ArtikelfilterFraude en diefstal via ERP-systemen
Een aantal factoren ligt ten grondslag aan deze fraude, zoals algemene autorisaties, geen helder taakonderscheid, onjuiste beleidsregels en procedures, amateuristisch ontwerp van de database en slecht onderhoud van deze vaak gevoelige data. Het identificeren en blijvend controleren hiervan verlaagt het risico op misbruik van gegevens aanzienlijk.
Fraude en verduistering zijn het gevolg van druk om te frauderen, kwaadwillende bedoeling en gelegenheid. Alleen deze laatste factor is door een bedrijf te beïnvloeden. Het gaat dan vooral om de mate van beheer van informatiesystemen en de aanwezige controlemechanismen.
Gegevens op waarde schatten
De overstap naar een ERP-omgeving betekent meestal de samenvoeging van verschillende ‘legacy’-systemen die gevoelige data beheren, zoals bankgegevens en betalingsvoorwaarden. Al deze data wordt steeds vaker beheerd in één systeem met één database. De overstap hiernaartoe is complex en verloopt in drie stappen: het exporteren van de data uit systeem x, het verbeteren van de gegevens en het importeren in het ERP-systeem. Wanneer gedurende een van deze drie stadia de data onvoldoende is beveiligd, is de kans aanwezig dat deze opzettelijk wordt gewijzigd of in verkeerde handen valt. Bedrijven moeten daarom als eerste gevoelige data identificeren en met regelmaat controles uitvoeren op de integriteit van de data en het onderhoud ervan.
Controle en systeembeheer
De implementatie van een veilig ERP-systeem staat of valt met de invoering van controlemechanismen en het juiste systeembeheer. Hoewel de informatie in een dergelijk systeem, zoals gegevens over klanten, medewerkers, leveranciers en resultaten, zeer gevoelig kan zijn, krijgen medewerkers vaak bredere toegang dan noodzakelijk om het systeem gebruiksvriendelijker te maken. Onjuiste autorisaties vergroten echter het risico op fraude en verduistering.
ERP-systemen zijn zeer complex en er zijn verschillende mogelijkheden om brede autorisatie te krijgen. In SAP-systemen is gebruikersbeheer bijvoorbeeld gebaseerd op gebruikersprofielen, -regels en -objecten. Een gebruiker kan dus toegangsrechten krijgen op basis van een onjuist profiel, kan verkeerde regels toegewezen krijgen of gecompromitteerde objecten ontvangen. Het aanscherpen van deze autorisaties is echter een tijdrovend, complex proces.
Taakverdeling en audits
ERP-systemen registreren bedrijfsgebeurtenissen in real-time. Hierdoor wordt de preventie en het ontdekken van fraude lastiger. Als iemand bijvoorbeeld een voorraadlijst steelt en vervolgens direct de voorraadtoepassing in het ERP-systeem aanpast, is de verduistering nauwelijks te ontdekken. Het uitvoeren van audits kan dit voorkomen.
ERP-systemen werken via een database. Dit versnelt de informatiestroom en procesintegratie en maakt het mogelijk om de meeste bedrijfsprocessen binnen één systeem te beheren. Wanneer een bedrijf dus geen duidelijk taakonderscheid heeft aangebracht, is misbruik van toegangsrechten waarschijnlijk al regelmatig gebeurd. Verschillende verduisteringen hadden voorkomen kunnen worden door een heldere taakverdeling te maken.
Automatisering van autorisatie
De implementatie van een ERP-systeem betreft meestal de samenvoeging van gevoelige procedures als handtekeningautorisatie, inkoopautorisatie en betalingsautorisatie. Voorheen werden deze handmatig uitgevoerd, maar deze procedures gebeuren steeds vaker automatisch. Een onjuiste omgang hiermee kan leiden tot foutieve handelingen die niet zijn terug te draaien. Bedrijven moeten daarom een geschikt audit-raamwerk toepassen dat foutieve toepassing van autorisaties tegengaat.
Aanpak
De probleempunten worden in twee fases aangepakt. Als eerste worden de probleemgebieden als zodanig geïdentificeerd. Vervolgens wordt een audit-raamwerk in stelling gebracht dat blootstelling van gegevens tegengaat. ERP-systemen als SAP en Oracle zijn groot en complex. De identificatie van de probleemgebieden vraagt dan ook vergaande kennis van dergelijke systemen. De aanpak van de probleemgebieden gaat het beste via een assessment-methodologie die specifiek ontwikkeld is om fraude en verduistering tegen te gaan binnen ERP-systemen. Deze aanpak legt de nadruk op het identificeren van specifieke probleempunten en een voortdurende auditing van het systeem.
Henk van der Heijden, Comsec Managing Director Benelux
Buitenlands nieuws
- 03 september 15:00 – The state of the scripting universe
- 11 juni 17:04 – Mobile operators claim falling data roaming prices in Europe
- 10 juni 23:56 – Microsoft hires anti-phishing crusader
- 09 juni 11:18 – Samsung launches iPhone-like Omnia handset
- 06 juni 11:56 – Do geeks make good jurors in tech cases? Not always
