SAP sistemlerinin her geçen gün karmaşıklaşan dünyasında kullanıcıları yetkilerinin uçtan uca yönetilmesi ve hassas işlemlerin izlenmesi için merkezi bir uygulama zorunlu hale gelmeye başladı. SAP GRC Access Control ürünü ile kurumsal yetki denetim ve yönetimi metodolojimize göz atın.
3. SAP GRC ÜRÜN AİLESİ
YETKİ, RİSK, SÜREÇ VE KAYIP-KAÇAK YÖNETİMİ
4. SAP GRC ÜRÜN AİLESİ
Uluslar arası ticaret süreçlerinin
koruma altına alınması
Yetki risklerinin yönetilmesi
ve dolandırıcılığın
önlenmesi
SAPAccess
Control
SAP Process
Control
SAP Risk
Management
SAP Global
Trade Services
Riski yönetmek
ve riskten değer
yaratmak
Şirket operasyonlarının etkinliğini
ve güvenilirliğini korunması
SAP Nota
Fiscal
Eletrónica
Brezilya için elektronik
faturalama hizmetleri
Audit
Management
Denetim etkinliğinin
arttırılması ve proaktif
denetim yönetimi
SAP Fraud
Management
Fraud risklerinin
yönetilmesi ve
engellenmesi
SAP GRC Access Approver
(mobile)
SAP GRC Policy Survey (mobile)
SAP Sanctioned-Party List
(mobile)
5. SAP GRC ACCESS CONTROL
Uluslar arası ticaret süreçlerinin
koruma altına alınması
Yetki risklerinin yönetilmesi
ve dolandırıcılığın
önlenmesi
SAPAccess
Control
SAP Process
Control
SAP Risk
Management
SAP Global
Trade Services
Riski yönetmek
ve riskten değer
yaratmak
Şirket operasyonlarının etkinliğini
ve güvenilirliğini korunması
SAP Nota
Fiscal
Eletrónica
Brezilya için elektronik
faturalama hizmetleri
Audit
Management
Denetim etkinliğinin
arttırılması ve proaktif
denetim yönetimi
SAP Fraud
Management
Fraud risklerinin
yönetilmesi ve
engellenmesi
SAP GRC Access Approver
(mobile)
SAP GRC Policy Survey (mobile)
SAP Sanctioned-Party List
(mobile)
6. SAP GRC ACCESS CONTROL
İŞLETMENİZDE TÜM SİSTEMSEL YETKİLERİNİZİ TEK BİR MERKEZDEN
YÖNETEBİLİRSİNİZ
7. YETKİLERDEKİ RİSKLERİNİZİN YÖNETİMİ NEDEN
ÖNEMLİ ?
Veriaktarımı
Şirketiçi politikalar
süreç etkinliği
izinler
uygulamalar arası erişim
SRM
acil durum yetkileri regülasyonlar
manüel süreçler
SOX
görevler ayrılığı (SoD)
big-data izlenebilirlikdenetim workflow
kullanıcı yetki değerlendirmeleri
transactionkullanımı
compliance
maliyet
işgücü değişimi
yetkiihlalleri
güvenlik
marketing
güvenlik
strateji
rol yönetimi
ERP
komplekssistemler
kontroller
risk
embedded-UI
ihlaller HCM
8. Acil durum yetkilendirmelerive transaction
kullanımlarının analizi
Yetkitayinlerininriskve süreç
sahipleritarafındanonaylanması
Rolve yetkilerintanımlanması,bakımınınyapılması
SAP ve SAP dışı sistemlerde yetkive rol
yönetimi
Görevler ayrılığıve kritikyetkiihlallerinin
izlenmesi &iyileştirilmesi
SAP ACCESS CONTROL GÜVENLİ BİR SİSTEM YARATIN,
GÜVENLİ BİR SİSTEMDE YAŞAYIN
SAP_ALL
X
Legacy
9. SAP ACCESS CONTROL - FAYDALAR (ÖNCESİ
/ SONRASI)
Ÿ Yetki ihlallerinin denetimi için manüel efora ya da üçüncü parti denetim şirketleri ile işbirliği
Ÿ Periyodik olarak IT personeli tarafından Görevler Ayrılığı (SoD) ihlalleri raporlanarak düzenlemeler yapılır.
