Giri ERP MPLEMENTASYONU PROJELERNDE DENETM SÜRECNN ÖNEM ve KARILAILAN RSKLER Uur Kaan DNÇSOY ERP (Enterprise Resource Planning - Kurumsal Kaynak Planlaması), bilgi sistemleri profesyonelleri tarafından bir kavram veya bir sistem olmaktan öte, uygulandıı sisteme deer katan, doru uygulandıında verimlilik, karlılık ve maliyet avantajı salayan, güvenli bir bilgi paylaımı ortamı sunabilen bir yapı olarak tanımlanmakdır. Aynı zamanda bu yapı, bilgi sistemleri yöneticileri için irketlerinde uyguladıkları ve yönettikleri, onların yaam biçimi olmu bir olgudur. ERP, dünyada ve Türkiye de son 20 yılda tüm bilgi sistemleri profesyonelleri tarafından kullanılan ve tartıılan bir olgudur. ERP sözcüü, çounlukla verimlilik artıı, sistem entegrasyonu, doru ve hızlı bir ekilde bilgiye ulaabilme ve güçlü bir imaj gibi kavramlarla yan yana kullanılan, ancak bazı durumlarda uzun proje uygulama süreleri, yüksek maliyetler, sürekli danımanlık hizmeti alma gereksinimi gibi olumsuz etkileri olduuna inanılan bir terim olmutur. Makale boyunca ERP sistemleri ve implementasyon projeleri hakkında kısa bilgiler verilip bu projelerde denetim sürecinin önemine deinilecektir. Ayrıca canlı geçi öncesi kontrol denetimleri yapılmadan kullanılmaya balanan sistemlerdeki riskler ele alınacaktır. ERP Sistemi Nedir? ERP sistemi, kurum içerisindeki iletme faaliyetlerini ve karar alma sürecini desteklemek amacıyla kurulan, bünyesinde çeitli yazılım ürünlerini barındıran bir sistemdir. Dier bir tanımı ile ERP sistemi, iletmenin temel i süreçlerini ve fonksiyonlarını tek bir yapı içinde bütünletiren, modüllerden oluan standart bir yazılım paketidir. Makale süresince Kurumsal Kaynak Planlaması sistemleri kavramı, bu kavramın ngilizce isminin kısaltması olan ERP ile ifade edilmektedir. ERP sistemleri 80 li yılların sonunda MRP (Materials Resource Planning) ve MRP II (Manufacturing Resource Planning) sistemlerinin verimlilik ve entegrasyon bakımından yetersiz kalması sonrasında gelitirilmi ve kısa sürede üretim tabanlı hizmet veren irketlerde yaygınlamıtır. Dünyada ve Türkiye de ERP ERP, dünyada ve Türkiye de yılda ortalama %10 luk büyüme oranları ile gelien bir pazardır. ERP pazarının büyük oyuncuları SAP, Oracle, IBM, Baan, JD Edwards, Marcarn, Peoplesoft, Ramco, Platinum gibi firmalardır. Bu firmalara son yıllarda Infor ve Sırp firması Sage eklenmitir. Dier pazarlarda olduu gibi, tüm dünyada ERP pazarında da irket birlemeleri ve satınalmaları gerçeklemektedir. Bunun son örneklerinden biri Oracle ın Peoplesoft u satın alarak SAP nin tekel olma hedefine karı bir güç olma eilimidir. Türkiye de ise pazara hakim olan firmalar aaıdaki gibidir: SAP (300 civarında firma tarafından kullanılan MySAP ve R/3 ile), Oracle (250 ye yakın irketin kullandıı Oracle Applications ile), Globalsoft (yaklaık 50 irketin kullandıı JD Edwards paketi ile),
