7. Sayı GLOBAL PERSPEKTİFLER VE İÇGÖRÜLER · CISA, CFE CYA Consulting and Auditing, Müdür...
Transcript of 7. Sayı GLOBAL PERSPEKTİFLER VE İÇGÖRÜLER · CISA, CFE CYA Consulting and Auditing, Müdür...
2
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
İçindekiler
İç Denetim ve Krizlere Karşı Esneklik ......................................................3
Açığa Çıkan Bir Güven Krizi ....................................................................3
Neden Esneklik? .....................................................................................4
Direnin .....................................................................................................5
Tepki Verin ..............................................................................................8
Toparlanın ...............................................................................................9
Sonuç .................................................................................................... 10
Katkıda Bulunanlar Melissa Agnes
Agnes + Day’in Eş Kurucusu – Kanada
James Lukaszewski
Lukaszewski Grubu’nun Bölüm
Başkanı, Risdall – Birleşik Devletler
Héctor Ricardo Parra, CIA, CRMA,
CISA, CFE
CYA Consulting and Auditing, Müdür –
Kolombiya
John Rapa
Tellefsen and Company, LLC, Başkan
ve Genel Müdür, – Birleşik Devletler
Danışma Kurulu
Nur Hayati Baharuddin, CIA, CCSA,
CFSA, CGAP, CRMA – IIA–Malezya
Lesedi Lesetedi, CIA, QIAL – IIA Afrika
Federasyonu
Hans Nieuwlands, CIA, CCSA, CGAP –
IIA–Hollanda
Karem Obeid, CIA, CCSA, CRMA –IIA
Üyesi–Birleşik Arap Emirlikleri
Carolyn Saint, CIA, CRMA, CPA –
IIA–Kuzey Amerika
Ana Cristina Zambrano Preciado, CIA,
CCSA, CRMA – IIA–Kolombiya
Önceki Sayılar
Global Perspektifler ve İçgörüler
yayınının eski sayılarına ulaşmak için,
www.theiia.org/gpi sitesini ziyaret
ediniz.
Okuyucu Geribildirimleri
Soru veya yorumlarınızı
[email protected] adresine
gönderiniz.
3
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
İç Denetim ve Krizlere Karşı Esneklik Küresel tehditlerin değişim hızı göz önüne alındığında, herhangi bir krizin bir
kurumun çalışma imkânlarını ve kabiliyetini ciddi bir düzeyde tahrip etme
ihtimali daha önce hiç olmadığı kadar yakın görünmektedir. Gelişmiş ve
karmaşık siber sabotajlar, dengesiz ve çabuk değişen iklim koşulları, terör
saldırıları ve iş bırakma eylemleri giderek artmaktadır ve bu olaylar aniden ve
habersiz bir şekilde karşınıza çıkabilir. Bu gibi kriz olayları ve
sonucundakurumun işini devam ettirememesi ve hedeflerine ulaşamaması gibi
etkenler kurumun itibarını zedeler ve paydaşlarının beklentilerini karşılama
kabiliyetine zarar verir.
Kısa bir süre önce yapılan bir çalışma, yönetim kurulu üyelerinin potansiyel
krizler konusunda farkındalık seviyeleri ile kurumlarının krizlere karşı fiili
hazırlık durumları arasında büyük boşluklar bulunduğunu göstermektedir.
Potansiyel krizleri fark edebilmek, bu tür kesintileri etkin bir şekilde
çözebilmek ve normal işleyişe ve çalışmalara dönebilmek son derece zordur.
Bunu en az şekilde etkilenerek hızlı ve verimli bir biçimde yapabilme
kapasitesini edinmek – krize karşı dirençli olmak – çok daha zordur ve nihai
hedeftir.
Kriz uzmanları, krizlere karşı esneklik kazanmanın anahtarının hazırlık olduğu
ve iç denetimin bu süreçte kilit bir rol oynayabilecek bir konumda olduğu
konusunda hemfikirler. Denetçilerin becerilerinin kapsamı, kurumdaki
konumları, şirket faaliyetleri ve operasyonları hakkındaki bilgi birikimlerinin
derinliği bu denetçilerin çalıştıkları firmaların kaçınılmaz krize karşı
hazırlanmalarına yardım edebilir ve kurumu kriz farkındalığına sahip kurum
statüsünden krizlere karşı esnekliğe sahip kurum statüsüne – büyük tahrip
edici olaylara karşı direnmeye, tepki vermeye ve bunların etkilerinden kurtulup
toparlanmaya hazır kurum statüsü- taşıyabilir.
Açığa Çıkan Bir Güven Krizi Dünyanın dört bir yanından 300’den fazla yönetim kurulu üyesinin katıldığı,
Deloitte Touche Tohmatsu Limited ve Forbes Insights tarafından 2016 yılında
ortaklaşa düzenlenen bir çalışmada, Deloitte, yönetim kurulu üyelerinin kendi
kurumlarının kriz seviyesine çıkan tehditler hakkında farkındalıkları ve bunlarla
başa çıkma kabiliyetlerine duydukları güven konusunda kapsamlı bilgi ve
içgörüler elde etti.
İnceleme ve gözlem raporuna göre, mülakat yapılan kurul üyelerinin dörtte
üçü (%76’sı) kurumlarının hemen yarın meydana gelebilecek bir krize etkin
yanıt verebileceğine ve müdahale edebileceğine inanmaktadır. Bununla
birlikte, bu katılımcıların yarısından azı, şirketlerinin, sorun olup olmadığını
araştırdıklarını veya muhtemel kriz senaryolarına ilişkin “senaryo kitapları”
bulundurduklarını beyan etmişlerdir (her biri için %49). Bunlardan üçte biri
şirketlerinde senaryo kitapları bulundurup bulundurmadıklarını dahi
bilmemektedir.
