OPERASYONEL RİSKLERİN ETKİLİ YÖNETİMİ VE KONTROLÜNDE
3’LÜ SAVUNMA HATTI MODELİ
I. 3’LÜ SAVUNMA HATTI MODELİ NEDİR?
Ortaya çıkışının spor veya askeri kaynaklı olduğuna dair farklı görüşler olan 3’lü
Savunma Hattı, işletmelerin hedeflerine ulaşma faaliyetleri esnasında karşı karşıya kaldıkları risklerin etkili yönetilmesinde ve operasyonel faaliyetlerin kontrolünde son yıllarda popüler bir model olarak rağbet görmektedir. Hatta birçok uluslararası meslek örgütü tarafından bir işletmede var olup olmadığı bir gösterge (benchmark) olarak görülmektedir.
Model, esas olarak işletme içerisinde mevcut olan tüm birim ve kademelerinin uyum içerisinde etkin çalışmalarını sağlamak bakımından gözetim ve koordinasyon görevi üstlenerek entegre çalışan bir modeldir. Yatay, dikey, çapraz ve içsel-dışsal ilişkiler yumağı ile prizmatik bir yapıdadır.
3’lü Savunma Hattı, uygulandığı işletmelerde faaliyetlerin yürütülmesi bakımından görev-yetki-sorumlulukların net ve açık biçimde belirlenmesi ve yerine getirilmesini sağlaması ile risk yönetimi ve kontrolüne önemli katkıda bulunur. Modelde tasarlanan üç savunma hattının unsurları işletmenin yönetişim sistemi içerisinde mutlak değer yaratan bir rol oynar.
Model hakkıyla tasarlanıp uygulandığında, işletmede risk yönetimi ve kontrolü bakımından tüm alanları kapsar, işlemlerin gerçekleştirilmesi ve raporların üretilmesinde gereksiz yere oluşan mükerrerliği önler ve böylece üstün yönlerini ortaya koyar. Özellikle bilgi teknolojilerindeki yüksek düzeyli dinamik gelişmelere uyum sağlar, artık hayati bir önem kazanan veri analizlerine daha güvenilir ve sistematik çıktılar sunar. Üst yönetime bir görüş alanı kazandırır ve işlerin planlandığı gibi yürüyüp yürümediği konusunda güvence sunar.
Modelin temel özellikleri;
İşletme üst yönetiminin kontrol fonksiyonunu etkili ve etkin yerine getirmesi bakımından proaktif bir yönetim aracıdır,
Bütünsel yaklaşıma dayanır ve hem kendi savunma hatlarının kendi aralarında hem de içerisinde yer aldığı sistemlerin unsurlarıyla entegrasyonu sağlar,
Birimler ve entegre olduğu sistemlerin senkronize çalışmalarını sağlar,
Birimlerin hizmet yapabilme kapasitesini geliştirir,
Nesnel ve bağımsızdır,
3’lü Savunma Hattı içerisinde yer alan her bir hattın ayrı bir karakteristik yapısı vardır,
Her işletmenin gerçeklerini dikkate alarak uygulanabilen esnek bir yapısı vardır.
Modelin işletmeye kattığı değerleri maddeler halinde aşağıda özetlemekteyiz:
İşletmenin mevcut iç kontrol sisteminin etkinliği bakımından kaldıraç etkisi yapar,
Üst yönetime objektif ve güvenilir bir güvence hizmeti vererek yönetişim, risk ve iç kontrol sistemlerinin optimizasyonu ve etkililiğini sağlayan bir mekanizma oluşturur,
Entegre yapıdan dolayı sistemlerin kapsama alanlarında boşluk bırakmayarak risk yönetiminde ve kontrolünde ideal etkililik sağlar,
Modelin paydaşlarının senkronizasyonunu sağlar ve böylece daha etkili, etkin çalışılır, bilgi paylaşımı daha verimli yapılır, riskler daha organize takip edilir, gereksiz tekrarları önler,
Üretilen ürün veya hizmetin kalite düzeyine olumlu etki yapar,
İşletme aktiflerinin korunmasına doğrudan etkide bulunur,
Görev alanlar görev, yetki ve sorumlulukları ile politikalar, prosedürler ve raporlama mekanizmalarını açık ve net olarak bilirler,
Çalışanların işbirliği, koordinasyon ve ‘yapabilme’ kapasitelerini geliştirerek işletme verimliliğine değer katar,
Operasyonel işlem kalitesi ve doğruluğunu sağlar, ekonomik ve etkin yürütülmesinde temel katkı sahiplerindendir,
Kayıt nizamını sağlar ve buna dayanarak güvenilir raporlar üretilmesini sağlar,
Gerçekleştirilen işlemlerin iç ve dış mevzuata uyumluluğuna güvence sağlar,
Sonuç olarak; uygulandığı işletmede üst yönetime gözetim faaliyetleri açısından yüksek
katkıda bulunur, operasyonel faaliyetlerin daha güvenli, etkili, etkin ve ekonomik yürütülmesini sağlayarak erken uyarı sinyalleri üretir ve işletmenin operasyonel kapasitesi ile risk yönetimine kaldıraç etkisi yapar.
