ERP MPLEMENTASYONU PROJELER NDE DENET M SREC N N NEM ve

KAR ILA ILAN R SKLER

U ur Ka an D NSOY
Giri
ERP (Enterprise Resource Planning - Kurumsal Kaynak Planlamas), bilgi sistemleri
profesyonelleri tarafndan bir kavram veya bir sistem olmaktan te, uyguland sisteme de er
katan, do ru uyguland nda verimlilik, karllk ve maliyet avantaj sa layan, gvenli bir bilgi
payla m ortam sunabilen bir yap olarak tanmlanmakdr. Ayn zamanda bu yap, bilgi
sistemleri yneticileri iin irketlerinde uyguladklar ve ynettikleri, onlarn ya am biimi olmu
bir olgudur.
ERP, dnyada ve Trkiyede son 20 ylda tm bilgi sistemleri profesyonelleri tarafndan
kullanlan ve tart lan bir olgudur. ERP szc , o unlukla verimlilik art , sistem
entegrasyonu, do ru ve hzl bir ekilde bilgiye ula abilme ve gl bir imaj gibi kavramlarla yan
yana kullanlan, ancak baz durumlarda uzun proje uygulama sreleri, yksek maliyetler, srekli
dan manlk hizmeti alma gereksinimi gibi olumsuz etkileri oldu una inanlan bir terim olmu tur.
Makale boyunca ERP sistemleri ve implementasyon projeleri hakknda ksa bilgiler verilip bu
projelerde denetim srecinin nemine de inilecektir. Ayrca canl gei ncesi kontrol denetimleri
yaplmadan kullanlmaya ba lanan sistemlerdeki riskler ele alnacaktr.
ERP Sistemi Nedir?
ERP sistemi, kurum ierisindeki i letme faaliyetlerini ve karar alma srecini desteklemek
amacyla kurulan, bnyesinde e itli yazlm rnlerini barndran bir sistemdir. Di er bir tanm
ile ERP sistemi, i letmenin temel i srelerini ve fonksiyonlarn tek bir yap iinde
btnle tiren, modllerden olu an standart bir yazlm paketidir. Makale sresince Kurumsal
Kaynak Planlamas sistemleri kavram, bu kavramn ngilizce isminin ksaltmas olan ERP ile
ifade edilmektedir. ERP sistemleri 80li yllarn sonunda MRP (Materials Resource Planning) ve
MRP II (Manufacturing Resource Planning) sistemlerinin verimlilik ve entegrasyon bakmndan
yetersiz kalmas sonrasnda geli tirilmi ve ksa srede retim tabanl hizmet veren irketlerde
yaygnla m tr.
Dnyada ve Trkiyede ERP
ERP, dnyada ve Trkiyede ylda ortalama %10luk byme oranlar ile geli en bir pazardr.
ERP pazarnn byk oyuncular SAP, Oracle, IBM, Baan, JD Edwards, Marcarn, Peoplesoft,
Ramco, Platinum gibi firmalardr. Bu firmalara son yllarda Infor ve Srp firmas Sage
eklenmi tir. Di er pazarlarda oldu u gibi, tm dnyada ERP pazarnda da irket birle meleri ve
satnalmalar gerekle mektedir. Bunun son rneklerinden biri Oraclen Peoplesoftu satn alarak
SAPnin tekel olma hedefine kar bir g olma e ilimidir. Trkiyede ise pazara hakim olan
firmalar a a daki gibidir:

SAP (300 civarnda firma tarafndan kullanlan MySAP ve R/3 ile),

Oracle (250ye yakn irketin kulland Oracle Applications ile),
Globalsoft (yakla k 50 irketin kulland JD Edwards paketi ile),
Member of
Deloitte Touche Tohmatsu

IAS (20 civarnda firma tarafndan kullanlan CANIAS rn ile),

LOGO (150ye yakn kk ve orta lekli firmada kullanlan rnleri ile),
NETS S (150ye yakn firmada kullanlan ayn adl rn ile).