Ÿ IT ve süreç sahipleri arasında, imzalı dokümantasyon ve e-mail aracılığı ile yetki talepleri manüel efor ile
yönetilir.
Ÿ Rol ve yetkilerde yapılan değişikliklerde, değişiklik aktifleşmeden önce görevler ayrılığı ilkesine göre rapor
almak mümkün olmamaktadır.
Ÿ Görevler ayrılığı (SoD) ilkesi çerçevesinde yetki ihlallerinin %99.4’e varan oranlarda iyileştirilmesi ve SoD
kontrollerinde gerçek zamanlı kontroller
Ÿ Şirkete alınan yeni kullanıcılar ya da unvan değişikliklerinde rol ve yetki tayini için %92 oranında
otomasyon ve kullanıcı aktifleştirmelerinde 14 günden, 1,42 güne varan iyileştirmeler
Ÿ Rol yönetimi ve yetki değişikliklerinde Workflow üzerinden işletilen süreçler sayesinde yetki takip
edilebilirliği ve yetki verilmesi esnasında proaktif risk analizi
Ÿ İç denetimde %90, dış denetimde %50’ye varan revizyon eforu iyileştirmesi
Önce
Sonra
12. YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN
DİZAYN EDİLMESİ
SAP GRC Access Control, rol bazlı yetkilendirme metodolojisine göre implemente edilmektedir. Rollerin oluşturulması, değiştirilmesi,
kullanıcılara tayini gibi işlemler rol bazlı yapılmakta ve analiz edilmektedir. GRC sisteminde kullanılacak olan rol tiplerinin belirlenmesi ve roller
ile işletme niteliklerinin eşleştirilmesi önem arz etmektedir. SAP GRC Access Control için yetki konseptinin belirlenmesi çalışmalarında, işletme
yapısının analiz edilmesi ve sistem kabiliyetlerinin buna göre konfigüre edilmesi gerekmektedir.
- Münferit roller
- Toplu Roller
- İşletme Rolleri
- Türetilmiş Roller
Rol tiplerinin
belirlenmesi
- Süreç bazlı yetkilendirme
- Fonksiyonel bazda
yetkilendirme
- Organizasyonel Yapı bazında
yetkilendirme
Rol yapısının işletme
yapısı ile
ilişkilendirilmesi
Sistemsel Yetki
Konseptinin
Belirlenmesi
13. YETKİ KONSEPTİNİN BELİRLENMESİ
Münferit Roller
Toplu Roller
İşletme Rolleri
Türetilmiş Roller
Yetki konseptinin belirlenmesi çalışmaları kapsamında SAP GRC Access Control ürünü içerisinde bulunan rol konseptleri ile kurumun
yetkilendirme yapısı eşleştirilerek en uygun rol dizayn metodolojisi belirlenecektir.
18. YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN
DİZAYN EDİLMESİ
SAP işlem kodlarının kullanım sistemsel olarak analiz edilmesi ve SAP kullanan tüm departmanlar ile birebir görüşmeler neticesinde elde
edilen departman süreç analizi diyagramlarının çizilmesi aşamalarını kapsamaktadır. Bu çalışma neticesinde;
o Departman bazlı SAP süreç diyagramlarınınhazırlanması
o Süreçler ve altsüreçlerinbelirlenmesi
o Mevcut rol yapısınınsonucunun paylaşılması.
