Začátkem ledna se objevila v médiích zpráva o falešné faktuře na částku 50 milionů korun, kterou nechal Magistrát hlavního města Prahy zaplatit. Peníze sice odešly do správné banky, ale na zcela jiný účet. Podle televize Nova patřilo číslo účtu společnosti Garok, vlastněné údajně litevským občanem. Bylo možné podvodu předejít? Jaké postupy doporučují pro zvýšení bezpečnosti ve firmě výrobci informačních systémů? Oslovili jsme je a jejich rady vám přinášíme v článku.
Podvodníci měli podle dostupných informací všechno poměrně promyšlené. Zřejmě totiž věděli, že má Magistrát hlavního města Prahy zaplatit na účet stavební společnosti Skanska částku ve výši 49 212 915 korun za vybudování kanalizace v Újezdu nad Lesy. Částka a další údaje na schválené faktuře souhlasily, jedinou drobnost představovalo zcela odlišné číslo účtu. Fakturu následně podepsal Jiří Toman, současný ředitel odboru městského investora. Ten totiž před třemi roky ve svém odboru prosadil, že veškeré faktury bude podepisovat sám. Převody takto vysokých částek navíc nejsou vzácností – odbor totiž hospodaří s rozpočtem kolem osmi až deseti miliard. Na podvodu se zřejmě také podíleli dva zaměstnanci úřadu. Po zjištění ztráty byli proto čtyři úředníci přeřazeni na jiné místo a odbor přestal proplácet faktury.
Podle televize Nova putovala částka na účet společnosti Garok, kterou podle výpisu z obchodního rejstříku vlastní Raimondas Saliuta z Litevské republiky. Firmu přitom údajně získal od Romana Kurylova a Galyna Kuryla z Ukrajiny. Kromě již zmíněné společnosti ještě vlastní firmy Pidojma, s. r. o. a Next Please, s. r. o. Využívání firem pro účely organizovaného zločinu přitom není nijak neobvyklé. Vyplývá to z výroční zprávy Bezpečnostní informační služby (BIS) za rok 2006, podle které ruskojazyčné i balkánské skupiny ustupují od porušování zákona pomocí hrubého násilí a začínají legálně podnikat. Nově založené obchodní společnosti v nichž jsou členy občané ČR nebo cizinci s dlouhodobým pobytem. Firmy jsou často využívány k legalizaci kapitálu ze zahraničí, který je po „vyprání“ vrácen zpět do země původu. Kromě toho představitelé těchto společností využívají finančního zázemí a vlivu ke tlaku na zástupce státu nebo samosprávy.
V březnu letošního roku se stal magistrát terčem dalšího pokusu, přičemž tentokrát mělo jít o 23 milionů korun, které chtěli podvodníci získat pomocí falešného exekučního příkazu. Ten byl doručen několika bankám a na jeho základě měl následovat převod peněz z účtů města a městských organizací na soukromé účty. PPF banka si však začala prověřovat kód bankovního ústavu, který obsahoval špatný údaj. Finanční úřady totiž mají účty u České národní banky s kódem 0710 a na příkazu byl kód jiné banky. Podvod ovšem nemohl odhalit přímo magistrát, protože samotná exekuce je v tomto případě záležitostí mezi exekutorem a jednotlivými bankami a příslušné instituce se o něm nemají šanci dozvědět.
Jak to vidí výrobci ERP systémů
Zajímali jsme se, zda by v tomto případě bylo možné těmto podvodům předejít pomocí informačního systému (ERP systém). Ten totiž většinou přináší různé zabudované ochrany proti zneužívání zadaných informací. Například se mohou zaznamenávat údaje k jednotlivým položkám, kdo a kdy je změnil nebo jaká byla jejich původní hodnota. Samotné faktury je navíc možné hned po doručení naskenovat a založit do šanonu, takže ostatní zaměstnanci již pracují pouze s kopií, uloženou v informačním systému. Celý proces schvalování faktur se tím výrazně urychlí a zároveň odpadá nebezpečí, že by se během schvalování objevila falešná faktura.