Trkiyede 2006 yl rakamlarna gre ERP pazarnn bykl yllk 30 milyon dolar
civarndadr. Bu seviyenin 2006 ylnda dnyada 15 milyar dolar oldu u d nlrse, pazarn
byme potansiyeli ak bir ekilde grlmektedir. Ayrca dnyada 2011 ylna kadar her yl
%10 bymesi beklenen pazarn 2011 yl sonunda toplam 25 milyar dolar seviyesine gelmesi
beklenmektedir. Dnya apnda 500n zerinde ERP yazlm reten firma birbiriyle rekabet
etmektedir. Bir Alman irketi olan SAP, ERP sistemlerinin nde gelen tedarikisidir ve
dnyada pazar paynn yakla k te birinden fazlasn elinde tutmaktadr. Bu rakamlar
de i ik ara trma irketlerine gre farkllk gsterse de genelde birbirine yakndr ve SAP
firmas pazarda tart masz lider konumundadr. SAP, R/3 ile pazara koydu u a rl n web
tabanl yeni rn olan MySAP ile devam ettirmektedir. Trkiyeye bakt mzda da SAPnin
lider durumda oldu u grlmektedir. Kendi iddiasna gre SAP, Trkiyedeki 500 byk
firmadan 200ne hizmet sa lamaktadr. Bu rakamlarn sadece satn alnan ERP paketlerini
yanstt unutulmamaldr. Bu rakamlara dan manlk, lisanslama ve bakm hizmetleri de
eklendi inde, zm ortaklar sayesinde pazarn bykl , yukarda bahsedilen rakamlarn
yakla k iki katna ula maktadr.
ERP mplementasyonu Projesi Sreleri

"

"
"

&&

#'

'

)"

)"
)
!+

ekil 1 : ERP mplementasyonu Projesi Sreleri

Member of
Deloitte Touche Tohmatsu

Yukardaki tabloda bir ERP mplementasyonu projesinin sreleri belirtilmi tir. Denetimin ise bu
srelerin tmne katma de er sa layabilecek bir faz olarak, implementasyon projesinde
bulunmas nerilmektedir. Makalenin bu a amadan sonraki blmlerinde denetim faznn
getirileri aklanmaya al lacak, denetim fazn projelendirmeyen ve gz ard eden irketlerde
olu abilecek riskler hakknda bilgi verilecektir. Ayrca ERP sistemleri denetimleri sonucunda
kar la lan riskler detaylandrlacaktr.
Bir ERP Projesi Faz Olarak Denetim Sreci, Denetim Srecinin Getirileri ve Proje
mplementasyonu Srasnda Olu an Riskler
ERP mplementasyonu projelerinde en nemli sre, kurumun ihtiyalarnn tanmlanmas olup,
bu ihtiyalara ynelik ERP paketinin modifiye edilmesi projelerin en uzun zaman alan ksmn
olu turmaktadr. Uygulamada genellikle bu admlar zerinde yo un al malar yaplmakta,
dan manlar, firma proje ekibi ve son kullanclar tm glerini bu admlar tamamlamaya
harcamaktadrlar.
Tm konsantrasyonun implementasyonun ba arl bir ekilde yaplmasna ve tm gereksinimlerin
olu turulmasna ynelik oldu u bir anda, denetimin gz ard edildi i irketlerde, proje
ba langcnda belirlenen daha gvenli ve sistemli bir yapya ula ma hedefinden saplmakta,
projeyi tamamlama igdsnn baz gvenlik standartlarnn i nenmesine neden oldu u
grlmektedir.
ncelemeler ve gzlemler esnasnda kar la lan ERP sistemleri ve altyaps konularndaki genel
bulgular ve riskler a a da listelenmi tir:
1) Genel Gvenlik Parametrelerinin Uygulanmamas
ncelemelerimizde ERP mplementasyonu projesini yeni in a etmi veya halen projenin devam
etti i irketlerde gvenlik parametrelerinin standartlardan uzak ekillerde uyguland veya hi
uygulanmad grlm tr. rne in, sistemlerde ifre parametrelerinin standartlara uygun
olmad , ifrelerin komplex ve yeterli uzunlukta olmad gzlemlenmi tir. Kullanclar, belirli
bir zaman aral nda de i tirilmesi zorunlu olmayan ifreler ile sisteme girebilmektedir. Bunlarn
yan sra sistem zerinde ayn kullanc ad ile birden fazla terminal zerinden sisteme ba lanma
parametrelerinin ak brakld grlmektedir. Bu parametrenin ak kalma nedeni ise projenin
ve testlerin devam, lisans kayglar sonucu ortak kullanclarn bulunmasdr. Ayrca sistem
zerinde time-out parametresi uygulanmamakta, sistem belirli bir sre i lem yapmayan kullancy
sistem d na atmamaktadr. zellikle SAP ve Oracleda snrsz yetkilendirmelere sahip
kullanclar dzenleyen ve sistem tarafndan gereksinim duyulan bu kullanclar inaktif yapp
canl ortamda kullanlmamasn sa layan parametrelerin de do ru ekilde uygulanmad , bu
kullanclarn sistem zerinde kullanlabilir olduklar tespit edilen bir d er gvenlik a dr.
Sistem zerinde ifrelerin kriptolanarak saklanmas, sistem tarafndan belirlenmi zel tablolarn
yanl lkla silinmekten korunmas, belirlenmi canl sistem irket kodlarna ait datalarn
korunmas ve canl ortam al rken d ardan sisteme eri im gibi konular dzenleyen, gvenlik
asndan ok nemli parametrelerin de tanmlanmad ve sistemle beraber gelen (default)
de erlerinde kullanld saptanm tr. ERP sistemlerinin gvenlik de erlerinin standartlardan
d k olmas, yetkisiz kullanclarn sistemde daha yksek yetkiler ile i lem yapmasna, yaplan
i lemlerde sorumluluklarn belirlenememesine sebep olabilmektedir.
Member of
Deloitte Touche Tohmatsu

