Loading
Quartz A&C
Quartz A&C
  • 08.08.2025 01:32
  • Makaleler

ERP Sistemlerinde İç Kontrol Nasıl Kurgulanmalı?

Kontrol olmadan dijitalleşme, hızlandırılmış risk üretir.

ERP (Kurumsal Kaynak Planlama) sistemleri, işletmelerin muhasebe, satınalma, üretim, satış, insan kaynakları gibi temel süreçlerini tek bir dijital platformda bütünleşik şekilde yönetmesini sağlar. Ancak bu güçlü yapının işletmeye fayda sağlaması yalnızca fonksiyonel modüllerin kurulmasıyla değil, aynı zamanda bu süreçlerin iç kontrol sistemiyle uyumlu bir biçimde tasarlanmasıyla mümkündür.

Ne yazık ki birçok ERP projesinde, iç kontrol sisteminin gereklilikleri göz ardı edilmekte, sistem yalnızca “veri girişi ve raporlama aracı” olarak kurgulanmaktadır. Oysa etkin bir ERP, aynı zamanda riskleri minimize eden, yetki ve sorumlulukları netleştiren ve denetim izi sağlayan bir kontrol aracıdır.

Bu yazıda, ERP sistemlerinde iç kontrolün nasıl entegre edilmesi gerektiğini başlıca 5 temel başlık altında inceliyoruz.

 

1. Süreç Haritalarının Kontrol Odaklı Tasarımı

Bir ERP sisteminde kontrolün sağlanması için ilk adım, süreçlerin sadece “nasıl işlediğini” değil, aynı zamanda nerede kontrol edilmesi gerektiğini de açıkça ortaya koymaktır. Ne var ki birçok projede süreç haritaları yalnızca iş adımlarını gösteren genel şemalar şeklinde hazırlanır. Kontrol noktaları, onay mekanizmaları, riskli adımlar, karar kriterleri gibi kritik bilgiler bu haritalara yansıtılmaz.

Bu durum, ERP’nin sadece iş akışlarını taşıyan bir sistem olmasına; ancak bu akışların üzerinde kontrol mekanizmaları olmayan bir “geçiş kanalı” haline gelmesine neden olur. Yani süreç ERP’ye aktarılmış olur, ama denetim hala manuel kalır.

Harita varsa her şey yolunda demek değildir

Bir sürecin ERP sistemine taşınmadan önce kontrol odaklı tasarlanıp tasarlanmadığını anlamak için şu sorular sorulmalıdır:

Ø  Bu süreçte hangi adımlar hata riski barındırıyor?

Ø  Hangi adımlar onay gerektiriyor?

Ø  Bu adımda işlem yapabilecek roller kimler, sınırlar neler?

Ø  İşlem tamamlandığında kim, neye göre onay verecek?

Ø  Bu adımdan çıkan sonucu başka biri kontrol ediyor mu?

Bu sorulara net cevaplar verilemeden hazırlanmış süreç haritaları, ERP içinde kontrol kurulmasını olanaksız hale getirir.

Bir örnekle netleştirelim:

Klasik Süreç Haritası (eksik):

  1. Satın alma talebi → 2. Sipariş oluşturma → 3. Sipariş gönderme → 4. Fatura girişi

Kontrol Odaklı Süreç Haritası (doğru):

  1. Talep formu giriş (limit kontrolü + onay)
  2. Satın alma siparişi (iki teklifle karşılaştırma zorunluluğu)
  3. Sipariş onayı (departman yöneticisi onayı, ERP üzerinden)
  4. Malzeme girişi (fiziksel kontrol + ERP giriş kontrolü)
  5. Fatura kaydı (ayrı kullanıcı tarafından, eşleştirme zorunlu)

Görüldüğü gibi sadece işlem adımları değil, her birinin öncesi, sonrası ve kontrol kurgusu da sistemde yer almalıdır.

Öneri: Süreç haritalarınızı çıkartırken her adımda şu soruyu sorun:
"Bu adımda kontrol mekanizması var mı, kim tarafından, nasıl uygulanmalı?"