IAS (20 civarında firma tarafından kullanılan CANIAS ürünü ile), LOGO (150 ye yakın küçük ve orta ölçekli firmada kullanılan ürünleri ile), NETSS (150 ye yakın firmada kullanılan aynı adlı ürünü ile). Türkiye de 2006 yılı rakamlarına göre ERP pazarının büyüklüü yıllık 30 milyon dolar civarındadır. Bu seviyenin 2006 yılında dünyada 15 milyar dolar olduu düünülürse, pazarın büyüme potansiyeli açık bir ekilde görülmektedir. Ayrıca dünyada 2011 yılına kadar her yıl %10 büyümesi beklenen pazarın 2011 yılı sonunda toplam 25 milyar dolar seviyesine gelmesi beklenmektedir. Dünya çapında 500 ün üzerinde ERP yazılımı üreten firma birbiriyle rekabet etmektedir. Bir Alman irketi olan SAP, ERP sistemlerinin önde gelen tedarikçisidir ve dünyada pazar payının yaklaık üçte birinden fazlasını elinde tutmaktadır. Bu rakamlar deiik aratırma irketlerine göre farklılık gösterse de genelde birbirine yakındır ve SAP firması pazarda tartımasız lider konumundadır. SAP, R/3 ile pazara koyduu aırlıını web tabanlı yeni ürünü olan MySAP ile devam ettirmektedir. Türkiye ye baktıımızda da SAP nin lider durumda olduu görülmektedir. Kendi iddiasına göre SAP, Türkiye deki 500 büyük firmadan 200 üne hizmet salamaktadır. Bu rakamların sadece satın alınan ERP paketlerini yansıttıı unutulmamalıdır. Bu rakamlara danımanlık, lisanslama ve bakım hizmetleri de eklendiinde, çözüm ortakları sayesinde pazarın büyüklüü, yukarıda bahsedilen rakamların yaklaık iki katına ulamaktadır. ERP mplementasyonu Projesi Süreçleri! ",$ #$ % " &&" #'() * ' )" )" )!+ ekil 1 : ERP mplementasyonu Projesi Süreçleri
Yukarıdaki tabloda bir ERP mplementasyonu projesinin süreçleri belirtilmitir. Denetimin ise bu süreçlerin tümüne katma deer salayabilecek bir faz olarak, implementasyon projesinde bulunması önerilmektedir. Makalenin bu aamadan sonraki bölümlerinde denetim fazının getirileri açıklanmaya çalıılacak, denetim fazını projelendirmeyen ve göz ardı eden irketlerde oluabilecek riskler hakkında bilgi verilecektir. Ayrıca ERP sistemleri denetimleri sonucunda karılaılan riskler detaylandırılacaktır. Bir ERP Projesi Fazı Olarak Denetim Süreci, Denetim Sürecinin Getirileri ve Proje mplementasyonu Sırasında Oluan Riskler ERP mplementasyonu projelerinde en önemli süreç, kurumun ihtiyaçlarının tanımlanması olup, bu ihtiyaçlara yönelik ERP paketinin modifiye edilmesi projelerin en uzun zaman alan kısmını oluturmaktadır. Uygulamada genellikle bu adımlar üzerinde youn çalımalar yapılmakta, danımanlar, firma proje ekibi ve son kullanıcılar tüm güçlerini bu adımları tamamlamaya harcamaktadırlar. Tüm konsantrasyonun implementasyonun baarılı bir ekilde yapılmasına ve tüm gereksinimlerin oluturulmasına yönelik olduu bir anda, denetimin göz ardı edildii irketlerde, proje balangıcında belirlenen daha güvenli ve sistemli bir yapıya ulama hedefinden sapılmakta, projeyi tamamlama içgüdüsünün bazı güvenlik standartlarının çinenmesine neden olduu görülmektedir. ncelemeler ve gözlemler esnasında karılaılan ERP sistemleri ve altyapısı konularındaki genel bulgular ve riskler aaıda listelenmitir: 1) Genel Güvenlik Parametrelerinin Uygulanmaması ncelemelerimizde ERP mplementasyonu projesini yeni ina etmi veya halen projenin devam ettii irketlerde güvenlik parametrelerinin standartlardan uzak ekillerde uygulandıı veya hiç uygulanmadıı görülmütür. Örnein, sistemlerde ifre parametrelerinin standartlara uygun olmadıı, ifrelerin komplex ve yeterli uzunlukta olmadıı gözlemlenmitir. Kullanıcılar, belirli bir zaman aralıında deitirilmesi zorunlu olmayan ifreler ile sisteme girebilmektedir. Bunların yanı sıra sistem üzerinde aynı kullanıcı adı ile birden fazla terminal üzerinden sisteme balanma parametrelerinin açık bırakıldıı görülmektedir. Bu parametrenin açık kalma