Professional Documents
Culture Documents
ERP Projelerinde Denetim Fazının Önemi - Kagan Dincsoy PDF
ERP Projelerinde Denetim Fazının Önemi - Kagan Dincsoy PDF
Trkiyede 2006 yl rakamlarna gre ERP pazarnn bykl yllk 30 milyon dolar
civarndadr. Bu seviyenin 2006 ylnda dnyada 15 milyar dolar oldu u d nlrse, pazarn
byme potansiyeli ak bir ekilde grlmektedir. Ayrca dnyada 2011 ylna kadar her yl
%10 bymesi beklenen pazarn 2011 yl sonunda toplam 25 milyar dolar seviyesine gelmesi
beklenmektedir. Dnya apnda 500n zerinde ERP yazlm reten firma birbiriyle rekabet
etmektedir. Bir Alman irketi olan SAP, ERP sistemlerinin nde gelen tedarikisidir ve
dnyada pazar paynn yakla k te birinden fazlasn elinde tutmaktadr. Bu rakamlar
de i ik ara trma irketlerine gre farkllk gsterse de genelde birbirine yakndr ve SAP
firmas pazarda tart masz lider konumundadr. SAP, R/3 ile pazara koydu u a rl n web
tabanl yeni rn olan MySAP ile devam ettirmektedir. Trkiyeye bakt mzda da SAPnin
lider durumda oldu u grlmektedir. Kendi iddiasna gre SAP, Trkiyedeki 500 byk
firmadan 200ne hizmet sa lamaktadr. Bu rakamlarn sadece satn alnan ERP paketlerini
yanstt unutulmamaldr. Bu rakamlara dan manlk, lisanslama ve bakm hizmetleri de
eklendi inde, zm ortaklar sayesinde pazarn bykl , yukarda bahsedilen rakamlarn
yakla k iki katna ula maktadr.
ERP mplementasyonu Projesi Sreleri
"
"
"
&&
#'
'
)"
)"
)
!+
Yukardaki tabloda bir ERP mplementasyonu projesinin sreleri belirtilmi tir. Denetimin ise bu
srelerin tmne katma de er sa layabilecek bir faz olarak, implementasyon projesinde
bulunmas nerilmektedir. Makalenin bu a amadan sonraki blmlerinde denetim faznn
getirileri aklanmaya al lacak, denetim fazn projelendirmeyen ve gz ard eden irketlerde
olu abilecek riskler hakknda bilgi verilecektir. Ayrca ERP sistemleri denetimleri sonucunda
kar la lan riskler detaylandrlacaktr.
Bir ERP Projesi Faz Olarak Denetim Sreci, Denetim Srecinin Getirileri ve Proje
mplementasyonu Srasnda Olu an Riskler
ERP mplementasyonu projelerinde en nemli sre, kurumun ihtiyalarnn tanmlanmas olup,
bu ihtiyalara ynelik ERP paketinin modifiye edilmesi projelerin en uzun zaman alan ksmn
olu turmaktadr. Uygulamada genellikle bu admlar zerinde yo un al malar yaplmakta,
dan manlar, firma proje ekibi ve son kullanclar tm glerini bu admlar tamamlamaya
harcamaktadrlar.
Tm konsantrasyonun implementasyonun ba arl bir ekilde yaplmasna ve tm gereksinimlerin
olu turulmasna ynelik oldu u bir anda, denetimin gz ard edildi i irketlerde, proje
ba langcnda belirlenen daha gvenli ve sistemli bir yapya ula ma hedefinden saplmakta,
projeyi tamamlama igdsnn baz gvenlik standartlarnn i nenmesine neden oldu u
grlmektedir.
ncelemeler ve gzlemler esnasnda kar la lan ERP sistemleri ve altyaps konularndaki genel
bulgular ve riskler a a da listelenmi tir:
1) Genel Gvenlik Parametrelerinin Uygulanmamas
ncelemelerimizde ERP mplementasyonu projesini yeni in a etmi veya halen projenin devam
etti i irketlerde gvenlik parametrelerinin standartlardan uzak ekillerde uyguland veya hi
uygulanmad grlm tr. rne in, sistemlerde ifre parametrelerinin standartlara uygun
olmad , ifrelerin komplex ve yeterli uzunlukta olmad gzlemlenmi tir. Kullanclar, belirli
bir zaman aral nda de i tirilmesi zorunlu olmayan ifreler ile sisteme girebilmektedir. Bunlarn
yan sra sistem zerinde ayn kullanc ad ile birden fazla terminal zerinden sisteme ba lanma
parametrelerinin ak brakld grlmektedir. Bu parametrenin ak kalma nedeni ise projenin
ve testlerin devam, lisans kayglar sonucu ortak kullanclarn bulunmasdr. Ayrca sistem
zerinde time-out parametresi uygulanmamakta, sistem belirli bir sre i lem yapmayan kullancy
sistem d na atmamaktadr. zellikle SAP ve Oracleda snrsz yetkilendirmelere sahip
kullanclar dzenleyen ve sistem tarafndan gereksinim duyulan bu kullanclar inaktif yapp
canl ortamda kullanlmamasn sa layan parametrelerin de do ru ekilde uygulanmad , bu
kullanclarn sistem zerinde kullanlabilir olduklar tespit edilen bir d er gvenlik a dr.
