SAP denetim zorlukları

Birçok şirket, kaynaklarını ve faaliyetlerini planlamalarına yardımcı olmak için SAP uygulamasını kullanır. Esnekliği ve aralığı denetimi zorlaştırır.

SAP son derece özelleştirilebilir ve uygulamalar, bir şirketin hem finansal hem de finansal olmayan farklı iş birimleri arasında bile sıklıkla farklılık gösterir. Aynı zamanda, sistem ortamındaki kontrollerin etkin işleyişi, güvenilir bir finansal ve operasyonel kontrol ortamı için kritik öneme sahiptir. Bu nedenle, denetim kapsamını ve yaklaşımını planlarken SAP’nin iş dünyasında nasıl kullanıldığını iyi anlamak önemlidir. SAP ortamını denetlemek, denetim kapsamını ve yaklaşımını etkileyebilecek birkaç benzersiz zorluğu beraberinde getirir.

İş süreçleri

SAP, iş süreçlerinin çoğunu kapsar ve iş sürecindeki küçük değişiklikler, sistemin karmaşıklığı nedeniyle denetim prosedürleri üzerinde doğrudan bir etkiye sahip olabilir. Sistem kurulumunda ve konfigürasyonunda, sürüm stratejisinde veya yeni süreçlerin oluşturulmasında yapılan değişiklikler, SAP’de yeni modüllere ve/veya işlevlere yol açabilir ve bu nedenle ek risklerin dikkate alınması gerekir.

Örneğin, bir müşteri eski satın alma sistemlerinden birini devre dışı bırakmayı ve bu işlevselliği SAP’ye geçirmeyi düşünebilir. Geçmişte, satınalma siparişi onayı için temel kontroller manuel olarak yapılabiliyordu. Ancak SAP’nin uygulanmasıyla müşteri, SAP’deki onay sürecini otomatikleştirmeye karar verdi. Bu nedenle, riskleri azaltmak için uygun kontrolleri sağlamak için otomatik bir iş akışı kurmak ve kullanıcı erişimini güvence altına almak önemlidir. Bu, satınalma siparişini manuel olarak kontrol etmek yerine otomatik kontrollerin test edilmesini gerektirir.

Ayrışma ve duyarlılık

Etkili bir denetim için denetçinin SAP yetkilendirme kavramının (güvenlik tasarımı) yapısını iyi bilmesi gerekir. Bazı durumlarda, zayıf güvenlik tasarımı, kullanıcılara yanlışlıkla gereksiz veya yetkisiz işlemlere erişim izni verilmesine neden olur. Bu nedenle, görevlerin uygun şekilde ayrılmasını ve hassas işlemlere erişim üzerinde iyi bir kontrol sağlamak için SAP güvenlik ve erişim kontrollerinin tasarımını ve uygulamasını gözden geçirmek çok önemlidir.

Görev ayrımı çakışmaları, bir kullanıcıya iki veya daha fazla çakışan işleme erişim izni verildiğinde ortaya çıkabilir – örneğin, bir satınalma siparişi oluşturma ve satıcı ana verilerini değiştirme. Etkin güvenlik denetimi için erişim kontrolleri tasarlanırken iş süreçlerinin açık bir şekilde haritalandırılması ve süreçlere dahil olan rol ve sorumlulukların tanımlanması kritik önem taşır.

Ayrıca, genel muhasebe kodlarını ve yapılarını değiştirmek, mükerrer girişleri düzeltmek veya denetim izlerini değiştirmek ve silmek gibi iş için önemli kabul edilen işlemler veya erişim seviyeleri olabilir. Bir SAP denetiminde, bu tür hassas işlemlerin planlama aşamasında dikkate alınması gerekir.

