– Eller tilbage på arbejde igen.
Jeg benyttede noget af min sommerferie på at læse Arne Hauge Jensen og Emil Herskinds bog: Et år med Britta Nielsen, øjenvidneberetning fra en møgsag.
Og der er vist ingen tvivl om at møgsag er netop det rigtige ord.
Der har allerede været skrevet mangt og meget om denne sag og jeg vil især lægge vægt på at:
Britta gjorde ikke noget, hun ikke havde rettigheder til!
Hun udførte en kriminel handling, men hun havde rettigheder i systemerne til at foretage de handlinger, hun gjorde.
Det bringer mig tilbage til mit første spørgsmål….
Hvad har dine brugere rettigheder og adgang til?
I Britta Nielsens situation, kan man med rette stille spørgsmål ved om det mon er superfornuftigt, at samme person har adgang til både at:
* Godkende regnskaber fra tilskud
* Tilføje nye (fiktive) projekter og godkende disse?
* Ændre kontonr i systemer
* Udbetale penge og kontrollere samme udbetaling
* Og meget andet
Alt sammen uden en eneste kontrol fra andre end Britta Nielsen.
Ovenstående skriver forfatterne også om i bogen.
En lille kuriositet er at svindlen kun bliver opdaget, fordi Britta Nielsen bliver langtidssygemeldt og en kollega overtager hendes opgaver. Hvis kollegaen ikke havde taget over og undret sig over tallene, er det ikke godt at vide, om det var blevet opdaget….
Der er selvfølgelig organisationer, der af forskellige årsager ikke kan lave ægte funktionsadskillelse, men så må man jo indføre nogle kompenserende kontroller, der kan afdække om alt er foregået korrekt, f.eks. en ekstra gennemgang af en række poster eller en uafhængig revision.
Dette er selvfølgelig især møntet på finansielle transaktioner, men hvad med f.eks. adgangstildeling generelt og godkendelse af diverse ændringer til IT systemer og miljøer?