Když ta firma běžně větší částky nepřevádí, nebude cítit potřebu systému na schvalování převodů větších částek. A pokud ten proces nebude zadrátován v nějaké aplikaci ani se nebude často provádět, stejně nikdo nebude vědět, jak má ten proces vypadat.
V ideálním světě by to bylo, jak popisuješ. V reálném světě je podle mne potřeba naučit se spíš to, jak rozpoznávat všechny nestandardní požadavky a jak se nenechat vmanipulovat do situace „spěchá to, takže všechny kontroly (i v hlavě) vypínám“. Protože když firma implementuje systém na schvalování převodů vyšších částek, příště si útočník nechá zaslat databázi VIP zákazníků nebo cokoli jiného cenného a bude chtít výkupné. (Které se mimochodem taky asi nebude řešit standardně přes objednávku a fakturu.)