KAYNAKLAR

Risk Yönetiminin Dijital Dönüşümü – Bölüm II Teknolojik Yön

Hangi Teknoloji?

Bir önceki bölümde listelemeye çalıştığım ihtiyaçlar için hangi teknolojik araçların kullanılması gerektiğini sorarsanız, aşağıdaki yol haritasını çizerdim. Elbette her sektörün etkisinin, şirketin faaliyet gösterdiği coğrafi bölgenin ve hatta kurum kültürünün, risk yönetimine yönelik teknolojik yatırımlara karar vermede önemli faktörler olduğu yadsınamaz. Bu nedenle her şeyi satın alıp mega GRC projesi başlatmak her zaman doğru değildir. Bizim gibi teknoloji tedarikçilerinin/danışmanlarının işi, şirketin temel gereksinimlerine uyum sağlayacağını düşündüğümüz modeller sunmaktır.

Büyük Verinin Analizi

Büyük verileri analiz ederek başlayalım. Excel belgelerinde sahip olduğunuz tüm logları indirip incelemek, kendini tekrar eden ve sürdürülebilir olmayan bir yöntemdir. Bu verileri temizlemek ve analiz etmek için neler kullanabiliriz ona bakalım:

Suiistimal Tespit Yazılımları: Eğer finans, enerji, mağazacılık ya da sigorta endüstrisinde faaliyet gösteren bir firmaysanız, bir suiistimal tespit yazılımına ihtiyaç duyacaksınız. Diğer endüstrilerde buna gerek yok mu diye soracak olursanız, mutlaka faydaları olacak ancak öncelikli olarak diğer yöntemlere bir göz atmanızı öneririm zira suiistimal desenlerini keşfetmek hem veri hem de yazılım bakımından uzun uğraşlar gerektirecektir.

SAP Business Integrity Screening
SAP Business Integrity Screening

Smart Insights / Makine Öğrenmesi Destekli Karar Algoritmaları: Veriniz milyonlarla ölçülmüyor, ancak hatırı sayılı bir miktarda ya da risk yönetim pratiğiniz organizasyon içerisinde çok dağınık bir yapıda ise ya da tüm metrikleri tek tek inceleyecek ve anlamlı sonuçlar çıkaracak bir insan kaynağınız yoksa, bir üsttekine göre daha ucuz ve pratik bir yöntem olarak bu teknolojileri önerebilirim. Zira veri setlerinden anlamlı iç görüleri bu algoritmaların oluşturmasına izin vereceğiz, ancak bu verilerin neden anlamlı olduğunu ise işin sürecini/riskin sahipleri ile tartışacağız. Çabuk ve etkili bir yöntemdir.

SAP Analytics Cloud - Smart Insights
SAP Analytics Cloud – Smart Insights

Veri Görselleştirme: Birçok organizasyon için ucuz ve hızlı bir giriş noktasıdır. Tüm riskler için veri toplamak ve stratejik değerleri ön plana çıkaracak hesaplamalar yapmak uzun süren bir yöntem. Ayrıca özel sektördeki devir-daim oranlarını düşündüğünüzde kaliteli raporlamanın sürdürülebilir olması pek mümkün değil. Kendi kendine meramını anlatabilen bir pano yapmak ayrı bir uzmanlık tabi. Dolayısıyla iyi bir veri görselleştirme uzmanı ile bu raporları tartışmak ve hızlıca bir dashboarda dökmek çok etkili bir yöntem.

GRC Digital Boardroom
GRC Digital Boardroom

Tüm Veriyi Denetlemek

Yazılım mimarileri çok ama çok karmaşıklaştı. Zaten siber-güvenlik vakalarındaki inanılmaz artış da bu karmaşık yazılımların ilişkiler kümesindeki noksanlıklardan dolayı gerçekleşiyor. Eskiden (7-8 yıl önce) bir şirketin yalnızca finans, üretim ve satın alma operasyonu yazılımlar vasıtasıyla yönetiliyorken, şimdi kalite yönetiminden, performans yönetimine, fırsat yönetiminden masraf yönetimine hemen hemen her işlemin ayak izi tutuluyor.

Bu verilerin denetlenmesine yönelik genel kabul uzun bir süredir örnekleme yöntemi ile, sistemdeki ayak izlerinin çok küçük bir kısmının alınması ve bir anomali olup olmadığının denetlenmesi üzerineydi. Bu yöntemin çok da güvenilir bir yöntem olmadığı birçok defa tecrübe edildi. Kaldı ki, veri boyutu bu şekilde büyüme gösterdikçe, uygun bir güven aralığında alınacak örneklem sayısı dahi insan kaynağı ile yapılamayacak kadar yoğun olacak gibi gözüküyor.

