İç Denetim Dünyasında Yeni Trend - GRC

www.pwc.com.tr İç Denetim Dünyasında Yeni Trend - GRC Uluslararası XIX. Türkiye İç Denetim Kongresi 19-20 Ekim 2015

İç Denetim Dünyasında Yeni Trend GRC Ajanda 1 İç Denetim Dünyasındaki Güncel Konular & Küresel İç Denetim Anketi Sonuçları 3 ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? 2 ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi 4 ERP Sistemlerinde Denetim 5 GRC Nedir? 6 GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor 7 Teknolojik Çözümlerin Denetimdeki Kritik Rolü

İç Denetim Dünyasındaki Güncel Konular Veri Analitiği Bulut Bilişim Siber Güvenlik Sosyal Medya Mobil Teknolojiler 3

İç Denetim Dünyasındaki Güncel Konular (Devamı) Küresel İç Denetim Anketi 2015 (2015 State of the Internal Audit Profession Study) Yeni Dijital Modeller Geleneksel iş modelleri, değişen müşteri ve çalışan ihtiyaçlarını karşılamak için dijital işletmelere dönüştü. Değer katan iç denetim fonksiyonları dönüşüm süreçlerine proaktif bir bakış açısı sağlar Değer katan iç denetim fonksiyonları dönüşüm süreçlerine nasıl katılım sağlar? Riskin gerçekleşmesinin ardından riskin indirgenmesi amacıyla 9% 47% süreçler ve kontrollerin denetimi Veri Analitiği Dünyadaki verilerin %90 ı son iki senede yaratıldı. Riskin gerçekleşmesinden önce riski indirgenmesi amacıyla yerinde olan süreç ve kontrollerin denetimi 24% Riskin gerçekleşmesinden önce iç kontrol üzerine proaktif bir bakış açısı ve öneriler sağlanması Yıllık risk değerlendirilmesi sürecinde riskin saptanması 20% 4

İç Denetim Dünyasındaki Güncel Konular (Devamı) Küresel İç Denetim Anketi 2015 (2015 State of the Internal Audit Profession Study) Aşağıda belirtilen dört alanda önemli değer katan iç denetim fonksiyonları diğerlerine üstünlük sağlamıştır. 88% 91% 57% 63% 53% 54% 34% 32% Risk Odaklılık Yeterlilik İş süreçlerine uyumluluk Veri Önemli değer katan iç denetim fonksiyonları Diğer tüm iç denetim fonksiyonları 5

İç Denetim Dünyasındaki Güncel Konular (Devamı) Küresel İç Denetim Anketi 2015 (2015 State of the Internal Audit Profession Study) Kurumsal Risk Ambarı - İç ve dış kaynaklardan risk bilgisini edinme, tolerans seviyelerini karşılaştırma ve ilgili politika ve prosedürlerin ilişkilendirilmesi. Politika ve Prosedür Yönetimi - Regülasyonlardaki güncellemelerin takibi, politika yönetimi ve yayınlanması, ilgili risk ve kontrollerin ilişkilendirilmesi ve yönetim onayının alınması. Kurumsal Risk Ambarı Politika ve Prosedür Yönetimi Kontrollerin Muhafazası ve izlenmesi - Tasarlanan kontrollerin muhafazası ve doğrulaması, kolaylaştırılmış uygunluk denetimi, kontrollerin, yapılan işlemlerin, BT sistemlerinin ve iyileştirici aksiyon takibinin otomatik sorgulanması. Denetim Döngüsü Yönetimi Ortak Veritabanı Kontrollerin muhafazası ve izlenmesi Veri Güvenliği - Kritik finans ve operasyonel sistemlerine erişim yetkilerinin yönetimi ve izlenmesi. Denetim Döngüsü Yönetimi - Risk verilerin denetim planı ile ilişkilendirilmesi, kontrollerin bağımsız olarak test edilmesi, uyum kontrollerinin kalite değerlendirmesi ve iyileştirici aksiyonların takibi. Veri Güvenliği 6

