Yönetim Kurulu'ndan CEO’ya 8 IT Sorusu
Bir işletmede Yönetim Kurulu’nun birincil görevi, CEO’nun önceden belirlenen stratejik plan ve normlara uygun olarak sergileyeceği iş performansını desteklemek için isabetli kararlar almaktır.
Diğer yandan, Yönetim Kurulu üyelerinin görev süreleri içerisinde sergileyecekleri tutum ve davranışlar (tone at the top) ise, hem kurumsal yönetişim ilkelerinden hem de paydaşların beklentilerinden ilham almalıdır.
Yönetim Kurulu’nun bir diğer asli sorumluluğu ise icraata nezaret fonksiyonudur.
Yukarıda bahsettiğimiz bu temel konularda hıza ve esnekliğe prim veren günümüz dijital iş dünyasında YK bünyesinde (üye ve danışmanlar olabilir) spesifik yetkinliklere sahip deneyimli uzmanlar barındırmadan karar alınması bir hayli zor ve alınacak risk düzeyi de yüksektir. Örnek vermek gerekirse, teknolojik altyapıya yapılması gereken yatırımlar, alınacak hizmetler, CIO, CTO ve diğer kritik teknik yetenek istihdamı, siber güvenlik önlemleri, dijital dönüşüm, Endüstri 4, Yapay zekâ ve makine öğrenmesi, big data analizleri, mevzuata uyum, finans, hukuk vb. konularda eski tarz Yönetim Kurulu yapıları sağlıklı kararlar alamaz.
Bir diğer önemli risk faktöründe ise, üst düzey uzman olarak istihdam edilen üyelerin yüklendikleri sorumlulukları -diğer YK üyelerin sorumluluktan kaçınma eğilimleriyle- zaman zaman görev tanımında öngörülenden daha uzaklaşmakta; bazen de aynı saik veya uzman görüşüne aşırı güvenden kötü niyetli davranışlara çanak tutmaktadır.
Ayrıca, Yönetim Kurulu’nda görev alan/almış olan herkesin tecrübe ettiği üzere, Kurul toplantıları genelde ayda bir ve nedense hep aşırı yoğun gündemle gerçekleşir. Bu nedenden dolayı, sunulan raporlar, önergeler yani gündem maddeleri çoğunlukla hakkıyla tartışılamaz ve sonucunda sağlıklı kararlar verilemez.
Yönetim Kurulu içerisinde uzman üyeler olsa da, üst komite/danışman raporlamaları olsa da bu yapıdaki toplantılar manipülasyona açık kalmaktadır. Rutin konuların bile kararlarını etkileyen bu durum özellikle Yönetim Kurulu üyelerinin genelinin ‘anlayamadığım konu’ önyargısıyla yaklaştığı IT konuları için daha fazla hatalı kararlara vesile olmaktadır.
Son olarak belirtmek gerekir ki, ISO ilgili standartlarında, gerek COBIT çerçevesinde gerekse de BDDK, Basel Komitesi gibi regülatörlerin koyduğu kurallarda bilgi teknoloji faaliyetlerinde ana sorumluluk Yönetim Kurulu üyelerine verildiğinden, bundan herhangi bir gerekçeyle kaçmak/saklanmak mümkün değildir. Yapılan bir teknoloji değişim sürecinde asli sorumluluk Yönetim Kurulu üyelerindedir.
Biz, soruna pratik bir çözümün CEO’ya YK üyelerince yöneltilebilecek bazı temel sorulara alınacak tatmin edici yanıtlarda olduğunu düşünüyoruz.
Sayın CEO;
- İşletmedeki mevcut organizasyonun Bilgi Teknolojileri Yönetişimi kabiliyeti düzeyi hakkında yeterince güveniniz var mı? Varsa neden? (İş modelinin güvenli ve etkin uygulamaları için gereken yeni teknolojileri takip, belirleme, değerlendirme, karar, uygulamaya geçirme, uygulama, gözetim ve revizyon döngüsü içeren kabiliyet duzeyi)
- Mevcut dijital operasyonel yapımız, iş süreçlerimiz mevzuata uyumlu, etkili, etkin, ekonomik ve güvenlimidir? Hangi düzeyde?
- İşletmede kullanılan teknoloji ile insan kaynaklarımız arasında üst düzey uyum ve senkronizasyonu yakaladığımızdan eminmisiniz? Nasıl?
- Bilgi güvenliği ve siber tehditlere karşı hazırlıklarımız en üst düzeyde midir? Nasıldır? Değilse neden?
- Teknoloji edinme ve yararlanma süreçlerinde hem kaynak tahsisi, hem işletme ihtiyaçlarına uygun gelişkin teknolojileri içerip içermediği, uzman görüşleri, denemeler, yetki düzeyleri gibi kriterleri dikkate alınmakta mıdır? Ekosistemden sağlanan teknolojiler ile hizmetlerde ve işletme içi geliştirilen teknolojilerde de aynı prensiplere dayanılıyor mu?
- Organizasyonel yapımız, stratejik planlarımız, kaynak yapımız, sektörel konumumuz, müşteri tatmini ile kullandığımız teknolojik altyapının uyumlu olduğunu düşünüyormusunuz? Karar süreçleri yeterince hızlı ve esnek midir?
- İçerisinde yer aldığımız ekosistemdeki/sektördeki teknolojik devinimleri önceden farkedebiliyormuyuz? Nasıl?
- İç Denetim raporlarına yansıyan bilgi teknolojileri yönetişimine ilişkin saptamalardan yararlanıyormusunuz? Bu faaliyetlerin güvence düzeyi, öneriler, içgörüler, sorunların giderilmesi bakımından yeterli buluyormusunuz?
Yönetim Kurulu üyeleri işletmedeki IT faaliyetlerinde (kurumun teknoloji stratejisi, teknoloji kullanımı, etkili risk azaltım uygulamaları, IT yönetişiminin içerisinde yer alınan tüm habitatla etkilesimi ve digerleri gibi) uygulamalara etkinlik ve güvenlik sağlayacak isabetli kararlara imza atmadan önce, kurumun en stratejik konumunda olan CEO’dan yukarıdaki sorulara tatmin edici açık ve net yanıtları almalı düşüncesindeyiz.
Henüz yıkıcı teknolojilere karşı bağışıklık kazanmış bir dijital iş modeli bilinmiyor!..
Yardım için her zaman yanınızdayız.
Saygılarımla
Bülent Hasanefendioğlu – TDG Danışmanlık Bölüm Başkanı