Web sitemde düzenli aralıklarla farklı türlerde yazılar yayımlamaktayım. Özellikle iç denetim alanında profesyonel bir kariyere başladıktan sonra bu alanda daha çok okumalar yapıp yazıya dökmeye karar vermiştim. Bu kapsamda ilk yazım iç denetimin uluslararası standartları hakkında idi. Yazımın linkini de aşağıya ekliyorum.
İç denetçilerin global ölçekte meslek örgütü Uluslararası İç Denetçiler Enstitüsüdür. (The Institute of Internal Auditors / IIA) IIA’nın; uluslararası standartların yayımlanması, zorunlu ve tavsiye niteliğindeki rehberlerin oluşturulması, iç denetçilerin sertifikasyon süreçlerinin yürütülmesi gibi üstlendiği bazı roller bulunmaktadır.
Bu yazımın konusu ise IIA’nın üçlü savunma hattı ve güncellenen adı ile üçlü hat modeli olacak. Güncel modele değinmeden önce modelin ilk hali olan üçlü savunma hattı ile başlayalım.
IIA Görüş Açıklamaları: Etkili Risk Yönetimi ve Kontrolünde Üçlü Savunma Hattı
“Üçlü Savunma Hattı” (Three Lines of Defence); IIA Görüş Açıklamaları: Etkili Risk Yönetimi ve Kontrolünde Üç Savunma Hattı başlığı ile Ocak 2013 tarihinde yayımlanmıştır. (İlgili dosyaya TİDE – Pozisyon Raporları sayfasından ulaşabilirsiniz.) Raporun giriş kısmında risk ve kontrol uzmanlarından oluşan grupların sorumluluklarının açıkça tanımlanması gerektiğinden bahsedilmiştir. Eğer bu sorumluluklar açıkça tanımlanmazsa birleştirici ve eşgüdümlü bir yaklaşım sergilenemez ve sınırlı risk ve kontrol kaynakları verimli kullanılamayabilir ve önemli riskler gereğine uygun tayin edilemeyebilir veya yönetilemeyebilir. Bu noktada IIA; Üçlü Savunma Hattı modelinin, asli rolleri ve görevleri açığa çıkararak risk yönetimi ve kontrolüyle ilgili haberleşme ve iletişimleri arttırmak için izlenebilecek basit ve etkili bir yol sunduğunu belirtmektedir.
Üçlü Savunma Hattı modelinde, yönetim kontrolü, risk yönetiminin ilk savunma hattını oluşturur; kurum yönetiminin tesis ettiği çeşitli risk kontrolü ve uyum nezaret birimleri ikinci savunma hattını teşkil eder ve nihayetinde bağımsız güvence, üçüncü savunma hattıdır. Bu üç “hattın” her biri, kurumun yönetişim çerçevesi içerisinde ayrı birer rol oynamaktadır.
Üçlü savunma hattı modelinde etkili risk yönetiminde rol oynayan 3 hat (grup) bulunmaktadır:
– Riski üstlenen ve yöneten birimler
– Risklere nezaret eden birimler
– Bağımsız güvence sağlayan birimler
Birinci Savunma Hattı: Operasyonel Yönetim
Birinci savunma hattını teşkil eden operasyon müdürleri riskleri üstlenir ve yönetirler. Öte yandan, süreç ve kontrol eksikliklerini karşılamak üzere düzeltici adımları atmaktan da sorumludurlar.
Operasyonel yönetim, tabiatı gereği birinci savunma hattı olarak işlev gösterir, zira sistemler ve süreçler içerisindeki kontroller, operasyonel yönetimin rehberliği doğrultusunda tasarlanırlar.
İkinci Savunma Hattı: Risk Yönetimi ve Uyum Birimleri
Yönetim, birinci savunma hattı kontrollerinin oluşturulmasına ve/veya izlenmesine yardımcı olmak için çeşitli risk yönetimi ve uyum birimleri tesis eder. Kuruma ve sektöre göre bu birimlerin nitelikleri ve adları değişebilir ancak bu ikinci savunma hattında yer alan tipik birimlere aşağıdaki gibi örnekler verilebilir:
– Operasyonel yönetimin etkili risk yönetimi pratiklerini hayata geçirmesini kolaylaştıran ve operasyonel yönetimi bu yönde izleyen ve hedef risk maruziyetini saptamalarında ve kurum içerisinde riskle ilgili yeterli düzeyde bilgi rapor etmelerinde risk sahiplerine yardımcı olan bir risk yönetimi birimidir.
