İç denetim dünyasında yeni trend: grc · grc - bugünkü durum teammate sap rsa archer oracle...

İç Denetim Dünyasında Yeni Trend: GRC

www.pwc.com

14. Çözüm Ortaklığı PlatformuDijital dönüşümü anlamak

Işıl Uysun – İç Denetim Hizmetleri LideriBaşak Hekimoğlu – ERP Risk Güvence Hizmetleri Lideri

Ajanda

1 İç Denetim Dünyasındaki Güncel Konular &Küresel İç Denetim Anketi Sonuçları

2 ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

3 ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu?

4 ERP Sistemlerinde Denetim

5 GRC Nedir? 6 GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor

7 Teknolojik ÇözümlerinDenetimdeki Kritik Rolü

İç DenetimDünyasındaYeniTrend

GRC

İç Denetim Dünyasındaki Güncel Konular

• Veri Analitiği

• Bulut Bilişim

• Siber Güvenlik

• Sosyal Medya

• Mobil Teknolojiler16 Aralık 2015İç Denetim Dünyasında Yeni Trend: GRC

314. Çözüm Ortaklığı Platformu

İç Denetim Dünyasındaki Güncel Konular (Devamı)Küresel İç Denetim Anketi 2015 (2015 State of the Internal Audit Profession Study)

Geleneksel iş modelleri, değişen müşteri ve çalışan ihtiyaçlarını karşılamak için dijital işletmelere dönüştü.

Yeni Dijital ModellerDeğer katan iç denetim fonksiyonları dönüşüm süreçlerine proaktif bir bakış açısı sağlar

Değer katan iç denetim fonksiyonları dönüşüm süreçlerine nasıl katılım sağlar?

20%

24%

9% 47%

Riskingerçekleşmesinden önce iç kontrolüzerine proaktifbir bakış açısı ve önerilersağlanması

Riskin gerçekleşmesinin ardından riskin indirgenmesi amacıyla süreçler ve kontrollerin denetimi

Riskin gerçekleşmesinden önce riski indirgenmesi amacıyla yerinde olan süreç ve kontrollerin denetimi

Yıllık risk değerlendirilmesi sürecinde riskin saptanması

Veri Analitiği

Dünyadaki verilerin %90’ı son iki senede yaratıldı.

16 Aralık 2015İç Denetim Dünyasında Yeni Trend: GRC


88%

63%

91%

54%57%

34%

53%

32%

Risk Odaklılık Yeterlilik İş süreçlerineuyumluluk

Veri

Önemli değer katan iç denetim fonksiyonları Diğer tüm iç denetim fonksiyonları

Aşağıda belirtilen dört alanda önemli değer katan iç denetim fonksiyonları diğerlerine üstünlük sağlamıştır.




İç Denetim Dünyasında Yeni Trend: GRC14. Çözüm Ortaklığı Platformu


Politika veProsedürYönetimi

DenetimDöngüsüYönetimi

KurumsalRisk

Ambarı

Kontrollerinmuhafazası ve izlenmesi

VeriGüvenliği

OrtakVeritabanı

Kurumsal Risk Ambarı - İç ve dış kaynaklardan risk bilgisini edinme, tolerans seviyelerini karşılaştırma ve ilgili politika ve prosedürlerin ilişkilendirilmesi.

Politika ve Prosedür Yönetimi - Regülasyonlardakigüncellemelerin takibi, politika yönetimi ve yayınlanması, ilgili risk ve kontrollerin ilişkilendirilmesi ve yönetim onayının alınması.

Kontrollerin Muhafazası ve izlenmesi - Tasarlanankontrollerin muhafazası ve doğrulaması, kolaylaştırılmış uygunluk denetimi, kontrollerin, yapılan işlemlerin, BT sistemlerinin ve iyileştirici aksiyon takibinin otomatik sorgulanması.

Veri Güvenliği - Kritik finans ve operasyonel sistemlerineerişim yetkilerinin yönetimi ve izlenmesi.

Denetim Döngüsü Yönetimi - Risk verilerin denetimplanı ile ilişkilendirilmesi, kontrollerin bağımsız olarak test edilmesi, uyum kontrollerinin kalite değerlendirmesi ve iyileştirici aksiyonların takibi. 16 Aralık 2015

6

16 Aralık 2015

ERP Yaşam Döngüsü ve İç Kontrol Ortamı İlişkisi

Pull out of animportant statisticgoes in this area20pt Georgia (white)

Günümüzde iç kontrolortamının işlerlik kazandığı noktada ERP sistemleri önplana çıkmakta; İç kontrol yapısını, ERP sistemine entegre etmeyi başaran firmalar varlıklarını daha iyi yönetebilmektedir.