Kontrol seçimi

Kuruluşlar, bir dizi özelleştirilebilir ve yerleşik yönetim aracı da dahil olmak üzere SAP sistemini iş ihtiyaçlarına göre uyarlayabilir. Bu kontrolleri seçme sürecini anlamak, denetim yaklaşımı için kritik öneme sahiptir. Örneğin, sistem üzerinden satınalma siparişlerinin otomatik olarak onaylanmasına izin verilmesi, özel bir otomatik kontrol olarak kabul edilir.

Ancak müşteri ayrıca bu özelliği devre dışı bırakabilir ve manuel kontrol ile bu riski ortadan kaldırabilir. Denetçilerin, müşterinin uygulamayı seçtiği kontrolleri ve bir veya daha fazla riski azaltmak için güvendikleri kontrol matrisini anlamaları gerekir.

Kontrol türleri

SAP’de bir denetim müşterisinin güvenli bir ortam oluşturmak için kullanabileceği dört tür kontrol vardır: dahili kontroller, özel kontroller, uygulama güvenliği ve SAP raporlarının manuel olarak doğrulanması.

Tipik olarak, erişim veya özel kontroller SAP sistemi tarafından gerçekleştirilir ve proaktif niteliktedir. Öte yandan, raporların manuel olarak kontrol edilmesi de dahil olmak üzere manuel kontrol, bir çalışan tarafından gerçekleştirilir ve çoğunlukla dedektif niteliktedir. Örneğin SAP, Satın Almadan Ödemeye (P2P) sürecinde üç yönlü eşleştirme (satın alma siparişlerini, mal girişlerini ve faturaları eşleştirme) gibi standart otomatik kontrollere sahiptir. Müşteri, kendi süreçlerine göre özelleştirme gerektiren dört yönlü veya iki yönlü fatura eşleştirmeyi seçebilir.

Her müşteri, belirli kontrol hedeflerine ulaşmak için farklı bir kontrol seti kullanacaktır ve SAP uygulamasının karmaşıklığı nedeniyle, kontrol güvencesi elde etmek için tüm sistemi denetlemek bir seçenek değildir. Bu nedenle, denetim yaklaşımı her duruma uygun şekilde uyarlanmalıdır. SAP’nin SAP ortamında bulunan çeşitli kontroller sağladığını vurgulamak da önemlidir. Doğal kontrole bir örnek, yevmiye kayıtlarının SAP’ye nakledilmeden önce dengelenmesi gerektiğidir.

Özelleştirilebilir kontroller

SAP’de özel kontroller ve erişim kontrolleri arasındaki ilişkiyi anlamak önemlidir. Bir kontrol hedefine ulaşmak için, bir kontrol çözümü oluşturmak için özel kontroller ve erişim kontrollerinin bir kombinasyonu kullanılabilir. Örneğin, “1 milyon sterlin üzerindeki satın alma siparişleri otomatik olarak bloke edilir ve işlenemez.” Bu kulağa özel bir kontrol gibi geliyor, ancak SAP’deki tedarik yayın stratejisinin konfigürasyonu ile ilgilendiğinden ve bir satınalma siparişi oluşturma ve onaylama erişiminin kimlerin olduğunu belirlediğinden, aslında bu hem özel bir kontrol hem de bir erişim kontrolüdür.

Başka bir örnek: “1 milyon doların üzerindeki satın alma siparişleri bir yönetici tarafından onaylanmalıdır.” Bu kulağa erişim kontrolü gibi geliyor, ancak aynı zamanda sürüm stratejisi için gereken yapılandırma nedeniyle özel bir kontrol. Aslında bunlar birbirini tamamlayan kontrollerdir, aynı riski birlikte kapsayan iki kontroldür. Bir kontrol olmadan diğeri riski aynı hassasiyetle karşılayamaz. Denetçi, bu kontrollere erişimin hem yapılandırmasını hem de özelliklerini test etmelidir, bu nedenle bunların denetçi tarafından tanımlanması ve uygun şekilde sınıflandırılması önemlidir.

