Risk Ve Uyum - okul.pwc.com.tr · PDF fileVarlık nakit para bilgi kalite marka . ... Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı ... İletişim

Kurumsal Yönetişim, Risk Ve Uyum

www.pwc.com.tr

………………………….… …

12. Çözüm Ortaklığı Platformu 9 Aralık 2013

PwC

İçerik

1. GRC Nedir?

2. GRC Çözümleri – RSA Archer

3. Başlık – 3

4. Başlık – 4 …

2

9 Aralık 2013 11. Çözüm Ortaklığı Platformu

PwC

GRC nedir?

3


PwC

GRC

4 11. Çözüm Ortaklığı Platformu

" Ben bu geminin batmasını

hayal edemiyorum. Başına

herhangi bir felaketin

gelebileceğini öngöremiyorum.

Artık modern gemi yapımı bunun

da ötesinde...”

Kaptan E.J. Smith, Titanic 1.Subayı

9 Aralık 2013

PwC

GRC nedir?


Kurumsal Yönetişim

Risk

Uyum

Kurumsal Yönetişim: Bir şirketin yönetilmesine yönelik hedefler, kültür, süreç ve kanunlar

Risk: Hedefe ulaşmayı engel olayın gerçekleşme olasılığı ve etkisi

Uyum: Sektörün gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edilmesi

9 Aralık 2013

PwC

GRC nedir?


Kurumsal Yönetişim süreçleri:

• Yönetim yapısının ve organizasyonun belirlenmesi

• Şirket hedeflerinin belirlenmesi

• Kurumsal politikaların ve kontrollerin belirlenmesi

• Şirketin, tedarikçilerin ve 3.partilerin risk ve uyumluluk gereksinimlerini karşıladığından emin olunması

• Düzenli olarak bulguların, risklerin ve yeni yönetmeliklerin iletişiminin sağlanması ve yönetilmesi

9 Aralık 2013

PwC

GRC nedir?


Risk Yönetimi süreçleri:

• Şirketin hedefini etkileyen tehditlerin belirlenmesi

• Finansal

• Kanuni Yükümlülükler

• İş

• İtibar

• Stratejik

• Güvenlik

• Risklerin etki ve olasılıklarının hesaplanması

• Doğal risklerin ve risk azaltıcı kontrollerin belirlenmesi

• Kalan risklerin yönetilmesi

9 Aralık 2013

PwC

GRC nedir?


Uyum süreçleri:

• Politika, kontrol prosedürlerinin ve test planlarının dokümante edilmesi

• Kanun ve yönetmelikleri takip eder

• Kontrolleri düzenli izler

• Düzenli değerlendirmeler ve testler gerçekleştirir

• Farklılıkları belirler ve yönetir

• Üst Yönetime düzenli raporlar

9 Aralık 2013

PwC

GRC terimleri


Finans BT Operasyon Hukuk

Kontrol görevler ayrılığı

güçlü şifre ürün testi patent

Risk dolandırıcılık

yetkisiz erişim

mutsuz müşteri

markanın zayıflaması

Olay kasa açığı gizli veriye ulaşım

yüksek hata oranı

ürün kopyalama

Tehdit hırsızlık hacking verimsiz test rekabet

Varlık nakit para bilgi kalite marka

9 Aralık 2013

PwC

GRC -Trafik Kuralı analojisi


Kurumsal Yönetişim: Kuralı koyar.

Risk: Uygun kurallar konulduğundan emin olur

Uyum: Kuralın verimliliğini ölçer

9 Aralık 2013

http://images.google.com/imgres?imgurl=http://www.mhd.state.ma.us/safetytoolbox/images/Speed_Limit_25.png&imgrefurl=http://www.mhd.state.ma.us/safetytoolbox/&usg=__yZtejv8z4RQrGsVaEziIK-UvVs0=&h=600&w=480&sz=25&hl=en&start=2&itbs=1&tbnid=Xj-q506DrbMW6M:&tbnh=135&tbnw=108&prev=/images?q=speed+limit+sign&gbv=2&hl=en

PwC

GRC - Biraz Tarih


1990’lar:

• Teknolojik gelişmeler

• Globalleşme ve yeni piyasalar

2000’lar:

• Sistematik büyük suistimaller (Enron, WorldCom)

• Ticaret kontrolleri - 9/11

Bugün:

• Etkin Risk Yönetimi

• Kanun ve Yönetmelikler

• Kemer sıkma politikaları

• Savaş

• Doğal Felaketler

9 Aralık 2013

PwC

CEO’lar risk hakkında ne düşünüyorlar?


92%

Riskleri yönetmenin uzun vadeli başarıları için önemli ve kritik olduğuna inanıyorlar

…

CEO’lar risk yönetiminin kurumlarının başarısı için elzem olduğunun farkındalar.

….fakat açıklıkla ve güvenle almaları gereken kararlara yönelik bilginin eksik ve tutarsız olduğunu belirtiyorlar.

23%

Fakat yalnızca %23’ü stratejilerine yönelik güvenilir risk bilgisine sahip olduklarını belirtiyorlar.

9 Aralık 2013

PwC

Neden GRC bugün iş dünyasında önemli?


Uyum Müdürü CCO

BT Müdürü CIO

• Politika ve regülasyon yönetiminde yaşanan zorluklar

• Politika ve regülasyona uyum ve farkındalık problemleri

• Kontrollerin işte yaşanan değişiklikleri yansıtmaması

• Çalışanların kontrol farkındalığının olmaması

• Çok fazla kontrolün uygulanması

• Risklerin belirlenmesinde, konsolide olmasında ve aksiyon alınmasında yaşanan zorluklar

• Risk değerlemesinde yaşanan tutarsızlıklar

• Yeni tehditin zamanında belirlenmemesi ve aksiyon alınamaması

• Kontrollerin işte yaşanan değişiklikleri yansıtmaması

• Anahtar kontrollerin belirlenmesindeki zorluklar

• Hataların geç fark edilmesi • Çok fazla kontrolün

uygulanması • Risk Yönetimi ile uyum

• Denetim planları tutarsız uygulanıyor.

• Denetim sonuçları ve raporlarında tutarsızlık olabilmekte

• Risklerin doğru belirlenmesi ve Risk Yönetimi ile uyum

Örtüşen sıkıntılar

• İnsan

• Süreç

• Sistem

• Donanımlarda yaşanan sorunlar

• Yetkisiz erişim • Kontrollerin işte yaşanan

değişiklikleri nyansıtmaması

9 Aralık 2013

PwC

GRC - Bugünkü durum


Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı paydaşlar ile çalışmak gerekli.

İç Denetim İç Kontrol BT Risk

Yönetimi Uyum

Süreç

Performans

Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC fonksiyonu, süreçlerini ve bilgi sistemlerini kullanmaktadırlar.

Olay Yönetimi

Gizlilik Bilgi Güvenliği.

Suistimal İSP SOX Kredi Riski Kara Para FCPA Op Risk

Diğerleri Open Pages RSAM TeamMate Actimize ACL,Excel

PwC

GRC Çözümleri – RSA Archer

15


PwC

Archer Organizasyonu

16

11. Çözüm Ortaklığı Platformu

Kuruluş: 2000

8 Milyon Lisanslı Kullanıcı

Fortune 1000 Kurumları

Bankacılık, telekomünikasyon, sigortacılık sektörlerinde Pazar liderliği

RSA tarafından 2010 yılında satın alındı

9 Aralık 2013

http://images.google.com/imgres?imgurl=http://www.quickarrow.com/images/SAS70logo.gif&imgrefurl=http://www.quickarrow.com/partners/&usg=__k1g5veYMVmcHnugxEN4RSJFyh9s=&h=101&w=100&sz=7&hl=en&start=3&sig2=iNnLrp6bhV09WkEYPF2RkA&tbnid=L3Q2Bla779yhFM:&tbnh=83&tbnw=82&ei=iA4sSfnaIpmm8AS5ovC7BA&prev=/images?q=SAS+70+Logo&gbv=2&ndsp=21&hl=en&sa=N

https://community.archer-tech.com/blogs/attachment/ceeea6cd-df77-411f-b752-492725f1a9fb.ashx

https://community.archer-tech.com/blogs/attachment/0524fbea-56f1-427b-beda-aae3240db915.ashx

PwC

Forrester Wave (IT and E-GRC)

17


PwC

Gartner eGRC Magic Quadrant

18


PwC

Kurumsal Yönetişim Risk Ve Uyumluluk ile ilgili Ortak Sorunlar

19


• Uyumluluk gereksinimleri ayrı projeler olarak ele alınmakta ve aynı amaç için mükerrer değerlendirmeler yapılmaktadır. (BDDK, PCI, Basel II, CobIT vb.)