Günümüzde iç kontrol ortamının işlerlik kazandığı noktada ERP sistemleri ön plana çıkmakta; İç kontrol yapısını, ERP sistemine entegre etmeyi başaran firmalar varlıklarını important statistic daha iyi yönetebilmektedir. goes in this area 20pt Georgia (white) 83% Pull out of an ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi 7

Operasyonel Süreçler İçerisindeki Onay Mekanizmaları -nın Etkin Olarak İşletilmiyor Olması ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi 8

Konfigürasyon Kaynaklı sorunlar ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi i.e.: Mal hareketlerinde Çalışan Hatalı Hesaplar 9

Kullanıcı Kaynaklı sorunlar ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi i.e.: Üretim siparişlerine teyit verilirken sarf edilen alt bileşen miktarı olarak 3 kilo yerine 30 kilo girilmesi sonucu ürün maliyetinin hatalı hesaplanması 10

Optimizasyon? ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi 11

Fayda/ Değer İlişkisi ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi Görevlerin ayrılığı prensibine uyumlu bir yetkilendirmeye sahip misiniz? Canlıya Geçiş ERP uygulamanıza özgü risklerden ve kontrol noktalarından haberdar mısınız? İyileştirme/ Optimizasyon Denge ERP sisteminizin etkin ve verimli kullanımını sağlayabiliyor musunuz? Gelişim X Gerileme Zaman 12

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu mu? Kurum genelinde risk bazlı bir yönetim yaklaşımı olmasına rağmen, ERP sisteminin Kurumun risk bazlı yönetim yaklaşımı ile uyumlu olmasını engelleyen bazı temel faktörler vardır. Pull out of an important statistic goes in this area 11pt Georgia italic (white) İç Kontrol ERP Risk Yönetimi İç Denetim 13

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? Sıkça Karşılaşılan Zorluklar Yönetimin risk iştahının ERP ortamına yansıtılamaması Yönetimin Risk İştahı ERP Kontrolleri Süreçler OTC PTP RTR R&D Commercial SCM IS Invoice Customer Invoicing Record Journals Clinical Trial accounting Sales Force Management Production Planning Plan & Organise Fiyat Yönetimi Kredi Limit Yönetimi Onay Mekanizmaları Uyarlama Kontrolleri Yetki Kontrolleri Kritik Yetki Kombinasyonları Despatch Despatch - Shared Invoicing - Shared Payables Vendor Master Data R&D Royalties Meeting Hospitality & Sponsorship Batch Identification Quality Management Acquire and implement Deliver & Support Monitor & Evaluate Vendor Master Data - Shared Engaging health care professionals 14

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? Sıkça Karşılaşılan Zorluklar Yönetimin ERP Risklerinin Farkında Olmaması Operasyonel süreçler içerisine konumlandırılır ve önleyici kontrol yapısı ile iç kontrol ortamını güçlendirir. Yönetimin Risk İştahı ERP Kontrolleri Süreçler OTC PTP RTR R&D Commercial SCM IS Invoice Customer Invoicing Record Journals Clinical Trial accounting Sales Force Management Production Planning Plan & Organise Fiyat Yönetimi Kredi Limit Yönetimi Onay Mekanizmaları Uyarlama Kontrolleri Yetki Kontrolleri Kritik Yetki Kombinasyonları Despatch Despatch - Shared Invoicing - Shared Payables Vendor Master Data R&D Royalties Meeting Hospitality & Sponsorship Batch Identification Quality Management Acquire and implement Deliver & Support Monitor & Evaluate Vendor Master Data - Shared Engaging health care professionals 15

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? Bir Örnek 3 lü Kombinasyon ERP Kontrolleri ERP ERP Kontrolleri Kontrolleri Uyarlama Kontrolleri Yetki Kontrolleri Kritik Yetki Kombinasyo nları X MG X FG SAS Miktar Mal Girişi Miktar Fiyat Fatura Girişi Hammadde Hizmet Stok Transfer 16