Süreç riskleri

SAP, süreç tabanlı bir ERP sistemidir ve her SAP örneğinin kendisiyle ilişkili farklı riskleri olabilir. Sistemin özelleştirilmesi ve uyarlanabilirliği ve doğal karmaşıklığı, güvenlik yapılandırmalarının genel karmaşıklığını büyük ölçüde artırır ve potansiyel güvenlik açıklarına yol açar. Böylece görevler ayrılığında çatışmalar, hatalar ve kusurlar daha olası hale gelir.

Her müşterinin kendi ortamına uygun farklı iş süreçleri, ürünleri ve hizmetleri ve sistemleri vardır. SAP’de etkin süreç tasarımı, yetersiz veya başarısız iş süreçleriyle ilişkili riskleri azaltmak için çok önemlidir. Bu nedenle, etkili bir denetim yaklaşımı, her SAP örneği için bir risk değerlendirmesi ve iş süreci akışının anlaşılmasını içermelidir.

Rotasyon planı

Sistemin son derece özelleştirilebilir, süreç odaklı olduğu ve farklı kontroller arasından seçim yapmanıza izin verdiği göz önüne alındığında, her SAP örneğinin potansiyel olarak farklı bir risk profili olabilir. Ayrıca SAP’de Finans (FI), Malzeme Yönetimi (MM), Satış ve Dağıtım (SD), Bordro, İnsan Sermayesi (HC), Business Information Warehouse (BW), müşteri gibi çeşitli modül ve alt modüllerin risk profili ilişki yönetimi (CRM) vb. farklı olacaktır.

Bir SAP uygulamasının kapsadığı geniş iş alanları, hepsini tek bir denetimde ele almayı pratik hale getirecektir. Kapsamlı bir SAP denetimi için bir rotasyon planının dikkate alınması uygundur. Bu, her bir SAP iş süreci, modülü, alt modülüne ilişkin planlama genel bakışlarını içerebilir; sistem konfigürasyonu ve değişiklik yönetimi; ve görevlerin ayrılması ve erişim seviyelerinin tasarımı dahil sistem güvenliği. Bu, denetimlerin uygun niteliklere sahip kaynaklar kullanılarak yapılmasını ve iş süreçleri, güvenlik ve ilgili kontroller dahil olmak üzere her risk alanını kapsamasını sağlar. Böylece, bu alanlar, kontrol boşluklarındaki boşlukları belirlemek ve sorunları ele almak için uygun adımları önermek için etkin bir şekilde değerlendirilebilir.

Riske dayalı yaklaşım

Yukarıdaki konulara ek olarak, SAP sistemleri de sürekli değişen iş gereksinimlerini karşılamak için periyodik olarak güncellenmekte ve geliştirilmektedir. Mevcut ekonomik ortamda şirketler, iş süreçlerini etkileyen değişen çevresel risklerle karşı karşıyadır.

Riske dayalı bir yaklaşımın amacı, denetçilerin denetimi iş riski alanlarına göre uyarlamalarına izin vererek, yüksek risk potansiyeli olan daha odaklı denetim alanlarına yol açmaktır. Yukarıda belirtildiği gibi SAP sisteminin ve ilgili iş süreçlerinin karmaşıklığı, bir denetim planlanırken göz önünde bulundurulması gereken daha yüksek dahili ve kontrol riskine yol açabilir.

Riske dayalı bir yaklaşım, genel risk analizini, analitik denetim prosedürlerini, sistem ve sürece dayalı saha çalışmasını ve maddi doğrulama testlerini içermelidir. Bu şekilde denetçi, denetimi belirli bir güvenilirlik derecesi ile verimli bir şekilde yürütebilir ve bunun yanı sıra gereken zaman ve çabayı optimize edebilir. Bu nedenle, etkin bir SAP analizi için yukarıdan aşağıya risk temelli bir denetim yaklaşımının benimsenmesi zorunludur.

Paylaş:

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: