Sigortacılıkta veri yönetişimi giderek önem kazanıyor

 Sigortacılıkta veri yönetişimi giderek önem kazanıyor

PwC Bilgi Teknolojileri Yönetişim Hizmetleri Lideri Mehmet Önal, sigortacılıkta risk yönetimi ve aktüerya bakış açısıyla veri yönetişimi ihtiyacının giderek önem kazandığını ifade etti. Mehmet Önal, Basel IV ve Solvency II çerçeveleri ile UFRS düzenlemeleri ışığında COBIT çerçevesine uygun veri yönetişimi yaklaşımını ele aldığı makalesini Sigortacı Gazetesi ile paylaştı:

“Gerek dünyadaki gerekse Türkiye’deki mevzuata, uygulamalara ve yol haritalarına baktığımızda, Basel IV ve Solvency II çerçeveleri ile yeni UFRS düzenlemelerinin (özellikle UFRS 9 ve UFRS 17), risk yönetimi ve aktüerya bakış açısıyla ve veri boyutuyla, güncel tartışma alanlarından biri olduğu görülmektedir. Bu çerçeve ve düzenlemelerin veri odaklı olduğu ve doğru bir şekilde uygulanabilmesinin veri kalitesine bağlı olduğu düşünüldüğünde, veri yönetişiminin önemi ortaya çıkmaktadır.

Risk Yönetimi ve aktüerya fonksiyonlarının Basel IV ve Solvency II çerçeveleri ile UFRS düzenlemeleri kapsamındaki sorumluluklarına ve aktüerler ile risk yöneticilerinin genel görev tanımlarına bakıldığında, yapılan tüm hesaplama, modelleme ve raporlamalar için kullanılan verinin kalitesinin bu çıktılar için oldukça önemli ve kritik olduğu görülmektedir. Hesaplamalar, modellemeler ve raporlamalar için kullanılan veri, istisnasız tüm kurumlarda bilgi sistemleri üzerinde yer aldığından, veri kalitesini sağlama sorumluluğu başta veri sahibi olmak üzere veriyi saklayan taraf olarak bilgi teknolojileri fonksiyonunun da görevi haline gelmektedir.

Risk yöneticileri ve aktüerler, iş fonksiyonları tarafından üretilen veriyi kullanan ve bu veriden yeni veriler üreten taraflar olarak, dolaylı olarak da olsa verinin kalitesine ilişkin değerlendirmeleri ve sorgulamaları yapmaktan sorumludur. Benzer şekilde, veriyi oluşturduğu, modellediği ve raporladığı noktada ise sorumlulukları veri sahibi olarak da devam etmektedir.

Sigorta sektöründe, verinin; ürün yönetimi, prim üretimi, hasar, muhasebe ve hatta hukuk gibi farklı amaçlarla kullanılan bilgi sistemlerinin (uygulamalar, veri tabanları, veri ambarları, dosya sunucularında tutulan “spead-sheet”ortamları vb.) ve süreçlerin içinde dağınık bir şekilde oluşturulduğu, işlendiği, tutulduğu, raporlandığı ve arşivlendiği düşünüldüğünde, kurumsal seviyede yapılacak bir veri yönetişimi, risk yönetimi ve aktüerya bakış açısıyla oldukça önemli hale gelmektedir. Bahsi geçen verinin, kurum içinde üretilen veya kurum dışından alınan verileri kapsadığı ve sigortacılık özelinde baktığımızda kurum dışı paydaşların sektörel ve ekonomik veri sağlayıcılarla birlikte acente, asistan şirket ve avukat gibi farklı paydaşları da içerdiği düşünüldüğünde, veri yönetişimini sağlama ihtiyacı daha da artmaktadır.

Konuyu risk yönetimi bakış açısıyla ele aldığımızda, bu beklentinin sadece sigorta sektörü için değil, UFRS düzenlemelerinden etkilenen başta bankacılık sektörü olmak üzere diğer tüm sektörler için de geçerli olduğu açıktır. Özellikle uzman/kaynak sistemler ile muhasebe/raporlama sistemleri ve tüm bu sistemlerin etrafında konumlu veri yönetimine ve raporlamasına yönelik sistemler ile bu sistemlerin düzgün bir şekilde çalışmasını sağlayan entegrasyonlar ve ara yüzlerden oluşan karmaşık bilgi sistemleri yapıları, veri yönetişimi ihtiyacını daha da artırmaktadır.

BÜTÜNSEL BİR YÖNETİM SİSTEMİ

Veri yönetişimi, verinin kurum içindeki yolculuğunu, bu yolculuk sırasındaki sorumlulukları, akışları ve veriye ilişkin tüm riskleri ve aksiyonları tanımlayan, koordine eden ve yöneten bütünsel bir yönetim sistemidir. Böylece, farklı kaynaklardaki verilerin kurumun ihtiyaçları doğrultusunda kurum seviyesinde, bütünsel ve koordineli bir yaklaşımla yönetilmesi mümkün kılınmaktadır.

Bu bağlamda, Basel IV ve Solvency II çerçeveleri ile UFRS düzenlemeleri tarafından öngörülen yükümlülükleri yerine getirebilmek amacıyla farklı seviyelerde tutulması, işlenmesi ve raporlanması gereken verilerin, sadece bu çerçeve ve düzenlemelere uyum maksadıyla ayrı bir şekilde yönetilmesi değil, kurumun veriye yönelik tüm iş ve teknoloji ihtiyaçlarını karşılayacak şekilde sağlam bir veri yönetişimi yapısı oluşturulması gerekmektedir.

Veri yönetişimi konusunda kurumlara yol gösteren önemli çerçevelerden biri, tüm bilgi teknolojilerinin kurumsal seviyede değer yaratacak şekilde yönetilmesini amaçlayan COBIT 5 Kurumsal Bilgi Teknolojileri Yönetişimi çerçevesidir.

COBIT 5 çerçevesi, bilgi teknolojilerine ilişkin süreçlerin ve yapıların, kurumsal seviyede iyi uygulamalara göre ne şekilde kurgulanması gerektiğine dair yol göstermektedir. Veri yönetişimi de bu süreçler ve yapılar dahilinde kurumun geneline yaygın bir şekilde ele alınmaktadır. COBIT 4.1 çerçevesi, veri yönetişimini tüm kuruma yaygınlaştırma amacıyla veriye ilişkin bilginin 7 kriterini ortaya koymuştur: etkinlik, verimlilik, gizlilik, bütünlük, erişilebilirlik, uyumluluk, güvenilirlik. Bu kriterler COBIT 5 çerçevesinde de bilgi ile ilgili hedefler arasında yerini almıştır.

Bu kriterler bütünü, verinin kurum içinde kaliteli bir şekilde yönetilmesi ve öncelikli olarak iş süreçlerine ve nihai olarak kuruma değer katması için belirlenmiştir. Veri, kurum içinde tüm iş ve bilgi teknolojileri fonksiyonları açısından önemli bir kaynak (hem girdi, hem sürecin bir parçası hem de çıktı) olarak görüldüğünden, COBIT 5 çerçevesi dahilinde tanımlanan bilgi teknolojileri süreçleri ve yapıları bu bakış açısıyla kurgulanmıştır.

COBIT 5 çerçevesine bakıldığında, veri yönetişimi açısından aşağıdaki süreçler ve faaliyetler örnek olması açısından öne çıkmaktadır:

  • APO01 BT Yönetim Çerçevesini Yönet – APO01 Bilgi (Veri) ve Sistem Sahipliklerini Tanımla: Bilgi (veri) ve bilgi sistemleri sahipliklerini tanımla. Sahiplerin, bilgi ve sistemlerin sınıflandırılması ve bu sınıflandırmaya uygun olarak korunmasına dair kararları verdiğinden emin ol.
  • APO03 Kurum Mimarisini Yönet: Kurum ve BT stratejilerini etkili ve verimli şekilde gerçekleştirmek amacıyla iş süreci, bilgi, veri, uygulama ve teknoloji mimari katmanlarını içeren bir ortak mimariyi oluştur.
  • APO13 Güvenliği Yönet: Bilgi güvenliğini yönetmek için bir sistemi tanımla, çalıştır ve izle.
  • BAI02 Gereksinim Tanımını Yönet: Kurum stratejik gereksinimleriyle uyumlu olmalarını sağlamak amacıyla tedarik edilmelerinden veya oluşturulmalarından önce, iş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetleri kapsayan çözümleri belirle ve gereksinimleri analiz et.
  • BAI03 Çözüm Belirleme ve Oluşturmayı Yönet: İş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetlere ait konfigürasyon, test hazırlığı, test yapılması, gereksinimlerin idare ve bakımını yönet.
  • BAI07 Değişiklik Kabul ve Dönüşümü Yönet: Uygulama planı, sistem ve veri dönüşümü, kabul testi, iletişim, sürüm hazırlığı, yeni veya değiştirilmiş iş süreçleri ve BT hizmetlerinin üretimine geçişi, erken üretim desteği ve uygulama sonrası gözden geçirme dahil olmak üzere yeni operasyonel çözümleri resmi olarak kabul et ve yap.
  • DSS01 Operasyonu Yönet – DSS01 Operasyonal Prosedürleri Gerçekleştir – Aktivite 3: İşlenmesi beklenen tüm verilerin alındığını ve tam, doğru şekilde ve zamanında işlendiğini doğrula.
  • DSS04 Sürekliliği Yönet – DSS04.03 İş Sürekliliği Yöntemi Geliştir ve Uygula – Aktivite 4: Bilgi bütünlüğünü korumak amacıyla bilgi veri tabanlarının güncellenmesi ve hizalanması dahil olmak üzere, iş süreçlerinin devam ettirilmesini sağlayacak koşulları ve geri kazanım prosedürlerini tanımla.
  • DSS04 Sürekliliği Yönet – DSS04.07 Yedekleme Düzenlemelerini Yönet: İş kritik bilginin erişilebilirliğini sağla.
  • DSS05 Güvenlik Hizmetlerini Yönet: Güvenlik politikasına uygun olarak kurum tarafından kabul edilebilir bilgi güvenliği riski seviyesini sürdürmek amacıyla kurum bilgilerini koru.
  • DSS06 İş Süreç Kontrollerini Yönet – DSS06.02 Bilginin İşletilmesini Kontrol Et: Bilgi işlenmesini kontrol et. Bilgi işlemenin geçerli, tam, doğru, zamanında ve güvenli (örneğin, yasalara uygun ve yetkilendirilmiş iş kullanımını yansıtan) olduğundan emin olmak amacıyla kurum riski bazında iş süreç faaliyetleri ve ilgili kontrollerin uygulanmasını yönet.

COBIT 5 çerçevesinde bahsi geçen tüm bu süreçler ve faaliyetler değerlendirildiğinde, iş süreçlerine ve nihai olarak kuruma değer katacak bir bilgi teknolojileri fonksiyonunun planlanmasından tedarik edilmesine, kurulmasından işletilmesine ve idamesinden izlenmesine kadar her aşamasında, veri kalitesinin kritikliği ve veriye verilmesi gereken önem görülmektedir. Böylece, veri kalitesinin sağlanması amacıyla bilgi teknolojileri dünyasında neler yapılması gerektiğine dair önemli adımlar ortaya çıkmaktadır.

KURUMA VE İŞ SÜREÇLERİNE DEĞER KATIYOR

Verinin COBIT 5 çerçevesi tarafından tanımlanan veri kriterleri doğrultusunda yönetilmesi sayesinde, finansal raporlamanın ötesinde, risk yönetimi veya aktüerya bakış açısıyla yapılan hesaplamalara ve raporlamalara hizmet edecek bir yapının oluşturulması sağlanacaktır. Bunun yanı sıra, iş süreçlerine ve kuruma değer katacak ve farklı amaçlarla yapılacak analitik çalışmaları kurumsal seviyede destekleyecek bir veri yönetişimi yapısı kurmak mümkün olacaktır.

Etkin bir veri yönetişimi oluşturulduktan sonra, verinin güvenliğine ve sürekliliğine ilişkin ISO27001 bilgi güvenliği yönetim sistemi (BGYS) ve ISO22301 iş sürekliliği yönetim sistemi (İSYS) gibi yapıların kurumun ihtiyaçlarını karşılayacak şekilde kurulması da olanaklı hale gelecektir. Özellikle Sermaye Piyasası Kurulu (SPK) tarafından yayınlanan Bilgi Sistemleri Yönetimi ve Bağımsız Denetimi Tebliğleri, bahsi geçen standartlara ilişkin sertifikasyon seviyesinde bir uyum zorunluluğu getirmese de bu konulardaki ihtiyaçları ve beklentiyi açıkça ortaya koymaktadır.

Operasyonel gereksinimler ve raporlama yükümlülükleriyle birlikte, Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nde Genel Veri Korunması Düzenlemesi (GDPR) gibi veri korunması konusundaki güncel mevzuatın da veri yönetişimi konusunda atılacak adımları hem ihtiyaç haline dönüştürdüğü hem de hızlandıracağı ve yönlendireceği unutulmamalıdır.

COBIT 5 ÇERÇEVESİ YOL GÖSTERİCİ KONUMUNDA

Sonuç olarak, risk yönetimi ve aktüerya bakış açısıyla veri yönetişiminin önemi giderek artmakta ve kurumların bu konuda mevzuatı ve diğer düzenlemeleri dikkate alarak bir yaklaşım geliştirme ihtiyacı kendini göstermektedir. Bu bağlamda COBIT 5 çerçevesi kurumlara yol gösterecek bir veri yönetişimi yapısı sunmaktadır.

Bu bağlamda, Basel IV ve Solvency II çerçeveleri ile UFRS düzenlemelerinde belirtilen direkt veya dolaylı gereksinimleri karşılayacak şekilde, COBIT 5 çerçevesine uygun ve tüm paydaşları kapsayacak şekilde bir veri yönetişimi yapısının kurulması, veri sahipliklerinin, sorumluluklarını ve kriterlerinin belirlenmesi ve mevcut verinin de bu yaklaşımla yeniden ele alınması önerilmektedir. Bu esnada, diğer mevzuat ve kurum hedefleri de dikkate alınarak kurumsal seviyede uyum sağlanmalıdır.”

COBIT 5

Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) – Şirket hedefleriyle ve iş ihtiyaçlarıyla uyumlu bilgi ve teknoloji yapıları ve süreçleri kurmayı, işletmeyi ve yönetmeyi amaçlayan prensipler, uygulamalar ve modeller bütünüdür.

BASEL IV

Basel Bankacılık Denetim Komitesi (BCBS) – Bankaların risk ağırlıklı aktif ölçüm metodolojilerini ve sermaye yeterlilik hesaplamalarını tarifleyen düzenleyici çerçevedir.

SOLVENCY II

Avrupa Sigortacılık ve Emeklilik Fonları Yönetimi (EIOPA) – Sigorta şirketlerinin yüklendikleri riskleri ve yaptıkları işlerin doğasından kaynaklanan riskleri yönetebilmek için ayırmaları gereken sermaye tutarına ilişkin yöntemleri tarifleyen düzenleyici çerçevedir.

UFRS 9

Uluslararası Finansal Raporlama Standartları (IFRS) – Finansal araçlar, finansal varlık ve yükümlülüklerin nasıl sınıflandırılacağına, ölçüleceğine, bilanço dışına alınacağına ve riskten korunma muhasebesine rehberlik eden bir finansal raporlama standardıdır.

UFRS 17

Uluslararası Finansal Raporlama Standartları (IFRS) – Tanzim edilen sigorta ve reasürans sözleşmelerinin muhasebesine rehberlik eden bir finansal raporlama standardıdır.

İlginizi Çekebilir

Leave a Reply