Bu yardımda net güvenlik röportajında, Riverty’deki Alexander Clemm, Corp GRC Lead, Grup CISO ve BCO, Fintechs için GRC manzarasının daha sıkı düzenlemelere ve küresel büyümeye yanıt olarak nasıl olgunlaştığını paylaşıyor. Dora ve AB AI Yasası gibi çerçevelerin etkisini tartışıyor ve uyumluluğun iş ilerlemesini yavaşlatmaktan ziyade desteklediği bir kültür oluşturmaya yansıyor.
GRC manzarası son birkaç yılda, özellikle küresel olarak ölçeklenirken veya genişledikçe fintech’ler için nasıl gelişti?
Son birkaç yıldır, Fintechs için GRC manzarası önemli bir dönüşüm geçirdi: biri hem artan düzenleyici titizlik hem de yargı bölgeleri arasında uyumlaştırmaya doğru bir kayma ile işaretlendi.
Avrupa Birliği’nde, Dijital Operasyonel Dayanıklılık Yasası tanımlayıcı bir düzenleyici kilometre taşı haline geldi. Seleflerinden farklı olarak Dora, yorum için odayı önemli ölçüde daraltan ayrıntılı düzenleyici teknik standartlarla birlikte gelir. Bu taneciklik seviyesi bir adım değişikliğini temsil eder: sadece niyete işaret etmekle kalmaz, aynı zamanda uyumluluğu işler. Sonuç olarak, Dora başka bir düzenlemeden daha fazlası haline geldi – etrafında birçok operasyonel esneklik stratejisinin döndüğü yerçekimi merkezi.
Küresel ölçekte, düzenleyici çerçeveler isim ve nüans bakımından farklılık gösterebilir, ancak altta yatan hedefleri dikkat çekici bir şekilde uyumludur: güvenli dijital işlemler, riske duyarlı genişleme ve esnek altyapılar. Giderek daha fazla gördüğümüz şey, küresel bir uyumun “meta dili” nin ortaya çıkmasıdır-ve Dora gibi düzenlemeler, kuralcı netlikleri ile uluslararası genişlemede gezinmek için sağlam bir taban çizgisi sağlar. Ölçeklendirmek isteyen fintech’ler için, bu yakınsama aslında stratejik kaldıraç sunar. Şirketler, GRC’yi her yeni piyasa girişiyle yeniden keşfetmek yerine, çerçevelerini DorA ile hizalanmış ilkelerde tutabilir ve oradan verimli bir şekilde uyum sağlayabilir.
Bununla birlikte, karmaşıklık hala büyük görünüyor. Modern GRC’ye hakim olmanın anahtarı, ölçeklenebilir ve birlikte çalışabilir bir iç çerçevenin oluşturulması, yani dış gereksinimleri birleşik, iyi yönetilen bir iç kontrol ortamıyla eşleştiren biridir.
Riverty’de bunu net sahiplik (RACIS), proxy modelleri ve terminoloji uyum katmanlarını tanımlayarak yapıyoruz.
Daha geniş evrime bakıldığında, düzenleme de stratejik bir ekolayzır haline geldi. PSD2’den beri ve şimdi Dora ile, düzenleyici olgunlukta kayda değer bir artış oldu. İnovasyonu boğmak yerine, bu aslında oyun alanını düzleştiriyor – esnekliğe ve yapılandırılmış uyumluluklara yatırım yapanları tercih ediyor. Güven, güvenlik ve sürekliliği destekleyebileceğinizi göstermeden bir fintech olarak faaliyet göstermek artık uygun değil.
Riverty’de uzun zamandır esneklik yönetimini bir onay kutusu egzersizi olarak değil, temel bir yetkinlik olarak gördük. Aslında, GRC ve esneklik konusundaki proaktif duruşumuz rekabet avantajı haline geliyor. Fintech 2040’ta vurgulandığı gibi, finansın geleceği, operasyonel DNA’larına güven, çeviklik ve şeffaflık yerleştirebilenleri ödüllendirecek.
Fintech’ler siber güvenlik riskini yenilikleri yavaşlatmadan kurumsal risk yönetimi çerçevelerine nasıl entegre edebilir?
