Posted on

Üçüncü Taraf Risk Yönetimi: Genel Bakış

Üçüncü taraf risk yönetimi [third-party risk management], bir organizasyonun dış tedarikçiler ve iş ortaklarıyla olan ilişkilerinden kaynaklanan riskleri sistematik olarak tanımlayan, değerlendiren, izleyen ve azaltan bir risk yönetimi türüdür. Modern organizasyonlar düzinelerce hatta yüzlerce üçüncü tarafla etkileşime girebilir. Bu, iş sürekliliğini, düzenleyici uyumu ve kurumsal itibarı tehdit edebilecek kapsamlı bir riske maruz kalma yaratır. Etkili üçüncü taraf risk yönetimi, bu riskleri belirleyerek ve azaltarak sürekliliği sağlar.

Günümüzün birbirine bağlı iş ortamında, üçüncü taraf risk yönetimi müşteri güvenini sürdürmek, hassas verileri korumak, düzenleyici uyumu sağlamak ve operasyonel dayanıklılığı korumak için olmazsa olmazdır. Ve sadece bireysel kuruluşlar için değil, ekonomi ve hatta küresel finans sistemi için de riskler göz önüne alındığında, Amerika Birleşik Devletleri Parasal Denetim Ofisi, Federal Rezerv, Federal Mevduat Sigortası Kurumu [Office of the Comptroller of the Currency, Federal Reserve, Federal Deposit Insurance Corporation] ve çeşitli uluslararası düzenleyici otoriteler de dâhil olmak üzere düzenleyici kurumlar, üçüncü taraf risk denetimi için beklentiler oluşturmuştur. Bu kuruluşlar, bir üçüncü taraf risk yönetimi programı yetersizse önemli cezalar verebilir.

Gerçekten etkili bir üçüncü taraf risk yönetimi geliştirmek için, bir organizasyonun üçüncü tarafların getirebileceği risk türleri hakkında net bir anlayışa sahip olması gerekir.

  • Operasyonel riskler [operational risks]: Üçüncü taraf tedarikçilere temel malzemeler, bileşenler veya hizmetler için güvenilmesi nedeniyle operasyonel riskler ortaya çıkar. Üreticiler için bu, tedarik zincirlerinde zaaflar yaratabilir ve potansiyel olarak üretim gecikmelerine ve artan maliyetlere yol açabilir.
  • Siber güvenlik riskleri [cybersecurity risks]: Üçüncü taraflar, saldırı yüzeyini genişleterek  bir organizasyonun siber güvenlik risklerini artırır. Güvenlik açıkları, bir şirketi finansal cezalara, yasal sonuçlara ve itibar kaybına maruz bırakabilir.
  • Finansal riskler [financial risks]: UNFI’nin (United Natural Foods, Inc) perakende müşterilerinin keşfettiği gibi, üçüncü taraf bir sağlayıcının operasyonel başarısızlığı bir organizasyonun ürün veya hizmet sunma yeteneğini etkileyebilir ve bu da gelir kaybına ve müşteri memnuniyetsizliğine neden olabilir. Bu anlamda, üçüncü taraf risk yönetimi bir tür finansal risk yönetimidir.
  • Düzenleyici ve uyum riskleri [regulatory and compliance risks]: Üçüncü bir tarafın ilgili düzenlemelere veya sektör standartlarına uymaması, doğrudan dâhil olmasa bile şirketi yasal ve finansal cezalara maruz bırakabilir.
  • İtibar ve stratejik riskler [reputational and strategic risks]: Üçüncü bir tarafın olumsuz hadiseleri veya eylemleri bir işletmenin pazardaki imajına ve dolayısıyla finansal refahına zarar verebilir. Veri ihlali böyle bir olayın açık bir örneğidir.

Üçüncü taraf risk yönetimi yaşam döngüsü, ilk seçimden sözleşmenin feshedilmesine kadar tüm ilişki boyunca harici tedarikçiler, satıcılar ve hizmet sağlayıcılarla ilişkili riskleri belirlemek, değerlendirmek, azaltmak ve sürekli olarak izlemek için yapılandırılmış bir süreçtir.

Üçüncü taraf risk yönetimi, ilk tedarikçi seçiminden sözleşmenin feshedilmesine kadar risk gözetim işlevlerinin tüm yelpazesini kapsar. Çoğu kuruluş için üçüncü taraf risk yönetimi yaşam döngüsü beş “aşama”dan oluşur.

