“Bilgi Teknolojilerine yönelik düzenlemeler açısından, bankacılık ve telekom gibi sektörlere göre daha rahat sayılabilecek bir sektörde faaliyet gösteriyoruz. Ancak şirketimizin ana hissedarı olan BNP Paribas Grubu, yönetişim, risk ve uyum (GRC) konularının en detaylı haliyle ama kendi kapsamında bir bütünlük içinde ele alınmasına büyük önem veriyor. Bu perspektifle süreçlerimizi şu anda 6. versiyonu yürürlükte olan kapsamlı bir GRC çerçevesini takip ediyoruz COBIT 5 temeline dayanan bu çerçevede tedarikçinin tanınmasından, iç hizmetlerin kalitesine, proje yönetiminden, operasyonel risk olaylarına, siber tehditlerden insan kaynağı planlamasına kadar organizasyonun tüm süreçleri detaylı şekilde ele alınıyor.

Yakın zamana kadar biz de birçok kurum gibi GRC süreçlerini birbiriyle entegre olmayan çok sayıda  uygulama vasıtasıyla takip etmeye çalışıyorduk. Grubumuz 2023 yılının sonunda merkezi bir araca (tool) geçiş yaptı ve tüm veriler zaman içerisinde bu araca taşındı. Araç üzerinde envanter yönetimi yeteneğinin bulunması sayesinde riskleri varlık bazlı yönetme, varlıklardaki değişikliklerin risk ve uyuma etkisini erkenden ve doğru ölçme imkanına kavuştuk. Varlıkların eskimesi nedeniyle oluşabilecek siber tehditleri ve erişilebilirlik sorunlarını önceden fark etmeye ve lisans sorununa yol açabilecek konularda önceden tedbir almaya başladık. GRC yönetiminde yer alan farklı ülkelerdeki ekipler arasındaki yazılı ve sözlü iletişim ihtiyacı azaldı, bizim için doğru ve zamanında raporlama imkânı doğdu. Özetle farklı ekiplerin farklı ortamlardan eriştiği ancak kimi zaman da gözden kaçabilen bilgiler artık görünür ve birbiriyle ilişkilendirilebilir oldu.

Diğer taraftan bu ölçüde kapsamlı bir GRC yönetiminin kuruma getirdiği ilave sorumluluklar da var. Sahip olduğumuz teknolojilerin yenilenmesine daha fazla kaynak ayırmamız, tedarikçi ilişkilerinde daha detaylı kontrolleri devreye almamız, proje süreçlerinde tespit edilen risklerin durdurucu etkiye sahip olmaya başlaması gibi nedenlerle bazı süreçlerin uzaması ve maliyet artışı gibi etkilerle karşılaştık. Ancak GRC sürecinin kurumdaki her ekip ve tüm bireyler tarafından özümsenmesiyle birlikte, bu zorlukların minimize edilerek iyileşme sürecinin başlayacağından da eminim.

GRC süreçleri doğru yönetildiğinde, siber güvenlik sorunları ve veri uyum problemleri dahil olmak üzere, birçok konuda içiniz çok daha rahat ediyor. Sorumlu olduğunuz varlıkların güvende olduğunu hissediyorsunuz.”