Yönetişim, etik ve uyum —GRC olarak da bilinen bu üçlü— kurumsal yönetimin en kritik eksenlerinden birini oluşturmaktadır. Ancak GRC'yi bir uyum maliyeti olarak değil stratejik bir kapasite olarak konumlandıran ve yönetim kurulunun çalışma gündeminin merkezine taşıyan organizasyonlar, bu üçlünün sunduğu değerin yalnızca küçük bir kesimine ulaşabilmektedir. Dünya Bankası verilerine göre rüşvet ve yolsuzluk küresel GSYİH'nin yaklaşık yüzde ikisine karşılık gelen bir maliyete yol açmaktadır. Öte yandan güçlü yönetişim yapısına sahip şirketlerin sermaye maliyetinin daha düşük, kriz direncinin ise daha yüksek olduğu tutarlı biçimde gözlemlenmektedir. Bu iki olgu birlikte değerlendirildiğinde, yönetişim kalitesinin salt etik bir tercih değil finansal bir performans değişkeni olduğu açıkça görülmektedir.
ISO 37301: Uyum Yönetim Sisteminin Yapısal Çerçevesi
ISO 37301:2021 Uyum Yönetim Sistemi standardı, organizasyonların maruz kaldığı yasal, düzenleyici ve etik riskleri sistematik biçimde yönetmesi için uluslararası düzeyde kabul görmüş bir çerçeve sunmaktadır. HLS yapısına uygun olan standart; organizasyonel bağlam ve paydaş gereksinimlerinin analizi, uyum yükümlülüklerinin belirlenmesi, liderlik ve kültür, operasyonel kontroller ve performans değerlendirmeyi bütünleşik bir döngü içinde ele almaktadır.
Standardın en kritik vurgusu, uyum kültürüdür. Politika ve prosedürler uyum sisteminin iskeletini oluşturur; ancak sistemin gerçekte işlemesi, üst yönetimin davranışsal örnek oluşturmasına —"tone at the top"— ve çalışanların etik kaygılarını misilleme korkusu olmadan dile getirebildiği bir organizasyon iklimine bağlıdır. AB İhbarcı Koruma Direktifi ve Türkiye'de benzer yasal düzenlemeler, şikâyet ve bildirim mekanizmalarının yasal çerçevesini güçlendirmektedir.
ISO 37001: Rüşvet Karşıtı Yönetim Sisteminin Operasyonel Gereklilikleri
ISO 37001:2016 Rüşvet Karşıtı Yönetim Sistemi, yolsuzluk riskinin en yoğun biçimde tezahür ettiği alanlara —kamu ihaleleri, lisans ve izin süreçleri, üçüncü taraf aracılar, hediye ve ağırlama politikaları— odaklanan spesifik bir standarttır. Standart, ISO 37301 ile tamamlayıcı ve entegre uygulanabilir bir yapıya sahiptir.
ISO 37001'in en kritik operasyonel gerekliliklerinden biri iş ortağı durum tespitidir. ABD FCPA ve İngiltere Rüşvet Kanunu'nun (UK Bribery Act) uygulamalarında görüldüğü üzere, şirket adına hareket eden aracılar, temsilciler ve danışmanlar aracılığıyla gerçekleşen ihlaller organizasyonu yasal sorumluluk altına sokabilmektedir. Orantılı durum tespiti ilkesi; iş ortağının coğrafi risk profili, faaliyet alanı ve şirketle ilişkisinin niteliğine göre farklılaştırılmış değerlendirme prosedürleri uygulanmasını öngörmektedir.
Hesap Verebilirlik Yapıları: Yönetim Kurulundan Operasyona
GRC'nin kurumsal yönetişime gerçek anlamda entegrasyonu, üç savunma hattı modelinin etkin biçimde kurulmasını gerektirmektedir. Birinci hat —operasyon ve iş birimleri— günlük kararlarında uyum sorumluluğunu taşır. İkinci hat —uyum, risk ve hukuk fonksiyonları— politika tasarımı, izleme ve rehberlik sağlar. Üçüncü hat —iç denetim— sistemin bütünsel etkinliğini bağımsız olarak değerlendirir.
Yönetim kurulu düzeyinde denetim komitesinin GRC konularındaki gözetim rolü giderek genişlemektedir. ESG yönetişim gereklilikleri —özellikle CSRD'nin yönetişim açıklama standartları— yönetim kurulunun uyum programlarını, etik kültürü ve rüşvet karşıtı mekanizmaları aktif biçimde izlemesini beklemektedir. Bu gözetimin etkinliği, komite üyelerinin konu alanındaki yeterliliğiyle doğrudan ilişkilidir.
GRC'yi ESG Yönetişimiyle Bütünleştirmek
ESG'nin G boyutu, kurumsal yönetişim kalitesini ölçmek için giderek daha sistematik kriterler kullanmaktadır. MSCI, Sustainalytics ve ISS gibi ESG derecelendirme kuruluşlarının yönetişim değerlendirme metodolojileri; yönetim kurulu bağımsızlığı ve çeşitliliği, yönetici ücret yapıları, iş etiği politikaları ve rüşvet karşıtı programların varlığını kapsamaktadır. ISO 37001 sertifikasyonu, bu değerlendirmelerde somut bir kanıt olarak işlev görmektedir.
GRC ile ESG yönetişimini entegre eden organizasyonlar; uyum riskini yönetmekle kalmayıp sermaye maliyetini düşürme, kurumsal itibar güçlendirme ve uzun vadeli paydaş güveni inşa etme açısından da ölçülebilir avantajlar elde etmektedir. Yönetişim kalitesi, ESG değerlendirmelerinde en güvenilir ve kararlı biçimde ölçülebilen boyut olmaya devam etmekte; bu durum GRC yatırımlarının değerini hem uyum hem de değer yaratma perspektifinden meşrulaştırmaktadır.