KOBİ büyüdükçe en kritik dönüşüm noktalarından biri kontrol kültürüne geçiştir. 5 kişilik atölyede patron her şeyi görür, 50 kişilik şirkette artık göremez. İç kontrol burada devreye girer — kimse şüpheli değildir, ama sistem kötüye kullanıma kapalı tasarlanmalıdır. Bu yazı görev ayrılığı (Segregation of Duties / SoD), yetkilendirme matrisleri ve onay akışlarının ERP'de nasıl kurulacağını anlatıyor. Başlık denetim gibi görünse de odak günlük operasyon: hile ve hatadan korunmak.
Neden iç kontrol şart?
Üç temel sebep:
- Hile riski — bir tedarikçi-personel anlaşması, bir hayalet fatura, bir paralel firma akışı
- Hata riski — yorgun bir muhasebecinin yanlış tutarı kaydetmesi, yanlış IBAN'a havale
- Denetim zorunluluğu — bağımsız denetim, vergi denetimi, KVKK denetimi, ISO sertifikaları hep kontrol delili ister
KOBİ'lerin %70'i bu konularda hiçbir şey yapmaz "bizde hile olmaz" der. Sonra bir gün bir hile ortaya çıkar ve geç kalmış olur.
Görev ayrılığı (Segregation of Duties — SoD)
Temel ilke: bir kişi bir işlemi baştan sona tek başına yapamamalı.
Klasik tehlikeli kombinasyonlar:
- Aynı kişi tedarikçi açar + fatura kaydeder + ödeme yapar → hayalet tedarikçi yaratıp para çıkarabilir
- Aynı kişi sipariş alır + irsaliye keser + tahsilat alır → fiili olarak satılan ürünün parasını cebine atabilir
- Aynı kişi maaş bordrosunu hesaplar + ödeme talimatını verir → fazla ödenmiş maaş kendine yönlendirilebilir
- Aynı kişi stok sayım yapar + zayiat kaydı yapar → çalınan ürün "fire" olarak kapatılabilir
ERP rol bazlı kurulmalıdır. "Tedarikçi açma" yetkisi olan kişi, "Ödeme onayı" yetkisini almamalı.
Yetkilendirme matrisi: ne, kim, ne kadar
Sistemde her aksiyon için 3 soru cevaplanmalı:
- Ne — Hangi işlem (sipariş, ödeme, fatura iptali, fiyat güncelleme, stok hareketi)
- Kim — Hangi rol (satış elemanı, satış müdürü, finans, genel müdür)
- Ne kadar — Tutar/limit (10₺K altı, 10-50₺K, 50₺K üstü)
Örnek matris:
| İşlem | 10₺K altı | 10-100₺K | 100₺K+ |
|---|---|---|---|
| Satınalma siparişi | Satınalma sorumlusu | Müdür onayı | Genel müdür onayı |
| Ödeme talimatı | — | Finans + müdür | Finans + GM + tek imza yetkili |
| Fatura iptali | Müdür onayı | GM onayı | YK kararı |
| Stok düzeltmesi | Depo müdürü | Operasyon müdürü | Bağımsız sayım onayı |
Bu matris ERP'ye parametre olarak girilmeli, kod değişikliği gerektirmemeli.
Onay akışları: dijital izin sistemi
Onay akışı doğru kurulduğunda:
- Talep oluşturulur, otomatik olarak onaylayıcıya yönlendirilir
- Onaylayıcı mobil/email ile bilgilendirilir, tek tıkla onaylar/reddeder
- Reddetme durumunda gerekçe zorunlu, talep sahibi düzenleyip tekrar gönderir
- Tüm onay zinciri kayıt altında, izlenebilir
Yanlış kurgulanırsa:
- Onaylayıcı 3 gün izinde — talep bekler, üretim aksar
- Aşırı çok seviye onay — basit şey 5 imza ister, kimse kullanmak istemez
- Tek imza onaylayıcısı şirket dışında — sistem bloke olur
KOBİ için maksimum 3 onay seviyesi ve yedek onaylayıcı mekanizması doğru orta yol.
Ses ve loglama (audit trail)
İç kontrolün kalbi: kimin neyi ne zaman yaptığının izi. Audit log:
- Her veri değişikliği (kim, ne zaman, eski değer, yeni değer)
- Her giriş-çıkış (kullanıcı, IP, başarısız denemeler dahil)
- Her onay aksiyonu
- Her rapor görüntüleme (hassas veriler için)
Bu log:
- Değiştirilemez (immutable) olmalı — admin bile geçmiş kaydı silememeli
- Yeterince saklanır — VUK'a göre 5+ yıl, KVKK'ya göre ilişki süresi + makul süre
- Aranabilir — "Geçen ay X tedarikçisinin ödeme limitini kim değiştirdi" sorusuna 30 saniyede cevap vermeli
En sık 5 zayıflık
1. Tek admin hesabı paylaşılıyor "Patron şifresi" diye herkesin bildiği bir hesap = audit log anlamsız.
2. Personel ayrıldıktan sonra erişim kalıyor İK formu doldurulurken aynı zamanda ERP yetkileri otomatik silinmeli.
3. Geçici yetki kalıcı oluyor "Bu hafta tatildeyim, sen onaylarsın" diye verilen geçici yetki 6 ay sonra hâlâ aktif.
4. Onaylayıcı kontrolsüz onaylıyor "OK" basıp geçiyor, içerik kontrolü yapmıyor. Onay sayfası anlamlı detay göstermeli.
5. Limit parametresi güncellenmiyor 3 yıl önce konulan 10₺K limit bugün hâlâ aynı, enflasyonla anlamsız hale geldi. Yıllık review olmalı.
KOBİ için başlangıç adımları
- Şu anki kullanıcı listesi (ERP, mail, banka ekstresi erişimi vs)
- Hangi işlemler tek kişide birikmiş (SoD ihlali)
- Yetkilendirme matrisi yazılı mı?
- Onay akışları manuel mi (Whatsapp), dijital mi
- Audit log saklanıyor mu, nasıl sorgulanıyor
- Personel ayrılma süreci yetki silmeyi içeriyor mu
Birasyo'nun yaklaşımı
Birasyo ERP'de iç kontrol:
- Rol bazlı yetkilendirme — 50+ önceden tanımlı rol, özelleştirilebilir
- SoD kontrolü — riskli kombinasyonları sistem otomatik uyarır (ör: aynı kişi tedarikçi açıp ödeme onayladıysa flag)
- Çoklu seviyeli onay akışları — limit ve kategori bazlı, yedek onaylayıcılı
- Audit log — append-only, kriptografik zincirleme, 25 yıla kadar saklama opsiyonu
- Personel ayrılış otomasyonu — İK formundan tetikleme ile tüm yetkiler otomatik kapanır
- Yıllık yetki review raporu — yöneticilere "ekibinizin yetkilerini gözden geçirin" görev oluşturur
İç kontrol yapısını ERP'ye taşımak için demo açın.
İlgili okumalar:
Bu yazıyı LinkedIn'de paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, LinkedIn paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
