A cég működéséből fakadó üzleti kockázatok legtöbbjében szerepet játszik az emberi tényező is. Éppen ezért a kockázatkezelés egyik lényeges területe a jogosultságkezelés, vagyis az, hogy a dolgozók milyen alkalmazásokhoz és azokban milyen funkciókhoz férhetnek hozzá – mondja Komjáthy Csaba, az Ernst & Young informatikai és kockázatkezelési üzletágának szakértője.

 

Üzleti kockázat

Tapasztalatok szerint a jogosultságkezelésben az egyik legelhanyagoltabb részterület az összeférhetetlenségek menedzsmentje. A felhasználók jogosultságát csupán a vállalatok 40 százaléka vizsgálja felül rendszeresen, de ezek közül is csak minden negyedik végez vizsgálatot az összeférhetetlenség terén is.

Ökölszabályként azt lehet megfogalmazni, hogy akkor lép fel összeférhetetlenség, ha a felhasználó egy teljes üzleti folyamatot vagy részfolyamatot ellenőrzés nélkül végre tud hajtani, ad rövid definíciót a problémáról Erős Péter, az Ernst & Young szakembere. Ha például egy kézben van a megrendelés rögzítése és a szállítói számla felvitele, akkor lehetőség van fiktív megrendelések létrehozására; amikor a szállítói törzs módosítását és a kifizetés jóváhagyását végzi egy ember, akkor pedig a fiktív kifizetések előtt nyílik meg az út. Így válik a jogosultságkezelési kockázatból üzleti kockázat, vonja le a következtetést Komjáthy Csaba.

 

Mátrixban

Az összeférhetetlenségek tisztázásának első lépéseként mindig az üzleti folyamatokat kell felmérni és számba venni: hogy azokon belül az egyes lépésekhez milyen szerepkörök tartoznak. Ennek a felmérésnek az eredménye egy táblázat (mátrix) lesz, amely megmutatja a folyamatok és funkciók összefüggéseit. Megint csak az üzleti területek feladata, hogy megmondja: mely szerepkörök nem lehetnek egy kézben; ehhez persze egy tanácsadó cég a maga nemzetközi tapasztalataival komoly segítséget tud kínálni.

Ezután következik az úgynevezett technikai mátrix létrehozása, folytatja Komjáthy Csaba. Ennek során az üzleti folyamatok lépéseit leképezik az informatikai rendszerek funkcionalitására és jogosultságaira, hogy kiderüljön: az egyes szerepköröket milyen informatikai jogosultságokkal tudja ellátni a felhasználó.

A következő lépésben ki kell „tisztítani” a jogosultsági rendszert, vagyis meglévő, de nem használt, vagy az összeférhetetlenség miatt kockázatokat jelentő jogosultságokat kell elvenni az egyes felhasználóktól.

„Ilyenkor szokott kiderülni, hogy az addig roppant kritikusnak tekintett összeférhetetlenséggel mégiscsak együtt tud élni a cég” – fogalmaz szarkasztikusan Erős Péter.

 

Egyszerűen is lehet

Az összeférhetetlenség elemzésére és megakadályozására komoly informatikai eszközök állnak rendelkezésre. Ezek arra is képesek, hogy jelezzenek, ha valakinek a fennálló szabályok szerint összeférhetetlen jogosultságokat akarnak kiadni, illetve az új szerepkörök kialakításánál is észlelik, ha azok valami mással konfliktusban állnának.

Persze, nem minden esetben kell megszüntetni az összeférhetetlenségeket, tesz egy első hallásra meglepőnek tűnő kijelentést Komjáthy Csaba. Már az is óriási előrelépést jelent, ha a cég tisztán látja a meglévő összeférhetetlenségeket és az általuk jelentett kockázatokat. Az ismert kockázatot többféle módon is lehet csökkenteni: fokozottabban ellenőrizni az adott dolgozók tevékenységét, írásban elismertetni a felelősséget, és tudomásukra hozni az esetleges szankciókat.

Téves az az elképzelés, hogy az összeférhetetlenség elleni „küzdelem” csupán a nagyvállalatok kiváltsága lenne, hangsúlyozzák az Ernst & Young szakértői. Ezért a rendszeres – évente elvégzett – összeférhetetlenségi elemzés még a kisebb cégeknél is igen hasznos lehet. Ez viszonylag olcsó eszközökkel is megoldható, és miután a cég megszerezte a szakértelmet, akár egy ezzel megbízott dolgozó is kiértékelheti az eredményeket, kis erőfeszítéssel komoly kockázatoktól szabadítva meg a céget.