SAP GRC Access Control (Yetki Yönetimi) KULLANICI YETKİLERİN İZİ SAP İLE OPT İMİZE ED İN

AJANDA1.SAP GRC Ürün Ailesi2.SAP GRC ACCESS CONTROL3.Proje Metodolojimiz

SAP GRC ÜRÜN AİLESİYETKİ, RİSK, SÜREÇVEKAYIP-KAÇAKYÖNETİMİ

SAP GRC ÜRÜN AİLESİ

Uluslararasıticaretsüreçlerininkorumaaltınaalınması

Yetkirisklerininyönetilmesivedolandırıcılığın

önlenmesi

SAP AccessControl

SAP ProcessControl

SAP RiskManagement

SAP Global Trade Services

Riskiyönetmekverisktendeğer

yaratmak

Şirketoperasyonlarınınetkinliğinivegüvenilirliğinikorunması

SAP Nota Fiscal

Eletrónica

Brezilya için elektronik faturalama hizmetleri

AuditManagement

Denetimetkinliğininarttırılmasıveproaktifdenetimyönetimi

SAP FraudManagement

Fraudrisklerininyönetilmesiveengellenmesi

SAPGRCAccessApprover(mobile)

SAPGRCPolicySurvey(mobile) SAPSanctioned-PartyList(mobile)

SAP GRC ACCESS CONTROL

Uluslararasıticaretsüreçlerininkorumaaltınaalınması

Yetkirisklerininyönetilmesivedolandırıcılığın

önlenmesi

SAP AccessControl

SAP ProcessControl

SAP RiskManagement

SAP Global Trade Services

Riskiyönetmekverisktendeğer

yaratmak

Şirketoperasyonlarınınetkinliğinivegüvenilirliğinikorunması

SAP Nota Fiscal

Eletrónica

Brezilya için elektronik faturalama hizmetleri

AuditManagement

Denetimetkinliğininarttırılmasıveproaktifdenetimyönetimi

SAP FraudManagement

Fraudrisklerininyönetilmesiveengellenmesi

SAPGRCAccessApprover(mobile)

SAPGRCPolicySurvey(mobile) SAPSanctioned-PartyList(mobile)

SAP GRC ACCESS CONTROLİŞLETMENİZDETÜMSİSTEMSELYETKİLERİNİZİ TEKBİRMERKEZDENYÖNETEBİLİRSİNİZ

YETKİLERDEKİ RİSKLERİNİZİN YÖNETİMİ NEDEN ÖNEMLİ ?

Veri

aktar

ımı

Şirket içi politikalarsüreç etkinliği

izinleruygulamalar arası erişim

SRM

acil durum yetkileri regülasyonlar

manüel süreçlerSOX görevler ayrılığı (SoD)

big-data izlenebilirlikdenetim workflowkullanıcı yetki değerlendirmeleri

transaction kullanımıcompliance

maliyetişgücü değişimi

yetki ihlallerigüvenlikmarketing

güvenlikstrateji

rol yönetimi

ERP

komp

leks

sistem

lerko

ntroll

er risk

embe

dded

-UI

ihlaller HCM

Acil durum yetkilendirmeleri ve transaction kullanımlarının analizi

Yetki tayinlerinin risk ve süreç sahipleri tarafından onaylanması

Rol ve yetkilerin tanımlanması, bakımının yapılması

SAP ve SAP dışı sistemlerde yetki ve rol yönetimi

Görevler ayrılığı ve kritik yetki ihlallerinin izlenmesi & iyileştirilmesi

SAP ACCESS CONTROL GÜVENLİ BİR SİSTEM YARATIN, GÜVENLİ BİR SİSTEMDE YAŞAYIN

SAP_ALL

X

Legacy

SAP ACCESS CONTROL - FAYDALAR (ÖNCESİ / SONRASI)

� Yetki ihlallerinin denetimi için manüel efora ya da üçüncü parti denetim şirketleri ile işbirliği� Periyodik olarak IT personeli tarafından Görevler Ayrılığı (SoD) ihlalleri raporlanarak düzenlemeler yapılır.� IT ve süreç sahipleri arasında, imzalı dokümantasyon ve e-mail aracılığı ile yetki talepleri manüel efor ile

yönetilir.� Rol ve yetkilerde yapılan değişikliklerde, değişiklik aktifleşmeden önce görevler ayrılığı ilkesine göre rapor

almak mümkün olmamaktadır.

