• Save
Grc Fsi Oracle Day Short 2
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Grc Fsi Oracle Day Short 2

on

  • 1,280 views

 

Statistics

Views

Total Views
1,280
Views on SlideShare
1,256
Embed Views
24

Actions

Likes
0
Downloads
2
Comments
0

2 Embeds 24

http://www.bilgicozumleri.com 22
http://www.slideshare.net 2

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Grc Fsi Oracle Day Short 2 Presentation Transcript

  • 1. ı COBIT Yol Haritası Evrim AKPINAR & Huseyin OZEL
  • 2. Risk ve Uyumluluk – Regülasyon Ortamı Basel II • Quantification of market, credit & Basel II OpRisk and SOX operational risk capital Basel II and AML • Regulatory reporting • Frequency & severity estimates • Single customer / counterparty view related • Key risk indicators (based on PD, LGD and EAD) to suspicious transactions and risk exposure • Risk / control self-assessments • Loss data capture • Early warning ML detection, transaction • Operational improvements in the • Risk self-assessments monitoring & case management data / financial reporting information chain metrics related to ML operations to feed into Basel II risk assessment activities • Risk, governance & compliance org hierarchies Sarbanes-Oxley (SOX) • Roles & responsibilities Anti-Money Laundering (AML) • Process transparency & workflow support • Due diligence for correspondent & private banking • CEO/CFO certification of financial reports • Integrated and consistent data accounts for foreign banks, entities & individuals • Management assessment & auditor capture & mgmt • Requires customer due diligence procedures / programs attestation of internal controls related to • Control environment to screen new and existing accounts (a.k.a. Know Your financial reporting ‘value chain’ • Integrated dashboards Customer or KYC) • Real-time disclosure of material changes • Requires all financial institutions to establish an anti- • Board composition requirements money laundering program • Sharing of information / data between government agencies & financial institutions SOX and IFRS IFRS and Basel II • Common accounting entry / data definitions IFRS / IAS39 • Shared valuation / calculation of financial assets • Consistent accounting and financial reporting using fair value methods practices e.g. reconciliation process to verify • Valuation methods & principles • Instrument specific tracking of hedge effectiveness • Prospective and retrospective hedge feeding into Basel II credit risk mitigation IAS figures with US GAAP and local effectiveness testing • Provisions for impairment of financial assets and accounting standards • Disclosure and presentation of financial links with Basel II’s regulatory capital provisions • Adequate internal controls to ensure the instruments • Reconciliation between financial & risk data financial statements provide a true and fair • Alignment between IAS reporting and Basel II Pillar view of the state of affairs of the company. 3 disclosure requirements Source : Celent 2
  • 3. Analitik Zorluklar Performans Uyumluluk Org. Performans değerlendirme için bilgiler Manuel ve entegre olamayan süreçler için zamanında ve detaylı gelmiyor zaman kaybediyoruz Farklı Sonuçlar, Raporlar Uyumluluk ilişkili vizyonda eksiklik Tutarsız Hedef ve Ölçümler Performans Tek seferlik ve kısıtlı kapsamlı uyumluluk projeleri Risk bakış açısıyla hazırlanmış öngörü eksikliği Gittikçe artan “Uyumlu olma” Maliyeti Uyumluluk Risk Risk Yönetimi Tutarlı yönetim ve risk önleme faaliyeti yürütülebilen bir ortam yok Farklı bilgi adacıkları arasında Risk Yönetimi Yapma Zorluğu Kurumsal Risk Yönetimini desteklemek için yetersiz iş, fiziksel ve IT standartları Hatalı ve Gecikmiş KRI İzleme 3 © 2009 Oracle Corporation – Proprietary and Confidential
  • 4. Risk Tipine Göre Yönetim Operasyonel, HR ve IT ilişkili riskler dağıtık yönetilmelidirler. 4 © 2007 Corporate Executive Board. All Rights Reserved.