Risk yönetimi ve inovasyonun gerginlikte var olduğu yanılgısı, modern fintech’lerin ötesine geçmesi gereken bir şeydir. Özünde, siber güvenlik – düşünceli bir şekilde entegre edildiğinde – bir fren olarak değil, bir yeniliğin kolaylaştırıcısı olarak hizmet eder. Anahtar, hem akıllı hem de uyarlanabilir (ve kendi içinde esnek olan) yönetişim yapıları tasarlamaktır.
Vakıf, siber güvenlik risk yönetiminin daha geniş iş hedefi: etkinleştirme ile hizalanmasında yatmaktadır. Bu, güvenlik düşüncesini inovasyon döngüsünün başlarında, engellemeyen standart arayüzler, beklentiler ve çerçeveler kullanarak, daha ziyade inovasyonu güvenli bir şekilde kanalize etmek anlamına gelir. Örneğin, risk ifadeleri ekipler arasında tutarlı bir şekilde tanımlandığında, kararlar daha hızlı ve daha fazla güvenle verilebilir.
Kritik olarak, tehdit modeli ile başlar. İyi tanımlanmış, kurumsal düzeyde bir tehdit modeli, risk değerlendirmelerini yönlendiren ve en önemli yerlerde kontrol eden pusuladır. Yine de birçok şirket hala kendi tehdit manzaralarını açık bir şekilde ifade etmeden faaliyet göstermektedir ve kurumsal risk stratejilerini gerçeklikten alıkoymamıştır. Bu topraklama olmadan, risk yönetimi ya aşırı temkinli ya da körü körüne izin veriyor ya da her ikisinden de biraz.
GRC, BT güvenliği, kırmızı ekipler ve operasyonel ekipler arasında geleneksel siloları köprülemeye güçlü bir vurgu yapıyoruz. Bu işbirlikçi duruş, siber güvenlik risklerinin dış uyumluluk yükümlülükleri olarak değil, ürün ve platform tasarımının ayrılmaz boyutları olarak ele alınmasını sağlar. İyi bir örnek: Riverty, Dora kapsamında resmi olarak tehdit liderliğindeki penetrasyon testi (TLPT) yürütmekle yükümlü olmasa da, bu ilkeleri içselleştirmeyi seçtik. Penetrasyon test programımız, sistemlerimiz, süreçlerimiz ve müşteri arayüzlerimiz için en önemli tehditleri yansıtan belirli bir tehdit modeline dayanmaktadır.
Bir başka güçlü mekanizma, standart bir karar verme çerçevesi ile desteklenen açık, iş uyumlu bir risk iştahı tanımlamaktır. Bu, ekiplerin gerçek zamanlı olarak bilinçli seçimler yapmalarını sağlar: riskin ne zaman müdahaleyi gerektirdiğini ve ilerlemenin bir parçası olarak ne zaman kabul edilebileceğini bilmek. Bu netlik, gelişimi engellemekten ziyade hızlandırır, çünkü kurallar önceden bilinir ve stratejik duruşunuza uyarlanır.
Nihayetinde, siber güvenlik riskleri yeniliği durdurmakla ilgili değil, onu aydınlatmakla ilgilidir. Gerçek ağrı noktaları ve yönetilebilir maruziyetler arasında açıkça ayrım yapabildiğinizde, hızlı ve güvenli bir şekilde hareket etme özgürlüğü yaratırsınız. Fintech 2040’ın vurguladığı gibi, esnek sistemler, otomasyonu zeka ile birleştiren ve sadece risklere tepki vermekle kalmayıp, aynı zamanda onları tahmin etmek ve adapte eden sistemlerdir.
Fintech GRC’de AI yönetişiminin artan rolü, özellikle de düzenleyicilerin model riskine ve açıklanabilirliğine yakından dikkat etmesiyle ilgili ne var?
AI, Fintech işletim modelinin hızla temeli haline geliyor. Kredi puanlama ve kişiselleştirmeden sahtekarlık tespiti ve koleksiyonlara kadar her şeyi güçlendiriyor. Ancak bu büyüyen güven ile paralel bir sorumluluk gelir: AI sistemlerinin sadece etkili değil, aynı zamanda açıklanabilir, güvenli ve sorumlu bir şekilde yönetilmesini sağlamak.