2) Sistem zerinde Tm Kullanc Adlarnn Benzersiz Olmamas

ERP sistemlerinde proje a amasnda deneme, test vb. gibi kullanc adlarnn ald ancak bu
kullanc adlarnn, sistem canlya geti inde de kullanld grlm tr. Etkin bir denetim ve iz
kaytlar izleme stratejisi ile bu kullanc adlaryla yaplan i lemler incelenebilmektedir.
Kullanclarn tanmlanamayan kullanc adlar ile yaptklar i lemler kontrol altna alnamamakta,
mevzuata aykr yaplan i lemlerin bu kullanc adlar ile yaplmas durumunda sorumlular tespit
edilememektedir.
3) Yetkilendirme, Superuser (Yetkili Kullanc) Problemleri ile Grevler Ayrl
Prensibine Aykr Durumlar
ERP sistemlerinde sa lkl bir yap sa lamann en etkili yolu, kullanc yetkilerinin do ru ekilde
tanmlanmasdr. Kullanc yetkilerinin do ru ekilde tanmlanmas ve sisteme entegre edilmesi ile
birlikte, ki iler sadece grevleri ile ilgili i lemleri yapabilecek, grevlerin arasndaki izgiler
korunacak ve grevler ayrl prensibi (segregation of duties - SOD) erevesinde sa lam bir
yap olu turulacaktr.
ERP mplementasyonu projelerinde, projenin baz a amalarnda test bazl veya do ru tanmlama
yaplmadan verilmi olan kullanc haklar, sistem canl olarak kullanlmaya ba land nda
sistemin gvenli ini tehlikeye atacak, haklarn kt amalarla kullanlmasna olanak verecek
riskleri do urmaktadr. mplementasyon projesi dahilinde denetim ekibinin al malar ile
kullanc haklar irdelenmesi ve canl sistem gei i ncesinde kullanc haklarn listeleyip
standartlara gre ak malar belirleyecek programlar ile kullanc haklarnn gzden geirilmesi
sistemin gvenlik dzeyini artracaktr.
Ayrca incelemeler srasnda yetkili kullanc (superuser) haklarnn verildi i kullanclarn do ru
seilmemi oldu u, bu kullanclara periyodik i emri verme, kullanc profillerine eri me, canl
ortama modifikasyon veya program ykleme (release) gibi yetkilerin verildi i grlm tr.
Ayrca bu kullanclarn sorumlu olduklar modl baznda de il de, tm sistemin yetkilisi olabilen
kullanc yetkileri ile donatldklar grlm tr.
4)