OperasyonelSüreçlerİçerisindeki OnayMekanizmaları-nın Etkin Olarakİşletilmiyor Olması




KonfigürasyonKaynaklı sorunlar

i.e.: MalhareketlerindeÇalışan Hatalı Hesaplar




Kullanıcı Kaynaklı sorunlar

i.e.: Üretimsiparişlerine teyit verilirken sarf edilenalt bileşen miktarı olarak 3 kilo yerine30 kilo girilmesisonucu ürünmaliyetinin hatalı hesaplanması




Optimizasyon?




Fa

yd

a/

De

ğe

r İ

liş

kis

i

Canlıya Geçiş

İyileştirme/Optimizasyon

Gerileme

√

X

Denge

Gelişim

Zaman

ERP uygulamanıza özgü risklerden vekontrol noktalarından haberdar mısınız?

ERPsisteminizinetkin ve verimlikullanımını sağlayabiliyor musunuz?

Görevlerinayrılığı prensibineuyumlu biryetkilendirmeyesahip misiniz?



Pull out of an importantstatistic goes in this area11pt Georgia italic(white)

ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu mu?

Kurum genelinde risk bazlı bir yönetim yaklaşımı olmasına rağmen, ERP sisteminin Kurumun risk bazlı yönetim yaklaşımı ile uyumlu olmasını engelleyen bazı temel faktörler vardır.

Risk Yönetimiİç Kontrol

İç Denetim

ERP



ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu?

Yönetimin risk iştahının ERP ortamına yansıtılamaması

SüreçlerOTC PTP RTR R&D Commercial SCM

Vendor MasterData - Shared

IS

InvoiceCustomer

InvoicingRecord

JournalsClinical Trialaccounting

Sales ForceManagement

ProductionPlanning

Plan & Organise

Payables RoyaltiesQuality

ManagementDespatch -

SharedDeliver &Support

Vendor MasterData

Monitor &Evaluate

Engaginghealth care

professionals

Despatch R&DBatch

IdentificationInvoicing -

SharedAcquire andimplement

MeetingHospitality &Sponsorship

Sıkça Karşılaşılan Zorluklar

ERPKontrolleri

Yönetimin Riskİştahı

• Fiyat Yönetimi• Kredi Limit Yönetimi• Onay Mekanizmaları

• Uyarlama Kontrolleri• Yetki Kontrolleri• Kritik Yetki

Kombinasyonları





Yönetimin ERP Risklerinin Farkında Olmaması

SüreçlerOTC PTP RTR R&D Commercial SCM

Vendor MasterData - Shared

IS

InvoiceCustomer

InvoicingRecord

JournalsClinical Trialaccounting

Sales ForceManagement

ProductionPlanning

Plan & Organise

Payables RoyaltiesQuality

ManagementDespatch -

SharedDeliver &Support

Vendor MasterData

Monitor &Evaluate

Engaginghealth care

professionals

Despatch R&DBatch

IdentificationInvoicing -

SharedAcquire andimplement

MeetingHospitality &Sponsorship

Sıkça Karşılaşılan Zorluklar

ERPKontrolleri

Yönetimin Riskİştahı

• Fiyat Yönetimi• Kredi Limit Yönetimi• Onay Mekanizmaları

• Uyarlama Kontrolleri• Yetki Kontrolleri• Kritik Yetki

Kombinasyonları

Operasyonel süreçleriçerisine konumlandırılır ve önleyici kontrol yapısı

ile iç kontrol ortamını güçlendirir.

16 Aralık 2015


Bir Örnek – 3’lü Kombinasyon

ERPKontrolleri

ERPKontrolleri

SASMal

GirişiMiktar

X FG

ERPKontrolleri

• UyarlamaKontrolleri

• YetkiKontrolleri

• Kritik YetkiKombinasyonları

X MG

FaturaGirişi

Ham-

maddeHizmet

Stok

Transfer

Miktar

Fiyat




ERP Sisteminiz Risk Bazlı Yönetim Yaklaşımınız ile Uyumlu Mu?Sıkça Karşılaşılan Zorluklar

YetkiKontrolleri

SüreçKontrolleri

Tek Seferlik SatıcıFatura Blokajı

Tek Seferlik Satıcı ile Yapılan İşlemlerin Kontrolü

Suistimal Riski

Tek Seferlik Satıcı Ana Veri Yaratma Yetkisi

X Satıcı Faturası Girişi

Tek Seferlik Ana VeriYaratma Yetkisi

Risklerin Bilinmemesi, Sahiplenilmemesi Potansiyel etkilerinin ölçümlenememesi

16 Aralık 2015

17


Tipik Bir İnanış….

