Kurumsal İtibar ve Yönetimi

Summary

Article explains reputation as part of identity, corporate reputation and management of reputation. After defining perception and associating it with perception, it defines and describes components of reputation management.

İtibar kimliğin önemli bir bileşenidir. Saygınlık olarak ta ifade edebileceğimiz itibar, bir birey ya da bir kuruluşun başkaları tarafından değerlendirilmesidir. Kimliğin diğer bileşenleri genellikle birey ya da organizasyon tarafından belirlenirken, itibarda algı boyutu önem kazanır. 

Kurumsal itibar de bir kuruluşun, geçmişteki davranışlarının paydaşları olan bireyler, gruplar ya da kamuoyu tarafından geleceğe yapılan projeksiyonudur. Bu davranışların oluşturduğu algılar bütünü kuruluşun gelecekteki genel görüntüsünü meydana getirir. Algı boyutunun öneminden dolayı itibar yönetimi algı yönetimi olarak ta nitelendirilir. En azından birbirlerini tamamladıkları kabul edilir.

İtibar yönetimi iki nedenden dolayı önem kazanmaktadır. Birincisi kuruluşların ürün ve hizmetlerinin küreselleşme ile birbirlerine yaklaşmasıdır. Rekabetin önemli unsurlarından olan farklılaşma itibar yönetimi ile sağlanabilmektedir. Diğer bir neden de kuruluşların defter değeri ile piyasa değerleri arasındaki farkın günümüzde giderek açılmasıdır. Bu soyut değerin ölçülebilmesi ve yönetilebilmesini açıklamaya yönelik çalışmalar artmakta ve soyut değerler içindeki en önemli kalemin kurumsal itibar olduğu gözlenmektedir.

İtibar yönetiminin kuruluşun herhangi bir bölümüne devredilmeyeceği kabul edilir. Tüm fonksiyonları bu hedefe yöneltmek gerekir. Bu nedenle itibar yönetimi doğrudan üst yönetim tarafından koordine edilir.

 İtibar yönetimi 1990'lı yıllarda Fortune dergisinin yıllık araştırması ile gündeme geldi. Temel kriterleri yönetim kalitesi, ürün kalitesi, yenilikçilik, finansal performans, nitelikli çalışanları çekme ve tutma, sosyal sorumluluk ve etkili kaynak kullanımıdır.

1999 yılından başlayarak Capital Dergisi Türkiye'nin en beğenilen şirketleri araştırmasını başlattı. Fortune Dergisinin kriterlerine uluslararası pazara entegrasyon, iletişim ve halkla ilişkiler, çalışana sunulan sosyal haklar, ücret politikaları, eğitim olanakları ile rekabette etik davranma ve yeni ürün geliştirme gibi kriterler ekledi.

İtibar yönetimi ile ilgili Türkiye'deki ilk kampanyanın Turkcell tarafından başlatılan "Baba beni okula gönder" kampanyası olduğu söylenebilir.

Yüksek itibar, ürün ve hizmetlere rakiplere oranla daha yüksek fiyat belirleme olanağı sağlar. Daha kolay yatırımcı ve daha fazla sermaye edinme, böylece finansal kredibilitesini daha kolay yükseltme olanağı sağlar. Nitelikli insan kaynağı ve iş ortaklarını mıknatıs gibi çeker ve elde tutar.

İtibar yönetiminde mesafe alan kuruluşlar çalışan sadakati ve verimliliğini yükseltmenin yanı sıra, zor zamanlarda paydaşları tarafından daha fazla hoşgörüye mazhar olurlar. Bu hoşgörü rakiplerinden gelecek tehditlere karşı zaman kazandırır. Günümüzde en önemli rekabet unsuru artık zamandır ve kuruluşa büyük avantajlar sağlar.

İtibar yönetiminin bileşenleri yönetim kalitesi, finansal performans, ürün ve hizmet kalitesi, müşteri odaklılık, duygusal çekim, sosyal sorumluluk, etik davranış ve şeffalıktır.

