ERP Kullanan Kurumlarda Güncel Kontrol Yaklaşımı & Bu Yaklaşımların Sürdürülebilirliğine Hizmet Eden GRC Teknolojileri

(1)

ERP Kullanan Kurumlarda Güncel Kontrol Yaklaşımı

&

Bu Yaklaşımların Sürdürülebilirliğine Hizmet Eden GRC Teknolojileri

www.pwc.com.tr

……….…

…

12. Çözüm Ortaklığı Platformu

9 Aralık 2013

(2)

İçerik

1. ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

2. ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu?

3. ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın

4. Yönetişim, Risk ve Uyum (GRC) Uygulaması

 GRC Risk Yönetimi & Süreç Yönetimi - Genel Bakış

 GRC Erişim Yönetimi - Genel Bakış

5. GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

6. GRC Yatırımının Geri Dönüşünde Kritik Noktalar

(3)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Fa yd a / D eğer İl iş ki si

Canlıya Geçiş

İyileştirme/

Optimizasyon

Gerileme

√

X Denge

Gelişim

Günümüzde iç kontrol ortamının işlerlik kazandığı noktada ERP sistemleri ön plana çıkmakta; İç kontrol yapısını, ERP sistemine entegre etmeyi başaran firmalar varlıklarını daha iyi yönetebilmektedir.

Zaman

9 Aralık 2012 12. Çözüm Ortaklığı Platformu

(4)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Fa yd a / D eğer İl iş ki si

Canlıya Geçiş

İyileştirme/

Optimizasyon

Gerileme

√

X Denge

Gelişim

Operasyonel

Süreçlerin İçerisindeki Onay

Mekanizmalarının Etkin Olarak

İşletilmiyor Olması

(5)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Fa yd a / D eğer İl iş ki si

Canlıya Geçiş

İyileştirme/

Optimizasyon

Gerileme

√

X Denge

Gelişim

Zaman Konfigurasyon

Kaynaklı sorunlar.

İ.e.: Mal

hareketlerinde çalışan hatalı hesaplar

(6)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Fa yd a / D eğer İl iş ki si

Canlıya Geçiş

İyileştirme/

Optimizasyon

Gerileme

√

X Denge

Gelişim

Kullanıcı Kaynaklı

sorunlar. İ.e.: Üretim

siparişlerine teyit

verilirken sarf edilen

alt bileşen miktarı

olarak 3 kilo yerine 30

kilo girilmesi sonucu

ürün maliyetinin

hatalı hesaplanması.

(7)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Fa yd a / D eğer İl iş ki si

Canlıya Geçiş

İyileştirme/

Optimizasyon

Gerileme

√

X Denge

Gelişim

Zaman ERP uygulamanıza

özgü risklerden ve kontrol noktalarından haberdar mısınız?

ERP uygulamanız yönetim

raporlaması ve finansal

raporlama ihtiyaçlarınızı karşılıyor mu?

ERP

sisteminizin etkin ve verimli kullanımını sağlayabiliyor musunuz?

Görevlerin ayrılığı prensibine uyumlu bir yetkilendirmeye sahip misiniz?

(8)

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi (Devamı)

ERP Sisteminiz

Risk Bazlı Yönetim Yaklaşımınız ile

Uyumlu mu? İç Kontrol Risk Yönetimi

İç Denetim

ERP

(9)

PwC

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi (Devamı)

Kurum Genelinde Risk Bazlı Bir

Yönetim Yaklaşımı Olmasına Rağmen ERP Sisteminin

Kurumun Risk Bazlı Yönetim Yaklaşımı ile

Uyumlu Olmasını Engelleyen Bazı Temel Faktörler Vardır.

Risk Yönetimi İç Kontrol

İç Denetim

ERP

9 9 Aralık 2012 12. Çözüm Ortaklığı Platformu

(10)

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu?