II. 3’LÜ SAVUNMA HATTININ UNSURLARI NELERDİR?
i. Üst Yönetim, Yönetim Kurulu, Denetim Komitesi ve Diğer Komiteler
İşletmenin tepe yönetimi (icra ve karar organları), risk yönetim sistemleri, iş süreçleri ve
yönetişim sisteminin güvenilir, etkili, etkin ve ekonomik yönetiminden en üst düzeyde sorumludurlar. İşletmenin tüm paydaşları da faaliyetlerin planlanan sistematik doğrultusunda yürütüldüğü hususunda güvende olmak isterler. Güven duygusu ancak etkili bir gözetim sistemi ile tatmin edilir. Bu kapsamda, işletmede her bir çalışanın sorumluluk hissedeceği kontrol ortamı ile kontrol süreçlerini devreye sokma, etkin bir iç kontrol sistemi oluşturma ve gözetimde bulunmada birinci derecede icra ve karar organlarının görev ve yetki alanındadır. Kurulacak etkin iç kontrol sistemi içerisine yerleştirilecek 3’lü Savunma Hattı ile gözetim fonksiyonu teminat altına alınır.
İcra Organı, iç kontrol, risk yönetimi/kontrolü, finansal kontrol, güvenlik, kalite kontrol, yetkili kontrolleri, uyum kontrolleri ile bilgi ve iletişim kanallarını da etkin kullanarak birinci ve ikinci savunma hattı faaliyetlerinin etkin yürütülmesini sağlar ve gözetim sorumluluğunu yerine getirir. Bu çerçevede, işletme üst yönetimi erken uyarı sinyallerini takip eder ve riskin minimizasyonu bakımından gereken önlemleri zamanında alır. Yönetim Kurulu ise, Denetleme Kurulu ve üçüncü savunma hattında yer alan kendisine doğrudan veya dolaylı bağlı olan iç denetim birimi vasıtasıyla gözetim sorumluluğunu yerine getirir.
Şirket Yönetim Kurulu ve Üst Yönetimi ayrı ayrı oluşturulacak komitelerle (Denetim Komitesi, Risk Komitesi, Suistimal Takip Komitesi vb.) Üçlü Savunma Hattının işleyişinin gözetiminde bulunurlar. Oluşturdukları kontrol ortamı, kontrol süreçleri, risk yönetim politikalarının etkili biçimde göz önüne alınması ve etkin biçimde yürütülmesi çok önemlidir. Şirket içerisinde iç denetim, iç kontrol, risk yönetimi, finansal kontrol, güvenlik, kalite kontrol, yetkili kontrolleri, uyum kontrollerinin şirket misyon ve değerlerine uygun yürütülmesini bilgi ve iletişim kanallarını etkin kullanarak erken uyarı sinyallerini takip ederler ve gereken önlemleri alırlar. Bu dinamik ortam yönetim körlüğünü engelleyen önemli bir faktördür. Özellikle işler iyi giderken gözetim görevi, bundan da önemlisi gereken aksiyonların alınması ...çomak sokmak bahanesiyle gözardı edilemeye başlar. Bu durum yavaş yavaş işletme organizasyonunda yaralar açmaya başlar ve riskler gerçekleşmeye başlar fakat önlem alınmaz, caydırıcı aksiyonlar ihmal edilir ve sonuçta yukarıdaki bölümde belirttiğimiz boyutlarla işletme zarar görmeye başlar. Yönetim Kurulu, üst yönetimi de bu anlamda çok dikkatli izlemelidir. Yine de her ikisinin üçlü savunma hattının uygulanmasındaki fonksiyonu bütünsel olmalıdır (entegre). Üst yönetim, YK’nin gözetiminde iç kontrol sisteminin geliştirilmesi, uygulanması ve değerlendirmesinde temel rolü oynar.
Bu anlamda, Yönetim Kurulu, Üst Yönetim ve Komiteler hem Üçlü Savunma Hattının sıfır noktasından başlangıcı hem de üçüncü savunma hattından sonra (dışsal etkenler dahil) bitişidir. Adeta zırhıdır. Üst yönetim birinci ve ikinci savunma hatları faaliyetlerinin tamamının sağlıklı yürütülmesinden sorumludur. Bu nedenle, organizasyonel yapı, görev dağılımları, bilgi işlem sistemleri, iş süreçleri, iç prosedürlerin oluşturulması vb. Konularda temel sorumluluk da ondadır. YK bu konuda sadece gözetimde bulunur, üçüncü savunma hattı ile dolaylı olarak kontrol eder.
Üst yönetimin gözetim sorumluluğu kapsamında ise, tüm operasyonlar, raporlamalar, işlemlerin sıhhatı, uyumu, kalitesi ve YK ile birlikte etkili ve etkin çalışan yönetişim risk yönetimi ile kontrol süreçleridir.
ii. Birinci Savunma Hattı Nedir, Nasıl İşler?
Birinci Savunma Hattını riskin gerçek sahipleri ve yönetenleri olan operasyonel
yönetim oluşturur. Müşteri ve paydaşlarla birebir temasta olduğundan önceden belirlenen işlem sıhhati ve risk önleyici kriterlere göre faaliyet gösterirler. Operasyonel yönetim, hem işletme hedeflerini gerçekleştirmek bakımından yapılan günlük operasyonel faaliyetlerin yerine getirilmesinde her bir işlem bazında risk yönetim odaklı olmalı hem de işletme için etkin bir operasyonel organizasyon tasarlamalı ve üst yönetimin onayıyla uygulamaya almalıdır. Planlama yapılırken, temel prensip alınacak doğru risklerin ve limitlerinin belirlenmesidir. Bu çerçevede, işletmenin karşı karşıya kaldığı riskleri belirleme, değerlendirme, tanımlama, sınıflandırma, kontrol etme, tespit etme, alınacak reaksiyonlar ile minimize etme, raporlar üretme ve hem alınacak tedbirler hem de zaafiyetler ile yeni risk ihtimalleri bakımından sürekli izleme esasına dayanmalıdır. Çalışanlara ve paydaşlara oluşturulan iç standartlarla ilgili bilgiler verilmeli, yürürlüğe konulan sistemin etkili bir şekilde idamesi sağlanmalıdır.
