Sahada GRC: İşe Yarayan ile Görünen Arasındaki Fark

Kurumsal ölçekteki şirketlerin büyük çoğunluğunda bir GRC yapısı vardır. Risk kayıtları tutulur, politikalar yazılır, denetimler sorunsuz geçer ama aynı kurum birkaç ay sonra temel bir açık yüzünden siber saldırıya uğrar, beklenmedik bir regülasyon değişikliğinde panikler ya da üst yönetime sunulan raporlarla gerçek operasyon arasındaki uçurumu ancak bir kriz anında fark eder.

Natica olarak yürüttüğümüz projelerde edindiğimiz saha deneyimlerine göre şu çelişki dikkat çekiyor: GRC'si "olan" ama GRC'si "çalışmayan" kurumlar. Bu iki durum arasındaki fark çoğu zaman dışarıdan fark edilmiyor, ta ki bir kriz gelene kadar.

GRC'nin var ama işlevsiz olduğunu anlamanın en hızlı yolu şudur: o yapı, günlük iş kararlarını etkiliyor mu?

Çoğu kurumda etkilemiyor. Politikalar mevcuttur ama ya kimse haberdar değildir ya da herkes bilir ve görmezden gelir. Dashboard'lar üretilir, renkler yeşile döner, denetim geçilir.

"Eğer GRC sadece üst yönetime sunulacak "kırmızı-yeşil paneller (dashboard)" üretmek için bir yapı olarak görülüyor ama bu veriler iş kararlarını etkilemiyorsa, o yapı sadece kağıt üzerinde var demektir.”

GRC'nin operasyonun içine değil yanına yerleştirilmesi yani reaktif bir yangın söndürme aracı olarak konumlandırılması, bu tablonun en temel nedenidir. İş birimleri de bu durumu besler. GRC süreçleri birimlere operasyonel hız kesen bir yük gibi göründüğünde uzak dururlar.

"İş birimleri, GRC'yi kendi hedeflerini destekleyen bir mekanizma değil, sadece denetimden geçmek için yapılan bir ayak bağı olarak gördüğünde mesafe koyarlar."

Süreçler otomatikleştirilmediğinde çalışanlar Excel tablolarıyla boğulur; yorgunluk, direnç, kopukluk kaçınılmaz hale gelir. Bu kopukluk denetim dönemlerinde görünmez  ancak operasyonun gerçek temposunda yüzeye çıkar.

“Eğer bir GRC yapısı sadece denetçiye "kanıt teslim etmek" üzerine kuruluysa ve sürekli izleme (continuous monitoring) mekanizması yoksa, ilk rüzgarda kırılmaya mahkum oluyor.”

Belirtiler farklı görünse de sahada tekrar eden üç temel neden var.

Birincisi, yapısal silolaşma: Her departman kendi sürecini, kendi aracını, kendi önceliğini korumaya çalıştığında GRC'ye parçalı bir yaklaşımla başlanır. Üst yönetim "kağıt üzerinde" destek verir ama toplantılarda fiilen yer almaz.

“Farklı birimlerin kendi süreçlerini, araçlarını ve önceliklerini korumaya çalışması, yönetişime parçalı bir yaklaşımla başlandığının ve projenin ileride "iletişim kanallarındaki kopukluklar" nedeniyle tıkanacağının habercisi oluyor.”

İki sinyal olan silolaşma ve sembolik üst yönetim desteği, bir arada göründüğünde projenin ilerleyemeyeceği neredeyse kesindir.

İkincisi, hesap verebilirlik boşluğu: Risk kayıtları doluyor ama çözümler gelmiyor ise bunun nedeni çoğunlukla teknik değil, organizasyonla ilgilidir.

“Riskler kaydedilir ancak bu risklerin iştah seviyesine indirilmesi için spesifik bir yöneticiye net bir atama yapılmamıştır.”

Risk iştahı belgelenmiştir ama operasyona inmemiştir. Hangi riskin ne zaman, kimin tarafından üstlenileceği netleşmediği sürece kayıtlar yalnızca kayıt olarak kalır.

Üçüncüsü, araç önce süreç sonra. Birçok kurum sağlam bir yönetişim çerçevesi oluşturmadan doğrudan otomasyon araçlarına yatırım yapar. Araç gelir, süreç sonra düşünülür. Ama araç, ancak altındaki süreç sağlamsa işe yarar.

"Önce sahiplik ve temel kontrol yapılarını oturtan, ardından otomasyona geçen kurumlar sürdürülebilir başarı sağlar."

Bu sıralama tersine döndüğünde teknoloji yatırımı boşa gider ve GRC yeniden kağıt üzerinde kalmaya devam eder.

Sahada işe yarayan yapılarda ortak bir özellik var: GRC, iş süreçlerinin yanında değil içinde durur. BT ile iş birimleri arasında şeffaflık vardır, kararlar güncel verilerle alınır ve sorumluluklar nettir.

"Başarılı bir yapıda, BT birimleri ile iş birimleri arasındaki şeffaflık artmış, riskler karşısında "kurumsal bir refleks" geliştirilmiştir.”

En somut gösterge şudur: GRC ekibi, yeni bir ürün veya tedarikçi seçilirken sürecin en başında masadadır. Karar alındıktan sonra değil, alınırken. Karmaşık regülasyonlar panik yaratmaz çünkü sistem zaten takip eder.

Uyumlu görünmek ile riski gerçekten azaltmak arasındaki fark da tam burada netleşir. "Uyumlu görünen" kurumlar denetimlerde sorunsuz geçer ama günlük operasyonlarında temel kontrolleri ihmal ettikleri için kırılgandır.

"Gerçek risk azaltma, GRC'nin sadece "check-list" tamamlamak değil, risk iştahına göre kaynakların (para ve personel) en doğru yere (örneğin MDR mı yoksa DLP mi?) yönlendirilmesini sağlamaktır.”

Kaynaklar nereye yönlendiriliyor? Bu karar kurumun risk iştahına mı dayanıyor, yoksa denetçinin beklentisine mi? Bu sorunun cevabı, GRC'nin gerçekten çalışıp çalışmadığını gösterir.

GRC'nin gerçekten işe yaradığını anlamanın en net göstergesi, onun bir maliyet merkezinden stratejik bir iş ortağına dönüşmesidir. Riskler beklenmedik sürprizler olmaktan çıkar, yönetilen değişkenler haline gelir.

“Yeni bir ürün veya vendor seçilirken GRC ekibinin sürecin en başında dahil  edilmesi ve risk odaklı kararların yatırım getirisine yansıması somut bir başarı göstergesidir."

Natica olarak bu dönüşümün önkoşulları olan bozuk süreçleri otomasyondan önce iyileştirerek, hesap verebilirliği tesis ederek ve üst yönetimin desteğini projenin merkezine alarak kurumların bu yolculukta doğru adımları atmasına destek oluyoruz. GRC'nin yalnızca teknolojik bir dönüşüm değil, kurumsal bir kültür değişimi olduğuna inanıyor ve projelerimizi bu anlayışla yürütüyoruz.