Yapay zeka güvenliği ve yönetişim konusunda özel bir iç standardı sonuçlandırarak bu zorluk konusunda proaktif bir duruş aldık. Bu çerçeve, özellikle veri ve model bileşenleri etrafında – AI’ya özgü risklere özel olarak uyarlanmış yeni bir kontrol katmanı sunar. Altyapı ve uygulama düzeyinde kontroller geleneksel yazılım güvenlik uygulamalarıyla büyük ölçüde tutarlı olmaya devam ederken, AI ek dikkat gerektiren farklı risk vektörleri sunmaktadır.
Yaklaşan standardımızdan iki örnek bu evrimi göstermektedir:
- Düzeltici geri bildirim mekanizmaları: “Öngörülemeyen veya hatalı model davranışları durumunda herhangi bir düzeltici eylem için insan geri bildirimlerini bir model içine dahil edin.”
- Model izolasyonu: “Her model, diğer modellerden izole etmek için ayrı, güvenli bir ortamda dağıtılır, çapraz kontaminasyonu ve kötü niyetli bilginin aktarılmasını önler.”
Daha da önemlisi, AB AI Yasasını katı bir iç temel olarak kabul ettik. Şeffaflık, risk sınıflandırması ve gözetim gibi ilkelerini kendi kontrol manzaramıza yerleştirerek, sadece düzenleyici uyum için hazırlanmakla kalmıyor, aynı zamanda güven merkezli AI uygulamalarını aktif olarak şekillendiriyoruz.
AI yönetişimi, yenilik ve hesap verebilirliğin kesişiminde yapılandırılmış netlik yaratmakla ilgilidir. GRC’deki rolümüz, riski sağlayan ses olarak hareket etmektir, fırsatı yakalarken liderlik tarafından görülebilir. Daha önce belirtildiği gibi, iyi yönetişim inovasyonu engellemez, kararların hem baş hem de dezavantajı hakkında farkındalıkla verilmesini sağlayarak sürdürülebilir, uzun vadeli inovasyon sağlar.
Fintech 2040’ta keşfedildiği gibi, AI ajanları tarafından yönlendirilen otonom, son derece kişiselleştirilmiş finansal ekosistemler dönemine giriyoruz. Böyle bir ortamda güveni korumanın tek yolu, açıklanabilirlik, insan merkezli gözetim ve güvenliği en baştan AI sistemlerinin tasarımına dahil etmektir.
Fintechs’teki GRC liderleri, “NO Departmanı” olmadan nasıl bir uyum ve risk farkındalığı kültürü oluşturabilirler?
Uzun zamandır sektörde ivme kazanan bir zihniyet benimsedik: GRC, “hayır” değil, “Know” departmanı olmalı. Bu ifade, 2019’dan beri kurumsal GRC güvertelerimizde – bir catchfrase’den daha fazlası. GRC fonksiyonlarının akıllı, bilgilendirilmiş risk alma ve onu bastırmaması gerektiğine dair temel bir inancı yansıtır.
Riske duyarlı bir kültür oluşturmak, GRC’yi iş stratejisi ile hizalayarak, bitişik oturmakla başlar. Bu, ürün vizyonunu, müşteri yolculuğunu ve pazar dinamiklerini anlamak ve daha sonra erken ve sıklıkla ilgilenmek anlamına gelir. GRC ekipleri, çok geç tepki vermek yerine ne olacağını tahmin ederek, son milde işleri yavaşlatmak yerine güven ve esnekliği sürece yerleştirebilirler.
Bu proaktif konumlandırma, GRC uygulayıcılarının düzenleyici veya risk endişelerini ticari önceliklerle birleştiren çevirmen olarak hizmet etmelerini sağlar. Yapılandırılmış, bilinçli karar almayı kolaylaştırarak şeffaflığı sağlıyoruz. Battaniye inkarları yerine, sorumlu bir şekilde ilerlemek için neyin gerekli olduğuna dair seçenekler, değiş tokuşlar ve netlik sunuyoruz. Bu anlamda uyum, bir sürükleme değil, rekabetçi bir farklılaştırıcı haline gelir.