Birinci Savunma Hattında yer alanlar, operasyonel hizmetler yanında öngörülen risklerin yönetilmesini de temel alan kesin ve net olarak belirlenmiş görev, yetki ve sorumluluklarının gereğini kontrol faaliyetleri kapsamında işletmenin kontrol ortamı içerisinde profesyonelce tasarlanmış iş süreçlerine dayanarak yeterli yetkili kontrolleri ve önleyici iç kontrol tedbirleri ile yerine getirir. Günlük ve yoğun iş süreci adımlarında yer alan çalışanlar, yetki-görev-sorumlulukları çerçevesinde, işlemin yapılması esnasında gözetim, nezaret, gözden geçirme, kontrol öz-değerlendirme, onay mekanizmaları aracılığıyla işlem sıhhatini sağlamakla yükümlüdürler. Gözden kaçan ve risk doğuran bir hata veya eksiklik farkedilir farkedilmez giderilmelidir. Giderilemezse raporlanmalıdır.
iii. İkinci Savunma Hattı Nedir, Nasıl İşler?
İkinci savunma hattı ise, yönetsel faaliyetlere destek veren finansal kontrol, risk yönetimi, uyum kontrolleri, bilgi işlem sistem güvenliği, iç kontrol, fiziki güvenlik, iş güvenliği, bilgi güvenliği, hukuki kontrol, insan kaynakları, tedarik zinciri kontrolleri ve kalite güvence gibi birimlerden oluşur. Prensip olarak istisnai durumlar dışında müşteri temasında bulunmazlar. Sözkonusu hatta yer alanlar, riskin gözetimi ve kontrolü fonksiyonlarını bir nevi yarı bağımsız olarak yerine getirseler de etkili risk yönetimi politikalarının sağlıklı uygulanmasına yardımcı olacak veriler, analizler, uzmanlık ile yani işletme içerisinde doğru bilgi üretimine katkıda bulunurlar. Böylece, süreçlerin daha güvenilir ve etkin, birinci savunma hattında yer alan yönetim zincirinde yer alanların da gözetim görevini daha etkin yerine getirmesini sağlar. Risk yönetim politikası gereği üst yönetimin oluşturduğu kontrol ortamı ve kontrol süreçleri çerçevesinde, birinci savunma hattında yapılan işlemlerin sıhhatini, üretilen hizmet veya ürünün kalite düzeyini, fiziki ve bilgi işlem güvenliğini, iş sözleşmelerinin doğurabileceği riskleri, tedarik zinciri içerisindeki riskleri ve olumsuzlukları gözetim altına tutar, yeterli düzeyde kontrol eder ve sonuçları üst yönetime raporlar. Buna işletme genelinde ortaya çıkabilecek riskler de dahildir. Hattın sadece kontrol fonksiyonu yoktur, ayrıca hattaki hizmet birimlerinin görev tanımları itibariyle kontrol fonksiyonunu yerine getirirken ayrıca yönetsel fonksiyonu da vardır. İkinci savunma hattında kontrol ve yönetsel fonksiyonlar içiçedir.
Operasyonel, raporlama ve uyumluluk gözetim görevlerini ifade eden ikinci savunma hattı faaliyetleri, birinci savunma hattı çerçevesinde yerine getirilen görevlerin adeta bir tamamlayıcı unsurudur. Tespit edilen hatalı, eksik ve mevzuatla uyumlu olmayan işlemler için reaksiyon alınmasını hızlandırır ve ayrıca iş süreci esnasında risk doğurucu mahiyette olup fakat henüz tamamlanmamış işlemlere müdahale imkanı sağlar, önleyici, düzeltici ve yönlendirici önlemler alınır. Birinci savunma hattında yer alan birimlerde görev alan yöneticiler arasındaki husumeti gözler, bir diğerine hata yaptırıcı ihmal ve kasıtlı eylemleri takip eder. İşletmenin operasyonel haritasını tamamen kapsamaya çalışır, öngörülemeyen risk doğurucu açık bırakmamaya çabalar. Ayrıca, ikinci savunma hattının işleyişi esnasında elde edilen veriler etkin biçimde değerlendirilir ve yeni durumlar bir sistematik çerçevesinde uygulamaya entegre edilir.
İkinci savunma hattı ile ilgili bir diğer konu ise, hattın birçok birimin faaliyetinden meydana gelmesidir. Bu nedenle, hem üst yönetimle, hem birinci ve üçüncü savunma hatlarıyla hem de ikinci savunma hattı birimlerinin kendi aralarındaki bilgi, iletişim ve koordinasyonda sağladıkları etkinlik düzeyi modelin işlevini yerine getirmesinde hayati önem taşır. Yoksa, aynı verileri içererek veri mezarlıkları haline gelen bir ortamda sağlıklı risk yönetimi ve gözetimi görevleri yapılamaz. Prosedürlerin uygulanması, hataların, eksikliklerin giderilmesi konularında birinci savunma hattı, şüpheli durumlarla ilgili üst yönetim ve üçüncü savunma hattı, açığa çıkmamış yeni majör riskler konusunda üst yönetim, ikinci savunma hattında yer alan birimlerce elde edilen bilgilerin değerlendirilmesi, sınıflandırılması, yeni önlemlerin alınması, prosedürlerin güncellenmesi, tekrarlayan hatalar, eksiklikler ve mevzuat uyumsuzlukları konusunda da hem hattın kendi birimleri hem de diğer ilişkili organlarla bilgi paylaşımı ve koordinasyon çalışmaları gerekir. İnsan kaynakları kalitesi de performans düzeyini belirler.
