Yazarlar 19 OCAK 2015 / 07:20

ERP yatırımınızın tüm potansiyelini ortaya çıkarın

Karmaşıklaşan süreçler, artan riskler ve mevzuat yükümlülükleri şirketleri etkin bir risk yönetimi yapma ve iç kontrol ortamı sağlama noktasında zorlarken, güvenli bir ERP altyapısını doğru kurgulanmış araçlarla destekleyen şirketler, bu süreci çok daha etkin ve az maliyetle yönetebiliyor.

Başak Hekimoğlu

PwC Türkiye ERP Hizmetleri Lideri

Şirketlerin sistem güvenliğinin yanı sıra bilgi güvenliğini de sağlayabiliyor olması, gerçek zamanlı ve doğru bilgilerle beslenen, etkin ve güvenilir süreçlerin işletilmesini sağlar. Kurumsal kaynak planlaması (ERP) sistemlerinde bilgi güvenliği, ancak sağlıklı bir altyapının kurulması ile mümkündür. Bir başka deyişle sistemsel yetkilerin görev ve sorumluluklara uygun olarak verilmesi, stratejik bilgilere erişimlerin uygun şekilde düzenlenmesi ve kullanıcı rol ve yetkilendirmelerinin sağlıklı işletilmesi; görevler arasındaki ayrımların korunarak sağlıklı bir altyapının hayata geçirilmesini sağlar.
İşletmelerin işgücü, makine ve malzeme gibi tüm kaynaklarını verimli bir şekilde kullanabilmesini sağlayan ve bu anlamda şirket verimliliği için çok önemli olan ERP sistemleri, maalesef Türkiye'deki büyük ya da orta ölçekli birçok şirkette geri plana atılıyor. Türkiye’de işletmelerin ERP sistemine bağlı yetki mekanizmalarında önemli zayıflıklar bulunduğunu ve yöneticilerin, bu durumun yarattığı risk ve kontrol noktalarından pek haberdar olmadığını gözlemliyoruz. Özellikle kullanıcıların sorumlu oldukları modül bazında değil de, tüm sisteme yetkilisi olabilen roller ile donatıldıklarına sıklıkla şahit oluyoruz.

Son derece karmaşık ve çok kullanıcılı yapılara sahip ERP sistemlerinde, güvenlik değerlerinin düşük olması, yetkisiz kullanıcıların sistemde yüksek yetkiler ile işlem yapmasına ve yapılan işlemlerde sorumlulukların belirlenememesine sebep olabiliyor. Ayrıca görevlerin ayrılığı ilkesi ile ters düşen yetki tasarımları mali tablolarda geri dönülemez hataların oluşmasına; suistimale yönelik işlemlerin gerçekleştirilmesine ve fark edilememesine fırsat tanıyor.

Artan rekabet ortamı ile birlikte kurumsal yönetim ilkelerinin önem kazandığı ve şirket ortakları ve yöneticilerinin şirketin iç kontrol ortamının sağlanması konusunda devredilemez yükümlülüklere sahip oldukları günümüzde, etkin bir ERP altyapısı işletemediği için yukarıda belirtilen risklerle karşı karşıya kalan birçok kurum "ERP Güvenlik Yönetimi" konusunu gündemlerine alıyor. Kullanıcı erişim yönetimini iyi uygulamalar çerçevesinde yeniden yapılandırarak merkezi ve standart bir kontrol platformuna taşımayı hedefliyorlar.

“ERP Güvenlik Yönetimi” çalışmalarının hemen takibinde; risklerini sistematik ve kapsamlı bir yaklaşımla yönetme ihtiyacı duyan birçok şirketin, gerçek zamanlı ve doğru bilgilerle beslenen "Yönetişim Risk ve Uyum (GRC) - Erişim Yönetimi" teknolojik çözümünün kurulumu ve kullanımına ciddi yatırımlar yaptığını gözlemliyoruz. Böylece, iyi uygulamalar çerçevesinde yapılandırılan kullanıcı erişim yönetiminin takibi için etkin bir altyapı hayata geçiriliyor, görevlerin ayrılığı prensibini ihlal eden Kurum’a özel olarak tasarlanmış yetki kombinasyonlarının ayrılamayacağı durumlar tespit edici kontrollerle destekleniyor ve acil durumlarda yetki gereksinimlerini hızlı bir şekilde ele almak için kullanıcılara ayrıcalıklı ancak kontrollü erişimler sağlanıyor.

 “ERP Güvenlik Yönetimi” ile:

  • Şirketlerin iş akışları, bu akışları destekleyen yetki mekanizmaları ve yarattığı risk durumu farklı uzmanlık ve bilgi birimine sahip birimler tarafından şirket genelinde ve birim özelinde tartışılabiliyor.

  • Görev-Temelli Erişim Yöntemi ile kişilere doğrudan yetki verme anlayışının ötesine geçilerek, iş gören yetkiler görevlerle ilişkilendiriliyor ve kişilere görevleri içeren roller atanıyor.

  • Yetki mekanizmalarında standardizasyon sağlanarak şirketin hedefleri ile uyumlu, risklerden arındırılmış, standart ve yönetilebilir bir yetki yapısı kurgulanıyor.


 

 
ETİKETLER : 1005