Modern İşletmede Risk ve Uyum Programlarını Bir Sonraki Seviyeye Taşımak (GRC)
Yayınlanma Tarihi
Ağustos 16, 2022
Paylaş
Giriş
Risk evreni büyüyor ve kuruluşların yönetmesi için giderek daha karmaşık hale geliyor. Organizasyonun içinden gelen tehditler, üçüncü taraf riskinin yanı sıra çevresel, sosyal ve yönetişim (ESG) gibi yeni risk alanlarıyla birleştirilmektedir. Bu büyüyen risk ortamını karmaşıklaştıran, hızla değişen bir düzenleyici ortam, sürekli veri alımına duyulan ihtiyaç ve kurumsal performansı doğrulama gereksinimleridir. Günümüzde risk yönetimine modern bir yaklaşım, riskin sadece savunma açısından etkili bir şekilde yönetilmesini değil, aynı zamanda stratejik girişimlerin başarısının artma olasılığına dayanarak riski rekabet avantajı olarak kullanma yeteneğini de kapsamaktadır. Bununla birlikte, bu risk yönetimi seviyesine ulaşmak için örgütsel yetenek büyük ölçüde değişmektedir. Kuruluşların riski ele alma yeteneğindeki önemli bir farklılaştırıcı, gelişmiş özellikler sunan Yönetişim Risk ve Uyumluluk (İng. GRC – Governance Risk and Compliance) Platformlarının benimsenmesidir. IDC, şirketleri, GRC’nin erken aşamadaki benimsenmesindekilerden, liderlere veya GRC’yi kuruluş genelinde derinlemesine entegre etmiş olanlara kadar GRC uygulama yolundaki ilerlemelerine göre sınıflandırır. Olgun GRC şirketlerinin riski nasıl ele aldıklarını ve başarılı risk yönetimini mümkün kılan araç ve yeteneklere nasıl uyum sağladığını araştırmak ve bunu altın standart olarak belirlemek, bu şirketlere yolculuğun başlarında rehberlik sağlar.
GRC Olgunluğuna Giden Yol
GRC Olgunluğunun Tanımlanması
Olgun bir GRC şirketinin ayırt edici özelliği nedir? GRC olgunluğu, şirketlerin risk yönetimine temel olarak nasıl yaklaştığının bir fonksiyonudur. Riskler, kriz müdahalesi tarafından yönlendirilen geçici bir şekilde ele alınıyor mu, yoksa risk yönetimi daha büyük organizasyon stratejilerini desteklemek için proaktif olarak tasarlanıyor mu? Olgun GRC kuruluşları aşağıdaki özelliklere sahiptir:
GRC ile yüksek düzeyde C-düzeyi ve üst düzey yönetim katılımı
Kantitatif, strateji ve performans yönetimi ile uyumlu risk yönetimi
Kuralcı ve öngörücü risk yönetimi
İlk savunma hattı ve kilit tedarikçilere ve satıcılara yönelik hizmetler de dahil olmak üzere dağıtılmış operasyon genelinde geniş katılım
GRC Davranışları: Olgunluk, GRC Yeteneklerinin Algılanmasını ve Benimsenmesini Etkiler
ir kuruluştaki GRC olgunluğu, hem kuruluşun riski kavramsal olarak nasıl önceliklendirdiği hem de taktiksel olarak riski nasıl yönettiği ile belirlenir. Kavramsallaştırma temel olarak uygulamayı tanımlar. Yüksek düzeyde C-düzeyi yönetim katılımına sahip organizasyonlar, riski örgütsel stratejiyle yakından uyumlu hale getirmiş ve risk yönetimine kuralcı bir yaklaşıma sahiptir ve bu girişimleri desteklemek için GRC’ye özgü araçlara sahip olma olasılıkları çok daha yüksektir.
GRC konusunda geriden takip edenler, genellikle risk ve uyumluluğu izlemek için Excel veya veri görselleştirme yazılımına güvenirken, liderler ortaya çıkan risk ve uyumluluk sorunlarını etkili bir şekilde yönetmek ve bunlara yanıt vermek için gerekli olan belirli GRC yönetim platformlarına yatırım yapmışlartır. IDC araştırması, GRC liderlerinin, daha yüksek yatırım seviyeleri ve hızlanan harcama büyümesi tarafından yönlendirilen genişleyen bir GRC programı ile karakterize olduğunu göstermektedir. Riskin statik olmaması gibi, olgun GRC kuruluşları da risk yönetimine statik bir yaklaşım benimsemez. Bu kuruluşlar risk yönetimini sürekli genişleyen bir çaba olarak görmektedir ve bu nedenle sadece mevcut yeteneklere gecikmelerden daha fazla yatırım yapmakla kalmayıp, aynı zamanda gelişmiş GRC yönetim teknolojilerine yatırım yapmaya devam edeceklerdir (bkz. Şekil 1).
