Kurumsal Yönetişim, Risk Ve Uyum

www.pwc.com.tr Kurumsal Yönetişim, Risk Ve Uyum. 12. Çözüm Ortaklığı Platformu 9 Aralık 2013

İçerik 1. GRC Nedir? 2. GRC Çözümleri RSA Archer 3. Başlık 3 4. Başlık 4 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 2

GRC nedir? 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 3

GRC " Ben bu geminin batmasını hayal edemiyorum. Başına herhangi bir felaketin gelebileceğini öngöremiyorum. Artık modern gemi yapımı bunun da ötesinde... Kaptan E.J. Smith, Titanic 1.Subayı 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 4

GRC nedir? Kurumsal Yönetişim: Bir şirketin yönetilmesine yönelik hedefler, kültür, süreç ve kanunlar Kurumsal Yönetişim Risk: Hedefe ulaşmayı engel olayın gerçekleşme olasılığı ve etkisi Risk Uyum Uyum: Sektörün gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 5

GRC nedir? Kurumsal Yönetişim süreçleri: Yönetim yapısının ve organizasyonun belirlenmesi Şirket hedeflerinin belirlenmesi Kurumsal politikaların ve kontrollerin belirlenmesi Şirketin, tedarikçilerin ve 3.partilerin risk ve uyumluluk gereksinimlerini karşıladığından emin olunması Düzenli olarak bulguların, risklerin ve yeni yönetmeliklerin iletişiminin sağlanması ve yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 6

GRC nedir? Risk Yönetimi süreçleri: Şirketin hedefini etkileyen tehditlerin belirlenmesi Finansal Kanuni Yükümlülükler İş İtibar Stratejik Güvenlik Risklerin etki ve olasılıklarının hesaplanması Doğal risklerin ve risk azaltıcı kontrollerin belirlenmesi Kalan risklerin yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 7

GRC nedir? Uyum süreçleri: Politika, kontrol prosedürlerinin ve test planlarının dokümante edilmesi Kanun ve yönetmelikleri takip eder Kontrolleri düzenli izler Düzenli değerlendirmeler ve testler gerçekleştirir Farklılıkları belirler ve yönetir Üst Yönetime düzenli raporlar 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 8

GRC terimleri Finans BT Operasyon Hukuk Kontrol Risk görevler ayrılığı dolandırıcılı k güçlü şifre ürün testi patent yetkisiz erişim Olay kasa açığı gizli veriye ulaşım mutsuz müşteri yüksek hata oranı markanın zayıflaması ürün kopyalama Tehdit hırsızlık hacking verimsiz test rekabet Varlık nakit para bilgi kalite marka 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 9

GRC -Trafik Kuralı analojisi Kurumsal Yönetişim: Kuralı koyar. Risk: Uygun kurallar konulduğundan emin olur Uyum: Kuralın verimliliğini ölçer 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 10

GRC - Biraz Tarih 1990 lar: Teknolojik gelişmeler Globalleşme ve yeni piyasalar 2000 lar: Sistematik büyük suistimaller (Enron, WorldCom) Ticaret kontrolleri - 9/11 Bugün: Etkin Risk Yönetimi Kanun ve Yönetmelikler Kemer sıkma politikaları Savaş Doğal Felaketler 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 11

CEO lar risk hakkında ne düşünüyorlar? 92% Riskleri yönetmenin uzun vadeli başarıları için önemli ve kritik olduğuna inanıyorlar CEO lar risk yönetiminin kurumlarının başarısı için elzem olduğunun farkındalar..fakat açıklıkla ve güvenle almaları gereken kararlara yönelik bilginin eksik ve tutarsız olduğunu belirtiyorlar. 23% Fakat yalnızca %23 ü stratejilerine yönelik güvenilir risk bilgisine sahip olduklarını belirtiyorlar. 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 12

Neden GRC bugün iş dünyasında önemli? Politika ve regülasyon yönetiminde yaşanan zorluklar Politika ve regülasyona uyum ve farkındalık problemleri Denetim planları tutarsız uygulanıyor. Denetim sonuçları ve raporlarında tutarsızlık olabilmekte Risklerin doğru belirlenmesi ve Risk Yönetimi ile uyum Risklerin belirlenmesinde, konsolide olmasında ve aksiyon alınmasında yaşanan zorluklar Risk değerlemesinde yaşanan tutarsızlıklar Yeni tehditin zamanında belirlenmemesi ve aksiyon alınamaması Uyum Müdürü CCO Örtüşen sıkıntılar İnsan Süreç Sistem BT Müdürü CIO Kontrollerin işte yaşanan değişiklikleri yansıtmaması Anahtar kontrollerin belirlenmesindeki zorluklar Hataların geç fark edilmesi Çok fazla kontrolün uygulanması Risk Yönetimi ile uyum Kontrollerin işte yaşanan değişiklikleri yansıtmaması Çalışanların kontrol farkındalığının olmaması Çok fazla kontrolün uygulanması 11. Çözüm Ortaklığı Platformu Donanımlarda yaşanan sorunlar Yetkisiz erişim Kontrollerin işte yaşanan değişiklikleri nyansıtmaması 9 Aralık 2013 13

