Veel bedrijven met SAP-erp-software hanteren een set met bovenmaats kritische rechten. Daarbij worden applicaties en afdelingen die dit controleren handig omzeild. Dit schaadt uiteindelijk het bedrijf en geeft fraudeurs, hackers en malware vrij spel. De oplossing ligt niet in techniek of in een applicatie maar in hoe we met security omgaan. Het eerste deel van een drieluik over de spanningsvelden die ontstaan bij het oplossen van kritische rechten en het politieke spel van het verbergen van rechten.
Wereldwijd gebruiken veel bedrijven SAP als de erp-oplossing voor hun bedrijf. SAP is een van de grotere bedrijven met dergelijke software. De kracht van deze software is de veelzijdigheid. Voor elke bedrijfstak is er specialistische software gemaakt. Door deze veelzijdigheid kunnen bijna altijd alle processen van een bedrijf door SAP ondersteund worden. Deze veelzijdigheid heeft een keerzijde: er is te veel mogelijk en je moet keuzes maken in wat je wilt gebruiken en wat niet. Dat kun je allemaal instellen in SAP. Ten eerste wat je wilt gebruiken en ten tweede welke gebruiker wat gebruikt. Dit bepaal je met autorisaties.
Functieconflicten
Een gebruiker kan verschillende bedrijfsfuncties uitvoeren. Hoe meer autorisatie je heb, hoe meer functies je kunt uitvoeren. Sommige functies mogen niet gecombineerd worden met andere functies omdat je dan een punt creëert waarop fraude kan plaatsvinden. Bijvoorbeeld het crediteurrekeningnummer invullen en betalingen uitvoeren. Als je die twee handelingen kunt doen, dan kun je zelfstandig een betaling doen naar elke gewenst rekeningnummer. Dat is natuurlijk fraudegevoelig.
Deze twee functies samen noem je een functiescheidingsconflict, ofwel een segregation of duties (sod)-conflict. Te veel van deze conflicten zijn niet goed voor een bedrijf. Fraude is niet wat een bedrijf wil maar er zijn natuurlijk ook situaties waar dat wel voorkomt. Gelukkig is het zo dat accountancybedrijven zoals KPMG, EY, PWC een controle doen op de getrouwheid van de jaarrekening. In eerste instantie gaat het dan om een financiële controle. Als daar posten of processen in zitten die gevoelig zijn voor fraude, dan kijkt de accountant ook naar de it-kant van het bedrijf. Zijn er sod-conflicten aanwezig, dan is er de mogelijkheid van fraude. Dat kan dan aanleiding geven tot een nog diepere controle in het systeem. De accountant wil dan bijvoorbeeld weten of het bedrijf in staat is de conflicterende handelingen uit elkaar te houden. Zijn daar twijfels over, dan volgt de stap van diepgaande, gegevensgerichte controle. Dit met doorgaans flink hoge kosten.
Tooling voor detecteren
Gelukkig bestaan er verschillende applicaties om een ondoorzichtige berg aan SAP-autorisaties te analyseren en te bepalen bij wie er sod-conflicten voorkomen en hoe dat komt. Voorbeelden van enkele van deze tools zijn SAP-GRC, SAST, SOFY, AccessConnector. Deze tools hebben ingebouwde kennis hoe een functiescheidingsconflict kan ontstaan en detecteren dat ook als deze op een vreemde of onverwachte manier tot stand komt. Bedrijven kunnen hiermee zelf controle uitvoeren. Niet zelden vraagt een accountant de rapporten van de tool op om zijn bevindingen over het financieel welzijn van een bedrijf te staven.
Efficiëntie gaat voor security
Nu klinkt dit als een een-plus-een-is-twee-verhaal. Als er een probleem is, dan zie je dit en kun je het ook oplossen. In werkelijkheid is het verwijderen van functiescheidingsconflicten verre van gemakkelijk en heeft het ook een ‘duistere’ kant, zoals we later in deze bijdrage zullen gaan zien. De drie grootste oorzaken van het niet kunnen verwijderen van sod’s zijn:
- Vergroeiing van autorisaties;
- Onderbezetting;
- Gekozen over-efficiëntie.
