Rulebook — Katalog reguł
98 aktywnych reguł · grupowane po procesie (PTP/OTC/FI/HR/BASIS...) i typie (SOD/BCA/BASIS/X_CRITICAL)
PTP · 41 reguł
SOD
· 37 konfliktów| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| OTC-SOD-S001 | HIGH | POS Data Upload + Sales Reconciliation | User wgrywa dane sprzedaży POS i sam je uzgadnia. | 9 |
| OTC-SOD-S002 | HIGH | Cash Reconciliation + Bank Posting | Niezgodność gotówki wyrównana przez bank reconciliation. | 9 |
| OTC-SOD-S003 | MEDIUM | Store Master + Store-Level Sales Adjustment | Zmiana ustawień sklepu + korekta sprzedaży. | 5 |
| OTC-SOD-S004 | MEDIUM | Daily Sales + Daily Bank Receipt | Korekta dziennej sprzedaży + zaksięgowanie odbioru gotówki. | 5 |
| OTC-SOD-S005 | HIGH | Store Cash Difference + GL Posting | Różnica w kasie sklepu + księgowanie na konto różnic. | 9 |
| PTP-SOD-001 | HIGH | Vendor Master + Payment Processing | Klasyczny fraud — fictitious vendor scheme. User może wymyślić vendora i mu zapłacić. | 9 |
| PTP-SOD-002 | HIGH | Vendor Master + Invoice Posting | Vendor master change + księgowanie faktury. | 9 |
| PTP-SOD-003 | HIGH | PO + GR + Invoice (3-way bypass) | Pełny cykl P2P w jednych rękach — obejście 3-way match. | 9 |
| PTP-SOD-004 | HIGH | PO Creation + PO Release | Brak 4-eyes principle dla aprobaty PO. | 9 |
| PTP-SOD-005 | HIGH | Vendor Bank Data + Payment | Zmiana konta vendora + wystawienie płatności = przelew na inne konto. Według ACFE — top growing fraud scheme 2024 (BEC + AP fraud). | 9 |
| PTP-SOD-006 | MEDIUM | Vendor Block/Unblock + Payment | Odblokowanie zablokowanego vendora + wystawienie płatności. | 5 |
| PTP-SOD-007 | MEDIUM | Park Invoice + Post Invoice | Sam parkuje i sam księguje = brak 4 eyes. | 5 |
| PTP-SOD-008 | MEDIUM | Payment Run + Payment Proposal Release | Tworzy run + releasuje proposal. | 5 |
| PTP-SOD-009 | MEDIUM | Vendor Master + GR | Vendor master + przyjmuje towar od tego vendora. | 5 |
| PTP-SOD-010 | HIGH | Bank Master + Payment File Generation | Zmiana danych banku + generowanie pliku płatności. | 9 |
| PTP-SOD-I001 | HIGH | Physical Inventory Count + Adjustment Posting | TOP retail fraud. User liczy inwentaryzację i zatwierdza różnicę = ukrywanie kradzieży. Według raportów Deloitte/KPMG/PwC najczęstsze źródło fraud w fashion retail. | 9 |
| PTP-SOD-I002 | MEDIUM | Stock Adjustment + Stock Reporting | User koryguje stock + tworzy raporty (ukrywa korekty w raportach). | 5 |
| PTP-SOD-I003 | MEDIUM | Stock Transfer + Goods Receipt | User wystawia stock transfer + przyjmuje go w docelowym sklepie = fikcyjny transfer. | 5 |
| PTP-SOD-I004 | HIGH | Shrinkage Writeoff + Approval | Pełna kontrola nad spisaniem braków. Top retail fraud — ukrywanie kradzieży. | 9 |
| PTP-SOD-I005 | HIGH | Customer Return + Credit Memo | Fikcyjny zwrot + refund — kolejny klasyczny retail fraud. | 9 |
| PTP-SOD-I006 | MEDIUM | Cycle Count + Adjustment | To samo co INV-001 dla cycle countingu — daily/weekly counts. | 5 |
| PTP-SOD-I007 | MEDIUM | Goods Issue (Free Sample) + Article Master | Wystawiam towar jako 'free sample' + mogę zmienić artykuł żeby ukryć. | 5 |
| PTP-SOD-I008 | MEDIUM | Goods Receipt + Invoice Verification (2-way bypass) | 2-way bypass — user przyjmuje towar i akceptuje fakturę bez kontroli zamówienia. | 5 |
