Bilgi teknolojilerinde yönetişim, risk ve uyumluluk (GRC) yaklaşımı

İş süreçlerinin gelişimi ve zaman içerisinde karmaşıklaşması ile beraber kurumsal riskler artar. Rekabet ortamının zorlu ve yasal düzenlemelerin çok çeşitli olduğu mevcut piyasa koşullarında riskleri oluşmadan önce tespit etmek ve engellemek kurumları öne çıkaran ayırt edici özelliklerdendir. Bu bağlamda bakıldığında kurumsal iş süreçlerinin gelişimine paralel olarak BT risk yönetiminin de belirli bir düzen ve süreklilik içerisinde yerine getirilmesi çok önemlidir. Governance, Risk and Compliance kelimelerinin kısaltmasından türetilen GRC yaklaşımı işte bu noktada önem kazanır; GRC, risklerin yasal düzenlemelerle uyumlu bir şekilde yönetişimini sağlayan ve dünyada yaygın olarak kullanılan bir yaklaşımıdır. Bu yaklaşım ile birlikte kurumlar şeffaf, hesap verebilir, kurumsal iş hedefleri ile uyumlu ve riskleri yöneterek yol alan bir BT işleyişine sahip olurlar.
Klasik BT yönetim modelinden GRC BT yönetişim yaklaşımına geçiş aslında BT birimlerini iş birimlerine yaklaştıran bir sıçrama olarak değerlendirilebilir. Bilgi teknolojileri birimleri içerisinde kapalı kalan ve yönetilen konular, iş birimlerinin şeffaf olarak görebildiği ve söz hakkının olduğu konulara döner. Olay bazlı aksiyon alarak gündelik iş planları ile yönetilen BT hizmetleri, belirli bir program kapsamında yönetilmeye başlanır. Kısıtlı üst yönetim desteği tam bir üst yönetim desteğine dönüşür, çünkü GRC yönetişim modelinin başında üst yönetim vardır.
Kurumlarda başarılı bir GRC uyarlaması ve tutunması için olmazsa olmaz 3 bileşen söz konusudur, bunlar;
• Üst Yönetim Desteği: Stratejik vizyonu sağlar ve diğer ekiplerin birbiri ile uyumlu çalışmasını sağlar.
• GRC Program Müdürü: Programın gelişiminden sorumludur ve iş birimleri ile programa dair ilişkileri yönetir.
• GRC Komitesi: Kurumsal risklere odaklamış yapılanmadır.
Bu yapılanmadan da anlaşılacağı üzere GRC öncelikle üst yönetimin ve iş birimlerinin BT risklerine karşı farkındalığın artırılmasına ve risklerin tanımlanarak kontrollerin geliştirilmesine katkı sağlar. Risklerin değerlendirilmesine yönelik ortak bir uzlaşma sağlandığından, olası bir risk tüm kurum içerisinde aynı seviyede algılanır. Bunu bir bakıma risklere karşı kurumsal refleksin geliştirilmesi olarak değerlendirebilirsiniz. Riskler karşısında refleksleri güçlü ve tepki verebilen firmalar her zaman daha verimli ve rekabetçi olacaklardır.