o Yapılananaliz çalışması sonucunda önerilenrol yapısınınpaylaşılması
o Departman bazlı standart olarak kullanılacak rollerin&yetkilerinpaylaşılması
Süreçlerin ve alt
süreçlerin
belirlenmesi
Süreç
diyagramlarının
çizilerek
paylaşılması ve
mutabık kalınması
Sistemde
implemente edilmiş
rol yapısına ait
analiz çalışmasının
paylaşılması
Görevler ayrılığı ve
kritik işlemler
matrisinin
oluşturulması
Süreçlere uygun
yeni rol yapısının
oluşturulması &
İsimlendirme
Departman bazlı
verilecek rollerin
belirlenmesi
19. SÜREÇLERİN VE ALT SÜREÇLERİN BELİRLENMESİ
Bu aşamada her bir departmanla birebir görüşmeler yapılarak, işletme içerisindeki tüm süreçler uygulanacak rol yapısına göre listelenecektir.
Kurum içerisinde kullanılan süreçler ve alt süreçler bundan sonraki analiz çalışmalarında tüm rol yönetimi ve rol sahiplerinin belirlenmesinde,
süreç diyagramlarının çizilmesi çalışmaları kapsamında görüşülecek departmanların belirlenmesinde anahtar rol oynayacaktır. Süreç – Alt
Süreç lsiteleri oluşturulduktan sonra sizlerle mutabık kalınacak ve süreç diyagramlarının oluşturulması adımına geçilecektir.
• Satın alma
o Lojistik Faturalama Operasyonları
o Satın alma Teklif ve Sipariş Operasyonları
o Satın alma Onay Süreçleri
o Tedarikçi Ana Veri Bakımı
• Stok Yönetimi
o Stok Yönetimi
o Malzeme Ana Veri Bakımı
• Satış süreçleri
o Müşteri Bakımı
o Satış & Teslimat Operasyonları
• Müşteri Servisi
• Finansal süreçler
o Genel Muhasebe
o Finansal Raporlama
o Duran Varlıklar Muhasebesi
• İnsan Kaynakları Yönetimi, Bordro ve Seyahat Yönetimi
o Bordro
o Personel Yönetimi
o Seyahat Yönetimi
• Proje Yönetimi
• Uygulamalar arası bileşenler
• BASIS
o Database Yönetimi
o SAP Güvenlik işlemleri, denetim ve kullanıcı arayüzü
o Sistem Yönetimi
20. DEPARTMAN BAZLI SÜREÇ DİYAGRAMLARININ
HAZIRLANMASI
Bu aşamada her bir departmanla birebir görüşmeler yapılarak, süreç diyagramları oluşturulmakta, bu süreçte kullanılan SAP
fonksiyonaliteleri departman bazında listelenmekte, süreç portaline yüklenmekte ve size sunulmaktadır.
o Süreçlerin ve alt süreçlerinbelirlenmesi
o Süreç sahiplerininanaliz edilmesi
o Her bir süreçte kullanılanişlem kodlarınınbelirlenmesi
21. DEPARTMAN BAZLI SAP SORUMLULUKLARININ
BELİRLENMESİ
Süreç diyagramlarının çizilmesi ve bu süreçlerde mutabık kalınmasının ardından, kurum içerisindeki tüm operasyonlarda kullanılan SAP işlem
kodlarındaki sorumlu kullanıcılar belirlenecek ve listelenecektir.
22. GÖREVLER AYRILIĞI KURAL SETLERİNİN
OLUŞTURULMASI
Departmanlar ile yapılan analiz çalışmaları kapsamında, uluslararası en iyi uygulamalar çerçevesinde görevler ayrılığı ilkesi kuralları ile kurum
bazında risk oluşturan yetki grupları belirlenerek yeni bir matris oluşturulur.