| PTP-SOD-M001 | HIGH | Article Master + Pricing Conditions | User tworzy/modyfikuje artykuł i jednocześnie ustawia jego cenę sprzedaży — możliwa manipulacja markupem dla siebie/znajomych. | 9 |
| PTP-SOD-M002 | HIGH | Article Master + Stock Adjustment | User może utworzyć artykuł i jednocześnie skorygować jego stan magazynowy — sztuczne pojawienie się towaru lub ukrycie braku. | 9 |
| PTP-SOD-M003 | HIGH | Site/Store Master + Stock Transfer | User zakłada/zmienia sklep i może transferować do niego towar — fikcyjny sklep przyjmuje stocky. | 9 |
| PTP-SOD-M004 | MEDIUM | Article Master + Returns Processing | Zmiana artykułu po zwrocie (np. zmiana kategorii) ukrywa rzeczywistą sprzedaż. | 5 |
| PTP-SOD-M005 | MEDIUM | Assortment + Allocation | Pełna kontrola: definiuje co i gdzie ma być sprzedawane + ile zostanie dostarczone. | 5 |
| PTP-SOD-M006 | HIGH | Article Master Change + Markdown | User zmienia cenę regularną artykułu i równocześnie tworzy markdown — markup ukryty pod markdown. | 9 |
| PTP-SOD-M007 | MEDIUM | Site Master + Sales Reconciliation | Sklep własny + uprawnienia do uzgadniania sprzedaży = manipulacja raportowaniem. | 5 |
| PTP-SOD-M008 | HIGH | Article Master + Inventory Count | Zmiana artykułu po liczeniu inwentaryzacji ukrywa różnice. | 9 |
| PTP-SOD-P001 | HIGH | Pricing Conditions + Sales Order | User ustala cenę i jednocześnie wprowadza zamówienie z tą ceną. | 9 |
| PTP-SOD-P002 | HIGH | Promotion Creation + Promotion Activation | Pełna kontrola nad cyklem promocji bez 4 eyes. | 9 |
| PTP-SOD-P003 | HIGH | Markdown Creation + Markdown Posting | Markdown bez 4 eyes = obniżki dla siebie/znajomych. Top fraud vector w retail. | 9 |
| PTP-SOD-P004 | HIGH | Promotion + Sales Order | User definiuje promo + składa zamówienie korzystające z promo. | 9 |
| PTP-SOD-P005 | MEDIUM | Customer Discount + Sales Order | Discount na customerze + zamówienie tego customera. | 5 |
| PTP-SOD-P006 | LOW | Pricing Procedure + Sales Order | Zmiana procedury kalkulacji ceny + sprzedaż. | 2 |
BCA
· 4 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| PTP-BCA-001 | HIGH | Create/Maintain Vendor Master Data | Zakładanie i modyfikacja dostawców. Ryzyko: fikcyjni dostawcy (phantom vendors) używani do wyprowadzania środków. | 9 |
| PTP-BCA-002 | CRITICAL | Cash Payment Processing (F110 Payment Run) | Realizacja przebiegu płatności — masowa wypłata na konta dostawców. Ryzyko: nieautoryzowana wypłata, przekierowanie środków. | 10 |
| PTP-BCA-003 | HIGH | Approve Purchase Orders (ME28/ME29N) | Zatwierdzanie zamówień zakupu — zobowiązanie finansowe organizacji. W połączeniu z tworzeniem PO daje pełną kontrolę nad procurement. | 9 |
| PTP-BCA-004 | HIGH | Post Vendor Invoices (MIRO/FB60) | Księgowanie faktur dostawców — tworzenie zobowiązania do wypłaty. W kontekście master data dostawcy = fraud vector. | 9 |
OTC · 11 reguł
SOD
· 8 konfliktów| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| OTC-SOD-001 | HIGH | Customer Master + Credit Memo | Zmiana customera + wystawienie credit memo. | 9 |
| OTC-SOD-002 | MEDIUM | Sales Order + Billing | Pełny cykl sprzedaży w jednych rękach. | 5 |
