5 GRC Trendleri: Yönetim, Risk ve Uyum Nasıl Gelişecek?

İş dünyasındaki değişim hızı akıllara durgunluk veriyor.

İş riskleri, üçüncü taraf tedarikçilerden tedarik zincirlerine, düzenleyici konulara, gizlilik endişelerine, operasyonel zorluklara, siber saldırılara, finansal endişelere, çevresel uyumluluğa ve daha fazlasına kadar her gün gelişmektedir.

Bu sorunlar izole değildir – kapsamlı çözümler gerektiren birbirine bağlı risklerdir. Yönetişim, risk ve uyumluluğa (GRC) yönelik bilinçli, bütünsel bir yaklaşıma duyulan ihtiyaç, kuruluşlar için hiç bu kadar kritik olmamıştı.

İş ortamı değiştikçe, şirketlerin birbirine bağlı risklere ilişkin kapsamlı bir bakış açısı sağlamak, bu risklerin mali sonuçlarını anlamak ve her düzeyde daha bilinçli kararlar almak için GRC stratejilerini geliştirmeleri gerekiyor.

Kuruluşunuzun riski stratejik bir avantaja dönüştürmek için proaktif bir yaklaşım benimsemesine yardımcı olacak bazı GRC trendleri.

1. GRC zorluklarıyla yüzleşmek için bir dayanıklılık ve çeviklik kültürü

Olabildiğince deneyin, tüm risklerden kaçınamazsınız. İşletmeler, en acil tehditleri değerlendirirken ve hazırlarken bir dayanıklılık kültürü geliştirmelidir.

Risk yönetiminde çeviklik , bir organizasyonun bir kazadan kaçınma becerisini ifade eder. Öte yandan, dayanıklılık, bir kuruluşun bundan nasıl kurtulduğudur.

İşletmeniz enflasyona, ekonomik belirsizliğe ve küresel stagflasyon riskine (büyümede keskin bir yavaşlama) hazırlanırken, minimum iş etkisi ile engellerden kurtulmak için dayanıklılık oluşturmalısınız.

Dayanıklılık son yıllarda önem kazanmıştır. Kurumsal çapta risk yönetimi ile bütünleşir ve kuruluş genelinde çalışır, neyin tehlikede olduğuna dair kapsamlı bir görünüm sağlar. Çeviklik ve dayanıklılık birbirini tamamlar.

Çeviklik, belirsizliğe stratejik bir bakış sunarken, esneklik departmanlar arasında etkileşim kurmak için taktik önlemler sunar. Dayanıklılık aynı zamanda bir kültürdür, çünkü tüm kurumsal paydaşların eylemlerini gerektirir.

GRC uzmanı Michael Rasmussen, bu kültürü insan vücuduna benzetiyor:

Kuruluşların %75'i, sessiz teknoloji sistemlerinin bir risk yönetimi zorluğu oluşturduğunu kabul ederken, yalnızca %35'i sorunu çözmek için kurumsal düzeyde önlem alıyor.

Şirketler akıllı teknolojiden ve "birdenbire" risk görüşünden yararlandıklarında, PwC, yönetim kurullarının ve yöneticilerinin, kuruluşun paydaş güveni, daha fazla esneklik ve daha iyi iş sonuçları sağlama becerisine yüksek güven duyma olasılığının beş kat daha fazla olduğunu buldu. .

2. CIO rolü gelişiyor

CIO'lar gibi teknoloji liderleri, yazılım uygulama ve proje yönetiminin “ikincil” veya “arka uç” rollerini aşmıştır. Artık kurumsal kararların merkezinde yer alıyorlar ve pazarlama, satış, ürün geliştirme ve finans gibi temel iş fonksiyonlarında kritik karar vericiler haline geliyorlar.

CIO'nun 2022 Durumu raporu, CIO'ların rollerini iş inovasyonu ile operasyonel mükemmellik arasında denge kurmak olarak gördüklerini ortaya koyuyor. BT liderlerinin dörtte üçü, kuruluşların BT konularına döngüsel olarak odaklanmasından bağımsız olarak, hızlandırılmış dijital dönüşüm çabalarıyla yönlendirilen rollerinin yeni keşfedilen önemini sürdürmesini bekliyor.