letim Sistemi,
Sa lanamamas

Veritaban

Sistemi

ve

ERP

Sistemi

Entegrasyonunun

ncelemelerimiz srasnda ERP sistemlerinin daha verimli al abilmesi iin veritaban ve i letim
sistemi altyapsnda de i ikli e gitmi firmalarda, yeni veritaban ve i letim sistemi ortamlarnda
da yeterli gvenlik seviyesine ula amam olduklar grlm tr. Yeni veritaban ve i letim
sistemine geen firmalarda ERP sisteminin verimli al t ancak di er ortamlarn gvenlik
aklar bulundu u ve bu aklarn ERPnin zerinde yrd veritabanna eri im, i letim sistemi
zerinde HTTP, FTP, NTS gibi servislerin ak olmas gibi tm sistemi etkileyecek aklar oldu u
grlm tr.
irketler ERP sistemlerini uygulamaya alnmas kararnn sadece ilgili i srelerini etkileyece ini
d nmekte, bu de i imin tm sistemleri ve kullanlan tm ortamlar etkileyecek bir bilgi
sistemleri altyaps de i imi oldu u boyutunu grememektedirler. Bu a amada gvenlik
uzmanlarnn sistemin btnn daha sa lam bir yapya ula tracak testleri yapmas
gerekmektedir. Ayrca sisteme getirdi i yk nedeniyle (fiyat/performans analizi yaplmadan
.
Member of
Deloitte Touche Tohmatsu

alnan kararlar nedeni ile) ERP sistemlerinin uyar ve iz kaytlar fonksiyonlarnn kullanlmamas
da olu abilecek gvenlik ihlallerine kar irketleri zor durumda brakmaktadr.
5) nceden Tanml ifrelerin Kullanlmas
ERP sistemleri ve bunu besleyen i letim sistemleri ve veritaban ynetim sistemlerinde sistemin
do as olarak kullanlmas gereken, nceden tanml yksek haklara sahip olan ifrelerin canl
kullanma geildi inde modifiye edilmedi i, hatta ERP d ndaki sistemlerde bu tarz gvenlik
aklar bulundu u hakknda bilgi eksikli i dahi bulundu u gzlenen bir noktadr. Bu aklar
sisteme d ardan yetkisiz ki ilerin ba lanmas ve sistemlere zarar vermesi gibi gvenlik riskleri
yaratabilmektedir.
6) Politika ve Prosedr Eksikli i
ERP sistemlerini kullanan irketlerde, sistem de i imleri, canl sisteme eri im, gvenlik
parametreleri, operasyonel i ler, sisteme yeni kullanc ekleme ve karma gibi konularda
prosedrler ve i ak lar belirlenmemi olup bu aktiviteleri ynetmekle grevli ki ilerin tanml
olmad saptanm tr.
Canl ortama geildikten sonra sistemi ynetecek ki ilerin belirlenmesi, ynetilecek faaliyetleri
belirleyen ve ynetim kademelerini aklayan onayl prosedrlerin yaynlanmas, firma ierisinde
gvenlik konusunda farkndal arttracak ve kullanclarn ERP sistemine adapte olmasn
sa layacak bir admdr. Bu a amada da ba msz bir kurulu un ERP sistemi gereklilikleri ve
firma ihtiyalarna ynelik al malar yaparak kullanclar yeni sisteme ve gvenli yapya
hazrlamas gerekmektedir. Politika ve prosedr eksiklikleri; yaplan i lerin standartla mamasna
neden olmakta, sre sahiplerinin insiyatifi do rultusunda yaplan i lerde, srein sahibinin
de i mesi ile, eski verimlili in yitirilmesine sebep olabilmektedir.
Sonu
Gnmz rekabet ko ullarnda otomasyon ve sistem entegrasyonu, maliyet ve karllk iin ok
nemli noktalar haline gelmi tir. ERP sisteminin bu iki konuda da irketlere katma de er
sa lamas sebebiyle, ERP sistemlerini ynetmek birok irketin varolan bir hedefi iken, di er
irketler iin de bu sistemi uygulamaya almak, ksa ve orta vadeli hedefleri haline gelmektedir.
Hem bu sisteme gei i projelendiren, hem de ERP sistemine entegre olmu irketlerin ERP
denetimini bir sre olarak grmesi ve planlarnda bu olguya da yer vermesi gerekmektedir. ERP
sistemleri karma k ve ok kullancl yaplara sahip oldu u iin do ru parametreler ve kullanc
tanmlamalar yaplmad nda sistemler ve mali tablolarda geri dnlemez hatalarn olu masna,
sistemlerde suistimale ynelik (fraud) i lemlerin yaplabilmesine olanak sa lamaktadr.
Sistemler zerinde denetim faaliyetlerinin etkin bir ekilde i letilmesi, ERP uygulamasnn
tmnn a a daki rnek yakla m kapsamnda incelenmesi, sreler ierisinde bulunmas
gereken kontrollerin belirlenmesi ve nerilerle birlikte raporlanmas tm projenin ba arsn
etkileyecek bir faktrdr.
rnek yakla m admlar:

ERP sisteminde yksek dzeyde eri im haklarna sahip kullanclarn belirlenmesi ve bu

kullanclarn profiline ynelik yetkilendirme yaplmas,
ERP sisteminde kritik haklara sahip olacak kullanclarn belirlenmesi,
/
Member of
Deloitte Touche Tohmatsu

ERP sisteminde gvenlik altyapsn geli tirecek ve sistemi maksimum verimde

kullanacak parametrik ayarlarn yaplmas, ifre, sistem kullanclar gibi konularda
yksek standartlara ula lmas,
ERP sisteminde bulunan bilgi sistemleri ii ve d tm kullanclarn grevler ayrl
prensibi analizi,
Gvenlik ve kritik sistem tablolarnn analizi,
Kurum gereksinimleri gz nnde bulundurularak politika ve prosedrlerin olu turulmas,
ERP sisteminin yazlm geli tirme ve de i im ynetimi standartlarnda ynetilmesi,
ERP sisteminin zerinde ko tu u veritaban ve i letim sisteminde de gvenlik ve
verimlili i artrmaya ynelik parametrelerin olu turulmas, bu sistemleri ynetmeye
ynelik nerilerin raporlanmas.

Yukardaki admlar ERP sistemlerini kullanmay d nen, halen bu sistemi kullanan ancak
gvenlik ve risk analizi yaptrmay d nen, en iyi durumla kendi durumu arasndaki fark
grmek isteyen tm firmalarn gemesi gereken denetim sreci admlardr. Unutulmamaldr ki
ERP projesi ve sonrasnda sisteme dahil olan ba msz bir denetim kurulu unun nc gz
olarak sistemi d ardan incelemesi, koordinasyonu sa lamas, riskleri bertaraf edecek veya
azaltacak nerilerde bulunmas; gvenli ve sistemli bir yap, zaman ve maliyet hedeflerine ula ma
konularnda hem firma hem de ERP sa laycsna ok de erli katklarda bulunabilecektir.

0
Member of
Deloitte Touche Tohmatsu

Kaynaklar:
AMR ERP Market Sizing Report 2006-2011, www.amrresearch.com
Air Force Mentor Frotage Program, ERP Life Cycle
Demir V., ERP Sistemlerinin Maliyetlere ve letme Performansna Etkileri, 2006, stanbul
http://www.oracle.com (10.07.2008)
http://www.sap.com.tr (10.07.2008)
slamo lu S., Denetim Olgusunun ERP Sistemleriyle Btnle tirilmesi, Eyll 2006, stanbul
Karadede A., ERP Uygulamas Sonras letmelerin Ya ad Sorunlar, Ocak 2006, stanbul
Pa ao lu, D. (2004). Kurumsal Kaynak Planlamas Kararlarnda Hatalarn Azaltlmas ve Bir
Kar la trma, Anadolu niversitesi Baslmam Yksek Lisans Tezi, Eski ehir
Pnar, . Ve Erdem, K.S.( 2001), Kurumsal Kaynak Planlamas(ERP) Kullancs letmelerin
Memnuniyetlerini lmeye Ynelik Bir Ara trma, http:// www. sletme.istanbul.edu.tr/ dergi
Srinivas S, ERP Uygulamalarnn Ba arl Olmas in Gereken Ortam Hazrlamak, 2007, New
York
Vasharhelyi,M., Kogan A., Alles M. ( July 2002) Would continuous auditing have prevented the
Enron mess? , Tha CPA Journal, v.72,i.7

U ur Ka an Dinsoy
Deloitte Kurumsal Risk Hizmetleri

1
Member of
Deloitte Touche Tohmatsu