Upload
artius-consulting
View
185
Download
1
Embed Size (px)
Citation preview
SAP GRC Access Control (Yetki Yönetimi) KULLANICI YETKİLERİN İZİ SAP İLE OPT İMİZE ED İN
AJANDA1.SAP GRC Ürün Ailesi2.SAP GRC ACCESS CONTROL3.Proje Metodolojimiz
SAP GRC ÜRÜN AİLESİYETKİ, RİSK, SÜREÇVEKAYIP-KAÇAKYÖNETİMİ
SAP GRC ÜRÜN AİLESİ
Uluslararasıticaretsüreçlerininkorumaaltınaalınması
Yetkirisklerininyönetilmesivedolandırıcılığın
önlenmesi
SAP AccessControl
SAP ProcessControl
SAP RiskManagement
SAP Global Trade Services
Riskiyönetmekverisktendeğer
yaratmak
Şirketoperasyonlarınınetkinliğinivegüvenilirliğinikorunması
SAP Nota Fiscal
Eletrónica
Brezilya için elektronik faturalama hizmetleri
AuditManagement
Denetimetkinliğininarttırılmasıveproaktifdenetimyönetimi
SAP FraudManagement
Fraudrisklerininyönetilmesiveengellenmesi
SAPGRCAccessApprover(mobile)
SAPGRCPolicySurvey(mobile) SAPSanctioned-PartyList(mobile)
SAP GRC ACCESS CONTROL
Uluslararasıticaretsüreçlerininkorumaaltınaalınması
Yetkirisklerininyönetilmesivedolandırıcılığın
önlenmesi
SAP AccessControl
SAP ProcessControl
SAP RiskManagement
SAP Global Trade Services
Riskiyönetmekverisktendeğer
yaratmak
Şirketoperasyonlarınınetkinliğinivegüvenilirliğinikorunması
SAP Nota Fiscal
Eletrónica
Brezilya için elektronik faturalama hizmetleri
AuditManagement
Denetimetkinliğininarttırılmasıveproaktifdenetimyönetimi
SAP FraudManagement
Fraudrisklerininyönetilmesiveengellenmesi
SAPGRCAccessApprover(mobile)
SAPGRCPolicySurvey(mobile) SAPSanctioned-PartyList(mobile)
SAP GRC ACCESS CONTROLİŞLETMENİZDETÜMSİSTEMSELYETKİLERİNİZİ TEKBİRMERKEZDENYÖNETEBİLİRSİNİZ
YETKİLERDEKİ RİSKLERİNİZİN YÖNETİMİ NEDEN ÖNEMLİ ?
Veri
aktar
ımı
Şirket içi politikalarsüreç etkinliği
izinleruygulamalar arası erişim
SRM
acil durum yetkileri regülasyonlar
manüel süreçlerSOX görevler ayrılığı (SoD)
big-data izlenebilirlikdenetim workflowkullanıcı yetki değerlendirmeleri
transaction kullanımıcompliance
maliyetişgücü değişimi
yetki ihlallerigüvenlikmarketing
güvenlikstrateji
rol yönetimi
ERP
komp
leks
sistem
lerko
ntroll
er risk
embe
dded
-UI
ihlaller HCM
Acil durum yetkilendirmeleri ve transaction kullanımlarının analizi
Yetki tayinlerinin risk ve süreç sahipleri tarafından onaylanması
Rol ve yetkilerin tanımlanması, bakımının yapılması
SAP ve SAP dışı sistemlerde yetki ve rol yönetimi
Görevler ayrılığı ve kritik yetki ihlallerinin izlenmesi & iyileştirilmesi
SAP ACCESS CONTROL GÜVENLİ BİR SİSTEM YARATIN, GÜVENLİ BİR SİSTEMDE YAŞAYIN
SAP_ALL
X
Legacy
SAP ACCESS CONTROL - FAYDALAR (ÖNCESİ / SONRASI)
� Yetki ihlallerinin denetimi için manüel efora ya da üçüncü parti denetim şirketleri ile işbirliği� Periyodik olarak IT personeli tarafından Görevler Ayrılığı (SoD) ihlalleri raporlanarak düzenlemeler yapılır.� IT ve süreç sahipleri arasında, imzalı dokümantasyon ve e-mail aracılığı ile yetki talepleri manüel efor ile
yönetilir.� Rol ve yetkilerde yapılan değişikliklerde, değişiklik aktifleşmeden önce görevler ayrılığı ilkesine göre rapor
almak mümkün olmamaktadır.
