İç Denetimde Son Gelişmeler

Transkript

1 İç Denetimde Son Gelişmeler İç Denetim Başkanlarını Neler Bekliyor? Dünyadaki gelişmelerin iç denetime yansıması 5 Mayıs 2016

2 İç Denetimde Yeni Gelişmeler Ajanda 1 Dijital Dünyanın Getirdiği Değişimler 2 Küresel İç Denetim Anketi Sonuçları 3 İç Denetimde Güncel Konular 4 Güncel Konularla İlgili İç Denetimden Beklentiler 5 Bundan Sonraki Adımlar 6 Sorular

3 Dijital Dünyanın Öyküsü Sosyal Medya Me at the zoo 3

4 Değişim: Mobil ve ilgili teknolojiler Güven söz konusu olduğunda mobil teknolojilerin kat etmesi gereken daha çok yol var. 4

5 Değişim: Artan sosyal ağlar Sosyal medya kullanımı, günlük hayatın tamamlayıcı parçası 5

6 Değişim: Demografik kaymalar Genç nesil artık sosyal medya yoluyla etkileşim kuruyor 6

7 Türkiye de Sosyal Medya Kullanımı > 36 milyon Facebook kullanıcısı 2 saat 32 dakika kullanıcı başına sosyal medyada geçirilen süre 4. Türkiye nin sosyal medya kullanımında dünya sırası Sosyal ağların Türkiye de kullanım oranı %93 %72 %33 %26 7

8 Dijital Dünyadaki Güncel Konular Yeni Mobil Dijital Cihazlar Modeller Veri Analitiği Geleneksel iş modelleri, değişen müşteri ve çalışan Dünyadaki ihtiyaçlarını verilerin karşılamak Cep telefonları, için dijital internete %90 ı son iki işletmelere erişimde PC leri dönüştü. geride senede yaratıldı. bırakarak en yaygın kullanılan araç oldu. Dünya genelindeki Türkiye nin 2014 mobil cihazlar yılındaki online Organizasyonlar piyasasının, müşteriler büyümesi Pazara ve yeni rekabet giren hakkında oyuncuların, daha çok harcamalarının bilgiyi saklamak bekleniyor. ve analiz markalara, etmek için ürünlere Big Data veya kullandıkça, mevcut %19 u akıllı alışveriş gibi aktiviteler pazardaki daha kişisellecek operasyonel ve pazarlama zayıflıklara daha telefonlar ile hedefli hale gelecek. saldırması ve müşteri tabanını gerçekleşti. etkilemesi sonucu bozulma meydana gelir. Dijital ortam, bozulmanın çok milyon daha milyar hızlı gerçekleşmesine neden olur. 8

9 Küresel İç Denetim Anketi Değer katan iç denetim fonksiyonları dönüşüm süreçlerine proaktif bir bakış açısı sağlar Değer katan iç denetim fonksiyonları dönüşüm süreçlerine nasıl katılım sağlar? Riskin gerçekleşmesinin ardından riskin indirgenmesi amacıyla 9% 47% süreçler ve kontrollerin denetimi Riskin gerçekleşmesinden önce riski indirgenmesi amacıyla yerinde olan süreç ve kontrollerin denetimi 24% Riskin gerçekleşmesinden önce iç kontrol üzerine proaktif bir bakış açısı ve öneriler sağlanması Yıllık risk değerlendirilmesi sürecinde riskin saptanması 20% 9

10 Küresel İç Denetim Anketi Aşağıda belirtilen dört alanda önemli değer katan iç denetim fonksiyonları diğerlerine üstünlük sağlamıştır. 88% 91% 57% 63% 53% 54% 34% 32% Risk Odaklılık Yeterlilik İş süreçlerine uyumluluk Veri Önemli değer katan iç denetim fonksiyonları Diğer tüm iç denetim fonksiyonları 10

