IIA tarafından ilk olarak Ocak 2013’de yayınlanan “ÜÇLÜ SAVUNMA HATTI” modeli güncellenerek “ÜÇLÜ HAT MODELİ” adıyla 20 Temmuz 2020 tarihinde yayınlandı.
Bilindiği üzere, IIA tarafından modeli güncellemek amacıyla 20 Haziran-19 Eylül 2019 tarihleri arasında ilgili tüm paydaşlardan görüş alma süreci yürütmüştü. Bu aşamada, 31 Temmuz 2019 ve 14 Ağustos 2019 tarihlerinde yazdığım iki yazıda, modelin yenileme gerekçeleri ve getirilen eleştiriler hakkında detaylı bilgiler vermiştim. Bu dönemde model hakkındaki önerilerimi ben de IIA’e iletmiştim. Görüş alma sürecinin üzerinden yaklaşık 9 ay sonra, IIA yeni modelin duyurusunu yaptı.
Yeni güncellemede, üçlü hat modelinin; kurumların amaçlara ulaşmalarını en iyi şekilde sağlayacak güçlü yönetişim ve risk yönetimi yapı ve süreçlerinin belirlenmesine yardımcı olan bir model olduğu ifade edilmiştir.
Modelde yapılan önemli değişikliklikler aşağıda açıklanmıştır:
Modelin ismindeki “savunma” kelimesi çıkarılmıştır: 2013’de yayınlanan ilk pozisyon raporunda modelin orjinal ismi “Etkin Risk Yönetimi ve Kontrolünde Üçlü SAVUNMA Hattı” (The Three Lines of DEFENCE In Efective Risk Management and Control) şeklinde idi yeni yayınlanan güncelleme ile modelin ismi “IIA’in Üçlü Hat Modeli” (The IIA’s Three Lines Model) olarak değiştirildi. Risk yönetiminin; savunma, risk almama, risklerin minimize edilmesi olmadığı, hem “savunma” (defence) hem de “saldırı”dan (offense) oluşan kombinasyonlar olması gerektiği ve başarının ancak doğru miktarda alınan riskler sonucunda geleceği, bu nedenle modelin fırsat ve tehditlerin belirlenmesi, analizi ve hazırlığı için daha proaktif yaklaşım ortaya koyması gerektiği belirtilmekteydi. Modelin, savunmaya odaklanan, reaktif bir görüntü vermek yerine; proaktif bir şekilde, doğru miktarda, doğru riskleri almaya ve fırsatları değerlendirmeye teşvik eder nitelikte olması açısından yapılan değişiklik isabetli olmuştur.
Değer yaratma da kapsama alınmıştır: Daha önceki model risk yönetiminin sadece “değeri koruma” yönünü kapsaması nedeniyle eleştiri konusu yapılıyordu, güncelleme ile modelin kapsamı “değer yaratmaya” doğru genişletilmiştir. Prensip 6 “Değeri yaratma ve koruma” başlıklıdır. Bu prensipte kurumda ortaklaşa çalışan tüm rollerin birbirleriyle ve öncelikli paydaş menfaatleriyle uyumlu hale getirildiklerinde değer yaratmaya ve yaratılan değerin korunmasına katkıda bulunacakları belirtilmiştir. Faaliyetlerin iletişim (communication) birlikte çalışma (cooperation) ve işbirliği (collaboration) yoluyla birbirleriyle uyumlulaştırılacakları ifade edilmiştir.
Prensip bazlı yapı oluşturulmuştur: Daha önce prensip bazlı yapı yoktu, yeni modelde; “yönetişim”, “yönetişim organı rolleri”, “yönetim ve birinci ve ikinci hat rolleri”, “üçüncü hat rolleri”, “üçüncü hattın bağımsızlığı”, “değer yaratma ve koruma” adı altında altı prensip oluşturulmuştur. Prensip bazlı yapı oluşturulması, modelin kurumun amaçlarına ve şartlarına uygun şekilde uyarlanabilmesi ve kullanıcılara esneklik sağlaması açısından uygun olmuştur.