ERP SistemleriKontrolleriOtomatik

OlarakGeliştirir



İç Denetim Dünyasında Yeni Trend: GRC14. Çözüm Ortaklığı Platformu


ERP Sistemleri…

ANCAK…

Finansal bilgileri entegre eder- tek, güvenilir ve doğru bilgiye ulaşım sağlar.

Müşteri siparişlerini entegre eder.

Üretimi standart vedaha hızlı hale getirir.

StokMaliyetlerini

azaltır-fiyat ve rekabetavantajı sağlar.

ERPSistemleri

KontrolleriOtomatik

OlarakGeliştirir

16 Aralık 2015

19

ERP Sistemlerinde Denetim

ERP Sistemlerini Denetlemek Neden Zordur?

Bir sürecin birden çok modüllekarşılanması

Toplam iş çözümünün birçok alt süreci içermesi

Teknik ve operasyonel bilgigereksinimi

Uyarlamaların ve geliştirmelerin karmaşık

olması

Yetkilendirme yapısının karmaşık olması



ERP Ortamından Bağımsız Bir Denetim Opsiyonu Kalmamıştır!

ERP Sistemlerinde Denetim (Devamı)



Denetimde Geleneksel Yaklaşım <> Güncel Yaklaşım

• KontrolTanımı: Tümsatın alım siparişleri sistemsel onaymekanizmasına tabidir. Tek bir satın alım

siparişi yaratarakSistemsel onaya tabitutuluyor olduğunungözlemlenmesi

Kullanılmakta olan satın alım sipariş türlerinin belirlenmesi

Sistemin arka planına geçerek satın alım sipariş türü bazında konfigürasyonadımlarının incelenmesi

Ham-

maddeFason Sarf …

• SistemKontrolü

ERP Sistemlerinde Denetim (Devamı)



ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın!

Süreç Yönetimi

RiskStratejisi

Üst YönetimKararları

ERP

GRC

Risk Yönetimi Çerçevesi

GRCAralıksız Takip…

Süreç Yönetimi

Erişim Yönetimi

GRC Teknolojileri?

RiskYönetimi

Süreç Yönetimi

RiskYönetimi



GRC Nedir?

Kurumsal Yönetişim

Risk

Uyum




GRC Nedir? (Devamı)

16 Aralık 2015


Neden GRC bugün iş dünyasında önemli?



GRC - Bugünkü Durum

Teammate RSA Archer ACL, Excel DiğerleriSAP Oracle

Kurumlar, artan paydaş ve düzenleme baskısını yönetmek adına bir çok GRC çözümlerini teknoloji ortamına taşıyarak kullanmaktadırlar.

Finansal



GRC TeknolojilerineYatırım Gün Geçtikçe Artıyor

Üst Yönetim risklerinisistematik biryaklaşımlar yönetebilmekistiyor…

...GRC teknolojileri bukonuda öncü olarakkabul ediliyor…Büyük ölçekli firmaların referansları GRC teknolojilerine

duyulan güveni arttırdı.

Tecrübe edilen GRC Kurulum Metodolojileri ile kurulumriskleri azaldı, kurulum süresi hızlandı.

Regulasyonlar ile gelen «sürekli kontrol» gereklilikleri veERP sisteminin teknik altyapısının karmaşıklığı, ERP sistemini denetlemek için otomatize edilen biryaklaşımın gerekliliğini ortaya koydu.

GRC Teknolojileri son 10 yıldır gelişiyordu. Yeterli olgunluk düzeyine ulaştı.

Dünyada - özellikle Avrupa’da - tamamlanan birçokkurulum sonucunda dersler öğrenildi, kazanımlar ölçümlenebildi.

Kurulum yapılan şirket GRC’yi kullanabilecek mi? GRC’den beklenen fayda sağlanabilecek mi ? gibi soruların cevapları tecrübe edilerek öğrenildi. GRCYönetim Modeli Deneyimlendi.



GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor% GRC Teknolojilerine Yatırım Yapan Şirketler

PiyasadaBulunan GRC

Çözümleri

Tasarım GRC Çözümleri

Exceller’de risk ve kontrolyönetimi

2005

* PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır.

5%11%

84%



GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı)

PiyasadaBulunan GRC

Çözümleri



2005


Excellerde Risk ve KontrolYönetimi

PiyasadaBulunan GRC

Çözümleri

44%

21%

35%

2010


5%11%

84%

% GRC Teknolojilerine Yatırım Yapan Şirketler



PiyasadaBulunan GRC

Çözümleri



2005


Excellerde Risk ve KontrolYönetimi

PiyasadaBulunan GRC

Çözümleri

44%

21%

35%

2010


Excellerde Risk ve Kontrol Yönetimi

Piyasada BulunanGRC Çözümleri

2014

5%11%

84% 58%

14%

28%


GRC Teknolojilerine Yatırım Gün Geçtikçe Artıyor (Devamı)% GRC Teknolojilerine Yatırım Yapan Şirketler



14. Çözüm Ortaklığı Platformu* PwC İngiltere tarafından 100 firma için gerçekleştirilen araştırmanın sonuçlarıdır.

87%13%

Yes No

GRC ErişimYönetimi Uygulamalarını kullanmakta olanfirmaların %60’ı yakın zamanda upgrade etmeyidüşünüyorlar. Temel nedenlerin başında GRCSüreç YönetimiÇözümü ileentegrasyon geliyor.

57%

43%

Yes No

% GRC ErişimYönetimi Çözümünü

Uygulamakta OlanŞirketlerin Yüzdesi

% GRC Erişim Yönetimi Çözümünü upgrade

etmeyi düşünen Şirketlerin yüzdesi

RiskYönetimi

Erişim Yönetimi

Süreç Yönetimi



32

• Firmalar PiyasaBulunan GRCUygulamalarına Güveniyorlar.

• Kuruluma EnTemel KatmanOlan - Erişim Yönetimi -Katmanı ile başlıyorlar.

• Ve FaydaSağladıkça Bir Üst Katmana Doğru Uygulamayı Genişletiyorlar.

GRC




Teknolojik Çözümlerin Denetimde Kritik Rolü

4 Erişim Risk Analizi3 Acil Durum Erişim Yönetimi

2 Rol Yönetimi1 Erişim Talep Yönetimi

Yönetici Rol Sahibi

Risk Sahibi

GerçekZamanlı

Erişim Risk Analizi

Talepler

GRC AC Onay 1 Onay 2

Onay 3

Kural Seti

Kullanıcı Verisi &Kimlik Doğrulama

SAP HR SAP

Rol Sahibi

GerçekZamanlıErişim

RiskAnalizi

RolBakımlar

ı

Onay

İsimlendirme Kuralları

Geliştirme sisteminde rolünaktif durumagelmesi

Gözdengeçirmetamamlanır, oturumonaylanır

Kontrolördenetimlogunugözden geçirir

KontrolörGRC AC deoturum açarve inbox agirer

Email ileoturumkapatıldığı bilgisi FFKontrolüreiletilir

FF logout olurERPoturumukapanır iş akışı tetiklenir

Standartkullanıcı ismi ile log inolunur.

1 3 4 5 6 7Talepler

Onay

FF ID Sahibi

FireFighter ID

GRCAC

ECC içindenkullanıcı ismine GRCerişim talep yönetimi iletaınmlanmış FFID ile login olunur.Kullanıcı adı FFID’ye döner

2

Rol Revizesi

Süreç Revizesi

Görev ve SorumlulukRevizesi

Risklerin Belirlenmesi

Kural Seti

Risklerin

Belirlenmesi Kural Seti

Devamlı Uyumluluk

Risk analizraporu

Hafifleticikontroller

GRC Yetki Yönetimi - Temel Bileşenler1

GRC AC

34

Operasyonel Takip

1. Tek seferlik satıcılardan yapılan satın alımların toplam satın alımların belirli bir yüzdesinin üzerine çıkması durumunda belirlenen kontrol sahiplerinin ve süreçsahiplerinin bilgilendirilmesi

Yetkilerin Takibi

Tek seferlik satıcı ana verisi yaratma yetkisi olan (kritik yetki) kullanıcıların takibi

