Tedarikçi risklerini yönetebilmek - okul.pwc.com.tr · tedarikçi tarafındaki kök nedenlerinin...
Transcript of Tedarikçi risklerini yönetebilmek - okul.pwc.com.tr · tedarikçi tarafındaki kök nedenlerinin...
Tedarikçi risklerini yönetebilmek
www.pwc.com.tr
………………………….… …
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
İçerik
1. Tedarikçi risklerini yönetme ihtiyacı
2. Tedarikçi risk yönetimi bileşenleri
3. Yasal gelişmeler
2
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
PwC
Tedarikçi risklerini yönetme ihtiyacı
3
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
PwC
Tedarikçiler neden hayatımızda?
4
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
Bilgi Teknolojileri
Yazılım geliştirme ve bakım
BT operasyon ve işletim
İş ve hizmet sürekliliği
Veri merkezi
İş Operasyonları
Üretim / hammadde
Bayi / şube / dağıtım ağı
Taşıma / nakil / lojistik
Depolama
Arşivleme / imha
Çağrı Merkezi
Genel Konular
Hukuk
Aracılık hizmetleri
İK yönetimi
Bordro yönetimi
Muhasebe
PwC
Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler
Operasyonel nedenlerle hizmetin kesintiye uğraması
Diğer (finansal, insan kaynağı vb.)
nedenlerle hizmetin kesintiye uğraması
Hizmet seviyelerine uyumsuzluk
Kaliteli hizmet alınamaması
Taleplerin yönetilememesi
Süreçlerin ve sistemlerin entegre
edilememesi
Tedarikçiye bağımlılık
12. Çözüm Ortaklığı Platformu
5
9 Aralık 2013
PwC
Tedarikçiler bizi nasıl etkileyebilir? Tedarikçi kaynaklı veya tedarikçinin neden olduğu riskler
Paylaşılan kritik verilerin açığa
çıkması
Politika ve standartlara uyumsuzluk
Yasal uyumsuzluk
İş ve teknolojik gereksinim
değişikliklerine uyum
sağlanamaması
İş ve teknoloji alanındaki olası
değişimlerin öngörülememesi
12. Çözüm Ortaklığı Platformu
6
9 Aralık 2013
PwC
Tedarikçi risklerini yönetme ihtiyacı İhtiyacım nedir?
12. Çözüm Ortaklığı Platformu
7
9 Aralık 2013
İç kontrol yapıları uyumlu tedarikçiler
Riskler
Gereksinimler
Hizmet içerikleri
PwC
Tedarikçi risklerini yönetme ihtiyacı Hangi konularda fayda sağlar?
Güvenin sağlanması ve güvence
alınması
Devamlılığın sağlanması
Kalitenin istenen
seviyede tutulması
Fayda / maliyet
dengesinin korunması
Rekabet avantajının
oluşturulması
İtibarın korunması
İç ve dış uyumun
sağlanması
12. Çözüm Ortaklığı Platformu 8
9 Aralık 2013
PwC
Tedarikçi risk yönetimi bileşenleri
9
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
PwC
Tedarikçi risk yönetimi bileşenleri
12. Çözüm Ortaklığı Platformu
10
9 Aralık 2013
Tedarikçi risk
yönetimi
Satın alma
Sözleşme risk
yönetimi
Hizmet seviyeleri
takibi
Performans takibi
Güvence
PwC
Satın alma ve sözleşme risk yönetimi
• Hizmet içerikleri
• Gereksinimler ve riskler
- İş / BT birimleri
- Satın alma
- Hukuk
- İç kontrol fonksiyonları
• Sorumluluklar ve yükümlülükler
• Hizmet seviyeleri ve uyum
• Ceza-i şartlar
• Sona erme koşulları
• Denetim koşulları
• Alt yüklenici kullanımı
11
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
Hizmet alımına karar verilmesi
Risklerin değerlendirilmesi
Tedarikçi seçimi Sözleşme
hazırlanması
Satın alma Hizmetin alınması
Sözleşmeye uyum takibi
Sözleşmenin sona ermesi