 

2. Yetki Matrisi ile Uyumlu Görev Ayrımı (SoD)

ERP sistemlerinde yetki yönetimi, iç kontrol sisteminin bel kemiğidir. “Segregation of Duties (SoD)” yani görev ayrılığı ilkesi, bir çalışanın tek başına bir sürecin hem giriş hem onay hem de işlem adımlarını yapamamasını sağlar. Bu kontrol mekanizması, hataların ve suistimallerin önüne geçmek için kritiktir.

Örnek riskler:

Ø  Bir çalışan hem satınalma siparişi oluşturabiliyor hem de tedarikçi faturalarını sisteme girebiliyorsa, kontrol zayıf demektir.

Ø  Aynı kişi hem cari açabiliyor hem ödeme talimatı verebiliyorsa, dolandırıcılık riski yüksektir.

ERP sisteminizde:

Ø  Yetki rolleri açık ve dokümante olmalı,

Ø  Rollere dayalı kullanıcı tanımlamaları yapılmalı,

Ø  Onay mekanizmaları rol bazlı kurgulanmalı,

Ø  Görev ayrılıkları düzenli olarak analiz edilmelidir.

 

3. Otomatik Kontroller ve Uyarı Sistemleri

İyi kurgulanmış bir ERP sistemi, sadece manuel kontrollerin aktarımı değil, aynı zamanda otomatik kontrollerin yerleştirilmesi için de bir fırsattır.

Bazı örnek otomatik kontroller:

Ø  Bütçe dışı talepler için sistem içi uyarılar

Ø  Kritik stok seviyelerinin altına düşüldüğünde otomatik bildirim

Ø  Onay limiti dışında işlem yapılmak istendiğinde işlem engelleme

Ø  Belirli tarihler arasında veri girişine izin verilmemesi (örneğin kapanmış muhasebe dönemlerine müdahale engeli)

ERP sisteminiz bu tarz kontrolleri desteklemiyorsa ya da devre dışı bırakıldıysa, sistem güvenliğiniz önemli ölçüde zayıflamış demektir.

 

4. Denetim İzi ve Log Kaydı

Bir ERP sisteminde işlemler kayıt altına alınıyor olabilir; ancak bu kayıtlar kim tarafından, ne zaman, hangi değişiklikle yapıldıysa ve sistem bu bilgiyi geri dönük analiz etmeye uygunsa, o sistem denetim izi üretebiliyor demektir.

Çok sayıda işletmede “veri kayıtları” ile “denetim izi” kavramları karıştırılır. Oysa bir işlemin kayıt altına alınması ile o işlemin izlenebilir, sorumluya kadar geriye dönük takip edilebilir olması arasında ciddi fark vardır.

Denetim izi, sistemin hatasız çalışmasını değil, sistemin içinde yapılan her eylemin şeffaf ve hesap verebilir hale getirilmesini sağlar.

Log Kayıtlarının temel faydaları:

Ø  Hataların ve suistimallerin izini sürmek

Ø  Sorumlulukları netleştirmek

Ø  İç denetim ekiplerinin etkili testler yapabilmesini sağlamak

Ø  Kurumsal şeffaflığı artırmak

 

5. Uyum Raporlama ve Risk Göstergeleri

ERP sisteminizde süreçler düzgün haritalanmış, yetki matrisleri tanımlanmış ve kısıtlamalar devreye alınmış olabilir. Ancak bu yapıların tamamı insanlar tarafından tanımlandığı için, zaman içinde hatalı rol atamaları, unutulan kullanıcılar veya devre dışı kalan kontroller gibi zafiyetler oluşabilir.

Bu nedenle kontrol raporları, yalnızca sistemsel uyumluluğu değil, sistemin gerçek hayattaki uygulamasını da ölçmek için önemlidir. Amaç, sistemin nasıl tasarlandığını değil, nasıl kullanıldığını görmektir. Bu raporlar, sistemsel önlemlere rağmen ortaya çıkabilecek hataları ve istisnai durumları yakalayarak, iç kontrol sisteminizin sadece var olup olmadığını değil, gerçekten işleyip işlemediğini gösterir.