GRC - Bugünkü durum Farklı teknolojileri kurumsal GRC platformuna taşımak için bir çok farklı paydaşlar ile çalışmak gerekli. İç Denetim İç Kontrol BT Risk Yönetimi Uyum Süreç Performans SOX Suistimal Gizlilik Bilgi Kara Para Kredi Riski FCPA İSP Op Risk Güvenliği. Olay Yönetimi TeamMate Actimize RSAM Open Pages ACL,Excel Diğerleri Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC fonksiyonu, süreçlerini ve bilgi sistemlerini kullanmaktadırlar. 11. Çözüm Ortaklığı Platformu 14

GRC Çözümleri RSA Archer 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 15

Archer Organizasyonu Kuruluş: 2000 8 Milyon Lisanslı Kullanıcı Fortune 1000 Kurumları Bankacılık, telekomünikasyon, sigortacılık sektörlerinde Pazar liderliği RSA tarafından 2010 yılında satın alındı 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 16

Forrester Wave (IT and E-GRC) 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 17

Gartner egrc Magic Quadrant 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 18

Kurumsal Yönetişim Risk Ve Uyumluluk ile ilgili Ortak Sorunlar Uyumluluk gereksinimleri ayrı projeler olarak ele alınmakta ve aynı amaç için mükerrer değerlendirmeler yapılmaktadır. (BDDK, PCI, Basel II, CobIT vb.) Bulgu konsolidasyonu ve takibinde yaşanan sorunlar Excel tabanlı ve anlık raporlama, süreklilik ile ilgili sorunlar Kurumsal Paydaşlar arasında eşgüdüm ve ortak yönetim anlayışını ortaya çıkarmada yaşanan güçlükler Konsolide Risk Yönetiminin Hayata Geçirilmesinde yaşanan sıkıntılar (İş Sürekliliği, Tedarikçi Yönetimi, Olay Yönetimi, Finansal Riskler, Uyumlulukla ilişkili Riskler) 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 19

RSA Archer egrc Ekosistemi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 20

RSA Archer egrc Solutions İş Sürekliliği Yönetimi İş Sürekliliği ve Felaket Kurtarımı planlaması süreçlerinin otomasyonu, hızlı ve etkin kriz yönetimi Tehdit Yönetimi Tehditlerin erken uyarı sistemi üzerinden takip edilmesi ve saldırıların önlenmesi. Denetim Yönetimi Denetim faaliyetlerinin merkezi olarak planlaması, önceliklendirilmesi, kaynak planlaması ve raporlaması Politika Yönetimi Politikaların merkezi yönetimi, kontrol hedefleri ile eşleştirilmesi ve ortak bir kontrol zemininin sağlanması Risk Yönetimi ISO31000 ve COSO çerçevesinde risklerin tanımlanması, değerlendirilmesi ve giderilmesi Uyum Yönetimi Kontrollerin uyumluluk çerçevesinde değerlendirilmesi, operasyonel etkinliğin değerlendirilmesi, mevzuata dayalı uyumluluk sorunlarının adreslenmesi Tedarikçi Yönetimi Tedarikçi verilerinin merkezileştirilmesi, tedarikçilerin sınıflandırılması ve değerlendirilmesi Olay Yönetimi Olayların, etik ihlallerin, eskalasyonların yönetimi, soruşturmaların takibi Kurumsal Yönetim Organizasyonel hiyerarşi ve altyapı arasındaki ilişkilerin ve bağımlılıkların yönetilmesi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 21

Örnek Ekranlar Yönetim Konsolu 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 22

Örnek Ekranlar Kurumsal Yönetim 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 23

Örnek Ekranlar Politika Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 24

Örnek Ekranlar Politika Eşleşmesi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 25

Örnek Ekranlar Bulgu Konsolidasyonu 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 26

Örnek Ekranlar Risk Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 27

Örnek Ekranlar İş Sürekliliği Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 28

Örnek Ekranlar Tedarikçi Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 29

Örnek Ekranlar Denetim Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 30

Örnek Ekranlar Denetim Yönetimi 11. Çözüm Ortaklığı Platformu 9 Aralık 2013 31

Sorularınız? İletişim bilgilerimiz: Serdar Güzel Kıdemli Müdür BT Risk Hizmetleri Lideri Tel: +90 533 309 6019 serdar.guzel@tr.pwc.com Vedat Finz RSA Türkiye Satış Müdürü Tel: +90 530 961 6678 vedat.finz@rsa.com [2013] Türkiye. Tüm hakları saklıdır. Bu belgede ibaresi, her bir üye şirketinin ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited in bir üye şirketi olan Türkiye yi ifade etmektedir. Türkiye, Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de kurulmuş tüzel kişiliklerden oluşan Türkiye organizasyonunu ifade ve temsil etmektedir.