Son olarak, işletme büyüklüğü ve tabi olunan regülasyona göre ikinci savunma hattının bazı birimleri birleştirilebilir.
iv. Üçüncü Savunma Hattı Nedir, Nasıl İşler?
Üçüncü savunma hattını ise, işletmenin iç denetim birimi faaliyetleri oluşturur.
İç denetim birimi, işletme üst yönetimi ve diğer paydaşlara işletmenin yönetişim sistemi, operasyonel sistem işlemleri ve risk yönetimi sisteminin iç/dış mevzuata uyumu, güvenilirliği, etkinliği, etkililiği ve ekonomikliği konularında bağımsız ve objektif çalışmalara dayanan bilgi güvencesi sunar. Sonuç olarak, bu değerlendirmeler içerisine birinci ve ikinci savunma hatlarının performans düzeyleri de girmektedir.
İç Denetçiler Enstitüsü (IIA)’ya göre İç Denetim Faaliyeti (Internal Audit Activity); kurumun faaliyetlerini geliştirmek ve bunlara değer katmak için tasarlanan bağımsız, objektif güvence ve danışmanlık hizmeti sağlayan birim, bölüm, danışman ekibi veya diğer uygulamacılardır. İç denetim faaliyeti, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.
İç Denetçiler Enstitüsü yukarıdaki biçimde tanımladığı işletme iç denetim faaliyetlerinin işlevinin nasıl yerine getirileceğini yayınlamış olduğu aşağıdaki Uluslararası Mesleki Standartlarda;
2130 – Kontrol: İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır.
2130.A1 – İç denetim faaliyeti, kurumun yönetişim, operasyon ve bilgi sistemleriyle ilgili risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak değerlendirmek zorundadır:
o Kurumun stratejik hedeflerine ulaşması,
o Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
o Faaliyetlerin ve programların etkinlik ve verimliliği,
o Varlıkların korunması,
o Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
2130.C1 – İç denetçiler, danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, kurumun kontrol süreçlerini değerlendirmede kullanmak zorundadır’ biçiminde düzenlemiştir.
İç denetçiler görevini yerine getirirken, üst yönetimim tam desteğini arkalarında hissetmelidirler, denetleme faaliyetlerini bir sınıra tabi olmaksızın ve risk bazlı yürütmelidirler.
Belirtilen misyon ve çerçevede işe başlayan iç denetçi, hedeflenen risk evreni ve içerisindeki risk alanlarını belirler, uygulayacağı iç denetim tekniğini seçer, risk kaynakları ve olayları gözlemler, analiz eder, riskleri tespit eden kanıtlara ulaşır. sistemlerin içerisinde yer alan süreçlerin yol açtığı işletme faaliyetleri önünde risk yaratan zaafiyetleri tespit etmek için veri toplar ve değerlendirmelerde bulunur. Yüksek düzeydeki bağımsız ve nesnel yapısıyla, denetim görevinin verdiği güçlü yetki düzeyi ve sadece inceleme ve denetime odaklanan görev tanımıyla iç denetim ikinci savunma hattındaki birimlerden net olarak ayrılır. Kendi birimi dışında yönetsel sorumlulukları yoktur. Danışmanlık görevi inceleme ve incelemenin sonuçlarına dayanan kurmay bir görevdir.
Üçüncü savunma hattının güvence hizmeti kapsamında, genel kabul görmüş denetim standartları, mesleki etik kuralları, iç denetçilerin deneyimleri ile iç ve dış mevzuata esas alarak görevlerini yerine getirirler.
İşletme üst yönetimince oluşturulan ve organize edilen kontrol mekanizmaları (yani yönetişim sistemi, iç kontrol sistemi, risk yönetim sistemi, iç denetim, dış denetimden oluşan mekanizmalar), topyekün olarak işletmenin karşı karşıya kaldıkları belirsizlik (risk) düzeylerini önleyici tedbirleri içeren iş süreçlerinin uygulanmasında ortaya çıkabilecek risklerin tespiti (gerekirse anında müdahalesi), işletmenin operasyonel sisteminin etkin, etkili ve ekonomik ve ilgili mevzuatlarla uyumlu çalışıp çalışmadığı, ürettiği raporların doğruluk ve gerçeklik analizleri, iç sistemlerin güvenilirlik düzeylerinin ve mevcut zayıflıklarının tespitleriyle işletmenin potansiyel risklerine karşı mücadele ederek yönetime işletmenin gelişimi ve amaçlara ulaşması yönlerinde katkıda bulunurlar. İç denetim de bu mücadelede bir emniyet supabı olarak en hayati rollerden birini üstlenir.
