Upload
duongdan
View
219
Download
2
Embed Size (px)
Citation preview
Kurumsal Yönetişim, Risk Ve Uyum
www.pwc.com.tr
………………………….… …
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
İçerik
1. GRC Nedir?
2. GRC Çözümleri – RSA Archer
3. Başlık – 3
4. Başlık – 4 …
2
9 Aralık 2013 11. Çözüm Ortaklığı Platformu
PwC
GRC nedir?
3
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
GRC
4 11. Çözüm Ortaklığı Platformu
" Ben bu geminin batmasını
hayal edemiyorum. Başına
herhangi bir felaketin
gelebileceğini öngöremiyorum.
Artık modern gemi yapımı bunun
da ötesinde...”
Kaptan E.J. Smith, Titanic 1.Subayı
9 Aralık 2013
PwC
GRC nedir?
5 11. Çözüm Ortaklığı Platformu
Kurumsal Yönetişim
Risk
Uyum
Kurumsal Yönetişim: Bir şirketin yönetilmesine yönelik hedefler, kültür, süreç ve kanunlar
Risk: Hedefe ulaşmayı engel olayın gerçekleşme olasılığı ve etkisi
Uyum: Sektörün gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edilmesi
9 Aralık 2013
PwC
GRC nedir?
6 11. Çözüm Ortaklığı Platformu
Kurumsal Yönetişim süreçleri:
• Yönetim yapısının ve organizasyonun belirlenmesi
• Şirket hedeflerinin belirlenmesi
• Kurumsal politikaların ve kontrollerin belirlenmesi
• Şirketin, tedarikçilerin ve 3.partilerin risk ve uyumluluk gereksinimlerini karşıladığından emin olunması
• Düzenli olarak bulguların, risklerin ve yeni yönetmeliklerin iletişiminin sağlanması ve yönetilmesi
9 Aralık 2013
PwC
GRC nedir?
7 11. Çözüm Ortaklığı Platformu
Risk Yönetimi süreçleri:
• Şirketin hedefini etkileyen tehditlerin belirlenmesi
• Finansal
• Kanuni Yükümlülükler
• İş
• İtibar
• Stratejik
• Güvenlik
• Risklerin etki ve olasılıklarının hesaplanması
• Doğal risklerin ve risk azaltıcı kontrollerin belirlenmesi
• Kalan risklerin yönetilmesi
9 Aralık 2013
PwC
GRC nedir?
8 11. Çözüm Ortaklığı Platformu
Uyum süreçleri:
• Politika, kontrol prosedürlerinin ve test planlarının dokümante edilmesi
• Kanun ve yönetmelikleri takip eder
• Kontrolleri düzenli izler
• Düzenli değerlendirmeler ve testler gerçekleştirir
• Farklılıkları belirler ve yönetir
• Üst Yönetime düzenli raporlar
9 Aralık 2013
PwC
GRC terimleri
9 11. Çözüm Ortaklığı Platformu
Finans BT Operasyon Hukuk
Kontrol görevler ayrılığı
güçlü şifre ürün testi patent
Risk dolandırıcılık
yetkisiz erişim
mutsuz müşteri
markanın zayıflaması
Olay kasa açığı gizli veriye ulaşım
yüksek hata oranı
ürün kopyalama
Tehdit hırsızlık hacking verimsiz test rekabet
Varlık nakit para bilgi kalite marka
9 Aralık 2013
PwC
GRC -Trafik Kuralı analojisi
10 11. Çözüm Ortaklığı Platformu
Kurumsal Yönetişim: Kuralı koyar.
Risk: Uygun kurallar konulduğundan emin olur
Uyum: Kuralın verimliliğini ölçer
9 Aralık 2013
PwC
GRC - Biraz Tarih
11 11. Çözüm Ortaklığı Platformu
1990’lar:
• Teknolojik gelişmeler
• Globalleşme ve yeni piyasalar
2000’lar:
• Sistematik büyük suistimaller (Enron, WorldCom)
• Ticaret kontrolleri - 9/11
Bugün:
• Etkin Risk Yönetimi
• Kanun ve Yönetmelikler
• Kemer sıkma politikaları
• Savaş
• Doğal Felaketler
9 Aralık 2013
PwC
CEO’lar risk hakkında ne düşünüyorlar?
12 11. Çözüm Ortaklığı Platformu
92%
Riskleri yönetmenin uzun vadeli başarıları için önemli ve kritik olduğuna inanıyorlar
…
CEO’lar risk yönetiminin kurumlarının başarısı için elzem olduğunun farkındalar.
….fakat açıklıkla ve güvenle almaları gereken kararlara yönelik bilginin eksik ve tutarsız olduğunu belirtiyorlar.
23%
Fakat yalnızca %23’ü stratejilerine yönelik güvenilir risk bilgisine sahip olduklarını belirtiyorlar.
9 Aralık 2013
PwC
Neden GRC bugün iş dünyasında önemli?
13 11. Çözüm Ortaklığı Platformu
Uyum Müdürü CCO
BT Müdürü CIO
• Politika ve regülasyon yönetiminde yaşanan zorluklar
• Politika ve regülasyona uyum ve farkındalık problemleri
• Kontrollerin işte yaşanan değişiklikleri yansıtmaması
• Çalışanların kontrol farkındalığının olmaması
• Çok fazla kontrolün uygulanması
• Risklerin belirlenmesinde, konsolide olmasında ve aksiyon alınmasında yaşanan zorluklar
• Risk değerlemesinde yaşanan tutarsızlıklar
• Yeni tehditin zamanında belirlenmemesi ve aksiyon alınamaması
• Kontrollerin işte yaşanan değişiklikleri yansıtmaması
• Anahtar kontrollerin belirlenmesindeki zorluklar
• Hataların geç fark edilmesi • Çok fazla kontrolün
uygulanması • Risk Yönetimi ile uyum
• Denetim planları tutarsız uygulanıyor.