PwC
Hizmet seviyeleri ve performans takibi
• Konu
• Kriter
• Gerçekleşme aralıkları
• Kabul aralıkları
• Göstergeler
• Kırmızı çizgiler
• Raporlama ve değerlendirme yöntemleri
• Raporlama ve değerlendirme sıklığı
12
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
Hizmet seviyelerinin belirlenmesi
Bilgi toplama
Analiz Raporlama
Değerlendirme Aksiyon alma
PwC
Güvence alanları
12. Çözüm Ortaklığı Platformu
13
9 Aralık 2013
• Kimlik ve erişim hakları yönetimi • Mantıksal güvenlik (loglama, şifre vb.) • Fiziksel güvenlik • İş ve hizmet sürekliliği • Talep yönetimi (Hizmeti alan taraf ile iletişim) • İç sistemler yapısı ve uyum
Asgari olarak değerlendirilmesi gereken süreçler /
konular
• Tedarikçinin ana faaliyet alanına ve hizmet alanına dair iş süreçleri
Alınan hizmetin iş süreçleriyle ilgili
olması durumunda
PwC
Güvence alanları
12. Çözüm Ortaklığı Platformu
14
9 Aralık 2013
• Bilgi güvenliği • Fiziksel güvenlik • Bilgi sınıflandırma • Veri yönetimi
Tedarikçi ile kritik / gizli bilgi paylaşımı olması
durumunda
• Konfigürasyon yönetimi • Operasyon yönetimi
Alınan hizmetin iş veya BT operasyonel
süreçlerinin parçası veya uzantısı olması
durumunda
• Kapasite yönetimi • Performans takibi • Satın alma
Kapasite gereksinimlerinin
tedarikçiye yüklenmesi durumunda
PwC
Güvence alanları
12. Çözüm Ortaklığı Platformu
15
9 Aralık 2013
• Yazılım ve sistem geliştirme • Bilgi mimarisi • Değişiklik yönetimi • Proje yönetimi
Tedarikçiden yazılım geliştirme hizmeti
alınması veya tedarikçinin hizmet
özelinde yazılım geliştirme yapması
durumunda
• Satın alma • Sözleşme yönetimi • Dış kaynak – eş kaynak (tedarikçi, insan
kaynakları vb.) yönetimi
Tedarikçinin hizmeti sunabilmek amacıyla
alt yüklenici kullanması veya başka bir tedarikçiye bağımlı
olması durumunda
PwC
Tedarik hizmeti alan taraf(lar)
Tedarikçi
Bağımsız Denetim Raporu
Denetim çalışması Denetim
kapsamı
“Agreed-upon
procedures”
veya
ISAE3402
Bağımsız Denetim Raporu
Yönetim
İç Denetim
Dış Denetim
Güvence yöntemleri
12. Çözüm Ortaklığı Platformu
16
9 Aralık 2013
PwC
Örnek vakalar - 1
Kapsam:
Bir otomotiv firmasının bayi ağında gerçekleştirilen ve otomotiv firması tarafından belirlenen standartlar ve gereksinimler doğrultusunda yapılan denetim çalışmaları.
Türkiye’de 150’nin üzerinde bayinin ziyaret edilerek veya uzaktan olacak şekilde, operasyonel, fiziksel, görsel, müşteri ilişkileri gibi konularda değerlendirmelerin gerçekleştirilmesi.
Sağlanan fayda:
• Bayilerin, otomotiv firmasının standartlarına uyumunun ve standardizasyonunun sağlanması
• Müşteri algısının iyileşmesi
• Bayilere ilişkin müşteri şikayetlerinin azalması
• Bayilere yönelik performans sistemine (ödüllendirme ve ceza) girdi sağlaması
17
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek vakalar - 2
Kapsam:
Birden fazla bankada kullanılan ana bankacılık sisteminin (operasyonel ve finansal bilgilerin tutulduğu bilgi sistemi), yazılım konusundaki tedarikçi firmasında gerçekleştirilen ISAE3402 bağımsız denetim raporlaması.
Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, COBIT çerçevesine göre değerlendirilmesi.