11 Küresel İç Denetim Anketi Kurumsal Risk Ambarı - İç ve dış kaynaklardan risk bilgisini edinme, tolerans seviyelerini karşılaştırma ve ilgili politika ve prosedürlerin ilişkilendirilmesi. Politika ve Prosedür Yönetimi - Regülasyonlardaki güncellemelerin takibi, politika yönetimi ve yayınlanması, ilgili risk ve kontrollerin ilişkilendirilmesi ve yönetim onayının alınması. Kurumsal Risk Ambarı Politika ve Prosedür Yönetimi Kontrollerin Muhafazası ve izlenmesi - Tasarlanan kontrollerin muhafazası ve doğrulaması, kolaylaştırılmış uygunluk denetimi, kontrollerin, yapılan işlemlerin, BT sistemlerinin ve iyileştirici aksiyon takibinin otomatik sorgulanması. Denetim Döngüsü Yönetimi Ortak Veritabanı Kontrollerin muhafazası ve izlenmesi Veri Güvenliği - Kritik finans ve operasyonel sistemlerine erişim yetkilerinin yönetimi ve izlenmesi. Denetim Döngüsü Yönetimi - Risk verilerin denetim planı ile ilişkilendirilmesi, kontrollerin bağımsız olarak test edilmesi, uyum kontrollerinin kalite değerlendirmesi ve iyileştirici aksiyonların takibi. Veri Güvenliği 11

12 CEO lar Ne Düşünüyor? (19. CEO Survey) 12

13 CEO lar Ne Düşünüyor? (19. CEO Survey) 13

14 İç Denetim Dünyasındaki Güncel Konular Veri Analitiği Bulut Bilişim Siber Güvenlik Sosyal Medya Mobil Teknolojiler Davranışsal Denetim 14

15 Veri Analitiği 15

16 CAE lerin katılma oranı Veri Analitiği Küresel İç Denetim Anketi sonuçlarına göre, verilerin doğru yönetimi ve gelişmiş analitik kullanımı, üst düzey yöneticiler ve iç denetim başkanları tarafından çok önemseniyor. Veri analitiği düzenli olarak kullanılır. Veri analitiği kullanımı genişletilmek isteniyor ancak iyi geliştirilmiş bir plan mevcut değil. Veri analitiği, bulguların rakama dökülmesinde önemlidir. Veri analitiği denetim kapsamının güçlendirilmesinde önemlidir. Veri analitiği risklerin daha iyi anlatılmasına yardımcı olur. 16

17 Veri Analitiği İç Denetim ve organizasyon için veri analitiği kullanımının faydaları: Öngörülerin daha doğru sağlanması Uygunluk açısından gelişmiş iç denetim Geniş düşünme kabiliyeti Yaratıcılığın teşvik edilmesi Üretkenliğin artması Planlama Yüksek hacimlerle çalışma kolaylığı Düzensiz verilerin yeniden düzenlenmesi İç Denetim becerilerinin geliştirilmesi Sistem ve veri setlerinin çapraz analizi Karmaşıklığı yalınlaştırma becerisi Öngörüler hakkında daha açık iletişim sağlanması Saha Çalışması 17

18 Siber Güvenlik 18

19 Siber Güvenlik ve İç Denetim 19

20 Siber Güvenlik ve İç Denetim Siber güvenlikle ilgili risklerin yönetilmesi ile ilgili iyi uygulamalar - Değerli bilgilerin nerede bulunduğunu belirlemek - Merkezi bir kayıt oluşturmak - Hangi bilgiler değerli, bu bilgiler nerede saklanıyor belirlemek - Taşıyabileceği risklerin analiz etmek - Etkin güvenlik önlemleri nelerdir belirlemek ve hayata geçirmek - Başka firmalarda gerçekleşen ciddi olayları takip etmek ve ortaya çıkan sonuçlara göre önleyici ve ortaya çıkarıcı önlemler almak İç denetim bu alanda nerelere odaklanmalı? Bilgilerin depolanması, kritiklik seviyelerine ve işe etkisine göre farklılaştırıldı mı? Önemli bilgi varlıklarına ait merkezi kayıtlar tutuluyor mu? Önemli bilgi varlıklarına ait riskler uygun bir şekilde hesaplanıp, yönetim ile risk iştahı konusunda anlaşıldı mı? Bilgi varlıkları, BT ağları ve sistemler ile eşleştirildi mi? Önemli bilgilerin ayrıştırılması ve sadece yetkili kişilerin erişebilmesi için hangi güvenlik kontrolleri uygulanıyor? Uygulanan güvenlik önlemleri müşterilerin veri güvenliği konusunda beklentilerini karşılayacak düzeyde mi? Firma, düzenli olarak tehdit ortamını ve kontrolleri gözden geçirerek gerekli düzenlemeleri yapıyor mu? Firmanın hassas bilgilerin kaybolmasına ya da zarar görmesine ilişkin bir aksiyon planı var mı? Bu süreç kriz ve medya yönetimi planı ile ilişkilendirilmiş mi? 20

