2. Ajanda
Neden tedarikçi kullanımı?
Olası Problemler ve Riskler
Önlemler
Tedarikçi Denetimleri
3. Neden tedarikçi kullanımı?
Tedarikçi kullanımının başlıca sebepleri;
İç Kaynak yetersizliği
Maliyet düşürme
Tam zamanlı uzman istihdamının verimsizliği
3 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
4. Olası Problemler ve Riskler
Tedarikçi kullanımından doğan başlıca problem ve riskler;
Gizli şirket bilgilerinin yetkisiz kişilerin eline geçmesi
• Erişim kontrolü
• Yüksek yetki tahsisi
• Teknik önleyici kontrollerin yetersizliği
4 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
5. Olası Problemler ve Riskler
Yasal uyumun sağlanamaması
• Sınırlar arası bilgi koruma kanunları
• İç kontrollerin tesisine ilişkin yasal yükümlülükler
5 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
6. Olası Problemler ve Riskler
Sistem güvenilirliğinin ve stabilitesinin azalması
• Birden fazla tedarikçinin aynı sisteme erişimi
• Aynı tedarikçiden farklı danışmanların kullanımı
6 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
7. Olası Problemler ve Riskler
Yeni hizmet modelleri ve teknolojiler
• Hizmet olarak yazılım (SaaS) alımlarındaki
mevcut BT kontrollerinin uyarlanmasındaki
güçlükler
• Bulut bilişim gibi yeni teknolojilerin güvenliği ve denetlenmesindeki zorluklar
7 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
8. Olası Problemler ve Riskler
Görevler ayrılığı riskleri
• Yazılım geliştirme ve operasyonel görevlerin ayrıştırılması
• Yazılım geliştirmeden sorumlu kişilerin üretim ortamına erişiminin
engellenmesi
8 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
9. Olası Problemler ve Riskler
BT iç kontrollerinin tesisinde yaşabilecek sıkıntılar
• Kontrollerin farklı yorumlanması
• Gereken özenin gösterilmemesi
• Düşük kontrol işlerliği
9 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
10. Önlemler
Tedarikçi kullanımlarında problemlerin ve risklerin
giderilmesine ilişkin alınabilecek önlemler;
Hizmet ve Gizlilik Sözleşmeleri
Tedarikçilere verilecek eğitimler
Tedarikçi Denetimleri
10 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
11. Tedarikçi Denetimleri
Denetim Türleri
İç Değerlendirme
İç Değerlendirme ve Telefon
Görüşmesi
Saha Denetimi
11 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
12. Tedarikçi Denetimleri
Denetim Yaklaşımının belirlenmesi
Tedarikçi tarafından verilen hizmetin kritikliği ve eriştiği sistemlerin/bilgilerin
önemi
Tedarikçilerin BT sistemlerine erişim şekilleri;
• Şirket yerleşkesinde şirket Bilgisayarları ile
• Şirket yerleşkesinde tedarikçi bilgisayarları ile
• Şirket Bilgisayarları ile uzaktan erişim
• Tedarikçi bilgisayarları ile uzaktan erişim
12 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
13. Tedarikçi Denetimleri
Denetim Öncesi
• Takvim konusunda mutabık kalınma
• Denetim kapsamının belirlenmesi
• Denetim ekibinin belirlenmesi (İç Kaynak/Dış Kaynak)
Denetim sırasında
• İş ortağı yaklaşımının benimsenmesi
• Politika ve prosedürlerin incelenmesi
• Gerekli kanıtların talep edilmesi
Denetim sonrasında
• Tespit edilen eksiklikler konusunda mutabık kalınması
• Ortak aksiyon planlarının oluşturulması ve takibi
13 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
15. Hizmet ve Gizlilik Sözleşmeleri (Underpinning
Contracts, SLAs, NDAs)
Artıları
Yasal bir koruma sağlar.
Bağlayıcıdır.
Eksileri
Sistemsel bir kontrol olmaması
Tedarikçi çalışanlarının çoğu zaman bu dokümanları görmemesi
Sık yapılan hatalar
Tedarikçiler ile yapılan sözleşmelerde denetim hakkı, alt yüklenici kullanım şartları gibi maddelerin
koyulmaması
Tedarikçinin uygulaması gereken kontroller konusunda karşılıklı olarak net bir şekilde mutabık
kalınmaması
Alınabilecek Önlemler
Sözleşme kontrol listesi (Denetim hakkı, Alt yüklenici kullanım sınırlaması, Görevler ayrılığına ilişkin
maddeler)
Hukuk onayı
15 | Tedarikçi Kullanımından Kaynaklanan Riskler ve Tedarikçi Denetimleri | Özgür Yoral | 15.05.2012 |
Editor's Notes
(Sözleşme ve gizlilik anlaşmalarının şirketler arasında imzalanmış olması ve asıl servisi veren tedarikçi çalışanlarının tarafından çoğu zaman görülmemesi orada koyulan kuralların operasyonla süreçlere yansımasını engelliyor )