  • 5. ığı……Düşünmeye değer ığı Birçok kurumun yaptığı ş ğ Uyumlu Olmam Gerekli Raporlamam Gerekli Otomotize Etmeliyim Regulasyonlar tetikliyor Uyumlu muyum ? Uyumlu olmak Gerek Bir Stratejim Olmalı Kanıtlamak gerek Uyumluluk = hedef Uyumlu olmak maliyetli Otomotize etmem gerek Kanıt = hedef Risk Yönetimi toplam stratejinin bir parçası Kurum Geneli mı? En fazla maliyet avantajı nerede ? 5 © 2009 Oracle Corporation – Proprietary and Confidential
  • 6. COBIT • PO1 Stratejik IT Plan Tanımlama • PO2 Bilgi Altyapıısıınıın Tanıımlanmasıı - Data Dictionary, Data Classification, Data Integrity • PO3 Teknoloji Yönünün Belirlenmesi • PO4 IT Süreçlerinin, Organizasyon ve İlişkilerin Tanıımlanmasıı– ş Risk, Security & Compliance • PO5 IT Yatırımlarının Yönetimi • PO6 İletişim Yönetimi Amaçları ve Yönü • PO7 IT HR Yönetimi • PO8 Kalite Yönetimi • PO9 IT Risks Belirlenmesi ve Yönetimi – Governance, Assessment, Events, Controls, Action Planning • PO10 Proje Yönetimi 6
  • 7. IT Governance- Oracle Bakış Açısı GRC Intelligence Dashboards Reporting KRI & Alerts EGRC Manager Obligations & Policies & Risks & Issues & Objectives Processes Controls Incidents GRC Controls SOD & Application Transaction Access Configuration Monitoring Custom or Legacy Applications 7 © 2009 Oracle Corporation – Proprietary and Confidential
  • 8. ş IT YönetişimTablosu GRC Intelligence / EGRCM 100+ önceden tanımlı Risk KPI ları, Sertifikasyon, Kontroller ve kişiselleştirilmiş hata raporları Self-servis analizler ve otomatik uyarılar, interaktif dashboardlar GRC Reporting & Analysis Configure Risk Investigate Review GRC Monitor All and Control Troubling Dashboards Open Issues KPIs KPIs 8
  • 9. ğ IT Risk Değerlendirme GRC Intelligence / EGRCM •Risk Tanımlama, Analiz, Đzleme, Risk Assess multiple risk classes and monitor overall risk health Önleme Faaliyetlerinin Tanımlanması Kontrol & Ölçme EGRCM • Değerlendirme ve Ölçme Sistemleri İyileştirme ve İstisna Yönetimi ş EGRCM • İstisnaların Belirlenmesi • İyileştirme Planlarının Oluşturulması ve İzlenmesi 9
  • 10. İlkelerin Bildirimi ve Onaylanması ı • İlkelerin hazırlığı ve bildirimi, dashboardlar ile izlenmesi, Kullanıcı bildirimleri EGRCM ı ı ı IT Varlıklarının Yönetimi • IT Varlıklarının Yönetimi • Risk ve politikaların tanımlanması ve izlenmesi Kontrol ve İlkelerin Adreslenmesi Tanımlanmış içerik eşlemeleri ve standartlar Dışarıdan içerikleri aktarabilme Source: Gartner 10 © 2009 Oracle Corporation – Proprietary and Confidential
  • 11. Otomatik Kontrol Konfigürasyon Kontrol Aracı • Uygulamalar arası tanımlamaların takibi ve izinin tutulması, değişim yönetimi Uygulama Erişim Kontrol Aracı • Conflict Paths • SOD Tanımları ve Kontrolleri • Policy Library • İş Akışları ve Denetim Logları • Önceden tanımlanmış içerik Pre-delivered Transaction Controls İşlem Erişim Kontrol Aracı Suspect Transactions • Anormal Girişimlerin Raporlanması, Örnekleme Detection Prevention Define Document or Monitor Enforce Manage Configuration Compare Configuration Change Data Controls Configurations Changes Control Integrity 11 © 2009 Oracle Corporation – Proprietary and Confidential
  • 12. ş Oracle ile GRC Gelişimi Optimize Pro-aktif Re-aktif Gayri Resmi • GRC hedefleri tüm organizasyona • Tek, standart ve benimsetilmiş • Hata Oluştukça stratejik yaklaşım • Analiz ve trend takibi • Riskler dokumante Gelişmişlik • Uyumlu ama yüksek • Otomatik Prosesler ediliyor • Otomatik risk önleme maliyet • İlkelerin çiğnenmesi ve ileriye yönelik risk • Manuel risk engellenmiş • Manuel Kontrol değerlendirme değerlendirme ve • Anlık politikalar raporlama • İlkeler katı.. • Taktiksel yaklaşım GRC Intelligence • En iyi uygulama yok GRC Manager Access Control Configuration Control Transaction Control GRC Application Suite müşterilerimizin ihtiyaçlarına ve ulaşmak istedikleri bir sonraki gelişmişlik düzeyine uygun çözümler barındırmaktadır. Zaman 12 © 2009 Oracle Corporation – Proprietary and Confidential