nedeni ise projenin ve testlerin devamı, lisans kaygıları sonucu ortak kullanıcıların bulunmasıdır. Ayrıca sistem üzerinde time-out parametresi uygulanmamakta, sistem belirli bir süre ilem yapmayan kullanıcıyı sistem dıına atmamaktadır. Özellikle SAP ve Oracle da sınırsız yetkilendirmelere sahip kullanıcıları düzenleyen ve sistem tarafından gereksinim duyulan bu kullanıcıları inaktif yapıp canlı ortamda kullanılmamasını salayan parametrelerin de doru ekilde uygulanmadıı, bu kullanıcıların sistem üzerinde kullanılabilir oldukları tespit edilen bir düer güvenlik açııdır. Sistem üzerinde ifrelerin kriptolanarak saklanması, sistem tarafından belirlenmi özel tabloların yanlılıkla silinmekten korunması, belirlenmi canlı sistem irket kodlarına ait dataların korunması ve canlı ortam çalıırken dıarıdan sisteme eriim gibi konuları düzenleyen, güvenlik açısından çok önemli parametrelerin de tanımlanmadıı ve sistemle beraber gelen (default) deerlerinde kullanıldıı saptanmıtır. ERP sistemlerinin güvenlik deerlerinin standartlardan düük olması, yetkisiz kullanıcıların sistemde daha yüksek yetkiler ile ilem yapmasına, yapılan ilemlerde sorumlulukların belirlenememesine sebep olabilmektedir. -
2) Sistem Üzerinde Tüm Kullanıcı Adlarının Benzersiz Olmaması ERP sistemlerinde proje aamasında deneme, test vb. gibi kullanıcı adlarının açıldıı ancak bu kullanıcı adlarının, sistem canlıya geçtiinde de kullanıldıı görülmütür. Etkin bir denetim ve iz kayıtları izleme stratejisi ile bu kullanıcı adlarıyla yapılan ilemler incelenebilmektedir. Kullanıcıların tanımlanamayan kullanıcı adları ile yaptıkları ilemler kontrol altına alınamamakta, mevzuata aykırı yapılan ilemlerin bu kullanıcı adları ile yapılması durumunda sorumlular tespit edilememektedir. 3) Yetkilendirme, Superuser (Yetkili Kullanıcı) Problemleri ile Görevler Ayrılıı Prensibine Aykırı Durumlar ERP sistemlerinde salıklı bir yapı salamanın en etkili yolu, kullanıcı yetkilerinin doru ekilde tanımlanmasıdır. Kullanıcı yetkilerinin doru ekilde tanımlanması ve sisteme entegre edilmesi ile birlikte, kiiler sadece görevleri ile ilgili ilemleri yapabilecek, görevlerin arasındaki çizgiler korunacak ve görevler ayrılıı prensibi (segregation of duties - SOD) çerçevesinde salam bir yapı oluturulacaktır. ERP mplementasyonu projelerinde, projenin bazı aamalarında test bazlı veya doru tanımlama yapılmadan verilmi olan kullanıcı hakları, sistem canlı olarak kullanılmaya balandıında sistemin güvenliini tehlikeye atacak, hakların kötü amaçlarla kullanılmasına olanak verecek riskleri dourmaktadır. mplementasyon projesi dahilinde denetim ekibinin çalımaları ile kullanıcı hakları irdelenmesi ve canlı sistem geçii öncesinde kullanıcı haklarını listeleyip standartlara göre çakımaları belirleyecek programlar ile kullanıcı haklarının gözden geçirilmesi sistemin güvenlik düzeyini artıracaktır. Ayrıca incelemeler sırasında yetkili kullanıcı (superuser) haklarının verildii kullanıcıların doru seçilmemi olduu, bu kullanıcılara periyodik i emri verme, kullanıcı profillerine erime, canlı ortama modifikasyon veya program yükleme (release) gibi yetkilerin verildii görülmütür. Ayrıca bu kullanıcıların sorumlu oldukları modül bazında deil de, tüm sistemin yetkilisi olabilen kullanıcı yetkileri ile donatıldıkları görülmütür. 