, CISA. Dyrektor Audytu i Kontroli Wewnętrznej w Cyfrowy Polsat S.A. W swojej karierze brał udział w kilku wdrożeniach SAP, doradzając i weryfikując wdrożenie kontroli biznesowych w systemie.

Źródło: www.grcadvisory.pl
Autorzy: Andrzej Partyka i Filip Nowak (założyciele firmy GRC Advisory)

Autorzy artykułu są praktykami, mającymi szerokie polskie oraz międzynarodowe doświadczenie w zakresie budowania mechanizmów kontroli wewnętrznej opartych o systemy klasy ERP. Założona przez nich firma świadczy profesjonalne usługi doradcze z zakresu budowy i analizy uprawnień użytkowników w systemach ERP z zachowaniem właściwego podziału obowiązków, przeglądu procesów biznesowych pod kątem optymalizacji mechanizmów kontrolnych w nich zawartych oraz audytów bezpieczeństwa informatycznego i planów ciągłości działania.