Kriz uzmanları krizlere karşı esneklik kazanmanın anahtarının hazırlık olduğu ve iç denetimin bu süreçte kilit bir rol oynayabilecek bir konumda bulunduğu konusunda hemfikirler.
4
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
Katılımcıların sadece yarısı krizin önlenmesi konusunda yönetimle özel
toplantılar yaptıklarını ya da krize hazırlık çalışmalarını desteklemek için neler
yapıldığını anlamak amacıyla yönetimle etkileşime girdiklerini söylemiştir.
Spesifik krizler konusunda ise, bu anket çalışması krizleri tanıma ve krizlere
hazırlık arasında derin uçurumlar olduğunu göstermiştir. Örneğin, kurul
üyelerinin kurumun en zayıf ve savunmasız olduğunu hissettikleri kriz alanı
kurumsal itibardır (%73), ancak içlerinden sadece %39’u bunu çözümlemeye
dair bir planının olduğunu söylemiştir. Bir kriz deneyimlediklerini söyleyenlerin
üçte birinden azı (%30) kurumsal itibarlarını bir yıldan daha kısa bir sürede geri
kazandıklarını - %16’sı ise bunun dört yıl veya daha uzun bir sürede
gerçekleştiğini söylemiştir.
Kısa bir süre önce yapılan Institute of Internal Auditors (IIA) anketi de bu
krizlere karşı hazırlıksız olma durumunu doğrulamıştır. Kriz riskiyle ilgili
internet tabanlı bir seminere katılan yaklaşık 1.500 iç denetim uzmanının üçte
birinden azı (%31) çalıştıkları kurumlarda “açık ve spesifik kriz müdahale
prosedürleri” bulunduğunu söylemiştir. Bu kişilerin yüzde dördünün çalıştığı
kurumda herhangi bir kriz müdahale prosedürü bulunmazken, yarısının genel
bir kriz müdahale prosedürü vardı ve %15’i - kaygı verici bir oran - bu
prosedürlerin mevcut olup olmadığını bilmiyordu (Ek 1).
Bu çalışmalar, krizlerin üstesinden gelmek için geliştirilmesi ve iyileştirilmesi
gereken çok fazla noktanın olduğuna işaret etmektedir. Deloitte, ilgili
raporunda “Kurumlar risk farkındalığını risklere karşı esnekliğe dönüştüren
planlama ve çalışmalara çok somut ve ölçülebilir yatırımlar yapabilirler”
değerlendirmesinde bulunmuştur. Ayrıca “kurumlar, olumsuz olayları
tamamen olgunlaşmış krizlere dönüşmeden önce öngörmelerine olanak
sağlayacak yatırımlar yapabilirler.”
Tellefsen and Company LLC firmasının başkanı ve Genel Müdürü (CEO) John
Rapa, iç denetimi, kriz planlaması konusunda anahtar bir paydaş – planın
stratejisi, taktikleri, kapsamı, varsayımları ve kısıtlayıcı yönleri bakımından
değerli bir “mantıklı ses” - olarak görmektedir.
“İç denetim birimi, planı geliştirmek, uygulamak ve sürdürmekten sorumlu
kişiler” için iyi bir dinleyici ve değerlendirmeci olmalıdır,” diyor Rapa.
“Denetçiler, risk yönetim bakış açısına değer katmak ve onun etkinliğini
artırmak amacıyla, plan hazırlama konusunda danışmanlık rolü üstlenmeli ve
güvence sunmalıdır.”
Neden Esneklik? İç denetçiler; beklenmedik aksaklıkları ve kesintileri ele alan kriz yönetimi, iş
sürekliliği yönetimi, olay müdahale, felaket kurtarma ve sonrasında
toparlanma süreci ve BT hizmetlerinin sürekliliği gibi bir kurumun içindeki pek
çok farklı kavram ve dokümandan haberdardırlar. İç denetim, bu planların
geliştirilmesinde genellikle rol oynar. Bununla birlikte, bu dokümanların çoğu
belirli bir iş koluna özgüdür: iş sürekliliği yönetimi daha ziyade işin değerini
%31
%50
%15
%4
Clear, specificcrisis response
procedures
General crisisresponse
procedures
I don’t know if there are
procedures
No crisis responseprocedures
Ek 1: Kriz Müdahale Prosedürleri
Kaynak: IIA Kuzey Amerika’nın Şubat 2017
tarihinde düzenlediği Kurumunuzu Kriz-Geçirmez
Hale Getirmek (Crisis-Proofing Your Organization)
adlı inter tabanlı seminerinden (web semineri)
alınan oylama sorusu. Soru: Kurumunuzun kriz
müdahale prosedürlerini nasıl tarif edersiniz?
Sadece iç denetçi olan katılımcıların sayısı (n) =
1,467.
Açık ve spesifik kriz müdahale prosedürleri var. Genel kriz müdahale prosedürleri var. Herhangi bir prosedür olup olmadığını bilmiyorum. Herhangi bir kriz müdahale prosedürü yok.
5
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
sürdürmeye dayanır. Bunun bileşenlerinden biri iş operasyonlarını eski haline
döndürmeye yönelik bir süreç olan kriz yönetimidir.
Bununla birlikte, insan hayatının tehlikeye girdiği, ürünlerin bozulduğu ya da
değer kaybettiği, müşterilerin kişisel bilgilerinin çalındığı veya bir Genel
Müdürün (CEO) küçük düşürüldüğü kriz durumlarında, işleri yeniden yoluna
sokmaktan çok daha fazlası gerekebilir.
İç denetçiler kriz konusundaki rollerini genişletebilecek ve bir adım geri gidip
büyük resmi – yani daha geniş kurumsal hedefleri ve bunlara dair riskleri -
değerlendirebilecek bir konumdadırlar. Çalıştıkları kurumların yönetim
kurullarının, icracı kurul üyelerinin ve işçilerinin krizlere hazırlanmalarına
yardım edebilirler, krizlere hazırlık konusunda güvence verebilirler ve krizlere
karşı esnekliği esas alan bir kurumsal kültürü kuruma aşılayabilirler.