4) letim Sistemi, Veritabanı Sistemi ve ERP Sistemi Entegrasyonunun Salanamaması ncelemelerimiz sırasında ERP sistemlerinin daha verimli çalıabilmesi için veritabanı ve iletim sistemi altyapısında deiiklie gitmi firmalarda, yeni veritabanı ve iletim sistemi ortamlarında da yeterli güvenlik seviyesine ulaamamı oldukları görülmütür. Yeni veritabanı ve iletim sistemine geçen firmalarda ERP sisteminin verimli çalıtıı ancak dier ortamların güvenlik açıkları bulunduu ve bu açıkların ERP nin üzerinde yürüdüü veritabanına eriim, iletim sistemi üzerinde HTTP, FTP, NTS gibi servislerin açık olması gibi tüm sistemi etkileyecek açıklar olduu görülmütür. irketler ERP sistemlerini uygulamaya alınması kararının sadece ilgili i süreçlerini etkileyeceini düünmekte, bu deiimin tüm sistemleri ve kullanılan tüm ortamları etkileyecek bir bilgi sistemleri altyapısı deiimi olduu boyutunu görememektedirler. Bu aamada güvenlik uzmanlarının sistemin bütününü daha salam bir yapıya ulatıracak testleri yapması gerekmektedir. Ayrıca sisteme getirdii yük nedeniyle (fiyat/performans analizi yapılmadan.
alınan kararlar nedeni ile) ERP sistemlerinin uyarı ve iz kayıtları fonksiyonlarının kullanılmaması da oluabilecek güvenlik ihlallerine karı irketleri zor durumda bırakmaktadır. 5) Önceden Tanımlı ifrelerin Kullanılması ERP sistemleri ve bunu besleyen iletim sistemleri ve veritabanı yönetim sistemlerinde sistemin doası olarak kullanılması gereken, önceden tanımlı yüksek haklara sahip olan ifrelerin canlı kullanıma geçildiinde modifiye edilmedii, hatta ERP dıındaki sistemlerde bu tarz güvenlik açıkları bulunduu hakkında bilgi eksiklii dahi bulunduu gözlenen bir noktadır. Bu açıklar sisteme dıarıdan yetkisiz kiilerin balanması ve sistemlere zarar vermesi gibi güvenlik riskleri yaratabilmektedir. 6) Politika ve Prosedür Eksiklii ERP sistemlerini kullanan irketlerde, sistem deiimleri, canlı sisteme eriim, güvenlik parametreleri, operasyonel iler, sisteme yeni kullanıcı ekleme ve çıkarma gibi konularda prosedürler ve i akıları belirlenmemi olup bu aktiviteleri yönetmekle görevli kiilerin tanımlı olmadıı saptanmıtır. Canlı ortama geçildikten sonra sistemi yönetecek kiilerin belirlenmesi, yönetilecek faaliyetleri belirleyen ve yönetim kademelerini açıklayan onaylı prosedürlerin yayınlanması, firma içerisinde güvenlik konusunda farkındalıı arttıracak ve kullanıcıların ERP sistemine adapte olmasını salayacak bir adımdır. Bu aamada da baımsız bir kuruluun ERP sistemi gereklilikleri ve firma ihtiyaçlarına yönelik çalımalar yaparak kullanıcıları yeni sisteme ve güvenli yapıya hazırlaması gerekmektedir. Politika ve prosedür eksiklikleri; yapılan ilerin standartlamamasına neden olmakta, süreç sahiplerinin insiyatifi dorultusunda yapılan ilerde, süreçin sahibinin deimesi ile, eski verimliliin yitirilmesine sebep olabilmektedir. Sonuç Günümüz rekabet koullarında otomasyon ve sistem entegrasyonu, maliyet ve karlılık için çok önemli noktalar haline gelmitir. ERP sisteminin bu iki konuda da irketlere katma deer salaması sebebiyle, ERP sistemlerini yönetmek birçok irketin varolan bir hedefi iken, dier irketler için de bu sistemi uygulamaya almak, kısa ve orta vadeli hedefleri haline gelmektedir. Hem bu sisteme geçii projelendiren, hem de ERP sistemine entegre olmu irketlerin ERP denetimini