ŞEKİL 1: GRC Harcamalarında Liderlerin ve Geriden Takip Edenlerin Karşılaştırılması
Daha Olgun Kuruluşlar, GRC Yetenekleri Bakımından Daha Fazla Benimseme ve İhtiyaç Algısına Sahiptir
Liderlerin GRC’ye yaptıkları yatırımın bir bileşeni, gelişmiş yeteneklerin uygulanması içindir. Bu kurumların doğasına uygun olarak, liderler bu araçların kullanımını desteklemeye çok daha meyillidir (bkz. Şekil 2). Bir IDC anketinde, katılımcılara GRC yeteneklerine yönelik algılanan ihtiyaçları ve uygulama durumları soruldu. Ankete göre, GRC liderleri, geriden takip edenlere göre, otomasyon ve istihbarat özelliklerini önemli olarak derecelendirmede çok ilerideler.
Risk yönetiminde değer algılayan ve GRC platformlarına yatırım yapan olgun kuruluşlar, gelişmiş özelliklerin uygulanması yoluyla bu araçları en üst düzeye çıkarmanın değerini de algılarlar. Diğer birçok teknoloji gibi, GRC ile verileri entegre eden ve süreçleri otomatikleştiren araçlardan yararlanarak, kuruluşlar risk ve uyumluluk programlarını bir sonraki seviyeye taşıyabilirler. GRC liderleri, GRC platformlarının yeteneklerini en üst düzeye çıkarmanın önemini anlarlar.
ŞEKİL 2: Gelişmiş GRC Yetenek Öncelikleri
Faydaları
Liderler ve sonradan takip edenler arasındaki ayırım, gelişmiş GRC yeteneklerini içeren amaca özel GRC platformlarının kullanımıdır. Olgun GRC kuruluşlarının yatırım yaptığı özel yetenekler nelerdir? Her şeyden önce, kuruluşlar emek yoğun süreçleri boşaltan yetenekler arıyor:
Ön cephe arayüzü, panolar ve raporlama özellikleri dahil olmak üzere gelişmiş kullanılabilirlik. Veri toplamayı ve yakalamayı basitleştiren çekici bir kullanıcı deneyimini desteklemek, bir kuruluşun risk yönetiminin kalitesi üzerinde önemli bir etkiye sahip olabilir. Kritik risk verileri olay sırasında yakalanırsa, bir şirket risk profilini daha iyi değerlendirebilir ve potansiyel tehditleri azaltabilir. Risk verilerinin daha eksiksiz bir şekilde yakalanmasını desteklemek, yakalanan bilgileri etkili bir şekilde işleme yeteneğidir. Kullanılabilirlik aynı zamanda kuruluşun risk duruşunu hızlı bir şekilde görselleştirme ve raporlama gücüne de hitap eder. Kapsamlı gösterge tabloları, kuruluşların mevcut ve gelişmekte olan risk alanlarını belirlemelerine ve bilgileri düzenlemelerine olanak tanır. Bu yapı, risk ölçümlerini önceden yapılandırılmış rapor şablonlarına otomatik olarak doldurarak, planlı ve geçici raporlama gereksinimlerini çok daha az emek yoğun hale getirerek kolaylaştırılmış raporlama sağlar.
Manuel görevleri kaldırmak, tutarlılığı artırmak ve hataları azaltmak için otomasyon: Manuel olarak yönlendirilen risk ve uyumluluk izleme, önemli bir kaynak tüketimidir ve hatalara ve verimsizliklere eğilimlidir. Olgun GRC kuruluşları veri toplar ve risk değerlendirmelerini sürekli olmasa da günlük olarak yürütür. AI/chatbot desteği ve iş akışı yetenekleri dahil olmak üzere otomasyon özelliklerinin dahil edilmesi, bu bilgi alımını etkili bir şekilde yönetmek için kritik öneme sahiptir. Otomasyon özellikleri ayrıca koleksiyonun tutarlılığını artırır ve hata örneğini azaltır.
Doğru verileri tek bir konumda birleştirmek için API/sistem entegrasyonu: Bir diğer kritik gelişmiş GRC yeteneği, verimlilik ve etkinlik ihtiyacından kaynaklanan entegrasyondur. Olgun GRC kuruluşları, mevcut kurumsal uygulamalar ve sistemlerle entegrasyon sağlayan çözümler aramaktadır. API entegrasyonları, GRC platformlarının mevcut uygulamalardan bilgi kaynağı oluşturmasına ve verileri tek bir merkezi depoda depolamasına olanak tanır. Bu, veri alımı sürecini basitleştirir ve bilgilerin kuruluş genelinde paylaşılmasını sağlar. Ayrıca, BT/güvenlik sistemleriyle entegrasyon, doğru varlık, uyumluluk ve risk verilerinin yakalanmasını destekler.