Bir düşünce kuruluşu olan DRI International, kriz durumlarına ilişkin birden
fazla kavram ve tanımın bulunmasını ve bir soruna yanıt verirken kullanılan
terminolojinin muğlak ve belirsiz olmasının yol açabileceği kafa karışıklığını bir
sorun olarak tanımlamıştır. Çözümü ise, Uluslararası Esneklik Terimleri
Sözlüğü’nün (The International Glossary for Resilience) yaratılmasıdır. DRI, ilk
olarak, iş sürekliliği, felaket kurtarma veya risk yönetimi kavramlarına dair kriz
durumlarında kullanılan terimleri derlemiştir. 2.189 özgün terimi eleme
usulüyle en ilgili olanlarına indirgedikten ve ardından bu listeyi bir seçme
komitesi aracılığıyla ayrıntılı bir incelemeye tâbi tuttuktan sonra, 26 sektör
kaynağından elde edilen 250’den fazla en iyi tanımı bir dokümanda bir araya
getirerek yayımlamıştır.
Bu terimler sözlüğünde esneklik (resilience) teriminin “bir kurumun karmaşık
ve değişmekte olan bir ortama ayak uydurma ve kendisini adapte etme
kabiliyetidir” tanımı, güvenlik uzmanlarından oluşan bir kurum olan ASIS
International’a dayandırılmaktadır. Ana tanımın ardından iki maddeli bir
açıklama verilmektedir: a.) kurumun “bir olayın etkisine direnme veya bir
olaydan etkilenmesinin ardından kabul edilebilir bir süre içinde kabul edilebilir
bir performans seviyesine yeniden ulaşma” kabiliyeti; b.) “bir sistemin iç ve dış
değişikliklere karşın fonksiyonlarını ve yapısını sürdürmesi ve gerektiğinde
kontrollü bir şekilde verimini düşürme kabiliyeti.”
Bir kriz sırasında kontrollü bir şekilde verim düşürme şeklindeki şairane vizyon
Melissa Agnes ve James Lukaszewski gibi uzmanların çalışmalarının arkasındaki
itici güçtür. Her ikisi de, eksiksiz hazırlanma ve test senaryolarının düzenli bir
şekilde test edilmesi, bir krizi kolayca aşmanın en iyi yolu olduğunu
düşünmektedir.
Kriz yönetim danışmanı Lukaszewski “Krizler kurbanlar ve/veya patlama
derecesinde görünürlük yaratan, şovları aksatan, insanları durduran, ürünleri
durduran ve unvanları yeniden tanımlayan olaylardır” diyor. Ona göre, bir kriz
durumunda ayakta kalmanın anahtarı, krizin ilk dakikalarını ve saatlerini
yöneten, temelde makul düşünceye dayanan ve kurbanların gücünü anlayan
Kurumu Farklı Kriz
Senaryolarına Hazırlamak
Melissa Agnes, müşterilerine, bir
kurumun en büyük risklerini ele
alan kriz senaryolarını enine boyuna
düşünmelerini ve riskler arasındaki
nüansları fark etmelerini tavsiye
etmektedir. Buna göre, atılacak
adımlar aşağıdaki gibidir:
■ Her senaryoda kriz yönetimi için
kurumsal yönetim yapısını
belirleyin.
■ Her senaryo için kriz yönetim
ekibini belirleyin.
■ Her departman ve spesifik
olarak her birey için rol ve
sorumluluklar tayin edin.
■ Bir kurum-içi sorun eskalasyon
süreci hazırlayın.
■ Bileşenlerinizin ve anahtar
paydaşlarınızın kimler olduğuna
ve bu kişilerin beklentilerinin
neler olacağına karar verin.
■ İlk 24 ilâ 48 saatte dikkat
edilmesi gereken eylemleri veya
unsurları bir öncelik sırasına
koyun.
■ Başlangıçta size yöneltilecek
soruları ve onlara
verebileceğiniz cevapları enine
boyuna düşünün.
6
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
planlar geliştirmek amacıyla kurumun yönetimiyle birlikte çalışmaktır.
Uluslararası bir kriz yönetim stratejisti ve konuşmacısı olan Agnes, “doğru
kurum-içi sorun eskalasyon süreçlerinin ve karar alma konumunda doğru
kişilerin var olmasını ve kurum olarak iletişim kurmaya istekli ve hazır
olmalarını” müşterilerine tavsiye etmektedir.
Direnin Kolombiyalı danışman Hector Parra’ya göre, krizler basit bir ifadeyle risklerin
gerçekleşmiş halleri olarak tanımlanabilir. “Her şirketin varlık sebebi,
paydaşlarının gereksinimlerini karşılamak olduğundan, şirketler strateji,
operasyonlar, bilgi ve uyumla ilgili amaçlara ulaşmaya çalışırlar. Amaçların
tümü geleceğe yönelik oldukları için, bir belirsizlik ve bilinemezlik durumu söz
konusudur ve riskler bu amaçlara ulaşmayı etkileyebilirler,” diyor Parra.
“Böylece krizlerin, risklerin güçlü bir şekilde somutlaşmış halleri olduğunu
söyleyebiliriz.”
Risklerin gerçekleşip birer kriz haline gelmelerini önleme çabalarının ilk adımı
bu riskleri tespit etmektir.
Bir stratejist olan Agnes, gelmekte olan bir krizi nasıl görecekleri konusunda
müşterilerine danışmanlık etmektedir. “Yaklaşımlardan biri, en kaygı verici
konuları yönetime sormaktır. En önemli beş senaryo veya en yüksek riskli 10
senaryo iyi bir başlangıçtır, çünkü size yön verir,” diyor Agnes. “Riskleri tespit
eder etmez, derin bir dalış yapabilirsiniz. Bu konudaki bakış açılarını öğrenmek
için tüm yöneticilerle konuşun. En önemli yüksek-risk senaryolarına dair
önerileri gözden geçirmek krizlere hazırlanmanın gerçekten en iyi yoludur.”
