Blog: Is jouw Unit4 Financials fraudebestendig?
Fraude in de financiële administratie moet je niet makkelijker maken dan nodig. Dat blijkt wel uit onderstaand praktijkvoorbeeld (van een niet Unit4 Financials gebruikende organisatie).
“Een controlerende accountant signaleert bij zijn interim controlewerkzaamheden diverse onregelmatigheden, waaronder veel dubbele betalingen.
Uit analyse van een forensisch technisch specialist blijkt vervolgens dat in zes maanden € 175.000 is overgemaakt naar de rekening van een schildersbedrijf. Aan dit bedrijf is volgens de afdeling inkoop geen opdracht gegeven. Het telefoonnummer van het schildersbedrijf blijkt overeen te komen met het nummer van een medewerkster van de crediteurenadministratie. Uit het onderzoek blijkt dat de echtgenoot van de medewerkster directeur is van het schildersbedrijf.
Door haar functie kon de medewerkster de facturen van het schildersbedrijf boeken in de financiële administratie van de onderneming. Zij was echter niet bevoegd voor het accorderen van de betalingen. Uit de analyse van de beveiliging van de betaalbestanden bleek dat het voor haar wél mogelijk was om deze bestanden na autorisatie nog te wijzigen.” [1]
Maak fraude niet te makkelijk
In dit voorbeeld had de organisatie wel degelijk controlemaatregelen getroffen. De medewerker kon namelijk facturen invoeren, maar geen betalingen autoriseren. De functiescheiding was alleen niet volledig, omdat zij ook toegang had tot het beheer van crediteuren en toegang tot de betaalbestanden.
Functiescheiding
Functiescheiding is het fundament van de toegangsbeveiliging binnen Unit4 Financials. Om de juiste functiescheiding te waarborgen, is het belangrijk dat de toegangsrechten periodiek gecontroleerd worden.
Unit4 Financials maakt gebruik van bevoegdheden. In bevoegdheden wordt de toegang tot een functionaliteit in de applicatie geregeld. Deze bevoegdheden worden vervolgens toegewezen aan gebruikers.
Naast bevoegdheden zijn er ook rollen. Het gebruik van rollen is bij veel Financials-gebruikers een ondergeschoven kindje. Rollen zijn een aanvulling op bevoegdheden en bieden de mogelijkheid om een aanvullende functionaliteit toe te wijzen aan gebruikers. Door de vitale functionaliteit, zoals het beheer van crediteuren, apart te definiëren in rollen creëer je een overzichtelijke inrichting, die eenvoudiger te controleren is.
Signaleer dubbele facturen
De controle van de bevoegdheden is een goede basis, maar er zijn meer maatregelen die genomen kunnen worden. Denk hierbij aan het voorkomen of signaleren van dubbele registratie van facturen.
Financials kent diverse mogelijkheden om controles uit te voeren op factuurnummers of andere factuurinformatie. Deze controles kunnen voor specifieke dagboeken ingesteld worden, maar ook voor de hele administratie. Hierbij wordt onder meer gecontroleerd op het gebruik van een crediteur in een journaalpost.
Toepassen van Hash totalen
In het voorbeeld kon de medewerker het betaalbestand manipuleren. Het toepassen van Hash totalen is een optie om deze vorm van fraude te voorkomen. Financials produceert een Hash/controle totaal op basis van het betaalvoorstel. Bij het inlezen van het betaalbestand berekent de bankapplicatie het Hash totaal nogmaals en kunnen deze met elkaar vergeleken worden. Je kunt de Hash totalen in de betaalbestanden verwerken, maar ook automatisch via e-mail versturen of in een controlerapport verwerken.
Fraude achteraf opsporen
Naast preventieve controlemaatregelen kun je ook maatregelen nemen om fraude achteraf op te sporen. Financials heeft hiervoor de Audit Trail. Deze applicatie activeert een aantal database-triggers en registreert wijzigingen van data in log-tabellen. Deze tabellen kunnen vervolgens via rapporten in Financials bekeken worden.
Algemene beveiliging
Vergeet ook zeker de algemene beveiligingsmaatregelen niet. Zo is het toepassen van Single Sign-on niet alleen gebruiksvriendelijk, maar ook een manier om een eenduidig wachtwoord-policy toe te passen in het applicatielandschap.
Checklist
Controleer onderstaand lijstje. Pas jij deze al toe om fraude in je organisatie te voorkomen?
- Periodieke controle van gebruikers en bevoegdheden via generiek opvragen rapporten
- Toepassen van rollen om de bevoegdheidsstructuur te vereenvoudigen
- Controles op externe referenties om registratie van dubbele facturen te voorkomen
- Toepassen van Hash totalen op betaalbestanden
- Toepassen van autorisatie en controlestappen in het betaalproces
- Toepassen van elementautorisatie voor betaalrekeningen
- Activeren van de Audit Trail
- Toepassen van Single Sign-On
Kanttekening
Het klinkt misschien gek na het lezen van deze blog, maar controlemaatregelen kunnen een organisatie ook verhinderen om efficiënt te zijn. Het is van belang dat er een goede afweging gemaakt wordt tussen wat er beveiligd kan worden en wat er beveiligd moet worden. Een organisatie kan bijvoorbeeld een bewuste keuze maken om bepaalde risico’s te accepteren. Als er maar goed over nagedacht is.
[1] Bron: www.accountant.nl Uitgaande geldstromen. Terecht of wellicht toch fraude in uw bedrijf?
Andrew Faber
Als de klant geholpen wordt door een oplossing die het team en ik hebben bedacht, geeft dat enorme voldoening.