ݺߣ

ݺߣShare a Scribd company logo
Tedarikçi Kullanımından Kaynaklanan
olası Problemler, Riskler ve Tedarikçi
Denetimleri
Özgür Yoral, Novartis IGM Manager
16.05.2012
İstanbul
Ajanda



    Neden tedarikçi kullanımı?

    Olası Problemler ve Riskler

    Önlemler

    Tedarikçi Denetimleri
Neden tedarikçi kullanımı?
Tedarikçi kullanımının başlıca sebepleri;

 İç Kaynak yetersizliği
 Maliyet düşürme
 Tam zamanlı uzman istihdamının verimsizliği




3 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

Tedarikçi kullanımından doğan başlıca problem ve riskler;

 Gizli şirket bilgilerinin yetkisiz kişilerin eline geçmesi
    • Erişim kontrolü

    • Yüksek yetki tahsisi

    • Teknik önleyici kontrollerin yetersizliği




4 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

 Yasal uyumun sağlanamaması
    • Sınırlar arası bilgi koruma kanunları

    • İç kontrollerin tesisine ilişkin yasal yükümlülükler




5 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

 Sistem güvenilirliğinin ve stabilitesinin azalması
    • Birden fazla tedarikçinin aynı sisteme erişimi

    • Aynı tedarikçiden farklı danışmanların kullanımı




6 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

 Yeni hizmet modelleri ve teknolojiler
    • Hizmet olarak yazılım (SaaS) alımlarındaki

       mevcut BT kontrollerinin uyarlanmasındaki

       güçlükler

    • Bulut bilişim gibi yeni teknolojilerin güvenliği ve denetlenmesindeki zorluklar




7 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

 Görevler ayrılığı riskleri
    • Yazılım geliştirme ve operasyonel görevlerin ayrıştırılması

    • Yazılım geliştirmeden sorumlu kişilerin üretim ortamına erişiminin
       engellenmesi




8 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Olası Problemler ve Riskler

 BT iç kontrollerinin tesisinde yaşabilecek sıkıntılar
    • Kontrollerin farklı yorumlanması

    • Gereken özenin gösterilmemesi

    • Düşük kontrol işlerliği




9 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Önlemler
Tedarikçi kullanımlarında problemlerin ve risklerin
giderilmesine ilişkin alınabilecek önlemler;

 Hizmet ve Gizlilik Sözleşmeleri
 Tedarikçilere verilecek eğitimler
 Tedarikçi Denetimleri




10 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Tedarikçi Denetimleri
Denetim Türleri



                                                        İç Değerlendirme




                                                                                 İç Değerlendirme ve Telefon
                                                                                      Görüşmesi




                       Saha Denetimi




11 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Tedarikçi Denetimleri
Denetim Yaklaşımının belirlenmesi

 Tedarikçi tarafından verilen hizmetin kritikliği ve eriştiği sistemlerin/bilgilerin
    önemi

 Tedarikçilerin BT sistemlerine erişim şekilleri;
    • Şirket yerleşkesinde şirket Bilgisayarları ile
    • Şirket yerleşkesinde tedarikçi bilgisayarları ile
    • Şirket Bilgisayarları ile uzaktan erişim
    • Tedarikçi bilgisayarları ile uzaktan erişim




12 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Tedarikçi Denetimleri
Denetim Öncesi
    • Takvim konusunda mutabık kalınma
    • Denetim kapsamının belirlenmesi
    • Denetim ekibinin belirlenmesi (İç Kaynak/Dış Kaynak)

Denetim sırasında
    • İş ortağı yaklaşımının benimsenmesi
    • Politika ve prosedürlerin incelenmesi
    • Gerekli kanıtların talep edilmesi

Denetim sonrasında
    • Tespit edilen eksiklikler konusunda mutabık kalınması
    • Ortak aksiyon planlarının oluşturulması ve takibi



13 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Yedek Slaytlar
Hizmet ve Gizlilik Sözleşmeleri (Underpinning
Contracts, SLAs, NDAs)
Artıları

 Yasal bir koruma sağlar.
 Bağlayıcıdır.
Eksileri

 Sistemsel bir kontrol olmaması
 Tedarikçi çalışanlarının çoğu zaman bu dokümanları görmemesi
Sık yapılan hatalar

 Tedarikçiler ile yapılan sözleşmelerde denetim hakkı, alt yüklenici kullanım şartları gibi maddelerin
    koyulmaması

 Tedarikçinin uygulaması gereken kontroller konusunda karşılıklı olarak net bir şekilde mutabık
    kalınmaması

Alınabilecek Önlemler

 Sözleşme kontrol listesi (Denetim hakkı, Alt yüklenici kullanım sınırlaması, Görevler ayrılığına ilişkin
    maddeler)