“America’s Crisis Guru®”(Amerika’nın Kriz Gurusu) tescilli adını kullanan
Lukaszewski de bu görüşe katılıyor. “Başarılı bir hazırlık her zaman senaryoya
dayanır,” diyor. “Alıştırma yapamamak kriz müdahalesine yönelik girişimlerin
de başarısız olması anlamına gelir,” diye ekliyor.
Hem krizlere direnme hem de krizlere karşı tepki gösterme sürecine kılavuzluk
eden planlar, iç denetimin, geliştirme ve uygulamaya koyma aşamaları
üzerindeki hassas gözetiminden fazlasıyla istifade edebilir. Uzmanlar
hazırlanan planın kriz yaşanma ihtimali, krizin etki seviyesi ve dolaylı zarar
potansiyeli gibi etkenlere dayanılarak önceliklendirilmesini önermektedir.
“Kriz planlaması en kötü durum senaryosu dikkate alınarak, risk önem sırasına
göre ve en yüksek risklerden düşük risklere doğru yukarıdan-aşağıya bir
yaklaşım kullanılarak yapılmalıdır,” tavsiyesinde bulunuyor Parra. “Duruma,
özellikle de krizden etkilenenin kim olduğuna (çalışanlar, topluluklar,
müşteriler, hissedarlar) bağlı olarak, kriz planlamasının her formunda belirli bir
yaklaşım mevcut olmalıdır.”
Eylem planı; birkaç örnek vermek gerekirse, ilk 24 saat içinde atılması gereken
adımlar, ilk 48 saat içinde atılması gereken adımlar, proaktif açıklamalar, tepki
“Kriz planlaması en
kötü durum senaryosu
dikkate alınarak, risk
önem sırasına göre ve
en uç risklerden düşük
risklere doğru
yukarıdan-aşağıya bir
yaklaşım kullanılarak
yapılmalıdır.”
— Hector Parra
7
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
amaçlı müdahaleler, önceden tanımlanmış alanlardaki roller, iletişim türleri ve
yasal şart ve gereklilikler gibi olabildiğince fazla detaydan oluşmalıdır. Şayet bu
plan en kötü durum senaryolarını ele alıyorsa, daha az önemli felaketlere
uyarlanabilir nitelikte olmalıdır. Bu plan aktivasyon (etkinleştirme)
protokollerini içermeli ve krizlerin en erken sinyallerini genellikle en iyi fark
eden çalışanlar için bir raporlama yöntemi sunmalıdır.
Test ve Eğitim Lukaszewski hazırlanan planın test edilmesini önermektedir, çünkü böylelikle
kriz gelip çattığında kurum krize, müdahale durumunda daha kolay geçebilir.
Tatbikatlara ek olarak, koçluk ve eğitim, doğru/yanlış yol problemleri,
simülasyon ve herkesin rolünü prova etmesine imkan veren masaüstü
uygulamalar gibi hazırlanma yöntemleri kullanılmalıdır. “Her eğitim sonrasında
planı güncelleyin”. “Kendinize ve uygulamada yer alan her katılımcıya, artık
hakkında daha fazla şey bilmemiz gereken neyi öğrendik? Şimdi bu olduğu için
başka ne meydana gelecek?” diye sorular sorun diyor Lukaszewski.
Eğitimin de bu konuda hayati bir önemi vardır.. Mesela bir siber krizi önleme
konusunda, iç denetim çalışanlara ulaşabilir ve oynayacakları rolü
kişileştirmeleri konusunda onlara yardım edebilir. Onların, farkındalık
etkinlikleri düzenlemelerine yardımcı olabilir ve şifre değiştirme, çok faktörlü
kimlik doğrulaması kullanma ve kaynağı bilinmeyen e-posta mesajlarını açma
gibi konularda en iyi uygulamalar hakkında personele eğitim verebilir. Bazı
kurumlar, personel tarafından açıldığı takdirde anında bir eğitim seansına kayıt
oluşturan şüpheli e-postalar göndererek çalışanlarını rutin olarak teste tâbi
tutmaktadırlar. Eğitimli denetçiler sistem yamalarını daha iyi anlayabilirler, BT
kontrollerini düzenli olarak test etmenin ne kadar önem taşıdığını
vurgulayabilirler ve mevcut çerçevelerden dersler çıkarabilirler.
Hazırlanma süreci her senaryo için özelleştirilebilir, fakat temel konular ve
kaygılar korunmalıdır. “Her kriz farklı bir etki bırakır,” diyor Agnes.
“Değişmeyen şey paydaşların beklentileri ve kaygılarıdır. Neye dikkat etmeniz
gerektiğini gösteren bir ilk kontrol listesini mutlaka gözden geçirin, ardından
duruma göre değişebilecek eylemler de dahil vereceğiniz yanıtları hazırlayın.”
Lukaszewski bir “hazırlık denklemi” geliştirmiş ve “hazır olmanın” üçte ikisinin
kriz durumunda “evet diyebilecek insanları” hızlıca bulmayı sağlayacak doğru
bir iletişim bilgileri listesi bulundurmak olduğunu ifade etmiştir..
“Karar aldırmak krizlere müdahalenin önündeki en büyük engellerden biridir,”
diyor. Doğru bir iletişim bilgileri listesi bu engelleri ortadan kaldırmaya doğru
giden yolun yüzde 75’ini oluşturmaktadır. Lukaszewski’ye göre, geriye kalanın
yüzde 15’i ön izin almadır – yani bir satın alma siparişini garantilemeniz
durumunda, gerektiğinde insanları bir yerden başka bir yere taşımak için araba
bulundurma gerekliliği gibi önceden alınabilecek kararlardır. Yüzde sekizi
kapsamlı bir senaryo hazırlığı ve testlerdir; yüzde ikisi ise sürprizdir. Durumu
krize dönüştüren de işin bu sürpriz kısmıdır.
