Kurumsal Yönetişim, Risk Ve Uyum

Transkript

1 Kurumsal Yönetişim, Risk Ve Uyum. 12. Çözüm Ortaklığı Platformu 9 Aralık 2013

2 İçerik 1. GRC Nedir? 2. GRC Çözümleri RSA Archer 3. Başlık 3 4. Başlık Çözüm Ortaklığı Platformu 9 Aralık

3 GRC nedir? 11. Çözüm Ortaklığı Platformu 9 Aralık

4 GRC " Ben bu geminin batmasını hayal edemiyorum. Başına herhangi bir felaketin gelebileceğini öngöremiyorum. Artık modern gemi yapımı bunun da ötesinde... Kaptan E.J. Smith, Titanic 1.Subayı 11. Çözüm Ortaklığı Platformu 9 Aralık

5 GRC nedir? Kurumsal Yönetişim: Bir şirketin yönetilmesine yönelik hedefler, kültür, süreç ve kanunlar Kurumsal Yönetişim Risk: Hedefe ulaşmayı engel olayın gerçekleşme olasılığı ve etkisi Risk Uyum Uyum: Sektörün gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık

6 GRC nedir? Kurumsal Yönetişim süreçleri: Yönetim yapısının ve organizasyonun belirlenmesi Şirket hedeflerinin belirlenmesi Kurumsal politikaların ve kontrollerin belirlenmesi Şirketin, tedarikçilerin ve 3.partilerin risk ve uyumluluk gereksinimlerini karşıladığından emin olunması Düzenli olarak bulguların, risklerin ve yeni yönetmeliklerin iletişiminin sağlanması ve yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık

7 GRC nedir? Risk Yönetimi süreçleri: Şirketin hedefini etkileyen tehditlerin belirlenmesi Finansal Kanuni Yükümlülükler İş İtibar Stratejik Güvenlik Risklerin etki ve olasılıklarının hesaplanması Doğal risklerin ve risk azaltıcı kontrollerin belirlenmesi Kalan risklerin yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık

8 GRC nedir? Uyum süreçleri: Politika, kontrol prosedürlerinin ve test planlarının dokümante edilmesi Kanun ve yönetmelikleri takip eder Kontrolleri düzenli izler Düzenli değerlendirmeler ve testler gerçekleştirir Farklılıkları belirler ve yönetir Üst Yönetime düzenli raporlar 11. Çözüm Ortaklığı Platformu 9 Aralık

9 GRC terimleri Finans BT Operasyon Hukuk Kontrol Risk görevler ayrılığı dolandırıcılı k güçlü şifre ürün testi patent yetkisiz erişim Olay kasa açığı gizli veriye ulaşım mutsuz müşteri yüksek hata oranı markanın zayıflaması ürün kopyalama Tehdit hırsızlık hacking verimsiz test rekabet Varlık nakit para bilgi kalite marka 11. Çözüm Ortaklığı Platformu 9 Aralık

10 GRC -Trafik Kuralı analojisi Kurumsal Yönetişim: Kuralı koyar. Risk: Uygun kurallar konulduğundan emin olur Uyum: Kuralın verimliliğini ölçer 11. Çözüm Ortaklığı Platformu 9 Aralık

11 GRC - Biraz Tarih 1990 lar: Teknolojik gelişmeler Globalleşme ve yeni piyasalar 2000 lar: Sistematik büyük suistimaller (Enron, WorldCom) Ticaret kontrolleri - 9/11 Bugün: Etkin Risk Yönetimi Kanun ve Yönetmelikler Kemer sıkma politikaları Savaş Doğal Felaketler 11. Çözüm Ortaklığı Platformu 9 Aralık

12 CEO lar risk hakkında ne düşünüyorlar? 92% Riskleri yönetmenin uzun vadeli başarıları için önemli ve kritik olduğuna inanıyorlar CEO lar risk yönetiminin kurumlarının başarısı için elzem olduğunun farkındalar..fakat açıklıkla ve güvenle almaları gereken kararlara yönelik bilginin eksik ve tutarsız olduğunu belirtiyorlar. 23% Fakat yalnızca %23 ü stratejilerine yönelik güvenilir risk bilgisine sahip olduklarını belirtiyorlar. 11. Çözüm Ortaklığı Platformu 9 Aralık

13 Neden GRC bugün iş dünyasında önemli? Politika ve regülasyon yönetiminde yaşanan zorluklar Politika ve regülasyona uyum ve farkındalık problemleri Denetim planları tutarsız uygulanıyor. Denetim sonuçları ve raporlarında tutarsızlık olabilmekte Risklerin doğru belirlenmesi ve Risk Yönetimi ile uyum Risklerin belirlenmesinde, konsolide olmasında ve aksiyon alınmasında yaşanan zorluklar Risk değerlemesinde yaşanan tutarsızlıklar Yeni tehditin zamanında belirlenmemesi ve aksiyon alınamaması Uyum Müdürü CCO Örtüşen sıkıntılar İnsan Süreç Sistem BT Müdürü CIO Kontrollerin işte yaşanan değişiklikleri yansıtmaması Anahtar kontrollerin belirlenmesindeki zorluklar Hataların geç fark edilmesi Çok fazla kontrolün uygulanması Risk Yönetimi ile uyum Kontrollerin işte yaşanan değişiklikleri yansıtmaması Çalışanların kontrol farkındalığının olmaması Çok fazla kontrolün uygulanması 11. Çözüm Ortaklığı Platformu Donanımlarda yaşanan sorunlar Yetkisiz erişim Kontrollerin işte yaşanan değişiklikleri nyansıtmaması 9 Aralık