| OTC-SOD-003 | MEDIUM | Customer Master + Sales Order | Tworzy customera + składa dla niego zamówienie. | 5 |
| OTC-SOD-004 | HIGH | Credit Limit Maintenance + Credit Memo | Zmienia credit limit + wystawia credit memo. | 9 |
| OTC-SOD-005 | MEDIUM | Billing + Customer Payment | Tworzy fakturę + księguje płatność. | 5 |
| OTC-SOD-006 | HIGH | Customer Bank Data + Refund | Zmiana konta klienta + refund — analog do P2P-005. | 9 |
| OTC-SOD-007 | MEDIUM | Sales Order + Delivery + Billing (full cycle) | Cały cykl sprzedażowy w jednych rękach. | 5 |
| OTC-SOD-008 | MEDIUM | Sales Order + Release (block removal) | Tworzy SO i sam zdejmuje blokadę. | 5 |
BCA
· 3 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| OTC-BCA-001 | HIGH | Create/Maintain Customer Master Data | Zakładanie klientów. Ryzyko: fikcyjni klienci, konta do wyprowadzenia credit memos lub obchodzenia limitów kredytowych. | 9 |
| OTC-BCA-002 | HIGH | Credit Limit Maintenance (FD32/UKM_CASE) | Zmiana limitu kredytowego klienta. Umożliwia obejście kontroli zdolności kredytowej i sprzedaż na kredyt do niewiarygodnych klientów. | 9 |
| OTC-BCA-003 | HIGH | Create Credit Memos (VA01 Type CR/G2) | Wystawianie not kredytowych zmniejsza należności. Ryzyko: umorzenia dla powiązanych podmiotów, fikcyjne zwroty. | 9 |
FI · 15 reguł
SOD
· 10 konfliktów| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| FI-SOD-001 | HIGH | Manual JE + JE Approval | Sam tworzy JE i sam zatwierdza — brak 4 eyes na księgowaniu manualnym. | 9 |
| FI-SOD-002 | HIGH | Bank Statement Upload + Manual Posting | Wgrywa bank statement + ręcznie księguje. | 9 |
| FI-SOD-003 | MEDIUM | GL Account Master + JE Posting | Tworzy konto GL + księguje na nim. | 5 |
| FI-SOD-004 | HIGH | Period Close + JE Posting | Otwarcie zamkniętego okresu + zaksięgowanie wstecznie = sox violation. | 9 |
| FI-SOD-005 | HIGH | Asset Master + Asset Disposal | Tworzy asset + zdejmuje go (możliwe ukrycie). | 9 |
| FI-SOD-006 | MEDIUM | AP Open Items + Payment Block Removal | Modyfikuje open items + zdejmuje payment block. | 5 |
| FI-SOD-007 | LOW | Tax Configuration + Tax Posting | Konfiguruje tax + księguje z tym tax. | 2 |
| FI-SOD-008 | MEDIUM | FX Revaluation + Bank Posting | Foreign currency revaluation + manual bank posting. | 5 |
| FI-SOD-009 | MEDIUM | Reverse Document + Post Document | Tworzy księgowanie + reverses je. | 5 |
| FI-SOD-010 | LOW | FI Customizing + FI Posting | Modifies FI customizing + posts under new config. | 2 |
BCA
· 5 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| FI-BCA-001 | HIGH | Post Journal Entries to GL Accounts | Możliwość ręcznego księgowania na kontach GL bez powiązania z operacją biznesową. Ryzyko: manipulacja wynikami finansowymi, ukrywanie strat. | 9 |
| FI-BCA-002 | HIGH | Open and Close Accounting Periods (OB52) | Zmiana otwartego okresu księgowego pozwala na back-dating transakcji lub wprowadzanie zmian po zamknięciu okresu. Naruszenie SOX / MSR. | 9 |
| FI-BCA-003 | HIGH | Year-End Closing Procedures | Wykonanie procedur zamknięcia roku obrotowego (F.16, ABST2, FAGL_YE_OPEN). Wpływ na sprawozdania finansowe, wymaga formalnego procesu i sign-off. | 9 |