Aynı derecede önemli olan savunma hatları (LOD) arasındaki rol netliğidir. Özerklik ve hesap verebilirlik ile hareket etmesi için hem 1. hem de 2. LOD’yi güçlendiren açıkça tanımlanmış Racis’e yatırım yapıyoruz. GRC, ürün veya teknoloji ekiplerinden karar almakla ilgili değildir, ancak doğru kararları doğru zamanda, sonuçlarının tam görünürlüğü ile almalarına yardımcı olmakla ilgilidir.
Bu kültür oluşturma yaklaşımı, Fintech 2040’ta özetlenen temel yörüngelerden biriyle derinden yankılanıyor: düzenleyici beklentiler daha karmaşık hale geldikçe ve Fintech ekosistemleri daha birbirine bağlı olarak, kazananlar, esneklik ve uyumluluğu gömülü yeteneklere dönüştürenler-dış kısıtlamalara değil.
Otomasyon ve AI, yalın takımlar için GRC yükünü anlamlı bir şekilde azaltabilir mi, yoksa çözdüklerinden daha fazla karmaşıklık getiriyorlar mı?
AI çevresindeki mevcut dikkat iyi kazanılmıştır. NFT’ler veya genel blockchain çözümleri gibi daha önceki hype dalgalarının aksine, AI, kuruluşların işleyişini dönüştürmek için gerçek, sürekli potansiyel gösteriyor. Bununla birlikte, GRC’deki değeri büyük ölçüde nasıl uygulandığına ve kuruluşların hem mevcut sınırlamaları hem de uzun vadeli vaatleri konusunda açık olup olmadığına bağlıdır.
Yapay zekayı güçlü bir artırıcı güç olarak görüyoruz, insan zekasının yerine değil, farklı bir zeka. Bu, makinelere karar vermeyi teslim etmekle değil, GRC ekiplerinin verimliliğini ve erişimini arttırmakla ilgilidir. Düşünceyle kullanılan AI, tekrarlayan, kaynak yoğun görevleri üstlenebilir ve yargı, öngörü ve katılım için insan kapasitesini serbest bırakabilir.
Ancak, AI’ya güven güvenilirlik ve tekrarlanabilirlik ile başlar. Uyum bağlamında, belirsizlik veya halüsinasyon için neredeyse sıfır tolerans vardır. Bu nedenle AI, risk ve uyum ortamlarında güvenilir bir varlık haline gelmeden önce açıkça tanımlanmış kullanım durumlarına titizlikle test edilmeli ve sıkıca kapsamlanmalıdır.
GRC içindeki hedeflenen destek alanlarında AI uyguluyoruz, her zaman döngüde bir insan var. Örnekler şunları içerir:
- Manuel çabayı azaltırken belgeleri işleme, tutarlılığı iyileştirme için güncellemelerin otomatikleştirilmesi.
- Akıllı bilet yönlendirme, sorunları doğru işlevlere yönlendirir.
- Dilbilgisi ve netlik iç belgeler ve politikaları kontrol eder.
- Yeni düzenleyici gelişmeler üzerinde erken aşama beyin fırtınası.
- Çok boyutlu veri analizi, karmaşık veri setleri arasındaki eğilimlerin veya korelasyonların belirlenmesine yardımcı olur.
Bu kullanım durumları, AI’nın GRC için tam olarak ne yapması gerektiğini temsil eder: yükü azaltın, netliği artırın ve anlayışın kilidini açın. Ancak hem sonuçları doğrulamak hem de onları sorumlu bir şekilde yorumlamak için insan gözetiminin öneminin altını çiziyorlar.
Fintech 2040’ta belirtildiği gibi, Fintech manzarası oldukça otomatik, veri güdümlü ekosistemlere yöneliyor. Ancak bu ortamdaki esneklik sadece otomasyonun kendisine değil, otomasyonun ne kadar akıllıca yönetildiğine bağlıdır.
Kısacası, Yalın ve iyi personel takımları için AI’nın karmaşıklık şoförü olması gerekmez. Gerçek ihtiyaçlara dayandığında ve şeffaf bir şekilde kullanıldığında, takımların sadece daha dikkatli değil, daha hızlı hareket etmesine yardımcı olan stratejik bir kolaylaştırıcı haline gelir.