– Cari kanunlar ve mevzuata uyumsuzluktan doğan riskler gibi çeşitli belirli riskleri izleyen bir uyum birimidir.
– Finansal riskleri ve finansal raporlama meselelerini izleyen bir denetleme birimi.
Yönetim, bu birimleri, birinci savunma hattının gereğine uygun tasarlanmış ve hedeflendiği gibi faaliyet gösterdiğinden emin olmak üzere oluşturur. Bu birimlerin her biri belirli bir düzeye kadar birinci savunma hattından bağımsız faaliyet gösterir, ancak yine de unutulmamalıdır ki, ikinci savunma hattı birimleri tabiatı gereği yönetim birimlerini teşkil ederler. Burada kastedilmek istenen ikinci savunma hattını oluşturan birimlerin tam anlamıyla bağımsız olmadığı ve yönetim kurulu ve paydaşlara karşı bir güvence sağlayamayacağıdır. Bu bağımsızlık ve güvence fonksiyonunu üçüncü savunma hattında iç denetim birimlerinde göreceğiz.
Üçüncü Savunma Hattı: İç Denetim
Kurum içerisinde en fazla bağımsız ve nesnel hareket etme imkânına sahip olan iç denetçiler, yönetim organı ve üst düzey yönetim için kapsamlı bir güvence sağlarlar. İkinci savunma hattı, bu anlamda yüksek düzey bir bağımsızlığa sahip değildir. İç denetim, birinci ve ikinci savunma hatlarının risk yönetimi ve kontrolü hedeflerine ulaşıp ulaşmadıkları, ulaştılarsa nasıl ulaştıkları gibi konular da dahil olmak üzere, yönetişim, risk yönetimi ve iç kontrollerin etkinliği ve verimliliği hakkında güvence sağlar. Üst düzey yönetim ve yönetim organına rapor edilen bu güvencenin kapsamına genelde aşağıda sayılan unsurlar girer:
– Faaliyetlerin etkinliği ve verimliliği; varlıkların korunması, raporlama süreçlerinin güvenilirliği ve sağlamlığı ve kanunlar, mevzuat, politikalar, prosedürler ve sözleşmelere uyum dahil, geniş bir hedef aralığı.
– İç kontrol ortamı; bir kurumun risk yönetimi çerçevesinin tüm unsurları (yani, risk tanıma, risk değerlendirme ve cevap); bilgi ve iletişim ve izleme dahil, risk yönetimi ve iç kontrol çerçevesinin tüm unsurları.
İç denetim birimi, bağımsızlığını ve profesyonelliğini teşvik edici belirli koşulları yerine getirmek suretiyle, etkili bir kurumsal yönetişim ortamı oluşturulmasına fiili olarak katkıda bulunur. Bu bakımdan, IIA’ya göre aşağıdaki işlevleri yerine getiren yeterli ve yetenekli personelden oluşan bağımsız bir iç denetim birimi kurmak ve bu birimi muhafaza etmek bir şirketin değerini arttırabilmek için yapılabilecek en iyi şeydir:
– İç denetimin tatbikinde uluslararası alanda tanınan standartlara göre hareket etmek.
IIA Standartlar Kurulunun yayımlamış olduğu uluslararası mesleki standartlara göre iç denetim faaliyetlerini yürütmek, bir şirketin değerini arttırmak ve devamlılığını sağlayabilmek için çok önemlidir.
– Görevlerini bağımsız bir çerçevede yerine getirebilmek için, kurum içerisinde yeteri kadar yüksek bir seviyeye rapor vermek.
