SAP GRC – Yönetim, Risk ve Uyumluluk (GRC) Çözümleri

Siber risklerin, yasal yükümlülüklerin ve yönetimsel zorlukların bu denli arttığı günümüzün dijital dünyasında risk yönetimi faaliyetlerini entegre ve koordine etmek, riskleri derinlemesine analiz edebilmek ve zamanında, güvenilir aksiyonlar oluşturmanızı sağlayacak sistemleri devreye almak çok önemlidir.

Mevcut ve gelecekteki riskleri öngörerek bu riskleri iş etkilerine göre sınıflandırmak operasyonel faaliyetlerinizi ve marka itibarınızı korumanızı sağlayacaktır.

Tam da bu nedenle risk belirleme, değerlendirme, analiz ve izlemeyi destekleyen güçlü bir kurumsal risk yönetimi sistemine sahip olmak hayati bir öneme sahiptir.

1. GRC Nedir?

GRC (Governance, Risk and Compliance) en basit tanımıyla yönetim, risk ve uyumluluk kelimelerinin kısaltmasıdır. Ancak tabii ki GRC yaklaşımını ve ifade ettiği alanı tanımlamak için bu üç kelime, özellikle de yıkıcı dönüşümün bu kadar hızlandığı bir dönemde, yetersiz kalıyor.

GRC terimini layığıyla anlayabilmek için artık yönetim, risk ve uyumluluk ifadelerinin yanına insan faktörü, kurumsal yapı, iş süreçleri, iş performansı, sürdürülebilirlik ve teknoloji başıklarını da eklemek durumundayız.

Dolayısıyla GRC’nin günümüzdeki tanımı şöyle özetlenebilir:

GRC (Yönetim, Risk ve Uyumluluk), kurumların hedeflerine ulaşabilmesi ve bu hedeflerinde bir devamlılık elde edebilmesi için yaptığı tüm aktivitelerin, bu aktivitelerin içerisinde yer alan insanların, bulunduğu çevrenin, kullandığı verinin, tabi olduğu prosedür ve regülasyonların entegre edilerek düzenli olarak kontrol edilmesi, denetlenmesi ve sürekli iyileştirme sağlanabilmesi ve verinin analiz edilmesi için yapılan işlemlerin tümüdür.

2. İyi bir GRC uygulamasında zorlayıcı etkenler nelerdir, teknoloji GRC uygulamaları için gerekli midir?

Yönetim, risk ve uyumluluk çalışmaları kapsamında artık neredeyse her kurum farklı metotlardan faydalanarak da olsa bir yaklaşım benimsemiş durumda. Yani GRC çözümlerinin önemi konusunda bir konsensus olduğunu söylemek mümkün.

Ne var ki organizasyonel ihtiyaçları, verimsiz yöntemlerle karşılama çabasının günümüz dünyasında iş akışlarını sekteye uğratan bir yaklaşım olduğunu hatırlatmakta fayda var.

Çünkü eğer uygun teknoloji kullanılmazsa risk odaklı etkin bir denetim yaklaşımının verimli bir biçimde yönetilmesi konusunda problemler yaşanabilir.

Oysa iş akışları önceden oluşturulmuş, doküman şablonları ve otomatik kontrol izleme yöntemleri ile takip eforunu standart hale getiren, hatta risk trendlerini veya hatalı işlemlere dair görselleştirme yöntemlerinden faydalanmanıza imkan tanıyan sistemler ile, tekrarlanan bulguları azaltmak ve tespit edilen sorunların çözümünü hızlandırmanıza olanak sağlayarak bu problemleri aşmak mümkün.

GRC(Yönetim, Risk ve Uyumluluk) uygulamalarında karşılaşılan en büyük zorluklar şu şekilde sıralanabilir:

Farklı Sistemler

Riske ya da regülasyonlara konu olan süreçlerin tek bir anlayış ve platform üzerinden yönetmekteki zorluklar, GRC uygulamalarında karşılaşılan en büyük zorluklardan biri.

Aynı çalışmaların farklı departmanlarca tekrar tekrar yapılması, departmanlar arası risk raporları ve metriklerinin tamamen farklı yöntemler ile yazılması ve tüm bunların sonucunda ortaya çıkan ciddi bir karmaşıklık olması entegrasyon eksikliklerinden kaynaklanıyor. Birbiri ile iletişim halinde olmayan kontrol ve risk yönetimi ile denetim dokümantasyon sistemleri yönetişimin önündeki en büyük engellerden biri.