“Karar aldırmak krizlere
verilecek yanıtların
önündeki en büyük
engellerden biridir.”
— James Lukaszewski
8
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
Agnes de buna katılıyor ve planın, doğru sorun eskalasyon sürecinin tesis
edilmesini temin etmek için doğru yerde doğru insanları görevlendirmeye
imkan tanıması gerektiğini söylüyor. “Doğru kişileri doğru zamanda gereken
yerlerde görevlendiren doğru kurum-içi sorun eskalasyon protokolleri, tam
olgunlaşmış bir krizle karşı karşıya kaldığınızda sorunun çok hızlı eskale
edilmesini temin edecektir veya şayet durum sorunun eskale edilmesini
gerektirmiyorsa, gereksiz sorun eskalasyonundan
kaçınmanızı sağlayacaktır,” diyor. Durumun sadece
hukuk, mevzuata uyum, CEO veya İnsan Kaynakları
perspektifinden değil, geniş bir perspektiften
görülmesini ve değerlendirilmesini sağlamak için bu
“doğru kişiler” ifadesinin her iş biriminden, sektörden
ve paydaş grubundan birer temsilci bulundurmak
anlamına geldiğini ifade ediyor.
Rapa bu grubu bir Olay Yönetim veya Kriz Yönetim
Ekibi olarak adlandırmaktadır ve bu ekiplerin icrai
yönetim, operasyonlar, teknoloji, hukuk, medya
ilişkileri ve müşteri ilişkileri de dâhil birimler arası ve
alanlar arası bir nitelik taşımasını önermektedir.
İç Denetçi dergisi Nisan 2017 sayısında, planlama
sırasında kurumun kendisinin değil de parçası olduğu
sektörün veya bölgenin krizden muzdarip olduğu
durumlara hazırlanması tavsiyesinde bulunuyor.
Örneğin, Ford firması, yenilgi araçlarını kullanmamakla ilgili bir açıklama
yaparak kolayca Volkswagen krizinin dışında kalmıştır, diye yazmıştır J. Michael
Jacka. “Kriz Boyunca Esneklik” (Resilience Through Crisis) başlıklı makalede,
tayin edilmiş kurum sözcülerinde medya becerileri ve icrai otoritenin doğru bir
birleşiminin bulunması gerektiği ve kriz planının medya kurumlarıyla iletişime
geçmeyi sağlayacak detaylı bilgiler içermesi gerektiği konusunda uyarılarda
bulunulmaktadır.
Bir senaryoyu her şeyiyle çalışıp tamamlamak aylar sürebilir — kendi sorun
eskalasyon sürecinizi kurmak için, eksiklik ve açıklıkları bulun ve krize karşı
tam, kurum çapında tepki planı hazırlayın. Lukaszewski yılda sadece bir veya iki
senaryo hazırlanmasını önermektedir.
Enine boyuna düşünülerek hazırlanmış kapsamlı bir plan büyük bir fark yaratsa
da, uzmanlar herkese uyguntek beden elbise anlayışına benzer çözümün
olmadığı konusunda hemfikir.
“Algılanan veya öngörülen her tehdit türü için her şeyi kapsayan bir kriz veya
sorun yönetim planı yaratmaya çalışmak imkânsız değilse de, zorlayıcıdır,”
diyor Rapa.
Bir hazırlık programı oluşturulur oluşturulmaz ilk atılacak adım, kurumun
esnekliğe kucak açmasını sağlayacak bir krize-hazır kurum kültürü
“Sizin yapmak
istediğiniz şey risk
yönetimini, krizlerin
önlenmesini ve krizlere
verilecek yanıtları her
katmanıyla birlikte
kurumun ayrılmaz bir
parçası haline
getirmektir.”
— Melissa Agnes
9
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
geliştirmektir.
Tepki Verin İç denetim birimi, proaktif davranarak ve süreci anlayarak, kriz durumunda
kurumun kaygılı ve savunmacı olmak yerine insanların belirli bir rahatlık
seviyesine ulaşmasına yardım edebilir.
İç denetim, güncel bir kriz yönetim planının sorunu ve sonrasını tam olarak ele
almasını sağlayabilir ve bir soruna müdahale ekibinin devreye sokulup
sokulamadığını kontrol edip doğrulayabilir. Kriz ortaya çıktıkça ve anlaşıldıkça,
denetim birimi, örneğin olayın kapsamını, üçüncü taraflara ihtiyaç duyulup
duyulmadığını, kurumun itibarıyla ilgili riski ve kurumun tesisleri dışında
bulunan bir veri saklama yerinin güvenli olup olmadığını değerlendirebilir. İç
denetim birimi, bir olayın kanuni sonuçlarını teyit etmek için kurumun hukuk
müşaviriyle ya da bir çalışanın durumunun araştırılmasına yardım etmek veya
bir sorun olması durumunda deneyimli personelin görev yapmak üzere hazır
bulunup bulunmayacağını saptamak için insan kaynakları birimiyle işbirliği
yapabilir. Denetçiler kurumların halkla, personelle, iş ortaklarıyla ve
paydaşlarla açık ve düzenli olarak iletişim kurmasına yardım edebilirler.
“Başarılı bir kriz müdahale ekibi bir kurumu derinden anlayan ve tanıyan bir
nitelikte olacak, şirketin riskleri tespit etmesine ve anlamasına yardım edecek
ve icrai yönetimin şirketin karşı karşıya olduğu riskleri hafifletmek için en iyi
kararları almasını sağlayacaktır,” diyor Rapa. “İç denetim, anahtar paydaşlarca
enine boyuna düşünülmüş bir planın uygulanmasında gözetim rolü
üstlenmelidir.”