Sıkça Karşılaşılan Zorluklar

 Yönetimin risk iştahının ERP ortamına yansıtılamaması

Süreçler

OTC PTP RTR R&D Commercial SCM

Vendor Master Data - Shared

IS

Invoice

Customer Invoicing Record

Journals Clinical Trial accounting

Sales Force Management

Production Planning Plan & Organise

Payables Royalties Quality

Management Despatch -

Shared Deliver &

Support

Vendor Master Data

Monitor &

Evaluate

Engaging health care professionals

Despatch R&D Batch

Identification Invoicing -

Shared

Acquire and implement Meeting

Hospitality &

Sponsorship

Yönetimin Risk İştahı

ERP Kontrolleri

▪ Fiyat Yönetimi

▪ Kredi Limit Yönetimi

▪ Onay Mekanizmaları

▪ Uyarlama Kontrolleri

▪ Yetki Kontrolleri

▪ Kritik Yetki

Kombinasyonları

(11)

Sıkça Karşılaşılan Zorluklar

 Yönetimin ERP risklerinin farkında olmaması

Süreçler

OTC PTP RTR R&D Commercial SCM

Vendor Master Data - Shared

IS

Invoice

Customer Invoicing Record

Journals Clinical Trial accounting Sales Force

Management Production Planning Plan & Organise

Payables Royalties Quality

Management Despatch -

Shared Deliver &

Support Vendor Master

Data Monitor &

Evaluate

Engaging health care professionals

Despatch R&D Batch

Identification Invoicing -

Shared Acquire and

implement Meeting

Hospitality &

Sponsorship

Yönetimin Risk İştahı

ERP Kontrolleri

▪ Fiyat Yönetimi

▪ Kredi Limit Yönetimi

▪ Onay Mekanizmaları

▪ Uyarlama Kontrolleri

▪ Yetki Kontrolleri

▪ Kritik Yetki Kombinasyonları

Operasyonel süreçler içerisine konumlandırılır ve önleyici kontrol yapısı ile iç kontrol ortamını güçlendirir.

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? (Devamı)

(12)

Sistem Kontrolleri Süreç Kontrolleri Tek Seferlik- Satıcı

Fatura Blokajı

Tek Seferlik Satıcı ile Yapılan İşlemlerin Kontrolü

Suistimal Riski

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? (Devamı)

 Risklerin Bilinmemesi, Sahiplenilmemesi Potansiyel etkilerinin ölçümlenememesi

Tek Seferlik Satıcı Ana Veri Yaratma Yetkisi X Satıcı Faturası Girişi Tek Seferlik Ana Veri Yaratma Yetkisi

(13)

Tipik Bir İnanış….

ERP sistemleri kontrolleri

otomatik olarak geliştirir.

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? (Devamı)

(14)

ERP Sistemleri…

Kontrolleri otomatik olarak

Geliştirmez...

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? (Devamı)

• Finansal bilgileri entegre eder- tek, güvenilir ve doğru bilgiye ulaşım sağlar.

• Müşteri siparişlerini entegre eder.

• Üretimi standart ve daha hızlı hale getirir.

• Stok Maliyetlerini azaltır- fiyat ve rekabet avantajı sağlar.

ANCAK…

(15)

PwC

ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın…

Risk Stratejisi

Üst Yönetim Kararları

ERP

GRC

Risk Yönetimi Çerçevesi

Risk Yönetimi

Erişim Yönetimi Süreç Yönetimi

15 9 Aralık 2012 12. Çözüm Ortaklığı Platformu

(16)

Yönetişim, Risk ve Uyum (GRC) Uygulaması

Temel Bileşenler

Risk Yönetimi GRC

Aralıksız Takip…

SÜREÇ YÖNETİMİ

2 3

RİSK YÖNETİMİ

1

ERİŞİM YÖNETİMİ

(17)

GRC Risk Yönetimi & Süreç Yönetimi - Genel Bakış

RİSK YÖNETİMİ

1

Risk Değerlendirmesi

Politika &

Prosedürler ERP

Strateji Temel Risklerin

Belirlenmesi ve raporlama

• Kurumsal risklerin sistematik bir yaklaşımla yönetilmesini sağlayan altyapıuyı sunar.

• Süreç yönetimi modülü ile bağlantı kurarak riskleri ilgili süreç kontrolleri ile eşleştirir.

Özelleştirilmiş ve süreç bazında detaylandırılan risk / kontrol altyapısı

Kontrol testleri için önerilen bir platform

- Test plarnı

- Kontrol sıklığı, Örneklem Seçimi - Önleyici kontroller yönetimi

Sürekli Gözlem

 Uyarlama kontrolleri

 Mal girişinde çalışan miktar kontrollerinde tolerans değişiklikleri

 Algoritma ile Çalışan Raporlar (yarı otomatik kontroller)

 Tek seferlik satıcılardan yapılan satın alımların toplam satın alımların belirli bir oranını aşması durumu

1 2

3

4 GRC

Süreç Yönetimi

Raporlar

SÜREÇ YÖNETİMİ

2

• Manuel kontrollerin

otomatizasyonuna imkan verir

• Konfigurasyon kontrollerine yönelik değişikliklerin gerçek zamanlı analizini sağlar

• Kontrol etkinliğinin düzenli değerlendirilmesini sağlayan bir altyapı sunar

(18)

GRC Erişim Yönetimi - Genel Bakış

ERİŞİM YÖNETİMİ

• Erişim talep sürecinde onay mekanizmalarını hayata geçirir. Kritik taleplerin özel onaylardan geçmesini sağlar.

