Nabavni posli so najpogostejša tarča direktorskih prevar. Kot pravi Marina Lindič, predsednica Združenja nabavnikov Slovenije ter predsednica Mednarodne federacije nabavnih združenj, je postala kibernetska varnost ena od osrednjih tem v podjetjih in tudi tem šefov nabave.
Lindičeva izpostavlja, da 100-odstotne varnosti ni, vendar je možno večino prevar preprečiti z dobro ureditvijo nabavne službe. Prav nabava je namreč največkrat tarča direktorskih prevar in napadov s posrednikom. V Sloveniji so se že zgodili primeri s škodo več sto tisoč evrov, pri čemer je v večini primerov šlo za nakazila predujmov.
“Pri nas avansov v splošnem ni, taka je politika podjetja. Seveda se dogaja, da tudi avansi so. Jaz sem bila vodilni kupec za investicije za vsa Ursina evropska podjetja, ne samo za naša. V Ursi smo že pred leti uvedli pravilo ščitenja avansa. Avans ni nakazan, dokler ni bančne garancije, ki minimizira možnost prevare,” je razložila Lindičeva, ki je pred pokojem vodila strateško nabavo v podjetju Ursa Slovenija, za poslovni enoti Adria in Italia.
Avansna plačila Lindičeva vsekakor odsvetuje pri izbiri novih dobaviteljev: “Seveda je to odvisno od tvoje bonitete in pogajalske moči. Če imaš dobro boniteto in ugled, dobavitelj ne bo zahteval avansa in bo moral tvegati. Če dobavitelj želi sodelovati z nami, potem običajno pristane na sodelovanje z nami brez predplačil. V razmerah, v kakršnih smo sedaj, v obdobju večjega povpraševanja kot je ponudba, je take pogoje z novimi dobavitelji težje doseči. Naša pogajalska pozicija je slabša, saj dobavitelji zelo lahko prodajo vse razpoložljive kapacitete in imajo zelo majhen interes v takem obdobju začeti sodelovati z novimi kupci. Ko se enkrat vzpostavi dober poslovni odnos z novim dobaviteljem na dolgi rok, je pa vse lažje; še posebej, če na obeh straneh sodelovanje poteka korektno in se tako dobavitelj kot kupec držita dogovorjenih pogojev in jih dosledno izvajata.”
Druga varovalka je pogodba. “Če imaš relacijo z dobaviteljem, veš, kakšna je pogodba in kdo jo je podpisal. Avans mora biti likvidiran s strani tiste osebe, ki se je pogajala za posel, ne s strani direktorja. Če imaš vse podpisano, potem veš, kaj se dogaja.”
Naslednji varnostni mehanizem, ki preprečuje prevaro s spremembo številke tekočega računa, je vodenje šifranta dobaviteljev s podatki o tekočem računu. “Podjetja ne spreminjajo tekočih računov kar tako. Po več let imajo enake. Dogaja se, da podjetja včasih spreminjajo pravno obliko ali spremembo naslova. Takrat dobiš uradno obvestilo dobavitelja, od osebe, s katero običajno delaš, in nov račun. V tem primeru spremeniš račun, pravno obliko, naslov v matičnih podatkih v bazi svojega podjetja. Ampak še takrat preveriš z dobaviteljem, z osebo s katero običajno sodeluješ, preden spremeniš dobaviteljev račun,” pravi Lindičeva.
Za boljše obvladovanje tveganj nujno v razvoj nabavne funkcije
Marina Lindič prepoznava probleme predvsem v manjših podjetjih, ki nimajo znanja, niti jasnega nabavnega procesa, ki bi ga izvajala samostojna nabavna služba.
“ V majhnih podjetjih je lahko ena oseba direktor, nabavnik, računovodja in poslovni sekretar. Nabavniki niso profesionalci. Znanja je malo in zato so ta podjetja bolj ranljiva. Ko sem pred časom delala v nekem podjetju, je bilo splošno mnenje, da je za nabavo dober vsak. Greš in kupiš. Ni bilo razdelanih nabavnih kategorij, pogajalskih strategij, plačilnih pogojev, kakšne so paritete …” je povedala Lindičeva.
Po njenem mnenju se stanje v nabavnih službah sicer izboljšuje, še posebej v srednjih in velikih podjetjih, kjer je nabava urejena. K temu sta veliko pripomogli krizi zaradi kovida ter vojne v Ukrajini. S krepitvijo zavedanja o pomenu upravljanja s poslovnimi tveganji, o pomenu nabave pri vplivu na konkurenčno prednost in poslovnega rezultata podjetja, se tudi pomembnost poklica nabavnika in njegova strateškega vloga povečujeta.
