INmagazine Sayı 7 (Temmuz, Ağustos, Eylül) | Page 8

STRATEJİ
6
SORUMLULUKLARIN ETKİ ALANI Bir şirket sizden ISO 37001 sertifikası istiyorsa , emin olun ya kendisinde de vardır veya etik ve uyum programları zaten dünya standardındadır . Zira üçüncü taraflarla ilgili risk değerlendirmesi ISO 37001 ile gelen sorumlulukların başında geliyor ( Third Party Due Dilligence ). Şirketinizin bu denklemin iki tarafında da olduğunu unutmamalısınız . Yani global şirkete karşı , bir tedarikçi olarak , ne kadar sorumluysanız , kendi tedarik zinciri risk yönetiminizi de aynı titizlikle yapmak durumundasınız . Bu temel ilke zaten etkin bir etik ve uyum programının ruhunu oluşturuyor . Siz kendinizi nasıl bir kurumsal vatandaş olarak tanımlıyorsanız aynı tanıma uygun tedarikçilerle çalışmak da sizin sorumluluğunuz . Standart bu sorumluluğu da tanımlıyor . İşte birkaç örnek : l Risklerin tespitinde gerekli özenin gösterilmesi ( Due dilligence ) tespite konu risklerin önemine ve ağırlığına uygun yapılmak zorundadır . Bunun anlamı , etik ve uyum yönetimi programınızın risklerin değerlendirilmesi , ölçülmesi , derecelendirilmesi ve haritalanması ile ilgili bir altyapıya sahip olmalıdır . Doğru ölçemediğinizi doğru yönetemezsiniz . Her paydaşınızla ilgili risk tespitiniz aynı olamaz . Örneğin tedarikçiniz ile müşterinizin yolsuzluk risklerini aynı araçla yönetemezsiniz . “ Müşterim neden yolsuzluk riski getirsin ?” demeyin . Banka gibi yüksek regülasyonlara tabi bir şirketseniz , kamu ile iş yapıyorsanız veya kara para aklama operasyonunda hizmetine sıklıkla başvurulan riskli sektörlerde iseniz “ Müşterini tanı ” ( Know your customer ) ilkesi risklerinizi yönetmekteki dominant faktör olabilir . l Kırmızı bayrak ; şirketler risk tespitlerinde buz dağının üzerinde kalan konulara dikkat ederken birçok küçük göstergeyi gözden kaçırıyor olabilirler . Örneğin rüşvet soruşturması geçirmiş bir şirket hemen radarlarınıza takılırken şirketin sicil kaydına dair kayıtlardaki tutarsızlıklar dikkatinizi çekmiyorsa , imza sirküleri gibi şirket iç kontrollerine aykırılığın ortaya çıkartılması ile ilgili denetim mekanizmala-
ISO 37001 , TAM DA ISTEYECEĞIMIZ GIBI , ALMAMIZ GEREKEN ÖNLEMLERI SIRALAMIYOR ; RISKLERIMZI “ MAKUL VE ORANTILI ” YÖNTEMLERLE ÖLÇÜP YÖNETEN BIR MEKANIZMANIN VARLIĞINI SORGULUYOR .
rının varlığı ve işlevselliğini değerlendirmiyorsanız , “ yönetim kurulu veya yöneticiler arasında özellikle şirketin müşterileri arasındaki bir kamu kurumundan veya bu kamu kurumları üzerinde baskı oluşturabilecek yetkiyle çalışmış bir kamu görevlisi var mıdır ?” sorusu aklınıza gelmiyorsa risk yönetiminizi layıkıyla yaptığınızı iddia etmek zor olacaktır . Standart , tam da yapmasını isteyeceğimiz gibi , almanız gereken önlemleri ve uygulamanız gereken yöntemleri sıralamıyor ; buna mukabil risklerinizi “ makul ve orantılı ” yöntemlerle ölçüp yöneten bir mekanizmanın varlığını sorguluyor . Elbette neyin makul olduğu tanımı hep bir tartışma konusu olarak kalacaktır ; ancak ticari ilişki içindeki her şirket aslında hukuki bir riski de paylaşıyor ve birlikte yönetiyor demektir . Bu ilişki ve zamanla gelişecek karşılıklı talepler endüstri normlarını oluşturacak ve makul olanın tarifini kolaylaştıracaktır .
NASIL DENETLENECEK ? Yolsuzlukla , etik ve uyum programı ile yönetilen en önemli risk . Bu programlarla ilgili hiçbir şey öğrenmediysek en azından herkese uyan bir program şablonu olamayacağını biliyoruz . Etik ve uyum programları şirketin ne ürettiği ile değil nasıl ürettiği ve kim olduğu ile ilgilidir . İlaveten , bir önceki sorunun cevabında geçen , “ makul ve orantılı ” tanımı bile , 37001 denetimini ISO tarafından hazırlanmış diğer tüm standartların denetiminden daha zor hale getiriyor . Bu şirkete özel durumun standardı karşıladığı nasıl anlaşılacak ? Bu soru altındaki bir diğer detay ise şudur : Etik ve uyum yöneticisi , herhangi bir uyumsuzluk durumundaki mütalaasını , tabi olunan kanunlar , şirketin yö-
netmek durumunda olduğu riskler , şirket kültürü , iş yapılan bölgenin sosyal yapısı ve kültürü , ortaya çıkan uyumsuzluğun dinamikleri , şirket politika ve prosedürleri gibi bir çok kriteri inceledikten ve yeterli bilgi ile donandıktan sonra verir . Dolayısıyla verdiği mütalaa veya kararın ileride hatalı çıkması o andaki kararın yanlış olduğu anlamına gelmeyebilir . Yani neyin makul olduğu kadar verilen kararın doğruluğu da içeriden bakan ve dışarıdan bakan göz için subjektif olabilir . Örneğin yöneticiler ve çalışanların aynı içerikle ve aynı ortamda yolsuzlukla mücadele eğitimi alması veya almaması bile birçok meslektaşın hâlâ tartıştığı bir konu . Dahası , işinde uzman bir uyum yöneticisi için bile sektör değiştirdiğinde yeni şirketinin dinamiklerini öğrenmek ve kararlarını bunları göz önünde bulundurarak vermek bir süreç gerektirirken hem meslek hem sektör tecrübesi buna yeterli olamayacak bir denetçinin vereceği görüş ne derece adil olabilir ? Benim vardığım sonuç , özellikle bir şirketin uyum hayatını kaotik hale getirebilecek kadar fazla kesişim kümesi olan , uluslararası yaptırım sahası olan ulusal yasalarla gelen , hukuka uygunluk ( regulatory compliance ) alanındaki risklerin etkin yönetimine destek olabilecek , tüm standartlara hakim olacak bir standarda ihtiyaç duyulduğu yönünde . Bunun da ötesinde , özellikle tedarik zincirinde yolsuzlukla mücadele ve üçüncü tarafların risklerinin değerlendirilmesinde çok faydalı bir denetim aracı ile karşı karşıya olduğumuzu düşünüyorum . Elbette düğmeye basıldığı gün yolsuzluk risklerinin yönetimi alanındaki tüm gri alanlar ortadan kalkmayacak veya su kaçıran tüm delikler tıkanmış olmayacak . Bir standart içinde bile olsak öğrenme ve gelişme süreci hep devam edecek . Etik ve uyum yöneticisi , tasarladığı ve / veya yönettiği programın en temel özelliğinin sürekli öğrenmek , gelişmek ve adapte olmak olduğunu bilir . Dolayısıyla , standardın da öğrenip gelişecek bir dinamizmde olmasını yadırgamayacaktır . 4