| FI-BCA-004 | HIGH | Maintain GL Account Master Data (FS00) | Zakładanie/modyfikacja kont GL. Ryzyko: konta na których można ukryć transakcje, konta bez właściciela odpowiedzialnego. | 9 |
| FI-BCA-005 | CRITICAL | Maintain Bank Master Data (FI12/FI13) | Zmiana danych rachunków bankowych spółki lub kontrahentów. NAJWYŻSZE RYZYKO — pozwala przekierować przelewy na konta zewnętrzne (BEC fraud). | 10 |
HR · 7 reguł
SOD
· 4 konfliktów| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| HR-SOD-001 | HIGH | Employee Master + Payroll Run | Tworzy/modyfikuje employee + uruchamia payroll = phantom employee fraud. | 9 |
| HR-SOD-002 | HIGH | Bank Account (IT0009) + Payroll | Zmiana konta bankowego pracownika + uruchomienie payroll. | 9 |
| HR-SOD-003 | MEDIUM | Time Entry + Time Approval | Wpisuje czas + zatwierdza go. | 5 |
| HR-SOD-004 | HIGH | Employee Master + Vendor Master (phantom employee as vendor) | Klasyczny scam — pracownik założony jako vendor i opłacany podwójnie. | 9 |
BCA
· 3 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| HR-BCA-001 | CRITICAL | Maintain Bank Account IT0009 (Employee Bank Data) | Zmiana konta bankowego pracownika w danych do wypłat. Ryzyko: przekierowanie wynagrodzeń na obce konto. | 10 |
| HR-BCA-002 | HIGH | Run Payroll (PC00_M99_CALC) | Uruchomienie naliczenia wynagrodzeń. W połączeniu z master data = możliwość wypłaty ghost employees. | 9 |
| HR-BCA-003 | HIGH | Maintain Personnel Master (Basic Pay IT0008) | Zmiana wysokości wynagrodzenia zasadniczego. Ryzyko: nieautoryzowane podwyżki, samodzielne przypisanie premii. | 9 |
BASIS · 21 reguł
BASIS
· 21 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| BASIS-B-001 | HIGH | User Admin + Role Assignment | Pełna kontrola nad userami i ich rolami. | 9 |
| BASIS-B-002 | HIGH | Role Maintenance + Authorization Proposal | Modyfikuje rolę + zmienia jej proposal SU24. | 9 |
| BASIS-B-003 | HIGH | Transport Creation + Transport Import | Tworzy transport + importuje go na wyższe środowisko. | 9 |
| BASIS-B-004 | HIGH | Debug Authorization + Production Posting | Debug w PRD pozwala obejść kontrole = posting bez walidacji. /H wpisany w jakiejkolwiek transakcji = debugger access. | 9 |
| BASIS-B-005 | HIGH | Table Maintenance (SE16N) + Business Data | SE16N z autoryzacją change = bypass całego SAP. Critical risk. | 9 |
| BASIS-B-006 | HIGH | Client Open/Close + Customizing | Otwarcie klienta + zmiana customizingu. | 9 |
| BASIS-B-007 | HIGH | ABAP Development + Production Access | Edycja ABAP + jakikolwiek posting biznesowy w PRD. | 9 |
| BASIS-B-008 | MEDIUM | Profile Parameter + User Admin | Zmiana parametrów systemu + admin userów. | 5 |
| BASIS-B-009 | MEDIUM | Background Job Definition + Job Release | Definicja joba + jego release (job może zawierać arbitrary code). | 5 |
| BASIS-B-101 | HIGH | Client Open/Close (SCC4) — modyfikacja ustawień klienta | Zmiana ustawień mandanta (klienta SAP) pozwala włączyć/wyłączyć customizing changes, cross-client changes. Umożliwia obchodzenie procesu transportu i wprowadzanie zmian bezpośredni… | 9 |
| BASIS-B-102 | HIGH | Table Maintenance (SE16N/SM30) — bezpośrednia edycja tabel | Bezpośrednia edycja tabel obchodzi walidację poziomu aplikacji — user może zmienić dane finansowe/master data bez śladu w tabelach audit. | 9 |