• Bulgu konsolidasyonu ve takibinde yaşanan sorunlar

• Excel tabanlı ve anlık raporlama, süreklilik ile ilgili sorunlar

• Kurumsal Paydaşlar arasında eşgüdüm ve ortak yönetim anlayışını ortaya çıkarmada yaşanan güçlükler

• Konsolide Risk Yönetiminin Hayata Geçirilmesinde yaşanan sıkıntılar (İş Sürekliliği, Tedarikçi Yönetimi, Olay Yönetimi, Finansal Riskler, Uyumlulukla ilişkili Riskler)

9 Aralık 2013

PwC

RSA Archer eGRC Ekosistemi

20


PwC

RSA Archer eGRC Solutions

21


Uyum Yönetimi Kontrollerin uyumluluk çerçevesinde değerlendirilmesi, operasyonel etkinliğin değerlendirilmesi, mevzuata dayalı uyumluluk sorunlarının adreslenmesi

Politika Yönetimi Politikaların merkezi yönetimi, kontrol hedefleri ile eşleştirilmesi ve ortak bir kontrol zemininin sağlanması

Tehdit Yönetimi Tehditlerin erken uyarı sistemi üzerinden takip edilmesi ve saldırıların önlenmesi.

Kurumsal Yönetim Organizasyonel hiyerarşi ve altyapı arasındaki ilişkilerin ve bağımlılıkların yönetilmesi

Risk Yönetimi ISO31000 ve COSO çerçevesinde risklerin tanımlanması, değerlendirilmesi ve giderilmesi

Olay Yönetimi Olayların, etik ihlallerin, eskalasyonların yönetimi, soruşturmaların takibi

İş Sürekliliği Yönetimi İş Sürekliliği ve Felaket Kurtarımı planlaması süreçlerinin otomasyonu, hızlı ve etkin kriz yönetimi

Denetim Yönetimi Denetim faaliyetlerinin merkezi olarak planlaması, önceliklendirilmesi, kaynak planlaması ve raporlaması

Tedarikçi Yönetimi Tedarikçi verilerinin merkezileştirilmesi, tedarikçilerin sınıflandırılması ve değerlendirilmesi

9 Aralık 2013

PwC

Örnek Ekranlar – Yönetim Konsolu

22


PwC

Örnek Ekranlar – Kurumsal Yönetim

23


PwC

Örnek Ekranlar – Politika Yönetimi

24


PwC

Örnek Ekranlar – Politika Eşleşmesi

25


PwC

Örnek Ekranlar – Bulgu Konsolidasyonu

26


PwC

Örnek Ekranlar – Risk Yönetimi

27


PwC

Örnek Ekranlar – İş Sürekliliği Yönetimi

28


PwC

Örnek Ekranlar – Tedarikçi Yönetimi

29


PwC

Örnek Ekranlar – Denetim Yönetimi

30


PwC

Örnek Ekranlar – Denetim Yönetimi

31


Sorularınız?

© [2013] PwC Türkiye. Tüm hakları saklıdır. Bu belgede “PwC” ibaresi, her bir üye şirketinin

ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited’in bir üye şirketi

olan PwC Türkiye’yi ifade etmektedir. “PwC Türkiye”, Başaran Nas Bağımsız Denetim ve

Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve

PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de

kurulmuş tüzel kişiliklerden oluşan PwC Türkiye organizasyonunu ifade ve temsil etmektedir.

İletişim bilgilerimiz:

Serdar Güzel

Kıdemli Müdür – BT Risk Hizmetleri Lideri

Tel: +90 533 309 6019 [email protected]

Vedat Finz

RSA Türkiye Satış Müdürü

Tel: +90 530 961 6678 [email protected]

Documents

Risk Ve Uyum - okul.pwc.com.tr · PDF fileVarlık nakit para bilgi kalite marka . ... Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı ... İletişim