PwC Türkiye ERP Hizmetleri Lideri Başak Hekimoğlu
Şirketlerin sistem güvenliğinin yanı sıra bilgi güvenliğini de sağlayabiliyor olması, gerçek zamanlı ve doğru bilgilerle beslenen, etkin ve güvenilir süreçlerin işletilmesini sağlar. Kurumsal Kaynak Planlaması (ERP) sistemlerinde bilgi güvenliği, ancak sağlıklı bir altyapının kurulması ile mümkündür. Bir başka deyişle sistemsel yetkilerin görev ve sorumluluklara uygun olarak verilmesi, stratejik bilgilere erişimlerin uygun şekilde düzenlenmesi ve kullanıcı rol ve yetkilendirmelerinin sağlıklı işletilmesi; görevler arasındaki ayrımların korunarak sağlıklı bir altyapının hayata geçirilmesini sağlar.
İşletmelerin işgücü, makine ve malzeme gibi tüm kaynaklarını verimli bir şekilde kullanabilmesini sağlayan ve bu anlamda şirket verimliliği için çok önemli olan ERP sistemleri, maalesef Türkiye’deki büyük ya da orta ölçekli birçok şirkette geri plana atılıyor. Türkiye’de işletmelerin ERP sistemine bağlı yetki mekanizmalarında önemli zayıflıklar bulunduğunu ve yöneticilerin, bu durumun yarattığı risk ve kontrol noktalarından pek haberdar olmadığını gözlemliyoruz. Özellikle kullanıcıların sorumlu oldukları modül bazında değil de, tüm sisteme yetkilisi olabilen roller ile donatıldıklarına sıklıkla şahit oluyoruz.
Son derece karmaşık ve çok kullanıcılı yapılara sahip ERP sistemlerinde, güvenlik değerlerinin düşük olması, yetkisiz kullanıcıların sistemde yüksek yetkiler ile işlem yapmasına ve yapılan işlemlerde sorumlulukların belirlenememesine sebep olabiliyor. Ayrıca görevlerin ayrılığı ilkesi ile ters düşen yetki tasarımları mali tablolarda geri dönülemez hataların oluşmasına; suistimale yönelik işlemlerin gerçekleştirilmesine ve fark edilememesine fırsat tanıyor.
Artan rekabet ortamı ile birlikte kurumsal yönetim ilkelerinin önem kazandığı ve şirket ortakları ve yöneticilerinin şirketin iç kontrol ortamının sağlanması konusunda devredilemez yükümlülüklere sahip oldukları günümüzde, etkin bir ERP altyapısı işletemediği için yukarıda belirtilen risklerle karşı karşıya kalan birçok kurum “ERP Güvenlik Yönetimi” konusunu gündemlerine alıyor. Kullanıcı erişim yönetimini iyi uygulamalar çerçevesinde yeniden yapılandırarak merkezi ve standart bir kontrol platformuna taşımayı hedefliyorlar.
“ERP Güvenlik Yönetimi” çalışmalarının hemen takibinde; risklerini sistematik ve kapsamlı bir yaklaşımla yönetme ihtiyacı duyan birçok şirketin, gerçek zamanlı ve doğru bilgilerle beslenen “Yönetişim Risk ve Uyum (GRC) – Erişim Yönetimi” teknolojik çözümünün kurulumu ve kullanımına ciddi yatırımlar yaptığını gözlemliyoruz. Böylece, iyi uygulamalar çerçevesinde yapılandırılan kullanıcı erişim yönetiminin takibi için etkin bir altyapı hayata geçiriliyor, görevlerin ayrılığı prensibini ihlal eden Kurum’a özel olarak tasarlanmış yetki kombinasyonlarının ayrılamayacağı durumlar tespit edici kontrollerle destekleniyor ve acil durumlarda yetki gereksinimlerini hızlı bir şekilde ele almak için kullanıcılara ayrıcalıklı ancak kontrollü erişimler sağlanıyor.
Son Yorumlar