3

Adım 1 Adım 2

Satıcı Ana Veri Yaratma Yetkisi

Fatura Girişi Yetkisi

Talepler

Erişim Risk Analizi

Rol Sahibi

Risk Sahibi

(19)

GRC Erişim Yönetimi - Genel Bakış

ERİŞİM YÖNETİMİ

• Erişim risklerini tespit eder. Kabul edilebilen erişim riskleri için önleyici kontrolleri devreye sokar.

3

Adım 1 Adım 2

Satıcı Ana Veri Yaratma Yetkisi

Fatura Girişi Yetkisi

Talepler

Erişim Risk Analizi

Rol Sahibi Risk Sahibi

ONAY

Önleyici Kontrol Sahibi

Önleyici Kontrol

(20)

GRC Erişim Yönetimi - Genel Bakış

GRC Yetki Yönetimi

Risk Yönetimi

A Talep Yönetimi

B ERİŞİM YÖNETİMİ

• Kritik erişim yetkilerinin ve görevlerin ayrılığı prensibini ihlal eden yetkilerin düzenli kontrolünü sağlayan bir altyapı sunar.

3

(21)

Kural Setleri

Hassas Yetki Görevler Ayrılığı

Kural Seti

Süreçler i.e. Satış ve Ticari Alacaklar

Süreçler…

i.e. Finans ve

Muhasebe

Risk B

Fonks

iyon 1 Fonks iyon 2 Yetkiler

Yetkiler Yetkiler

Fonks iyon 3 Risk A

Satış siparişinin yaratılması ve Faturasının kesilmesi Müşteriye yapılan satışlar ve faturalardaki tutarlar üzerinden usulsüzlük yapılabilmesine olanak verebilir.

SOD (Segregation of Duties / Görevler Ayrılığı) : Personele çelişkili görevleri atayarak oluşturulan hata veya usulsüzlük riskini önlemek veya azaltmak için tasarlanmış bir iç kontrolüdür.

SA (Sensitive Access / Hassas Yetki) olarak tanımlı işlemler sadece yetkin kullanıcılara atanmış işlemler olmalıdır.

SA olarak tanımlı işlemler analiz raporlarında raporlanır.

Kritik FI işlemleri

Dönem Açma/Kapama Sisteme Kur girişi v.b

A

GRC Erişim Yönetimi - Genel Bakış (Devamı)

GRC

GRC - Risk Yönetimi

(22)

A

GRC Erişim Yönetimi - Genel Bakış (Devamı)

SOD/SA KURAL Satış Siparişi Yaratma X Satış Faturası Girme Yetkisi

Kontrol

Satış Fiyatında Usulsüzlük

GRC ERP

SOD RİSK

ÖRNEK

Satış Siparişi Yaratma Yetkisi

Fatura Yaratma Yetkisi

GRC - Risk Yönetimi

(23)

• Erişim talep / onay sürecini hızlandırır, standardize eder.

• Kontrol odaklı altyapısı ile denetçiler için denetlenebilir takip ortamı sağlar.

• Gerçek zamanlı risk analizi yapılmasına olanak verir

Ana Fonksiyonlar

B

GRC Erişim Yönetimi - Genel Bakış (Devamı)

Otomatik Erişim Sağlama

Talepler

Onaylar

Kullanıcı Verisi &

Kimlik Doğrulama

ERP

Erişim Risk Analizi

Adım

1 Adım

2 Adım

3

Müdür Rol Sahibi Risk Sahibi

Talebi Başlat

ERP HR ERP

GRC - Talep Yönetimi

(24)

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

Tecrübe edilen GRC Kurulum Metodolojileri ile kurulum riskleri azaldı, kurulum süresi hızlandı.

Regulasyonlar ile gelen «sürekli kontrol» gereklilikleri ve ERP sisteminin teknik altyapısının karmaşıklığı, ERP sistemini denetlemek için otomatize edilen bir yaklaşımın gerekliliğini ortaya koydu.

