Rulebook — Katalog reguł

98 aktywnych reguł · grupowane po procesie (PTP/OTC/FI/HR/BASIS...) i typie (SOD/BCA/BASIS/X_CRITICAL)

PTP · 41 reguł

SOD
· 37 konfliktów
IDSeverityNazwaImplicationRisk
OTC-SOD-S001
HIGH
POS Data Upload + Sales ReconciliationUser wgrywa dane sprzedaży POS i sam je uzgadnia. 9
OTC-SOD-S002
HIGH
Cash Reconciliation + Bank PostingNiezgodność gotówki wyrównana przez bank reconciliation. 9
OTC-SOD-S003
MEDIUM
Store Master + Store-Level Sales AdjustmentZmiana ustawień sklepu + korekta sprzedaży. 5
OTC-SOD-S004
MEDIUM
Daily Sales + Daily Bank ReceiptKorekta dziennej sprzedaży + zaksięgowanie odbioru gotówki. 5
OTC-SOD-S005
HIGH
Store Cash Difference + GL PostingRóżnica w kasie sklepu + księgowanie na konto różnic. 9
PTP-SOD-001
HIGH
Vendor Master + Payment ProcessingKlasyczny fraud — fictitious vendor scheme. User może wymyślić vendora i mu zapłacić. 9
PTP-SOD-002
HIGH
Vendor Master + Invoice PostingVendor master change + księgowanie faktury. 9
PTP-SOD-003
HIGH
PO + GR + Invoice (3-way bypass)Pełny cykl P2P w jednych rękach — obejście 3-way match. 9
PTP-SOD-004
HIGH
PO Creation + PO ReleaseBrak 4-eyes principle dla aprobaty PO. 9
PTP-SOD-005
HIGH
Vendor Bank Data + PaymentZmiana konta vendora + wystawienie płatności = przelew na inne konto. Według ACFE — top growing fraud scheme 2024 (BEC + AP fraud). 9
PTP-SOD-006
MEDIUM
Vendor Block/Unblock + PaymentOdblokowanie zablokowanego vendora + wystawienie płatności. 5
PTP-SOD-007
MEDIUM
Park Invoice + Post InvoiceSam parkuje i sam księguje = brak 4 eyes. 5
PTP-SOD-008
MEDIUM
Payment Run + Payment Proposal ReleaseTworzy run + releasuje proposal. 5
PTP-SOD-009
MEDIUM
Vendor Master + GRVendor master + przyjmuje towar od tego vendora. 5
PTP-SOD-010
HIGH
Bank Master + Payment File GenerationZmiana danych banku + generowanie pliku płatności. 9
PTP-SOD-I001
HIGH
Physical Inventory Count + Adjustment PostingTOP retail fraud. User liczy inwentaryzację i zatwierdza różnicę = ukrywanie kradzieży. Według raportów Deloitte/KPMG/PwC najczęstsze źródło fraud w fashion retail. 9
PTP-SOD-I002
MEDIUM
Stock Adjustment + Stock ReportingUser koryguje stock + tworzy raporty (ukrywa korekty w raportach). 5
PTP-SOD-I003
MEDIUM
Stock Transfer + Goods ReceiptUser wystawia stock transfer + przyjmuje go w docelowym sklepie = fikcyjny transfer. 5
PTP-SOD-I004
HIGH
Shrinkage Writeoff + ApprovalPełna kontrola nad spisaniem braków. Top retail fraud — ukrywanie kradzieży. 9
PTP-SOD-I005
HIGH
Customer Return + Credit MemoFikcyjny zwrot + refund — kolejny klasyczny retail fraud. 9
PTP-SOD-I006
MEDIUM
Cycle Count + AdjustmentTo samo co INV-001 dla cycle countingu — daily/weekly counts. 5
PTP-SOD-I007
MEDIUM
Goods Issue (Free Sample) + Article MasterWystawiam towar jako 'free sample' + mogę zmienić artykuł żeby ukryć. 5