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? Sıkça Karşılaşılan Zorluklar Risklerin Bilinmemesi, Sahiplenilmemesi Potansiyel etkilerinin ölçümlenememesi Suistimal Riski Tek Seferlik Satıcı Fatura Blokajı Tek Seferlik Ana Veri Yaratma Yetkisi Tek Seferlik Satıcı ile Yapılan İşlemlerin Kontrolü Tek Seferlik Satıcı Ana Veri Yaratma Yetkisi X Satıcı Faturası Girişi Yetki Kontrolleri Süreç Kontrolleri 17

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? Tipik Bir İnanış. ERP Sistemleri Kontrolleri Otomatik Olarak Geliştirir 18

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu? ERP Sistemleri Stok Maliyetlerini azaltırfiyat ve rekabet avantajı sağlar. ANCAK Üretimi standart ve daha hızlı hale getirir. Müşteri siparişlerini entegre eder. ERP Sistemleri Kontrolleri Otomatik Olarak Geliştirir Finansal bilgileri entegre eder- tek, güvenilir ve doğru bilgiye ulaşım sağlar. 19

ERP Sistemlerinde Denetim ERP Sistemlerini Denetlemek Neden Zordur? Toplam iş çözümünün birçok alt süreci içermesi Bir sürecin birden çok modülle karşılanması Uyarlamaların ve geliştirmelerin karmaşık olması Teknik ve operasyonel bilgi gereksinimi Yetkilendirme yapısının karmaşık olması 20

ERP Sistemlerinde Denetim (Devamı) ERP Ortamından Bağımsız Bir Denetim Opsiyonu Kalmamıştır! 21

ERP Sistemlerinde Denetim (Devamı) Denetimde Geleneksel Yaklaşım <> Güncel Yaklaşım Kontrol Tanımı: Tüm satın alım siparişleri sistemsel onay mekanizmasına tabidir. Sistem Kontrolü Tek bir satın alım siparişi yaratarak Sistemsel onaya tabi tutuluyor olduğunun gözlemlenmesi Kullanılmakta olan satın alım sipariş türlerinin belirlenmesi Sistemin arka planına geçerek satın alım sipariş türü bazında konfigürasyon adımlarının incelenmesi Hammadde Fason Sarf 22

ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın! GRC Teknolojileri? Risk Yönetimi Çerçevesi Risk Stratejisi GRC Aralıksız Takip Süreç Yönetimi Üst Yönetim Kararları RiskYönetimi GRC Süreç Yönetimi Erişim Yönetimi ERP 23

GRC Nedir? Kurumsal Yönetişim Risk Uyum 24

GRC Nedir? (Devamı) 25

Neden GRC bugün iş dünyasında önemli? 26

GRC - Bugünkü Durum Finansal Teammate SAP RSA Archer Oracle ACL, Excel Diğerleri Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC çözümlerini teknoloji ortamına taşıyarak kullanmaktadırlar. 27

GRC Teknolojileri son 10 yıldır gelişiyordu. Yeterli olgunluk düzeyine ulaştı. Regulasyonlar ile gelen «sürekli kontrol» gereklilikleri ve ERP sisteminin teknik altyapısının karmaşıklığı, ERP sistemini denetlemek için otomatize edilen bir yaklaşımın gerekliliğini ortaya koydu. Dünyada - özellikle Avrupa da - tamamlanan birçok kurulum sonucunda dersler öğrenildi, kazanımlar ölçümlenebildi. Tecrübe edilen GRC Kurulum Metodolojileri ile kurulum riskleri azaldı, kurulum süresi hızlandı. Kurulum yapılan şirket GRC yi kullanabilecek mi? GRC den beklenen fayda sağlanabilecek mi? gibi soruların cevapları tecrübe edilerek öğrenildi. GRC Yönetim Modeli Deneyimlendi. Büyük ölçekli firmaların referansları GRC teknolojilerine duyulan güveni arttırdı. GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor Üst Yönetim risklerini sistematik bir yaklaşımlar yönetebilmek istiyor...grc teknolojileri bu konuda öncü olarak kabul ediliyor 28

