VODAFONE RİSKLERİ SAP İLE YÖNETİYOR

Türkiye’nin ilk SAP Kurumsal Kontrol, Risk Yönetimi ve Uyumluluk (GRC) Access Control projesi, Vodafone için KoçSistem tarafından gerçekleştirildi.

Istanbulİki faz olarak planlanan ve Şubat 2008’de başlanan projede, KoçSistem ve çözüm ortağı SecurIntegration danışmanları birlikte çalıştı. Yaklaşık 1 ay süren POC (Proof Of Concept) fazının ardından Haziran 2008’de ikinci fazına başlanan proje, Ekim 2008’de tamamlandı. SAP ERP, ICCB (CRM Billing Sistemi), Lotus Notes ve Excel onay dosyaları kullanıcılarının dâhil olduğu projenin tamamlanması ile yaklaşık 1300 Vodafone çalışanı; yetkiye dayalı iş risklerinin Sarbanes-Oxley (SoX) uyumluluğu çerçevesinde SAP Kurumsal Kontrol, Risk Yönetimi ve Uyumluluk (GRC) çözümü ile denetlenmeye başlandı.

SAP GRC Access Control’ün, Risk Analysis and Remediation (Compliance Calibrator) ile gelen standart kural kümesinin yanında, Vodafone-SoX ve lokal gereksinimleri karşılayacak şekilde Vodafone Non-SoX kural kümeleri oluşturuldu. Bu kural kümeleri etrafında Segragation of Duties (Görev ayrım ilkesinin ihlalleri) durumu kontrol kapsamına alınıp, bunların raporlanabilmesi sağlandı. Projede ICCB/ICRM-CRM Billing Tool için 3 ayrı yetki ve rol kontrolü yapıldı. ICCB tarafındaki mevcut kullanıcıların, SAP’deki karşılıkları yetki rolleri bazında taranarak; SoD uyumsuzluklarının tanımlanması, acil durum yaratma, riskten haberdar olma, gerekli durumlarda izin verme (mitigation), denetim kütüğünde saklama ve dönemsel raporlamada (ICCB to SAP) tamamlanma aşamasına gelindi. ICCB içindeki yetkiye dayalı iş rollerinin GRC Access Control çerçevesinde raporlanması ve ICCB DB kullanıcıların, DB seviyesindeki tablolara erişim kontrolünün, yetki iş riskleri çerçevesinde oluşturulması sağlandı.

Lotus Notes üzerinde yapılan satın almaların, Lotus Notes içindeki iş akış onayları çerçevesinde Vodafone Türkiye’de daha elverişli bir ortam olarak görünen kullanıcı dosyalarının bulunduğu LDAP (Windows Active Directory) sistemi ile karşılaştırılmasıyla, uyumluluk çerçevesinde raporlanabilmesi gerçekleştirildi. SAP kullanıcılarının, Access Control ile birlikte gelen standart bağlantı (RTA-Real Time Agent) sayesinde SoD uyumsuzluğunun aynı kapsamda raporlanabilmesi sağlandı.

Ayrıca, Vodafone Türkiye’de yetkiye dayalı manuel tutulan onay dosyaları (XLS), server seviyesinde yaratılan Hotfolder’ların, flat file (txt dosyası) olarak güncel halde tutulması mümkün hale getirildi. Bu dosyaların onaylanması sırasında aynı kullanıcıların, SAP’deki kendi kullanıcı dosyaları ile karşılaştırabilmeleri sağlandı.