� Görevler ayrılığı (SoD) ilkesi çerçevesinde yetki ihlallerinin %99.4’e varan oranlarda iyileştirilmesi ve SoD kontrollerinde gerçek zamanlı kontroller

� Şirkete alınan yeni kullanıcılar ya da unvan değişikliklerinde rol ve yetki tayini için %92 oranında otomasyon ve kullanıcı aktifleştirmelerinde 14 günden, 1,42 güne varan iyileştirmeler

� Rol yönetimi ve yetki değişikliklerinde Workflow üzerinden işletilen süreçler sayesinde yetki takip edilebilirliği ve yetki verilmesi esnasında proaktif risk analizi

� İç denetimde %90, dış denetimde %50’ye varan revizyon eforu iyileştirmesi

Önce

Sonra

PROJE METODOLOJİMİZADIMADIMSAPGRCACCESSCONTROLPROJESİ

PROJE METODOLOJİMİZ

YetkiKonseptininBelirlenmesi

GörevlerAyrılığı

KuralsetlerininOluşturulması

YetkilendirmeYapısınınAnalizi & YenidenDizayn

Edilmesi

RollerinKullanıcılara

Tayini

Rol tasarımı veİş Akışlarının

Tanımlanması

Test & Eğitim& Kabuller &

Canlı Kullanım

YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN DİZAYN EDİLMESİSAP GRC Access Control, rol bazlı yetkilendirme metodolojisine göre implemente edilmektedir. Rollerin oluşturulması, değiştirilmesi, kullanıcılara tayini gibi işlemler rol bazlı yapılmakta ve analiz edilmektedir. GRC sisteminde kullanılacak olan rol tiplerinin belirlenmesi ve roller ile işletme niteliklerinin eşleştirilmesi önem arz etmektedir. SAP GRC Access Control için yetki konseptinin belirlenmesi çalışmalarında, işletmeyapısının analiz edilmesi ve sistem kabiliyetlerinin buna göre konfigüre edilmesi gerekmektedir.

- Münferit roller- Toplu Roller- İşletme Rolleri- Türetilmiş Roller

Rol tiplerininbelirlenmesi

- Süreç bazlı yetkilendirme- Fonksiyonel bazdayetkilendirme- Organizasyonel Yapı bazındayetkilendirme

Rol yapısının işletmeyapısı ileilişkilendirilmesi

Sistemsel YetkiKonseptininBelirlenmesi

YETKİ KONSEPTİNİN BELİRLENMESİ

Münferit Roller

Toplu Roller

İşletme Rolleri

TüretilmişRoller

Yetki konseptinin belirlenmesi çalışmaları kapsamında SAP GRC Access Control ürünü içerisinde bulunan rol konseptleri ile kurumunyetkilendirme yapısı eşleştirilerek en uygun rol dizayn metodolojisi belirlenecektir.

MÜNFERİT ROLLER

Süreç•Fatura Girişi

İşlemKodları•MIRO•FB60

ZS_MM_FATURA_GIRIS

o SAP üzerinde kullanılan İşlem kodlarınınbir araya getirilerek tek seviyeli rolyapısının oluşturulması

o Granüler bazda rol tayin & değiştirmesüreçlerinde esneklik

o Konfigürasyon ve rollerin bakımındaekstra efor

Görev•MuhasebeUzmanı

Roller•Fatura Girişi•SatıcıRaporları

ZC_MM_MUH_UZMAN

TOPLU ROLLER

o Münferit rollerin bir araya getirilerekfonksiyonel bazda rol yapısınınoluşturulması

o Rollerin görev bazlı ya da fonksiyonelbazda az eforla konfigüre edilebilmesi

o Granüler bazda rol tayin & değiştirmesüreçlerinde ekstra efor gerekmektedir.