PTP-SOD-I008
MEDIUM
Goods Receipt + Invoice Verification (2-way bypass)2-way bypass — user przyjmuje towar i akceptuje fakturę bez kontroli zamówienia. 5
PTP-SOD-M001
HIGH
Article Master + Pricing ConditionsUser tworzy/modyfikuje artykuł i jednocześnie ustawia jego cenę sprzedaży — możliwa manipulacja markupem dla siebie/znajomych. 9
PTP-SOD-M002
HIGH
Article Master + Stock AdjustmentUser może utworzyć artykuł i jednocześnie skorygować jego stan magazynowy — sztuczne pojawienie się towaru lub ukrycie braku. 9
PTP-SOD-M003
HIGH
Site/Store Master + Stock TransferUser zakłada/zmienia sklep i może transferować do niego towar — fikcyjny sklep przyjmuje stocky. 9
PTP-SOD-M004
MEDIUM
Article Master + Returns ProcessingZmiana artykułu po zwrocie (np. zmiana kategorii) ukrywa rzeczywistą sprzedaż. 5
PTP-SOD-M005
MEDIUM
Assortment + AllocationPełna kontrola: definiuje co i gdzie ma być sprzedawane + ile zostanie dostarczone. 5
PTP-SOD-M006
HIGH
Article Master Change + MarkdownUser zmienia cenę regularną artykułu i równocześnie tworzy markdown — markup ukryty pod markdown. 9
PTP-SOD-M007
MEDIUM
Site Master + Sales ReconciliationSklep własny + uprawnienia do uzgadniania sprzedaży = manipulacja raportowaniem. 5
PTP-SOD-M008
HIGH
Article Master + Inventory CountZmiana artykułu po liczeniu inwentaryzacji ukrywa różnice. 9
PTP-SOD-P001
HIGH
Pricing Conditions + Sales OrderUser ustala cenę i jednocześnie wprowadza zamówienie z tą ceną. 9
PTP-SOD-P002
HIGH
Promotion Creation + Promotion ActivationPełna kontrola nad cyklem promocji bez 4 eyes. 9
PTP-SOD-P003
HIGH
Markdown Creation + Markdown PostingMarkdown bez 4 eyes = obniżki dla siebie/znajomych. Top fraud vector w retail. 9
PTP-SOD-P004
HIGH
Promotion + Sales OrderUser definiuje promo + składa zamówienie korzystające z promo. 9
PTP-SOD-P005
MEDIUM
Customer Discount + Sales OrderDiscount na customerze + zamówienie tego customera. 5
PTP-SOD-P006
LOW
Pricing Procedure + Sales OrderZmiana procedury kalkulacji ceny + sprzedaż. 2
BCA
· 4 dostępów krytycznych
IDSeverityNazwaImplicationRisk
PTP-BCA-001
HIGH
Create/Maintain Vendor Master DataZakładanie i modyfikacja dostawców. Ryzyko: fikcyjni dostawcy (phantom vendors) używani do wyprowadzania środków. 9
PTP-BCA-002CRITICALCash Payment Processing (F110 Payment Run)Realizacja przebiegu płatności — masowa wypłata na konta dostawców. Ryzyko: nieautoryzowana wypłata, przekierowanie środków. 10
PTP-BCA-003
HIGH
Approve Purchase Orders (ME28/ME29N)Zatwierdzanie zamówień zakupu — zobowiązanie finansowe organizacji. W połączeniu z tworzeniem PO daje pełną kontrolę nad procurement. 9
PTP-BCA-004
HIGH
Post Vendor Invoices (MIRO/FB60)Księgowanie faktur dostawców — tworzenie zobowiązania do wypłaty. W kontekście master data dostawcy = fraud vector. 9