Üst yönetim de üçlü hatta katılmıştır: Daha önceki modelde üst yönetim (senior management) savunma hatları içerisinde yer almamaktaydı. Üst yönetim, hatların hizmet ettiği ana paydaşlardan biri olarak ifade ediliyordu. Yeni modelde yönetimin birinci ve ikinci hat rolleri açıklanarak, yönetim de hatlara dahil edilmiştir. Eski modelde birinci ve ikinci savunma hattında yer alan birimler üst yönetime raporlayan birimler olarak gösterilirken, yeni modelde, birinci ve ikinci savunma hatları yönetim çatısı altında toplanmış ve bu raporlama ilişkisi ayrıca belirtilmemiştir. Diğer bir deyişle yönetim birinci ve ikinci hat görevleriyle birlikte ilk ve ikinci hattı oluşturmaktadır diyebiliriz. Yönetimin sorumluluklarının net açıklanması nedeniyle, değişiklik yerinde olmuştur.
Rol ve sorumluluklar daha net bir şekilde açıklanmıştır: Eski modelde birinci savunma hattında (1st line of defense) yönetim kontrolleri ve iç kontrollerin, ikinci savunma hattında ise finansal kontrol, güvenlik, risk yönetimi, kalite, teftiş ve uyum birimlerinin yer aldığı belirtilmişti. Yeni modelde ise, birinci ve ikinci hatlar bu şekilde birim adı ve kontroller şeklinde belirtilmek yerine birinci ve ikinci hat rolleri şeklinde ifade edilmiştir. Birinci hat rolleri; müşterilere ürün ve hizmet sunulması, riskin yönetilmesi olarak, ikinci hat rolleri ise; riskle ilişkili konular hakkında uzmanlık, destek, izleme ve sorgulama olarak belirtilmiştir. Dolayısıyla birim bazlı bir tanımlama yerine rolleri esas alınan bir tanımla getirilmiştir. Yapılan güncellemede; yeni modelde de birinci hat, ikinci hat, üçüncü hat ifadelerinin korunduğu ancak bu hatların yapısal unsurlar değil aksine rollerdeki faydalı ayrışmayı ifade etmesinin amaçlandığı belirtilmiştir. Ayrıca numaralandırmanın (birinci, ikinci, üçüncü) ardışık işlemleri veya operasyonları ima ediyormuş gibi algılanmaması gerektiği, bilakis tüm rollerin eş zamanlı işlediği açıklanmıştır. Güncellemede rollerin ve sorumlulukların net bir şekilde ifade edilmesi, hem karışıklıkları önlemek, hem de modelin farklı kurumlara uygulanabilirliğini kolaylaştırmak açısından faydalı olmuştur.
Yönetişim organı modele dahil edilmiş ve yönetişime belirgin bir şekilde vurgu yapılmıştır: Daha önceki modelde yönetişim organı (governing body) yönetim gibi, birinci ve ikinci hatların hizmet ettiği ana paydaşlardan biri konumundaydı ve savunma hatları içerisinde yer almıyordu. Yeni modelde ise, “yönetişim organı” “üst yönetim” ve “iç denetimle” birlikte modelin üç ana unsurundan biri olarak ifade edilmiştir. Yeni modelin birinci prensibinde, bir kurumun yönetişiminde; paydaşlara karşı hesap verilebilirliği (yönetişim organı), kurumsal amaçlara ulaşmak için aksiyonların alınmasınını (yönetim) ve bağımsız bir güvence ve tavsiyelerin verilmesini sağlayan (iç denetim) yapı ve süreçlerin bulunması gerektiği ifade edilmiştir. Aynı prensipte; yönetişim organının dürüstlük, şeffaflık ve liderlik yoluyla kurumsal gözetim için paydaşlara karşı hesap verebilirliği (sorumluluk) sağlaması gerektiği belirtilmiştir. 2. prensipde ise, yönetişim organının rolünün; etkili yönetişim için uygun yapı ve süreçlerin mevcudiyetini ve kurumsal amaçlar ve faaliyetlerin paydaşların önceliklendirdiği menfaatleriyle uyumlu olmasını temin etmek olduğu ifade edilmiştir. Ayrıca aynı prensipte, yönetişim organının; kurumun amaçlarına ulaşmak için yönetime sorumluluk devredeceği, kaynak sağlayacağı ve amaçlara ulaşma yolundaki ilerleme hakkında netlik ve güven sağlama amacıyla bağımsız, objektif ve yetkin bir iç denetim fonksiyonu tesis ederek, gözeteceği belirtilmiştir. Yönetişimin ön plana çıkması, hem değer koruma ve yaratma, hem de risk yönetiminin savunma ve saldırı yönlerini desteklemek açısından anlamlı olmuştur.
