tedarikçi risklerini yönetebilmek - okul.pwc.com.tr · tedarikçi tarafındaki kök nedenlerinin...

Tedarikçi risklerini yönetebilmek

www.pwc.com.tr

………………………….… …

12. Çözüm Ortaklığı Platformu 9 Aralık 2013

PwC

İçerik

1. Tedarikçi risklerini yönetme ihtiyacı

2. Tedarikçi risk yönetimi bileşenleri

3. Yasal gelişmeler

2

9 Aralık 2013 12. Çözüm Ortaklığı Platformu

PwC

Tedarikçi risklerini yönetme ihtiyacı

3


PwC

Tedarikçiler neden hayatımızda?

4


Bilgi Teknolojileri

Yazılım geliştirme ve bakım

BT operasyon ve işletim

İş ve hizmet sürekliliği

Veri merkezi

İş Operasyonları

Üretim / hammadde

Bayi / şube / dağıtım ağı

Taşıma / nakil / lojistik

Depolama

Arşivleme / imha

Çağrı Merkezi

Genel Konular

Hukuk

Aracılık hizmetleri

İK yönetimi

Bordro yönetimi

Muhasebe

PwC

Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler

Operasyonel nedenlerle hizmetin kesintiye uğraması

Diğer (finansal, insan kaynağı vb.)

nedenlerle hizmetin kesintiye uğraması

Hizmet seviyelerine uyumsuzluk

Kaliteli hizmet alınamaması

Taleplerin yönetilememesi

Süreçlerin ve sistemlerin entegre

edilememesi

Tedarikçiye bağımlılık

12. Çözüm Ortaklığı Platformu

5

9 Aralık 2013

PwC

Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler

Paylaşılan kritik verilerin açığa

çıkması

Politika ve standartlara uyumsuzluk

Yasal uyumsuzluk

İş ve teknolojik gereksinim

değişikliklerine uyum

sağlanamaması

İş ve teknoloji alanındaki olası

değişimlerin öngörülememesi


6

9 Aralık 2013

PwC

Tedarikçi risklerini yönetme ihtiyacı İhtiyacım nedir?


7

9 Aralık 2013

İç kontrol yapıları uyumlu tedarikçiler

Riskler

Gereksinimler

Hizmet içerikleri

PwC

Tedarikçi risklerini yönetme ihtiyacı Hangi konularda fayda sağlar?

Güvenin sağlanması ve güvence

alınması

Devamlılığın sağlanması

Kalitenin istenen

seviyede tutulması

Fayda / maliyet

dengesinin korunması

Rekabet avantajının

oluşturulması

İtibarın korunması

İç ve dış uyumun

sağlanması

12. Çözüm Ortaklığı Platformu 8

9 Aralık 2013

PwC

Tedarikçi risk yönetimi bileşenleri

9


PwC

Tedarikçi risk yönetimi bileşenleri


10

9 Aralık 2013

Tedarikçi risk

yönetimi

Satın alma

Sözleşme risk

yönetimi

Hizmet seviyeleri

takibi

Performans takibi

Güvence

PwC

Satın alma ve sözleşme risk yönetimi

• Hizmet içerikleri

• Gereksinimler ve riskler

- İş / BT birimleri

- Satın alma

- Hukuk

- İç kontrol fonksiyonları

• Sorumluluklar ve yükümlülükler

• Hizmet seviyeleri ve uyum

• Ceza-i şartlar

• Sona erme koşulları

• Denetim koşulları

• Alt yüklenici kullanımı

11


Hizmet alımına karar verilmesi

Risklerin değerlendirilmesi

Tedarikçi seçimi Sözleşme

hazırlanması

Satın alma Hizmetin alınması

Sözleşmeye uyum takibi

Sözleşmenin sona ermesi

PwC

Hizmet seviyeleri ve performans takibi

• Konu

• Kriter

• Gerçekleşme aralıkları

• Kabul aralıkları

• Göstergeler

• Kırmızı çizgiler

• Raporlama ve değerlendirme yöntemleri

• Raporlama ve değerlendirme sıklığı

12


Hizmet seviyelerinin belirlenmesi

Bilgi toplama

Analiz Raporlama

Değerlendirme Aksiyon alma

PwC

Güvence alanları


13

9 Aralık 2013

• Kimlik ve erişim hakları yönetimi • Mantıksal güvenlik (loglama, şifre vb.) • Fiziksel güvenlik • İş ve hizmet sürekliliği • Talep yönetimi (Hizmeti alan taraf ile iletişim) • İç sistemler yapısı ve uyum

Asgari olarak değerlendirilmesi gereken süreçler /

konular

• Tedarikçinin ana faaliyet alanına ve hizmet alanına dair iş süreçleri

Alınan hizmetin iş süreçleriyle ilgili

olması durumunda

PwC

Güvence alanları


14

9 Aralık 2013

• Bilgi güvenliği • Fiziksel güvenlik • Bilgi sınıflandırma • Veri yönetimi

Tedarikçi ile kritik / gizli bilgi paylaşımı olması

durumunda

• Konfigürasyon yönetimi • Operasyon yönetimi

Alınan hizmetin iş veya BT operasyonel

süreçlerinin parçası veya uzantısı olması

durumunda

• Kapasite yönetimi • Performans takibi • Satın alma

Kapasite gereksinimlerinin

tedarikçiye yüklenmesi durumunda

PwC

Güvence alanları


15

9 Aralık 2013

• Yazılım ve sistem geliştirme • Bilgi mimarisi • Değişiklik yönetimi • Proje yönetimi

