Üçüncü Taraf Risklerinin Denetimi «Outsourcing the work but not the risks» XVIII. Türkiye İç Denetim Kongresi 20 Ekim 2014 Pelin Altındal Kıdemli Müdür, CRMA EY Risk Danışmanlık Hizmetleri
Ajanda Üçüncü Taraf Üçüncü Taraf Riskleri Üçüncü Tarafların İşletmeye Etkisi Dünyadan Örnekler İşletmenin Risk Algısı Yasal Düzenlemeler İç Denetimin Rolü İyi Uygulama Örnekleri
Üçüncü Taraf Hangi alanlarda kullanılıyor? Veri merkezi BT operasyon ve işletim İş ve hizmet sürekliliği Yazılım geliştirme ve bakım Firma Üretim, hammadde Bayiler, şube, dağıtım ağı Taşıma, nakliye, lojistik Depolama Arşiv, imha Çağrı merkezleri Ortak hizmet merkezleri Hukuk Aracılık hizmetleri İK yönetimi, bordro Muhasebe
Üçüncü Taraf Riskleri Üçüncü Taraf Kullanımının Şirketlere Etkisi Nedir? İşletmenin ihtiyaçları ile stratejinin birbirine uyumlu olmaması BT stratejilerinin işletmenin stratejik planı ile uyumlu olmaması Yeni teknolojileri ve dışsal faktörleri göz önünde bulundurmaması Yasal risklerin zamanında tespit edilememesi Uluslararası veya lokal kural ve yasalara uyumsuzluk Bilgi güvenliği ve verilerin korunması Yasal Uyum Yönetişim ve Strateji Üçüncü Taraf Riskleri İtibar Operasyon Tedarikçiye yönelik negatif kamu algısı bulunması Yetersiz ya da başarısız olmuş iç süreçler, insan kaynağı, sistemler, ya da dışsal faktörlerden kaynaklı operasyonel kayıp riski Sözleşme Ticari sırların izinsiz kullanımı
Anket Sonucu Üçüncü tarafların işletmeye etkisi Üçüncü taraf/tedarikçilerin iç kontrolleri, organizasyonunuzdaki aşağıdaki aktivitelerin desteklenmesinde ne kadar önemlidir? İtibar ve markanın korunması 100% Müşteri bilgilerinin saklanması 100% Düzenlemelere uyum 3% 97% Şirket/tedarikçinin sorunlarla başa çıkma kabiliyetininin arttırılması 3% 3% 94% Kurumsal politikalara uyum 9% 91% Fikri mülkiyet / ticari sırların korunması 11% 11% 78% Doğru tedarikçi seçimi kararlarına olanak tanınması 6% 23% 71% Birleşme, satın alma ve elden çıkarma kararlarına olanak tanınması 34% 34% 32% Şirket ve tedarikçi arasındaki ilişkinin güçlendirilmesi 11% 58% Önemli değil Normal Önemli 31%
Dünyadan Örnekler 2011 Japonya depremi 1 Arz Daralması %50 kapasite kullanımı Üretimde %29,9 azalma Japonyadaki satışlarda %45 azalma En büyük otomotiv üreticisi olan firma dördüncülüğe gerileyerek rekabet üstünlüğünü kaybetti
Dünyadan Örnekler İtibar kaybı ve büyük para cezası 11 ölü, 17 yaralı Denize dökülen 4 milyon varil petrol Amerika da gerçekleşen en büyük çevre felaketi Çevreye ve insan sağlığına verilen zararlar nedeniyle açılan pek çok dava Tedarikçilere açılan 40 milyar dolarlık tazminat davasında %67 petrol şirketi suçlu bulundu 4,5 milyar dolar ceza 7,8 milyar dolar tazminat 41.3 milyar dolar maliyet
İşletmenin Risk Algısı İtibar kayıpları İtibar Hizmet Kesintisi Pazar, müşteri kaybı Operasyonel Riskler Sözleşme Riskleri Mali yük Uyum Riskleri
Anket İç denetim planınızda 3.taraf denetimleri bulunuyor mu? Evet Hayır
İç Denetimin Rolü Üçüncü Taraf Risk Yönetiminde İç Denetim 1 Risk Değerlendirme 2 Mevcut Durum Tespiti 3 Sözleşme Yapılandırma 4 Gözetim ve Sürekli İzleme Strateji ile uyum Bilgi ve uzmanlık Finansal etkinin tahmini Kurumsal risk değerlendirmesi ve yönetimi Kapsam ve derinlik Nitel ve nicel özelliklerin gözden geçirilmesi Beklenti ve yükümlülükleri gösteren yazılı sözleşme Yönetim kurulu onayı Hukuk görüşü Gözetim programı Anahtar risk göstergeleri Anahtar performans göstergeleri Süreç, risk ve kontrollerin dokümantasyonu 3.parti politikası
