TL;DR
SAP GRC (Governance, Risk and Compliance), kurumsal yetkilendirme, risk tespiti ve iç kontrol süreçlerini yöneten SAP çözüm ailesidir. En çok kullanılan bileşen Access Control'dür; rol tasarımı, SoD çakışma analizi ve acil erişim yönetimini kapsar. Türkiye'de bağımsız denetim ve BDDK/SPK uyum süreçlerinde SAP GRC giderek daha kritik bir araç haline gelmektedir.
SAP GRC Nedir ve Hangi Bileşenlerden Oluşur?
SAP GRC, kuruluşların yönetişim, risk ve uyumluluk gereksinimlerini tek bir çatı altında yönetmesini sağlayan bir çözüm ailesidir. Dört ana bileşenden oluşur: Access Control (yetkilendirme ve SoD yönetimi), Process Control (iç kontrol ve denetim), Risk Management (kurumsal risk değerlendirme) ve Audit Management (iç denetim yönetimi). Büyük SAP kurulumlarında genellikle Access Control bileşeni önce hayata geçirilir; diğerleri ilerleyen aşamalarda eklenir.
SAP GRC, ECC ve S/4HANA sistemleriyle entegre çalışır. Yetkilendirme verileri doğrudan SAP'tan çekilir; çakışma kuralları merkezi bir kural kütüphanesinde (Rule Set) tanımlanır. Bu yaklaşım, manuel denetim raporları yerine gerçek zamanlı risk görünürlüğü sağlar.
Access Control: Rol Tasarımı ve SoD Yönetimi
Access Control'ün temel işlevi Görev Ayrımı (Segregation of Duties — SoD) ihlallerini tespit etmek ve önlemektir. SoD, aynı kullanıcının birbiriyle çelişen iki işlemi — örneğin tedarikçi kaydı oluşturma ve ödeme onaylama — gerçekleştirememesini garanti eder. Bu ayrım olmadan sahtecilik ve hata riski dramatik biçimde artar.
SUIM işlem koduyla mevcut yetkilendirme raporlanabilir; GRC tarafında GRAC_SOD_REP ile SoD analizi çalıştırılır. Rol tasarımı PFCG işlem koduyla yapılır; SAP GRC bu rolleri analiz ederek çakışma tespiti gerçekleştirir. Acil erişim yönetimi için Firefighter (GRAC_SPM) modülü kullanılır: bir kullanıcıya geçici yüksek yetkili erişim tanımlanır, tüm hareketler loglanır ve denetçilere otomatik rapor iletilir.
Process Control ve Risk Management
Process Control bileşeni, iç kontrol testlerini ve denetim izlerini sistematik biçimde yönetir. Kontrol sahipleri SAP GRC üzerinden test görevlerini alır, bulguları kaydeder ve iyileştirme planları oluşturur. Bu yapı, COSO çerçevesi ve SOX (Sarbanes-Oxley) gibi uluslararası iç kontrol standartlarıyla uyumludur.
Risk Management bileşeni ise kurumsal riskleri tanımlama, değerlendirme ve izleme sürecini destekler. Her risk için olasılık ve etki puanı belirlenir; risk sahipleri atanır; azaltma eylemleri takip edilir. SAP FI, CO gibi modüllerdeki finansal verilerle entegrasyon sayesinde sayısal risk göstergeleri otomatik hesaplanabilir.
Türkiye'deki Uyum Gereksinimleri ve GRC Kullanımı
Türkiye'de BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) denetimi altındaki finans kuruluşları ile halka açık şirketler için SPK tebliğleri, güçlü iç kontrol ve yetkilendirme altyapısı gerektirmektedir. Bağımsız denetçiler giderek daha sık SAP GRC raporlarını kanıt olarak talep etmektedir.
Ayrıca Türkiye'de yaygın olan grup şirket yapıları, farklı şirket kodlarındaki rol çakışmalarını karmaşık hale getirir. SAP GRC'nin çoklu sistem ve şirket kodu desteği, bu karmaşıklığı merkezi bir platform üzerinden yönetmeyi mümkün kılar. e-Dönüşüm süreçleriyle birlikte GİB'in denetim kapasitesinin arttığı bu dönemde, mali verilere yetkisiz erişim ve manipülasyon riskinin azaltılması kurumlar için stratejik önem taşımaktadır.
Sık Sorulan Sorular
**SAP GRC sadece büyük şirketler için mi?**
SAP GRC çözümleri geleneksel olarak büyük ölçekli SAP kurulumlarında kullanılmıştır. Ancak SAP Business Technology Platform (BTP) üzerinde sunulan bulut tabanlı GRC seçenekleri, orta ölçekli şirketlere de erişim imkânı tanımaktadır. Temel SoD analizini kapsayan Access Control paketi, lisans açısından en erişilebilir giriş noktasıdır.
**SoD çakışmasını manuel olarak da yönetmek mümkün değil mi?**
Küçük SAP kurulumlarında SUIM ve bazı özel ABAP raporlarıyla manuel takip yapılabilir. Ancak kullanıcı sayısı ve rol karmaşıklığı arttıkça manuel yaklaşım yetersiz kalır. SAP GRC, kural kütüphanesi, otomatik tarama ve iş akışı onaylarıyla bu süreci ölçeklenebilir kılar.
**Firefighter (acil erişim) ne zaman kullanılır?**
Yıl sonu kapanış, kritik yazılım güncellemesi veya acil sistem onarımı gibi durumlarda normal yetki sınırlarının ötesinde erişim gerekebilir. Firefighter, bu erişimi geçici, onaylı ve tam loglu biçimde sağlar. Firefighter ID'ye yapılan her hareket kayıt altına alınır; denetçiler bu logları oturum bazında inceleyebilir.
**SAP S/4HANA'ya geçince GRC yapılandırması değişiyor mu?**
Evet. S/4HANA, bazı FI/CO t-kodlarını Fiori uygulamalarıyla değiştirdiğinden mevcut SoD kural kümelerinin güncellenmesi gerekir. SAP, S/4HANA için önceden yapılandırılmış kural setleri sunar; bunların şirket özelinde revize edilmesi geçiş projesinin bir parçasıdır. Bu adım genellikle güvenlik açığı yarattığından projenin başında planlanmalıdır.
**CONSULANT SAP GRC konusunda destek veriyor mu?**
CONSULANT, SAP FI, CO ve ABAP alanlarındaki uzmanlığını GRC danışmanlığına taşımaktadır. Rol tasarımı, SoD analizi ve Access Control yapılandırması konularında [iletişim](/iletisim) sayfamız üzerinden bizimle görüşebilirsiniz.
CONSULANT | SAP FI · CO · PA · ABAP Danışmanlık
SAP danışmanlığı mı arıyorsunuz?
Uzman ekibimizle ücretsiz ön değerlendirme için iletişime geçin.
İletişime Geçin →