SAP GRC İş Hedeflerinde Önceliklendirme: Kurumunuz İçin Gerçekten Önemli Olan Nedir?

SAP GRC projelerinde başarının anahtarı, “her şeyi aynı anda düzeltmeye çalışmak” değil, kurumun mevcut risk profiline, denetim baskısına, organizasyonel olgunluğuna ve iş hedeflerine göre önceliklendirme yapabilmektir.

Bir kurum için ilk öncelik SoD çatışmalarını azaltmak olabilirken, başka bir kurum için kritik konu kullanıcı erişim gözden geçirmelerini otomatikleştirmek olabilir. Daha olgun bir kurum ise artık teknik yetki temizliğinden ziyade iş birimlerinin erişim risklerini sahiplenmesini hedefleyebilir.

Bu bakış açısı özellikle SAP ortamları için çok önemlidir. Çünkü SAP sistemlerinde erişim güvenliği yalnızca teknik bir yetkilendirme konusu değildir. Finans, satınalma, insan kaynakları, üretim, satış, tedarik zinciri ve kişisel veri erişimi gibi doğrudan iş süreçlerini etkileyen bir risk alanıdır.

---

1. SAP Yetki Modelinin Güvenliğini Güçlendirmek

Makalenin ilk ve en temel GRC hedefi, SAP yetki yapısının güvenli hale getirilmesidir.

Pek çok kurumda GRC dönüşümünün başlangıç noktası şunlardır:

• Tekrarlayan denetim bulguları
• Görevler ayrılığı ihlalleri
• Gereğinden fazla yetki verilmiş kullanıcılar
• Zayıf sistem parametreleri
• Yıllar içinde bozulmuş rol yapıları
• Kalıcı hale gelmiş geçici yetkiler
• Kontrolsüz görüntüleme erişimleri
• SAP_ALL veya SAP_NEW gibi geniş yetkiler

SAP yetki ortamları zaman içinde doğal olarak bozulur. Kullanıcılar görev değiştirir, geçici verilen yetkiler geri alınmaz, eski rol tasarımları güncel iş süreçlerini yansıtmaz, manuel yetkilendirme süreçleri hataya açık hale gelir ve iş baskısı nedeniyle “önce erişimi verelim, sonra düzeltiriz” yaklaşımı yaygınlaşır.

Bu durumun sonucu genellikle şudur:

Kurumun SAP yetki modeli yıllar içinde genişler, karmaşıklaşır ve kontrol edilmesi zor hale gelir. Başlangıçta istisna olarak verilen erişimler kalıcı hale gelir. Kullanıcılar görevleriyle ilgisiz kritik işlemlere erişebilir. Denetimlerde aynı bulgular tekrar eder. Sonunda konu yalnızca SAP güvenlik ekibinin değil, iç denetimin, risk komitesinin ve hatta yönetim kurulunun gündemine girer.

Makale burada önemli bir noktaya dikkat çekiyor:

15-20 yıl önce güvenli kabul edilen SAP yetki yaklaşımları bugün artık yeterli değildir.

Modern bir SAP güvenlik yaklaşımı şu unsurları içermelidir:

• En az yetki prensibi
• Net SoD sınırları
• Kritik işlem kodlarının ayrıştırılması
• Kişisel veri görüntüleme erişimlerinin kontrolü
• Kritik sistem parametrelerinin doğru yapılandırılması
• Sürekli izleme kabiliyeti
• Risk kabul süreçlerinin gerekçeli ve süreli yönetilmesi

---

sapsecurity.online Yorumu

SAP güvenliğinde “rol temizliği” tek başına yeterli değildir. Kurumların şu soruyu düzenli olarak sorması gerekir:

Kim, hangi iş gerekçesiyle, hangi veriye, hangi işlem yetkisiyle, ne kadar süreyle erişiyor?

Bu sorunun cevabı net değilse, teknik olarak çalışan bir yetki modeli aslında güvenli olmayabilir.