| BASIS-B-103 | HIGH | Program Development (SE38/SE80) — edycja programów ABAP | Możliwość modyfikacji kodu ABAP w PRD narusza zasadę segregation Development vs Production. Umożliwia wprowadzenie ukrytej logiki. | 9 |
| BASIS-B-104 | HIGH | Role/Profile Maintenance (PFCG, SUPC) — modyfikacja uprawnień | Bezpośrednia modyfikacja ról/profili w PRD pozwala dodać sobie/innym dowolne uprawnienia bez zatwierdzenia w standardowym procesie. | 9 |
| BASIS-B-105 | HIGH | User Administration (SU01/SU10) — zarządzanie użytkownikami | Możliwość zakładania/modyfikacji użytkowników i ich uprawnień. Ryzyko: utworzenie ghost accounts, reset haseł, przypisanie uprawnień. | 9 |
| BASIS-B-106 | HIGH | Transport Organizer (STMS/SE09/SE10) — import transportów | Import transportu do PRD wprowadza zmiany omijając środowisko QAS. Ryzyko: transport złośliwego kodu lub konfiguracji. | 9 |
| BASIS-B-107 | HIGH | Table change log management — kasowanie logów DBTABLOG | Możliwość usuwania logów zmian tabel usuwa ślady modyfikacji danych. Krytyczne dla audytu i śledzenia fraud. | 9 |
| BASIS-B-108 | MEDIUM | OS Commands (SM49/SM69) — wykonywanie poleceń systemowych | Wykonywanie poleceń OS z SAP daje dostęp na poziomie systemu operacyjnego serwera. Ryzyko: eksfiltracja danych, modyfikacja plików. | 5 |
| BASIS-B-109 | MEDIUM | Batch Processing (SM36/SM37) — administracja jobów tła | Zarządzanie zaplanowanymi zadaniami — możliwość uruchamiania programów z uprawnieniami system user (obejście własnych uprawnień). | 5 |
| BASIS-B-110 | MEDIUM | Archiving (SARA) — usuwanie danych | Archiwizacja i usuwanie starych danych. Ryzyko: usunięcie dowodów audytowych przed zakończeniem retention period. | 5 |
| BASIS-B-111 | MEDIUM | Query Maintenance (SQ01/SQ02) — tworzenie zapytań ad-hoc | Definiowanie własnych zapytań pozwala odczytać dowolne dane w systemie niezależnie od standardowych uprawnień na tabelach. | 5 |
| BASIS-B-112 | LOW | System Log access (SM21) — dostęp do logów systemowych | Możliwość odczytu logów systemowych — ryzyko wycieku informacji o strukturze systemu, użytkownikach. | 2 |
X_CROSS · 3 reguł
X_CRITICAL
· 3 dostępów krytycznych| ID | Severity | Nazwa | Implication | Risk |
|---|---|---|---|---|
| X_CROSS-X-001 | CRITICAL | SAP_ALL — nieograniczony dostęp do systemu | Rola SAP_ALL zawiera wszystkie autoryzacje w systemie. Użytkownik z tą rolą może wykonać dowolną operację, w tym obchodzenie kontroli finansowych, modyfikację danych, kasowanie log… | 10 |
| X_CROSS-X-002 | CRITICAL | SAP_NEW — potencjalny dostęp obchodowy | SAP_NEW to rola tymczasowa dla nowych obiektów autoryzacyjnych po upgrade. Nie powinna być w PRD dla dialog users — daje nadmiarowy dostęp. | 10 |
| X_CROSS-X-003 | CRITICAL | Write Debug access — obchodzenie kontroli autoryzacji | Uprawnienie S_DEVELOP DEBUG ACTVT=02 pozwala zmienić zawartość zmiennych w trakcie wykonywania programu ABAP. To praktycznie obchodzi każdą autoryzację — user może zmienić parametr… | 10 |
Edytor rulebooka
YAML zgodny z formatem RULEBOOK_FORMAT.md. Save robi upsert (istniejące reguły update, nowe add, brakujące → soft-delete isActive=false).