Risk evreni büyüyor ve kuruluşların yönetmesi için giderek daha karmaşık hale geliyor. Organizasyonun içinden gelen tehditler, üçüncü taraf riskinin yanı sıra çevresel, sosyal ve yönetişim (ESG) gibi yeni risk alanlarıyla birleştirilmektedir. Bu büyüyen risk ortamını karmaşıklaştıran, hızla değişen bir düzenleyici ortam, sürekli veri alımına duyulan ihtiyaç ve kurumsal performansı doğrulama gereksinimleridir. Günümüzde risk yönetimine modern bir yaklaşım, riskin sadece savunma açısından etkili bir şekilde yönetilmesini değil, aynı zamanda stratejik girişimlerin başarısının artma olasılığına dayanarak riski rekabet avantajı olarak kullanma yeteneğini de kapsamaktadır. Bununla birlikte, bu risk yönetimi seviyesine ulaşmak için örgütsel yetenek büyük ölçüde değişmektedir. Kuruluşların riski ele alma yeteneğindeki önemli bir farklılaştırıcı, gelişmiş özellikler sunan Yönetişim Risk ve Uyumluluk (İng. GRC – Governance Risk and Compliance) Platformlarının benimsenmesidir. IDC, şirketleri, GRC’nin erken aşamadaki benimsenmesindekilerden, liderlere veya GRC’yi kuruluş genelinde derinlemesine entegre etmiş olanlara kadar GRC uygulama yolundaki ilerlemelerine göre sınıflandırır. Olgun GRC şirketlerinin riski nasıl ele aldıklarını ve başarılı risk yönetimini mümkün kılan araç ve yeteneklere nasıl uyum sağladığını araştırmak ve bunu altın standart olarak belirlemek, bu şirketlere yolculuğun başlarında rehberlik sağlar.
Olgun bir GRC şirketinin ayırt edici özelliği nedir? GRC olgunluğu, şirketlerin risk yönetimine temel olarak nasıl yaklaştığının bir fonksiyonudur. Riskler, kriz müdahalesi tarafından yönlendirilen geçici bir şekilde ele alınıyor mu, yoksa risk yönetimi daha büyük organizasyon stratejilerini desteklemek için proaktif olarak tasarlanıyor mu? Olgun GRC kuruluşları aşağıdaki özelliklere sahiptir:
ir kuruluştaki GRC olgunluğu, hem kuruluşun riski kavramsal olarak nasıl önceliklendirdiği hem de taktiksel olarak riski nasıl yönettiği ile belirlenir. Kavramsallaştırma temel olarak uygulamayı tanımlar. Yüksek düzeyde C-düzeyi yönetim katılımına sahip organizasyonlar, riski örgütsel stratejiyle yakından uyumlu hale getirmiş ve risk yönetimine kuralcı bir yaklaşıma sahiptir ve bu girişimleri desteklemek için GRC’ye özgü araçlara sahip olma olasılıkları çok daha yüksektir.
GRC konusunda geriden takip edenler, genellikle risk ve uyumluluğu izlemek için Excel veya veri görselleştirme yazılımına güvenirken, liderler ortaya çıkan risk ve uyumluluk sorunlarını etkili bir şekilde yönetmek ve bunlara yanıt vermek için gerekli olan belirli GRC yönetim platformlarına yatırım yapmışlartır. IDC araştırması, GRC liderlerinin, daha yüksek yatırım seviyeleri ve hızlanan harcama büyümesi tarafından yönlendirilen genişleyen bir GRC programı ile karakterize olduğunu göstermektedir. Riskin statik olmaması gibi, olgun GRC kuruluşları da risk yönetimine statik bir yaklaşım benimsemez. Bu kuruluşlar risk yönetimini sürekli genişleyen bir çaba olarak görmektedir ve bu nedenle sadece mevcut yeteneklere gecikmelerden daha fazla yatırım yapmakla kalmayıp, aynı zamanda gelişmiş GRC yönetim teknolojilerine yatırım yapmaya devam edeceklerdir (bkz. Şekil 1).