23. GÖREVLER AYRILIĞI KURAL SETLERİNİN
OLUŞTURULMASI - DEVAMI
Oluşturulan görevler ayrılığı matrisini oluşturan tüm işlem kodları listelenerek sizlere sunulmaktadır;
24. GÖREVLER AYRILIĞI KURAL SETLERİNİN
OLUŞTURULMASI - DEVAMI
Görevler ayrılığına aykırı süreçlerin ve kritik aksiyonların sistemde oluşturduğu riskler tanımlanmaktadır;
25. YENİ OLUŞTURULACAK ROLLERİN İSİMLENDİRMESİ
Yapılan analizler neticesinde oluşturulacak yeni rol yapısı için süreç ve alt süreçler bazında isimlendirme prosedürleri belirlenecek ve rol
tasarımı bu isimlendirmeye göre revize edilecektir. Bu çalışma kapsamında;
o Süreçlerin ve alt süreçlerinbelirlenmesi
o Rol tiplerininbelirlenmesi
o Rol Metni
• Rol tanımı için
ilk karakter
Z
• Rol Tipi
(Münferit,
Toplu,
Türetilmiş vb.)
S • Önceden
belirlenmiş
metin
_
• Rolün içerdiği
süreç
MM • Önceden
belirlenmiş
metin
-
• Rolün içerdiği
alt süreç
TEKLIF • Önceden
belirlenmiş
metin
_
• Serbest Metin
DEGISTIR
26. UYGUN ROL YAPISININ SUNULMASI
Departmanlarla yapılan analizler neticesinde görevler altında kullanılması gereken roller belirlenerek detaylandırılacaktır.
27. UYGUN ROL YAPISININ SUNULMASI
Detay roller altında, standart SAP işlem kodları ve ERP implementasyonu kapsamında geliştirilen işlem kodları eklenerek granüler bazda rol
yapısı listelenecek ve paylaşılacaktır.
28. ROLLERİN KULLANICILARA TAYİNİ
Görevler ayrılığı ilkesine bağlı kalınarak hazırlanan yeni rol yapısının, SAP kullanıcılarına tayini tasarlanmakta ve bu tasarım sizler tarafından
onaylanmaktadır;
29. GRC VERİ AKTARIMI ÖNCESİ GÖREVLER AYRILIĞI
ANALİZİNİN ALINMASI
Kurum süreçlerinin dokümante edilip, rollerin ve kullanıcıların rol tayininin belirlenmesinin ardından, GRC sistemine veri transferi öncesinde
SAP sisteminde yazılan geliştirdiğimiz“Görevler Ayrılığı İhlal Raporu” ile tasarım için güvence alınmaktadır. Oluşturulan yeni rol yapısı
sizlerden onay aldıktan sonra, ERP ve GRC sistemlerine aktarılacaktır.
30. ROL TASARIMI VE İŞ AKIŞLARININ TANIMLANMASI
GRC Access Control sistemi için uygun rol yapısının ve kullanıcı rol tayininin oluşturulmasının ardından bundan sonraki süreçte yetkilerin
sağlıklı bir şekilde yönetilmesi için uygun iş akışları kurgulanacaktır. Bu kapsamda;
q Yetki Risklerinin Yönetilmesi
q Acil Durum Yönetimi
q Yetki Talebi Yönetimi
q Rol Yönetimi
Bu ürünler kapsamında aşağıdaki kullanıcı ve yetki sahiplerinin analizi yapılmaktadır;
o Rol sahibi konsepti ve rol sahiplerinin belirlenmesi
o Risk sahibi konsepti ve risk sahiplerinin belirlenmesi
o Firefighterkonsepti ve firefighterkullanıcılarının belirlenmesi
o Kontrol sahibi konsepti ve kontrol sahibi kullanıcılarının belirlenmesi
o E-mail bildirim akışları
o E-mail içerikleri
o POC konsepti ve POC sahiplerinin belirlenmesi
35. EĞİTİM VE TESTLER
Sistemde tüm konfigürasyonlar tamamlandıktan sonra önceden hazırlanmış eğitim ve test doküman yapısı ile sizlerle mutabık kalacağız.