“V velikih podjetjih je večje razumevanje za ščitenje posla z akreditivi in bančnimi garancijami, še posebej pri delu s tujino. To je sestavni del upravljanja s tveganji, kar mora imeti podjetje urejeno od zgoraj navzdol, za vsako področje. Tudi nabavna služba mora tako definirati tveganja in ukrepe, kaj narediti, ko se nekaj zgodi, in imeti pripravljene nadomestne scenarije,” je razložila Lindičeva.
Takšne postopke je smiselno vzpostaviti tudi v manjših organizacijah, kjer je direktor tisti, ki običajno podpisuje direktne in indirektne stroške. Lindičeva je pojasnila: “Niti direktor niti vodja nabave ne moreta podpisovati računov/stroškov za vse svoje nabavnike. Formalno sicer daš svoj podpis, vendar mora biti v podjetju urejen transparenten proces in jasno določena odgovornost, da so stvari zaščitene. Če tega ni, je možnost, da pride do problemov ali zlorab toliko večja.”
Kibernetska izpostavljenost še ni del ocene dobavitelja
Kot pravi Lindičeva, večina podjetij pri ocenjevanju dobaviteljev še ne spremlja tudi njihove kibernetske izpostavljenosti. “Imamo jasno definiran interni proces, ko ne moreš podpisati večjih računov/stroškov, če nimaš vnaprejšnje odobritve za posel z nekim dobaviteljem. Pri tem se upošteva rizičnost dobavitelja, kar se tiče bonitet in spoštovanja rokov, kibernetska varnost pa še ni kriterij,” je dodala Lindičeva. Ocenjuje, da bi bilo pametno, če bi ob presojah pri dobavitelju izvajali tudi presojo informacijskih sistemov. Pri tem je posebej izpostavila partnerje, s katerimi podjetje posluje preko elektronske izmenjave podatkov, saj se z digitalizacijo zunanjih procesov znatno povečajo kibernetska tveganja.
“V oskrbnih verigah velikokrat nastopajo tudi podjetja, ki še zdaleč nimajo zadostno urejene varnosti ali za njihovo informatiko neustrezno skrbijo zunanji izvajalci,” je dejala Lindičeva in ob tem ponovno izpostavila manjša podjetja, ki pogosto zaradi cene najemajo storitve samostojnih podjetnikov, ti pa ne morejo zagotoviti varnosti in zanesljivosti na enaki ravni kot večji ponudniki oziroma velika podjetja.
Obvladovanje skladnosti odpravlja tvegane prakse
Lindičeva je razložila, da ima na primer podjetje Ursa zelo visoke zahteve glede skladnosti. “Vsako leto poteka izobraževanje, kako ravnati skladno z internimi predpisi, vezano na etiko in poslovna načela, kako lahko postopaš, s kom sklepaš posle, kaj moraš narediti, če posluješ s podjetji v različnih državah. Hkrati vsak zaposleni, ki sodeluje z zunanjimi partnerji, tako kupci kot dobavitelji, podpiše vsako leto izjavo, da deluje skladno z internimi predpisi in pogodbo o ne razkrivanju podatkov, ki določa, katerih podatkov ne smeš posredovati zunanjim partnerjem, kar pa ni garancija, da informacije ne bodo odtekle. Poleg tega ima večina urejenih podjetij Kodeks ravnanja dobaviteljev, katerega morajo dobavitelji ob začetku sodelovanja podpisati in so običajno tudi navedeni na vsakem eksternem naročilu dobavitelju, da so podjetja zaščitena, tudi če z dobavitelji nimajo podpisanih pogodb.”
Pazljivo pri poslovni komunikaciji
Velika tveganja predstavlja tudi odtekanje informacij. Pri tem ne gre samo za namerno krajo informacij, ampak velikokrat za naivnost nekaterih zaposlenih. “Vemo, o čem se na sestankih z dobavitelji ne smemo pogovarjati. Menim, da se veliko zaposlenih v splošnem premalo zaveda pomena ne razkrivanja določenih podatkov. Gre za osnovno varovanje podatkov na sestankih, ob pogajanjih in pri vsakodnevni komunikaciji z dobavitelji,” je še izpostavila Lindičeva.
Velik doprinos k informacijski varnosti tako predstavlja tudi usposobljenost zaposlenih, da znajo v poslu komunicirati varno, in sicer tako pisno, po e-pošti kot tudi ustno pri telefonskih klicih, na spletnih sestankih ter sestankih v živo.