 Hukuk onayı

15 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |

More Related Content

Tedarikçi Kullanımı ve Riskler

  • 1. Tedarikçi Kullanımından Kaynaklanan olası Problemler, Riskler ve Tedarikçi Denetimleri Özgür Yoral, Novartis IGM Manager 16.05.2012 İstanbul
  • 2. Ajanda Neden tedarikçi kullanımı? Olası Problemler ve Riskler Önlemler Tedarikçi Denetimleri
  • 3. Neden tedarikçi kullanımı? Tedarikçi kullanımının başlıca sebepleri;  İç Kaynak yetersizliği  Maliyet düşürme  Tam zamanlı uzman istihdamının verimsizliği 3 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 4. Olası Problemler ve Riskler Tedarikçi kullanımından doğan başlıca problem ve riskler;  Gizli şirket bilgilerinin yetkisiz kişilerin eline geçmesi • Erişim kontrolü • Yüksek yetki tahsisi • Teknik önleyici kontrollerin yetersizliği 4 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 5. Olası Problemler ve Riskler  Yasal uyumun sağlanamaması • Sınırlar arası bilgi koruma kanunları • İç kontrollerin tesisine ilişkin yasal yükümlülükler 5 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 6. Olası Problemler ve Riskler  Sistem güvenilirliğinin ve stabilitesinin azalması • Birden fazla tedarikçinin aynı sisteme erişimi • Aynı tedarikçiden farklı danışmanların kullanımı 6 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 7. Olası Problemler ve Riskler  Yeni hizmet modelleri ve teknolojiler • Hizmet olarak yazılım (SaaS) alımlarındaki mevcut BT kontrollerinin uyarlanmasındaki güçlükler • Bulut bilişim gibi yeni teknolojilerin güvenliği ve denetlenmesindeki zorluklar 7 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 8. Olası Problemler ve Riskler  Görevler ayrılığı riskleri • Yazılım geliştirme ve operasyonel görevlerin ayrıştırılması • Yazılım geliştirmeden sorumlu kişilerin üretim ortamına erişiminin engellenmesi 8 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 9. Olası Problemler ve Riskler  BT iç kontrollerinin tesisinde yaşabilecek sıkıntılar • Kontrollerin farklı yorumlanması • Gereken özenin gösterilmemesi • Düşük kontrol işlerliği 9 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 10. Önlemler Tedarikçi kullanımlarında problemlerin ve risklerin giderilmesine ilişkin alınabilecek önlemler;  Hizmet ve Gizlilik Sözleşmeleri  Tedarikçilere verilecek eğitimler  Tedarikçi Denetimleri 10 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 11. Tedarikçi Denetimleri Denetim Türleri İç Değerlendirme İç Değerlendirme ve Telefon Görüşmesi Saha Denetimi 11 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 12. Tedarikçi Denetimleri Denetim Yaklaşımının belirlenmesi  Tedarikçi tarafından verilen hizmetin kritikliği ve eriştiği sistemlerin/bilgilerin önemi  Tedarikçilerin BT sistemlerine erişim şekilleri; • Şirket yerleşkesinde şirket Bilgisayarları ile • Şirket yerleşkesinde tedarikçi bilgisayarları ile • Şirket Bilgisayarları ile uzaktan erişim • Tedarikçi bilgisayarları ile uzaktan erişim 12 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 13. Tedarikçi Denetimleri Denetim Öncesi • Takvim konusunda mutabık kalınma • Denetim kapsamının belirlenmesi • Denetim ekibinin belirlenmesi (İç Kaynak/Dış Kaynak) Denetim sırasında • İş ortağı yaklaşımının benimsenmesi • Politika ve prosedürlerin incelenmesi • Gerekli kanıtların talep edilmesi Denetim sonrasında • Tespit edilen eksiklikler konusunda mutabık kalınması • Ortak aksiyon planlarının oluşturulması ve takibi 13 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
  • 15. Hizmet ve Gizlilik Sözleşmeleri (Underpinning Contracts, SLAs, NDAs) Artıları  Yasal bir koruma sağlar.  Bağlayıcıdır. Eksileri  Sistemsel bir kontrol olmaması  Tedarikçi çalışanlarının çoğu zaman bu dokümanları görmemesi Sık yapılan hatalar  Tedarikçiler ile yapılan sözleşmelerde denetim hakkı, alt yüklenici kullanım şartları gibi maddelerin koyulmaması  Tedarikçinin uygulaması gereken kontroller konusunda karşılıklı olarak net bir şekilde mutabık kalınmaması Alınabilecek Önlemler  Sözleşme kontrol listesi (Denetim hakkı, Alt yüklenici kullanım sınırlaması, Görevler ayrılığına ilişkin maddeler)  Hukuk onayı 15 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |

Editor's Notes

  1. (Sözleşme ve gizlilik anlaşmalarının şirketler arasında imzalanmış olması ve asıl servisi veren tedarikçi çalışanlarının tarafından çoğu zaman görülmemesi orada koyulan kuralların operasyonla süreçlere yansımasını engelliyor )