Role, uprawnienia i autoryzacje w SAP to temat rzeka, który poruszaliśmy już kilkukrotnie.
Pisaliśmy o zagrożeniach, które wynikają z braku koncepcji uprawnień, źle prowadzonych procach ich nadawania oraz ryzykach z tym związanych dla organizacji. Dzisiaj, w tej nowej dla wielu przedsiębiorstw rzeczywistości temat jest tym bardziej "gorący".
Raport PWC "Global Economic Crime Survey 2020" jednoznacznie wskazuje, że wśród Polskich firm spory wzrost odnotowują nadużycia księgowe. Okazuje się, że około 63% nadużyć było dokonywanych przez pracowników (insider).
Skala nadużyć jest także coraz większa - ponad 61% firm, w których wykryto nadużycie poniosło z tego tytułu straty większe niż 400k PLN (ponad połowa z nich osiągnęła straty powyżej 4 mln PLN).
Warto jeszcze zaznaczyć, że w większości wykrycia nadużyć zostały dokonane przez działania rutynowe (takie jak audyty czy przeglądy dokumentów). Zaledwie 23% wykryć pochodziło przez automatyzację działań podejrzanych i systemy ochrony IT.
Skoro większość z dokonanych nadużyć było realizowane przez pracowników - warto przyjrzeć się możliwym przyczynom. Podczas realizacji projektów - w kontekście autoryzacji SAP obserwujemy trzy znaczące trendy w tym zakresie: zaniedbanie autoryzacji na początkowym etapie wdrożenia systemu, proces akceptowania oraz konflikty uprawnień.
Projekty wdrożeniowe mają to do siebie, że istnieje dość duży nacisk na budżet i prędkość realizacji projektu. Ma to oczywiście swoje uzasadnienie, gdyż biznes musi generować przychód, a czas ma kolosalne znaczenie. Niemniej w późniejszym etapie życia systemu i użytkowników w nim - istotne jest zabezpieczenie zarządzania autoryzacjami konkretnymi wytycznymi.
Stąd też pojęcie koncepcji uprawnień, czyli zestawu szczegółowych informacji o podstawowych zasadach tego wyzwania. Począwszy od nazewnictwa i zawartości ról, przez zmapowanie ról ze stanowiskami, na określeniu ram i ryzyk związanych z dostępami kończąc. I wydaje się, że taka spójność dostępów powinna być w każdej organizacji priorytetem - powyższe opracowanie PWC pokazuje, że sporo jest jeszcze do zrobienia.
Skoro system działa parę (często paręnaście) lat - jest spore prawdopodobieństwo, że nieuprawnione
(z definicji) osoby mają potencjalną możliwość realizacji nadużyć przez zbyt duże dostępy.
Użytkownikowi łatwiej jest dodać rolę niż jakąś zabrać - a to wychodzi z naszych obserwacji, gdzie około 10-15% autoryzacji nadanych użytkownikom jest używana w codziennym życiu (reszta jest po prostu zbędna).
Znasz taki scenariusz?
- "Poproszę o rolę taką jak ma Pan Staszek"
- "Ok, akceptuję"
Co w tej sytuacji robi BASIS (lub dział autoryzacji)?
Jeśli proces akceptacji się w tym momencie kończy - realizowana jest prośba.
Czy osoba akceptująca posiada wiedzę odnośnie wszystkich transakcji i ról, związanych z nimi ryzyk i potencjalnych zagrożeń?
Śmiem twierdzić, że jest to mało prawdopodobne.
Wnioski na mailu, w formie papierowej lub w systemie ticketowym, których weryfikacja jest oderwana od kontekstu systemu (brak możliwości sprzężenia zwrotnego z ryzykami w SAP) powodują, że organizacja
w tym zakresie nie działa proaktywnie. Dzięki temu do systemu regularnie przedostają się niebezpieczne zestawy autoryzacji.
Pracownik w ciągu wielu lat pracy w organizacji przechodzi przez różne jej szczeble. Dostaje nowe dostępy, zmienia funkcje, dostaje następne role. Jest to również pochodna dwóch pierwszych punktów (typowych zaniedbań).
Konsekwencje są tu bardzo widoczne, bo jego dostępy pozwalają na wykonanie całych procesów biznesowych. Często wielu...
Dobrze, gdy organizacja zna ryzyka i potrafi sobie z nimi poradzić wdrażając odpowiednie procesy GRC
w SAP. Jednak są to wyjątkowe sytuacje, a w większości przypadków aktywności sprowadzają się do wykonania ogólnych raportów z pojedynczych konfliktów.
Nadużyć związanych z Konfliktami Uprawnień (SOD) można mnożyć. Dotyczą one praktycznie każdego obszaru biznesu realizowanego przez SAP.
Prosty scenariusz dla FI:
Autoryzacja nr 1 - FK01 / XK01 - Zarządzanie danymi podstawowymi dostawców
Autoryzacja nr 2 - FB60 / FB65 / FB01 / F-53 - Fakturowanie towarów przychodzących
Konflikt uprawnień - Ryzyko wysłania faktury dla fikcyjnego dostawcy. Wypłynięcie pieniędzy z tytułu rozliczenia faktury.
Obszar SD
VA01/VA02/WCS0
+
Np.: V32/V32/V33/V35
Możliwość wprowadzenia dokumentów sprzedaży i obniżenia cen celem osiągnięcia korzyści finansowych dla użytkownika, który może edytować fikcyjnych dostawców i inicjować zakupy na danego dostawcę.
Obszar HR/PY
Np.:F-18/F-46/F-58_K
+
Np.: FEBA/FF.5/FF/4/FF/5
Wprowadzenie nieautoryzowanych płatności i realizacja salda rachunku bankowego. Ryzyko wprowadzenia nieautoryzowanej płatności i potwierdzenia salda bankowego przez tą samą osobę.
W tak potężnym narzędziu, przetwarzającym najważniejsze dane w organizacjach - kwestie optymalnego zarządzania dostępem to nic innego jak wymóg, by organizacja mogła panować nad ryzykiem i potencjalnymi nadużyciami.
I to nie jest tylko potrzeba, na którą zwracamy uwagę, jako producent narzędzi do zarządzania procesami GRC w SAP. To również opracowania Wielkiej Czwórki, oraz ich Klienci, którzy spotykają się z wymiernymi problemami właśnie ze względu na nadużycia użytkowników, którzy nie powinni mieć dostępu, lub dostęp ten powinien być ściśle monitorowany.
Co można zatem zrobić?
Przede wszystkim przyjrzeć się obecnej infrastrukturze SAP:
1 - jaka jest aktualna Twoja koncepcja uprawnień? Czy jest brana pod uwagę w codziennych czynnościach?
2 - jak wygląda Twój proces nadawania uprawnień oraz ich akceptacja? Czy osoby akceptujące posiadają wystarczającą wiedzę o ryzykach?
3 - czy znasz poziom ryzyk związanych z dostępami i konfliktami uprawnień?
Jeśli masz wątpliwości co do któregokolwiek z punktów - jesteśmy do dyspozycji.
autor: Tomasz Jurgielewicz /Sast Polska Team/
tomasz.jurgielewicz@lukardi.com
------------------------------------------------------------------------------------------------
Bibliografia
https://www.slideshare.net/slideshow/embed_code/key/36w8AjPl4t9TcE
https://www.pwc.com/gx/en/forensics/gecs-2020/pdf/global-economic-crime-and-fraud-survey-2020.pdf
-------------------------------------------------------------------------------------------------
WARTO PRZECZYTAĆ:
