Vet du vilka befogenheter dina medarbetare har?

Företag gillar inte kaos och hatar osäkerhet

Roller, rättigheter och behörigheter i SAP är ett ämne som vi har berört flera gånger.
Vi har skrivit om de faror som uppstår på grund av bristande konceptualisering av rättigheter, dåligt hanterade rättighetsfullmakter och de därmed sammanhängande riskerna för organisationen. Idag, i denna nya verklighet för många företag, är ämnet ännu mer „hett”.

PWC:s rapport Global Economic Crime Survey 2020 visar tydligt att bland de polska företagen är den betydande tillväxten bokföringsbedrägeri. Det visar sig att runt 63% missbruk genomfördes av anställda (insider).

Omfattningen av övergreppen ökar också - över 61% företag, där övergreppet upptäcktes led som en följd av förluster på mer än PLN 400k (mer än hälften varav realiserade förluster ovan PLN 4 miljoner).
Det är också värt att notera att bedrägerierna till största delen upptäcktes av rutinmässiga aktiviteter (såsom revisioner eller dokumentgranskningar). Endast 23%-upptäckter kom från system för automatisering av misstänkt aktivitet och IT-säkerhetssystem.

Eftersom det mesta av missbruket utfördes av anställda är det värt att titta på de möjliga orsakerna. Under projektgenomförandet - i samband med SAP-auktorisation - ser vi tre viktiga trender i detta avseende: försummelse av auktorisation i det inledande skedet av systemimplementeringen, acceptansprocessen och auktorisationskonflikter.

Försummelse av behörighet i det inledande skedet av systemimplementeringen

I samband med implementeringsprojekt läggs det ofta stor vikt vid budget och snabbhet i projektleveransen. Detta har naturligtvis sitt berättigande, eftersom verksamheten måste generera intäkter och tid är av kolossal betydelse. Men senare i systemets livscykel och för användarna i det - de Det är viktigt att säkra hanteringen av behörigheter med särskilda riktlinjer.

Därav begreppet Begreppet rättigheter, dvs. en uppsättning detaljer om de grundläggande principerna för utmaningen.. Det handlar om allt från namngivning och innehåll i roller, till mappning av roller med jobb, till att definiera ramverk och risker i samband med åtkomst. Och det verkar som om en sådan konsekvent åtkomst bör prioriteras i alla organisationer - PWC-studien ovan visar att det fortfarande finns mycket arbete kvar att göra.

Eftersom systemet har varit i drift i några år (ofta ett par årtionden) finns det en god chans att obehörig
(per definition) individer har potential att begå övergrepp genom överdriven tillgång.

Det är lättare för en användare att lägga till en roll än att ta bort en - och detta framgår av våra observationer, där vissa 10-15% behörighet som ges till användare används i det dagliga livet (resten är helt enkelt överflödigt).

Acceptansprocess - brist på kunskap

Känner du till ett sådant scenario?

- „Jag skulle be om en roll som Mr Staszek har”.”

- „Ok, jag accepterar”.”

Vad gör BASIS (eller behörighetsavdelningen) i en sådan situation?
Om acceptansprocessen avslutas vid denna punkt - implementeras begäran.

Har acceptanten kunskap om alla transaktioner och roller, de risker som är förknippade med dem och potentiella risker?
Jag vågar påstå att det är osannolikt.

Förfrågningar via e-post, på papper eller i ärendehanteringssystemet, vars verifiering är lösryckt från systemets sammanhang (ingen återkoppling från risker i SAP) leder till att organisationen
inom detta område agerar inte proaktivt. Följden blir att osäkra behörighetsuppsättningar regelbundet kommer in i systemet.

Berättigandekonflikter - dvs. pengar som flödar ut ur organisationen

En medarbetare rör sig genom olika nivåer i organisationen under årens lopp. Han får nya accesser, byter funktion och får nya roller. Detta härleds också från de två första punkterna (typisk försummelse).

Konsekvenserna av detta är mycket uppenbara, eftersom åtkomsterna gör det möjligt att utföra hela affärsprocesser. Ofta är många...

Bra när organisationen känner till riskerna och kan hantera dem genom att implementera lämpliga GRC-processer
i SAP. Detta är dock undantagssituationer, och i de flesta fall reduceras aktiviteterna till att utföra allmänna rapporter om enskilda konflikter.

Missförhållandena i samband med Conflicts of Duties (SOD) kan mångfaldigas. De påverkar praktiskt taget alla affärsområden som implementeras av SAP.

Enkelt scenario för FI:

Bemyndigande nr 1 - FK01 / XK01 - Hantering av leverantörers masterdata

Bemyndigande nr 2 - FB60 / FB65 / FB01 / F-53 - Fakturering av inkommande varor

Maktkonflikt - Risk för att skicka en faktura till en fiktiv leverantör. Utflöde av pengar för reglering av fakturor.

SD-område

VA01/VA02/WCS0

+

T.ex: V32/V32/V33/V35

Möjlighet att införa försäljningsdokument och prisnedsättningar för att uppnå ekonomiska fördelar för användaren, som kan redigera fiktiva leverantörer och initiera inköp för en viss leverantör.

HR/PY-området

E.g.:F-18/F-46/F-58_K

+

T.ex: FEBA/FF.5/FF/4/FF/5

Bokföring av obehöriga betalningar och realisering av banktillgodohavandet. Risk för att en obehörig betalning och bekräftelse av banksaldo registreras av samma person.

Sammanfattning

I ett så kraftfullt verktyg, som behandlar de viktigaste uppgifterna i organisationer - är frågorna om optimal åtkomsthantering inget mindre än ett krav på att organisationen kan kontrollera risker och potentiellt missbruk.

Och det här är inte bara ett behov som vi, som utvecklare av GRC-processhanteringsverktyg i SAP, tillgodoser. Det är också utvecklingen hos Big Four och deras kunder, som står inför mätbara problem just på grund av missbruk av användare som inte borde ha tillgång, eller att tillgången borde övervakas noggrant.

Så vad kan man göra?

Först och främst bör du titta på den nuvarande SAP-infrastrukturen:

1 - Vad är din nuvarande uppfattning om rätten till ersättning? Tas det hänsyn till det i den dagliga verksamheten?

2 - Hur ser er process för bemyndigande och acceptans ut? Har de som accepterar tillräckligt med kunskap om riskerna?

3 - Är du medveten om risknivån i samband med konflikter kring åtkomst och privilegier?

Om du är osäker på någon av punkterna - vi finns här för att hjälpa dig.