14 GRC - Bugünkü durum Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı paydaşlar ile çalışmak gerekli. İç Denetim İç Kontrol BT Risk Yönetimi Uyum Süreç Performans SOX Suistimal Gizlilik Bilgi Kara Para Kredi Riski FCPA İSP Op Risk Güvenliği. Olay Yönetimi TeamMate Actimize RSAM Open Pages ACL,Excel Diğerleri Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC fonksiyonu, süreçlerini ve bilgi sistemlerini kullanmaktadırlar. 11. Çözüm Ortaklığı Platformu 14

15 GRC Çözümleri RSA Archer 11. Çözüm Ortaklığı Platformu 9 Aralık

16 Archer Organizasyonu Kuruluş: Milyon Lisanslı Kullanıcı Fortune 1000 Kurumları Bankacılık, telekomünikasyon, sigortacılık sektörlerinde Pazar liderliği RSA tarafından 2010 yılında satın alındı 11. Çözüm Ortaklığı Platformu 9 Aralık

17 Forrester Wave (IT and E-GRC) 11. Çözüm Ortaklığı Platformu 9 Aralık

18 Gartner egrc Magic Quadrant 11. Çözüm Ortaklığı Platformu 9 Aralık

19 Kurumsal Yönetişim Risk Ve Uyumluluk ile ilgili Ortak Sorunlar Uyumluluk gereksinimleri ayrı projeler olarak ele alınmakta ve aynı amaç için mükerrer değerlendirmeler yapılmaktadır. (BDDK, PCI, Basel II, CobIT vb.) Bulgu konsolidasyonu ve takibinde yaşanan sorunlar Excel tabanlı ve anlık raporlama, süreklilik ile ilgili sorunlar Kurumsal Paydaşlar arasında eşgüdüm ve ortak yönetim anlayışını ortaya çıkarmada yaşanan güçlükler Konsolide Risk Yönetiminin Hayata Geçirilmesinde yaşanan sıkıntılar (İş Sürekliliği, Tedarikçi Yönetimi, Olay Yönetimi, Finansal Riskler, Uyumlulukla ilişkili Riskler) 11. Çözüm Ortaklığı Platformu 9 Aralık

20 RSA Archer egrc Ekosistemi 11. Çözüm Ortaklığı Platformu 9 Aralık

21 RSA Archer egrc Solutions İş Sürekliliği Yönetimi İş Sürekliliği ve Felaket Kurtarımı planlaması süreçlerinin otomasyonu, hızlı ve etkin kriz yönetimi Tehdit Yönetimi Tehditlerin erken uyarı sistemi üzerinden takip edilmesi ve saldırıların önlenmesi. Denetim Yönetimi Denetim faaliyetlerinin merkezi olarak planlaması, önceliklendirilmesi, kaynak planlaması ve raporlaması Politika Yönetimi Politikaların merkezi yönetimi, kontrol hedefleri ile eşleştirilmesi ve ortak bir kontrol zemininin sağlanması Risk Yönetimi ISO31000 ve COSO çerçevesinde risklerin tanımlanması, değerlendirilmesi ve giderilmesi Uyum Yönetimi Kontrollerin uyumluluk çerçevesinde değerlendirilmesi, operasyonel etkinliğin değerlendirilmesi, mevzuata dayalı uyumluluk sorunlarının adreslenmesi Tedarikçi Yönetimi Tedarikçi verilerinin merkezileştirilmesi, tedarikçilerin sınıflandırılması ve değerlendirilmesi Olay Yönetimi Olayların, etik ihlallerin, eskalasyonların yönetimi, soruşturmaların takibi Kurumsal Yönetim Organizasyonel hiyerarşi ve altyapı arasındaki ilişkilerin ve bağımlılıkların yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık

22 Örnek Ekranlar Yönetim Konsolu 11. Çözüm Ortaklığı Platformu 9 Aralık

23 Örnek Ekranlar Kurumsal Yönetim 11. Çözüm Ortaklığı Platformu 9 Aralık

24 Örnek Ekranlar Politika Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

25 Örnek Ekranlar Politika Eşleşmesi 11. Çözüm Ortaklığı Platformu 9 Aralık

26 Örnek Ekranlar Bulgu Konsolidasyonu 11. Çözüm Ortaklığı Platformu 9 Aralık

27 Örnek Ekranlar Risk Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

28 Örnek Ekranlar İş Sürekliliği Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

29 Örnek Ekranlar Tedarikçi Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

30 Örnek Ekranlar Denetim Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

31 Örnek Ekranlar Denetim Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık

32 Sorularınız? İletişim bilgilerimiz: Serdar Güzel Kıdemli Müdür BT Risk Hizmetleri Lideri Tel: Vedat Finz RSA Türkiye Satış Müdürü Tel: [2013] Türkiye. Tüm hakları saklıdır. Bu belgede ibaresi, her bir üye şirketinin ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited in bir üye şirketi olan Türkiye yi ifade etmektedir. Türkiye, Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de kurulmuş tüzel kişiliklerden oluşan Türkiye organizasyonunu ifade ve temsil etmektedir.