www.pwc.com.tr Tedarikçi risklerini yönetebilmek. 12. Çözüm Ortaklığı Platformu
İçerik 1. Tedarikçi risklerini yönetme ihtiyacı 2. Tedarikçi risk yönetimi bileşenleri 3. Yasal gelişmeler 2
Tedarikçi risklerini yönetme ihtiyacı 3
Tedarikçiler neden hayatımızda? Bilgi Teknolojileri İş Operasyonları Genel Konular Yazılım geliştirme ve bakım BT operasyon ve işletim İş ve hizmet sürekliliği Veri merkezi Üretim / hammadde Bayi / şube / dağıtım ağı Taşıma / nakil / lojistik Depolama Arşivleme / imha Çağrı Merkezi Hukuk Aracılık hizmetleri İK yönetimi Bordro yönetimi Muhasebe 4
Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler Operasyonel nedenlerle hizmetin kesintiye uğraması Diğer (finansal, insan kaynağı vb.) nedenlerle hizmetin kesintiye uğraması Hizmet seviyelerine uyumsuzluk Kaliteli hizmet alınamaması Taleplerin yönetilememesi Süreçlerin ve sistemlerin entegre edilememesi Tedarikçiye bağımlılık 5
Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler Paylaşılan kritik verilerin açığa çıkması Politika ve standartlara uyumsuzluk Yasal uyumsuzluk İş ve teknolojik gereksinim değişikliklerine uyum sağlanamaması İş ve teknoloji alanındaki olası değişimlerin öngörülememesi 6
Tedarikçi risklerini yönetme ihtiyacı İhtiyacım nedir? Gereksinimler Hizmet içerikleri Riskler İç kontrol yapıları uyumlu tedarikçiler 7
Tedarikçi risklerini yönetme ihtiyacı Hangi konularda fayda sağlar? Fayda / maliyet dengesinin korunması Rekabet avantajının oluşturulması Kalitenin istenen seviyede tutulması İtibarın korunması Devamlılığın sağlanması Güvenin sağlanması ve güvence alınması İç ve dış uyumun sağlanması 8
Tedarikçi risk yönetimi bileşenleri 9
Tedarikçi risk yönetimi bileşenleri Satın alma Güvence Tedarikçi risk yönetimi Sözleşme risk yönetimi Performans takibi Hizmet seviyeleri takibi 10
Satın alma ve sözleşme risk yönetimi Hizmet alımına karar verilmesi Tedarikçi seçimi Satın alma Sözleşmeye uyum takibi Risklerin değerlendirilmesi Sözleşme hazırlanması Hizmetin alınması Sözleşmenin sona ermesi Hizmet içerikleri Gereksinimler ve riskler - İş / BT birimleri - Satın alma - Hukuk - İç kontrol fonksiyonları Sorumluluklar ve yükümlülükler Hizmet seviyeleri ve uyum Ceza-i şartlar Sona erme koşulları Denetim koşulları Alt yüklenici kullanımı 11
Hizmet seviyeleri ve performans takibi Hizmet seviyelerinin belirlenmesi Analiz Değerlendirme Bilgi toplama Raporlama Aksiyon alma Konu Kriter Gerçekleşme aralıkları Kabul aralıkları Göstergeler Kırmızı çizgiler Raporlama ve değerlendirme yöntemleri Raporlama ve değerlendirme sıklığı 12
Güvence alanları Asgari olarak değerlendirilmesi gereken süreçler / konular Kimlik ve erişim hakları yönetimi Mantıksal güvenlik (loglama, şifre vb.) Fiziksel güvenlik İş ve hizmet sürekliliği Talep yönetimi (Hizmeti alan taraf ile iletişim) İç sistemler yapısı ve uyum Alınan hizmetin iş süreçleriyle ilgili olması durumunda Tedarikçinin ana faaliyet alanına ve hizmet alanına dair iş süreçleri 13
Güvence alanları Tedarikçi ile kritik / gizli bilgi paylaşımı olması durumunda Bilgi güvenliği Fiziksel güvenlik Bilgi sınıflandırma Veri yönetimi Alınan hizmetin iş veya BT operasyonel süreçlerinin parçası veya uzantısı olması durumunda Konfigürasyon yönetimi Operasyon yönetimi Kapasite gereksinimlerinin tedarikçiye yüklenmesi durumunda Kapasite yönetimi Performans takibi Satın alma 14
Güvence alanları Tedarikçiden yazılım geliştirme hizmeti alınması veya tedarikçinin hizmet özelinde yazılım geliştirme yapması durumunda Yazılım ve sistem geliştirme Bilgi mimarisi Değişiklik yönetimi Proje yönetimi Tedarikçinin hizmeti sunabilmek amacıyla alt yüklenici kullanması veya başka bir tedarikçiye bağımlı olması durumunda Satın alma Sözleşme yönetimi Dış kaynak eş kaynak (tedarikçi, insan kaynakları vb.) yönetimi 15
Güvence yöntemleri Bağımsız Denetim Raporu Tedarikçi Agreedupon procedures veya Tedarik hizmeti alan taraf(lar) Yönetim İç Denetim Denetim çalışması ISAE3402 Bağımsız Denetim Raporu Denetim kapsamı Dış Denetim 16
