tedarikçi kullanımı ve riskler

Özgür Yoral, Novartis IGM Manager

16.05.2012

İstanbul

Tedarikçi Kullanımından Kaynaklanan olası Problemler, Riskler ve Tedarikçi Denetimleri

Ajanda

Neden tedarikçi kullanımı?

Olası Problemler ve Riskler

Tedarikçi Denetimleri

Önlemler

Neden tedarikçi kullanımı?

Tedarikçi kullanımının başlıca sebepleri;

İç Kaynak yetersizliği

Maliyet düşürme

Tam zamanlı uzman istihdamının verimsizliği

3 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |


Tedarikçi kullanımından doğan başlıca problem ve riskler;

Gizli şirket bilgilerinin yetkisiz kişilerin eline geçmesi

• Erişim kontrolü

• Yüksek yetki tahsisi

• Teknik önleyici kontrollerin yetersizliği



Yasal uyumun sağlanamaması

• Sınırlar arası bilgi koruma kanunları

• İç kontrollerin tesisine ilişkin yasal yükümlülükler



Sistem güvenilirliğinin ve stabilitesinin azalması

• Birden fazla tedarikçinin aynı sisteme erişimi

• Aynı tedarikçiden farklı danışmanların kullanımı



Yeni hizmet modelleri ve teknolojiler

• Hizmet olarak yazılım (SaaS) alımlarındaki

mevcut BT kontrollerinin uyarlanmasındaki

güçlükler

• Bulut bilişim gibi yeni teknolojilerin güvenliği ve denetlenmesindeki zorluklar



Görevler ayrılığı riskleri

• Yazılım geliştirme ve operasyonel görevlerin ayrıştırılması

• Yazılım geliştirmeden sorumlu kişilerin üretim ortamına erişiminin

engellenmesi



BT iç kontrollerinin tesisinde yaşabilecek sıkıntılar

• Kontrollerin farklı yorumlanması

• Gereken özenin gösterilmemesi

• Düşük kontrol işlerliği


Önlemler

Tedarikçi kullanımlarında problemlerin ve risklerin giderilmesine ilişkin alınabilecek önlemler;

Hizmet ve Gizlilik Sözleşmeleri

Tedarikçilere verilecek eğitimler




Denetim Türleri

İç Değerlendirme

İç Değerlendirme ve Telefon Görüşmesi

Saha Denetimi



Denetim Yaklaşımının belirlenmesi

Tedarikçi tarafından verilen hizmetin kritikliği ve eriştiği sistemlerin/bilgilerin önemi

Tedarikçilerin BT sistemlerine erişim şekilleri;• Şirket yerleşkesinde şirket Bilgisayarları ile

• Şirket yerleşkesinde tedarikçi bilgisayarları ile

• Şirket Bilgisayarları ile uzaktan erişim

• Tedarikçi bilgisayarları ile uzaktan erişim



Denetim Öncesi• Takvim konusunda mutabık kalınma

• Denetim kapsamının belirlenmesi

• Denetim ekibinin belirlenmesi (İç Kaynak/Dış Kaynak)

Denetim sırasında• İş ortağı yaklaşımının benimsenmesi

• Politika ve prosedürlerin incelenmesi

• Gerekli kanıtların talep edilmesi

Denetim sonrasında• Tespit edilen eksiklikler konusunda mutabık kalınması

• Ortak aksiyon planlarının oluşturulması ve takibi


Yedek Slaytlar

Hizmet ve Gizlilik Sözleşmeleri (Underpinning Contracts, SLAs, NDAs)

Artıları

Yasal bir koruma sağlar.

Bağlayıcıdır.

Eksileri

Sistemsel bir kontrol olmaması

Tedarikçi çalışanlarının çoğu zaman bu dokümanları görmemesi

Sık yapılan hatalar

Tedarikçiler ile yapılan sözleşmelerde denetim hakkı, alt yüklenici kullanım şartları gibi maddelerin koyulmaması

Tedarikçinin uygulaması gereken kontroller konusunda karşılıklı olarak net bir şekilde mutabık kalınmaması

Alınabilecek Önlemler

Sözleşme kontrol listesi (Denetim hakkı, Alt yüklenici kullanım sınırlaması, Görevler ayrılığına ilişkin maddeler)

Hukuk onayı


tedarikçi kullanımı ve riskler

Business