21 Sosyal Medya 21

22 Sosyal Medya ve İç Denetim Firmaların sosyal medyaya olan ilgisi her geçen gün artıyor AA 22

23 Sosyal Medya ve İç Denetim Sosyal medya ile ilgili risklerin yönetilmesi ile ilgili iyi uygulamalar Farkındalık programları - Çalışanların sosyal medya kullanımı konusunda eğitilmesi (ör: etik kod aracılığıyla) ve belirli mecralardaki iletişimde kimlerin yetkili olduklarının belirlenmesi Politika & prosedürler - Güvenlik, sosyal medya ve etik konularında politikaların belirlenmesi ve bunların çalışanların işe giriş aşamalarına dahil edilmesi İletişim - Firmanın sosyal medya birimi ve çalışanlar arasında düzenli iletişiminin sağlanması ve söz konusu mecralarda olan bitenden çalışanların her zaman haberdar edilmesi Güvenlik teknolojileri - Politikalarınızı destekleyen, kontrolü ve takibine imkan tanıyan teknolojilerin kullanılması Risk değerlendirme - Sosyal medya kullanımının kontrol altında tutulması ve beklenmedik durumlara karşı risklerin, risk yönetiminin ve kriz planının gözden geçirilmesi Süre kotası - Sosyal medya kullanımına, firmanın risk iştahı ve risk profili doğrultusunda süre sınırı getirilmesi Kriz yönetimi - Olası senaryoları da içeren resmi planların oluşturulması İç denetim bu alanda nerelere odaklanmalı? Sosyal medya stratejisi açık bir şekilde tanımlandı mı? Çalışanlar arasında firma ile ilgili sosyal medya kullanımları konusunda bir farkındalık oluşturuldu mu? Firma olarak sosyal ağ teknolojileri nasıl kullanılıyor? Sosyal ağ analizlerine bağlı olarak aşağıdaki parametreler tanımlandı mı? o o o o o Sosyal medya kullanımı firmanın marka değerini nasıl etkiliyor? Müşteri, çalışan ve firmaya ilişkin olarak veri kaybı riskini arttırıyor mu? E-ticaret işlemlerinde riski arttırıyor mu? Firma, yeni mecralara adapte olma konusunda ne kadar esnek bir yapıya sahip? Yeni mecraların benimsenmesinde herhangi bir düzenleme ve kontrole ihtiyaç var mı? 23

24 Bulut Bilişim 24

25 Bulut Bilişim ve İç Denetim Bulut bilişimin sağladığı büyük yararlara rağmen getirdiği riskler neler? 25

26 Bulut Bilişim ve İç Denetim Bulut bilişimle ilgili risklerin yönetilmesi ile ilgili iyi uygulamalar - Mevcut güvenlik ile ilgili açıkları ortadan kaldırmak - Kendi verilerini ve bulut bilişim uygulamalarının uygunluğunu gözden geçirmek - Potansiyel hizmet sağlayıcısını yetkinlik, veri güvenliği, uygunluğu, ulaşılabilirliği ve ölçülebilirliği gibi konularda değerlendirmek - Olası bir hizmet verememe durumunda verilerin ve uygulamaların başka bir hizmet sağlayıcısına taşınabilmesi durumunu göz önünde bulundurmak İç denetim bu alanda nerelere odaklanmalı? Sözleşme yönetimi: Hizmet sağlayıcısının sorumlulukları, güvenlik ihlalleri ya da diğer ihlallerin neden olduğu olaylar, servis düzeyinin tanımlanması, sözleşmelerin takip edilmesi, yerel ve uluslararası düzenlemelere uyum için hangi haklara sahip olunduğu gibi kritik noktaların sözleşmede açık bir şekilde belirtildiğinden emin olunmalıdır. Yetkilendirme/Erişim kontrolleri: Bulut sağlayıcısı sizin bilgilerinize ulaşmada çalışanları/ortakları/ tedarik zincirini sınırlayabilmek için yönetimsel kontrolleri uyguladığını kanıtlamalıdır. Sertifikasyon ve hizmet sağlayıcısı denetimleri: Hizmet sağlayıcılarının üçüncü taraf değerlendirme kurallarına tabi olduğundan emin olunması gerekir. (SSAE16, ISAE 3402, ASAE 3402 ya da ISO sertifikası) Tesis ve operasyonların bağımsız olarak gözden geçirilmesi istenmelidir. Uyum gereklilikleri: Tedarikçinin, firmanın kendi uyum gerekliliklerini sağlayıp sağlamadığından emin olunması gerekir. Kritik faktörlerden biri, hizmet sağlayıcının sunucularının coğrafi konumlarıdır. Verilerin tutulduğu veya işlendiği ülkede firmaya ait veriler için geçerli olabilecek yasalardan haberdar olunması gerekir. Ulaşılabilirlik, tutarlılık, esneklik: Tutarlılık, ulaşılabilirlik gibi konularda ölçülebilir hizmet seviyeleri için anlaşmaların ve sorumlulukların belirlenmesi gerekir. Yedekleme ve kurtarma: Acil durum eylem planı gereklilikleri açıkça tanımlanmalı ve sorumlulukların tam olarak anlaşılması sağlanmalıdır. Hizmet sağlayıcısı ile anlaşmadan önce hizmet sağlayıcısının böyle durumların üstesinden başarı ile gelip gelemediğinden emin olunması gerekir. Verinin imha edilmesi: İhtiyaç duyulmayan verilerin güvenli bir şekilde silinmesi gerekir. Taşınabilirlik: Gerek olduğunda, verilerin ve uygulamaların başka bir bulut sağlayıcısına transfer edilebildiğinden emin olunması gerekir. Bulut sağlayıcısı seçmeden önce sizin 26 başka bir hizmet sağlayıcı kullanmanızı engelleyecek teknolojiler kullanmadıklarından emin olun.

