Deloitte. Entegre iú uygulamaları ile de÷iúen risk ve kontrol profili FATøH EMøRAL Deloitte, Kurumsal Risk Hizmetleri F onksiyon odaklı birbirinden ba÷ımsız çalıúan uygulamalardan, süreç odaklı entegre uygulamalara geçiú; verimlilik artıúı, müúteri, kurum içi ve tedarikçi ihtiyaçlarına daha hızlı yanıt verebilme ve raporlama kabiliyetinin güçlendirilmesi imkanlarını sunarak, kurumlara önemli avantajlar sa÷lamaktadır. Ancak bu stratejik karar, sadece bir uygulamanın seçilmesi, satın alınması ve kuruma uyarlanmasının ötesinde, sonuçları ve aúılması gereken zorlukları, sa÷layabilece÷i faydalar ile birlikte taúımaktadır. Entegre uygulamalara geçiú; úirket süreçlerini, úirketin mevcut risklerini ve bu risklere karúı kurulmuú olan kontrol yapısını köklü biçimde ve e÷er iyi planlanmamıú ise oldukça sancılı de÷iútirmekte, kurumun iú süreçlerinde ve bilgi teknolojileri deste÷inde görevli çalıúanlarını, adapte olunması ve úirket ihtiyaçlarına uygun iúletilmesi gereken yepyeni bir dünya ile karúı karúıya bırakmaktadır. Entegre iú uygulamaları ile de÷iúen stratejik risk alanları ve bu risklere karúı uygulanabilecek kontrol yöntemleri olarak aúa÷ıdaki konulardan bahsetmek mümkündür: Kurumsal de÷iúim yönetimi ve e÷itim Entegre iú uygulamalarının kullanıma alınması ile kurumun organizasyonel yapısı mutlaka belli bir de÷iúime u÷ramakta, çalıúanlar iúlerini yeni bir platform üzerinde, fonksiyonel organizasyondan süreç organizasyonuna geçerek yürütmeye baúlamaktadırlar. Böyle bir de÷iúim projesine kullanıcıların yeterince dahil olmaması veya dahil edilmemesi, hem ihtiyaca yönelik bir ürünün ortaya çıkmasını hem de gerekli kontrollerin zamanında uygulanmasını engelleyebilir. Ayrıca yeni organizasyonel yapıya geçiú konusunda kullanıcıların ve yeni sistemden etkilenen tüm tarafların deste÷inin kazanılamaması, proje baúarısını önemli derecede olumsuz etkileyecektir. Kurumsal de÷iúim ile ilgili kullanıcıların projeye aktif katılımı ve kullanıcıların yeni platform ve süreç e÷itimleri konusunda harcanacak parasal ve zaman kayna÷ı, genellikle proje bütçesinin düúük tutulabilmesi amacı ile düúük gösterilmektedir. Ancak bu konudaki yetersiz planlama ve çaba, entegre iú uygulamalarına geçiúten elde edilmesi beklenen faydanın sa÷lanamamasının en önemli nedenlerindendir. Di÷er taraftan modern platformlar üzerinde çalıúmak üzere e÷itilen gerek iú süreçlerinde görevli gerekse teknik personelin iú gücü piyasasında daha aranır olması da kurum açısından iú gücünü kaybetme riskine neden olabilmektedir. Bu konudaki riskler aslında statükonun de÷iúimini gerektiren her projede karúılaúılan riskler olup, üst yönetim ve projeden etkilenen tüm personelin yeni yapının gerekleri konusunda bilgilendirilmesi, e÷itilmesi ve desteklerinin alınması ile aúılabilir. Yeni uygulamayı kullanacak olan personelin, yeni uygulamalar ile en kısa zamanda tanıútırılması ve deneyim kazanmalarının sa÷lanması, projede zaman kaybını engelleyecektir. Planlama ve proje yönetimi Entegre iú uygulamalarına geçiúte karúılaúılan en önemli zorluklardan bir di÷eri, kaynak yönetimi, etkili ve detaylı proje planlamasıdır. Planlama ve gerçekleúmelerin takibi, projenin insan, iú süreçleri ve teknoloji boyutlarını içermesi ve her boyutun birbiri ile etkileúim içinde olması nedeniyle oldukça karmaúık bir hal alabilir. Entegre iú uygulaması