Örnek vakalar - 1 Kapsam: Bir otomotiv firmasının bayi ağında gerçekleştirilen ve otomotiv firması tarafından belirlenen standartlar ve gereksinimler doğrultusunda yapılan denetim çalışmaları. Türkiye de 150 nin üzerinde bayinin ziyaret edilerek veya uzaktan olacak şekilde, operasyonel, fiziksel, görsel, müşteri ilişkileri gibi konularda değerlendirmelerin gerçekleştirilmesi. Sağlanan fayda: Bayilerin, otomotiv firmasının standartlarına uyumunun ve standardizasyonunun sağlanması Müşteri algısının iyileşmesi Bayilere ilişkin müşteri şikayetlerinin azalması Bayilere yönelik performans sistemine (ödüllendirme ve ceza) girdi sağlaması 17
Örnek vakalar - 2 Kapsam: Birden fazla bankada kullanılan ana bankacılık sisteminin (operasyonel ve finansal bilgilerin tutulduğu bilgi sistemi), yazılım konusundaki tedarikçi firmasında gerçekleştirilen ISAE3402 bağımsız denetim raporlaması. Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, COBIT çerçevesine göre değerlendirilmesi. Sağlanan fayda: Sistemde yaşanan sorunların tedarikçi tarafındaki kök nedenlerinin ortaya konması BDDK tarafından yayınlanan ve hem bankalar hem de tedarikçi firmalar tarafından uyulması beklenen asgari gereksinimlere uyum konusunda değerlendirme fırsatı sunması Tedarikçi seçimlerinde firmalara, tedarikçi hakkında ön bilgi sunması 18
Örnek vakalar - 3 Kapsam: Bir sigorta şirketine ait bilgi teknolojileri operasyonlarının (sistem ve ağ yönetimi, veri merkezi yönetimi, işletim vb.) devredildiği tedarikçi firmada gerçekleştirilen denetim çalışması. Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, müşterinin iç standartları, hizmet sözleşmesi ve hizmet seviyesi anlaşması dikkate alınarak değerlendirilmesi. Sağlanan fayda: Sözleşme koşullarında operasyonel ve finansal iyileştirme yapılması Tedarikçi firmanın, hizmet özelinde, müşterinin standartlarına uyumunun sağlanması Hizmet kalitesinde artış sağlanması ve hizmet seviyelerine uyumun arttırılması Sözleşme ve tedarikçi yönetimi konularındaki süreçlerin iyileştirilmesi 19
Örnek vakalar - 4 Kapsam: Bir holdinge ait veri merkezi lokasyonunun ve bu konudaki tedarikçi firmanın seçimine destek olunması. Tedarikçi firmaların ilgili süreçlerinin ve lokasyonların, holding iç standartları ve iyi uygulamalar doğrultusunda risk değerlendirmesine tabi tutulması ve bu konuda karşılaştırma yapılması. Sağlanan fayda: Seçim sonrasında oluşabilecek risklerin ve maliyetlerin önceden ortaya konması Sözleşme seviyesinde çözümlenmesi gereken konuların belirlenmesi Hizmet seviyelerinin hangi konularda yoğunlaşması gerektiğinin ortaya konması Satın alma süreçlerine girdi sağlanması 20
Yasal gelişmeler 21
Yasal gelişmeler neler? Satın alma Güvence Tedarikçi risk yönetimi Sözleşme risk yönetimi Performans takibi Hizmet seviyeleri takibi 2010 Hazine: Bilgi Sistemleri Denetimi Yönetmeliği (taslak) 2011 BDDK: Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik 2013 SPK: Bilgi Sistemleri Yönetim ve Denetim İlkeleri (taslak) 22
Nasıl destek olabiliriz? Tedarikçi risk yönetimine ilişkin süreçlerin değerlendirilmesi ve iyileştirilmesi Tedarikçi güvence hizmetleri (satın alma öncesinde veya sonrasında) Tedarikçi tarafından işletilen süreçlerin değerlendirilmesi ve iyileştirilmesi 23
Sorularınız? İletişim bilgilerimiz: Mehmet Zeki Önal Kıdemli Müdür, Performans Güvence Hizmetleri Lideri Risk, Süreç ve Teknoloji Hizmetleri Tel: +90 (212) 326 6773 / +90 (530) 461 1177 e-posta: mehmet.onal@tr.pwc.com [2013] Türkiye. Tüm hakları saklıdır. Bu belgede ibaresi, her bir üye şirketinin ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited in bir üye şirketi olan Türkiye yi ifade etmektedir. Türkiye, Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de kurulmuş tüzel kişiliklerden oluşan Türkiye organizasyonunu ifade ve temsil etmektedir.