Son olarak belirtmek gerekir ki, iç denetim faaliyetlerinde ‘Suistimalleri önleme ve caydırıcılık’ da sözkonusu riskler kapsamında artan bir önem kazanmaya başlamıştır.
v. Dış Paydaşlar
Özel dış denetim, kamu dış denetim (örneğin Sayıştay, Maliye), düzenleyici kurumlar
(örneğin BDDK, SPK) ve diğer dış organlar (örneğin Mali Müşavir, Yeminli Mali Müşavir) işletmenin organizasyonel yapısının içerisinde yer almazlar. Buna karşın, daha dar kapsamlı da olsa işletmenin etkili risk yönetimi bakımından üç savunma hattına da destek olurlar ve yönetişim sistemine etkinliğine, üretilen finansal raporların doğruluğunun teyidine, mevzuata uyum faaliyetlerine ve zaman zaman da olsa işletme iç kontrol mekanizmalarınca fark edilmeyen risklerin (örneğin suistimaller) ortaya çıkmasına da katkıda bulunurlar.
Örneğin, düzenleyici kuruluşlar ekonomik hayatta yaşanan gelişmeleri takip ederek yeni uygulama ve/veya kontrol kriterleri ortaya koyarlar ve bir açıdan da işletmelerin değişimlere uyum sağlamasına katkı sağlarlar, yaptıkları kontrollerle de aslında işletmenin yönetişim zinciri içerisinde yer alan tüm paydaşlara güvence verirler.
Sonuç olarak, dış paydaşların işletme faaliyetlerine yönelik düzenleme, işlem ve kontrollerini de mevcut üç savunma hattına ilaveten ‘gölge savunma hattı’ olarak kabul edebiliriz.
III. 3’LÜ SAVUNMA HATTININ TASARIMI
3’lü Savunma Hattının işletmede uygulanması amacıyla öncelikle işletmeye özgü
esnek tasarımının yapılması gerekir.
Tasarım esnasında dikkate alınması gereken hususlar:
İşletmenin kurum kültürü, vizyon, misyon, öz değerler, stratejik hedefler,
İşletmenin büyüklüğü,
İşletmenin yer aldığı sektör ve tabi olduğu dış mevzuat,
İşletmenin yönetişim ve operasyonel yapısı,
İşletme üst yönetim, karar organları ile faaliyet gösterdiği ülkelerde sektöre özgü
düzenlemelerin risk yönetimine yaklaşımları,
Yönetim Kurulu’ndan en alt kademe çalışana, tedarik zincirinde yer alan paydaşlara
kadar doğru bilgi ve iletişim kanalları oluşturulması ve eğitimler verilmesi,
COSO temelli Kontrol ortamı, risk yönetimi, kontrol süreçleri, bilgi ve iletişim ile
gözetim yapılarının ve bağlı oldukları prensiplerin varlığının gözden geçirilmesi, yeniliklerin belirlenmesi,
İşletme büyüklüğü, sektörel ve ülke özellikleri dikkate alınsa bile her hattın asgari
gereklilikleri olduğu gerçeği,
Birinci savunma hattının riskin sahipleri olduğu, doğrudan riskin etkisini
azaltan/arttıran etkiye haiz oldukları,
İkinci savunma hattı bileşenlerin destek hizmetleri verdikleri ve yarı bağımsız gözetim
görevi yaptıkları gerçeği,
Birinci ve ikinci savunma hatlarının esas itibariyle yönetim fonksiyonu kapsamında
oldukları ve işletme üst yönetimin yönetimi ve gözetiminde bulundukları,
Üçüncü savunma hattının ise, işletmenin karar organına doğrudan ve dolaylı bağlı
olarak görev yaptığı, yönetsel bir fonksiyonu olmadığı, işletme paydaşlarına güvence hizmeti sunduğu, hizmet kalitesinin artması için İç Kontrol ve 3’lü Savunma Hattı sistemlerinden beklentiler,
Her üç savunma hattının ayrı karakteristiği olduğu, bu nedenle fonksiyon tanımlarının
birbiriyle karıştırılmaması,
Dış organların bazılarının doğrudan işletme politika ve uygulamalarını değiştirecek
düzeyde olduğu,
Savunma hatlarının görev ve sorumluluklarını uygun biçimde ve hakkıyla
yerine getirmesi hususları...
Bu ilkeler çerçevesinde bir işletmede 3’lü Savunma Hattının tasarımını ve uygulama ön hazırlığını aşağıdaki adımlarla gerçekleştirebiliriz:
İşletmenin vizyon, misyon, öz değerler ve stratejik hedeflerinin öğrenilmesi, analizi,
Üst yönetimin etkili risk yönetimi konusundaki beklentilerinin öğrenilmesi,
Üst yönetimin risk iştahının öğrenilmesi ve işletmenin karşı karşıya olduğu risklerin
tam kapsanması bakımından risk haritasının hazırlanıp savunma hatlarıyla ilişkilendirilmesi,
Üst yönetimin gözetim ve raporlamada hassasiyetlerinin öğrenilmesi,
İşletmeye ilişkin gereken bilgilerin detaylı olarak toplanması,
Detaylı planın yapılması,
Mevcut kontrol ortamı ve kontrol süreçlerinin gözden geçirilmesi,
İç ve dış kaynaklardan bilgilerin toplanması,
Karşı karşıya kalınacak risklerle ilgili önleme, tespit etme ve minimizasyon
politikalarının tasarımı,
Bilgi ve iletişim etkinliğinin tasarımı,
Hatlarda yer alan birim ve sistemlerin birbirleriyle entegre ve senkronize
çalışmalarının tasarımı,
Hatların gereksiz tekrarlar (duplication) üretmesinin önlenmesi,
Risk kontrolünde açıklar içermeyecek risk yönetimi ve kontrol süreçlerinin tasarımı,
Gözden geçirmeler, kontroller, güncellemelerle 3’lü Savunma Hattı sisteminin
etkin olarak idame ettirilme koşullarının tasarımı,
3’lü Savunma Hattı unsurlarının birebir COSO İç Kontrol Sistemi beş unsuru ve bağlı
oldukları 17 prensiple ilişkilendirilmeleri,
Taslağın hazırlanması paydaşlarla tartışılması, üst yönetime sunulması, onayı takiben
uygulama hazırlıkları yapılması ve ön eğitimlerin verilmesini içerir.