Yine uluslararası standartlarda yer alan ‘1100 – Bağımsızlık ve Objektiflik’, ‘1110 – Kurum İçi Bağımsızlık’, ‘1111 – Yönetim Kurulu ile Doğrudan Etkileşim’ standartları yukarıdaki maddeye açıklık getirmektedir. Bu bağlamda iç denetim birimi faaliyetlerini tamamen bağımsız bir ortamda yürütmeli ve çalışmalarını doğrudan yönetim kuruluna raporlamalıdır.
Yazının başında da belirttiğim üzere model bu ilk haliyle Ocak 2013 yılında yayımlanmıştır. Sonrasında ise IIA 2019 yılında değişen şartlar ve durumlar nedeniyle modeli güncellemek üzere bir ‘takdim dokümanı’ hazırlamış, bunu paydaşlarının ve kamuoyunun görüşüne açmıştır. Temmuz 2020 yılında ise model güncellenmiş ve yayımlanmıştır. TİDE web sitesinde bu konu ilgili şu açıklamalar yer almakta: ‘Risk yönetimi sadece savunma mekanizması değildir, bunun da ötesine geçer. Organizasyonlara, hedeflere ulaşılmalarını sağlamak, güçlü yönetişim ve risk yönetimini desteklemek için etkili yapılar ve süreçler lazımdır. Bu bağlamda, güncellenmiş Üçlü Hat Modeli, modern dünyamızın karmaşıklıklarına hitap etmektedir.’
IIA Üçlü Hat Modeli (Üçlü Savunma Hattı ile İlgili Güncelleme)
Üçlü Hat Modeli, kurumların, amaçlara ulaşılmasına ve güçlü bir yönetişimin ve risk yönetiminin sağlanmasına en iyi şekilde yardımcı olan yapıları ve süreçleri tanımlamalarına yardımcı olur.
Üçlü Hat Modelinin Prensipleri
Prensip 1 – Yönetişim: Bir kurumda yönetişim fonksiyonunun sağlıklı işlemesi için paydaşlara karşı hesap verebilirliğin sağlanması, risk bazlı karar alma ve kaynakların kullanılması için gerekli aksiyonların alınması, güven sağlamak ve sürekli gelişme ve iyileşmeyi teşvik etmek ve kolaylaştırmak amaçlarıyla bağımsız bir iç denetim fonksiyonu tarafından güvence ve tavsiye sunulması gibi yapı ve süreçlerin bulunması gerekir.
Prensip 2 – Yönetişim Organının Rolleri: Yönetişim organı, etkili yönetişim için uygun yapı ve süreçlerin mevcudiyetini ve kurumsal amaçlar ve faaliyetlerin paydaşların önceliklendirdiği menfaatleriyle uyumlu olmasını temin eder. Yönetişim organı ek olarak, amaçlara ulaşma yolundaki ilerleme hakkında açıklık ve güven vermek adına bağımsız, objektif ve yetkin bir iç denetim fonksiyonunu tesis eder ve gözetir.
Prensip 3 – Yönetim ve Birinci ve İkinci Hat Rolleri: Yönetimin kurumun amaçlarına ulaşma sorumluluğu hem birinci hem de ikinci hat rollerini içine almaktadır. Birinci hat rolleri ürünlerin ve/veya hizmetlerin kurumun müşterilerine ulaştırılmasıyla doğrudan uyumludur ve destek fonksiyonlarının rollerini de içerir. İkinci hat rolleri risk yönetimi konusunda yardım ve destek sunar. Birinci ve ikinci hat rolleri birbirleriyle harmanlanabilirler veya birbirlerinden ayrılabilirler. Bazı ikinci hat rolleri birinci hat rollerine sahip kişilere tamamlayıcı uzmanlık ve destek sunmak, izlemek ve sorgulamak üzere uzmanlara verilebilir. İkinci hat rolleri yasa, yönetmelik ve kabul edilebilir etik davranışlara uyum, iç kontrol, bilgi ve teknoloji güvenliği, sürdürülebilirlik ve kalite güvencesi gibi belirli risk yönetimi amaçlarına odaklanabilir.