Výrobce informačního systému Helios, společnost LCS International, doporučuje firmám i organizacím nastavit přesná přístupová práva, vymyslet vhodnou metodiku schvalovacího procesu a kontroly. Rovněž je možné nastavit limit, což omezí platby pro jednotlivé zaměstnance do určité předem stanovené částky. Jak rychle vedení firmy zjistí, že nastaly nějaké potíže? Podle Slavomíra Zimy, manažera informačních systémů Helios, to může být okamžitě. ERP systém může spouštět přehled faktur, připravených plateb nebo varovat při překročení daného limitu. „To vše systém hlídá sám a pomocí nástrojů workflow pošle informační email s upozorněním kompetentním osobám,“ uzavírá Zima.
Jinak se na nastíněný problém dívá Petr Kuchař, Chief Knowlege Officer a člen představenstva firmy ABRA Software. Jestliže by došlo k selhání na straně společnosti, která fakturu zaslala, pomohlo by zasílání fakturačního dokladu podepsaného elektronickým podpisem pomocí e-mailu. Zákon o DPH č. 235/2004 však v paragrafu 26, odstavec 4., nařizuje, aby firma získala souhlas příjemce dokladů s jejich zasílání elektronickou cestou. Tuto bezpečnostní metodu proto nelze zavést okamžitě, ale je třeba zajistit potřebná potvrzení od obchodních partnerů. Ochrana však není zcela stoprocentní. „Výjimkou by mohla být snad jen situace, kdy by sám vystavitel faktury záměrně uvedl na dokladu nepravdivé údaje a ty by elektronicky podepsal,“ upozorňuje Petr Kuchař s tím, že v takovém případě by bylo možné určit pachatele podle záznamů v informačním systému.
Bezpečnostní hrozby pro firmu v 21. století
Pro crackery je obchodní sféra a zejména různé firemní portály lákavým cílem. Připravili jsme pro vás seznam bezpečnostních hrozeb, které mohou vaší firmu ohrozit.
Více zde
Druhou možností je selhání na příjemce fakturačního dokladu. K této situaci došlo na pražském magistrátu, kdy zřejmě během vnitřního schvalovacího „kolečka“ mezi úředníky fakturu někdo zaměnil. Jestliže se faktury schvalují mezi pracovníky v rámci ERP systému, je vhodné nastavit přísná přístupová práva a omezit přístup k fakturám pouze úzkému okruhu pověřených osob. Pro zastupování v případě nemoci pomůže podrobně zpracovaný interní předpis, který jasně stanoví postupy, kdy se k aplikaci mohou dostat jiné osoby a jejich odpovědnost v každé situaci. Informační systém navíc některá data může ověřit pomocí veřejně dostupných zdrojů, jako je například Obchodní rejstřík, Živnostenský rejstřík a registrace DPH. Pokud faktura putuje v rámci firmě jen v papírové formě, musí jednotlivé údaje ověřit na sobě několik nezávislých osob.
Faktury hlídá informační systém
„O bezpečnost se stará několik navzájem propojených modulů, které zabrání neoprávněnému uživateli vůbec přistoupit k citlivým datům. Všechny operace se samozřejmě zvlášť zaznamenávají, včetně přesného času centrálního serveru, který není možné zfalšovat,“ popisuje Petr Kuchař zabezpečení systémů řady ABRA. Rychlost zjištění podezřelých operací se pohybuje v závislosti na příslušném databázovém serveru a koncového počítače uživatele.
