Bu sunum "Lostar Tedarikçi Yönetimi Semineri"nde Sn. Okşan Doğan tarafından kullanılmıştır.
1 of 9
Downloaded 17 times
More Related Content
Tedarikçi Güvenliği için Yol Haritası
1. Tedarikçi güvenliği için
bir yol haritası örneği
Kurum içi ve dışı paydaşlar, sorumluluklar
Okşan Doğan
Türk Ekonomi Bankası A.Ş.
Operasyonel Risk ve Bilgi Güvenliği
15 Mayıs 2012
2. • Tedarikçi güvenliği denildiğinde herkes sorumluluğunun ne
olduğunu biliyor mu ?
▫ Bu konu salt mevzuat veya salt bilgi teknolojileri güvenliği
konusu değildir,
▫ Bu iş tek başına Satınalma Yönetimi’nin işi de değildir,
▫ Sözleşmeleri Hukuk onaylıyor diye Hukuk Departmanının
işi de değildir.
▫ Konuya operasyonel risk yönetimi bakış açısı ile bütünsel
yaklaşılmalıdır.
• İşi firma yapıyor, sorumlusu da firmadır o zaman onlar
uğraşsın mı deniyor ?
• Tedarikçinin denetlenmesi söz konusu olduğunda akla gelen
ilk adres iç kontrol veya teftiş ekipleri mi ?
3. Yol haritası
• İç ve dış mevzuatın taranması, gerekliliklerin
‘özümsenmesi’
▫ BDDK
▫ Kurum içi düzenlemeler
▫ ( Varsa ) Yabancı ortağın politika ve prosedürleri
▫ İç/Dış raporlama formatları da bir noktada belirleyici olabilir
• Hizmet alım sürecinin, mevzuat gereksinimleri de
dikkate alınarak, güncellenmesi
▫ Uygulama talimatı ile akışın ve sorumlulukların belirlenmesi
Teknik yeterlilik, risk analizi, ortaklar ve üst yöneticilerin uyum
dosyası, tedarikçi karşılaştırma raporları, fayda/maliyet analizi,
sistem ve süreç güncellemeleri, iş sürekliliği planları
4. Yol haritası
• Sözleşme envanterinin oluşturulması ve destek hizmeti
sözleşmelerinin filtrelenebilmesinin sağlanması
▫ Envantere hizmet alımlarına yönelik bir takım bilgi toplama
özelliklerinin yerleştirilmesi - Alınan hizmetin tanınması
Satın alma envanteri tek yerde tutulmalı, her satın almacı ünite
kendi envanterini tutar gibi bir kabulle bütünlük sağlamak zor
5. Yol haritası
• Risklerin önlenmesi adına satın alma sürecinde muhtelif
kontrol istasyonlarının oluşturulması
▫ Satın alma talep aşaması
Basit soru setleri ile satın alma mahiyeti anlaşılmalıdır
Eğer yazılım satın alınıyor ise yazılımın türü, tedarikçinin yetki ve
sorumlulukları anlaşılmaya çalışılmalıdır.
Satınalmacı ünite başta olmak üzere tüm gerekli üniteler erkenden
uyarılmalı, bilgi sahibi olması sağlanmalıdır.
▫ Sözleşme aşaması
Sözleşmelerde güvenlik kontrol listesi - Sözleşmenin içeriğini
hazırlayan ve gözden geçiren tarafların atlama yapmasını önler
6. Yol haritası
• Risklerin önlenmesi adına süreçte muhtelif kontrol
istasyonlarının oluşturulması / devam
▫ Mevzuat , operasyonel risk, iç kontrol, bilgi güvenliği ve hukuk
ekipleri proje boyunca muhtelif aşamalarda konuya dahil olmalıdır.
Bu alım bir destek hizmeti alımı mıdır
Yönetmeliğe tabi midir, Denetim komitesi onayı aranıyor mu
Sözleşmeye ne gibi unsurların eklenmesi gereklidir
Bilgi güvenliği kurallarının üzerinde ayrıca çalışılması gerekli midir
İlave kontrol noktalarının oluşturulması gerekiyor mu
Kurumun iş sürekliliği planları etkileniyor mu , firmanın iş sürekliliği
planları yeterli mi
Mali mesuliyet sigortası lazım mı
Kurumun mevcut sigorta poliçelerinin kapsamadığı bir alan oluşuyor mu ?
Risk analiz raporunun doldurulmasına destek
Denetim komitesi öncesi son kontroller
Start up denetimi lazım mı
7. Yol haritası
• Risklerin üst yönetime raporlanması
▫ Risk yönetim programı
▫ Öz değerlendirme metodu
1. Risk analizi ( kapsamı ve güncelliği )
2. Sözleşmeler
3. Prosedürler ( tamlığı ve güncelliği )
4. Kontrol çerçevesi ( etkinliği )
5. İş sürekliliği
6. Raporlama, SLA’e uyumluluk
7. Yürütme izleme ve etkinlik sorgulama
8. Kabul Süreci
8. Yol haritası
• Aksiyon planlarının yakından takibi
• Düzenli kontrol ve denetimler
▫ Denetimlerin kapsamının doğru oluşturulması
▫ Uçtan uca süreç güvenliği yaklaşımı kurgusu
▫ Hizmeti alanların birinci seviye kontrolleri ile iç kontrol/teftiş ve
bağımsız denetçi denetimlerinin amacı ve periyodunun
karıştırılmaması
▫ Denetim bulgularının takibi
• İzlemek ve tespitleri birbirleri ile ilişkilendirmek önemlidir
▫ SLA
▫ Müşteri şikayetleri
▫ Denetim bulguları
▫ Operasyonel risk kayıp olayları
▫ Uzaktan erişimlerin takibi ( sıklık ve yapılan iş seviyesinde takip
bile anlamlı )
9. Olmazsa Olmazlar
▫ Tedarikçi güvenliğinin önemini içtenlikle kavramak ve
yapılanları sadece «mevzuatı memnun etmek» için
yapmamak
▫ Tüm tarafların en yüksek seviyede iletişimi şart
▫ Mevzuat, Hukuk, Satın alma, Operasyonel Risk, Bilgi Güvenliği,
İç kontrol, Teftiş, İş kolu, IT
• Tüm bu sürecin koordinasyonundan ve gözetiminden
sorumlu bir «gönüllü» !!!!