  • 13. ı ı Entegre Risk ve Uyumluluk Altyapısı Capital Management/Basel II/Solvency II/BI Dashboards RAPM Economic Capital Risk Management HR Market Credit Operational ALM Learning Management Loss Internal Controls & SOX Actions Process Mapping RCSA KRI / KCI Documentation Monitoring & Compliance AML Fraud KYC/CDD MiFID Financial Control & Reporting Core Financials Budgeting & Planning BI Enterprise Content Management Records Management Legal Discovery Change Management COBIT:Security, Identity & Data Management Encryption Audit Segregation of Duties Identity Mgmt Master Data Data Warehousing BPEL Workflow Management 13 © 2009 Oracle Corporation – Proprietary and Confidential
  • 14. Oracle Identity Manager (OIM) Kimlik YaşamDatabase Vault Value ş Döngüsünün Yönetimi • Heterojen yapılar için kimlik yönetimi • Kural ve politika tanımlama • İş akışı desteği Kimlik Self Denetim ı • Self servis kimlik ve şifre yönetimi Yönetimi Servis Raporları • Yönetim delegasyonu Hesapları Hesapların Yetki Şifre Senkron. Yönetimi Yönetimi • Kaçak hesapların takibi • Entegrasyon teknolojisi Takvim ışlar İş Akışları Akış ı Güvenlik Politikaları Politikaları • Denetleme yetenekleri ve yasal düzenlemelere uyum Hesap Provizyonlama Sunucusu • İhtiyaçlara göre şekillendirilebilme ve Uygulama Sunucusu genişletilebilme yetenekleri İnsan LDAP, AD. Kaynakları Kaynakları 14
  • 15. Oracle Identity Manager (OIM) Database Vault Value OIM Tebliğ içerisinde yer alan hangi OIM hangi COBIT hedefleri ile eşleşir? hedeflerle eşleşir? Plan and Organise • Yönetim Gözetimi • PO4 Segregation of Duties • Görevler Ayrılığı Prensibi • Yetkilendirme Acquire and Implement • Denetim İzlerinin Oluşturulması • AI2.4 Application Security and Availability Delivery and Support • DS5 Ensure Systems Security Monitor and Evaluate • ME2 Monitor and Evaluate Internal Control 15 • ME3 Ensure Compliance with
  • 16. Barclays BUSINESS CHALLENGE ORACLE SOLUTION • No official record of “who has access to • Implemented OIM as enterprise identity what” to meet compliance requirements management platform • No reliable access DB and process for • Enabled self-service account terminating access when employee leaves management for employees and firm managers • Deployed enterprise-wide integration methodology and on-boarding, job change, and termination processes RESULTS • 1,000+ applications under centralized management • Comprehensive “who has access to what” database for compliance and process automation • Prompt termination of access for all departing employees • Reduced wait for new resources 16
  • 17. Oracle Access Manager (OAM) Kimlik Belirleme ve YetkilendirmeValue Database Vault • Kurumdaki tüm uygulamalar için ortak kimlik politikası yönetimi Kimlik Belirleme • Şifre, SSL Sertifikaları, akıllı kart, biometrik, vs. desteği • Self servis kimlik ve şifre yönetimi • Denetleme Yetkilendirme • Yaygın olarak kullanılan tüm web/uygulama sunucularına destek • Yaygın olarak kullanılan tüm dizin sunucularına destek Denetleme 17
  • 18. Oracle Entitlement Server (OES) Database Vault Value Uygulama İçinde Yetkilendirme Denetimi ı • Merkezi Erişim Kuralları Tanımlama ve ar ıtl rla y o rı Ka p s • Dağıtma İz l Ra an Er iş • ra m e or • ta im Ku erf lem Ro nı m ha • P İz l y la kla • Yerel Kural Çalıştırma • ön m rı et a Oracle im • Yetki kurallarının tanımlanmasında var olan Devel i Entitlements ope LDAP ve VT yararlanma rı r Server • lla U y nt e ra • C/S, Web uygulamalarıyla Entegrasyon Ku a gu gr e ik lam i ile la as nl m m yo ve anı stem yon • İz Kayıtlarının Yaratılması al n ü ar G T Si ras la • m g Id nte • Raporlar, Performans İzleme • e 18