GRC Teknolojileri son 10 yıldır gelişiyordu. Yeterli olgunluk düzeyine ulaştı.

Dünyada - özellikle Avrupa’da - tamamlanan birçok kurulum sonucunda dersler öğrenildi, kazanımlar ölçümlenebildi.

Kurulum yapılan şirket GRC’yi kullanabilecek mi?

GRC’den beklenen fayda sağlanabilecek mi ? gibi soruların cevapları tecrübe edilerek öğrenildi. GRC Yönetim Modeli Deneyimlendi.

Üst Yönetim risklerini sistematik bir yaklaşımlar yönetebilmek istiyor…

...GRC

teknolojileri bu konuda öncü olarak kabul

ediliyor…

(25)

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

(26)

Piyasada Bulunan

GRC Çözümleri

Tasarım GRC Çözümleri

Exceller’de risk ve kontrol yönetimi

5%

11%

84%

2005

% GRC Teknolojilerine Yatırım Yapan Şirketler

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

(27)

PwC

5%

11%

84%

2005 Tasarım

Excellerde Risk ve Kontrol Yönetimi

GRC Çözümleri 44%

21%

35%

2010

% GRC Teknolojilerine Yatırım Yapan Şirketler

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

9 Aralık 2012

* PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır.

12. Çözüm Ortaklığı Platformu

(28)

Piyasada Bulunan GRC

Çözümleri 58%

14%

28%

2012 Piyasada

Bulunan GRC Çözümleri

5%

11%

84%

2005 Tasarım

GRC Çözümleri 44%

21%

35%

2010

% GRC Teknolojilerine Yatırım Yapan Şirketler

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

(29)

13% 87%

Yes No

GRC ErişimYönetimi Uygulamalarını

kullanmakta olan firmaların %60’ı yakın zamanda upgrade etmeyi düşünüyorlar. Temel nedenlerin başında GRC Süreç Yönetimi

Çözümü ile

entegrasyon geliyor.

57%

43%

Yes No

% GRC ErişimYönetimi Çözümünü

Uygulamakta Olan Şirketlerin Yüzdesi

% GRC Erişim Yönetimi Çözümünü upgrade

etmeyi düşünen Şirketlerin yüzdesi

* PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır.

% GRC Teknolojilerine Yatırım Yapan Şirketler

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

Risk Yönetimi

Erişim Yönetimi

Süreç Yönetimi

(30)

% GRC Teknolojilerine Yatırım Yapan Şirketler

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

• Firmalar Piyasa Bulunan GRC Uygulamalarına Güveniyorlar.

• Kuruluma En Temel Katman Olan –

Erişim Yönetimi – Katmanı ile

başlıyorlar.

• Ve Fayda Sağladıkça Bir Üst Katmana

Doğru Uygulamayı Genişletiyorlar.

GRC

(31)

PwC

GRC

Denetim İç

İç Kontrol

Süreç Sahipleri

Departma BT nı Uzmanlar ERP

ı Denetçile Dış

r

Kilit Paydaşlar…

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

(32)

GRC Yatırımının Geri Dönüşünde Kritik Noktalar…

GRC konusunda yatırım yapmayı hedefleyen ancak etkin bir ERP altyapısı genel kontrol ortamını işletemeyen firmalar, GRC kurulumu öncesi - rollerin düzeltilmesi – iyi uygulamalar çerçevesinde yeniden yapılandırılması - konusunu öncelikli olarak gündeme alıyorlar.

Teknik kurulumu öncesi, süreç ve alt süreç detayında risklerin ve riskleri bertaraf eden kontrollerin belielenmesi için projeler

düzenliyorlar.

Altyapısal düzenlemeler

tamamlanmadan ^ve kontrol

farkındalığını oturtmadan hayat

geçirilen uygulamalar, çoğu zaman binlerce

ilgili / ilgisiz yetki çakışmasını veya süreç

kontrollerini ortaya çıkaran yönetilemez

(33)

ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın…

Manuel Kontroller

ERP Destekli Otomatik Kontroller

ERP Altyapısı Genel Kontrol Ortamı

Görevlerin Ayrılığı Prensibi

PwC

Risk Yönetimi GRC

Aralıksız Takip…

(34)

Sorular...

(35)

Teşekkürler...

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, [insert legal name of the PwC firm], its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.

© 2010 [insert legal name of the PwC firm]. All rights reserved. In this document, “PwC” refers to [insert legal name of the PwC firm] which is a member firm of PricewaterhouseCoopers International Limited,