Herkese yeniden merhaba, bugün biraz da GRC süreçlerinde pratikle uygulama arasından yaşanabilen uyumsuzluğa değinmek istiyorum. İş hayatının koşturmacası içerisinde bazen regülasyonlara uyum süreçleri maalesef ki kağıt üzerinde kalabiliyor. Olgunlaşmamış, hakkıyla yapılmayan ve kağıt üzerinde formaliteden oluşturulmuş süreçler.. Kesinlikle temeli sağlam olmayan bu yaklaşım bir yerde elbette ki patlıyor ve dev cezalar, kurumsal itibarın yerle bir olmasıyla sonuçlanıyor. Bu senaryoyu elbette ki istemeyiz. Denetim günü geldi çattı. Ekip hızlıca eski kontrol listesini açtı, yanıtlar evet/hayır ile işaretlendi, hazırız denildi. Peki ya uygulamadaki eksiklikler? Üzerine düşülmeyen veri ihlalleri? Bu süreçleri gerçekten hakkıyla yapıyor muyuz? Yoksa checklist tuzağına düştük ve yalnızca kutu işaretlemekle mi yetiniyoruz? GRC bunun çok ötesinde bir alan arkadaşlar. İşlere bütüncül gözlüklerle bakmadığınız sürece asla sürdürülebilir bir uyum süreci yakalayamazsınız. Ne yazık ki, bazı organizasyonlarda GRC süreçleri yalnızca denetim zamanı hatırlanmakta. Oysaki düzenli kontroller, kök neden analizleri, iç tetkikler, eğitimler, üzerinde gerçekten durulan düzeltici faaliyetler, uygulanan bir kriz yönetimi, felaket kurtarma planları, ayrıcalıklı yetkilerin kontrolleri… Daha saymakla bitmeyecek onca kontrol. Bunlar A’dan Z’ye her çalışanın rutini haline gelmelidir. Kurum kültüründe bilgi güvenliği yaşatılmalıdır. GRC’nin ruhu nerede diye sorduğumuzda bunu kurumun her yerinde görmeliyiz. Bu da ilmek ilmek sürece dair farkındalığı oluşturmakta geçiyor. Yalnızca denetim zamanı değil düzenli aralıklarla kontrollerle geliyor. Şirket, yıllık risk raporunu başarıyla tamamlamış, her şey renkli grafiklerle gösterilmiş, risk skorları belirlenmiş. Ancak yönetim risklerden haberdar mı? Kaynaklar belirlenmiş mi? Riskler meydana gelirse nasıl aksiyon alırız testi için tatbikatlar gerçekleştirilmiş mi?
GRC’nin Ruhu Nerede?
GRC, sadece politika dosyaları, kutucuklar ve yıllık denetim toplantılarından ibaret değildir. Onun gerçek ruhu organizasyonun her hücresine işlemiş farkındalıkta, risk karşısında gösterilen reflekslerde yer almaktadır. Eğer GRC süreçleri sadece belgelerle sınırlıysa, o zaman yönetmiyoruz, sadece görünürde varız. Bir kuruluş, gerçek riskleri konuşmadıkça, samimi bir iç denetim kültürü geliştirmedikçe ve “evet” cevabının arkasında ne olduğunu sorgulamadıkça GRC sadece bir formalite olarak kalır. Asıl mesele listedeki kutucuk değil, o kutunun içinin gerçekten dolu olup olmadığıdır.
