Bilindiği üzere “Üçlü Savunma Hattı” (Three Lines of Defense) modelinin revizesi amacıyla Uluslararası İç Denetçiler Enstitüsü’nün (IIA) görüş alma süreci (20 Haziran – 19 Eylül 2019 tarihleri arasında) devam ediyor. Daha önceki yazımda, model ve IIA’in modelin değişimine ilişkin görüşe sunduğu takdim dokümanı hakkında bilgi vermiştim. Bu yazıda ise, modele getirilen bazı önemli eleştiriler ve değişiklik önerilerimi aşağıda belirttim.
- Modelin risklere karşı savunma (defense) odaklı olduğu ifade edilmektedir. Bu eleştiriyi dile getirenler, risk yönetiminin; savunma, hata yapmaktan kaçınma, risk almama, risklerin minimize edilmesi olmadığını, hem savunma hem de saldırıdan (offense) oluşan kombinasyonlar olması gerektiğini, başarının ancak doğru miktarda alınan riskler sonucunda geleceğini, bu nedenle modelin fırsat ve tehditlerin belirlenmesi, analizi ve hazırlığı için daha proaktif yaklaşım ortaya koyması gerektiği ifade etmektedir. Modelin amacı risklerini yönetmede kurumlara yardımcı olmaktır. Modelin, savunmaya odaklanan, reaktif bir görüntü vermek yerine; proaktif bir şekilde, doğru miktarda, doğru riskleri almaya ve fırsatları değerlendirmeye teşvik etmesi uygun olacaktır. Bu anlamda modelin isminde “savunma” yerine “güvence”nin (assurance) olması gerektiği belirtilmektedir. Ben de bunun daha uygun olacağı düşüncesindeyim.
- Modelin katı bir yapı önerdiği, etkin ve verimli olmayan operasyonel silolar oluşturmaya eğilim oluşturduğu modele getirilen bir diğer eleştiridir. Modele göre; birinci savunma hattında risklerin sahibi ve yöneticisi olan “operasyonel birimler” yer alır, onları ikinci savunma hattında yer alan “risk yönetimi” ve “uyum” gibi birimler takip eder, yönlendirir, üçüncü savunma hattında yer alan “iç denetim” ise, birinci ve ikinci savunma hattında yer alan birimlerin aktiviteleri hakkında bağımsız güvence sağlar. Risk yönetiminin bu şekilde bir birinden kopuk ve farklı departmanlar tarafından yürütülmesi, silo yönetime, kaynakların etkin bir şekilde yönetilememesine (tekrar eden işler, operasyonlarda yavaşlama, ihtiyaç duyulan yerlere gerekli kaynakların ayrılmaması gibi) neden olabilmektedir. Bu şekilde farklı birimler tarafından yerine getirilen işlerde, birimler arasında koordinasyonun çok etkili olması, aksi takdirde etkin ve verimli olmayan operasyonlara neden olacaktır. Birimler arası koordinasyonsuzluk, yönetim kurullarına ulaşan raporlarda tekrarlara, kafa karışıklıklarına ve dolayısıyla güvence yorgunluğu (assurance fatique) denen probleme de neden olabilmektedir. Bu nedenle, yönetim birimleri, savunma hatları ve dış birimler (bağımsız denetim) arasında koordinasyon ve işbirliğinin artırılması amacıyla müşterek güvence (combined assurance) sağlanması yöntemleri üzerinde durulmaktadır. Modelin siloları önleyecek şekilde revizesi uygun olacaktır.
- Modelin risk yönetimi ve kontrollerde sorumluluğu olan tüm birimleri kapsamına almaması eleştirilen bir başka husustur. IIA tarafından 2013 yılında yayınlanan pozisyon raporunda yer alan modele göre, üst yönetim (senior management) ve yönetim organı yani yönetim kurulu veya denetim komitesi (governing body/board/audit committee) savunma hatları içerisinde yer almamaktadır. Yönetim organları ve üst yönetim, savunma hatlarının hizmet ettiği ana paydaşlar olarak ifade edilmişlerdir. Bu birimler, kurumun hedeflerini belirleme, bu hedeflere ulaşmak için stratejilerini tanımlama, bu yolda oluşabilecek riskleri yönetmek için gereken yönetişim yapılarını ve süreçlerini tesis etme yükümlülüğüne ve bu konuda hesap verme sorumluluğuna sahiptirler. Aynı zamanda savunma hatlarının oluşturulması ve işletilmesine destek, rehberlik ve gözetim sağlarlar. Bu nedenle onları savunma hatları dışında ifade etmek anlamlı olmamaktadır. Ayrıca bağımsız dış denetçiler (external audit) düzenleyici otoriteler (regulator) kurumun yapısı dışında kalmakla birlikte kurumun yönetişim ve kontrol yapısında önemli rol oynarlar. Modele göre bu birimler de üçlü savunma hattı içerisinde yer almamaktadırlar. Düzenleyici otoriteler, kurumların kontrollerini güçlendirmek amacıyla kurallar koyabilirler veya bu gereklilikler açısından ilgili kurumlarda denetimler yürütebilirler. Kurum dışında yer alan bağımsız dış denetim de, üst yönetim ve kurum hissedarlarına finansal raporlama süreçlerine ilişkin güvence verir. Bu yapıların da kurum dışında yer alan savunma hatları içerinde yer alabileceği görülmektedir. Modelin tüm savunma/güvence hatlarını içerecek şekilde revize edilmesi uygun olacaktır.