OTC · 11 reguł

SOD
· 8 konfliktów
IDSeverityNazwaImplicationRisk
OTC-SOD-001
HIGH
Customer Master + Credit MemoZmiana customera + wystawienie credit memo. 9
OTC-SOD-002
MEDIUM
Sales Order + BillingPełny cykl sprzedaży w jednych rękach. 5
OTC-SOD-003
MEDIUM
Customer Master + Sales OrderTworzy customera + składa dla niego zamówienie. 5
OTC-SOD-004
HIGH
Credit Limit Maintenance + Credit MemoZmienia credit limit + wystawia credit memo. 9
OTC-SOD-005
MEDIUM
Billing + Customer PaymentTworzy fakturę + księguje płatność. 5
OTC-SOD-006
HIGH
Customer Bank Data + RefundZmiana konta klienta + refund — analog do P2P-005. 9
OTC-SOD-007
MEDIUM
Sales Order + Delivery + Billing (full cycle)Cały cykl sprzedażowy w jednych rękach. 5
OTC-SOD-008
MEDIUM
Sales Order + Release (block removal)Tworzy SO i sam zdejmuje blokadę. 5
BCA
· 3 dostępów krytycznych
IDSeverityNazwaImplicationRisk
OTC-BCA-001
HIGH
Create/Maintain Customer Master DataZakładanie klientów. Ryzyko: fikcyjni klienci, konta do wyprowadzenia credit memos lub obchodzenia limitów kredytowych. 9
OTC-BCA-002
HIGH
Credit Limit Maintenance (FD32/UKM_CASE)Zmiana limitu kredytowego klienta. Umożliwia obejście kontroli zdolności kredytowej i sprzedaż na kredyt do niewiarygodnych klientów. 9
OTC-BCA-003
HIGH
Create Credit Memos (VA01 Type CR/G2)Wystawianie not kredytowych zmniejsza należności. Ryzyko: umorzenia dla powiązanych podmiotów, fikcyjne zwroty. 9

FI · 15 reguł

SOD
· 10 konfliktów
IDSeverityNazwaImplicationRisk
FI-SOD-001
HIGH
Manual JE + JE ApprovalSam tworzy JE i sam zatwierdza — brak 4 eyes na księgowaniu manualnym. 9
FI-SOD-002
HIGH
Bank Statement Upload + Manual PostingWgrywa bank statement + ręcznie księguje. 9
FI-SOD-003
MEDIUM
GL Account Master + JE PostingTworzy konto GL + księguje na nim. 5
FI-SOD-004
HIGH
Period Close + JE PostingOtwarcie zamkniętego okresu + zaksięgowanie wstecznie = sox violation. 9
FI-SOD-005
HIGH
Asset Master + Asset DisposalTworzy asset + zdejmuje go (możliwe ukrycie). 9
FI-SOD-006
MEDIUM
AP Open Items + Payment Block RemovalModyfikuje open items + zdejmuje payment block. 5
FI-SOD-007
LOW
Tax Configuration + Tax PostingKonfiguruje tax + księguje z tym tax. 2
FI-SOD-008
MEDIUM
FX Revaluation + Bank PostingForeign currency revaluation + manual bank posting. 5
FI-SOD-009
MEDIUM
Reverse Document + Post DocumentTworzy księgowanie + reverses je. 5
FI-SOD-010
LOW
FI Customizing + FI PostingModifies FI customizing + posts under new config. 2
BCA
· 5 dostępów krytycznych
IDSeverityNazwaImplicationRisk
FI-BCA-001
HIGH
Post Journal Entries to GL AccountsMożliwość ręcznego księgowania na kontach GL bez powiązania z operacją biznesową. Ryzyko: manipulacja wynikami finansowymi, ukrywanie strat. 9
FI-BCA-002
HIGH
Open and Close Accounting Periods (OB52)Zmiana otwartego okresu księgowego pozwala na back-dating transakcji lub wprowadzanie zmian po zamknięciu okresu. Naruszenie SOX / MSR. 9
FI-BCA-003
HIGH
Year-End Closing ProceduresWykonanie procedur zamknięcia roku obrotowego (F.16, ABST2, FAGL_YE_OPEN). Wpływ na sprawozdania finansowe, wymaga formalnego procesu i sign-off. 9
FI-BCA-004
HIGH
Maintain GL Account Master Data (FS00)Zakładanie/modyfikacja kont GL. Ryzyko: konta na których można ukryć transakcje, konta bez właściciela odpowiedzialnego. 9
FI-BCA-005CRITICALMaintain Bank Master Data (FI12/FI13)Zmiana danych rachunków bankowych spółki lub kontrahentów. NAJWYŻSZE RYZYKO — pozwala przekierować przelewy na konta zewnętrzne (BEC fraud). 10