Ve CIO'ların %80'inden fazlası, inovasyona odaklanan, fark yaratanlar olarak görüldüklerini söyledi.

Geleneksel BT hizmeti sunumundan daha stratejik bir role geçiş, CIO'ların iş hedeflerine odaklanmasını sağlar. Teknoloji liderleriniz yöneticilere giderek daha fazla iş vakası sunarken, stratejik hedeflere ulaşmak için bir risk niceleme yaklaşımından yararlanır ve üst yönetimin geri kalanına değerli bilgiler sağlar.

Düşük, orta, yüksek, kırmızı, sarı ve yeşil gibi daha eski risk ölçüm ölçekleri çok fazla özneldi ve paydaşları risk kararlarının iş gereksinimleriyle nasıl uyumlu hale geldiği konusunda belirsiz bıraktı. Riski parasal olarak ölçerek, kuruluşunuz bunun gelir yaratma üzerindeki etkisini gösteren ortak bir risk diline sahip olabilir.

Bu ortak dil, CIO'nun rolünü daha da yükselten, ortak bir risk görüşüne yol açar – iş karar verme için kritik öneme sahiptir.

Risk nicelemenin ortak dili, ekonomik koşullar şirketleri bütçelerini gözden geçirmeye zorladığı için senaryo planlama ve analizini de kolaylaştırır. Risk azaltma stratejileri, maliyet açısından önemli ölçüde farklılık gösterir ve riski farklı miktarlarda azaltır. Risk niceleme, CIO'ların kontrol uygulamalarını karşılaştırmasına, uygun azaltmaları tartmasına ve yönetim kuruluna geri bildirim sağlamasına olanak tanır.

3. Üçüncü taraf riskleri daha kritik hale gelir ve daha fazla incelemeye dayanır

Kuruluşlar, tesis yönetimi ve fiziksel güvenlikten yasal hizmetlere ve teknik desteğe kadar giderek artan bir şekilde üçüncü taraflara güvenmektedir.

Üçüncü taraf hizmetleri dahil etmek, dahili programlar geliştirmekle uğraşmadan özel becerilerden ve uzmanlık bilgisinden yararlanmanıza izin vererek işinizi daha rekabetçi hale getirebilir. Ancak, bir kuruluşun her yönüne dokunan üçüncü taraflar ve satıcılarla ilişkiler genişledikçe, kuruluşunuzun güvenlik açıkları potansiyeli artar.

Satıcılarla çalıştığınızda, onların riskleri sizin riskiniz haline gelir. Daha ne? Üçüncü taraflar, giderek artan bir şekilde üçüncü taraflarla birlikte çalışmaktadır. Üçüncü taraflarınız (ve üçüncü tarafları) tarafından yaşanan herhangi bir ihlal veya başarısızlık işinizi riske sokar. Üçüncü taraf güvenlik açıkları nedeniyle karşı karşıya kaldığınız finansal kayıplara ek olarak, kuruluşunuz operasyonel esneklik ve itibar kaybı riskiyle karşı karşıyadır.

Şirketlerin yüzde yetmiş üçü, üçüncü tarafların gereksiz yere kapsamlı ayrıcalıklar ve yetkilerle müşteri verileri üzerinde çok fazla kontrole sahip olmasından endişe duyduğunu ifade etti. Ve kuruluşların neredeyse yarısı, geçen yıl içinde bir veri ihlali bildirdi ve dörtte üçü, ihlali çok fazla ayrıcalıklı erişim hakkına sahip üçüncü bir tarafa atfetti.

İhlalden kaynaklanan acil iş tehditlerine ek olarak, potansiyel müşteri güveni kaybı, yasal para cezalarından veya itibar riskinden daha acil, nicel bir iş etkisine sahip olabilir. IBM'e göre, bir veri ihlali maliyetinin %38'i iş kaybından kaynaklanmaktadır. Bu da ortalama 1.52 milyon dolar eder.

Üçüncü taraf satıcılara müşteri güveni oluşturmak ve sürdürmek için üçüncü taraf risk yönetimine proaktif bir yaklaşıma ihtiyacınız vardır. Artan ekonomik belirsizliğin ortasında, üçüncü taraf şirketlere işletme olarak yakından bakmanız gerekir - hangi satıcıların görev açısından kritik olduğu ve hangilerini minimum olumsuz etkiyle ortadan kaldırabileceğiniz.