Parra’ya göre, bir felaket meydana geldiğinde, yapılacak ilk şey acil durum
müdahalesini etkinleştirmek ve devreye sokmak, hayat kurtarmak ve kurumun
varlıklarını korumaktır. Dakikalar veya saatler içinde bu krize karşı bir tepki
değerlendirme yapılmalıdır. Atılacak önemli adımlardan biri, neyin meydana
geldiği ve bundan sonra atılacak acil adımların neler olacağı konusunda kurum
içi ve kurum dışı iletişimin sağlanmasıdır, diyor Parra. Örneğin, Kolombiya’da
bir bankada online işlemleri etkileyen bir sistem arızası meydana geldiğinde,
müşterilerle ve yetkili mercilerle anında iletişim kurmak, sorun ve düzeltici
tedbirler hakkında bilgi vermek bir panik yaşanmasını önlemiştir diyor.
Parra, ayrıca, iç denetçilerin krizin kurumun amaçlarına ulaşması, insanlar,
kurumsal itibar, veri ve bilgiler de dâhil kurum varlıkları ve çevre mevzuatına
uyum üzerindeki etkilerini dikkate alarak kriz ciddiyeti değerlendirmesinin
yapılmasına yardım etmelerini tavsiye etmektedir.
Kriz ciddiyetinin değerlendirilmesi, bu konunun kriz öncesinde düşünülmesine
kadar gider, diyor Agnes. Kurum enine boyuna iyi düşünülmüş bir planı
sorunsuz bir şekilde uygulamaya koyarak krize hazırlık kültürünün yaratılmasını
sağlayacaktır.
“Bu da bir plan hazırlayıp onu bir rafta tozlanmaya bırakamayacağınız
10
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
anlamına gelmektedir. Ayda bir kez gözden geçirseniz dahi, bu gözden geçirme
yeterli olmayacaktır, çünkü bir kriz durumunda bizi etkileyen bu dünyada
sürekli değişen faktörler bulunmaktadır,” diyor. “Sizin yapmak istediğiniz şey
risk yönetimini, krizlerin önlenmesini ve krizlere verilecek yanıtları kurumun
tüm katmanlarının ayrılmaz bir parçası haline getirmektir. Ekip arkadaşlarınızın
planı içgüdüsel gelişiyormuş algısını yaratacak derecede iyi bilmeleri
gerekmektedir. Onların tam olarak kendilerinden yapmaları bekleneni ve en iyi
eylem planının ne olduğunu bilmelerini istiyorsunuz — yani onlarda kas
hafızası oluşturmak istiyorsunuz.”
Kriz tepkisinin en önemli yanlarından biri iletişimdir. “Sessiz kalmak sizin
çöküşünüzdür,” diyor Agnes. “Eskiden işe yarıyordu, ancak artık değil.”
Lukaszewski sessizliği, “tercih edebileceğiniz en çürütücü, zehirli strateji”
olarak adlandırıyor. Kurumların bilinçli olarak “samimiyet, açıklık ve dürüstlük”
çerçevesinde iletişim kurmalarını tavsiye ediyor. Kurum temsilcilerinin
“erişilebilir, duyarlı, şeffaf, ilgili ve açıklamaya, yorum yapmaya ve gerektiğinde
düzeltmeye hazır” olmaları gerekmektedir.
Kriz ekipleri sorunla aktif olarak ilgilendiklerini gösteren mesajlar
yayımlayabildiklerinden ötürü, sosyal medya bugün muazzam bir fayda
sağlıyor, yorumunda bulunuyor Lukaszewski. Bir SMART (Sosyal Medya
Faaliyet/Saldırılara Müdahale Ekibi) grubu kurmayı öneriyor.
“Hedefiniz hızlı ve etkili bir şekilde hareket etmektir. Hatalar olacaktır, çünkü
bu bir kriz durumudur. Her gün, enerjinizin %50’sini ve kaynaklarınızın %25’ini
dünün hatalarını düzeltmeye harcayacaksınız,” diyor Lukaszewski.
“Unutmayın, krize müdahaleniz ve verdiğiniz yanıt teknik olarak kusursuz
olabilir, fakat kurbanları ve iletişimi acemice ele almanız ve bu konuda hatalar
yapmanız halinde, krize karşı müdahaleniz bu şekilde hatırlanacaktır. Hızlı ve
adım adım düşünün ve harekete geçin. Müdahale etmeniz ne kadar gecikirse,
itibarınız da o derece zedelenecektir.”
Lukaszewski, ayrıca, kurumda ihtiyaç duyuluncaya kadar hakkında pek bir şey
bilinmeyen her kriz senaryosu için bir web sayfası açmayı öneriyor. Site aktive
edildiğinde, ilgili verileri, soru ve cevapları, gündemdeki konuları ve interaktif
özellikler sunabilir.
“Şirketinizin planı izleme yöntemi, yönetimin – hem içeride çalışanlarca hem
de dışarıda müşteriler, iş ortakları, medya, düzenleyici otoriteler vb. tarafından
–algılanma biçimini doğrudan etkileyecektir,” diyor Rapa. Önerdiği sağduyulu
tepkilerden bazıları aşağıda belirtilmektedir:
■ Sakin kalın.
■ Sorunun doğasına ve kapsamına göre, tüm bileşenlerle açık ve kapsamlı bir
şekilde ve sık iletişim kurun.
Kusursuz Özür
Amerika’nın Kriz Gurusu “Kendi
Kusursuz Özür Dileme Tarifini” şu
şekilde öneriyor:
■ Sebep olunan acı ve üzüntünün
sorumluluğunun kabul edildiğine
dair sözlü veya yazılı beyan.
■ Sebep olunan zararın spesifik
olarak kabul edilmesi ve tarifi.