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor % GRC Teknolojilerine Yatırım Yapan Şirketler Piyasada Bulunan GRC Çözümleri Tasarım GRC Çözümleri 5% 11% 84% Exceller de risk ve kontrol yönetimi 2005 * PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır. 29

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı) % GRC Teknolojilerine Yatırım Yapan Şirketler Piyasada Bulunan GRC Çözümleri Tasarım GRC Çözümleri Excellerde Risk ve Kontrol Yönetimi 5% 11% 84% 35% 44% 21% Exceller de risk ve kontrol yönetimi Tasarım GRC Çözümleri Piyasada Bulunan GRC Çözümleri 2005 2010 * PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır. 30

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı) % GRC Teknolojilerine Yatırım Yapan Şirketler Piyasada Bulunan GRC Çözümleri Tasarım GRC Çözümleri Excellerde Risk ve Kontrol Yönetimi Excellerde Risk ve Kontrol Yönetimi 5% 11% 35% 44% 28% 84% 58% 14% 21% Exceller de risk ve kontrol yönetimi Tasarım GRC Çözümleri Piyasada Bulunan GRC Çözümleri Tasarım GRC Çözümleri Piyasada Bulunan GRC Çözümleri 2005 2010 2014 * PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır. 31

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı) % GRC Teknolojilerine Yatırım Yapan Şirketler % GRC ErişimYönetimi Çözümünü Uygulamakta Olan Şirketlerin Yüzdesi 13% Yes No 87% Risk Yönetimi Süreç Yönetimi Erişim Yönetimi % GRC Erişim Yönetimi Çözümünü upgrade etmeyi düşünen Şirketlerin yüzdesi 43% Yes No 57% GRC ErişimYönetimi Uygulamalarını kullanmakta olan firmaların %60 ı yakın zamanda upgrade etmeyi düşünüyorlar. Temel nedenlerin başında GRC Süreç Yönetimi Çözümü ile entegrasyon geliyor. * PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır. 32

GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı) % GRC Teknolojilerine Yatırım Yapan Şirketler Firmalar Piyasa Bulunan GRC Uygulamalarına Güveniyorlar. GRC Kuruluma En Temel Katman Olan - Erişim Yönetimi - Katmanı ile başlıyorlar. Ve Fayda Sağladıkça Bir Üst Katmana Doğru Uygulamayı Genişletiyorlar. 33

Teknolojik Çözümlerin Denetimde Kritik Rolü 1 GRC Yetki Yönetimi - Temel Bileşenler 1 Erişim Talep Yönetimi Yönetici Rol Sahibi GRC AC Onay 1 Onay 2 Talepler Onay 3 Kural Seti Gerçek Zamanlı Erişim Risk Analizi 2 Rol Yönetimi GRC AC İsimlendirme Kuralları Gerçek Zamanlı Erişim Risk Analizi Rol Sahibi Ona y Geliştirme sisteminde rolün aktif duruma gelmesi SAP HR SAP Kullanıcı Verisi & Kimlik Doğrulama Risk Sahibi Rol Bakımlar ı Standart kullanıcı ismi ile log in olunur. 3 Acil Durum Erişim Yönetimi GRC AC 1 2 3 Talepler 4 FireFighter ID 5 6 7 ECC içinden kullanıcı ismine GRC erişim talep yönetimi ile taınmlanmış FFID ile log in olunur. Kullanıcı adı FFID ye döner FF logout olur ERP oturumu kapanır iş akışı tetiklenir Email ile oturum kapatıldığı bilgisi FF Kontrolüre iletilir Kontrolör GRC AC de oturum açar ve inbox a girer Onay FF ID Sahibi Kontrolör denetim logunu gözden geçirir Gözden geçirme tamamlanır, oturum onaylanır 4 Erişim Risk Analizi Hafifletici kontroller Risklerin Belirlenmesi Rol Revizesi Süreç Revizesi Görev ve Sorumluluk Revizesi Risklerin Belirlenmesi Kural Seti Kural Seti Devamlı Uyumluluk Risk analiz raporu 34