Özellikle aşağıdaki alanlar sürekli kontrol edilmelidir:

• SAP_ALL yetkileri
• SAP_NEW yetkileri
• Kritik finansal işlem kodları
• Kullanıcı ve rol yönetimi yetkileri
• RFC erişimleri
• Geniş görüntüleme yetkileri
• Kişisel veri içeren tablolar
• Kritik sistem parametreleri
• Geliştirme ve taşıma süreçlerine ilişkin yetkiler

---

2. GRC Süreçlerinde Operasyonel Verimlilik Sağlamak

İkinci önemli GRC hedefi operasyonel verimliliktir.

Makale, birçok kurumun kullanıcı yaşam döngüsü yönetimi, erişim talepleri, rol onayları, kullanıcı erişim gözden geçirmeleri ve kontrol izleme süreçlerini hâlâ e-posta, Excel dosyaları ve manuel imzalarla yürüttüğünü belirtiyor.

Bu yaklaşım üç temel soruna yol açar:

1. Zaman kaybı: GRC süreçleri gereksiz şekilde uzar.
2. Hata riski: Manuel işlemler eksik, hatalı veya tutarsız yapılabilir.
3. Denetlenebilirlik zayıflığı: Kim, neyi, ne zaman ve hangi gerekçeyle onayladı sorusuna net cevap verilemeyebilir.

Örneğin bir yöneticinin tek bir kullanıcı erişim gözden geçirmesini manuel olarak tamamlaması 10-20 saat sürebilir. Bu iş yüzlerce kullanıcıya yayıldığında GRC süreci ciddi bir operasyonel yüke dönüşür.

Üstelik bu tür manuel süreçlerde iş birimleri çoğu zaman erişim riskini gerçekten değerlendirmek yerine yalnızca denetim gereksinimini karşılamak için onay verir.

Modern GRC araçları ise bu süreci otomatikleştirebilir. Makaleye göre aşağıdaki kabiliyetler GRC süreçlerinde verimliliği ciddi şekilde artırır:

• Otomatik yetkilendirme iş akışları
• İş rolü bazlı atamalar
• Merkezi kullanıcı erişim gözden geçirmeleri
• Sürekli kontrol izleme
• Erişim verilmeden önce risk simülasyonu
• Gerçek zamanlı denetim izleri
• İstisna ve risk kabul süreçlerinin kayıt altına alınması

---

sapsecurity.online Yorumu

SAP GRC’de verimlilik yalnızca “daha hızlı onay” anlamına gelmez. Asıl değer, doğru erişimin doğru kişiye, doğru gerekçeyle ve denetlenebilir şekilde verilmesidir.

Bu nedenle kurumların GRC süreçlerinde şu alanları otomasyon adayı olarak değerlendirmesi gerekir:

• Yeni işe başlayan kullanıcıların rol atamaları
• Görev değişikliği sonrası eski yetkilerin temizlenmesi
• İşten ayrılan kullanıcıların erişimlerinin kapatılması
• Geçici ve acil erişimlerin süre sonunda otomatik geri alınması
• SoD risk analizi yapılmadan erişim verilmesinin engellenmesi
• Periyodik kullanıcı erişim gözden geçirmeleri
• Kritik işlem ve tablo erişimlerinin izlenmesi
• Kritik rol değişikliklerinin onay sürecine bağlanması
• Risk kabul kararlarının süreli olarak yönetilmesi

Bu yaklaşım hem SAP güvenliğini güçlendirir hem de SAP Basis, SAP Security, iç kontrol, iç denetim ve iş birimi yöneticilerinin üzerindeki manuel iş yükünü azaltır.

---

3. Regülasyon ve Uyum Gereksinimlerini Karşılamak

Üçüncü GRC hedefi, yasal düzenlemelere ve uyum gereksinimlerine yanıt verebilmektir.

Makale SOX, J-SOX, GDPR, POPIA ve sektörel düzenlemelerin kurumlar üzerinde erişim, veri ve sistem kullanımı kontrollerini kanıtlama baskısı yarattığını vurguluyor.

Burada özellikle dikkat çekilen konu, görüntüleme yetkileridir.