Kaynak Yönetimi

İkinci sırada bilgi sistemlerinde kirli verinin fazla olması sebebiyle verinin analiz edilememesi, veri entegrasyonunu sağlamak için kaynakların doğru kullanılamaması geliyor.

Merkezi Yönetim

Son sırada ise, GRC uygulamalarındaki merkezileşememe problemi yüzünden hesaplanan metriklerin geri dönüşünün ve işletmeye sağladığı faydaların görselleştirilememesi ya da ölçümlenememesi geliyor.

***

Temel nedenlere baktığımızda denetim aktivitelerinin etkin bir şekilde yönetilmesi ve bir değer katması için teknolojinin desteğine ihtiyaç var.

GRC aktivitelerinin yönetilmesi için kullanılacak bir yazılımın yanı sıra , veri görselleştirme, robotik süreç otomasyonu, SAP Identity Access Governance gibi teknolojiler, nesnelerin interneti gibi birçok yaklaşım, kurumların yıkıcı dönüşüme ayak uydurabilmeleri açısından önemli bir rol oynuyor.

3. SAP GRC Uygulamalarında Nasıl Bir Yaklaşıma Sahip?

SAP GRC (Yönetim, Risk ve Uyumluluk) çözümleri temel pratiklere ilişkin problemlere odaklanıyor. Bir GRC yazılımından beklenmesi gereken sonuca, yani denetim aktivitelerinin ve kurumsal risklerin takip edildiği bir veritabanından çok, şirketlerin riskin performansa olan etkisini tahmin etmesi ve bu riski görselleştirerek daha iyi karar almasına olanak sağlayacak altyapıyı sunmaya odaklanıyor.

Bunun için temel kavram “entegrasyon”. Kritik GRC bileşenleri departman özelinden şirketin tamamına entegre edilerek, genel GRC uygulamaları konsolide ediliyor.

SAP GRC çözümlerine baktığınızda, şirketlerin bu değişen çevrede GRC metodlarını uygulayabilmesi için tek bir altyapı kullanılıyor ve bu altyapı olabildiğine basit ekranlar ile hazırlanıyor.

SAP için basitliğin dayandığı iki prensip var, kullanıcıların veri girişini kolay ve doğru yapabileceği şekilde dizayn edilmiş ekranlar ve otomasyon.

SAP’nin basit, kullanıcı-dostu ekranlar ve otomasyon gerçekten de fark yaratıyor. Çünkü ister GRC olsun, ister herhangi bir başka süreç karmaşıklığı yaratan temel sebep manuel ve tekrar eden işlerin sayısındaki fazlalıktır.

GRC’de tıpkı diğer tüm süreçler gibi büyük bir kısmı tekrar eden ufak ve basit işlerin anlamlı veriler oluşturmasına dayanmaktadır. Peki otomasyona ihtiyaç duyan bu süreçler nelerdir?

SAP GRC ve Otomasyon

Prosedürel kontroller, regülasyonlara uyum çerçevesinde yapılan işlemler, görevler ayrılığı ilkesine uyum, basit onaylar, doğru iş akışlarının takibi ve kontrollerin takibi gibi vakit alan işler otomasyonu zorunlu kılıyor.

Neyse ki SAP’nin otomatik ve bakım gerektirmeyen, bulut kimlik ve erişim yönetimiyle Bilgi Teknolojileri bölümündeki iş yükünü azaltmak mümkün hale geliyor.

Hepsi teker teker teker bakıldığında basit ve vakit almayan işler. Ancak kişilerden, departmanlara, departmanlardan kurumlara ve kurumlardan holdinglere uzanan bir zincir halinde birbirini tekrar eden binlerce işlemin hatasız bir şekilde gerçekleşmesi anlamlı ve stratejik değer taşıyan verilerinin oluşmasına engel olabiliyor.

SAP GRC uygulamalarında iş akışları, mail formlarının konfigürasyonu,Fiori uygulamaları, hesap çizelgeleri yerine kendi kontrolleri olan tablo ve rapor yapıları, performansın ve tepki süresinin otomatik olarak ölçümlenmesinin oluşturduğu ek motivasyon, denetim risk ve uyumluluk çalışmalarını da içine alan bir çıktıyı hedeflemektedir.

SAP GRC çözümleri, oluşan veri bulutundan anlamlı bir sonuç çıkarabilmek için analitik yeteneklerin efektif bir biçimde kullanılmasını sağlar.

