RESOURCES

Yetki Riskleri ve Bu Risklerin Gerçek Zamanlı Yönetimi

İç Tehditler ve Farkındalık

Kontrolsüz güç, güç değildir. Bu söz, yıllardır insanlar arasında bir öğüt niteliğinde olup kulaktan kulağa dolaşıyor. Rekabetin en üst seviyelerde yaşandığı günümüz iş dünyasında bu öğütten ne gibi dersler çıkarabiliriz?

Sektörden bağımsız bir şekilde; üst düzey imkanlara ve en yetenekli çalışanlara sahip de olsanız, bu kaynakların doğru şekilde yönetilmesi kritik önem taşıyor. Başarılı bir planlama emsaliyle yıllarca sürdürülen operasyonlar; çalışanların dikkatsizliği, iş birliği eksikliği veya art niyetli davranışlar sonucu ağır hasar alabiliyor. Bu hasara yol açan temel sebep ise çalışanların ve süreçlerin üzerindeki kontrol eksikliği. Kontrol eksikliği veya proaktif önleyicilikten uzak olan kontroller, organizasyonları iç tehditlere karşı savunmasız bırakıyor. İç tehditlerin yaygınlaşmasında önemli rol oynayan bir diğer etken de günlük veri alışverişinin geldiği nokta. Devasa boyutlara ulaşan bu alışveriş, kasti olsa da olmasa da organizasyona ait belirli değerlerin dışarıya çıkarılmasıyla son buluyor ve nihai anlamda organizasyonu bir değer kaybına uğratıyor.

Tüm bu tehlikelere karşı önlem almak ve savunmasız olunan riskleri belirlemek ise mümkün. Bunun için bir organizasyondaki çalışanların hangi görevleri yapmak için yetkili olduğu gözden geçirilmeli ve kontrolsüz gücün önüne geçilmelidir.

Yetki Riskleri

Organizasyon içi yetkiler belirlenirken hedeflenen önemli bir ilke var: Görevler Ayrılığı (Segregation of Duties: SoD). Görevler ayrılığı, finansal işlem ve raporlamalardaki hataları en aza indirmeyi ve suistimal vakalarının önüne geçmeyi amaçlayan, önleyici bir iç kontroldür.

Finansal olarak anlamlı olan ve finansal raporları etkileyebilecek herhangi bir görevden, en az iki kişinin sorumlu olmasını temel prensip olarak ele alır. Bu prensip benimsendiği takdirde, organizasyon içi verimlilik artar. Çünkü, SoD sayesinde hangi çalışanın hangi görev için en uygun kişi olduğu belirlenmiş olur ve çalışan perspektifinden bakınca da kişinin, kendi görevlerini tümüyle benimsemesini sağlar. Yetki risklerinin belirlenmesi ve yönetilmesi, kurumsal risk yönetiminin sağlanabilmesi adına kritik önem taşımakta olup, kurumsal risklerin oluşmasındaki temel yapı taşıdır. 

1 Access Risks and Their Management in Real
Şekil 1: Yetki Risklerinin Kurumsal Risk Bakışına göre konumu

Ne var ki, SoD risklerinin tümüyle ortadan kaldırılması oldukça zorlayıcı bir hedef. Başta iş gücü olmak üzere kaynakların sınırlı olması, kusursuz bir SoD uygulamasını gerçekleştirmenin önüne geçecektir. Engellenemeyen SoD riski ihlalleri için ise yapılması gereken başlıca eylem ise, riski azaltmak adına önleyici kontrollerin oluşturulması olacaktır.

Yetki Riskleriyle Nasıl Başa Çıkılır?

Organizasyondaki mevcut ve muhtemel yetki risklerinin farkına varmak, ilgili önleyici kontrolleri süreçlerle birleştirmek yetki risklerinin yönetilmesinde oldukça önemli adımlar olacaktır. Ancak, bunlar buzdağının görünen kısmı. Belirlenen kontrollerin, mümkün olduğunca manuellikten uzaklaştırılması yani otomatize edilmesi gerekir. Aksi takdirde belirlemek ve uygulamaya geçirmek için ciddi efor harcanan bu kontroller; çalışanlar tarafından bir angaryaya dönüşebilir, aceleye getirilerek uygulanabilir ve risklerin raporlanmasının önüne geçebilir.