27 Mobil Teknolojiler 27

28 Mobil Teknolojiler ve İç Denetim Mobil cihazlar gittikçe daha akıllı olmaya başladı ve bu yüzden daha fazla risk arz ediyorlar 28

29 Mobil Teknoloji ve İç Denetim Mobil teknoloji ile ilgili risklerin yönetilmesi ile ilgili iyi uygulamalar - Organizasyon için bir mobil cihaz yönetim çözümü seçmek - Güvenilir hizmetler sunan sağlayıcıları seçmek - Seçilen sağlayıcılarla, güvenlik kuralları, cihaz güvenliği, cihaz yönetimi ve güvenli bir çevre oluşturabilmek için birlikte çalışmak İç denetim bu alanda nerelere odaklanmalı? Akıllı cihaz stratejileri Akıllı cihaz çözümlerinin firma stratejilerine uygun ve işin ihtiyaçlarına azami yarar sağlayacak nitelikte olduğundan emin olunması gerekiyor. Politika, prosedürler ve farkındalık - Politika, prosedür ve farkındalık uygulamalarının uygunluğunun, verimliliğinin ve çalışanların firma bilgilerini korumadaki sorumluluklarına aşinalığının araştırılması gerekiyor. Teknoloji değerlendirmesi - Mobil cihazlarla birlikte mobil cihaz yönetimi için kullandığınız teknoloji de, sektörün en iyisi olup olmadığı ile ilgili gözden geçirilmeli. İç denetimin, güncel kötü içerikli yazılımlardan haberdar olmak için mobil güvenlik gelişmelerini yakından takip etmesi gerekiyor. Farkındalık ve İletişim Çalışanların zayıf güvenlik uygulamalarının kullanımı konusunda eğitmek gittikçe önem kazanıyor. (ör. Zayıf PIN ve şifre, yetersiz cihaz konfigürasyon ayarları) 29

30 Davranışsal denetim 30

31 Davranışsal denetim Davranışsal risklerin yönetimi Davranışlar Kurum hangi davranışların sergilenmesini istiyor? İletişim ve Özümseme Arzu edilen davranışların iletişimi nasıl yapılıyor, içselleştirilmesi nasıl sağlanıyor? Güvence Beklenen davranışlar gözlemleniyor mu? Neden? alışkanlık inanış algı davranış 31

32 Davranışsal denetim Davranışların tahmini Kıyaslama Fark Analizi Proaktif Ölçümleme Davranışların değişimi 32

33 İç Denetimin bir sonraki adımı: Daha Fazla Değer Katmak Daha yetkin iç denetim faaliyeti Daha fazla veriyle çalışma İş süreçleri ile daha uyumlu denetimler Daha risk odaklı iç denetim 33

34 Her konuda sorularınız için Işıl Uysun İç Denetim ve İç Kontrol Hizmetleri Lideri Onur Vuruşkaner Kurumsal Risk Yönetim Hizmetleri Lideri Turkey. All rights reserved. In this document, refers to Turkey, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. Turkey refers to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. and PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd Şti. which are separate legal entities incorporated in Turkey within the Turkey organisation.