Deloitte. - Denetimnet

advertisement
Deloitte.
Entegre iú uygulamaları ile de÷iúen risk ve kontrol profili
FATøH EMøRAL
Deloitte, Kurumsal Risk Hizmetleri
F
onksiyon odaklı birbirinden ba÷ımsız çalıúan uygulamalardan, süreç odaklı entegre
uygulamalara geçiú; verimlilik artıúı, müúteri, kurum içi ve tedarikçi ihtiyaçlarına daha hızlı
yanıt verebilme ve raporlama kabiliyetinin güçlendirilmesi imkanlarını sunarak, kurumlara
önemli avantajlar sa÷lamaktadır. Ancak bu stratejik karar, sadece bir uygulamanın seçilmesi,
satın alınması ve kuruma uyarlanmasının ötesinde, sonuçları ve aúılması gereken zorlukları,
sa÷layabilece÷i faydalar ile birlikte taúımaktadır. Entegre uygulamalara geçiú; úirket süreçlerini,
úirketin mevcut risklerini ve bu risklere karúı kurulmuú olan kontrol yapısını köklü biçimde ve e÷er
iyi planlanmamıú ise oldukça sancılı de÷iútirmekte, kurumun iú süreçlerinde ve bilgi teknolojileri
deste÷inde görevli çalıúanlarını, adapte olunması ve úirket ihtiyaçlarına uygun iúletilmesi gereken
yepyeni bir dünya ile karúı karúıya bırakmaktadır.
Entegre iú uygulamaları ile de÷iúen stratejik risk alanları ve bu risklere karúı uygulanabilecek
kontrol yöntemleri olarak aúa÷ıdaki konulardan bahsetmek mümkündür:
Kurumsal de÷iúim yönetimi ve e÷itim
Entegre iú uygulamalarının kullanıma alınması ile kurumun organizasyonel yapısı mutlaka belli bir
de÷iúime u÷ramakta, çalıúanlar iúlerini yeni bir platform üzerinde, fonksiyonel organizasyondan
süreç organizasyonuna geçerek yürütmeye baúlamaktadırlar. Böyle bir de÷iúim projesine
kullanıcıların yeterince dahil olmaması veya dahil edilmemesi, hem ihtiyaca yönelik bir ürünün
ortaya çıkmasını hem de gerekli kontrollerin zamanında uygulanmasını engelleyebilir. Ayrıca yeni
organizasyonel yapıya geçiú konusunda kullanıcıların ve yeni sistemden etkilenen tüm tarafların
deste÷inin kazanılamaması, proje baúarısını önemli derecede olumsuz etkileyecektir. Kurumsal
de÷iúim ile ilgili kullanıcıların projeye aktif katılımı ve kullanıcıların yeni platform ve süreç
e÷itimleri konusunda harcanacak parasal ve zaman kayna÷ı, genellikle proje bütçesinin düúük
tutulabilmesi amacı ile düúük gösterilmektedir. Ancak bu konudaki yetersiz planlama ve çaba,
entegre iú uygulamalarına geçiúten elde edilmesi beklenen faydanın sa÷lanamamasının en önemli
nedenlerindendir. Di÷er taraftan modern platformlar üzerinde çalıúmak üzere e÷itilen gerek iú
süreçlerinde görevli gerekse teknik personelin iú gücü piyasasında daha aranır olması da kurum
açısından iú gücünü kaybetme riskine neden olabilmektedir.
Bu konudaki riskler aslında statükonun de÷iúimini gerektiren her projede karúılaúılan riskler olup,
üst yönetim ve projeden etkilenen tüm personelin yeni yapının gerekleri konusunda
bilgilendirilmesi, e÷itilmesi ve desteklerinin alınması ile aúılabilir. Yeni uygulamayı kullanacak olan
personelin, yeni uygulamalar ile en kısa zamanda tanıútırılması ve deneyim kazanmalarının
sa÷lanması, projede zaman kaybını engelleyecektir.
Planlama ve proje yönetimi
Entegre iú uygulamalarına geçiúte karúılaúılan en önemli zorluklardan bir di÷eri, kaynak yönetimi,
etkili ve detaylı proje planlamasıdır. Planlama ve gerçekleúmelerin takibi, projenin insan, iú
süreçleri ve teknoloji boyutlarını içermesi ve her boyutun birbiri ile etkileúim içinde olması
nedeniyle oldukça karmaúık bir hal alabilir. Entegre iú uygulaması projelerinde, insan boyutu ile
iliúkili önceliklendirme, kaynak paylaúımı, proje takımının yapılanması, disiplin, proje deste÷i ve
iletiúim faktörleri, di÷er boyutlar olan iú süreçleri ve teknoloji ile ilgili riskler kadar önem arz
etmektedir.