� Görevler ayrılığı (SoD) ilkesi çerçevesinde yetki ihlallerinin %99.4’e varan oranlarda iyileştirilmesi ve SoD kontrollerinde gerçek zamanlı kontroller
� Şirkete alınan yeni kullanıcılar ya da unvan değişikliklerinde rol ve yetki tayini için %92 oranında otomasyon ve kullanıcı aktifleştirmelerinde 14 günden, 1,42 güne varan iyileştirmeler
� Rol yönetimi ve yetki değişikliklerinde Workflow üzerinden işletilen süreçler sayesinde yetki takip edilebilirliği ve yetki verilmesi esnasında proaktif risk analizi
� İç denetimde %90, dış denetimde %50’ye varan revizyon eforu iyileştirmesi
Önce
Sonra
PROJE METODOLOJİMİZADIMADIMSAPGRCACCESSCONTROLPROJESİ
PROJE METODOLOJİMİZ
YetkiKonseptininBelirlenmesi
GörevlerAyrılığı
KuralsetlerininOluşturulması
YetkilendirmeYapısınınAnalizi & YenidenDizayn
Edilmesi
RollerinKullanıcılara
Tayini
Rol tasarımı veİş Akışlarının
Tanımlanması
Test & Eğitim& Kabuller &
Canlı Kullanım
YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN DİZAYN EDİLMESİSAP GRC Access Control, rol bazlı yetkilendirme metodolojisine göre implemente edilmektedir. Rollerin oluşturulması, değiştirilmesi, kullanıcılara tayini gibi işlemler rol bazlı yapılmakta ve analiz edilmektedir. GRC sisteminde kullanılacak olan rol tiplerinin belirlenmesi ve roller ile işletme niteliklerinin eşleştirilmesi önem arz etmektedir. SAP GRC Access Control için yetki konseptinin belirlenmesi çalışmalarında, işletmeyapısının analiz edilmesi ve sistem kabiliyetlerinin buna göre konfigüre edilmesi gerekmektedir.
- Münferit roller- Toplu Roller- İşletme Rolleri- Türetilmiş Roller
Rol tiplerininbelirlenmesi
- Süreç bazlı yetkilendirme- Fonksiyonel bazdayetkilendirme- Organizasyonel Yapı bazındayetkilendirme
Rol yapısının işletmeyapısı ileilişkilendirilmesi
Sistemsel YetkiKonseptininBelirlenmesi
YETKİ KONSEPTİNİN BELİRLENMESİ
Münferit Roller
Toplu Roller
İşletme Rolleri
TüretilmişRoller
Yetki konseptinin belirlenmesi çalışmaları kapsamında SAP GRC Access Control ürünü içerisinde bulunan rol konseptleri ile kurumunyetkilendirme yapısı eşleştirilerek en uygun rol dizayn metodolojisi belirlenecektir.
MÜNFERİT ROLLER
Süreç•Fatura Girişi
İşlemKodları•MIRO•FB60
ZS_MM_FATURA_GIRIS
o SAP üzerinde kullanılan İşlem kodlarınınbir araya getirilerek tek seviyeli rolyapısının oluşturulması
o Granüler bazda rol tayin & değiştirmesüreçlerinde esneklik
o Konfigürasyon ve rollerin bakımındaekstra efor
Görev•MuhasebeUzmanı
Roller•Fatura Girişi•SatıcıRaporları
ZC_MM_MUH_UZMAN
TOPLU ROLLER
o Münferit rollerin bir araya getirilerekfonksiyonel bazda rol yapısınınoluşturulması
o Rollerin görev bazlı ya da fonksiyonelbazda az eforla konfigüre edilebilmesi
o Granüler bazda rol tayin & değiştirmesüreçlerinde ekstra efor gerekmektedir.