  • Aşama 1-Risk değerlendirmesi ve durum tespiti [risk assessment and due diligence]: Bu, potansiyel satıcıların ve diğer üçüncü taraf sağlayıcıların, onlarla etkileşime girmeden önce  kapsamlı bir şekilde incelenmesini, güvenlik uygulamalarının, operasyonel istikrarının ve yasal uyum geçmişlerinin değerlendirilmesini içerir.
  • Aşama 2-Sözleşme müzakeresi ve katılım [contract negotiation and onboarding]: Kuruluşlar, sözleşmelerde hizmet seviyesi anlaşmalarını, güvenlik gereksinimlerini ve acil durum planlarını açıkça tanımlamalıdır.
  • Aşama 3-Sürekli izleme ve yönetim [ongoing monitoring and management]: Üçüncü taraf ilişkileri boyunca izlenmesi gereken temel olaylar arasında düzenleyici değişiklikler, güvenlik açıkları ve satıcının risk profilini etkileyebilecek medya raporları yer alır.
  • Aşama 4-Olay yönetimi ve sorun çözümü [incident management and issue resolution]: Kuruluşlar, sözleşmesel veya güvenlik risklerini belirlemek ve ele almak için üçüncü taraf sağlayıcıların periyodik denetimlerini gerçekleştirmek zorundadır. Ayrıca, mevcut sağlayıcıların ihtiyaç duyulan ürünleri veya hizmetleri sağlayamaması durumunda yedek satıcıları belirleyerek olası kesintileri yönetmek için acil durum planları geliştirmelidirler.
  • Aşama 5-Sözleşmenin yenilenmesi veya feshi [contract renewal or termination]: Üçüncü taraf ilişkilerini sonlandırırken, kuruluşlar tüm paylaşılan varlıkların ve verilerin iade edilmesini veya elden çıkarılmasını sağlamak isteyecektir. Ayrıca, uyum amaçları için ayrılma sürecinin ayrıntılı kâğıt izlerini oluşturmaları gerekecektir.

Üçüncü taraf risk yönetimi yaşam döngüsünü kapsamlı bir şekilde yönetmek için birçok kuruluş, özellikle de küçük olanlar, bazı önemli zorluklarla karşı karşıya kalmaktadır:

  • Kaynak ve kapasite kısıtlamaları [resource and capacity constraints]: Personel zamanı ve diğer kaynaklar genellikle yetersizdir.
  • Daha önce çeşitli riskler altında tartışıldığı gibi, satıcı ilişkisi ve operasyonel sorunlar [vendor relationship and operational problems, as discussed earlier under the various risks]: Teknoloji ve veri yönetimi sorunları, özellikle bir kuruluşun özel bilgilerinin güvenliğini içerenler.
  • Dördüncü taraf tedarik zinciri riskleri [fourth-party supply chain risks]: Üçüncü tarafların genellikle kendi üçüncü taraf tedarikçileri vardır ve bu da kuruluşlar için ek riskler getirir.
  • Mevzuat ve uyum karmaşıklığı [regulatory and compliance complexity].

ABD genelindeki yüzlerce bakkal için UNFI uzun zamandır güvenilir bir tedarikçi olmuştur. Büyük ve küçük süpermarketler, siber saldırının etkileriyle başa çıkarken bile, tedarik kaynağı olarak toptancıya güvenmeye devam edecektir.

Açıkça, itibarlı bir üçüncü taraf bile risk getirebilir. Kuruluşların üçüncü taraf risk yönetimi yaşam döngüsü boyunca en iyi uygulamaları takip etmesi için daha da fazla sebep vardır:

  • Güçlü kurumsal yönetişim ve gözetim [strong governance and oversight]: Tedarikçileri işe almadan önce kapsamlı bir durum tespiti yapılmalıdır. Buna standartlaştırılmış risk değerlendirme çerçeveleri kullanmak da dâhildir.
  • Risk temelli stratejiler ve kategorilendirme [risk-based strategies and categorization]: Bazı üçüncü taraflar diğerlerinden daha önemlidir. Risk temelli bir yaklaşım, bir organizasyonun üçüncü taraf risk yönetimi kaynaklarının çoğunu daha yüksek riskli dış taraflara odaklar.
  • Düzenli yasal uyum yönetimi [regular compliance management]: Değişen düzenlemeler ve teknolojilerle birlikte, üçüncü tarafların iyi durumda olduğunu doğrulamak esastır.
  • Kapsamlı raporlama [comprehensive reporting]: Üçüncü taraf risk yönetimi ara sıra yapılan bir görev değil, devam eden bir süreçtir. Titiz dokümantasyon, programın yolda kalmasına yardımcı olur.
  • Mütemadi izleme [continuous monitoring]: Riskler sıklıkla gelişir ve üçüncü taraf risk yönetimi politikaları ve prosedürlerinin de onlarla birlikte gelişmesi gerekir. Kuruluşlar bu değişiklikleri ortaya çıkarmak ve ele almak için düzenli olarak üçüncü taraflarla etkileşime girmelidir.
  • Teknoloji ve otomasyondan yararlanma [leveraging technology and automation]: Dijital araçlar üçüncü taraf risk yönetimi görevlerini kolaylaştırabilir, böylece tutarlı, tekrarlanabilir ve ölçeklenebilir risk yönetimi protokollerinin oluşturulmasına yardımcı olabilir.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.