Planlama ve proje yönetimi konusundaki risklere karúı proje planının net olması, gerekli detayları
içermesi, gerekli özellikleri taúıyan bir proje yöneticisi tarafından yönetilmesi ve tabi ki, proje
Member of
Deloitte Touche Tohmatsu
Deloitte.
performansının yakın takipte tutulması ve aksayan yönler için gerekli önlemlerin alınması
gerekmektedir. Proje planı; gerekli kaynakları, kaynaklar ve iúler arası iliúkileri, belli tarihleri ve
bu tarihlerde teslim edilmesi veya yerine getirilmesi gereken iúleri içermelidir. Proje yöneticisi,
bilgi teknolojileri ve iú süreçlerinden sorumlu karar vericileri bir araya getirerek, gerekli kararların
zamanında alınmasını sa÷lamalıdır.
Üst yönetim / sponsor deste÷i
Kuúkusuz hem proje yöneticileri hem de kullanıcılar, üst yönetim deste÷ini görememeleri ve
gerekli kaynakların sa÷lanmaması sonucunda hayal kırıklı÷ına u÷rayacaktır. Bu konuda proje
yöneticilerinin gösterece÷i çaba dahi yeterli baúarıyı getirmeyecektir. Üst yönetimin daha proje
baúlamadan somut göstergelere dayanarak, projenin getirece÷i faydanın ayrılacak kaynaklara
de÷ip de÷meyece÷ini net olarak görmesi, projenin uygulanmasına karar verilirse, gerekli kaynak
ayırma ve izleme faaliyetini yerine getirmesi çok önemlidir. Aksi takdirde baúarı bir tesadüf olacak
veya kaynak israfı ile proje sonlanacaktır.
Danıúmanlar ile iliúkiler
Danıúmanlar deneyim ve bilgileri ile entegre iú uygulamaları için önemli fayda sa÷lamakta, ancak
sadece onların varlı÷ı projenin baúarısı için yeterli olmamaktadır. Kurumlar, danıúmanların kurum
ihtiyaçlarını çok iyi bilecekleri hissine kapılarak, süreçler ile ilgili kararlar ve uygulamanın kurum
ihtiyaçlarına göre úekillendirilmesinde yeterince katılımda bulunmamaktadırlar. Bir baúka hata da
çalıúır bir sistem ortada yok iken sadece teslim edilen tasarım ve dokümanlar için danıúmanlara
proje teklif fiyatının önemli miktarının ödenmesidir. Kurumlar bazen sadece sistemin çalıúır hale
gelmesine öyle odaklanmaktadırlar ki, daha sonraki sorunların giderilmesi, geliútirmelerin
yapılması ve danıúmanlardan bilgi transferi yeterince gerçekleútirilmeden, danıúmanlar ile birlikte
çalıúmaya son vermekte ve proje takımını da÷ıtmaktadırlar.
Proje maliyeti
Proje maliyetlerini öngörülen seviyenin üzerine çıkaran bazı nedenlerden yukarıda bahsedildi.
Proje maliyetinin yanlıú bütçelenmesi, belki de yatırım kararının hatalı alınmasına yol açacaktır.
Bu nedenle entegre iú uygulamalarına geçiú ile ilgili teknik, organizasyonel, e÷itim ve destek ile
ilgili tüm maliyet kaynaklarının gerçekçi ve kurum için en etkin sonucu üretecek biçimde ortaya
konması, maliyet kaynaklı hayal kırıklı÷ı ve baúarısızlık sonucunu engelleyecektir.
Uygulamanın fonksiyonel yeterlili÷i
Kurumlar entegre iú uygulamalarını detaylı olarak incelediklerinde ya da daha kötüsü uygulamayı
gerçek ortama aldıklarında, entegre iú uygulamasının kurumsal iú süreçlerini yeterli derecede
desteklemedi÷ini fark edebilir. Bunun nedeni, kurumların iú ihtiyaçlarını yeterince analiz edip
ortaya koymadan entegre iú uygulaması sa÷layan kurumların sunumlarından, bu uygulamaların
kurumsal iú süreçlerini yeterli derecede destekleyece÷i sonucuna ulaúmalarıdır. Bu yanlıú
algılamanın nedeni her ne olursa olsun, maliyeti oldukça yüksek olacaktır.
