[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Tüm kuruluşların kullandığı teknolojilerin doğasında çok sayıda risk vardır. Bu riskler, özellikle Amerika Birleşik Devletleri’nin doğusundaki Colonial Pipeline gibi büyük altyapıları felce uğratan son fidye yazılımı saldırılarında belirgin hale geldi.1. Bu tartışma, GRC’nin veya yönetişim, risk ve uyumluluğun kuruluşların karşılaştıkları risklerle yüzleşmesine ve bunları yönetmesine nasıl yardımcı olabileceğine odaklanacaktır.
GRC üç bileşene ayrıldığından, her birinin tartışılması her birinin risk yönetimi için neden kritik olduğunu aydınlatacaktır. GRC’nin ilk kısmı yönetişimdir. Yönetişim, BT organizasyonunun genel iş hedefleriyle tutarlı bir şekilde yönetilmesini sağlamayı içerir.2. Genel iş hedefleri, bir kuruluşun rekabet avantajından yararlanmalarını sağlamak için uyguladığı stratejidir. Riskleri yöneten ve üst düzey iş stratejileri ile yönetişim düzeyinde başlayan uygun kontrollerin yürürlükte olduğundan emin olmak gerekir.3.
BT açısından risk, BT yönetiminin yürüttükleri herhangi bir kurumsal faaliyetin az önce belirtildiği gibi kurumsal iş hedefleriyle tutarlı olmasını sağlamasını içerir. Bu, BT departmanlarının risk yönetimi sürecinin kurumsal risk yönetimi işlevselliğinin bir parçası olması gerektiği anlamına gelir. BT departmanları faaliyetlerini ekonomik ve teknik yönlerle sınırladığında, şirketin gücünü ve potansiyelini tam olarak kullanamayan kuruluşun stratejisine dahil olamazlar.4.
BT departmanının risk stratejileri, kurumsal risk yönetimi politikalarıyla uyumlu hale getirildiğinde, üst yönetim tarafından tanımlanan risklerin BT departmanında meydana gelen risk yönetimine ve önlenmesine yansıtılmasını sağlamak için uyum içinde çalışır. GRC kullanan kuruluşların BT’nin kurumsal liderliğin risk yönetimi politikaları ve hedefleriyle uyumlu kalmasını sağlamalarının bir yolu, GRC’nin BT bağlamında nasıl uygulandığının etkinliğini gösteren belirli ölçülebilir hedefler belirlemektir.
GRC’nin son alanı uyumluluktur. Genellikle yasalara ve düzenlemelere bağlılık olarak kabul edilse de uyumun risk üzerinde de gerçek bir etkisi olabilir. Sayısız düzenleyici gerekliliklere uyumun karmaşıklığı arttıkça, BT departmanı genellikle şirketin uyumluluk taleplerini karşılamasına yardımcı olur. Uyumluluk taleplerinin karmaşıklığı (hatalar için önemli cezalarla birlikte gelir), BT departmanı kuruluşun uyum içinde kalmasına yardımcı olabilecek sistemler ve süreçler kurduğundan, genellikle yalnızca BT desteğiyle gerçekleştirilebilir. Gözetim sistemlerinin doğru şekilde kurulmaması ve kullanılmaması ve kuruluşun uyumsuz olduğu tespit edilirse, bu durum, kuruluşu felç edebilecek çok büyük bir mali ceza riskine neden olabilir.5.
Bu kısa tartışmanın özetlediği gibi, BT departmanlarını yönetmek için GRC kullanmak birçok nedenden dolayı önemlidir. İlk olarak, BT departmanının organizasyonun geri kalanı ve stratejileri ile uyumlu olmasını sağlar. İkincisi, GRC kullanarak çalışan BT kuruluşları, liderlik tarafından belirlenen risklerin BT’de ele alınması için risk yönetimi faaliyetlerinin kurumsal risk yönetimi faaliyetleriyle uyumlu olmasını sağlar. Son olarak, GRC’nin kullanılması, BT departmanının, kuruluşun düzenleyici taleplerle uyumlu kalmasını sağlamak için üzerine düşeni yapmasını sağlar. Bu, uyum başarısızlıkları için yüksek maliyetli ceza riskine karşı koruma sağlayacaktır.
Referanslar
- Fidye yazılımı saldırısı ABD’deki en büyük yakıt boru hattını kapatmaya zorluyor ()
- GRC nedir ve buna neden ihtiyacınız var? ()
- Kurumsal Yönetim ve Risk Yönetimi: Finansal Krizden Çıkarılan Dersler (Değil) ()
- Kurumsal risk yönetiminin bilgi teknolojisinin düzenleyici rolüyle rekabet avantajı üzerindeki etkisi ()
- Finansal Piyasalardaki Diyalektik Gerilimler: Kriz Öncesi ve Sonrası Düzenleyici Teknolojinin Boylamsal Bir Çalışması ()
reklam