  • 19. Enterprise User Security (EUS) Oracle Veritabanı Kimlik DenetimiValue Database Vault ve Yetkilendirme ı • VT Kullanıcı/DBA hesaplarının ve Rollerin yönetilmesinin kolaylaştırılması • Merkezi kurum kullanıcısı yönetimi sağlamak • Dizin Sunucularına aktiflik kazandırmak • Birden fazla VT, dizin sunucusu entegrasyonu • Güvenlik açıklarının önlenmesi • IDM Entegrasyonu ş ş Merkezleştirilmiş VT Yönetimi Oracle Directory Entegrasyonu MS AD Entegrasyonu Sun Directory Entegrasyonu 19
  • 20. Ministry of Finance Turkey (Muhasebat) BUSINESS CHALLENGE ORACLE SOLUTION • The customer was interested in building a • In Q2 2009 customer purchased complete security infrastructure for their Database Vault, Audit Vault and environment (including Database Security Enterprise User Security (Directory and Identity Management) Services) while there was a competition • They wanted to prevent possible internal against Imperva. threats regarding Database Security and • This is the first deal involving both secure their audit logs in order to follow the Database Vault and Audit Vault in Turkey. 5651 Regulation in Turkey. • Active-active OID for EUS with the metadata repository residing on the RAC database. RESULTS • Database Vault will be used to protect the sensitive data against internal threats. • Also, customer will be able to monitor user actions and achieve the security of audit log data by the implementation of Audit Vault with EUS. 20
  • 21. Oracle Adaptive Risk Manager Database Vault Value • Web trafiğinin gerçek zamanlı olarak izlenebilmesi, normal kullanıcı hareketlerinin profillerinin oluşturulması • Kural motoru tanımlamalarına göre hareketlerin ve içeriklerin değerlendirilmesi • Doğrulama için ek sorular sorabilme • Potansiyel bir tehdit sırasında işlemi bloke etme ya da yöneticiyi uyarma • Denetim verileri üzerinden çevrim-dışı araştırma yapma 21
  • 22. Oracle Adaptive Strong Authenticator Database Vault Value • Kişiselleştirilmiş resimlerle çift taraflı doğrulama • Sanal Doğrulama araçları, şifreleri ve PIN kodlarını, key logger, OCR, vb. programlara karşı korur. • Koruyucuların, tarayıcı üzerindeki yerini gelişigüzel değiştirebilir 22
  • 23. Sekerbank Turkey BUSINESS CHALLENGE ORACLE SOLUTION • Customer had a Credit Card Fraud System • Customer examined 3 vendors and chose implemented by Oracle partner SmartSoft, to use Oracle Adaptive Access but no solution for internet banking. Management in May 2009. • Customer was interested to increase the • This is the first OAAM deal in Turkey and level of Security in the web banking the second sale of Internet fraud channel and also other channels. prevention solution in Eastern Europe. • Customer asked to meet regulatory • Sekerbank also selected OAAM to meet compliance and track online transactions their multiple application integration for potential fraud by Deloitte. requirements RESULTS • Expected results are an increase of the level of Security especially in the web banking channel and to save money lost in web banking • Implementation planned for HY2 2009 and will take up to 6 months, with Adaptive Risk Manager for Internet banking 23
  • 24. Oracle Access Management Database Vault Value OAAM hangi COBIT hedefleri ile eşleşir? Kurumsal ve Internet Çözümleri İçin; Acquire and Implement • Yönetim Gözetimi • AI2.4 Application Security and • Kimlik Doğrulama Availability • Yetkilendirme • Güvenlik Kontrol Sürecinin Takip Delivery and Support Edilmesi ve Yönetilmesi • DS5 Ensure Systems Security • Kimlik Doğrulama • Denetim İzlerinin Oluşturulması Monitor and Evaluate • ME2 Monitor and Evaluate Internal Control • ME3 Ensure Compliance with 24 External Requirements
  • 25. ı IDM Referansları se Vault Value • Eximbank • Şekerbank • Turkcell • Ülker • IBB, ISKI • Milli Eğitim Bakanlığı, Maliye Bakanlığı - Muhasebat • Makine Kimya Endüstrisi • Noterler Birliği 25
  • 26. Soru - Cevap 26
  • 27. 27
  • 28. 6. ŞİFRE YAŞINDA 28