Yasal Düzenlemeler Türkiye ve Dünya 2010 Hazine: Bilgi Sistemleri Denetimi Yönetmeliği 2011 BDDK: Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik 2013 SPK: Bilgi Sistemleri Yönetim ve Denetim İlkeleri (Taslak) 2014 TTK: Taşeron Yasası FCPA Dodd- Frank yasası ABD UK Bribery Act
Stratejik Tedarikçi Yönetimi Stratejik Kaynak İyi Uygulama Örnekleri Tedarikçi Yaşam Döngüsü Tedarikçi Yaşam Döngüsü 1 Araştırma Araştırma Potansiyel tedarikçilerin belirlenmesi 2 Seçme Seçme Sınıflama Değerlendirme kriterlerinin belirlenmesi, teklif sahiplerinin değerlendirilmesi Tedarikçiye karar verilmesi Seçilen tedarikçilerin sınıflanması 3 Sınıflama 4 Risk değerlendirmesi Performans ölçümü/gözlemleme Tedarikçi izleme kriterlerinin geliştirilmesi, risk sınıflandırması ve riski bertaraf edecek aksiyonların belirlenmesi Performans ölçümü ve kurallara uyuma ilişkin ölçütler geliştirilmesi Tedarikçinin risk ve puanlama sonucunun değerlendirilmesi 7 Risk Değerlendirme Vendor Tedarikçi Relationship Yönetimi Management Performans ölçümü 5 Geliştirme Denetim Faaliyete son verme Proaktif olarak sorunlara ilişkin aksiyonların alınması Şartlara uyum ve yerine getirilmelerinin doğrulanması Kontrat dışı işlemlerin belirlenmesi İlişkinin sonlandırılması Tedarikçi Geliştime 8 Faaliyete Son Verme 6
İyi Uygulama Örnekleri Sözleşme risk yönetimi Sözleşme Risk Yönetimi Geliştirme Prosedürlerin izlenmesi Sözleşme İnceleme Yasal ve Ticari Risk faktörleri açısından Risk profili İzleme prosedürlerinde odaklanılacak alanlar (üçüncü taraf denetim planları) Yönetimin gelişim önerilerinin uygulanması konusunda desteklenmesi İyi uygulama örnekleri ile kontrol ve süreçlerin karşılaştırılması Yasal uyumun doğrulanması Veri toplama ve analizi Trend analizi Endüstri analizleri
Anket Sonucu Sözleşme riskine yönelik iç kontrollerinizi ne kadar etkin buluyorsunuz? Çok Etkin 11% Etkin 41% Gelişim Fırsatı 26% Fikrim Yok 22% 48% 0% 10% 20% 30% 40% 50%
Yapılan Denetimlerden Örnekler İyi Uygulamalar Tedarikçi Denetimi Usulsüzlük Bilgi sistemi ve veri güvenliği Kalite kontrol, teknolojik yeterlilik Davranış ve etik kurallara uyum Müşterek Yönetime Tabi Ortaklık Bayi ve distribütor Ortaklık sözleşmesine uyum ve royalty hesaplaması Anahtar finansal süreçler ve raporlamalar Satın alma, satış, lojistik, çevre ve iş güvenliği süreçlerinin yönetimi Proje Yönetimi Rekabet Kanunu na uyum Operasyonel süreçler Bayilik/ distribütorlük sözleşmesine uyum
Anket Sonucu Alt yükleniciler dördüncü taraflar Kurumunuz, alt yüklenicileri nasıl izlemekte ve değerlendirmektedir? Tedarikçinizle taşeronu arasındaki sözleşme şartlarına dayanarak Tedarikçinizin ilişki yönetim programının yeterliliğine dayanarak 59% 73% Tedarikçinin taşeronu değerlendirmesine dayanarak Tanımlandı fakat izlenmedi/değerlendirilmedi Sağlanan hizmetlerin, tedarikçi ile aynı şekilde değerlendirilmesi gerçekleştirilerek Saha denetimlerine dayanarak 27% 27% 18% 5%
İşlerinizi üçüncü taraflara devretmeniz, riskin de devredildiği anlamına gelmez «Outsourcing the work but not the risk»
S & C
Teşekkürler Pelin Altındal Tel: +90 212 315 3000 Mobile: +90 533 423 8039 E-mail: pelin.altindal@tr.ey.com