Düzeltilecek risk önceliklerinin belirlenmesi için risk ölçümü: Risk nicelemesi giderek önem kazanmaktadır, çünkü hem risk ortamı, hem de risk çeşitliliği artmaktadır. Birçok GRC platformu riski yeşil / sarı / kırmızı bir matriste sıralarken, kuruluşlar risk sıralamasında daha fazla özgüllük aramaktadır. Kuruluşlar, genel risk sıralamalarına dayanarak bilinçli risk kararları almak için mücadele etmekte ve belirli risklere parasal bir ölçüm değeri verebilmek gibi bir rehberlik aramaktadırlar. Maliyetleri riske bağlayarak, şirketler risk düzeltme çabalarına daha iyi öncelik verebilir ve verileri eyleme dönüştürebilir. Ortaya çıkmaya başlayan diğer risk ölçme yöntemleri arasında Monte Carlo ve papyon simülasyonları bulunmaktadır, ancak bu metodolojilerin benimsenmesi şu anda olgun GRC kuruluşları arasında bile nispeten düşük kalmaktadır. Bununla birlikte, kuruluşlar risk ölçümü yeteneklerini yükseltmeye yatırım yapmaktadır. Matris nicelemesi, geçmiş yıllarda risk analizi için fiili standart olsa da, daha gelişmiş risk niceleme metodolojilerine büyük bir kayma olacaktır. IDC, kuruluşların önümüzdeki bir ila üç yıl içinde risk ölçme yeteneklerini geliştireceklerini öngörüyor. Başlangıçta, şirketler matris tabanlı analizi, parasal etki metodolojisiyle değiştirecekler. Parasal etki risk analizi, çeşitli risklerin potansiyel maliyeti hakkında net bir tanımlama sağlar ve risk önceliklendirme ve iyileştirme yatırımı etrafında C-seviyesi ve yönetim kurulu tartışmalarını yönlendirmeye yardımcı olur. Monte Carlo ve “bow-tie” analiz araçları, organizasyon olgunluğu geliştikçe birkaç yıl içinde parasal etki analizinin yerini alması muhtemel en gelişmiş niceleme durumunu temsil etmektedir (bakınız Tablo 1).
TABLO 1: Risk Ölçümü Olgunluğunun Evrimi (Yanıtlayanların yüzdesi) Soru: Kuruluşunuz bugün öncelikle riski nasıl ölçüyor? Gelecek yıl? Önümüzdeki üç yıl içinde?
Zorluklar
Yakın tarihli bir IDC anketine göre, ABD kuruluşlarının %34’ü elektronik tablolar veya proje yönetimi yazılımları gibi GRC’ye özgü olmayan yazılımları kullanmaya devam etmektedir (kaynak: IDC’nin Yönetişim, Risk ve Uyumluluk (GRC) Olgunluk Puanı Anketi, Kasım 2021, n= 206). GRC pazarındaki büyüme, hem finansman kısıtlamaları hem de risk ve uyum yönetimini çevreleyen yanlış algılar nedeniyle zorlanmaktadır. İçerik iş akışlarının dönüşümüne yapılan yatırım, bu kuruluşlardaki diğer iş öncelikleriyle rekabet ediyor olabilir, ancak risk ve uyumluluk yönetimi çözümleri kesinlikle bir kuruluşun güven algısına katkıda bulunacaktır. Bununla birlikte, bir kuruluş olarak güveni korumanın önemini ve GRC yazılım çözümlerinin bu güveni sağlamadaki rolünü anlamak bir zorluktur. Çok ilkel uygulamalara sahip birçok kuruluş, kendilerini risk yönetiminde yenilikçi olarak görüyor ve GRC olgunluğunun gerçekte nasıl göründüğü konusunda piyasayı daha fazla bilgilendirme ihtiyacını vurguluyor.
Gelişmiş GRC yeteneklerini uygulayan kuruluşlar, azalan risk oranı ve birden fazla metrikte gelişmiş rekabet yetenekleri aracılığıyla yatırımlarından yararlanmaktadır.
Sonuç
Gelişmiş GRC yeteneklerini uygulayan kuruluşlar, azalan risk oranı ve birden fazla metrikte gelişmiş rekabet yetenekleri aracılığıyla yatırımlarından yararlanmaktadır. IDC, pazarın gelişmiş otomasyon ve zeka özelliklerini içeren sağlam GRC platformlarına giderek daha fazla ihtiyaç duyacağına inanıyor. Uygun çözümler seçildiğinde bu modern yetenekleri sağlama yeteneği göz önüne alındığında, şirketler başarı için önemli bir fırsata sahipler.