Hur säker är er betalprocess?
Företag är alltid föremål för bedrägerier och andra ekonomiska brott. Metoderna är många och bedrägerierna är avancerade. Man utnyttjar säkerhetsbrister i befintliga verksamhetsprocesser där betalprocessen utgör en av dem. En mycket viktig sådan dessutom.
Det är rimligt att tro att majoriteten av felaktigheter och försök till bedrägeri upptäcks i tid tack vare erfaren och kompetent personal inom företaget. Men i turbulenta perioder vid omorganisationer eller företagsförvärv ser det ofta annorlunda ut. Den kontroll, överblick och detaljkunskap som tidigare alltid funnits och skapat trygghet har helt plötsligt försämrats, åtminstone för en tid framöver med nya medarbetare och processer att bekanta sig med. Dessa perioder utnyttjas inte sällan av just bedragare.
Manuella moment i betalprocessen innebär alltid en risk
”Vem som helst som kommer åt filen kan ändra både mottagare och belopp i en oskyddad betalfil. Öppna filen i notepad, ändra giro/kontonummer och belopp på en transaktion och spara. Så enkelt är det att manipulera transaktioner och inga spår om vem som ändrat filen finns kvar!”
I alla aktiviteter där manuellt arbete krävs för att klara av en uppgift finns det en säkerhetsrisk. Ett vanligt exempel på en säkerhetsbrist är när en leverantörsbetalning initieras. Först skapas standardiserade betalfiler i affärssystemet. Betalfilerna exporteras till en katalog och blir därefter ofta liggande en tid tills de distribueras vidare manuellt av en eller flera medarbetare i organisationen. Detta innebär en säkerhetsrisk eftersom innehållet i betalfilerna enkelt kan ändras i en helt vanlig texteditor. Vem som helst som kommer åt filen kan ändra både mottagare och belopp i en oskyddad betalfil. Öppna filen i notepad, ändra giro/kontonummer och belopp på en transaktion och spara. Så enkelt är det att manipulera transaktioner och inga spår om vem som ändrat filen finns kvar!
Men det går att minimera risken, tom eliminera den helt.
Automatisera processen och förändringsskydda betalfilerna
Att automatisera processen och förändringsskydda betalfiler med exempelvis ett HMAC sigill är ett bra sätt att spara tid och minimera det manuella arbetet samtidigt som processen blir betydligt säkrare då mottagaren av betalfilen direkt kan avvisa filen om den blivit manipulerad. Alla företag bör ha ett intresse av att utesluta manuell hantering som exempelvis manuell uppladdning av betalningar. Det är en enkel åtgärd i syfte att förebygga oegentligheter och frigöra tid för leverantörsreskotra. Manuell hantering borde endast förekomma vid undantagsfall där ett tydligt regelverk med attester styr.
Filer som skickas till Bankgirot kan alltid HMAC sigilleras medan filer till banken ibland kan säkras på andra sätt, exempelvis genom PGP kryptering. Oavsett metod så så är automatiseringen i sig en säkerhetsåtgärd då man undviker möjlighet för enskilda personer att komma åt och ändra filerna.
Det kan vara hög tid att återigen se över hanteringen av ert företags leverantörsbetalningar. Att höja medvetenheten om potentiella brister och på ett tydligt sätt visa vad företaget står för och vad man inte accepterar. Ingen kommer att acceptera säkerhetsbrister om något händer, det är helt säkert.
Börja med att syna er betalprocess. Det är ett bra sätt att upptäcka brister och förebygga bedrägerier.
Tre steg för ökad säkerhet i betalprocessen
- Dokumentera i detalj alla steg i er betalprocess inkl. vilka personer som har behörighet och kan komma åt exporterade betalfiler
- Övergå till en automatiserad process för leverantörsbetalningar och löner
- Säkerställ att betalfiler förändringsskyddas (alt. krypteras) direkt i samband med export från ekonomisystemet
Om författaren
Mikael Kawa är produktägare på Betalkontroll och har jobbat i 19 år med system, utveckling och processer inom skanning, EFH och ERP.