Bu makalemizde SAP GRC çözümünden genel hatları ile bahsedeceğim. Öncelikle “SAP GRC Nedir” sorusunun yanıtı ile başlayalım: Governance, Risk and Compliance kelimelerinin kısaltması olan GRC, kaynaşmış uygulama sistemleri, şirket içerisindeki aktiviteler ve aşamalı şirket yönetimi gibi birçok sürecin risk yönetimini tamamlayan ve birbirine bağlı bir süreç olarak kaynaştıran bir çözümdür. SAP GRC bölünmüş şirket süreçlerini ve aynı zamanda düzensiz stratejilerden kaynaklanan sorunların çözümünde ve denetiminde bir ek yönetim kolaylığı getirir. SAP GRC kullanımı için SAP NetWeaver uygulama platformu teknolojik tabanı oluşturur. Bağımsız işletim sistemleri üzerine kurulan GRC sistemleri sürekli bir denetim ve otomatik süreçlerin kontrolü ve denetimi için bir ön koşuldur. Bu sistem şirket içindeki hükümlerin (Corporate Governance) ve bu hükümlerin denetimi, risk yönetimi, erişim ve yetki dağılımı ve ayni zamanda uluslararası ticarette geçerli olan koşullar ve yönetmeliklerin yönetimi gibi değişik bölümler için hazırlanmıştır.
SAP GRC Access Control şirket içindeki erişim ve yetki dağılımını öngörülen kurallara uygun olarak yönetimini sağlar. Örneğin, satış talebi açan kullanıcı satışı onaylamamalı, stok girişi yapan kullanıcı stok sayımı yapmamalıdır. Access Control yetki dağılımından kaynaklanan tehlikelerin ve risklerin yönetimini ve denetlemesini kolaylaştırır.
Risk Analizi ve Risk Arındırması (Risk Analysis & Risk Remidation)
Şirket içinde yetki ve rollerden kaynaklanan risk tanımlaması ve SAP rollerine dayalı risk arındırması GRC üzerinden yapılır. GRC önceden hazırlanmış bir kural kataloğuna dayalı olarak yetkilerdeki riskleri ortaya koyar ve arındırma sürecine katkı sağlar. SAP GRC ile farklı risk analizi raporları üretebilirsiniz;
• Action Level: İşlem kodu düzeyinde SoD (Segregation of Duties) analizini gerçekleştirmek için kullanılabilir.
• Permission Level: Yetki nesnesi ve aktiviteler düzeyinde SoD analizini gerçekleştirmek için kullanılır.
• Critical Actions: Kritik bir işleve erişimi olan kullanıcıları analiz etmek için kullanılabilir.
• Critical Roles/Profiles: Kritik roller veya profillere erişimi olan kullanıcıları analiz etmek için kullanılabilir.
Geliştirilmiş Rol Yönetimi (Enterprise Role Management)
SAP sistemleri yetki yönetimini şirket isteklerine göre hazırlanmış yetki rolleriyle sağlar. Access Control rol yönetimini ve rol ya pimini direk rolleri kullanan şirket bölümlerinin eline verir. Kendi yetkileri için gerekli rolleri uyarlayan rol yöneticileri GRC üzerinden önceden hazırlanmış kural ve risk kataloğunu kullanarak uyumlu ve risklerden arınmış rolleri oluştururlar.
Uyumlu Kullanıcı Erişimi (Compliant User Provisioning)
SAP sistemine erişmesi gereken kullanıcılar önceden kurulmuş bir onay sürecinden geçer. Bu onay süreci içerisinde onay veren kişiler, yeni kullanıcının talep ettiği yetkileri yine risk kataloğu süzgecinden geçirerek erişimin SAP sistemi içerisinde güvenli olmasını sağlarlar.
Gelişmiş Kıdemli Kullanıcı Yönetimi (Super User Privilege Management)
SAP sistemlerinde verilen geçici ek yetkilerin yönetimi genellikle şirket güvenliği içinde belli eksiklikler yaratır. Belli durumlarda kullanıcıların ek yetkileri elde edebilmesi için Access Control itfaiye (Fire Fighter) görevini üstlenerek kısa süreli yetki genişlemesi sağlar. Şirketin güvenlik kurallarına uygun olarak sağlanan bu erişim süresince yapılanlar detaylı bir seyir protokolüyle raporlanır.Özetle, SAP GRC Access Control ile kullanıcıların uygulama ve verilere erişme sürecini hızlandırabilirsiniz. SAP GRC Access Control ile erişim sağlama ve doğrulamayı otomatikleştirebilir, önleyici politika kontrollerini kullanabilirsiniz. Ek olarak acil erişim etkinliğini izleyebilir ve işletme sahiplerinin en az BT desteğiyle sistem erişimini yönetmesine olanak sağlayabilirsiniz.Bu yazımızda genel hatları ile SAP GRC çözümünden bahsettik. Detaysoft Blog sayfamızdan başta SAP uygulamaları olmak üzere birçok teknolojik konuda bilgi alabilirsiniz.