Görev•MuhasebeUzmanı

Roller•ZC_FI_MUH_UZM

AN•ZC_BW_LIKIDITE

ZB_FI_MUH_KULL

İŞLETME ROLLERİ

o Birden çok sistemden münferit ve toplurollerin bir araya getirilmesi ile rolyapısının oluşturulması

o Çoklu sistemler (SAP, CRM, BW, Oracle vb.) ile çalışan işletmelerde rol yapısınıntek bir veri kaynağı üzerindenyönetilmesi

o Sistemlere ait tüm yetki işlemlerinin GRC üzerinden yapılmak zorunda olması

Görev•Muhasebe

Uzmanı -ANKARA

Roller•ZC_FI_MUH_UZ

MAN•Ankara Verileri

ZD_FI_MUH_UZMAN_ANKARA

TÜRETİLMİŞ ROLLER

o Merkezi olarak oluşturulan rollerdeorganizasyonel verilerin güncellenerektüretilmesi esasına dayanan rol yapısı

o Birden çok bölgede faaliyet gösterenişletmelerde merkezi rol yapısınınoluşturulmasında efor kazanımı

o Tüm bölgeler için tek bir rol yapısınınoluşturulması gerekmektedir

YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN DİZAYN EDİLMESİ

SAP işlem kodlarının kullanım sistemsel olarak analiz edilmesi ve SAP kullanan tüm departmanlar ile birebir görüşmeler neticesinde eldeedilen departman süreç analizi diyagramlarının çizilmesi aşamalarını kapsamaktadır. Bu çalışma neticesinde;

o Departman bazlı SAP süreç diyagramlarının hazırlanmasıo Süreçler ve alt süreçlerin belirlenmesio Mevcut rol yapısının sonucunun paylaşılması.o Yapılan analiz çalışması sonucunda önerilen rol yapısının paylaşılmasıo Departman bazlı standart olarak kullanılacak rollerin & yetkilerin paylaşılması

Süreçlerin ve altsüreçlerinbelirlenmesi

Süreçdiyagramlarının

çizilerekpaylaşılması ve

mutabık kalınması

Sistemdeimplementeedilmişrol yapısına ait

analiz çalışmasınınpaylaşılması

Görevler ayrılığı vekritik işlemlermatrisinin

oluşturulması

Süreçlere uygunyeni rol yapısınınoluşturulması &İsimlendirme

Departman bazlıverilecek rollerinbelirlenmesi

SÜREÇLERİN VE ALT SÜREÇLERİN BELİRLENMESİBu aşamada her bir departmanla birebir görüşmeler yapılarak, işletme içerisindeki tüm süreçler uygulanacak rol yapısına göre listelenecektir. Kurum içerisinde kullanılan süreçler ve alt süreçler bundan sonraki analiz çalışmalarında tüm rol yönetimi ve rol sahiplerinin belirlenmesinde, süreç diyagramlarının çizilmesi çalışmaları kapsamında görüşülecek departmanların belirlenmesinde anahtar rol oynayacaktır. Süreç – Alt Süreç lsiteleri oluşturulduktan sonra sizlerle mutabık kalınacak ve süreç diyagramlarının oluşturulması adımına geçilecektir.

• Satın almao Lojistik Faturalama Operasyonlarıo Satın alma Teklif ve Sipariş Operasyonlarıo Satın alma Onay Süreçlerio Tedarikçi Ana Veri Bakımı

• Stok Yönetimio Stok Yönetimio Malzeme Ana Veri Bakımı

• Satış süreçlerio Müşteri Bakımıo Satış & Teslimat Operasyonları

• Müşteri Servisi• Finansal süreçler

o Genel Muhasebeo Finansal Raporlamao Duran Varlıklar Muhasebesi

• İnsan Kaynakları Yönetimi, Bordro ve Seyahat Yönetimio Bordroo Personel Yönetimio Seyahat Yönetimi

• Proje Yönetimi• Uygulamalar arası bileşenler• BASIS

o Database Yönetimio SAP Güvenlik işlemleri, denetim ve kullanıcı arayüzüo Sistem Yönetimi

DEPARTMAN BAZLI SÜREÇ DİYAGRAMLARININ HAZIRLANMASI

Bu aşamada her bir departmanla birebir görüşmeler yapılarak, süreç diyagramları oluşturulmakta, bu süreçte kullanılan SAP fonksiyonaliteleri departman bazında listelenmekte, süreç portaline yüklenmekte ve size sunulmaktadır.

o Süreçlerin ve alt süreçlerin belirlenmesio Süreç sahiplerinin analiz edilmesio Her bir süreçte kullanılan işlem kodlarının belirlenmesi

DEPARTMAN BAZLI SAP SORUMLULUKLARININ BELİRLENMESİ

Süreç diyagramlarının çizilmesi ve bu süreçlerde mutabık kalınmasının ardından, kurum içerisindeki tüm operasyonlarda kullanılan SAP işlemkodlarındaki sorumlu kullanıcılar belirlenecek ve listelenecektir.

GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASIDepartmanlar ile yapılan analiz çalışmaları kapsamında, uluslararası en iyi uygulamalar çerçevesinde görevler ayrılığı ilkesi kuralları ile kurumbazında risk oluşturan yetki grupları belirlenerek yeni bir matris oluşturulur.

GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASI - DEVAMIOluşturulan görevler ayrılığı matrisini oluşturan tüm işlem kodları listelenerek sizlere sunulmaktadır;

GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASI - DEVAMIGörevler ayrılığına aykırı süreçlerin ve kritik aksiyonların sistemde oluşturduğu riskler tanımlanmaktadır;

YENİ OLUŞTURULACAK ROLLERİN İSİMLENDİRMESİYapılan analizler neticesinde oluşturulacak yeni rol yapısı için süreç ve alt süreçler bazında isimlendirme prosedürleri belirlenecek ve roltasarımı bu isimlendirmeye göre revize edilecektir. Bu çalışma kapsamında;

o Süreçlerin ve alt süreçlerin belirlenmesio Rol tiplerinin belirlenmesio Rol Metni

• Rol tanımı içinilk karakter

Z

• Rol Tipi (Münferit, Toplu, Türetilmiş vb.)

S• Önceden

belirlenmişmetin

_

• Rolün içerdiğisüreç

MM• Önceden

belirlenmişmetin

-

• Rolün içerdiğialt süreç

TEKLIF• Önceden

belirlenmişmetin

_

• Serbest Metin

DEGISTIR

UYGUN ROL YAPISININ SUNULMASIDepartmanlarla yapılan analizler neticesinde görevler altında kullanılması gereken roller belirlenerek detaylandırılacaktır.

UYGUN ROL YAPISININ SUNULMASIDetay roller altında, standart SAP işlem kodları ve ERP implementasyonu kapsamında geliştirilen işlem kodları eklenerek granüler bazda rolyapısı listelenecek ve paylaşılacaktır.

ROLLERİN KULLANICILARA TAYİNİGörevler ayrılığı ilkesine bağlı kalınarak hazırlanan yeni rol yapısının, SAP kullanıcılarına tayini tasarlanmakta ve bu tasarım sizler tarafındanonaylanmaktadır;

GRC VERİ AKTARIMI ÖNCESİ GÖREVLER AYRILIĞI ANALİZİNİN ALINMASIKurum süreçlerinin dokümante edilip, rollerin ve kullanıcıların rol tayininin belirlenmesinin ardından, GRC sistemine veri transferi öncesindeSAP sisteminde yazılan geliştirdiğimiz “Görevler Ayrılığı İhlal Raporu” ile tasarım için güvence alınmaktadır. Oluşturulan yeni rol yapısısizlerden onay aldıktan sonra, ERP ve GRC sistemlerine aktarılacaktır.

ROL TASARIMI VE İŞ AKIŞLARININ TANIMLANMASIGRC Access Control sistemi için uygun rol yapısının ve kullanıcı rol tayininin oluşturulmasının ardından bundan sonraki süreçte yetkilerinsağlıklı bir şekilde yönetilmesi için uygun iş akışları kurgulanacaktır. Bu kapsamda;

q Yetki Risklerinin Yönetilmesiq Acil Durum Yönetimiq Yetki Talebi Yönetimiq Rol Yönetimi

Bu ürünler kapsamında aşağıdaki kullanıcı ve yetki sahiplerinin analizi yapılmaktadır;

o Rol sahibi konsepti ve rol sahiplerinin belirlenmesio Risk sahibi konsepti ve risk sahiplerinin belirlenmesio Firefighter konsepti ve firefighter kullanıcılarının belirlenmesio Kontrol sahibi konsepti ve kontrol sahibi kullanıcılarının belirlenmesio E-mail bildirim akışları

o E-mail içeriklerio POC konsepti ve POC sahiplerinin belirlenmesi

YETKİ RİSKLERİNİN YÖNETİLMESİ İŞ AKIŞI ANALİZ ÖRNEĞİ

ACİL DURUM YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ

YETKİ TALEBİ YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ

ROL YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ

EĞİTİM VE TESTLERSistemde tüm konfigürasyonlar tamamlandıktan sonra önceden hazırlanmış eğitim ve test doküman yapısı ile sizlerle mutabık kalacağız.

TEŞEKKÜRLERinfo@artius.com.tr