Bu prensipte IIA’nın bir açıklaması mevcuttur önemine binaen ben de buraya ekliyorum:
‘Kavramlara aşinalığı korumak adına, ilk modelde kullanılan “birinci hat”, “ikinci hat” ve “üçüncü hat” ifadeleri korunmuştur. Bununla birlikte, bu “hatlar”ın yapısal unsurları değil, aksine, rollerdeki faydalı ayrışmayı ifade etmesi amaçlanmıştır. Mantıksal olarak düşünüldüğünde, yönetişim organı rolleri aynı zamanda bir “hat” oluşturmaktadır, fakat kafa karışıklığına mahal vermemek amacıyla metot burada uygulanmamıştır. Numaralandırma (birinci, ikinci, üçüncü) ardışık işlemleri veya operasyonları ima ediyormuş gibi algılanmamalıdır. Bilakis, tüm roller eşzamanlı olarak işlemektedir.’
Prensip 4 – Üçüncü Hat Rolleri: İç denetim, yönetişim ve risk yönetiminin yeterliliği ve etkililiği hakkında bağımsız ve objektif güvence ve tavsiye sunar. Bunu sistemli ve disiplinli süreçlerin, uzmanlığın ve içgörünün yetkin bir şekilde uygulanmasıyla yerine getirir. Sürekli gelişme ve iyileşmeyi teşvik etmek ve meydana getirmek amacıyla bulgularını yönetime ve yönetişim organına raporlar. Bunu yaparken, diğer iç ve dış güvence sağlayıcılardan güvence talep etmeyi değerlendirebilir.
Prensip 5 – Üçüncü Hat Bağımsızlığı: İç denetimin yönetim sorumluluklarından bağımsız olması onun objektifliği, yetkisi ve güvenilirliği (kredibilitesi) açısından kritiktir. Bunun tesis edilmesinin yolları; yönetişim organına karşı hesap verebilirlik, işini tamamlamak için ihtiyaç duyduğu kişilere, kaynaklara ve verilere sınırlamasız erişim ve denetim hizmetlerinin planlanması ve sunumunda yanlılık veya müdahaleden ari olmadır.
(Objektiflik ve bağımsızlık; iç denetim için hayati derecede önemli konuların başında gelmektedir. Bu konu ile ilgili, uluslararası standartlarda birçok madde bulunmaktadır.)
Prensip 6 – Değer Yaratma ve Koruma: Ortaklaşa çalışan tüm roller, birbirleriyle ve öncelikli paydaş menfaatleriyle uyumlu hâle getirildiklerinde değer yaratmaya ve yaratılan değerin korunmasına katkıda bulunurlar. Faaliyetler iletişim, birlikte çalışma ve iş birliği yoluyla birbirleriyle uyumlulaştırılmaktadır. Bu durum, risk bazlı karar alma için ihtiyaç duyulan bilginin güvenilirliğini, tutarlılığını ve şeffaflığını güvence altına alır.
Modelin Uygulanması
Yapı, Roller ve Sorumluluklar
Üçlü Hat Modelinin en etkili olduğu durumlar, bu modelin kurumun amaç ve koşullarıyla uyumlu hâle getirilmek üzere uyarlandığı durumlardır. Bir kurumun nasıl yapılandırılacağı ve kurum içindeki rollerin ne şekilde dağıtılacağı gibi konular yönetim ve yönetişim organının belirleyeceği konulardır. Yönetişim organı; denetim, risk, finans, planlama ve ücretlendirme gibi sorumluluğunun belirli yönlerine ilişkin ilave gözetim ve denetim için komiteler kurabilir.
İkinci hat rolleri riskin yönetilmesiyle ilişkili konularda izlemeyi, tavsiyelerde bulunmayı, rehberliği, test etmeyi, analiz etmeyi ve raporlamayı da içerebilir. Bunlar birinci hat rollerini üstlenmiş kişileri desteklediklerinden ve aynı zamanda onları sorgulamayı sağladıklarından ve yönetimin kararlarının ve eylemlerinin ayrılmaz bir parçası olduklarından dolayı, ikinci hat rolleri yönetimin sorumluluklarından biridir ve hiyerarşik ilişki hatlarına veya hesap verilen kademelere bakılmaksızın yönetimden asla tam anlamıyla bağımsız olamaz.