Kuruluşlar mevcut satıcıları değerlendirme ve yeni ilişkileri onaylama konusundaki vidaları sıkarken, üçüncü taraf risk yönetimi kilit bir rol oynar. Bütünsel bir GRC yazılımının parçası olan üçüncü taraf risk programları, şirketinizin tedarikçileri hakkındaki tüm temel bilgileri merkezileştirerek performansı, maliyetleri ve riski yönetmeyi kolaylaştırır.

Etkili üçüncü taraf risk yönetimi üç bileşenden oluşur: tutarlı bir satıcı tarama süreci, anlamlı satıcı önceliklendirmesi ve sürekli izleme.

İnceleme süreçleri

Üçüncü taraflar kuruluşunuzun her köşesine ulaştığından, çatlaklardan hiçbir şeyin düşmemesini sağlamak için herkesin risk yönetiminde bir rol oynaması gerekir. Şirket olarak üçüncü şahısları değerlendirmek için değerlendirme kriterleri ve çerçevesi üzerinde anlaşmanız gerekir. Ayrıca temel performans ölçütlerine de karar vermeniz gerekir.

Taahhütlerini yerine getirmeyen satıcıları belirlemek ve hizmet düzeyi anlaşmalarını (SLA'lar) daha sıkı bir şekilde uygulamak ve yönetmek için sözleşmeleri gözden geçirebilirsiniz. Doğru bütünsel GRC yazılımı ile her ekip üyesi bu değerlendirmeleri gerçekleştirmek için gerekli verilere, araçlara ve ortak dile erişebilir.

Önceliklendirme

Çoğu işletme düzinelerce satıcıyla çalışır. Üçüncü taraf risk yönetimi başarısını sağlamanın en iyi yolu, kritik satıcılarınıza öncelik vermektir. Bu sıralamaları kullanarak, satıcının önemini yansıtan bir puanlama süreci ve kadans geliştirebilirsiniz.

Başlamak için şu adımları izleyin:

• Her bir üçüncü taraf ilişkisini, operasyonlarınız için ne kadar önemli olduğuna göre sıralayın.
• Her satıcının verilerini veya ağ erişimini listeleyin: sistemler ve yetki düzeyleri.
• Her satıcı için, bir olaydan potansiyel olarak etkilenen operasyonları ve işlevleri ayrıntılandırın.
• Her bir satıcının güvenlik açıklarını değerlendirmek için hangi ayrıntılara ihtiyacınız olduğuna karar vermek için bu bilgileri kullanın.

Sürekli izleme

Çoğu şirket bazı durum tespiti yapar, ancak çoğu üçüncü taraf risklerini yıllık bir kontrol listesinin ötesinde izlemez. O zamana kadar bilgiler eski olabilir, satıcılar uyumsuz olabilir ve işiniz risk altında olabilir.

Üçüncü taraf riskinizi sürekli izleyerek, güvenlik açıklarını azaltmak için gelişen risk yüzeylerinden haberdar olur ve ilişkinin başında toplanan bilgiler yerine gerçek zamanlı verilere dayalı olarak gerektiğinde acil durum planları oluşturursunuz.

TPRM bir takım sporudur

Üçüncü taraf riskini yönetmek, iş liderlerinden ve iç denetim ekiplerinden hukuk, uyum ve BT departmanlarına kadar herkesi etkiler. Doğru araçlar ve net iletişim ile işletmeniz, kendinizi ve müşterilerinizi korumak için satıcı risklerini yönetebilir.

4. ESG düzenlemelerinin artması

Bütüncül bir GRC'nin parçası olarak çevresel, sosyal ve yönetişim (ESG) hakkındaki konuşmalar, ESG çabalarının istihdam kararlarını, tüketici davranışını, kurul müzakerelerini ve yatırım stratejilerini yönlendirmesiyle son zamanlarda arttı.

2022'nin başlarında, BlackRock gibi şirketler sürdürülebilir yatırımı bir öncelik haline getirme konusunda sesini yükseltirken, ESG fonları hakkındaki iddialar ile bunların gerçek raporları arasındaki çelişkiler düzenleyicilerin ilgisini çekti.