Eski SAP rol tasarımlarında geniş görüntüleme erişimleri çoğu zaman düşük riskli kabul edilirdi. Örneğin kullanıcıya işlem yapma yetkisi verilmediği sürece finans, insan kaynakları veya bordro verilerini görüntüleyebilmesi ciddi bir risk gibi görülmeyebilirdi.

Ancak veri gizliliği düzenlemeleriyle birlikte bu yaklaşım değişti.

Artık yalnızca işlem yapma yetkisi değil, hassas kişisel veya finansal veriyi görüntüleme yetkisi de önemli bir risk alanıdır.

Makale, kurumların şu adımları atması gerektiğini ifade ediyor:

• Kişisel veri içeren rolleri belirlemek
• Geniş görüntüleme yetkilerini azaltmak
• Geniş rolleri daha küçük ve kontrollü rol setlerine ayırmak
• Kişisel tanımlanabilir bilgiye erişimi sınırlamak
• Erişimin meşru iş ihtiyacıyla uyumlu olduğunu kanıtlamak
• Veri erişimi ile işlem yapma yetkisini ayrı değerlendirmek

Makaledeki önemli mesajlardan biri de şudur:

Uyum, iyi tasarlanmış bir güvenlik ve rol modelinin doğal sonucu olmalıdır.

Rol modeli temiz, rasyonel ve iş süreçleriyle uyumluysa; kullanıcı erişim gözden geçirmeleri kolaylaşır, SoD riskleri daha yönetilebilir hale gelir ve denetimlerde kanıt üretmek daha az zahmetli olur.

---

sapsecurity.online Yorumu

SAP güvenliğinde uyum çalışmaları çoğu zaman denetim öncesi dönemlerde hızlanır. Bu ise reaktif, stresli ve sürdürülebilir olmayan bir çalışma biçimidir.

Daha doğru yaklaşım şudur:

Uyum, denetim zamanı yapılan bir hazırlık değil; günlük SAP güvenlik operasyonunun doğal çıktısı olmalıdır.

Bu nedenle kurumlar SAP ortamlarında şu kontrolleri sürekli hale getirmelidir:

• Kritik yetkilerin izlenmesi
• SoD çatışmalarının düzenli analizi
• Kişisel veri erişimlerinin kontrolü
• Hassas finansal veri erişimlerinin kontrolü
• Yetki değişikliklerinin denetim izi
• Acil erişimlerin kayıt altına alınması
• Kritik sistem parametrelerinin izlenmesi
• Risk kabul kararlarının gerekçeli ve süreli yapılması
• Kullanıcı erişim gözden geçirmelerinin düzenli yapılması

---

4. Rol ve İş Fonksiyonu Standardizasyonu Sağlamak

Dördüncü GRC hedefi, rollerin ve iş fonksiyonlarının standardize edilmesidir.

Özellikle büyük, çok ülkeli veya çok şirketli SAP ortamlarında standart rol yapısı önemli faydalar sağlar:

• Kullanıcı açılışlarını hızlandırır
• Erişim atamalarını daha doğru hale getirir
• Kullanıcı erişim gözden geçirmelerini kolaylaştırır
• Destek yükünü azaltır
• SAP ortamı genelinde şeffaflık sağlar
• Yetki yönetiminde ortak dil oluşturur
• Rol değişikliklerini daha kontrollü hale getirir

Ancak makale burada önemli bir uyarı yapıyor:

Standardizasyon yanlış uygulanırsa güvenlik zafiyetine dönüşebilir.

Çok geniş tasarlanmış standart roller, kullanıcılara gereksiz erişim verebilir, SoD çatışmalarını artırabilir, fazla görüntüleme yetkisi yaratabilir ve farklı iş ihtiyaçlarına göre ince ayar yapılmasını zorlaştırabilir.

Bu risk özellikle yalnızca SAP composite role yapısına güvenilen ve yeterli granülerlik sağlanmayan ortamlarda ortaya çıkar.

Makale, birçok kurumun artık iş rolü metodolojisine geçtiğini ve bunun daha esnek bir model sunduğunu belirtiyor.