İşte bu noktada, düzenli olarak çalıştırılacak kontrol raporları sürecin güvenliğini pekiştirecektir. Aşağıda buna dair bazı örnekler yer almaktadır:

Örnek 1: Görev Ayrılığı İhlalleri

ERP'de bir kullanıcının hem satın alma siparişi hem de fatura giriş yetkisi varsa, bu durum görev ayrılığı (SoD) ilkesine aykırıdır ve risklidir. Bu hatalı yetkilendirme, başlangıçta fark edilmese bile sistemsel olarak kontrol raporlarıyla tespit edilebilir.

Kontrol Raporu:

Son 30 gün içinde hem sipariş hem fatura girişi yapan kullanıcılar.

Örnek 2: Kapanmış Dönemlere Müdahale

Muhasebe dönemleri kapandıktan sonra veri girişine açık kalırsa, raporlarda oynama riski doğar. Düzgün tasarlanmış bir sistemde bu tür müdahaleler engellenmelidir, ancak kontrol raporları sayesinde hâlâ açık kalmış alanlar tespit edilebilir.

Kontrol Raporu:

Kapanmış dönemlere yapılan işlemler ve işlem yapan kullanıcı bilgileri.

Örnek 3: Onaysız Ama İşlem Görmüş Kayıtlar

ERP sisteminde bazı işlemlerin onay akışı tamamlanmadan ilerlemesi mümkündür. Örneğin, onaylanmamış bir satın alma siparişi için sevkiyat yapılması ya da sistemsel kısıt eksikliğinden dolayı stok girişinin tamamlanması gibi durumlar kontrol dışı işlem riskini artırır.

Kontrol Raporu:

Onay süreci tamamlanmamış ancak işlem görmüş kayıtlar (örneğin sipariş, stok hareketi, ödeme talebi).

.

Sonuç: ERP ve İç Kontrol El Ele Gitmeli

Bir ERP sisteminin güçlü olması, yalnızca modül çeşitliliğiyle değil, bu modüllerin ne kadar kontrol edilebilir, izlenebilir ve denetlenebilir olduğu ile ölçülür. İç kontrol sisteminin ERP yapısına entegre edilmediği durumlarda:

Ø  ERP sisteminde güvenli olmayan işlemler yapılabilir,

Ø  Yetkisiz kişiler önemli kararlar alabilir,

Ø  Hatalar ve suistimaller fark edilmeden büyüyebilir,

Ø  Denetim faaliyetleri yüzeyde kalır, kurum kültürü zarar görür.

İyi haber şu:

Doğru planlama, kontrol odaklı süreç tasarımı ve teknik uzmanlık sayesinde ERP sisteminiz, sadece bir operasyonel araç olmaktan çıkarak güçlü bir iç kontrol ve kurumsal yönetim altyapısına dönüşebilir. Bu da size yalnızca verimlilik değil, aynı zamanda kurumsal güvenlik ve sürdürülebilirlik sağlar.

Unutmamak gerekir ki ERP sistemleri yalnızca teknolojik bir altyapı değildir; aynı zamanda şirketin iş yapış biçimini, kontrol anlayışını ve kültürel yapısını etkileyen stratejik bir dönüşüm aracıdır. Bu dönüşümün kalıcı ve sağlıklı olabilmesi için yalnızca sistemin kurulması değil, süreçlerin nasıl kurgulandığı ve kontrol mekanizmalarının ne kadar güçlü olduğu belirleyicidir.

Bu nedenle ERP projelerinde yalnızca yazılım odaklı ilerlemek yerine, süreç yönetimi, iç kontrol ve denetim bakış açısını bir araya getirebilen uzman kişilerden destek alınması kritik öneme sahiptir. Böylece sistem yalnızca işler hale gelmez; aynı zamanda hatalara kapalı, denetlenebilir ve sürdürülebilir bir yapıya kavuşur.