projelerinde, insan boyutu ile iliúkili önceliklendirme, kaynak paylaúımı, proje takımının yapılanması, disiplin, proje deste÷i ve iletiúim faktörleri, di÷er boyutlar olan iú süreçleri ve teknoloji ile ilgili riskler kadar önem arz etmektedir. Planlama ve proje yönetimi konusundaki risklere karúı proje planının net olması, gerekli detayları içermesi, gerekli özellikleri taúıyan bir proje yöneticisi tarafından yönetilmesi ve tabi ki, proje Member of Deloitte Touche Tohmatsu Deloitte. performansının yakın takipte tutulması ve aksayan yönler için gerekli önlemlerin alınması gerekmektedir. Proje planı; gerekli kaynakları, kaynaklar ve iúler arası iliúkileri, belli tarihleri ve bu tarihlerde teslim edilmesi veya yerine getirilmesi gereken iúleri içermelidir. Proje yöneticisi, bilgi teknolojileri ve iú süreçlerinden sorumlu karar vericileri bir araya getirerek, gerekli kararların zamanında alınmasını sa÷lamalıdır. Üst yönetim / sponsor deste÷i Kuúkusuz hem proje yöneticileri hem de kullanıcılar, üst yönetim deste÷ini görememeleri ve gerekli kaynakların sa÷lanmaması sonucunda hayal kırıklı÷ına u÷rayacaktır. Bu konuda proje yöneticilerinin gösterece÷i çaba dahi yeterli baúarıyı getirmeyecektir. Üst yönetimin daha proje baúlamadan somut göstergelere dayanarak, projenin getirece÷i faydanın ayrılacak kaynaklara de÷ip de÷meyece÷ini net olarak görmesi, projenin uygulanmasına karar verilirse, gerekli kaynak ayırma ve izleme faaliyetini yerine getirmesi çok önemlidir. Aksi takdirde baúarı bir tesadüf olacak veya kaynak israfı ile proje sonlanacaktır. Danıúmanlar ile iliúkiler Danıúmanlar deneyim ve bilgileri ile entegre iú uygulamaları için önemli fayda sa÷lamakta, ancak sadece onların varlı÷ı projenin baúarısı için yeterli olmamaktadır. Kurumlar, danıúmanların kurum ihtiyaçlarını çok iyi bilecekleri hissine kapılarak, süreçler ile ilgili kararlar ve uygulamanın kurum ihtiyaçlarına göre úekillendirilmesinde yeterince katılımda bulunmamaktadırlar. Bir baúka hata da çalıúır bir sistem ortada yok iken sadece teslim edilen tasarım ve dokümanlar için danıúmanlara proje teklif fiyatının önemli miktarının ödenmesidir. Kurumlar bazen sadece sistemin çalıúır hale gelmesine öyle odaklanmaktadırlar ki, daha sonraki sorunların giderilmesi, geliútirmelerin yapılması ve danıúmanlardan bilgi transferi yeterince gerçekleútirilmeden, danıúmanlar ile birlikte çalıúmaya son vermekte ve proje takımını da÷ıtmaktadırlar. Proje maliyeti Proje maliyetlerini öngörülen seviyenin üzerine çıkaran bazı nedenlerden yukarıda bahsedildi. Proje maliyetinin yanlıú bütçelenmesi, belki de yatırım kararının hatalı alınmasına yol açacaktır. Bu nedenle entegre iú uygulamalarına geçiú ile ilgili teknik, organizasyonel, e÷itim ve destek ile ilgili tüm maliyet kaynaklarının gerçekçi ve kurum için en etkin sonucu üretecek biçimde ortaya konması, maliyet kaynaklı hayal kırıklı÷ı ve baúarısızlık sonucunu engelleyecektir. Uygulamanın fonksiyonel yeterlili÷i Kurumlar entegre iú uygulamalarını detaylı olarak incelediklerinde ya da daha kötüsü uygulamayı gerçek ortama aldıklarında, entegre iú uygulamasının kurumsal iú süreçlerini yeterli derecede desteklemedi÷ini fark edebilir. Bunun nedeni, kurumların iú ihtiyaçlarını yeterince analiz edip ortaya koymadan entegre iú uygulaması sa÷layan kurumların sunumlarından, bu