İş rolleri şu avantajları sağlayabilir:

• Kısmi atama yapılabilir
• Yerel veya bölgesel farklılıklara göre uyarlanabilir
• SAP ECC, S/4HANA, Fiori ve BW gibi farklı sistemlerden gelen erişimler birlikte yönetilebilir
• Kullanıcıların gerçek iş fonksiyonlarına daha yakın bir erişim modeli oluşturulabilir
• Kullanıcı erişim gözden geçirmeleri daha anlaşılır hale gelir

---

sapsecurity.online Yorumu

SAP rol standardizasyonunda temel amaç “herkese aynı rolü vermek” değildir. Amaç, iş fonksiyonlarını ortak bir mantıkla tanımlamak ve erişimleri kontrollü varyasyonlarla yönetebilmektir.

Örneğin “Satınalma Uzmanı” rolü farklı ülkelerde veya şirket kodlarında benzer temel erişimlere sahip olabilir. Ancak onay limitleri, şirket kodu erişimleri, tedarikçi verisi görüntüleme yetkileri veya ödeme süreçlerine erişim gibi alanlarda farklılaşması gerekebilir.

Bu nedenle iyi bir SAP rol standardizasyonu şu prensiplere dayanmalıdır:

• İş fonksiyonu bazlı tasarım
• En az yetki prensibi
• Organizasyonel seviye bazlı ayrıştırma
• Kritik işlem kodlarının ayrı yönetimi
• Görüntüleme ve değiştirme yetkilerinin ayrılması
• Yerel ihtiyaçlara kontrollü esneklik sağlanması
• Rol değişikliklerinde risk simülasyonu yapılması
• SAP Fiori katalog ve grup yapısının rol modeliyle uyumlu olması

---

5. Erişim Risklerinde İş Birimi Sahipliğini Artırmak

Makalenin belki de en önemli bölümü, erişim risklerinin sahipliğiyle ilgilidir.

Soterion’a göre en kritik ama en çok ihmal edilen GRC hedeflerinden biri, iş birimlerinin erişim risklerini sahiplenmesini sağlamaktır.

Geçmişte iş kullanıcıları SAP yetkilendirme konusunu teknik buldukları için risk kararlarını genellikle IT ekiplerine bırakmıştır.

Oysa erişim riski temelde bir IT riski değil, iş riskidir.

IT ekipleri SAP yetki mekanizmasını, rol yapılarını ve teknik kontrolleri bilir. Ancak bir kullanıcının belirli bir finansal işlemi yapmasının, belirli bir bordro verisini görmesinin veya belirli bir satınalma onayını gerçekleştirmesinin iş açısından kabul edilebilir olup olmadığına karar verecek taraf iş birimidir.

Makale, iş birimleri erişim risklerini sahiplendiğinde şu faydaların oluştuğunu vurguluyor:

• Kararlar daha bilinçli hale gelir
• Risk kabul süreçleri idari bir formalite olmaktan çıkar
• Uyum faaliyetleri daha fazla ciddiye alınır
• GRC araçları ölçülebilir değer üretmeye başlar
• Erişim taleplerinde iş gerekçesi daha net sorgulanır
• Denetimlerde sahiplik daha kolay gösterilir

İş sahipliğini artırmak için GRC araçlarının teknik jargon yerine iş dili kullanması gerekir.

Riskler teknik rol adları, işlem kodları veya karmaşık yetki nesneleriyle değil; iş süreci, finansal etki, kişisel veri riski ve operasyonel sonuçlar üzerinden anlatılmalıdır.

---

sapsecurity.online Yorumu

SAP GRC projelerinde en sık yapılan hatalardan biri, iş birimlerinden gerçek sahiplik beklerken onlara anlaşılır bilgi sunmamaktır.

Bir yöneticiye teknik rol adı, işlem kodu listesi veya karmaşık SoD kuralı gösterildiğinde sağlıklı karar vermesi beklenemez.