■ Çıkarılan dersler ve olayın tekrar
meydana gelmesini önlemek için
yapılacak değişiklikler.
■ Af dilemek.
■ Zararı tazmin etmek.
Bu adımlardan birini bile atlarsanız,
özrünüz pek de itibar
görmeyecektir.
Kaynak: Lukaszewski on Crisis
Communication: What Your CEO Needs to
Know About Reputation Risk and Crisis
Management, Rothstein Associates Inc.
Brookfield, CT, © 2013, James E. Lukaszewski
11
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
■ Planı izleyin, fakat olaylar geliştikçe ve açığa çıktıkça düzeltmeler ve
ayarlamalar yapın.
■ Takip edin. Takip edin. Takip edin.
Lukaszewski müşterilerine daima krizin mağduriyet boyutunu kontrol altında
tutmalarını ve yönetmelerini hatırlatır. “Mağdurların farkedilmeye ve
konuşmaya ihtiyaçları vardır,” diyor. “Akıllı şirketler bu konuşmaları
kolaylaştırırlar. Çoğu durumda kurbanların en çok istediği şey birinin ‘üzgünüz’
deyip özür dilemesidir. Yönetim olumlu bir tavır oluşturmalıdır.”
Toparlanın İç denetim, kurumun çabalarının etkinliğini değerlendirip onlar hakkında
raporlar hazırlayarak, krizin kurumun itibarı üzerindeki uzun vadeli etkisi,
verileri kurtarma süreci, üçüncü şahıslar üzerindeki kontroller, kriz müdahalesi
ve eğitime ayrılan kaynakların yeterliliği gibi konuları değerlendirerek bir
kurumun krizden kurtulmasına ve toparlanmasına yardım edebilir.
Kriz sonrası tedbirler kurumun kriz esneklik planını gelecekte iyileştirmesine
yardım eder. Krizden çıkarılan derslere ilişkin dokümanlar ve bu derslerin
uygulanması da plan arasında yer almalıdır, diyor Parra. Daha sonradan önem
arz etmedikleri anlaşılan olaylar dahi tarif edilmeli ve bu bilgiler ileride
başvurulmak üzere saklanmalıdır.
Özet bilgilereolayın nedeni, etkisi, yapılan müdahale, hizmetler tamamen eski
haline döndürülünceye kadar geçen zaman, atılan adımlar, çıkarılan dersler ve
daha fazlası dâhil edilmelidir, diyor Rapa.
“Olay sonrası gözden geçirme iç denetimin önemli bir rol oynaması gereken bir
aşamadır,” diyor Agnes. “İç denetçilerin değerlendirme yapmaları, gözden
geçirmeleri ve iyileştirmeler yapmaları gerekir. Yine, toplantı odasında doğru
kişilerle oturmalı, olaya bir göz atmalı ve örneğin şu soruları sormalıdır: “Neyi
farklı yapabilirdik, bu olayın tekrar yaşanmamasını nasıl temin edebiliriz,
hazırlanan eylem planları ve kurulan iletişim faydalı oldu mu?” “Grup soruları
yanıtladıktan sonra, tartışın, değerlendirin ve ardından iyileştirmeler yapın.
Kriz planlarını güçlendirin ve bir simülasyonla yeniden test edin.”
İç denetim birimi çıkarılan derslerin uygulanması – hem kurum içinde hem de
denetim planında - konusunda etkili bir rol oynadığında, bu durum ona
kurumda destekleyici bir rolde iken doğrudan işin içinde yer alabileceği bir
başrole geçme fırsatı sunar.
“Yeterince önemli bir rol üstlenmediklerini hisseden denetçilere gelirsek,
değerinizi göstermenin ve masada bir koltuk kapmanın yollarını bulun” diye
tavsiyede bulunuyor Agnes. “Bu tür konuların gözden geçirildiği kurumlarda
hangi komiteler düzenli aralıklarla toplanır? Komite mensuplarının krizin bir
formundan, önleme yönetimininden ve hazırlıklı olmaktan bahsettiği
Kriz Sonrası
Değerlendirmesiyle
Esneklik Planını İyileştirin
Krizlerden sonra çıkarılan dersler iç
denetim birimi için paha biçilmez
olabilir. Kurum, bu deneyimleri
plana dahil ederek krizlere karşı
esnek olmaya bir adım daha
yaklaşabilir. John Rappa’nın ortalık
yatıştıktan sonra sıklıkla sorduğu
sorulardan bazıları şunlardır:
■ Olayun nasıl ortaya çıkarıldı?
■ Bunu ilk olarak kim biliyordu?
■ Bu aksaklığın etkisini tespit eden
“ilk müdahale edenler”
kimlerdi?
■ Bu olaya karşı yapılan müdahale
yönetim veya personel
tarafından nasıl ele alındı?
■ Şirket personelle, müşterilerle,
anahtar iş bileşenleriyle, anahtar
hizmet sağlayıcılarıyla,
düzenleyici otoritelerle ve
medyayla ne derece iyi ve ne
kadar sıklıkla iletişim kurdu?
■ Kök sebeplere, etkilere, iş
üzerindeki etkilere ve çıkarılan
derslere ilişkin bir olay sonrası
değerlendirme yapıldı mı?
■ Herhangi bir eksikliği, riski veya
ek tehdidi ele almak için bir
eylem planı uygulandı mı?
12
iGlobal Perspektifler: Krizlere Karşı Esneklik
globaliia.org
kurumlarda hâlihazırda hangi komiteler mevcuttur? Masada bir yeriniz varsa,
bu durumda denetim biriminin bir söz hakkı olacaktır ve bu birim devam eden
günlük programlara girdiler sunacak ve katkıda bulunacaktır.”
Sonuç “Krizlere karşı müdahaleniz orada bulunmayan insanlarca yine orada
bulunmayan kişilerden alıntılar yapılarak eleştirilecektir,” diyor Lukaszewski.
