Fraude in de financiële administratie moet je niet makkelijker maken dan nodig. Dat blijkt wel uit onderstaand praktijkvoorbeeld (van een niet Unit4 Financials gebruikende organisatie).
“Een controlerende accountant signaleert bij zijn interim controlewerkzaamheden diverse onregelmatigheden, waaronder veel dubbele betalingen.
Uit analyse van een forensisch technisch specialist blijkt vervolgens dat in zes maanden € 175.000 is overgemaakt naar de rekening van een schildersbedrijf. Aan dit bedrijf is volgens de afdeling inkoop geen opdracht gegeven. Het telefoonnummer van het schildersbedrijf blijkt overeen te komen met het nummer van een medewerkster van de crediteurenadministratie. Uit het onderzoek blijkt dat de echtgenoot van de medewerkster directeur is van het schildersbedrijf.
Door haar functie kon de medewerkster de facturen van het schildersbedrijf boeken in de financiële administratie van de onderneming. Zij was echter niet bevoegd voor het accorderen van de betalingen. Uit de analyse van de beveiliging van de betaalbestanden bleek dat het voor haar wél mogelijk was om deze bestanden na autorisatie nog te wijzigen.” [1]
In dit voorbeeld had de organisatie wel degelijk controlemaatregelen getroffen. De medewerker kon namelijk facturen invoeren, maar geen betalingen autoriseren. De functiescheiding was alleen niet volledig, omdat zij ook toegang had tot het beheer van crediteuren en toegang tot de betaalbestanden.
Functiescheiding is het fundament van de toegangsbeveiliging binnen Unit4 Financials. Om de juiste functiescheiding te waarborgen, is het belangrijk dat de toegangsrechten periodiek gecontroleerd worden.
Unit4 Financials maakt gebruik van bevoegdheden. In bevoegdheden wordt de toegang tot een functionaliteit in de applicatie geregeld. Deze bevoegdheden worden vervolgens toegewezen aan gebruikers.
Naast bevoegdheden zijn er ook rollen. Het gebruik van rollen is bij veel Financials-gebruikers een ondergeschoven kindje. Rollen zijn een aanvulling op bevoegdheden en bieden de mogelijkheid om een aanvullende functionaliteit toe te wijzen aan gebruikers. Door de vitale functionaliteit, zoals het beheer van crediteuren, apart te definiëren in rollen creëer je een overzichtelijke inrichting, die eenvoudiger te controleren is.
De controle van de bevoegdheden is een goede basis, maar er zijn meer maatregelen die genomen kunnen worden. Denk hierbij aan het voorkomen of signaleren van dubbele registratie van facturen.
Financials kent diverse mogelijkheden om controles uit te voeren op factuurnummers of andere factuurinformatie. Deze controles kunnen voor specifieke dagboeken ingesteld worden, maar ook voor de hele administratie. Hierbij wordt onder meer gecontroleerd op het gebruik van een crediteur in een journaalpost.
In het voorbeeld kon de medewerker het betaalbestand manipuleren. Het toepassen van Hash totalen is een optie om deze vorm van fraude te voorkomen. Financials produceert een Hash/controle totaal op basis van het betaalvoorstel. Bij het inlezen van het betaalbestand berekent de bankapplicatie het Hash totaal nogmaals en kunnen deze met elkaar vergeleken worden. Je kunt de Hash totalen in de betaalbestanden verwerken, maar ook automatisch via e-mail versturen of in een controlerapport verwerken.
Naast preventieve controlemaatregelen kun je ook maatregelen nemen om fraude achteraf op te sporen. Financials heeft hiervoor de Audit Trail. Deze applicatie activeert een aantal database-triggers en registreert wijzigingen van data in log-tabellen. Deze tabellen kunnen vervolgens via rapporten in Financials bekeken worden.
Vergeet ook zeker de algemene beveiligingsmaatregelen niet. Zo is het toepassen van Single Sign-on niet alleen gebruiksvriendelijk, maar ook een manier om een eenduidig wachtwoord-policy toe te passen in het applicatielandschap.
Controleer onderstaand lijstje. Pas jij deze al toe om fraude in je organisatie te voorkomen?
Het klinkt misschien gek na het lezen van deze blog, maar controlemaatregelen kunnen een organisatie ook verhinderen om efficiënt te zijn. Het is van belang dat er een goede afweging gemaakt wordt tussen wat er beveiligd kan worden en wat er beveiligd moet worden. Een organisatie kan bijvoorbeeld een bewuste keuze maken om bepaalde risico’s te accepteren. Als er maar goed over nagedacht is.
[1] Bron: www.accountant.nl Uitgaande geldstromen. Terecht of wellicht toch fraude in uw bedrijf?