Bu nedenlerle kurumlar iú ihtiyaçlarının ve çözüm adaylarının analizi için gerekli zaman ve çabayı
sarf etmelidir. Bunun için yapılabilecek çalıúmalar;
- Kurumun faaliyet gösterdi÷i sektörde aynı uygulamayı kullanan kurumların araútırılması.
- Yerel ihtiyaçların ortaya konması.
- Hukuksal ihtiyaçların belirlenmesi.
- Raporlama ihtiyaçlarının belirlenmesi.
- Mevcut uygulama sürümünün piyasada kullanılma süresi.
- Eski uygulamaların terk edilmesi ile müúteri hizmetinde oluúacak yetersizliklerin analizi
ve di÷er incelemeler sayılabilir. Projenin uygulanması sürecinde de kullanıcı kabul, sistem,
entegrasyon ve performans testlerinin yapılması, uygulamanın ihtiyaçları karúılamasını güvence
altına alacaktır.
Member of
Deloitte Touche Tohmatsu
Deloitte.
Süreç iliúkileri
Fonksiyonel organizasyona uygun olarak tasarlanmıú birbirinden ba÷ımsız olarak çalıúan
uygulamalardan birinde ortaya çıkan bir aksamanın, di÷er fonksiyonlar üzerindeki etkisi sınırlı
olacaktır. Ancak entegre iú uygulamaları tüm organizasyonu süreç bazında birbirine ba÷ımlı hale
getirdi÷inden, bu uygulamada yaúanabilecek bir aksama, kurumun tüm faaliyetlerini
etkileyebilecektir. Entegre iú uygulamaları ile etkinli÷in artırılması için ka÷ıt ortamında yapılan
iúlemler büyük oranda ortadan kaldırıldı÷ından, iúlemleri bu úekilde gerçekleútirme konusunda
e÷itimsiz olan personel, uygulama olmadan iúlem yapma konusunda güçlük yaúayacaktır.
Gerçek zamanlı ve entegre iú uygulamaları, kurumsal iú süreklili÷i planının yeniden gözden
geçirilmesini gerektirmektedir. Bunun nedenleri; entegre iú uygulamasının çok sayıda modülünün
kurumsal süreçlerin büyük oranını kapsaması, kullandı÷ı veritabanının büyük ve entegre olması,
modüller arasındaki iliúkinin son derece güçlü olması ve aynı anda çalıúır durumda olma
zorunlulukları, entegre iú uygulamalarının müúteri ve tedarikçi firma sistemleri ile de entegre
çalıúmaları durumunda uzun bir zincirin faaliyetlerini aksatabilmeleridir. Gerçek zamanlı
uygulamalarda sistemi iúleten organizasyonun da gerçek zamanlı faaliyet göstermesi gerekmekte,
sistemin izlenmesi ve gerekli müdahalelerin zamanında yapılması önem kazanmaktadır. Dolayısı
ile iú süreklili÷i için hem teknik hem de organizasyonel planlar hazırlanmalıdır.
Da÷ıtık bilgi teknolojileri mimarisine geçiú
Entegre iú uygulamaları genellikle da÷ıtık bilgi teknolojileri mimarisi ile faaliyet göstermekte,
istemci sunucu teknolojisini ve di÷er kanallardan uygulamaya eriúimi kullanıma sunmaktadır.
Merkezi bir yapıda çalıúmakta olan bilgi teknolojileri mimarisinden, böyle bir mimariye geçiúin
getirece÷i zorluklar genellikle göz ardı edilmektedir. Yeni teknoloji ve yeni bir bilgi teknolojileri
mimarisinin iúletimi, personelin e÷itilmesini ve tıpkı iú süreçlerinde çalıúan personel gibi yeni
uygulama ile gelen ortama uyum sa÷lamasını gerektirmektedir. Bu nedenle bilgi teknolojileri için
geçiú planlaması iú süreçleri için oldu÷u gibi yapılmalı, proje bütçesi içinde yerini almalıdır.
Uygulamaya ve teknik alt yapıya eriúim
Fonksiyonel uygulamalardan entegre iú uygulamalarına geçiú, daha önce farklı uygulamalara
eriúen kullanıcıların aynı platforma eriúmelerini gerektirmekte, daha da önemlisi, uzaktan eriúime
imkan tanıyabilmektedir. Bu durumda kurumsal uygulamalar yetkisiz eriúim riskine daha duyarlı
hale gelmektedir.