Her ay ya da her yıl başında tüm verinin periyodik olarak uygun filtrelerle harmanlanarak kontrol edilmesi yerine, otomatize edilmiş rutin kontrollerin konfigüre edilmesi hem sürekli kontrolü sağlamış oluyor hem de kontrol sıklığını arttırmayı hedefliyor.

SAP GRC, ayrıca mevcut soruna müdahale eden bir yaklaşım yerine önleyici bir altyapı kurmanızı hem de bunu daha az eforla sağlamanızı kolaylaştırıyor. Çünkü SAP GRC ile artık kendi veri bulutunu kendi kontrol eden bir sistem oluşturmak ve sadece istisnai durumlar oluştuğunda ya da uygunsuz durumlar oluştuğunda bir aksiyon alacak duruma gelmek mümkün hale geliyor.

Elbette hiçbir kurum, hangi sistemi, hangi ekibi, hangi üretim hattını kurarsa kursun istenmeyen olayların gerçekleşmesini ya da yanlış kararlar vermeyi tamamen engelleyemez.

Önemli olan, ortaya çıkan ya da tespit edilen uygunsuzluklara karşı ne kadar hazırlıklı olunduğudur. İstenmeyen bir durum ortaya çıktığında kurum içerisinde kaotik bir hava oluşmamalı ve nasıl bir aksiyon alınacağı önceden detaylıca planlanmış olmalıdır.

Risk Yönetimi

Şu sorular risk yönetimi başlığında göz önünde bulundurulması gereken sorulardır:

* Hangi risklerin gerçekleşme olasılığı artıyor ve gelecekte kurumunuz için önemli sonuçlar doğurabilecek boyuta geldi?

* Bu riskler oluştuğu durumda aksiyon planlarınız belli mi?

* Risklerin etkisini minimize etmek ve etki süresini azaltmak için neler yapabilirsiniz?

* Bir risk gerçekleştiğinde diğer departmanlarda hangi risklerin tetiklendiğini o anda görebiliyor ve aksiyon alabiliyor musunuz?

İşte tüm bu sorulara doğru yanıtlar verebilmek için anahtar performans ve risk ölçütleri tanımlamalı, regülasyon ve prosedürlerin kontroller ile ilişkisinin kurulduğu bir iş akışı kurgulanmalı ve risklerin gerçekleşmesi durumunda maddi etkilerinin simüle edilebilmesi, risklerin gerçekleşmesi durumunda etki analizlerinin ve tepki planlarının oluşturulması sağlanmalıdır.

4. SAP GRC Uygulamalarını Nasıl Daha Verimli Hale Getirebiliriz?

MBIS olarak GRC projelerinde tüm operasyonel yapıyı en alt seviyeden şirket geneline doğru kurgulayarak kurumsal seviyede anlamlı verilere ulaşmayı hedefliyoruz.

SAP’nin GRC (Yönetim, Risk ve Uyumluluk) stratejisine uygun olarak, analiz edilecek veriyi oluşturacak tüm işlemsel girişleri hızlandıracak ve doğruluk oranını maksimum seviyeye çıkaracak alt yapının kurulması, kullanılabilir ekran dizaynları ile veri girişinin sağlanması önceliklendirilmesi gereken başlıklardan biri.

İkinci aşamada ortaya çıkan veri kümesinin rutin analizlerini yapacak kontrol altyapısının oluşturulması ve sadece risklerin gerçekleştiği durumlarda süreç ve GRC yöneticilerini harekete geçirerek bir veri analizi havuzuna ulaşmayı hedefliyoruz.

Bu da GRC verilerini analiz etmekle kaybedilen zamanı stratejik kararlara aktarmayı sağlıyor.

Son aşamada ise kurulan güvenli sistemin güvenli bir şekilde yaşamına devam edebilmesi için gerçekleşen risklerin ve hataların etki analizlerinin ve kontrol planlarının oluşturularak gerçekleşen olaylardan minimum seviyede zarar alınması için etkin ve sağlam bir denetim altyapısı kurmayı hedefliyoruz.

Türkiye’de GRC konusunda tek SAP® Recognized Expertise sertifikasına sahip MBIS’in alanında uzman danışmanlarının sağladığı yönlendirme ve proje uygulama hizmetlerinden yararlanın.

Yönetim, risk ve uyumluluk çalışmalarınızın stratejik, operasyonel, finansal boyutlardaki etkinliğini artırın; kuruluşunuzu, verilerinizle ilişkili risklere karşı daha iyi koruyun.