İtibar yönetiminin başlangıç noktası vizyoner ve güçlü bir liderliktir. Vizyon, somut bir gerçektir ve gerçekleşmesi görülebilecek kadar yakın, yeni bir oluşumun hayranlığını uyandıracak kadar uzak olmalıdır. Yüksek itibarı hedefleyen kuruluşların finansal geçmişleri iyi olmalıdır. Büyüme beklentisi içinde olmaları gereklidir. Beğenilen kuruluşlar olmak için çalışırken doğruluktan ayrılmamalı, inandırıcı ve rakiplerine karşı dürüst olmalıdırlar.

Yönetimin en önemli aktivitesi çalışanları kurum hakkında iyi duygulara sahip kılmak olmalıdır. Kurumsal kültür, itibar yönetiminin ön koşuludur. Kurumsal kültürün çalışanlara benimsetilmediği durumlarda gerçekleşmez. Çalışanlar kuruluşa karşı takdir, saygı ve aidiyet duymalıdırlar. Üst yöneticileri model olarak almalıdırlar. Büyük anlaşmalar öncesi güven duymalı ve desteklemelidirler. Üst yöneticiler çalışanları ve yatırımcıları etkilediklerini bilerek kuruluşun değerlerini yansıtmalıdırlar.

Üst yönetimin liderliğinde ve çalışanların gayretleriyle kuruluşun üçüncü kişi ve kuruluşlarla ilişkilerini yürütenler için standartlar oluşturulur. İtibar yönetiminin temel araçları iş hedefleri, algı hedefleri, iletişim kanalları, başarı kriterleri ve kriz yönetim planlarıdır.

İtibar kavramı, halkla ilişkiler, marka ve kalite kavramlarıyla karıştırılabilmektedir. Bu kavramlar itibar yönetiminin bileşenleridirler ve onunla özdeşleşmemelidirler.

İtibar yönetiminin önemli bir varlık koşulu da kamuoyu önünde görünürlülük gerektirmesidir. Bilinmeyen bir kuruluşun itibarı söz konusu olmaz.

Uzun süreli tutarlı davranışlarla kazanılan itibar, iyi yönetilmezse çok kısa zamanda yitirilebilir. Solomon Brothers CEO'su ünlü yatırımcı Warren Buffet itibar yönetiminin önemini yöneticilerine seslenirken şöyle ifade etmiştir: Eğer yanlış kararlar yüzünden para kaybedersek bunu anlayışla karşılayabilirim. Ama itibarımızı kaybedersek bu konuda merhametsiz olurum.

Referans:

1. Perakende Sektöründe İtibar Yönetimi - Murat Çakırkaya

2. Turizm İşletmelerinde İtibar Yönetimi - Erkan Akgöz, Başak Solmaz

Ödeme Sistemlerinde Güvenlik ve PCI DSS ile PA DSS Standartları

Summary

Payment Card Industry Security Standards Council (PCI SSC), an open, global forum for the development of PCI security standards, published new PCI Data Security Standard (DSS) and Payment Application DSS. This article summarizes organizational structure of PCI SSC, life cycle processing and high level overview of standards.

Ödeme Kartları Endüstrisi (Payment Card Industry, PCI) Güvenlik Standartları Konseyi (Security Standards Council) PCI standartının yeni sürümünü yayınladı. Ödeme kartları endüstrisi, banka kartları, kredi kartları ve sanal kartlarla işlemler yapan kuruluşların oluşturduğu sektörü ifade eder. Visa, Master Card, American Express başta olmak üzere 2006 yılına kadar kendi özgün güvenlik sistemlerini kullanıyorlardı. 2006 yılında ortak güvenlik standartları oluşturmak üzere bağımsız bir konsey oluşturdular. Bu konsey PCI DSS (Data Security Standards) standartları yayınlamaya başladı.

Konsey, PCI DSS standartı ile uyumlu olan kuruluşları web sitesinde yayınlıyor. Ürün, hizmet ve kuruluşların bu standarta uyumluluğunu onaylayan yetkili güvenlik eksper firmalar (Qualified Security Assessor, QSA) belirliyorlar. QSA firmalar da web sitesinde yayınlanıyor. Değerlendirme ve belgelendirme her yıl yenileniyor.

