Uprawnienia ERP – źródło (nie)ładu korporacyjnego
Zagrożenia związane z defraudacją zasobów oraz sposoby im zapobiegania od lat znajdują się w centrum zainteresowania kadry zarządzającej. Jak wynika z raportu „Report to the Nations on Occupational Fraud and Abuse”* opublikowanego w 2018 roku przez organizację ACFE przedsiębiorstwa straciły średnio 5% przychodów w wyniku nadużyć, mediana wartości takiej straty wynosi 130 tysięcy dolarów, a więcej niż w co piątym przypadku strata przekracza milion dolarów. Warto również zaznaczyć, iż statystyki przedstawione w tym raporcie opisują tylko wykryte nadużycia, natomiast rzeczywista skala tego zjawiska może być znacznie większa.
Centralizacja informacji, działań i procesów biznesowych w coraz bardziej rozbudowanych systemach klasy ERP sprawia, że zapobieganie oraz walka z nadużyciami staje się coraz bardziej skomplikowana i czasochłonna. Lista potencjalnych zagrożeń jest długa, jednakże do najważniejszych należy zaliczyć ryzyka związane z kontrolą dostępu, między innymi nadawanie zbyt szerokich uprawnień w systemie, upraszczanie strategii zatwierdzeń, brak kontroli dostępu, czy też niedostateczną wiedzę dotyczącą zagrożeń wynikających z nadawanych uprawnień. Według raportu ACFE co najmniej ¼ przypadków wystąpienia defraudacji była spowodowana brakiem odpowiednich kontroli wewnętrznych, dodatkowo aż 70% nadużyć zostało popełnionych przez pracowników na stanowiskach kierowniczych (manager, owner/ executive). Jednym ze sposobów ograniczenia ryzyka nadużyć jest uporządkowanie uprawnień użytkowników w systemach oraz wdrożenie procesów kontroli nadawania dostępu przez pryzmat wprowadzenia rozdziału obowiązków (ang. Segregation of duties) w organizacji i w systemach.
Ze względu na złożoność systemów ERP wykonanie tego w sposób ręczny byłoby żmudnym i pracochłonnym zadaniem. Z pomocą przychodzą narzędzia klasy GRC, które wspierają proces zarządzania dostępem, ryzykiem korporacyjnym oraz zgodnością z przepisami. Jednym z takich rozwiązań klasy GRC jest smartGRC, który wspiera przedsiębiorstwo przede wszystkim w dwóch aspektach:
- pozwala zdiagnozować stan systemu oraz określić ryzyka, na które narażone jest dane przedsiębiorstwo, a następnie uporządkować uprawnienia użytkowników, co prowadzi bezpośrednio do wzrostu bezpieczeństwa systemu (działania reaktywne „Get clean”)
- pełni funkcję kontrolną umożliwiając zarządzanie i monitorowanie zmian zachodzących w systemie pod kątem ról dostępowych i uprawnień użytkowników (działania proaktywne „Stay clean”).
Aplikacja smartGRC podczas wielopłaszczyznowej analizy konfliktów rozdziału obowiązków (ang. Segregation of duties conflicts) pozwala wskazać między innymi czynności krytyczne, kody transakcji oraz ryzyka występujące w rolach i uprawnieniach użytkowników. Analizy takie dają przejrzysty obraz stanu uprawnień w systemie, dzięki czemu pozwalają na precyzyjne działania zmierzające do ograniczenia ryzyk związanych z nadmiarowym dostępem oraz zwiększenia poziomu bezpieczeństwa systemu. Według raportu ACFE wykorzystanie kontroli wewnętrznych przyczynia się do ograniczenia nadużyć oraz przyspiesza czas ich wykrywania, dlatego warto również wykorzystać automatyczne kontrole wbudowane w aplikację smartGRC, które pozwolą systematycznie i regularnie monitorować stan systemu oraz zapobiegać powstawaniu ryzyk związanych z nadmiarowym dostępem użytkowników.
Dzięki aplikacji cały proces nadawania uprawnień do systemu można zautomatyzować oraz wprowadzić wielokrokową ścieżkę akceptacji. Dla każdego wniosku o nadanie dostępów istnieje możliwość przeprowadzenia analizy ryzyka w celu sprawdzenia czy ich przypisanie nie spowoduje konfliktów rozdziału obowiązków, lub pozwoli na wykonanie czynności krytycznych z punktu widzenia bezpieczeństwa systemu oraz firmy. Osoba odpowiadająca za zarządzanie dostępem otrzymuje szczegółowy raport zawierający potencjalne ryzyka, dzięki czemu może podjąć świadomą decyzję dotyczącą akceptowanych uprawnień.
W podobny sposób można kontrolować również proces tworzenia oraz modyfikacji ról nadających dostęp do systemu. Moduł zarządzania rolami pozwala na ich skatalogowanie, detaliczne opisanie, wprowadzenie ścieżki akceptacji dla zmian oraz przeprowadzenie analizy ryzyka.
Dodatkowo aplikacja smartGRC umożliwia monitorowanie stanu systemu poprzez okresowe przeglądy, które mają za zadanie weryfikację uprawnień posiadanych przez użytkowników oraz ich ograniczenie do jedynie niezbędnych w wykonywaniu powierzonej pracy.
Starsi konsultanci w dziale usług doradczych, GRC Advisory
*Association of Certified Fraud Examiners, Report to the Nations 2018 Global Study on Occupational Fraud and Abuse