uygulamaların kurumsal iú süreçlerini yeterli derecede destekleyece÷i sonucuna ulaúmalarıdır. Bu yanlıú algılamanın nedeni her ne olursa olsun, maliyeti oldukça yüksek olacaktır. Bu nedenlerle kurumlar iú ihtiyaçlarının ve çözüm adaylarının analizi için gerekli zaman ve çabayı sarf etmelidir. Bunun için yapılabilecek çalıúmalar; - Kurumun faaliyet gösterdi÷i sektörde aynı uygulamayı kullanan kurumların araútırılması. - Yerel ihtiyaçların ortaya konması. - Hukuksal ihtiyaçların belirlenmesi. - Raporlama ihtiyaçlarının belirlenmesi. - Mevcut uygulama sürümünün piyasada kullanılma süresi. - Eski uygulamaların terk edilmesi ile müúteri hizmetinde oluúacak yetersizliklerin analizi ve di÷er incelemeler sayılabilir. Projenin uygulanması sürecinde de kullanıcı kabul, sistem, entegrasyon ve performans testlerinin yapılması, uygulamanın ihtiyaçları karúılamasını güvence altına alacaktır. Member of Deloitte Touche Tohmatsu Deloitte. Süreç iliúkileri Fonksiyonel organizasyona uygun olarak tasarlanmıú birbirinden ba÷ımsız olarak çalıúan uygulamalardan birinde ortaya çıkan bir aksamanın, di÷er fonksiyonlar üzerindeki etkisi sınırlı olacaktır. Ancak entegre iú uygulamaları tüm organizasyonu süreç bazında birbirine ba÷ımlı hale getirdi÷inden, bu uygulamada yaúanabilecek bir aksama, kurumun tüm faaliyetlerini etkileyebilecektir. Entegre iú uygulamaları ile etkinli÷in artırılması için ka÷ıt ortamında yapılan iúlemler büyük oranda ortadan kaldırıldı÷ından, iúlemleri bu úekilde gerçekleútirme konusunda e÷itimsiz olan personel, uygulama olmadan iúlem yapma konusunda güçlük yaúayacaktır. Gerçek zamanlı ve entegre iú uygulamaları, kurumsal iú süreklili÷i planının yeniden gözden geçirilmesini gerektirmektedir. Bunun nedenleri; entegre iú uygulamasının çok sayıda modülünün kurumsal süreçlerin büyük oranını kapsaması, kullandı÷ı veritabanının büyük ve entegre olması, modüller arasındaki iliúkinin son derece güçlü olması ve aynı anda çalıúır durumda olma zorunlulukları, entegre iú uygulamalarının müúteri ve tedarikçi firma sistemleri ile de entegre çalıúmaları durumunda uzun bir zincirin faaliyetlerini aksatabilmeleridir. Gerçek zamanlı uygulamalarda sistemi iúleten organizasyonun da gerçek zamanlı faaliyet göstermesi gerekmekte, sistemin izlenmesi ve gerekli müdahalelerin zamanında yapılması önem kazanmaktadır. Dolayısı ile iú süreklili÷i için hem teknik hem de organizasyonel planlar hazırlanmalıdır. Da÷ıtık bilgi teknolojileri mimarisine geçiú Entegre iú uygulamaları genellikle da÷ıtık bilgi teknolojileri mimarisi ile faaliyet göstermekte, istemci sunucu teknolojisini ve di÷er kanallardan uygulamaya eriúimi kullanıma sunmaktadır. Merkezi bir yapıda çalıúmakta olan bilgi teknolojileri mimarisinden, böyle bir mimariye geçiúin getirece÷i zorluklar genellikle göz ardı edilmektedir. Yeni teknoloji ve yeni bir bilgi teknolojileri mimarisinin iúletimi, personelin e÷itilmesini ve tıpkı iú süreçlerinde çalıúan personel gibi yeni uygulama ile gelen ortama uyum sa÷lamasını gerektirmektedir. Bu nedenle bilgi teknolojileri için geçiú planlaması iú süreçleri için oldu÷u gibi yapılmalı, proje bütçesi içinde yerini almalıdır. Uygulamaya ve teknik alt yapıya eriúim Fonksiyonel uygulamalardan entegre iú uygulamalarına geçiú, daha önce farklı uygulamalara eriúen kullanıcıların aynı platforma eriúmelerini