Aşağıdaki yeni ve eski modelin şemaları karşılaştırıldığında, “Yönetim” (Management/Senior Management) ve “Yönetişim Organının” (Governing Body) gösterimindeki bariz değişim dikkati çekmektedir: Eski modelde “yönetişim organı” ve “yönetim” kendilerine raporlama yapılan bir paydaş konumundayken, yeni modelde, modelin iki ana unsuru olarak ifade edildiği görülmektedir. Yeni şemada “iç denetim”in de modelin üçüncü ana unsuru olduğu görülmektedir.
Eski Model
Yeni Model
İç denetimin rolüne ve bağımsızlığına vurgu artmıştır: Değişen koşullar ve artan paydaş beklentileri doğrultusunda, iç denetimin rolleri de yeni modele uygun olarak belirtilmiştir. Yukarıdaki eski ve yeni şemalar karşılaştırıldığında iç denetimin rolündeki değişim de görülmektedir. Yeni modelde iç denetim, yönetişimde sorumluluk sahibi olan üç ana rolden (yönetişim organının gözetimi, yönetimin aksiyonları ve iç denetimin güvence ve tavsiyeleri) biri olduğu belirtilmiş ve yönetişimin üç ana unsurundan (yönetişim organı, yönetim ve iç denetim) biri olarak konumlandırılmıştır. Daha önce hazırlanan pozisyon raporunda iç denetimin üçüncü hat olarak üst yönetime ve yönetişim organına; yönetişim, risk yönetimi ve iç kontroller hakkında bağımsız, objektif “güvence veren” bir birim olarak tanımlanmıştı. Güncellenen modelde ise, iç denetimin hem “güvence” hem de “tavsiye veren” yönüne dikkat çekiliyor. İç denetimin yönetimden bağımsızlığının önemi vurgulanmıştır. Altı prensipten bir tanesi üçüncü hat olan iç denetimin yönetim sorumluluklarından bağımsızlığına ilişkin. Önceki modelde iç denetim hem üst yönetim, hem de yönetişim organına raporlayan bir birim olarak ifade edildiği görülürken, yeni modelde iç denetim, sadece yönetişim organına hesap veren, raporlayan, bir birim olarak gösteriliyor. Yapılan bu değişiklikler iç denetimden artan paydaş beklentileri ifade etmesi açısından ve iç denetimin artan önemini göstermesi açısından yerinde olmuştur.
İşbirliği, iletişim ve eşgüdümün önemine vurgu yapılmıştır: Güncellenen modelde, etkili yönetişim ve sorumlulukların dağıtılması için faaliyetler arasında eşgüdüm, işbirliği ve iletişim yoluyla güçlü bir uyumun yakalanması gerektiği belirtilmiştir. Yönetişim organı, yönetim ve iç denetimin her üçü de birbirinden farklı sorumluluklar üstlenmişlerdir, ancak tüm faaliyetlerin kurumun amaçlarıyla uyumlu hale getirilmesi gerekmektedir. Başarılı bir uyumun; düzenli ve etkili bir eşgüdüm, işbirliği ve iletişime bağlı olduğu ifade edilmiştir. Ayrıca, iç denetimin çalışmalarının kurumun stratejik ve operasyonel gereksinimleriyle uyumlu olması ve gereksiz tekrarların/eksikliklerin olmaması açısından da yönetim birimleriyle iç denetim arasında düzenli iletişim, işbirliği ve eşgüdüm olması gerektiği belirtilmiştir.
Dış güvence sağlayıcılar tek başlıkta toplanmıştır: Daha önceki, modelde bağımsız dış denetim (external audit) ve düzenleyici kurum (regulator) şemada ayrı ayrı belirtiliyordu, yeni modelde ise, bu birimler ayrı ayrı belirtilmemiş ancak “dış güvence sağlayıcılar” (external assurance providers) olarak belirtilmiştir. Dış güvence sağlayıcılar her iki modelde de üçlü hattın içerisinde yer almıyor.
Özetle, yeni üçlü hat modeli ile, daha önceki modele getirilen eleştirilerin genel olarak karşılandığını ve yeni modelin çok önemli iyileştirmeler içerdiğini söyleyebiliriz.
Dr. Nazif Burca 
“Üçlü Savunma Hattı Modelinde Yapılan Değişiklikler” için bir yorum