Üçüncü hat rollerinin ayırt edici ve tanımlayıcı özelliklerinden biri yönetimden bağımsızlıktır. Üçlü Hat Modeli Prensipleri iç denetimin bağımsızlığının önemini ve doğasını açıklamaktadır ve bu yolla, iç denetimi diğer fonksiyonlardan ayrı bir yere koymakta ve onun sunduğu güvence ve tavsiyelerin özgün değerinin anlaşılmasını sağlamaktadır.
Gözetim ve Güvence
Yönetişim organı, amaçlarının gözetimi ve ifası için – ki bu konuda paydaşlara karşı sorumludur ve onlara hesap vermekle yükümlüdür – yönetimden (birinci ve ikinci hat rollerinden oluşmaktadır), iç denetimden ve diğer kişi ve birimlerden aldığı raporlara güvenmektedir. Yönetim, doğrudan tecrübe ve uzmanlıktan yararlanarak risk ve risk yönetimi ile ilgili planlanan, gerçekleşen ve tahmin edilen sonuçlar hakkında değerli bir güvence sunar (bunlar aynı zamanda tasdikler olarak da adlandırılmaktadır). İkinci hat rolleri bulunan kişiler riskle ilişkili konularda ek güvence sunarlar. İç denetim yönetimden bağımsız olduğundan dolayı, onun sunduğu güvence, hiyerarşik ilişki hatlarına (raporlama ilişkisi hatları) bakılmaksızın, birinci ve ikinci hat rollerini üstlenmiş bulunan kişilerin yönetişim organına sunabileceklerinin ötesinde, en yüksek objektiflik ve güven düzeyini haiz olan güvencedir.
Eşgüdüm ve uyum
Etkili yönetişim, sorumlulukların uygun şekilde dağıtılmasını ve eşgüdüm, iş birliği ve iletişim yoluyla faaliyetler arasında güçlü bir uyumun yakalanmasını gerektirir. Yönetişim organı, yönetişim yapıları ve süreçlerinin uygun şekilde tasarlandıklarını ve olması gerektiği gibi işlediklerini iç denetim aracılığıyla teyit etmek istemektedir.
Bu yazımda ilk paragrafta bahsi geçtiği üzere IIA tarafından yayımlanan ve güncellenen her iki modeli de aktarmaya çalıştım. Yararlandığım kaynaklar ve dokümanlar IIA ve TİDE’ye aittir. Daha ayrıntılı bilgi ve farklı konular için her iki enstitünün web sitelerini ziyaret edebilirsiniz.
Modelde geçen ibareler ve anlatımlar ilk başta, özellikle de profesyonel olarak iç denetim ile ilgilenmiyorsanız, soyut kalabilir. Ancak, iç denetim ile ilgili bir kariyer hedefliyorsanız ya da bu alanda akademik çalışmalar yapmak istiyorsanız muhakkak bu kavramlara ve anlatımlara aşina olmanız gerekiyor. İlk etapta anlaşılması zor olsa da okudukça, kavramların anlam dünyasına indikçe daha da anlaşılabilir olacağını düşünüyorum. Diğer bir tavsiyem de çalıştığınız firmanın organizasyonel yapısını, kurum kültürünü ve iş yapma biçimlerini ele alarak yukarıdaki modelleri anlamlandırabilirsiniz. Örneğin modelde geçen ‘yönetişim’ kavramı en üst düzey organı ifade etmektedir bu da ülkemizde çok yoğun olarak bulunan anonim şirketlerde yönetim kurulu olarak geçmektedir. Yine anonim şirketlerde üst yönetim dediğimiz genel müdür, genel müdür yardımcıları, direktörler vb. bulunmakta.
Son olarak dünyaca kabul gören yukarıda bahsettiğimiz modeller ve uluslararası standartlar şirketlerin kalitesi, sürekliliği ve sürdürülebilir bir yönetim anlayışının oluşması açısından çok önemlidir.
No responses yet