- Modelin hatların belirsizleşmesine yeterince ışık tutmaması eleştirilen bir başka noktadır. Bir hattaki görevin diğer bir hat tarafından yerine getirilmesi halinde, belirlenen sorumluluklar dağılmış olduğu için bu duruma hatların belirsizleşmesi (blurring of lines) denilmektedir. Bu durum yeni düzenlemelerin ortaya çıkması (SOX yasası vb), iş yapış şeklindeki değişiklikler, kaynak yetersizlikleri ve üst yönetimin/yönetim kurulunun bu şekilde görev yürütülmesini daha etkin bulması gibi durumlarda söz konusu olabilmektedir. Örneğin yönetim tarafından daha etkin görüldüğü için, iç denetimin uzmanlığından faydalanmak amacıyla risk yönetimiyle ve/veya uyumla ilgili aktivitelerin iç denetim tarafından yerine getirilmesi istenilebilmektedir. MetricStream tarafından 2018 yılında yapılan bir araştırma sonucuna göre, araştırmaya katılan 600 firmadan %50’sinde bu işe özel Kurumsal Risk Yönetimi (ERM) ekibi yer aldığı halde, % 25’inde kurumun bu aktivitesinin iç denetim tarafından yerine getirildiği görülmektedir. Bu tür durumlarda rol ve sorumlulukların modelde belirlendiği gibi net bir şekilde yürütülmesi mümkün olmayacaktır. Modelin bu tür rol geçişmeleri dikkate alacak şekilde revizesi uygun olacaktır.
- Model ile ilgili uygulamada görülen en büyük eksiklik ise, ilgili birimler tarafından rol ve sorumlulukların anlaşılmaması, farkında olunmaması ve/veya yerine getirilmemesidir. Modele göre risklerin ve kontrollerin sahibi operasyonel birimler olmasına rağmen, bu sorumluluklarını yerine getirmeyerek, ikinci savunma hattında yer alan kurumsal risk yönetimi birimi veya üçüncü savunma hattında yer alan iç denetimden bekleyebilmektedirler. Bazen de kurumsal risk yönetimi birimi kendini risklerin sahibi ve yöneticisi gibi görmektedir. Benzer şekilde kontrollerin sahiplenilmesinde de ciddi problemler yaşanmaktadır. Kontrollerin sahibi iç denetim olarak görülebilmektedir. İç kontroller ile, iç denetimin farkı anlaşılamayarak, iç denetim kontrollerin sahibiymiş gibi yanlış bir anlayış ortaya çıkmaktadır. Rol ve sorumlulukların yeterince anlaşılamamasıyla ilgili bir diğer aksaklık da ikinci savunma hattında yer alan birimlerin, izleme sorumluluklarını yerine getirmemesidir. Örneğin, uyumdan sorumlu birim izleme görevini yerine getirmemektedir. Genellikle sadece kurumun uymak zorunda olduğu düzenlemeler ilgili birimlere duyurulmakta, ancak bunların uygulanıp uygulanmadığının takibini iç denetimden bekleyebilmektedirler. Risklerin ve kontrollerin sahiplenilmesindeki belirttiğim bu tür yanlış uygulamalar, sorumlulukların sahipsiz kalmasına ve etkin olmayan bir risk yönetimi ve kontrol performasına neden olmaktadır. Modelin revizesi sırasında bu tür problemli hususların da dikkate alınması uygun olacaktır.
Model ile ilgili eleştiriler ve iyileştirme alanları yukarıdakilerle sınırlı değildir. Yukarıda en fazla öne çıkanlar değerlendirilmiştir. IIA’in yapacağı çalışma sonucunda umarım tüm bu eleştirilen hususlar dikkate alınarak başarılı bir güncelleme sağlanır. Ben de IIA anketine katılarak yukarıdaki görüşlerimi ifade ettim. Bu sürece katkı sağlamak isteyenlerin, en geç 19 Eylül 2019 tarihine kadar görüşlerini belirtmesi gerekmektedir. Anket sayfasına buradan ulaşabilirsiniz.
Tekrar görüşmek dileğiyle..
Dr. Nazif Burca 