• Denetim sonuçları ve raporlarında tutarsızlık olabilmekte
• Risklerin doğru belirlenmesi ve Risk Yönetimi ile uyum
Örtüşen sıkıntılar
• İnsan
• Süreç
• Sistem
• Donanımlarda yaşanan sorunlar
• Yetkisiz erişim • Kontrollerin işte yaşanan
değişiklikleri nyansıtmaması
9 Aralık 2013
PwC
GRC - Bugünkü durum
14 11. Çözüm Ortaklığı Platformu
Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı paydaşlar ile çalışmak gerekli.
İç Denetim İç Kontrol BT Risk
Yönetimi Uyum
Süreç
Performans
Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC fonksiyonu, süreçlerini ve bilgi sistemlerini kullanmaktadırlar.
Olay Yönetimi
Gizlilik Bilgi Güvenliği.
Suistimal İSP SOX Kredi Riski Kara Para FCPA Op Risk
Diğerleri Open Pages RSAM TeamMate Actimize ACL,Excel
PwC
GRC Çözümleri – RSA Archer
15
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Archer Organizasyonu
16
11. Çözüm Ortaklığı Platformu
Kuruluş: 2000
8 Milyon Lisanslı Kullanıcı
Fortune 1000 Kurumları
Bankacılık, telekomünikasyon, sigortacılık sektörlerinde Pazar liderliği
RSA tarafından 2010 yılında satın alındı
9 Aralık 2013
PwC
Forrester Wave (IT and E-GRC)
17
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Gartner eGRC Magic Quadrant
18
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Kurumsal Yönetişim Risk Ve Uyumluluk ile ilgili Ortak Sorunlar
19
11. Çözüm Ortaklığı Platformu
• Uyumluluk gereksinimleri ayrı projeler olarak ele alınmakta ve aynı amaç için mükerrer değerlendirmeler yapılmaktadır. (BDDK, PCI, Basel II, CobIT vb.)
• Bulgu konsolidasyonu ve takibinde yaşanan sorunlar
• Excel tabanlı ve anlık raporlama, süreklilik ile ilgili sorunlar
• Kurumsal Paydaşlar arasında eşgüdüm ve ortak yönetim anlayışını ortaya çıkarmada yaşanan güçlükler
• Konsolide Risk Yönetiminin Hayata Geçirilmesinde yaşanan sıkıntılar (İş Sürekliliği, Tedarikçi Yönetimi, Olay Yönetimi, Finansal Riskler, Uyumlulukla ilişkili Riskler)
9 Aralık 2013
PwC
RSA Archer eGRC Ekosistemi
20
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
RSA Archer eGRC Solutions
21
11. Çözüm Ortaklığı Platformu
Uyum Yönetimi Kontrollerin uyumluluk çerçevesinde değerlendirilmesi, operasyonel etkinliğin değerlendirilmesi, mevzuata dayalı uyumluluk sorunlarının adreslenmesi
Politika Yönetimi Politikaların merkezi yönetimi, kontrol hedefleri ile eşleştirilmesi ve ortak bir kontrol zemininin sağlanması
Tehdit Yönetimi Tehditlerin erken uyarı sistemi üzerinden takip edilmesi ve saldırıların önlenmesi.
Kurumsal Yönetim Organizasyonel hiyerarşi ve altyapı arasındaki ilişkilerin ve bağımlılıkların yönetilmesi
Risk Yönetimi ISO31000 ve COSO çerçevesinde risklerin tanımlanması, değerlendirilmesi ve giderilmesi
Olay Yönetimi Olayların, etik ihlallerin, eskalasyonların yönetimi, soruşturmaların takibi
İş Sürekliliği Yönetimi İş Sürekliliği ve Felaket Kurtarımı planlaması süreçlerinin otomasyonu, hızlı ve etkin kriz yönetimi
Denetim Yönetimi Denetim faaliyetlerinin merkezi olarak planlaması, önceliklendirilmesi, kaynak planlaması ve raporlaması
Tedarikçi Yönetimi Tedarikçi verilerinin merkezileştirilmesi, tedarikçilerin sınıflandırılması ve değerlendirilmesi
9 Aralık 2013
PwC
Örnek Ekranlar – Yönetim Konsolu
22
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Kurumsal Yönetim
23
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Politika Yönetimi
24
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Politika Eşleşmesi
25
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Bulgu Konsolidasyonu
26
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Risk Yönetimi
27
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – İş Sürekliliği Yönetimi
28
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Tedarikçi Yönetimi
29
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Denetim Yönetimi
30
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek Ekranlar – Denetim Yönetimi
31
11. Çözüm Ortaklığı Platformu 9 Aralık 2013
Sorularınız?
© [2013] PwC Türkiye. Tüm hakları saklıdır. Bu belgede “PwC” ibaresi, her bir üye şirketinin
ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited’in bir üye şirketi
olan PwC Türkiye’yi ifade etmektedir. “PwC Türkiye”, Başaran Nas Bağımsız Denetim ve
Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve
PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de
kurulmuş tüzel kişiliklerden oluşan PwC Türkiye organizasyonunu ifade ve temsil etmektedir.
İletişim bilgilerimiz:
Serdar Güzel
Kıdemli Müdür – BT Risk Hizmetleri Lideri
Tel: +90 533 309 6019 [email protected]
Vedat Finz
RSA Türkiye Satış Müdürü
Tel: +90 530 961 6678 [email protected]