Menkul Kıymetler ve Borsa Komisyonu, ESG fonları için kılavuz sağlamak üzere iki taslak kural sundu. Bu yönergeler, yatırım firmalarının ve fonlarına dahil olan şirketlerin sürdürülebilirlikle ilgili isimleri kullanmadan önce sürdürülebilirlik iddialarını göstermelerini gerektirecektir.

Tüketicilerin %80'inden fazlası, şirketlerin ESG yönergelerini aktif olarak şekillendirmesi gerektiğine inanıyor ve neredeyse tüm (%91) iş liderleri, kuruluşlarının ESG konularında hareket etmekten sorumlu olduğuna inanıyor. Ek olarak, çalışanların %86'sı değerlerini paylaşan işletmelerde çalışmak istiyor.

Yolsuzlukla mücadeleden çeşitlilik, eşitlik ve kapsayıcılık (DEI) hedefleri için hesap verebilirliği sürdürmeye ve emisyonları azaltmaya kadar, şirketler ESG izleme ve raporlamasını ciddiye almalı, aksi takdirde geride kalma riskiyle karşı karşıya kalırlar.

Çeşitli çerçeveler, belirli endüstriler için hangi ESG faktörlerinin en önemli olduğuna rehberlik eder, ancak ABD'de ESG için belirlenmiş bir standart yoktur. Çerçeveler genel raporlama hedefleri sağlarken, devam eden ESG yönetim uygulamalarına ilişkin içgörü sağlamazlar.

İzleme ve raporlamayı kolaylaştırmak için kuruluşunuz ÇSY'yi bütünsel GRC programınızın bir parçası olarak ele almalıdır. Mevcut girişimlerinizi, verilerinizi ve hedeflerinizi sağlam GRC yazılımına entegre ederek, ESG ilerlemeniz ve riskiniz hakkında daha fazla bilgi edinirsiniz.

Şirketler, ESG vaatlerinin eylemleriyle uyumlu olduğunu gösteren raporlar sundukça, bu çabalar meyvesini verecektir.

5. Hibrit çalışma, insan risklerini, siber riskleri ortaya çıkarır

Dayanıklı bir organizasyon, tüm operasyonel alanlarda esnek ve uyarlanabilir yapılar gerektirir. Hibrit çalışma, çalışanlara esneklik sağlarken operasyonel riski de artırır.

Hibrit modellerde "yeni normallerini" oluşturmak için çalışan kuruluşlar, verileri korumak, çalışanları adil bir şekilde yönetmek ve DEI hedeflerine ulaşmak için değişimi ve çevikliği benimsemelidir.

Yetenek yönetimi zorlukları

Hibrit çalışma modelleri, yöneticiler ikili bir iş gücünün zorluklarıyla başa çıktıkça yeni bir iş gücü riski ortaya çıkarır: yerinde ve uzaktaki çalışanlarla eşit ilişkiler kurmak ve sürdürmek. Hibrit çalışma modellerinin bir tehlikesi, uzaktan çalışanlar için dezavantajlı olabilecek bir "etrafta dolaşarak yönetim" tarzına güvenmeleridir.

Böyle bir tutarsızlığı önlemek için kuruluşunuz liderlere yatırım yapmalıdır. Sanal liderlik becerilerini geliştirmek için onlara eğitim ve gelişim sağlayın ve uzaktan çalışanlarla daha iyi bağlantılar ve ilişkiler kurmalarına yardımcı olun.

Performans değerlendirme yaklaşımınızın da değişmesi gerekiyor. Bir çalışanın "ofiste" geçirdiği zamana odaklanmayın. Değerlendirmeleri, nerede çalıştıklarına bakılmaksızın, çalışanların iş yükümlülüklerini yerine getirip getirmediğine dayandırın.

DEI girişimlerinin önündeki engeller

Hibrit çalışma ortamlarında gezinen yöneticiler, istemeden iki çalışan "sınıfı" oluşturabilir: şirket kültürüyle sağlam bir bağlantısı olan ofis içi çalışanlar ve şirkete daha az bağlı olan uzaktan çalışanlar.