gerektirmekte, daha da önemlisi, uzaktan eriúime imkan tanıyabilmektedir. Bu durumda kurumsal uygulamalar yetkisiz eriúim riskine daha duyarlı hale gelmektedir. Bu konuda entegre iú uygulamaları içinde var olan veya geliútirilmiú úifre politikalarının uygulanması, yetkisiz eriúim denemelerinin kaydedilmesi ve takip edilmesi, rollerin ayrımı ilkesinin uygulama eriúim yetkilendirilmesinde uygulanması ve denetlenmesi, sadece iú tanımı gere÷i eriúim yapması gereken personele eriúim yetkilerinin verilmesi, uzaktan eriúim kontrollerinin uygulanması gereklidir. Aynı biçimde uygulama ve kullandı÷ı veritabanının üzerinde çalıútıkları platformlar ve veritabanının kendisi içinde güçlendirilmiú eriúim ve bilgi a÷ı kontrolleri uygulanmalı, zayıflıklar giderilmelidir. Veri kalitesi Entegre iú uygulamaları tüm modüllerinin eriúti÷i ve etkileúim içinde oldu÷u tek bir veritabanını kullandıklarından, bu veritabanında saklanan verinin kalite ve güvenilirlili÷i, yine süreç iliúkileri baúlı÷ında bahsi edilen nedenlerle, fonksiyonel uygulamalardan daha fazla önem taúımaktadır. Eski sistemlerden aktarılan veriler hatalı, eksik ve gereksiz olabilir. Veri kalitesinin sa÷lanması için etkili bir aktarım planı yapılmalı ve veri temizlenmiú biçimde entegre veritabanına aktarılmalıdır. Kontrol toplamları, aktarım öncesi ve sonrası raporların alınması, paralel kullanım gibi aktarım kontrolleri mutlaka entegre uygulamalara geçiúte uygulanmalıdır. Eski sistemlerden aktarılan verinin do÷rulu÷unu koruması sa÷lanmalıdır. Uygulama arayüzleri Entegre uygulamalar ile gelen yeni bir risk türü de uygulamaların sa÷ladı÷ı fonksiyonaliteye ba÷lı olarak, müúteri ve tedarikçi kurum sistemleri ile entegrasyonun do÷uraca÷ı risktir. Bu entegrasyonlar için oluúturulacak arayüzlerden verinin hatalı, eksik, yetkisiz ve geç iletilmesi, bu iletiúime ba÷lı iú süreçlerini, dolayısı ile de kurumu olumsuz etkileyecektir. Member of Deloitte Touche Tohmatsu Deloitte. Arayüzlerin beklentileri karúılaması ve kontrollü biçimde çalıúması için gerekli testler yapılmalı, kullanılan teknolojiye ba÷lı olarak eriúim kontrolleri uygulanmalı ve performans önlemleri alınmalıdır. Entegre uygulamalara geçiúin kuruma sa÷layaca÷ı katkıların yanı sıra yukarıda genel olarak bahsi geçen risklerden ba÷ımsız olamayaca÷ı göz önünde bulundurulmalıdır. Bu risklere karúı etkili kontroller uygulanamadı÷ı takdirde, aúılan bütçe rakamları, baúarılamayan bir proje veya kurumsal süreçleri daha önce var olmayan risklere karúı zayıf konuma düúürmek olasıdır. Kuruma ve uyarlanacak uygulamalara özgü risklere karúı etkili kontrollerin maliyet etkin biçimde uygulanması için en önemli konu, kontrol tasarımının proje baúından itibaren projeye dahil edilmesidir. Tamamlanmıú bir sisteme kontrollerin sonradan uyarlanmasının maliyet ve yeterlili÷i, tatmin edici düzeyde olmayacaktır. Kontrollerin etkin ve etkili biçimde uygulanması konusunda güvence sa÷lamak için, proje öncesi denetim, proje süresince kalite denetimi ve proje sonrası denetim gerçekleútirilebilir. Kontrol ve denetim uzmanlarının projeye tavsiye vermenin ötesinde dahil olması durumunda, denetiminin farklı bir ekip tarafından gerçekleútirilmesi, denetimin ba÷ımsızlık ilkesini koruyacaktır. )$7ø+(0ø5$/ 'HORLWWH.XUXPVDO5LVN+L]PHWOHUL Ocak - Subat 2004, ACTIVE Member of Deloitte Touche Tohmatsu