Sikkerhed i form af adgangskontrol og tildeling af brugerrettigheder tænkes i mange tilfælde for sent ind i danske SAP-projekter.
Det åbner mulighed for medarbejdersvindel, boykot af systemet fra brugerne og betyder meromkostninger på mellem 50 og 75 procent.
Sådan lyder en vurdering fra en række af landets SAP-eksperter, som har samlet sig i netværket SUPAN.
I SUPAN-netværket deler de viden og arbejder på at øge fokus på sikkerheden i SAP-projekter.
"I et SAP-projekt skal sikkerhed tænkes ind samtidigt med at forretningsprocesserne defineres. Men det sker oftest som en hovsa-løsning på et senere tidspunkt i projektet, og derfor bliver sikkerhedsdelen mellem 50 og 75 dyrere, og åbner op for meget utilfredse brugere og bagdøre til økonomisk svindel," siger Troels Lindgaard, som er medstifter og næstformand i det fem år gamle SUPAN-netværk.
Troels Lindgaard er selv SAP/IDM-arkitekt hos konsulenthuset Lemongrass, og han vurderer, at sikkerhedsomkostninger normalt beløber sig til 10 procent af et SAP-projekts pris.
Svindel og modstand
Hvis for eksempel adgangskontrollen i et SAP-system er for dårligt defineret og den enkelte slutbruger ikke kan få adgang, bliver der hurtigt modstand mod systemet. Det betyder forsinkelse på go-live og adoption, mistillid og dårligere udnyttelse af systemet, forklarer Troels Lindgaard.
"Det har vi set masser af gange. Og i værste fald bliver man ved at bruge det gamle system," siger han.
Et andet vigtigt område er administration af brugerrettigheder. Hvis man giver den samme person lov til både at kunne oprette en ny leverandør og godkende betalinger til den selv samme leverandør, er det meget nemt at føre penge uretmæssigt ud af virksomheden, fortæller han.
"Der tales ikke så højt om svindel i private virksomheder, men ifølge en undersøgelse fra Association of Certified Fraud Examiners mister virksomheder i gennemsnit fem procent af deres omsætning på grund af svindel og bedrag," siger Troels Lindgaard.
Der er heldigvis masser af muligheder for at administrere brugere og adgangsrettigheder og dermed stoppe bedrag og boykot fra brugerne.
"Så undgår virksomhederne kompenserende manuelle kontroller, hvilket kan være en betydelig belastning i store virksomheder med mange transaktioner dagligt. Men det kræver den rette opsætning, og det er nemmest at gøre tidligt processen."
Og SAP Sikkerhedsprisen går til..
SUPAN-netværket består SAP-folk fra de store konsulenthuse i Danmark, som KPMG, Deloitte og PwC, en række freelance-konsulenter samt af ansatte i store virksomheder som Lundbeck, Vestas, Dong, NNIT og KMD.
Der er i øjeblikket 27 medlemmer, og nye medlemmer kan kun komme ind via anbefalinger.
SUPAN uddelte i går, torsdag, en nyindstiftet sikkerhedspris til en person, der har gjort noget særligt for at tænke sikkerhed ind i et SAP-projekt. Medlemmerne har nomineret tre personer og stemt om vinderen.
Modtageren er prisen er Monica Erichsen fra Post Norden. Hun får den for sit arbejde hos Novo Nordisk, hvor hun som projektleder var med til at sørge for, at der kom fokus på netop SAP-sikkerhedsområdet.
"Novo Nordisk er ellers en organisation, hvor man på rygraden har styr på sikkerheden. Men hun formåede at få det på agendaen og fik samlet data, der understøttede, at der var behov for en revidering af det eksisterende setup," fortæller Troels Lindgaard om vinderen af SAP-sikkerhedsprisen.