Bu konuda entegre iú uygulamaları içinde var olan veya geliútirilmiú úifre politikalarının
uygulanması, yetkisiz eriúim denemelerinin kaydedilmesi ve takip edilmesi, rollerin ayrımı
ilkesinin uygulama eriúim yetkilendirilmesinde uygulanması ve denetlenmesi, sadece iú tanımı
gere÷i eriúim yapması gereken personele eriúim yetkilerinin verilmesi, uzaktan eriúim
kontrollerinin uygulanması gereklidir. Aynı biçimde uygulama ve kullandı÷ı veritabanının üzerinde
çalıútıkları platformlar ve veritabanının kendisi içinde güçlendirilmiú eriúim ve bilgi a÷ı kontrolleri
uygulanmalı, zayıflıklar giderilmelidir.
Veri kalitesi
Entegre iú uygulamaları tüm modüllerinin eriúti÷i ve etkileúim içinde oldu÷u tek bir veritabanını
kullandıklarından, bu veritabanında saklanan verinin kalite ve güvenilirlili÷i, yine süreç iliúkileri
baúlı÷ında bahsi edilen nedenlerle, fonksiyonel uygulamalardan daha fazla önem taúımaktadır.
Eski sistemlerden aktarılan veriler hatalı, eksik ve gereksiz olabilir.
Veri kalitesinin sa÷lanması için etkili bir aktarım planı yapılmalı ve veri temizlenmiú biçimde
entegre veritabanına aktarılmalıdır. Kontrol toplamları, aktarım öncesi ve sonrası raporların
alınması, paralel kullanım gibi aktarım kontrolleri mutlaka entegre uygulamalara geçiúte
uygulanmalıdır. Eski sistemlerden aktarılan verinin do÷rulu÷unu koruması sa÷lanmalıdır.
Uygulama arayüzleri
Entegre uygulamalar ile gelen yeni bir risk türü de uygulamaların sa÷ladı÷ı fonksiyonaliteye ba÷lı
olarak, müúteri ve tedarikçi kurum sistemleri ile entegrasyonun do÷uraca÷ı risktir. Bu
entegrasyonlar için oluúturulacak arayüzlerden verinin hatalı, eksik, yetkisiz ve geç iletilmesi, bu
iletiúime ba÷lı iú süreçlerini, dolayısı ile de kurumu olumsuz etkileyecektir.
Member of
Deloitte Touche Tohmatsu
Deloitte.
Arayüzlerin beklentileri karúılaması ve kontrollü biçimde çalıúması için gerekli testler yapılmalı,
kullanılan teknolojiye ba÷lı olarak eriúim kontrolleri uygulanmalı ve performans önlemleri
alınmalıdır.
Entegre
uygulamalara geçiúin kuruma sa÷layaca÷ı katkıların yanı sıra yukarıda genel olarak bahsi
geçen risklerden
ba÷ımsız olamayaca÷ı göz önünde bulundurulmalıdır. Bu risklere karúı etkili
kontroller
uygulanamadı÷ı takdirde, aúılan bütçe rakamları, baúarılamayan bir proje veya
kurumsal süreçleri daha önce var olmayan risklere karúı zayıf konuma düúürmek olasıdır. Kuruma
ve uyarlanacak uygulamalara özgü risklere karúı etkili kontrollerin maliyet etkin biçimde
uygulanması için en önemli konu, kontrol tasarımının proje baúından itibaren projeye dahil
edilmesidir. Tamamlanmıú bir sisteme kontrollerin sonradan uyarlanmasının maliyet ve yeterlili÷i,
tatmin edici düzeyde olmayacaktır. Kontrollerin etkin ve etkili biçimde uygulanması konusunda
güvence sa÷lamak için, proje öncesi denetim, proje süresince kalite denetimi ve proje sonrası
denetim
gerçekleútirilebilir. Kontrol ve denetim uzmanlarının projeye tavsiye vermenin ötesinde
dahil olması
durumunda, denetiminin farklı bir ekip tarafından gerçekleútirilmesi, denetimin
ba÷ımsızlık ilkesini koruyacaktır.
)$7ø+(0ø5$/
'HORLWWH.XUXPVDO5LVN+L]PHWOHUL
Ocak - Subat 2004, ACTIVE
Member of
Deloitte Touche Tohmatsu
Download