Vergroeiing van autorisaties
Een autorisatiesysteem is goed te vergelijken met een apothekerskast met daarin flessen met een opschrift. Als het goed is, kun je iets makkelijk opzoeken. Ook zit er in het potje wat er op het etiket staat. Onder de druk om een heel specifieke oplossing te leveren, worden er soms zaken gecombineerd die niet bij elkaar horen. Als dit een aantal jaren doorgaat, dan zit niet meer in het potje wat er op het etiket staat. Bij een autorisatiessysteem geldt dat hoe hoger de standaardisatie is, hoe beter het te besturen is. Er zijn echter autorisatiesystemen waar door jaren van onzorgvuldige wijzigen alles aan elkaar vastzit. In dat geval is het niet meer mogelijk rechten goed uit te leveren. Ook corrigeren is niet meer goed mogelijk. Een verandering heeft dan heel veel zijeffecten, alles kleeft aan elkaar vast.
Vast
De SAP-gebruikers in de grotere bedrijven van ons land hebben het lang niet altijd makkelijk. Vaak is er minimale bezetting op een afdeling. Dit betekent netto dat alle benodigde functies over deze mensen verdeeld moeten worden. Het is dus niet mogelijk om aan een aantal sod-onflicten te ontkomen. Je zit er aan vast. Het kernprobleem is dus altijd onderbezetting terwijl autorisatie vergroeiing het losmaken onmogelijk kan maken.
Over-efficiëntie
Efficiëntie en economisch belang gaan bij de meeste bedrijven altijd vóór op veiligheid van hun gegevens. Met méér autorisaties kun je zelfstandig ook meer zaken oplossen. Je kunt dus met opzet iemand zo’n brede autorisatie geven dat hij virtueel drie verschillende functies vervult. Als deze medewerker heel hard werkt, dan heb je er dus eigenlijk drie voor de prijs van één. Zo’n regelneef is voor het bedrijf heel efficiënt. Pas later beseft het bedrijf dat die over-efficiënte werkwijze ook zijn keerzijde heeft. Als de regelneef ineens thuis ziek in bed ligt, sla je een gat in het bedrijf. Er is een zeer sterke afhankelijkheid gecreëerd. Misschien dat medewerkers die nu overspannen thuiszitten bij het lezen van deze regels een patroon herkennen en beseffen dat ze eigenlijk jarenlang een heel team aan collega’s aan het vervangen zijn geweest.
Er komt pas een kanteling in de over-efficiëntie naar fraudegevoelige werkwijze als er een dwingende reden is. Dat is als de jaarrekening niet meer automatisch wordt goedgekeurd. Op dat moment ontstaat er pas een belang om van de fraudegevoelige rechten af te komen.
(Wordt vervolgd.)
Mark,
Trek ik de terechte conclusie dat door interne ‘olifantenpaadjes’ in (ERP) systemen er nog veel af te dingen valt op de kwaliteit van bepaalde bedrijfsinformatie? Ik verzacht even het woord fraude omdat er niet altijd sprake is van een opzettelijke misleiding om een onrechtmatig voordeel te verkrijgen. Tenslotte is er veel ‘schaduw-IT’ binnen organisaties omdat de (ERP) systemen niet altijd flexibel genoeg zijn. Naast een kernprobleem van een organisatorische onderbezetting aangaande de functiescheiding is namelijk ook nog zoiets als een vastgeroeste top-down aanpak waardoor vaak niet meer in het potje zit wat erop het etiket staat.
In theorie zijn theorie en praktijk gelijk maar in de praktijk blijkt inderdaad de regelneef voor het bedrijf heel efficiënt. Pas later beseft het bedrijf dat die over-efficiënte werkwijze ook zijn keerzijde heeft, bijvoorbeeld als die regelneef er niet meer is omdat deze met pensioen gegaan is of bij de concurrent werkt. Laatste is misschien nog wel een grotere bedreiging dan de belastingdienst als de lijken uit de kast over de straat gaan rollen, de non-compliance van informatieuitwisselingen beperkt zich niet alleen tot ERP.
Goed geschreven artikel! Ik zie uit naar de rest van de serie.