HR · 7 reguł

SOD
· 4 konfliktów
IDSeverityNazwaImplicationRisk
HR-SOD-001
HIGH
Employee Master + Payroll RunTworzy/modyfikuje employee + uruchamia payroll = phantom employee fraud. 9
HR-SOD-002
HIGH
Bank Account (IT0009) + PayrollZmiana konta bankowego pracownika + uruchomienie payroll. 9
HR-SOD-003
MEDIUM
Time Entry + Time ApprovalWpisuje czas + zatwierdza go. 5
HR-SOD-004
HIGH
Employee Master + Vendor Master (phantom employee as vendor)Klasyczny scam — pracownik założony jako vendor i opłacany podwójnie. 9
BCA
· 3 dostępów krytycznych
IDSeverityNazwaImplicationRisk
HR-BCA-001CRITICALMaintain Bank Account IT0009 (Employee Bank Data)Zmiana konta bankowego pracownika w danych do wypłat. Ryzyko: przekierowanie wynagrodzeń na obce konto. 10
HR-BCA-002
HIGH
Run Payroll (PC00_M99_CALC)Uruchomienie naliczenia wynagrodzeń. W połączeniu z master data = możliwość wypłaty ghost employees. 9
HR-BCA-003
HIGH
Maintain Personnel Master (Basic Pay IT0008)Zmiana wysokości wynagrodzenia zasadniczego. Ryzyko: nieautoryzowane podwyżki, samodzielne przypisanie premii. 9