“Siz en önemli sorunlara çözüm bulmaya odaklanın.”
Müşterilerine zafiyetleri sürekli olarak değerlendirmelerini, risk maruziyetlerini
yönetmelerini ve yönetime ve kurula tehditler hakkında rutin olarak brifingler
vermelerini tavsiye etmektedir.
Basit bir teminoloji değişikliği bu süreci kolaylaştırabilir. “Kriz kurum
yönetimlerini irrite eden bir sözcüktür, çünkü varsa çok az lider bir krizin
kendilerini vurabileceğine inanır,” diyor Lukaszewski. “Hazırlık (readiness)
onların yapmaları gerekeni daha iyi anlamalarını sağlar.” Agnes, bu bir klişe
gibi gelebilir, fakat en iyi kriz yönetim biçiminin krizleri önlemek olduğunu
söylemektedir. “En önemli riskleri açıkça tespit edin ve önlenebilir olanları
önlemeye yönelik tedbirleri açıkça uygulamaya sokun,” diyor Agnes, “fakat bu
durumda önlenemeyen krizlerin etkin yönetilmesi için gerekli tedbirlerin
alınmasını temin edin.”
Karmaşık ve değişmekte olan bir kriz ortamında dahi, kurumlar kendilerini
koşullara adapte edebilir, krizlerin etkilerine direnebilir, normal durumlarına
hızla geri dönebilir, fonksiyonlarını ve yapılarını sürdürebilir ve verimlerini
aşamalı bir şekilde azaltabilirler. En önemli sorunlar tespit edildiğinde,
senaryolar güncellendiğinde; web sayfaları geliştirildiğinde; mesajlar
yapılandırıldığında ve sıraya konduğunda ve bir plan uygulamaya konup, test
edilip düzenli olarak güncellendiğinde, iç denetim birimi sadece kurum
yönetiminin krize hazır hale getirilmesini değil, aksine kurumun tamamının
krizlere karşı esnek bir yapıya kavuşturulmasını sağlayabilir.
13
Global Perspektifler:
Krizlere Karşı Esneklik
globaliia.org
Krizlere Karşı Esnek Olan Kurumların Özellikleri
■ Kriz esnekliğinden kıdemli bir kişi sorumludur.
o Bir kriz durumunda karar almaya yönelik önceden belirlenmiş bir otorite zinciri vardır.
o Her türlü krizi yönetmek için iletişim ve müdahaleye süreçlerine ilişkin güncel bir ağaç diyagramı
vardır.
■ Aşağıda belirtilen özelliklerde bir kriz esneklik planı uygulanmaktadır:
o Bütün anahtar iş fonksiyonlarını içeren.
o Kriz yönetimi sırasında tüm anahtar paydaşları (iç ve dış) ve durum bildirme yöntemlerini
tanımlayan.
o Anahtar müdahale senaryolarını ve spesifik müdahale prosedürlerini tanımlayan.
o Felaket kurtarma planında BT operasyonlarını ele alan bir madde içeren.
o Kurum çapında iletilen ve anlaşılan.
o Düzenli olarak test edilen.
Periyodik testlerden sonra, sonuçlar paylaşılır ve düzeltici eylem adımları hazırlanır.
o Kriz sonrası değerlendirmeye ve çıkarılan derslerin uygulanmasına yönelik prosedürler sunan.
■ Periyodik risk değerlendirmeleri yapılmaktadır; kriz planı değişen risk ortamı temelinde gözden
geçirilmektedir.
■ Önceden tayin edilmiş bir yedekleme tesisi hazır bulunmaktadır ve fiziksel mekânın veya güvenli veri
saklama kapasitesinin yitirilmesi halinde kullanım için emre amade durumdadır.
■ Internal audit has a seat at the table in providing input, assessing risk, and periodically testing the crisis
resilience plan.
Daha Fazla Bilgi için İç denetçi dergisi, “Kriz Boyunca Krizlere Karşı Esneklik,” J. Michael Jacka, Nisan 2017 (www.theiia.org)
Deloitte, “Bir Güven Krizi,” 2016 (www.deloitte.com)
DRI International, Uluslararası Esneklik Terimleri Sözlüğü (www.drii.org)
IIA Uygulama Rehberi: İş Sürekliliği Yönetimi (www.theiia.org)
“Güvenlik İstihbaratı Merkezi – Sonraki Adımlar: Müdahalenin Ötesinden Öngörmeye,” İç denetim Vakfı ve Crowe
Horwath (www.theiia.org)
iGlobal Perspektifler: Krizlere Karşı Esneklik
IIA Hakkında İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin en tanınmış savuncusu, eğitim kurumu ve standart, rehber ve sertifika
sağlayıcısıdır. 1941 yılında kurulan IIA, 170 ülke ve bölgeden 190.000’i aşkın üyeye hizmet vermektedir. Derneğin dünya
çapındaki genel merkezi Lake Mary, Fla., Amerika Birleşik Devletleri adresinde bulunmaktadır. Daha fazla bilgi için, lütfen
www.globaliia.org web sayfasını ziyaret ediniz.
Sorumluluğun Reddi Beyanı Global Perspektifler ve İçgörüler dokümanında ifade edilen fikirler, münferit katkıda bulunanların veya katkıda
bulunanların çalışanlarının görüşleri olmak zorunda değildir.
Telif Hakkı Telif hakları © 2014. Telif hakkı, Uluslararası İç Denetçiler Enstitüsü’ne (The Institute of Internal Auditors, Inc. --- “The IIA”) aittir ve
kesinlikle saklı tutulmuştur. The IIA ismi veya logosunun çoğaltılması halinde, A.B.D. federal ticari marka tescil sembolü ®’nin
kullanılması gerekmektedir. Bu dokümanın hiçbir bölümü, IIA’nın yazılı izni alınmadan herhangi bir formda çoğaltılamaz.