Görev•MuhasebeUzmanı
Roller•ZC_FI_MUH_UZM
AN•ZC_BW_LIKIDITE
ZB_FI_MUH_KULL
İŞLETME ROLLERİ
o Birden çok sistemden münferit ve toplurollerin bir araya getirilmesi ile rolyapısının oluşturulması
o Çoklu sistemler (SAP, CRM, BW, Oracle vb.) ile çalışan işletmelerde rol yapısınıntek bir veri kaynağı üzerindenyönetilmesi
o Sistemlere ait tüm yetki işlemlerinin GRC üzerinden yapılmak zorunda olması
Görev•Muhasebe
Uzmanı -ANKARA
Roller•ZC_FI_MUH_UZ
MAN•Ankara Verileri
ZD_FI_MUH_UZMAN_ANKARA
TÜRETİLMİŞ ROLLER
o Merkezi olarak oluşturulan rollerdeorganizasyonel verilerin güncellenerektüretilmesi esasına dayanan rol yapısı
o Birden çok bölgede faaliyet gösterenişletmelerde merkezi rol yapısınınoluşturulmasında efor kazanımı
o Tüm bölgeler için tek bir rol yapısınınoluşturulması gerekmektedir
YETKİLENDİRME YAPISININ ANALİZİ & YENİDEN DİZAYN EDİLMESİ
SAP işlem kodlarının kullanım sistemsel olarak analiz edilmesi ve SAP kullanan tüm departmanlar ile birebir görüşmeler neticesinde eldeedilen departman süreç analizi diyagramlarının çizilmesi aşamalarını kapsamaktadır. Bu çalışma neticesinde;
o Departman bazlı SAP süreç diyagramlarının hazırlanmasıo Süreçler ve alt süreçlerin belirlenmesio Mevcut rol yapısının sonucunun paylaşılması.o Yapılan analiz çalışması sonucunda önerilen rol yapısının paylaşılmasıo Departman bazlı standart olarak kullanılacak rollerin & yetkilerin paylaşılması
Süreçlerin ve altsüreçlerinbelirlenmesi
Süreçdiyagramlarının
çizilerekpaylaşılması ve
mutabık kalınması
Sistemdeimplementeedilmişrol yapısına ait
analiz çalışmasınınpaylaşılması
Görevler ayrılığı vekritik işlemlermatrisinin
oluşturulması
Süreçlere uygunyeni rol yapısınınoluşturulması &İsimlendirme
Departman bazlıverilecek rollerinbelirlenmesi
SÜREÇLERİN VE ALT SÜREÇLERİN BELİRLENMESİBu aşamada her bir departmanla birebir görüşmeler yapılarak, işletme içerisindeki tüm süreçler uygulanacak rol yapısına göre listelenecektir. Kurum içerisinde kullanılan süreçler ve alt süreçler bundan sonraki analiz çalışmalarında tüm rol yönetimi ve rol sahiplerinin belirlenmesinde, süreç diyagramlarının çizilmesi çalışmaları kapsamında görüşülecek departmanların belirlenmesinde anahtar rol oynayacaktır. Süreç – Alt Süreç lsiteleri oluşturulduktan sonra sizlerle mutabık kalınacak ve süreç diyagramlarının oluşturulması adımına geçilecektir.
• Satın almao Lojistik Faturalama Operasyonlarıo Satın alma Teklif ve Sipariş Operasyonlarıo Satın alma Onay Süreçlerio Tedarikçi Ana Veri Bakımı
• Stok Yönetimio Stok Yönetimio Malzeme Ana Veri Bakımı
• Satış süreçlerio Müşteri Bakımıo Satış & Teslimat Operasyonları
• Müşteri Servisi• Finansal süreçler
o Genel Muhasebeo Finansal Raporlamao Duran Varlıklar Muhasebesi
• İnsan Kaynakları Yönetimi, Bordro ve Seyahat Yönetimio Bordroo Personel Yönetimio Seyahat Yönetimi
• Proje Yönetimi• Uygulamalar arası bileşenler• BASIS
o Database Yönetimio SAP Güvenlik işlemleri, denetim ve kullanıcı arayüzüo Sistem Yönetimi
DEPARTMAN BAZLI SÜREÇ DİYAGRAMLARININ HAZIRLANMASI
Bu aşamada her bir departmanla birebir görüşmeler yapılarak, süreç diyagramları oluşturulmakta, bu süreçte kullanılan SAP fonksiyonaliteleri departman bazında listelenmekte, süreç portaline yüklenmekte ve size sunulmaktadır.
o Süreçlerin ve alt süreçlerin belirlenmesio Süreç sahiplerinin analiz edilmesio Her bir süreçte kullanılan işlem kodlarının belirlenmesi
DEPARTMAN BAZLI SAP SORUMLULUKLARININ BELİRLENMESİ
Süreç diyagramlarının çizilmesi ve bu süreçlerde mutabık kalınmasının ardından, kurum içerisindeki tüm operasyonlarda kullanılan SAP işlemkodlarındaki sorumlu kullanıcılar belirlenecek ve listelenecektir.
GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASIDepartmanlar ile yapılan analiz çalışmaları kapsamında, uluslararası en iyi uygulamalar çerçevesinde görevler ayrılığı ilkesi kuralları ile kurumbazında risk oluşturan yetki grupları belirlenerek yeni bir matris oluşturulur.
GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASI - DEVAMIOluşturulan görevler ayrılığı matrisini oluşturan tüm işlem kodları listelenerek sizlere sunulmaktadır;
GÖREVLER AYRILIĞI KURAL SETLERİNİN OLUŞTURULMASI - DEVAMIGörevler ayrılığına aykırı süreçlerin ve kritik aksiyonların sistemde oluşturduğu riskler tanımlanmaktadır;
YENİ OLUŞTURULACAK ROLLERİN İSİMLENDİRMESİYapılan analizler neticesinde oluşturulacak yeni rol yapısı için süreç ve alt süreçler bazında isimlendirme prosedürleri belirlenecek ve roltasarımı bu isimlendirmeye göre revize edilecektir. Bu çalışma kapsamında;
o Süreçlerin ve alt süreçlerin belirlenmesio Rol tiplerinin belirlenmesio Rol Metni
• Rol tanımı içinilk karakter
Z
• Rol Tipi (Münferit, Toplu, Türetilmiş vb.)
S• Önceden
belirlenmişmetin
_
• Rolün içerdiğisüreç
MM• Önceden
belirlenmişmetin
-
• Rolün içerdiğialt süreç
TEKLIF• Önceden
belirlenmişmetin
_
• Serbest Metin
DEGISTIR
UYGUN ROL YAPISININ SUNULMASIDepartmanlarla yapılan analizler neticesinde görevler altında kullanılması gereken roller belirlenerek detaylandırılacaktır.
UYGUN ROL YAPISININ SUNULMASIDetay roller altında, standart SAP işlem kodları ve ERP implementasyonu kapsamında geliştirilen işlem kodları eklenerek granüler bazda rolyapısı listelenecek ve paylaşılacaktır.
ROLLERİN KULLANICILARA TAYİNİGörevler ayrılığı ilkesine bağlı kalınarak hazırlanan yeni rol yapısının, SAP kullanıcılarına tayini tasarlanmakta ve bu tasarım sizler tarafındanonaylanmaktadır;
GRC VERİ AKTARIMI ÖNCESİ GÖREVLER AYRILIĞI ANALİZİNİN ALINMASIKurum süreçlerinin dokümante edilip, rollerin ve kullanıcıların rol tayininin belirlenmesinin ardından, GRC sistemine veri transferi öncesindeSAP sisteminde yazılan geliştirdiğimiz “Görevler Ayrılığı İhlal Raporu” ile tasarım için güvence alınmaktadır. Oluşturulan yeni rol yapısısizlerden onay aldıktan sonra, ERP ve GRC sistemlerine aktarılacaktır.
ROL TASARIMI VE İŞ AKIŞLARININ TANIMLANMASIGRC Access Control sistemi için uygun rol yapısının ve kullanıcı rol tayininin oluşturulmasının ardından bundan sonraki süreçte yetkilerinsağlıklı bir şekilde yönetilmesi için uygun iş akışları kurgulanacaktır. Bu kapsamda;
q Yetki Risklerinin Yönetilmesiq Acil Durum Yönetimiq Yetki Talebi Yönetimiq Rol Yönetimi
Bu ürünler kapsamında aşağıdaki kullanıcı ve yetki sahiplerinin analizi yapılmaktadır;
o Rol sahibi konsepti ve rol sahiplerinin belirlenmesio Risk sahibi konsepti ve risk sahiplerinin belirlenmesio Firefighter konsepti ve firefighter kullanıcılarının belirlenmesio Kontrol sahibi konsepti ve kontrol sahibi kullanıcılarının belirlenmesio E-mail bildirim akışları
o E-mail içeriklerio POC konsepti ve POC sahiplerinin belirlenmesi
YETKİ RİSKLERİNİN YÖNETİLMESİ İŞ AKIŞI ANALİZ ÖRNEĞİ
ACİL DURUM YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ
YETKİ TALEBİ YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ
ROL YÖNETİMİ İŞ AKIŞI ANALİZ ÖRNEĞİ
EĞİTİM VE TESTLERSistemde tüm konfigürasyonlar tamamlandıktan sonra önceden hazırlanmış eğitim ve test doküman yapısı ile sizlerle mutabık kalacağız.
TEŞEKKÜ[email protected]