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) 2 GRC Süreç Yönetimi - Temel Bileşenler Sürekli Konfigürasyon Takibi Operasyonel Takip 1. Tek seferlik satıcılardan yapılan satın alımların toplam satın alımların belirli bir yüzdesinin üzerine çıkması durumunda belirlenen kontrol sahiplerinin ve süreç sahiplerinin bilgilendirilmesi Konfigurasyonların Takibi 1. Tek Seferlik Satıcı Kullanımının sistemin teknik parametreleri vasıtasıyla engellenmesi ve izin verilmesi durumunda belirlenen süreç sahiplerinin / kontrol sahiplerinin bilgilendirilmesi 2. Mal girişinde konfigurasyonlar vasıtasıyla belirlenen miktarsal toleransların değiştirilmesi durumunda süreç sahipleri / kontrol sahiplerinin bilgilendirilmesi Operasyonel Takip Sürekli Denetim Ana Verilerin Takibi Yetkilerin Takibi Tek seferlik satıcı ana verisi yaratma yetkisi olan (kritik yetki) kullanıcıların takibi GRC Yetki Takibi Ana Verilerin Takibi 1. Aynı banka hesap numarasına sahip satıcıların takibi 2. Satıcı ana verisinde ödeme koşulu alanının değiştirilmesi durumunda risk sahibi/kontrol sahiplerinin bilgilendirilmesi 35

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) 3 GRC Risk Yönetimi - Temel Bileşenler Strateji Temel Risklerin Belirlenmesi ve raporlama Risk Değerlendirmesi Kurumsal risklerin sistematik bir yaklaşımla yönetilmesini sağlayan altyapıuyı sunar. Süreç yönetimi modülü ile bağlantı kurarak riskleri ilgili süreç kontrolleri ile eşleştirir. Politika & Prosedürler ERP 36

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) Nasıl Başlamalı? İhtiyaçların belirlenmesi Paydaşların Belirlenmesi (İç kontrol ve süreç sahibi) desteği sağlanması ERP alt yapınıza en uygun çözümün belirlenmesi Gerçekleştirme 37

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) GRC ye geçiş için sizi ne bekliyor? GRC Erişim Yönetimi 5-6 Ay GRC Süreç Yönetimi 8-12 Ay GRC Risk Yönetimi 3-4 Ay Planlama ve Analiz Sistem Kurulumu ve Mimari Destek Uygulama Canlıya Geçiş 38

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) Kilit Paydaşlar İç Denetim Dış Denetçi İç Kontrol GRC ERP Uzmanı Süreç Sahipleri BT 39

Standart Süreçler Maliyet Kazancı Şeffaflığın Arttırılması Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) GRC Katma Değeri Uçtan uca çözümler Kurumun organizasyonlarına özel risk standardizasyonu Kişiden bağımsız risk ve kontrol süreçleri Otomasyon sayesinde idari ve operasyonel iş yükünün azlaması Önleyici anahtar kontroller ile kritik risklerin gerçekleşme olasılıklarının azalması Onay süreçlerinin izlenebilirliği Raporlanabilir kontroller Hızlı karar almayı destekleyecek risk odaklı KPI takipleri Gerçek zamanlı izleme ile kritik karar alma Çok şirketli yapılarda merkezi yönetim İç ve dış denetim çalışmalarının verimliliğinde artış Riskli operasyonların raporlabilirliği 40

Teknolojik Çözümlerin Denetimde Kritik Rolü (Devamı) ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın GÜÇLÜ İÇ KONTROL ORTAMI TEKNOLOJİ UYUM 41

www.pwc.com/tr Her konuda sorularınız için Başak Hekimoğlu Direktör +90 212 326 6780 basak.hekimoglu@tr.pwc.com Işıl Uysun Direktör +90 212 326 6520 isil.uysun@tr.pwc.com 2015 PwC Turkey. All rights reserved. In this document, PwC refers to PwC Turkey, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. PwC Turkey refers to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. and PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd Şti. which are separate legal entities incorporated in Turkey within the PwC Turkey organisation.