Sağlanan fayda:
• Sistemde yaşanan sorunların tedarikçi tarafındaki kök nedenlerinin ortaya konması
• BDDK tarafından yayınlanan ve hem bankalar hem de tedarikçi firmalar tarafından uyulması beklenen asgari gereksinimlere uyum konusunda değerlendirme fırsatı sunması
• Tedarikçi seçimlerinde firmalara, tedarikçi hakkında ön bilgi sunması
18
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek vakalar - 3
Kapsam:
Bir sigorta şirketine ait bilgi teknolojileri operasyonlarının (sistem ve ağ yönetimi, veri merkezi yönetimi, işletim vb.) devredildiği tedarikçi firmada gerçekleştirilen denetim çalışması.
Tedarikçi firmanın ilgili bilgi teknolojileri süreçlerinin, müşterinin iç standartları, hizmet sözleşmesi ve hizmet seviyesi anlaşması dikkate alınarak değerlendirilmesi.
Sağlanan fayda:
• Sözleşme koşullarında operasyonel ve finansal iyileştirme yapılması
• Tedarikçi firmanın, hizmet özelinde, müşterinin standartlarına uyumunun sağlanması
• Hizmet kalitesinde artış sağlanması ve hizmet seviyelerine uyumun arttırılması
• Sözleşme ve tedarikçi yönetimi konularındaki süreçlerin iyileştirilmesi
19
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Örnek vakalar - 4
Kapsam:
Bir holdinge ait veri merkezi lokasyonunun ve bu konudaki tedarikçi firmanın seçimine destek olunması.
Tedarikçi firmaların ilgili süreçlerinin ve lokasyonların, holding iç standartları ve iyi uygulamalar doğrultusunda risk değerlendirmesine tabi tutulması ve bu konuda karşılaştırma yapılması.
Sağlanan fayda:
• Seçim sonrasında oluşabilecek risklerin ve maliyetlerin önceden ortaya konması
• Sözleşme seviyesinde çözümlenmesi gereken konuların belirlenmesi
• Hizmet seviyelerinin hangi konularda yoğunlaşması gerektiğinin ortaya konması
• Satın alma süreçlerine girdi sağlanması
20
12. Çözüm Ortaklığı Platformu 9 Aralık 2013
PwC
Yasal gelişmeler
21
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
PwC
Yasal gelişmeler neler?
22
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
2010
Hazine:
Bilgi Sistemleri Denetimi Yönetmeliği (taslak)
2011
BDDK:
Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik
2013
SPK:
Bilgi Sistemleri Yönetim ve Denetim İlkeleri (taslak)
Tedarikçi risk
yönetimi
Satın alma
Sözleşme risk yönetimi
Hizmet seviyeleri
takibi
Performans takibi
Güvence
PwC
Nasıl destek olabiliriz?
23
9 Aralık 2013 12. Çözüm Ortaklığı Platformu
Tedarikçi risk yönetimine ilişkin süreçlerin değerlendirilmesi ve iyileştirilmesi
Tedarikçi güvence hizmetleri
(satın alma öncesinde veya sonrasında)
Tedarikçi tarafından işletilen süreçlerin değerlendirilmesi ve iyileştirilmesi
Sorularınız?
© [2013] PwC Türkiye. Tüm hakları saklıdır. Bu belgede “PwC” ibaresi, her bir üye şirketinin
ayrı birer tüzel kişilik olduğu PricewaterhouseCoopers International Limited’in bir üye şirketi
olan PwC Türkiye’yi ifade etmektedir. “PwC Türkiye”, Başaran Nas Bağımsız Denetim ve
Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve
PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye'de
kurulmuş tüzel kişiliklerden oluşan PwC Türkiye organizasyonunu ifade ve temsil etmektedir.
İletişim bilgilerimiz:
Mehmet Zeki Önal
Kıdemli Müdür, Performans Güvence Hizmetleri Lideri
Risk, Süreç ve Teknoloji Hizmetleri
Tel: +90 (212) 326 6773 / +90 (530) 461 1177
e-posta: [email protected]