Sistem zerinde ifrelerin kriptolanarak saklanmas, sistem tarafndan belirlenmi zel tablolarn
yanl lkla silinmekten korunmas, belirlenmi canl sistem irket kodlarna ait datalarn
korunmas ve canl ortam al rken d ardan sisteme eri im gibi konular dzenleyen, gvenlik
asndan ok nemli parametrelerin de tanmlanmad ve sistemle beraber gelen (default)
de erlerinde kullanld saptanm tr. ERP sistemlerinin gvenlik de erlerinin standartlardan
d k olmas, yetkisiz kullanclarn sistemde daha yksek yetkiler ile i lem yapmasna, yaplan
i lemlerde sorumluluklarn belirlenememesine sebep olabilmektedir.
Member of
Deloitte Touche Tohmatsu
letim Sistemi,
Sa lanamamas
Veritaban
Sistemi
ve
ERP
Sistemi
Entegrasyonunun
ncelemelerimiz srasnda ERP sistemlerinin daha verimli al abilmesi iin veritaban ve i letim
sistemi altyapsnda de i ikli e gitmi firmalarda, yeni veritaban ve i letim sistemi ortamlarnda
da yeterli gvenlik seviyesine ula amam olduklar grlm tr. Yeni veritaban ve i letim
sistemine geen firmalarda ERP sisteminin verimli al t ancak di er ortamlarn gvenlik
aklar bulundu u ve bu aklarn ERPnin zerinde yrd veritabanna eri im, i letim sistemi
zerinde HTTP, FTP, NTS gibi servislerin ak olmas gibi tm sistemi etkileyecek aklar oldu u
grlm tr.
irketler ERP sistemlerini uygulamaya alnmas kararnn sadece ilgili i srelerini etkileyece ini
d nmekte, bu de i imin tm sistemleri ve kullanlan tm ortamlar etkileyecek bir bilgi
sistemleri altyaps de i imi oldu u boyutunu grememektedirler. Bu a amada gvenlik
uzmanlarnn sistemin btnn daha sa lam bir yapya ula tracak testleri yapmas
gerekmektedir. Ayrca sisteme getirdi i yk nedeniyle (fiyat/performans analizi yaplmadan
.
Member of
Deloitte Touche Tohmatsu
alnan kararlar nedeni ile) ERP sistemlerinin uyar ve iz kaytlar fonksiyonlarnn kullanlmamas
da olu abilecek gvenlik ihlallerine kar irketleri zor durumda brakmaktadr.
5) nceden Tanml ifrelerin Kullanlmas
ERP sistemleri ve bunu besleyen i letim sistemleri ve veritaban ynetim sistemlerinde sistemin
do as olarak kullanlmas gereken, nceden tanml yksek haklara sahip olan ifrelerin canl
kullanma geildi inde modifiye edilmedi i, hatta ERP d ndaki sistemlerde bu tarz gvenlik
aklar bulundu u hakknda bilgi eksikli i dahi bulundu u gzlenen bir noktadr. Bu aklar
sisteme d ardan yetkisiz ki ilerin ba lanmas ve sistemlere zarar vermesi gibi gvenlik riskleri
yaratabilmektedir.
6) Politika ve Prosedr Eksikli i
ERP sistemlerini kullanan irketlerde, sistem de i imleri, canl sisteme eri im, gvenlik
parametreleri, operasyonel i ler, sisteme yeni kullanc ekleme ve karma gibi konularda
prosedrler ve i ak lar belirlenmemi olup bu aktiviteleri ynetmekle grevli ki ilerin tanml
olmad saptanm tr.