IV. 3’LÜ SAVUNMA HATTININ İŞLETMEDE UYGULAMAYA GEÇİRİLMESİ VE YÜRÜTÜLMESİ
Bir önceki bölümde belirttiğimiz çerçevede COSO İç Kontrol Sistemi ile entegre
olarak tasarımı tamamlanan 3’lü Savunma Hattı sistemi işletmenin üst yönetimi (bazen Yönetim Kurulu’nun da doğrudan veya Denetim Komitesi ile dolaylı olarak) kararlarıyla yürürlüğe girer. Yani, sistematik temele dayanan organizasyonel planlama yapıldı ve şimdi sahneye çıkma zamanı!
İşletmede uygulamaya başlanacak modelin unsurları (ve hatları) ne kadar kesin, net
ve birbirinden ayrı karakteristiklerde tasarlanırsa uygulamada elde edilecek performans düzeyi o kadar yüksek olur. İşletme üst yönetimi de, kurum içerisinde oluşturulacak kontrol ortamı ve kontrol süreçlerinde modelin öneminin bir defa daha altını çizmeli, kontrol ortamı çerçevesinde ve ayrıca entegre/senkronik çalışması konusunda gereken desteği vermelidir.
Uygulama esnasında üst yönetimin gözetim fonksiyonu aktif ve dinamik halde yerine getirilmeli, erken uyarı sinyalleri mutlaka değerlendirilmeli ve işler iyi giderken ‘ufak tefek’ diye tanımlanan riskler önemsenmeli ve proaktif olarak minimizasyonu yönetilmelidir. Sistemin ortaya çıkardığı ve raporladığı risklere, üst yönetimce gereken hassasiyet gösterilmezse işletme içeriden yavaş yavaş erozyona uğrar ve ileride ya bütçe (gelirlerin azalması/giderlerin artması), ya teslimat zaman ve kalite koşullarının yerine getirilmemesi, ya suistimal fırsatları yaratılması ya da mutsuz paydaşlar yaratılması vb. sonuçlarla işletmeye olumsuz etkisini gösterir. En kötüsü bu faktörlerin bir arada yaşanmaya başlamasıdır ki; bu durum, işletmeyi tasfiyeye kadar götürebilir. Zaten yapılan araştırmalara göre, genelde riskler tek başına değil birlikte ortaya çıkmaya veya farkedilmeye başlanıyor, böylece işletmeye vereceği darbe daha şiddetli oluyor.
Modelin uygulanmasında en temel unsur üst yönetimin kararlılığı ise, ikinci temel
unsur çalışanların ve diğer paydaşların sistemin uygulanması esnasında gösterecekleri katkıdır. Katkı düzeyinin yüksek olması, gönülden olması uygulama öncesi ve esnasındaki eğitimlerle birebir ilişkilidir. Yani, ‘sistemi kurduk tıkır tıkır işler’, hatalı bir yaklaşım tarzı olacaktır. Günümüz işletmelerinde insan kaynakları istihdam politikaları ‘yetenek avcılığı’ üzerine kurulmuştur. Yetenekli ve becerikli, kendini geliştiren insanların işletmede görev ve sorumluluk alanlarına katacakları değerin sınırı yoktur. Bu konuda son olarak belirtmek gerekir ki, her bir savunma hattında yer alan yöneticiler ve diğer çalışanlar öncelikle kendi görev, yetki ve sorumluluklarının bilincinde olmalı ve ona uygun hareket etmelidir.
Günümüzde yüksek bilgi işlem teknolojilerine dayanmayan hiçbir küresel veya
büyük/orta ölçekli yerel firmanın yaşama şansı yoktur. İş süreçlerinin yürütülmesi, görev-yetki-sorumlulukların yerine getirilmesi, veri analizlerinin yapılması, uyum kontrolleri, bilgi işlem üzerinden üretilen raporlamalar ve iç denetimde kullanılan bilgi işlem destekli sürekli denetimler, bilgi işlem güvenliği gibi hususlar sistemin işleyiş kalite düzeyine doğrudan etki eden unsurlardır. 3’lü Savunma Hatlarının birbirleriyle ve bağlantılı organlarla ilişkileri ve herbirinin kendine özgü fonksiyonlarının açık ve net olarak belirlenmesinde yaşanan zorluklar bilgi işlem teknolojisiyle aşılacaktır.
Sistemin verimli işlemesi için hatlar ve diğer paydaşlar arasındaki etkili bilgi
ve iletişim ile koordinasyon konusu çok önemlidir. Burada sorumluluk tamamen orta ve üst düzey yöneticilerin omuzları üzerindedir. Çalışanları ve diğer paydaşları yaratacakları öğrenen kurum kültürü atmosferi içerisinde bilinçli olarak yönlendirmeleri gerekir. Bu durum, çalışanlarda hem motivasyonu hem ekip ruhunu hem de işletmenin temel değerlerine bağlılığı arttırır. Sonuç ise, performansın ve yaratıcılığın artmasıdır.