Tedarikçiden yazılım geliştirme hizmeti

alınması veya tedarikçinin hizmet

özelinde yazılım geliştirme yapması

durumunda

• Satın alma • Sözleşme yönetimi • Dış kaynak – eş kaynak (tedarikçi, insan

kaynakları vb.) yönetimi

Tedarikçinin hizmeti sunabilmek amacıyla

alt yüklenici kullanması veya başka bir tedarikçiye bağımlı

olması durumunda

PwC

Tedarik hizmeti alan taraf(lar)

Tedarikçi

Bağımsız Denetim Raporu

Denetim çalışması Denetim

kapsamı

“Agreed-upon

procedures”

veya

ISAE3402

Bağımsız Denetim Raporu

Yönetim

İç Denetim

Dış Denetim

Güvence yöntemleri


16

9 Aralık 2013

PwC

Örnek vakalar - 1

Kapsam:

Bir otomotiv firmasının bayi ağında gerçekleştirilen ve otomotiv firması tarafından belirlenen standartlar ve gereksinimler doğrultusunda yapılan denetim çalışmaları.

Türkiye’de 150’nin üzerinde bayinin ziyaret edilerek veya uzaktan olacak şekilde, operasyonel, fiziksel, görsel, müşteri ilişkileri gibi konularda değerlendirmelerin gerçekleştirilmesi.

Sağlanan fayda:

• Bayilerin, otomotiv firmasının standartlarına uyumunun ve standardizasyonunun sağlanması

• Müşteri algısının iyileşmesi

• Bayilere ilişkin müşteri şikayetlerinin azalması

• Bayilere yönelik performans sistemine (ödüllendirme ve ceza) girdi sağlaması

17


PwC

Örnek vakalar - 2

Kapsam:

Birden fazla bankada kullanılan ana bankacılık sisteminin (operasyonel ve finansal bilgilerin tutulduğu bilgi sistemi), yazılım konusundaki tedarikçi firmasında gerçekleştirilen ISAE3402 bağımsız denetim raporlaması.

Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, COBIT çerçevesine göre değerlendirilmesi.

Sağlanan fayda:

• Sistemde yaşanan sorunların tedarikçi tarafındaki kök nedenlerinin ortaya konması

• BDDK tarafından yayınlanan ve hem bankalar hem de tedarikçi firmalar tarafından uyulması beklenen asgari gereksinimlere uyum konusunda değerlendirme fırsatı sunması

• Tedarikçi seçimlerinde firmalara, tedarikçi hakkında ön bilgi sunması

18


PwC

Örnek vakalar - 3

Kapsam:

Bir sigorta şirketine ait bilgi teknolojileri operasyonlarının (sistem ve ağ yönetimi, veri merkezi yönetimi, işletim vb.) devredildiği tedarikçi firmada gerçekleştirilen denetim çalışması.

Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, müşterinin iç standartları, hizmet sözleşmesi ve hizmet seviyesi anlaşması dikkate alınarak değerlendirilmesi.

Sağlanan fayda:

• Sözleşme koşullarında operasyonel ve finansal iyileştirme yapılması

• Tedarikçi firmanın, hizmet özelinde, müşterinin standartlarına uyumunun sağlanması

• Hizmet kalitesinde artış sağlanması ve hizmet seviyelerine uyumun arttırılması

• Sözleşme ve tedarikçi yönetimi konularındaki süreçlerin iyileştirilmesi

19


PwC

Örnek vakalar - 4

Kapsam:

Bir holdinge ait veri merkezi lokasyonunun ve bu konudaki tedarikçi firmanın seçimine destek olunması.

Tedarikçi firmaların ilgili süreçlerinin ve lokasyonların, holding iç standartları ve iyi uygulamalar doğrultusunda risk değerlendirmesine tabi tutulması ve bu konuda karşılaştırma yapılması.

Sağlanan fayda:

• Seçim sonrasında oluşabilecek risklerin ve maliyetlerin önceden ortaya konması

• Sözleşme seviyesinde çözümlenmesi gereken konuların belirlenmesi

• Hizmet seviyelerinin hangi konularda yoğunlaşması gerektiğinin ortaya konması

• Satın alma süreçlerine girdi sağlanması

20


PwC

Yasal gelişmeler

21


PwC

Yasal gelişmeler neler?

22


2010

Hazine:

Bilgi Sistemleri Denetimi Yönetmeliği (taslak)

2011

BDDK:

Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik

2013

SPK:

Bilgi Sistemleri Yönetim ve Denetim İlkeleri (taslak)

Tedarikçi risk

yönetimi

Satın alma

Sözleşme risk yönetimi

Hizmet seviyeleri

takibi

Performans takibi

Güvence

PwC

Nasıl destek olabiliriz?

23


Tedarikçi risk yönetimine ilişkin süreçlerin değerlendirilmesi ve iyileştirilmesi

Tedarikçi güvence hizmetleri

(satın alma öncesinde veya sonrasında)

Tedarikçi tarafından işletilen süreçlerin değerlendirilmesi ve iyileştirilmesi

Sorularınız?

© [2013] PwC Türkiye. Tüm hakları saklıdır. Bu belgede “PwC” ibaresi, her bir üye şirketinin

ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited’in bir üye şirketi

olan PwC Türkiye’yi ifade etmektedir. “PwC Türkiye”, Başaran Nas Bağımsız Denetim ve

Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve

PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de

kurulmuş tüzel kişiliklerden oluşan PwC Türkiye organizasyonunu ifade ve temsil etmektedir.

İletişim bilgilerimiz:

Mehmet Zeki Önal

Kıdemli Müdür, Performans Güvence Hizmetleri Lideri

Risk, Süreç ve Teknoloji Hizmetleri

Tel: +90 (212) 326 6773 / +90 (530) 461 1177

e-posta: [email protected]

tedarikçi risklerini yönetebilmek - okul.pwc.com.tr · tedarikçi tarafındaki kök nedenlerinin...

Documents