Canl ortama geildikten sonra sistemi ynetecek ki ilerin belirlenmesi, ynetilecek faaliyetleri
belirleyen ve ynetim kademelerini aklayan onayl prosedrlerin yaynlanmas, firma ierisinde
gvenlik konusunda farkndal arttracak ve kullanclarn ERP sistemine adapte olmasn
sa layacak bir admdr. Bu a amada da ba msz bir kurulu un ERP sistemi gereklilikleri ve
firma ihtiyalarna ynelik al malar yaparak kullanclar yeni sisteme ve gvenli yapya
hazrlamas gerekmektedir. Politika ve prosedr eksiklikleri; yaplan i lerin standartla mamasna
neden olmakta, sre sahiplerinin insiyatifi do rultusunda yaplan i lerde, srein sahibinin
de i mesi ile, eski verimlili in yitirilmesine sebep olabilmektedir.
Sonu
Gnmz rekabet ko ullarnda otomasyon ve sistem entegrasyonu, maliyet ve karllk iin ok
nemli noktalar haline gelmi tir. ERP sisteminin bu iki konuda da irketlere katma de er
sa lamas sebebiyle, ERP sistemlerini ynetmek birok irketin varolan bir hedefi iken, di er
irketler iin de bu sistemi uygulamaya almak, ksa ve orta vadeli hedefleri haline gelmektedir.
Hem bu sisteme gei i projelendiren, hem de ERP sistemine entegre olmu irketlerin ERP
denetimini bir sre olarak grmesi ve planlarnda bu olguya da yer vermesi gerekmektedir. ERP
sistemleri karma k ve ok kullancl yaplara sahip oldu u iin do ru parametreler ve kullanc
tanmlamalar yaplmad nda sistemler ve mali tablolarda geri dnlemez hatalarn olu masna,
sistemlerde suistimale ynelik (fraud) i lemlerin yaplabilmesine olanak sa lamaktadr.
Sistemler zerinde denetim faaliyetlerinin etkin bir ekilde i letilmesi, ERP uygulamasnn
tmnn a a daki rnek yakla m kapsamnda incelenmesi, sreler ierisinde bulunmas
gereken kontrollerin belirlenmesi ve nerilerle birlikte raporlanmas tm projenin ba arsn
etkileyecek bir faktrdr.
rnek yakla m admlar:
Yukardaki admlar ERP sistemlerini kullanmay d nen, halen bu sistemi kullanan ancak
gvenlik ve risk analizi yaptrmay d nen, en iyi durumla kendi durumu arasndaki fark
grmek isteyen tm firmalarn gemesi gereken denetim sreci admlardr. Unutulmamaldr ki
ERP projesi ve sonrasnda sisteme dahil olan ba msz bir denetim kurulu unun nc gz
olarak sistemi d ardan incelemesi, koordinasyonu sa lamas, riskleri bertaraf edecek veya
azaltacak nerilerde bulunmas; gvenli ve sistemli bir yap, zaman ve maliyet hedeflerine ula ma
konularnda hem firma hem de ERP sa laycsna ok de erli katklarda bulunabilecektir.
0
Member of
Deloitte Touche Tohmatsu
Kaynaklar:
AMR ERP Market Sizing Report 2006-2011, www.amrresearch.com
Air Force Mentor Frotage Program, ERP Life Cycle
Demir V., ERP Sistemlerinin Maliyetlere ve letme Performansna Etkileri, 2006, stanbul
http://www.oracle.com (10.07.2008)
http://www.sap.com.tr (10.07.2008)
slamo lu S., Denetim Olgusunun ERP Sistemleriyle Btnle tirilmesi, Eyll 2006, stanbul
Karadede A., ERP Uygulamas Sonras letmelerin Ya ad Sorunlar, Ocak 2006, stanbul
Pa ao lu, D. (2004). Kurumsal Kaynak Planlamas Kararlarnda Hatalarn Azaltlmas ve Bir
Kar la trma, Anadolu niversitesi Baslmam Yksek Lisans Tezi, Eski ehir
Pnar, . Ve Erdem, K.S.( 2001), Kurumsal Kaynak Planlamas(ERP) Kullancs letmelerin
Memnuniyetlerini lmeye Ynelik Bir Ara trma, http:// www. sletme.istanbul.edu.tr/ dergi
Srinivas S, ERP Uygulamalarnn Ba arl Olmas in Gereken Ortam Hazrlamak, 2007, New
York
Vasharhelyi,M., Kogan A., Alles M. ( July 2002) Would continuous auditing have prevented the
Enron mess? , Tha CPA Journal, v.72,i.7
U ur Ka an Dinsoy
Deloitte Kurumsal Risk Hizmetleri
1
Member of
Deloitte Touche Tohmatsu