Öte taraftan, bu verilerin zaten bir kısmının süreç sahipleri tarafından analiz edildiği de bir gerçek. Dolayısıyla aynı verileri farklı birimlerin farklı amaçlar ile tekrar tekrar alması da ciddi bir maliyet olmaya devam ediyor.

KPI / KRI Takip Yazılımları: Maksat organizasyonun maksimum potansiyeline erişmesi ise, Anahtar Performans Göstergesi (KPI) ve Anahtar Risk Göstergeleri (KRI) arasındaki farkı da yavaş yavaş yok etmek gerekiyor. Yani o meşhur bow-tie modelini hayata geçirmek lazım. Riskler ve KRI’ları papyonun sol tarafına, sonuçlar ve KPI’ları papyonun sağ tarafına yerleştirebilecek bir modele ihtiyacımız var. Bir ya da birden çok uygulamadan alınan ve şirketin hedefleri ile eşleştirilebilecek bu kritik metriklerin takip edilmesi ve analiz edilmesi için, kurumsal risk yönetimi yazılımları ile entegre bir çözüm geliştirilmesi olmazsa olmazlardan bir tanesi.

Sürekli Denetim Scriptleri: İşte COVID döneminin kazananı. Özellikle ERP sistemlerindeki anomaliyi tespit etmek adına, tüm veriyi tarayarak dönemsel olarak güven aralığının dışına çıkan verileri periyodik olarak raporlayan scriptlere yatırım yapabiliriz. Şahsen bunu da olmazsa olmazlar arasına eklemenin faydalı olacağını düşünüyorum.

Process Control Report

SoD İçin Finansal Etki Analizleri: Şirket içi suiistimalin ve anomalinin en kolay tespit yöntemlerinden biri, yalnızca bir kişi tarafından yürütülen süreçlerin incelenmesi olacaktır. Dolayısıyla üstte bahsetmiş olduğum yazılımların implementasyonu -görece- kolay olsa da uygun bir KRI/KPI ve denetim scripti kütüphanesi oluşturmak hakikaten çok zor ve pahalı. Bu durumda alınabilecek en hızlı aksiyon bir kişi ya da kişi kombinasyonları tarafından gerçekleştiren finansal işlemlerin tespiti ve denetlenmesi olacaktır.

Risk Konsolidasyonu

Üstte saydıklarımız ayrı ayrı anomali tespitinde ve karmaşık veriden anlamlı sonuç çıkarmakta çok önemli bileşenler. Ancak kurumun risk hafızasının oluşturulması ve risklerin organizasyon tarafından onaylanmış olan yaklaşım ile yönetilebilmesi için bir risk yönetim yazılımı kullanmak çok ama çok önemli. İyi bir risk yönetim yazılımının nasıl olması gerektiği ile ilgili kitaplar yazılı tabi ama özetle daha önce yazdığım bir blog yazısını ve yazılım seçimi konusunda gördüğüm en kapsamlı çalışmalardan biri olan RMIS Panorama dokümanını referans gösterebilirim.

Risk Konsolidasyonu

Denetimin Takibi

Anomali tespiti ve strateji temelli risk yönetimi yükselen trendler. Ancak denetimin önemi de artarak devam edecek. Bu noktada risk yönetim uygulaması ile entegre çalışacak, organizasyondaki denetim prosedürlerine uyum konusunda denetim uzmanlarını yönlendirecek, hazır denetim iş paketleri ile denetim etkinliğini arttıracak bir yazılıma ihtiyaç var.

Denetim yönetimi aslında daha önce yazmaya çalıştığım, ”GRC as an afterhought” ‘dan ”GRC as forethought” dönüşümünde organizasyonun iş yapma prensipleri ve risk arasında bir orta katman olacaktır.

Süreçlerle iç içe geçmiş denetim süreçlerinin en önemli çıktılarından biri de, denetim sonrası aksiyonların takip edilmesi ve raporlanması olacaktır. Bu noktada şirketin risk yönetimi ile entegre çalışacak bir aksiyon takip yazılımı ve bu aksiyonların izlenmesine yarayan bir monitörün çok önemli olacağı kanısındayım.

Denetimin izlenmesi, yalnızca bulguların ve denetim raporlarının izlenmesi değil, denetim performansının, bulgulara ilişkin aksiyonların takip edildiği; farklı zaman dilimlerinde ya da farklı uzmanlıklardaki denetçilerin aynı denetim paketi üzerinde organizasyonun denetim pratiklerine uyarak çalışabilmesine yardım ettiği ölçüde etkindir diyebilirim.

Öte yandan denetim bütçesine uyum, denetim personelinin takibi ve takvimi zorunlu olmasa da bence verimli bir denetim çerçevesi kurmak için çok faydalı olacaktır.

Follow-up of the Audit

ozan2
Paylaş

İş süreçlerinizi gelişen teknolojilerle desteklemek işimizin ana hedefidir.