Bunun yerine şu sorulara yanıt veren sade ve iş odaklı ekranlar gerekir:

• Bu kullanıcı hangi iş sürecine erişiyor?
• Bu erişim hangi riski doğuruyor?
• Risk finansal mı, operasyonel mi, kişisel veriyle mi ilgili?
• Kullanıcının bu erişime gerçekten ihtiyacı var mı?
• Risk kabul edilecekse hangi telafi edici kontrol uygulanacak?
• Bu karar ne kadar süreyle geçerli olacak?
• Benzer erişime sahip başka kullanıcılar var mı?
• Bu erişim geçmişte gerçekten kullanılmış mı?

Bu yaklaşım olmadan kullanıcı erişim gözden geçirmeleri çoğu zaman “onayla geç” faaliyetine dönüşür.

---

GRC Hedefleri Nasıl Önceliklendirilmelidir?

Makalenin sonuç bölümünde vurgulanan ana mesaj şudur:

Her kurum bu beş hedefin tamamını aynı anda ve aynı öncelikle ele almak zorunda değildir.

Bazı kurumlar için ilk öncelik güvenlik ve denetim bulgularının azaltılmasıdır. Bazıları için operasyonel verimlilik veya bölgesel standardizasyon daha acildir. Daha olgun kurumlar ise iş birimi sahipliği, sürekli izleme ve risk bazlı karar mekanizmalarına odaklanabilir.

GRC hedefleri zaman içinde değişir.

Şu gelişmeler GRC önceliklerinin yeniden değerlendirilmesini gerektirebilir:

• S/4HANA dönüşümü
• SAP Fiori kullanımının artması
• SAP BTP servislerinin devreye alınması
• Şirket birleşmeleri veya ayrışmaları
• Yeni regülasyon gereksinimleri
• Denetim bulgularının artması
• Bulut SAP servislerine geçiş
• Organizasyonel yapı değişiklikleri
• Yeni ülke veya şirket kodlarının devreye alınması
• İç kontrol ve risk yönetimi olgunluğunun artması

---

Önerilen Önceliklendirme Modeli

sapsecurity.online perspektifiyle kurumlar aşağıdaki olgunluk yaklaşımını kullanabilir:

Olgunluk Seviyesi	Öncelikli GRC Hedefi	Tipik Problem	Odaklanılması Gereken Alan
Başlangıç	SAP yetki güvenliğini güçlendirmek	Fazla yetki, SoD bulguları, kritik erişimler	Rol temizliği, kritik yetki analizi, sistem güvenliği
Gelişen	Operasyonel verimlilik	Manuel onaylar, Excel bazlı kontroller	İş akışı, otomasyon, erişim talep süreçleri
Uyum Odaklı	Regülasyon gereksinimleri	Denetim baskısı, kanıt üretme zorluğu	Sürekli kontrol izleme, veri erişimi, denetim izi
Kurumsal	Standardizasyon	Ülke/şirket bazlı rol karmaşası	İş rolleri, ortak rol metodolojisi, esnek varyasyonlar
Olgun	İş birimi sahipliği	IT’nin risk kararlarını tek başına alması	İş diliyle risk sunumu, risk kabul süreci, sahiplik

---

SAP Güvenliği Açısından Çıkarılacak Dersler

Bu makale SAP GRC projelerine yalnızca araç veya teknoloji projesi olarak bakmanın eksik olduğunu gösteriyor.

Başarılı bir GRC programı, teknik SAP yetki yönetimi ile iş süreçleri, risk yönetimi, regülasyon uyumu ve organizasyonel sahipliği birlikte ele almalıdır.

Öne çıkan temel dersler şunlardır:

1. SAP yetki güvenliği sürekli bozulma eğilimindedir

Tek seferlik rol temizliği yeterli değildir. Yetki modeli düzenli olarak gözden geçirilmeli, kritik erişimler izlenmeli ve eskiyen roller temizlenmelidir.

2. Manuel GRC süreçleri sürdürülebilir değildir

Excel, e-posta ve manuel onaylarla yürütülen süreçler hem yavaş hem de hataya açıktır. Otomasyon, yalnızca verimlilik değil kontrol kalitesi de sağlar.