Mezi další výrobce ERP systémů patří také společnost Microsoft, která středním a velkým společnostem nabízí informační systémy Dynamics AX, Dynamics NAV a Dynamics CRM. Podle Milana Cvrkala, produktového manažera divize Microsoft Dynamics, jsou nejdůležitějším prvkem ochrany správně nastavené postupy pro schvalování a kontrolu. Mezi nejvíce rizikové faktory totiž patří samotní zaměstnanci. Úmyslným chybám nebo falešným fakturám lze zabránit pomocí elektronicky podepsané komunikace. Pomůže rovněž nastavení limitů jednotlivých částek pro schvalování. Pokud je navíc o každé transakci záznam, může se jednoduše zjistit, kdo se pokusil o podvod. Systém také může automaticky informovat další pověřené osoby o transakcích, které přesahují nastavení limit. „V konkrétním zmíněném případě lze také například registrovat v údajích ERP nebo CRM systému schválené bankovní účty pro finanční transakce a v případě zadávání nového účtu pro dodavatele spustit schvalovací workflow v systému, které zajistí jeho odsouhlasení nadřízeným pracovníkem nebo dodavatelem,“ říká Milan Cvrkal z divize Microsoft Dynamics.
Stejně radí firmám také Jan Melzer, předseda představenstva DC Concept, vytvářející informační systém QI. Podvodům lze předejít schvalováním jednotlivých dokladů, kontrolováním výše finanční transakce a povinnost kolektivního schvalování faktur. Všechny změny a vstupy jsou opět zaznamenány v rámci informačního systému. Ten také dokáže zasílat upozornění na libovolné události vybrané skupině uživatelů. A jak je informováno vedení společnosti, která ERP systém používá? Jan Melzer tvrdí, že varování získá prakticky ihned: „Záleží jen definici podmínek, kdy a na co má být upozorněn. Pokud tuto funkci nevyužije, je možné se kdykoliv ze žurnálů dozvědět, kdy, kdo, co a jak v systému modifikoval či ze systému tiskl či odesílal.“
Boj proti podvodům
Martin Korejs, PR manažer firmy J.K.R., tvůrce informačních systémů Byznys, doporučuje provázat finanční operace s informačním systémem. Již zmíněný informační systém v sobě obsahuje několik druhů kontroly, která začíná přesně určenými přístupovými právy pro jednotlivé moduly. Aby mohla být faktura nebo doklad zapsána do systému pro účely dalšího zpracování, musí být v rámci ERP schválena. Jestliže schválení neproběhne, není možné s dokladem jakýmkoliv způsobem dále pracovat. „Pomocí časových událostí, které jsou nastaveny na to, aby hlásily veškeré odchylky od normálu je možné zjistit okamžitě, když tato situace nastane,“ vysvětluje Korejs.
ERP systém společnosti Karat Software nabízí zákazníkům čtyřstupňový systém kontroly, která začíná od zařazení a evidence přijatých dokladů do systému workflow. Přitom je ověřena oprávněná osoba. Následuje kontrola účetních údajů, jejich párování s objednávkou a možnosti kontroly obsahu a položek objednávajícím. Kontrola je možná také z pohledu plánovaných výdajů na projekt, až po závěrečný souhlas k zaplacení faktury. „Ochranným prvkem je možnost editace a úprav pouze na každém z těchto stupňů kontroly s jasnou identifikací zodpovědné osoby a souběžná kontrola s papírovou formou dokladu na každém stupni,“ upřesňuje Vladimír Prinke, ředitel pro marketing a strategii společnosti Karat Software.
Pro střední firmy dodává ekonomický informační systém s názvem Altus Vario také společnost Altus Development. Ten sice neobsahuje automatický systém na odhalování podvodů (fraud detection), potřebné výstupy však vedení firmy může získat, takže záleží jen na přístupu, jak se k nim postaví. Informační systém umožňuje přidělit oprávnění pro jednotlivé uživatele a uživatelé zadávající faktury mohou mít omezený výběr účtů z předem vybraného seznamu. Kontrolu zajistí příslušné sestavy. „Používejte informační systém, který automatizuje zpracování faktur,“ zní doporučení Štěpána Pokorného, ředitele a jednatele Altus Development.
Všechny námi oslovené firmy se shodují, že těmto podvodům lze snadno zabránit přenesením fakturace do informačních systémů. Ty totiž na rozdíl od papíru zaznamenávají, kdo a kdy měnil zadané údaje.
Přečtěte si také:
Začínáme s výběrem informačního systému
Kdy vybírat a spustit informační systém
