Risiken vor der Katastrophe entdecken – «Mehr Wert» fürs Business

Cyber-Attacken sind allgegenwärtig in den Medien:  In Europa haben sie die aktuell gemeldeten Fälle verdreifacht. Sie betreffen grosse Konzerne wie Stadler Rail, Easy Jet, Telekom Austria genauso wie KMU Betriebe. Die wirtschaftlichen Schäden sind immens. Sie reichen von Reputationsverlust bis zum Stillstand von Industrie- und Produktionsbetrieben und Diebstahl des geistigen Eigentums, was zu Innovationsverlust über Jahre führt. Jedes Unternehmen rüstet sich heute gegen potenzielle Cyber-Gefahren von aussen. Doch wie sieht es aus mit den Risiken aus, die durch missbräuchliche Zugriffe auf ERP-Systeme entstehen? Die ganz einfachen Prozesse bergen enormes Risiko. Behörden weisen inzwischen darauf hin, dass ein Internes Kontrollsystem («IKS») Voraussetzung ist, um sich gegen solche Schäden versichern zu lassen.

Rote Ampeln vor der Katastrophe

Jemand hat eine Zahlungsüberweisung ausgeführt, nur geht die Zahlung auf ein unbekanntes Konto. Dieses Konto wurde im System nach den Vorgaben geändert. Das als Beweismittel hinterlegte eMail ist gefälscht. Wie lange dauert es, bis man diesem Betrug auf die Schliche kommt? Werden nur Kleinstbeträge überwiesen, dauert es Jahre. Bei grösseren «CFO Frauds» sind die Diebe gut organisiert und das Geld ist nach Überweisung innert Tagen nicht mehr auffindbar.  So rasch digitale Prozesse ausgeführt werden, so rasch sollten sie auch zu stoppen sein. Unzählige weitere Beispiele von Missbrauch könnten hier aufgeführt werden. Die Kontrolle aller Möglichkeiten ist nicht zielführend, eine verlässliche rote Ampel würde reichen.

Fokus auf das Wesentliche

Um dieses Risiko abzufangen, ist Fokus auf das Wesentliche gefragt. Eine Verdichtung der Informationen durch verschiedene Betrachtungswinkel ist sinnvoll, doch finden sich im Unternehmen oft keine Verantwortlichen, was zu einer Abschiebung dieser Aufgabe in die IT führt. Automatisierung der Kontrollen ist unumgänglich, will man zu aussagekräftigen Resultaten kommen. Die Entdeckung von missbräuchlichen Zugriffen und Transaktionen in ERP Systemen nach Monaten bringt nichts: Dann ist es bereits zu spät.

Warum «Segregregation of Duties (SOD)» Analysen sinnlos sind

«SOD» Analysen sind sinnlos, wenn sie nicht mit unmittelbaren Businessaktivitäten verbunden sind. So ist die Sicht des Business. Aus IKS Gründen ist die Einhaltung und Gestaltung von Rollen und Konzepten zwingend auszuführen. Nur das Business interessiert sich für reale Transaktionen und Risiken. Wie bringen wir diese beiden kontroversen Erwartungen zusammen?

Aus technischer Sicht haben wir einen Konflikt, aus Business-Sicht besteht kein Anlass zur Beunruhigung. Jede Abteilung ist der Überzeugung, dass die IKS-Vorgaben eingehalten werden. Die IT hat die komplette Prozessübersicht und kann für Business nicht offensichtliche Tätigkeiten und Ereignisse anders beurteilen. Die IT verfügt über die gesamte Prozess- und Datensicht. So kann in Diskussion mit dem Business die Verdichtung von Daten aufbereitet werden. Daraus entsteht die unmittelbare Analyse über aussagekräftige, reelle Konflikte, die in einem einfach zu verstehenden Ampelsystem entdeckt und gestoppt werden können.

Risiko Visualisierung ermöglicht Reaktion vor der Katastrophe

«SOD» Kontrollen zu interpretieren ist nicht einfach: Realitätsfremd, nicht in unseren Prozessen und in unserem Unternehmen möglich, so ist das abschmetternde Urteil des Business. Bringt man unmittelbare Arbeitstätigkeiten mit Konflikten zusammen, findet sich das Business wieder. Für die Verständlichkeit geht es darum, Zahlungstransfers ins Verhältnis zu «SOD» zu setzen und Missbrauch vor der Ausführung zu stoppen.

Die Visualisierung dieser Resultate verschafft dem Business den Überblick, der diese Risiken stoppen kann, bevor es zu spät ist: ein echter „Mehrwert“ für jedes Unternehmen.

Sie wollen wissen, wie Sie in Ihrem Unternehmen diesen Mehr-Wert schaffen können? Nehmen Sie teil an unseren Webinaren am 7. und 9. Juli oder nehmen Sie einfach unverbindlich mit uns Kontakt auf: Wir zeigen Ihnen gerne, wie das geht.

RELATED POSTS