bir süreç olarak görmesi ve planlarında bu olguya da yer vermesi gerekmektedir. ERP sistemleri karmaık ve çok kullanıcılı yapılara sahip olduu için doru parametreler ve kullanıcı tanımlamaları yapılmadıında sistemler ve mali tablolarda geri dönülemez hataların olumasına, sistemlerde suistimale yönelik (fraud) ilemlerin yapılabilmesine olanak salamaktadır. Sistemler üzerinde denetim faaliyetlerinin etkin bir ekilde iletilmesi, ERP uygulamasının tümünün aaıdaki örnek yaklaım kapsamında incelenmesi, süreçler içerisinde bulunması gereken kontrollerin belirlenmesi ve önerilerle birlikte raporlanması tüm projenin baarısını etkileyecek bir faktördür. Örnek yaklaım adımları: ERP sisteminde yüksek düzeyde eriim haklarına sahip kullanıcıların belirlenmesi ve bu kullanıcıların profiline yönelik yetkilendirme yapılması, ERP sisteminde kritik haklara sahip olacak kullanıcıların belirlenmesi, /
ERP sisteminde güvenlik altyapısını gelitirecek ve sistemi maksimum verimde kullanacak parametrik ayarların yapılması, ifre, sistem kullanıcıları gibi konularda yüksek standartlara ulaılması, ERP sisteminde bulunan bilgi sistemleri içi ve dıı tüm kullanıcıların görevler ayrılıı prensibi analizi, Güvenlik ve kritik sistem tablolarının analizi, Kurum gereksinimleri göz önünde bulundurularak politika ve prosedürlerin oluturulması, ERP sisteminin yazılım gelitirme ve deiim yönetimi standartlarında yönetilmesi, ERP sisteminin üzerinde kotuu veritabanı ve iletim sisteminde de güvenlik ve verimlilii artırmaya yönelik parametrelerin oluturulması, bu sistemleri yönetmeye yönelik önerilerin raporlanması. Yukarıdaki adımlar ERP sistemlerini kullanmayı düünen, halen bu sistemi kullanan ancak güvenlik ve risk analizi yaptırmayı düünen, en iyi durumla kendi durumu arasındaki farkı görmek isteyen tüm firmaların geçmesi gereken denetim süreci adımlarıdır. Unutulmamalıdır ki ERP projesi ve sonrasında sisteme dahil olan baımsız bir denetim kuruluunun üçüncü göz olarak sistemi dıarıdan incelemesi, koordinasyonu salaması, riskleri bertaraf edecek veya azaltacak önerilerde bulunması; güvenli ve sistemli bir yapı, zaman ve maliyet hedeflerine ulama konularında hem firma hem de ERP salayıcısına çok deerli katkılarda bulunabilecektir. 0
Kaynaklar: AMR ERP Market Sizing Report 2006-2011, www.amrresearch.com Air Force Mentor Frotage Program, ERP Life Cycle Demir V., ERP Sistemlerinin Maliyetlere ve letme Performansına Etkileri, 2006, stanbul http://www.oracle.com (10.07.2008) http://www.sap.com.tr (10.07.2008) slamolu S., Denetim Olgusunun ERP Sistemleriyle Bütünletirilmesi, Eylül 2006, stanbul Karadede A., ERP Uygulaması Sonrası letmelerin Yaadıı Sorunlar, Ocak 2006, stanbul Paaolu, D. (2004). Kurumsal Kaynak Planlaması Kararlarında Hataların Azaltılması ve Bir Karılatırma, Anadolu Üniversitesi Basılmamı Yüksek Lisans Tezi, Eskiehir Pınar,. Ve Erdem, K.S.( 2001), Kurumsal Kaynak Planlaması(ERP) Kullanıcısı letmelerin Memnuniyetlerini Ölçmeye Yönelik Bir Aratırma, http:// www. sletme.istanbul.edu.tr/ dergi Srinivas S, ERP Uygulamalarının Baarılı Olması çin Gereken Ortamı Hazırlamak, 2007, New York Vasharhelyi,M., Kogan A., Alles M. ( July 2002) Would continuous auditing have prevented the Enron mess?, Tha CPA Journal, v.72,i.7 Uur Kaan Dinçsoy Deloitte Kurumsal Risk Hizmetleri 1