Sistem uygulanırken işletmenin büyüklüğü ve imkanları elveriyorsa, bir
3’lü Savunma Hattı Uygulama Komitesi kurulabilir. Mümkün değilse, İç Kontrol Mekanizmaları Komitesi içerisinde veya İcra Komiteleri ve Denetim Komiteleri uhdesinde sistemin performansı gözlemlenebilir. Gözetim ve geri beslemelerle edinilen veriler dikkatlice analiz edilir, gereken aksiyonlar alınır ve içsel/dışsal faktörlerin zorladığı yeniliklerle sistem güncellenir.
Sonuç olarak, uygulamada sistemin temel fonksiyonunun iç kontrol sisteminin
risk yönetimi ve kontrollerinde etkinliğinin arttırılması olduğu unutulmamalıdır. Uygulama yukarıdaki çerçevede başarılırsa, sistemin de iç kontrol sistemi performansına yapacağı kaldıraç etkisi mutlak olur.
V. ÜÇLÜ SAVUNMA HATTINDA KOORDİNASYONUN ÖNEMİ
3’lü Savunma Hattı isminde de açıkça yer aldığı üzere üç ayrı hattan oluşan ve ayrıca
işletmenin yönetim kurulu ve üst yönetimi ile dış organların yer aldığı entegre bir sistemdir. Bundan dolayı, sistem içerisinde yer alan paydaşların verimli bir senkronizasyon düzeyi yakalamak bakımından koordinasyonu – özellikle günlük yoğun iş akışı, aşırı hedef baskıları, tedarik zinciri ilişkileri vb. konular nedeniyle – daha fazla önem hatta sistemin başarısı için hayatiyet arzetmektedir.
İşletmelerde çağdaş gelişmeler ışığında profesyonelce tasarlanan ve sonrasında
yürürlüğe giren sadece 3’lü Savunma Hattı değil; örneğin COSO bazlı iç kontrol sistemi,
en kapsamlı ERP sistemi, en önemli uzmanlarca hazırlanan iş süreçleri büyük bir heyecan
ve iştahla uygulanmaya başlanır fakat bir süre sonra amaçlanan verimin alınmadığı görülür. Tabii ki, suç sistemlerde ve sistemleri geliştirenlerde, kuranlarda aranır! Gözden kaçan ise,
üst yönetimin günlük operasyonel yapıya müdahaleleri, sistemlere ilişkin ortaya çıkan bilgi eksiklikleri, sistemlerin yönetici ve uygulayıcılarının kendi aralarında ve ilgili diğer birimlerle etkili iletişim kuramamaları, sistemin ortaya çıkardığı ve değerlendirmeye alınması gereken bazı verilerin göz ardı edilmesi, içsel ve dışsal gelişmelerin yeterince dikkate alınmaması, gereken güncellemelerin yapılmaması, profesyonel desteğin dışlanması ve faaliyetler devam ederken gereken eğitimlerle donanımın güçlendirilip taze tutulmaması gibi faktörlerdir...
Koordinasyonda, etkili bilgi ve iletişim yapısından önce, işletmenin kontrol ortamı, kontrol süreçleri ve risk yönetim politikalarının temelinde etik değerlerin, üst yönetimin konuya ilişkin hassasiyetlerinin, iş süreçlerinin, görev-yetki-sorumlulukların açık ve net olarak belirlenmesi ve her savunma hattının ayrı bir karakteristiğinin olduğu gerçeğine göre hareket edilmesi gelir.
İşletme içerisinde dikey/yatay, çapraz vb. formatlarda uygulanacak etkili bilgi ve iletişim ortamı ise, hem 3’lü Savunma Hatları paydaşlarının birbirlerini daha iyi anlamalarını ve işbirliğini sağlar hem gereksiz yere tekrar (duplicate) işlem ve raporlamalardan kaçınılır hem de dinamik yapı içerisinde sisteme yönelik gereken güncellemeler ihmal edilmez, sonuç olarak COSO bazlı iç kontrol faaliyetlerinde daha fazla etkinlik sağlanır. Böylece, risk silolarında yaratılan çok fazla miktarda ve birbiriyle tutarsız, bir anlamda ‘gereksiz’ ve zaman zaman aynı bilgileri içeren verilerin de daha sistematik hale gelmesinin yolu açılacaktır. Faaliyetlerin yürütülmesi esnasında tüm paydaşların aynı dili konuşmasıyla işletme içerisinde riskin etkili yönetim ve kontrolünde proaktif bir ortam oluşur.
Sistemin bileşenlerinin koordinasyonunda sağlanacak başarı düzeyi, sistemin entegre olduğu sistemlere yaratacağı değer çıktılarına doğrudan etkide bulunacaktır.