3. Görüntüleme yetkileri artık düşük riskli kabul edilmemelidir

Kişisel veri, bordro, finans ve ticari sır içeren alanlarda display access ciddi bir güvenlik ve uyum konusudur.

4. Standardizasyon güvenlikten ödün vermeden yapılmalıdır

Çok geniş roller kısa vadede kolaylık sağlasa da uzun vadede risk üretir. Standardizasyon, en az yetki prensibiyle birlikte ele alınmalıdır.

5. Erişim risklerinin gerçek sahibi iş birimleridir

IT bu riskleri görünür ve anlaşılır hale getirmeli; ancak iş gerekçesi ve risk kabul kararı iş tarafında olmalıdır.

---

Kurumlar İçin Pratik Kontrol Soruları

Bir kurum kendi SAP GRC önceliğini belirlemek için aşağıdaki soruları kullanabilir:

Güvenlik

• SAP_ALL veya SAP_NEW yetkisine sahip kullanıcılar kimler?
• Kritik işlem kodlarına erişimi olan kullanıcılar düzenli izleniyor mu?
• SoD çatışmaları düzenli olarak raporlanıyor mu?
• Kritik sistem parametreleri takip ediliyor mu?
• RFC bağlantıları ve teknik kullanıcılar kontrol altında mı?

Verimlilik

• Erişim talepleri hâlâ e-posta veya Excel ile mi yönetiliyor?
• Kullanıcı erişim gözden geçirmeleri manuel mi yapılıyor?
• Geçici yetkiler süre sonunda otomatik geri alınıyor mu?
• Erişim verilmeden önce risk analizi yapılıyor mu?

Uyum

• Denetimlerde aynı SAP yetki bulguları tekrar ediyor mu?
• Kişisel veri erişimleri raporlanabiliyor mu?
• Risk kabul kararlarının gerekçesi ve süresi kayıt altında mı?
• Kritik erişim değişiklikleri için denetim izi var mı?

Standardizasyon

• Aynı işi yapan kullanıcılar farklı ve tutarsız rollere mi sahip?
• Rollerin iş fonksiyonlarıyla ilişkisi net mi?
• Ülke, şirket kodu veya organizasyonel seviye ayrımları doğru yapılmış mı?
• SAP Fiori erişimleri rol modeliyle uyumlu mu?

İş Birimi Sahipliği

• İş birimleri erişim risklerini anlayabiliyor mu?
• Onaycılar teknik rol adları yerine iş riski üzerinden karar verebiliyor mu?
• Risk kabul kararları iş birimleri tarafından mı alınıyor?
• Kullanıcı erişim gözden geçirmeleri gerçek bir kontrol faaliyeti mi, yoksa formalite mi?

---

Sonuç

Soterion’un makalesi, SAP GRC dünyasında sıkça gözden kaçan ama kritik bir noktayı hatırlatıyor:

GRC programları yalnızca denetim bulgularını kapatmak için değil, kurumun SAP ortamındaki erişim risklerini iş hedefleriyle uyumlu şekilde yönetmek için tasarlanmalıdır.

Kurumlar öncelikle kendi GRC hedeflerini netleştirmelidir:

• Hedef güvenlik mi?
• Operasyonel verimlilik mi?
• Regülasyon uyumu mu?
• Rol standardizasyonu mu?
• İş birimi sahipliği mi?

Bu sorulara verilen cevap, kullanılacak araçlardan rol tasarımına, denetim yaklaşımından otomasyon seviyesine kadar tüm GRC yol haritasını belirler.

SAP sistemleri kurumların en kritik iş süreçlerini taşıdığı için, SAP GRC konusu yalnızca teknik bir yetkilendirme yönetimi meselesi değildir.

Doğru ele alındığında SAP GRC; riskleri azaltan, iş süreçlerini hızlandıran, denetim yükünü hafifleten ve kurumun dijital güvenlik olgunluğunu artıran stratejik bir yönetim aracına dönüşür.

---

Kaynak makale: Soterion – Understanding Which GRC Business Objectives are Most Important to Your Organisation Yazar: Dudley Cartwright