ŞEKİL 1: GRC Harcamalarında Liderlerin ve Geriden Takip Edenlerin Karşılaştırılması
Liderlerin GRC’ye yaptıkları yatırımın bir bileşeni, gelişmiş yeteneklerin uygulanması içindir. Bu kurumların doğasına uygun olarak, liderler bu araçların kullanımını desteklemeye çok daha meyillidir (bkz. Şekil 2). Bir IDC anketinde, katılımcılara GRC yeteneklerine yönelik algılanan ihtiyaçları ve uygulama durumları soruldu. Ankete göre, GRC liderleri, geriden takip edenlere göre, otomasyon ve istihbarat özelliklerini önemli olarak derecelendirmede çok ilerideler.
Risk yönetiminde değer algılayan ve GRC platformlarına yatırım yapan olgun kuruluşlar, gelişmiş özelliklerin uygulanması yoluyla bu araçları en üst düzeye çıkarmanın değerini de algılarlar. Diğer birçok teknoloji gibi, GRC ile verileri entegre eden ve süreçleri otomatikleştiren araçlardan yararlanarak, kuruluşlar risk ve uyumluluk programlarını bir sonraki seviyeye taşıyabilirler. GRC liderleri, GRC platformlarının yeteneklerini en üst düzeye çıkarmanın önemini anlarlar.
ŞEKİL 2: Gelişmiş GRC Yetenek Öncelikleri
Liderler ve sonradan takip edenler arasındaki ayırım, gelişmiş GRC yeteneklerini içeren amaca özel GRC platformlarının kullanımıdır. Olgun GRC kuruluşlarının yatırım yaptığı özel yetenekler nelerdir? Her şeyden önce, kuruluşlar emek yoğun süreçleri boşaltan yetenekler arıyor:
TABLO 1: Risk Ölçümü Olgunluğunun Evrimi (Yanıtlayanların yüzdesi) Soru: Kuruluşunuz bugün öncelikle riski nasıl ölçüyor? Gelecek yıl? Önümüzdeki üç yıl içinde?
Yakın tarihli bir IDC anketine göre, ABD kuruluşlarının %34’ü elektronik tablolar veya proje yönetimi yazılımları gibi GRC’ye özgü olmayan yazılımları kullanmaya devam etmektedir (kaynak: IDC’nin Yönetişim, Risk ve Uyumluluk (GRC) Olgunluk Puanı Anketi, Kasım 2021, n= 206). GRC pazarındaki büyüme, hem finansman kısıtlamaları hem de risk ve uyum yönetimini çevreleyen yanlış algılar nedeniyle zorlanmaktadır. İçerik iş akışlarının dönüşümüne yapılan yatırım, bu kuruluşlardaki diğer iş öncelikleriyle rekabet ediyor olabilir, ancak risk ve uyumluluk yönetimi çözümleri kesinlikle bir kuruluşun güven algısına katkıda bulunacaktır. Bununla birlikte, bir kuruluş olarak güveni korumanın önemini ve GRC yazılım çözümlerinin bu güveni sağlamadaki rolünü anlamak bir zorluktur. Çok ilkel uygulamalara sahip birçok kuruluş, kendilerini risk yönetiminde yenilikçi olarak görüyor ve GRC olgunluğunun gerçekte nasıl göründüğü konusunda piyasayı daha fazla bilgilendirme ihtiyacını vurguluyor.
Gelişmiş GRC yeteneklerini uygulayan kuruluşlar, azalan risk oranı ve birden fazla metrikte gelişmiş rekabet yetenekleri aracılığıyla yatırımlarından yararlanmaktadır.
Gelişmiş GRC yeteneklerini uygulayan kuruluşlar, azalan risk oranı ve birden fazla metrikte gelişmiş rekabet yetenekleri aracılığıyla yatırımlarından yararlanmaktadır. IDC, pazarın gelişmiş otomasyon ve zeka özelliklerini içeren sağlam GRC platformlarına giderek daha fazla ihtiyaç duyacağına inanıyor. Uygun çözümler seçildiğinde bu modern yetenekleri sağlama yeteneği göz önüne alındığında, şirketler başarı için önemli bir fırsata sahipler.