Bu noktada, SAP Access Control, Access Request Management çözümü yetki taleplerini otomatik risk analizlerine bağımlı kılarak, izlenebilir ve gerçek zamanlı bir yetki yönetimi yaklaşımı sunuyor. Çalışanlar, kendileri için veya ekiplerindeki bir başka kullanıcı için bir yetki talebinde bulunduğunda önceden belirlenen SoD kütüphanesindeki riskler kontrol ediliyor ve SoD prensibine aykırı olan yetkiler sıralanıyor.

2 Access Risks and Their Management in Real 1
Şekil 2: SAP Access Control, Yetki Risk Alarmları
3 Access Risks and Their Management in Real
Şekil 3: SAP Access Control Rol Yönetim Kokpiti

Sistemde kilit değişiklikler yapabilecek kullanıcı sayısı çoğaldıkça, uygulanması gereken gözetim de bir o kadar kapsamlı olmalıdır. Bu sebeple kullanıcı hareketlerinin kaydediliyor olması (loglanması) bu gözetimin oluşmasında oldukça kritik bir rol oynar. Ne var ki, bu kayıtlar ancak doğru alarmların varlığı ve sürekliliğin sağlanmasıyla anlamlı bir sonuç verecektir. Bu sebeple kullanıcı kayıtlarını anlamlı hale getirecek bir SoD kütüphanesi, yetki risklerinin hangi durumlarda var olduğunu ve bu risklerin olduğu koşullarda ne gibi aktivitelerde bulunulduğunu doğrular.

Yetki Risklerinin Finansal Karşılığı

Hiç şüphesiz, yetki risklerini yönetirken daha doğru ve proaktif kararlar alabilmek için bu risklerin finansal etkilerine dair bir içgörüye ihtiyaç var. SoD ihlallerinin istisna bazlı izlenmesi, yani yalnızca ihlal durumlarında kontrol sahiplerine alarm gitmesi, kontrollerin manuelliğini azaltır. Ayrıca bu durumlarda finansal karşılığına göre risk için alınacak aksiyonun belirlenmesi, karar alma noktasında yöneticilerin elini oldukça güçlendirecektir.

SAP, erişim risklerinin parasal değer olarak görünmesine olanak sağlar. Böylecesüreçler, makul görünen riskler göze alınarak yürümeye devam eder. Kalan risk içinse istisna bazlı izleme sağlayarak, fiili ihlal durumlarında süreç sahiplerini bilgilendirir. Böylece manuel kontroller arasında kalan gerçek vakaların gözden kaçmasını engeller ve sizi samanlıkta iğne aramaktan kurtarır. İşletmedeki ihtiyaca göre, SoD risklerinin farklı sistemlerden gelen veriden çıkarılmasını sağlayabilir. Ayrıca inceleme ve onay süreçlerini otomatik kaydedip raporlayarak tam bir denetim izi sağlar.

Özet

Özetle yetki riski kavramının anlaşılması, kurumsal bir risk yönetimi anlayışının sağlanabilmesi adına kritik önem taşımaktadır. Görevler ayrılığı ilkesinin şirketin iş süreçlerine uygulanması, riskli süreçlerin belirlenmesi ve bu süreçlere önleyici kontrollerin uyarlanması gerekmektedir. Eğer bu süreçler otomasyon ihtiyacının doğru şekilde sağlanmasıyla birleştirilirse, işte o zaman yetki riskleri ve bu riskler için belirlenen kontroller finansal olarak pozitif sonuçlarla gerçek zamanlı desteklenecek ve üretkenlik artışı kaçınılmaz olacaktır.

Can sozen
Share

Supporting your business processes with emerging technologies is the main goal of our business.