PCI DSS standardı üç yıl için belirleniyor. Önceki standart bir yıl daha geçerliliğini koruyor. İkinci yıl geri beslemeler alınıyor ve gözden geçiriliyor. Üçüncü yıl bunların ışığında PCI DSS standardı yeni sürümü hazırlanıyor. 2014 yılbaşından itibaren üçüncü sürüm geçerli oldu. İkinci sürümün geçerliliği 2014 yılı sonuna kadar uzatıldı.

PCI DSS yanında bir de PA DSS standardı var. Bu standart ödeme uygulamasının (Payment Application) uyumluluk özelliklerini tanımlıyor. PA DSS standardına uyumlu olmak, PCI DSS standardına otomatik uyumluluğu öngörmüyor.

PCI DSS gereksinimleri güvenlik sistemleri (Örneğin güvenlik duvarı), sanallaştırma bileşenleri, ağ bileşenleri, sunucu sistemleri ve uygulamaların niteliklerini belirliyor. Kart bilgilerinin dolaştığı ağ yapısının kısıtlanması (segmentation) PCI DSS için bir ön koşul değil ama sertifikasyon kapsamını, maliyetini ve riskleri azaltan önemli bir unsur. Kablosuz ağları da önemli bir risk unsuru olarak gören konsey, kablosuz iletişimin kritik bilgilerin taşınması için uygun olmadığını belirtiyor.

PCI DSS standardı 6 başlık altında 12 gereksinim tanımlıyor. Ana başlıklar: 

1. Güvenli bir ağ ve güvenli sistemler kur, 
2. Kart bilgilerini koru, 
3. Güvenlik açıklarını yönetecek bir program oluştur,
4.  Güçlü erişim denetimi önlemleri oluştur, 
5. Ağları düzenli olarak izle ve test et, 
6. Bilgi güvenliği politikası oluştur.

Gereksinimler: 

1. Kart bilgilerini korumak için bir güvenlik duvarı yapısı oluştur, 
2. Sistemlerin kurulum şifrelerini ve güvenlik parametrelerini kullanma, değiştir, 
3. Depolanmış kart bilgilerini koru, 
4. Genel ve kamuya açık ağlarda gönderilen kart sahibi bilgilerini şifrele, 
5. Tüm sistemleri kötü amaçlı yazılımlara karşı koru ve anti-virus yazılım veya programlarını düzenli olarak güncelleştir, 
6. Güvenli sistemler ve yazılımlar geliştir ve sürdür, 
7. Kart sahibi bilgilerine erişimi, bilmesi gerekenlerle kısıtla, 
8. Sistem bileşenlerine erişimi belirle ve sağla, 
9. Kart sahibi bilgilerine fiziksel erişimi kısıtla, 
10. Ağ kaynaklarına ve kart sahibi bilgilerine tüm erişimi izle ve denetle,
11. Güvenlik sistemleri ve süreçlerini düzenli olarak test et, 
12. Tüm personeli kapsayacak bilgi güvenliği politikaları oluştur ve uygula

Artık ödeme sistemleri zincirindeki tüm aktörlerin uyumluluğunun aranacağı bir döneme giriliyor. Yalnız ödeme hizmet sağlayıcı değil, iş yerlerinin, bankaların ve bulundurma hizmet sağlayıcılarının PCI DSS uyumlu olması gerekiyor.

İlginç bir örnek olarak 2009 yılından itibaren Nevada eyaleti standardı eyalet yasası haline getirmiş. Eyaletteki tüm ticari kuruluşlar güncel PCI DSS standardına uyumlulukla mükellef kılınmış. Bunun karşılığında da müşteri şikayetleri karşısında sorumlu tutulmuyorlarmış. Daha sonra başka eyaletler de standardı kısmen veya tümüyle yasal çerçevelerine oturtmuşlar.

Önümüzdeki dönemde PCI DSS ve PA DSS standartlarının tüm sektörlerde kapsamlarının genişlemesini, daha kapsayıcı (siz kısıtlayıcı olarak okuyun) olmalarını, bilişim güvenliği ve kurumsal yönetişim, risk ve uyumluluk (Enterprise Governance, Risk and Compliance - EGRC) disiplinleri ile daha bütünleşik olmalarını bekliyoruz.