Kadınlar ve beyaz olmayan insanlar evden çalışırken daha fazla tatmin buluyor ve beyaz erkek meslektaşlarına göre uzaktan çalışma olasılıkları daha yüksek. Bu tercih, yeterince temsil edilmeyen bazı çalışanlar için şirket içi hareketliliği engelleyebilir ve şirket çapında DEI hedeflerinin ilerlemesini tehlikeye atabilir.

Bu riskle mücadele etmek için şirket içi hareketlilik, performans değerlendirmesi ve çalışanlara sağlanan faydaların adil olup olmadığını belirlemek için verileri kullanın.

Verileri analiz ettikten sonra sorunları belirleyin ve işyeri stratejilerini daha adil yaklaşımlara uyarlayın. Ekiplerinizin yolunda gidip gitmediğini veya yeni endişelerin ortaya çıkıp çıkmadığını görmek için bu soruları düzenli olarak gözden geçirin.

Siber güvenlik ve uyumluluk tehditleri

Veri ihlalleri, büyük BT kesintileri ve fidye yazılımı saldırıları, 2022'de dünya çapındaki işletmeler için en önemli risk sorunları olarak sıralandı. Büyüyen siber güvenlik risklerine katkıda bulunan uzaktan çalışma hiçbir yere gitmiyor. Uzaktan erişimli çalışanların dörtte üçünden fazlası Gallup'a en az 2022 yılına kadar uzaktan veya hibrit kapasitede çalışmayı planladıklarını söyledi.

Tessian'ın Güvenlik Davranışları Raporu, BT liderlerinin yarısından fazlasının, çalışanlarının uzaktan gittikten sonra riskli siber güvenlik alışkanlıkları edindiğine inandığını ve çalışanların üçte birinden fazlasının aynı fikirde olduğunu ortaya koydu. Çalışanlarınız evden çalışırken, ofisin güvenli bağlantılarının göreceli güvenliğini bırakırlar.

Uzak çalışanlar, kişisel cihazlardan çalışma materyallerine erişmeye daha yatkındır. Kahve dükkanlarında ve diğer halka açık yerlerde çalışan çalışanları ekleyin ve siber felaket için bir tarifiniz olsun.

Bir HP Wolf Security araştırması, çalışanların yaklaşık üçte birinin güvenlik politikalarını bir engel olarak gördüğünü ve hatta birçoğunun güvenlik önlemlerini aşmak için çalıştığını buldu. Güvenlik firmasına göre, neredeyse tüm BT ekipleri (%91) iş sürekliliğini sürdürmek için güvenlikten ödün verme baskısı altındaydı ve 10 ekipten 8'i uzaktan çalışmayı potansiyel bir ihlalin "saatli bombası" olarak tanımladı.

Veri ihlallerine ve fidye yazılımı saldırılarına karşı koruma, kuruluşunuzun siber güvenlik uygulamalarını ve politikalarını güncellemekle başlar.

• Çok faktörlü kimlik doğrulamayı benimseyin.
• Çalışan eğitiminin siber güvenlik korumasındaki en son gelişmeleri yansıttığından emin olun.
• Son olarak, BT personelini misilleme korkusu olmadan çalışanları hem şüpheli iletişimleri hem de kendi hatalarını bildirme konusunda destekleyecek şekilde donatın.

Risk yönetimine öncelik verin

Risk yönetimi herkesin sorumluluğundadır. Bir dayanıklılık kültürü geliştirmek ve üçüncü taraf ilişkilerinin kontrolünü ele almak, risk tutumunuzu iyileştirecektir. CIO'nuzu bir fark yaratan olarak güçlendirdiğinizde ve sağlam ESG izleme ve raporlama uygulamalarına bağlı kaldığınızda, risk stratejik bir avantaj haline gelir.

Herhangi bir kuruluşun en büyük varlığı ve riski olan çalışanlarınıza gereken ilgiyi göstererek DEI ilerlemesini korur, sürekli gelişen siber tehditlerle mücadele eder ve ekiplerinizin karmaşık hibrit ortamlarda verimli kalmasını sağlarsınız.

Kuruluşunuzun siber güvenlik uygulamalarını geliştirmek önceliğiniz olmalıdır. Kimlik doğrulamasını işletmeniz için daha güvenli ve kolay hale getirmek için tek oturum açmayı seçin.