BASIS · 21 reguł

BASIS
· 21 dostępów krytycznych
IDSeverityNazwaImplicationRisk
BASIS-B-001
HIGH
User Admin + Role AssignmentPełna kontrola nad userami i ich rolami. 9
BASIS-B-002
HIGH
Role Maintenance + Authorization ProposalModyfikuje rolę + zmienia jej proposal SU24. 9
BASIS-B-003
HIGH
Transport Creation + Transport ImportTworzy transport + importuje go na wyższe środowisko. 9
BASIS-B-004
HIGH
Debug Authorization + Production PostingDebug w PRD pozwala obejść kontrole = posting bez walidacji. /H wpisany w jakiejkolwiek transakcji = debugger access. 9
BASIS-B-005
HIGH
Table Maintenance (SE16N) + Business DataSE16N z autoryzacją change = bypass całego SAP. Critical risk. 9
BASIS-B-006
HIGH
Client Open/Close + CustomizingOtwarcie klienta + zmiana customizingu. 9
BASIS-B-007
HIGH
ABAP Development + Production AccessEdycja ABAP + jakikolwiek posting biznesowy w PRD. 9
BASIS-B-008
MEDIUM
Profile Parameter + User AdminZmiana parametrów systemu + admin userów. 5
BASIS-B-009
MEDIUM
Background Job Definition + Job ReleaseDefinicja joba + jego release (job może zawierać arbitrary code). 5
BASIS-B-101
HIGH
Client Open/Close (SCC4) — modyfikacja ustawień klientaZmiana ustawień mandanta (klienta SAP) pozwala włączyć/wyłączyć customizing changes, cross-client changes. Umożliwia obchodzenie procesu transportu i wprowadzanie zmian bezpośredni9
BASIS-B-102
HIGH
Table Maintenance (SE16N/SM30) — bezpośrednia edycja tabelBezpośrednia edycja tabel obchodzi walidację poziomu aplikacji — user może zmienić dane finansowe/master data bez śladu w tabelach audit. 9
BASIS-B-103
HIGH
Program Development (SE38/SE80) — edycja programów ABAPMożliwość modyfikacji kodu ABAP w PRD narusza zasadę segregation Development vs Production. Umożliwia wprowadzenie ukrytej logiki. 9
BASIS-B-104
HIGH
Role/Profile Maintenance (PFCG, SUPC) — modyfikacja uprawnieńBezpośrednia modyfikacja ról/profili w PRD pozwala dodać sobie/innym dowolne uprawnienia bez zatwierdzenia w standardowym procesie. 9
BASIS-B-105
HIGH
User Administration (SU01/SU10) — zarządzanie użytkownikamiMożliwość zakładania/modyfikacji użytkowników i ich uprawnień. Ryzyko: utworzenie ghost accounts, reset haseł, przypisanie uprawnień. 9
BASIS-B-106
HIGH
Transport Organizer (STMS/SE09/SE10) — import transportówImport transportu do PRD wprowadza zmiany omijając środowisko QAS. Ryzyko: transport złośliwego kodu lub konfiguracji. 9
BASIS-B-107
HIGH
Table change log management — kasowanie logów DBTABLOGMożliwość usuwania logów zmian tabel usuwa ślady modyfikacji danych. Krytyczne dla audytu i śledzenia fraud. 9
BASIS-B-108
MEDIUM
OS Commands (SM49/SM69) — wykonywanie poleceń systemowychWykonywanie poleceń OS z SAP daje dostęp na poziomie systemu operacyjnego serwera. Ryzyko: eksfiltracja danych, modyfikacja plików. 5
BASIS-B-109
MEDIUM
Batch Processing (SM36/SM37) — administracja jobów tłaZarządzanie zaplanowanymi zadaniami — możliwość uruchamiania programów z uprawnieniami system user (obejście własnych uprawnień). 5
BASIS-B-110
MEDIUM
Archiving (SARA) — usuwanie danychArchiwizacja i usuwanie starych danych. Ryzyko: usunięcie dowodów audytowych przed zakończeniem retention period. 5
BASIS-B-111
MEDIUM
Query Maintenance (SQ01/SQ02) — tworzenie zapytań ad-hocDefiniowanie własnych zapytań pozwala odczytać dowolne dane w systemie niezależnie od standardowych uprawnień na tabelach. 5
BASIS-B-112
LOW
System Log access (SM21) — dostęp do logów systemowychMożliwość odczytu logów systemowych — ryzyko wycieku informacji o strukturze systemu, użytkownikach. 2

X_CROSS · 3 reguł

X_CRITICAL
· 3 dostępów krytycznych
IDSeverityNazwaImplicationRisk
X_CROSS-X-001CRITICALSAP_ALL — nieograniczony dostęp do systemuRola SAP_ALL zawiera wszystkie autoryzacje w systemie. Użytkownik z tą rolą może wykonać dowolną operację, w tym obchodzenie kontroli finansowych, modyfikację danych, kasowanie log10
X_CROSS-X-002CRITICALSAP_NEW — potencjalny dostęp obchodowySAP_NEW to rola tymczasowa dla nowych obiektów autoryzacyjnych po upgrade. Nie powinna być w PRD dla dialog users — daje nadmiarowy dostęp. 10
X_CROSS-X-003CRITICALWrite Debug access — obchodzenie kontroli autoryzacjiUprawnienie S_DEVELOP DEBUG ACTVT=02 pozwala zmienić zawartość zmiennych w trakcie wykonywania programu ABAP. To praktycznie obchodzi każdą autoryzację — user może zmienić parametr10

Edytor rulebooka

YAML zgodny z formatem RULEBOOK_FORMAT.md. Save robi upsert (istniejące reguły update, nowe add, brakujące → soft-delete isActive=false).