Kurumsal uygulama kontrol yönetimi

SOX, Basel II, BDDK BT Denetimi ve benzeri düzenlemeler, kurumların finansal veriler üzerinde iç kontrollerini hayata geçirmelerini zorunlu kılmaktadır. Yakın zamana kadar finansal ya da hassas veriler üzerindeki kontroller bölüm seviyesinde yönetilir, yöneticiler nadiren kontrollerin yönetimine karışır ya da sorumlu tutulurlardı. Yeni yasal düzenlemeler ile bu durum değişti; artık, üst düzey yöneticiler verilerin doğruluğu ve kontrollerin etkinliğinden sorumlu tutuluyorlar.

Finansal ve hassas verilere erişimin kontrol edilmesi, düzenlemelere tabi kurumlar için yüksek öncelik teşkil etmektedir. Finansal veriler genellikle ERP (kurumsal kaynak planlama) uygulamalarında saklanmakta ve yönetilmektedir. ERP uygulamaları karmaşık yetki modelleri ve iş süreçlerine sahiptirler. Birçok organizasyon kimlik yönetim teknolojileri uygulayarak ERP uygulamaları üzerinde hesap yönetimi gerçekleştirmekte ya da gerçekleştirmeyi planlamaktadır. Kimlik yönetim sistemlerini üretenler bu konuda yetkin çözümler sunmaktadır. Bununla beraber, kurumlar kontrole daha duyarlı hale geldikçe kimlik yönetim sistemlerinin ERP ortamlarındaki sınırlarını fark etmektedirler. Kurumların ERP ortamlarında daha rafine yetkilendirmeye (fine-grained authorization) ve görevlerin ayrımının (segregation of duties) uygulanmasına ihtiyaç duymaktadırlar. Bu ihtiyacı karşılamak amacıyla kurumsal uygulama kontrol yönetimi çözümleri geliştirilmiştir.

Kurumsal uygulama kontrol yönetimi çözümleri son üç yılda önemli bir gelişim gösterdi. Kurumlar, kimlik yönetimi ile bütünleştirilmiş kurumsal uygulama kontrol yönetimi çözümleriyle etkin kimlik ve görevlerin ayrımı kontrollerini, ERP uygulamaları içerisinde uygulamayı hedeflemektedirler.
Kurumsal uygulama kontrol yönetimi sistemlerinin sağladığı özelliklerin bazılarını şöyle sıralayabiliriz:

• Önceden tanımlanmış görevlerin ayrımı politikaları kütüphaneleri,

• Risk analiz ve yönetimi,

•  İş akışı temelli yetki ve rol değişiklileri için onay süreçleri,

• Simülasyon ile olası risklerin tespiti,

• ERP rolleri için tanımlama araçları,

• Kritik işlemlerin izlenmesi ve sahtekarlık/hile/dolandırıcılık tespiti,

• Ayrıcalıklı kullanıcı hesaplarının yönetimi.

Bir örnek senaryo, sistemin çalışması konusunda fikir verici olacaktır; kimlik yönetim sistemi ERP üzerinde bir kimlik operasyonu talebini kurumsal uygulama kontrol yönetim sistemine gönderir, sistem görevlerin ayrımı kurallarında bir ihlal olup olmadığını test eder. Eğer bir problem tespit edilirse bu durum ilgili kişilere bildirilir. İhlal giderildikten sonra işlem ERP uygulamasında gerçekleştirilir.
Kurumsal uygulama kontrol yönetimi sistemleri, kimlik yönetimi ve kurumsal rol yönetimi çözümlerine ek bir kontrol kademesi eklemektedir. Kurumlar bu teknolojileri entegre ederek kontrol ve uyumluluk gereksinimlerinin otomasyonu yönünde önemli bir yol almış olacaklardır.

Hoşçakalın
Orhan Alkan
Sun Microsystems Türkiye Çözüm Mimarı