VI. 3’LÜ SAVUNMA HATTI UYGULAMASINDA YAŞANAN SORUNLAR
Modelin uygulanmasında yaşanan sorunları aşağıdaki gibi sınıflandırabiliriz:
İşletme kültüründen kaynaklanan sorunlar
Kontrol ortamı ve kontrol süreçlerinin planlanmasında yetersizlikler
İşletmede bilgi ve iletişim düzeyinde eksiklikler
3’lü Savunma Hattının tasarlanma, uygulamaya geçirilmesi, yürütülmesi ve diğer ilgili mekanizmalarla uyumu konusunda yaşanan sıkıntılar
Üst yönetimin risklerden daha çok fırsatlara ve hedeflere odaklanması
Üst yönetimin uygulamada destek verme ve gözetim görevlerinde pasifizm
Yönetim müdahaleleri
İşletme organizasyonun küçük olmasından dolayı bazı birimlerin görev kaynaşımı
Çıkar çatışmaları
Sistematik yapının planlanmasından kaynaklanan sorunlar
İnsan faktörü
Şirket kültürü
Gözden geçirmeler, yönetim öz-değerlendirmeler
İç Denetim faaliyetlerinin yönetim kurulu veya denetim komitesi yerine genel müdüre bağlı olması
İç Denetim faaliyetlerinin etkililik düzeyinde yaşanan sorunlar
Geri beslemeler ve yapılan tespitler konusunda aksiyon alınmaması veya alınsa bile takipte etkisizlikler
İnsan kaynakları ve performans hedefleri politikalarında yapılan majör hatalar
Çalışanların eğitimine gereken önemin verilmemesi
Zorunluluk halinde bile profesyonel yardım alınmaması
Hatlarda görev yapan birimlerin içinde ve diğer ilişkili birimlerle bir ekip ruhu sağlanamaması, boş vermişliğin hakim olması, üst yönetimin tutarsız davranışlarından işletme için umutsuzluk duygusunun hakim olması
Dışsal faktörler ve çalışanlar dışındaki paydaşlardan kaynaklanan hatalı, eksik ve kasıtlı tutum ve eylemler
VII. 3’LÜ SAVUNMA HATTI UYGULAMASINDA YAŞANAN SORUNLARA ÇÖZÜM ÖNERİLERİ
Öncelikle üst yönetimin fırsatlar/hedefler ile riskler denklemine dengeli yaklaşması gerekmektedir.
Kontrol ortamı ve kontrol süreçleri planlanırken model dikkate alınmalıdır
İşletmenin bilgi işlem teknoloji altyapısı işletme faaliyetleri ve kontrol ortamı ile kontrol süreçlerinin tamamını içeren kalitede olmalıdır.
İş süreçleri ise, 3’lü Savunma hattının temel prensiplerine sıkıca bağlı biçimde risk ve kontrol faaliyetlerini de içermelidir.
Her bir savunma hattında yer alan birim ve çalışanlar için hattın kendi karakteristik yapısına uygun görev-yetki-sorumluluk tanımlamaları ve uygulamaları yapılmalıdır.
Hem tasarım aşamasında hem de uygulama sürecinde doğru ve kaliteli bilgiye dayalı iletişim faaliyetleri ile savunma hatlarının kendi içlerinde, diğer hatlarla ve paydaşlarla faaliyetlerin gerçekleştirilmesi ile risk yönetiminde planlanan düzeyde etkin ve etkili koordinasyon sağlanmalıdır.
İşletme büyüklüğüne göre hatların bazı birimleri birleştirilmek zorunda kalınsa bile risk yönetimi ve kontrol sürecine katkısının azalmayacağı çerçevede düzenleme yapılmalı; aksi takdirde birleşim yapılmamalıdır. Yoksa modelin fren-denge özelliği kaybolmaktadır.
Sistemin işleyiş sürecinde hatlara dahil birimlerce üretilen raporlamalar, geri beslemeler önemsenerek gereken reaksiyonlar gösterilmelidir.
3’lü Savunma Hattının etkinliği belirli aralıklarla değerlendirilmelidir.
Kaynakça
Basel Committee, Review of the Principles for the Sound Management of Operational Risk-
6 October 2014: Bank for International Settlements
BDDK, Bankaların İç Sistemlerı̇ Hakkında Yönetmelı̇k (2012) Resmi Gazete Sayı 28337
COSO (Committee of Sponsoring Organizations of the Treadway Commission), Leveraging COSO Across The Three Lines Of Defense, Research Commissioned by COSO, July 2015
ECIIA and FERMA, Guidance for Boards and Audit Committees on the Implementation of Art 41. 2 of the 8th Directive
EY, Maximizing Value From Your Lines Of Defense- December 2013
Hasanefendioğlu, Bülent 3’lü Savunma Hattının COSO İç Kontrol Sisteminin Etkinliğinin Arttırılmasında Kaldıraç Etkisi – Basılmamış Makale
Hasanefendioğlu, Bülent (2015) İş Suistimali Rehberi. İstanbul : Dinamo
Hasanefendioğlu, Bülent (2015) 50 Soruda Risk Bazlı İç Denetim Rehberi. İstanbul : Dinamo
IIA Position Paper, The Three Lines of Defense in Efective Risk Management and Control, The Institute of Internal Auditors Inc. -January 2013
ISMMMO Mali Çözüm Dergisi, Hasanefendioğlu, Bülent- Uzel, Murat N. İş Suı̇stı̇mal Riskinin Proaktı̇ f Yönetimi ve İşletmelerde Rekabet Avantajına Katkısı- 2015
Pike, Richard (2009) Strengthening the Three Lines of Defense, CCH Sword
TDK, Güncel Türkçe Sözlük-(http://www.tdk.gov.tr)
TİDE – IIA Zorunlu Rehber/IIA Mesleki Standartlar ve Sözlüğü
Yorumlar
Yorum Gönder