Sürekli Konfigürasyon Takibi

1. Tek Seferlik Satıcı Kullanımının sistemin teknik parametreleri vasıtasıyla engellenmesi ve izin verilmesi durumunda belirlenen süreçsahiplerinin / kontrol sahiplerininbilgilendirilmesi

2. Mal girişinde konfigurasyonlar vasıtasıyla belirlenen miktarsal toleransların değiştirilmesi durumunda süreç sahipleri / kontrolsahiplerinin bilgilendirilmesi

Ana Verilerin Takibi

1. Aynı banka hesap numarasına sahip satıcıların takibi

2. Satıcı ana verisinde ödeme koşulu alanının değiştirilmesi durumunda risk sahibi/kontrol sahiplerinin bilgilendirilmesi

Teknolojik Çözümlerin Denetimde Kritik Rolü(Devamı)

GRC Süreç Yönetimi - Temel Bileşenler2

GRC

SürekliDenetim

Konfiguras-yonların Takibi

AnaVerilerin

Takibi

Yetki Takibi

Operasyonel

Takip




GRC Risk Yönetimi - Temel Bileşenler3

RiskDeğerlendirmesi

Politika &Prosedürler

ERP

Strateji

Temel RisklerinBelirlenmesi ve

raporlama

• Kurumsal risklerin sistematik bir yaklaşımla yönetilmesini sağlayan altyapıuyı sunar.

• Süreç yönetimi modülü ile bağlantı kurarak riskleri ilgili süreç kontrolleri ile eşleştirir.



Teknolojik Çözümlerin Denetimde Kritik Rolü(Devamı)Nasıl Başlamalı?

İhtiyaçların belirlenmesi

Paydaşların Belirlenmesi

(İç kontrol ve süreç sahibi) desteği sağlanması

ERP alt yapınıza en uygun

çözümün belirlenmesi

Gerçekleştirme



Teknolojik Çözümlerin Denetimde Kritik Rolü(Devamı)GRC’ye geçiş için sizi ne bekliyor?

GRC Erişim Yönetimi

GRC SüreçYönetimi

GRC RiskYönetimi

Canlıya GeçişUygulamaSistem Kurulumu ve

Mimari Destek

Planlama ve Analiz

5-6 Ay

8-12 Ay

3-4 Ay



Teknolojik Çözümlerin Denetimde Kritik Rolü(Devamı)Kilit Paydaşlar

GRC

İç Denetim

İç Kontrol

SüreçSahipleri

BT

ERPUzmanı

Dış Denetçi





Teknolojik Çözümlerin Denetimde Kritik Rolü(Devamı)GRC Katma Değeri

Sta

nd

art

Sü

reçl

er

• Uçtan uca çözümler

• Kurumunorganizasyonlarına özel riskstandardizasyonu

• Kişiden bağımsız risk ve kontrol süreçleri

• Gerçek zamanlı izleme ile kritik kararalma

• Çok şirketli yapılarda merkezi yönetim

Ma

liye

t K

aza

ncı

Şef

fafl

ığın

Art

tırı

lma

sı

• Otomasyon sayesindeidari ve operasyoneliş yükünün azlaması

• Önleyici anahtarkontroller ile kritikrisklerin gerçekleşme olasılıklarının azalması

• İç ve dış denetim çalışmalarının verimliliğinde artış

• Onay süreçlerininizlenebilirliği

• Raporlanabilirkontroller

• Hızlı karar almayı destekleyecek riskodaklı KPI takipleri

• Riskli operasyonların raporlabilirliği


ERP Yatırımınızın Tüm Potansiyelini Ortaya Çıkarın…

GÜÇLÜ İÇ KONTROL ORTAMI

TEKNOLOJİ

UYUM



© 2015 PwC Turkey. All rights reserved. In this document, “PwC” refers to PwC Turkey, which is a member firm of PricewaterhouseCoopers International Limited, each member firmof which is a separate legal entity. “PwC Turkey” refers to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. and PricewaterhouseCoopers Danışmanlık Hizmetleri Ltd Şti. which are separate legal entities incorporated in Turkey within the PwC Turkey organisation.

Başak HekimoğluDirektör+90 212 326 [email protected]

Işıl UysunDirektör+90 212 326 [email protected]

Sorularınız?

İç denetim dünyasında yeni trend: grc · grc - bugünkü durum teammate sap rsa archer oracle...

Documents