Bu yazımda sizlere kısaca geleneksel ve çevik denetim yöntemleri ve bu yöntemler arasındaki farlılıklar hakkında bilgi vermek istiyorum.
Proje yönetimleri şelale, çevik, kanban vb çeşitli yöntemlerle yapılabilmektedir. Denetim çalışmalarımızı da bir proje yönetimi olarak değerlendirirsek, denetim projelerimizin yönetiminde en çok bilinen iki yöntem var. Birincisi ve en yaygın olanı “geleneksel” dediğimiz “şelale” (waterfall) yöntemi, diğeri ise giderek yaygınlaşan çevik (agile) yöntem. Bilindiği üzere, IT uygulama geliştirmede şelale yönteminin öncülük ettiği yazılım geliştirme modellerinin, müşteri taleplerini karşılamada yetersiz kalması nedeniyle, müşterilerin beklentilerini daha iyi şekilde karşılayabilmek amacıyla 1990’lı yıllardan itibaren çevik yöntem ortaya çıkmıştır. Aşağıdaki şekilde[i] geleneksel (traditional) ve çevik (agile) denetim yöntemleri karşılaştırmalı olarak gösterilmiştir.
Geleneksel denetim yönteminde denetim görevleri, birbiri arkasına gelen adımlarla yani “sıralı” veya “doğrusal” olarak yürütülmektedir. Bu yöntemin uygulaması, şelaleye benzediği için “şelale” yöntemi olarak adlandırılıyor. Bu yöntemde denetim çalışmalarımıza kurum çapında yapılan bir risk değerlendirmesiyle (risk assessment) başlıyoruz. Denetim evrenimizi oluşturan süreç, alt süreç, bölüm veya faaliyetler bazında bir risk değerlendirmesi yaparak denetim planımızı oluşturuyoruz yani denetleyeceğimiz süreç veya alt süreçleri belirliyoruz. Taslak denetim planını hazırladıktan sonra, yönetim kurulu veya denetim komitesinin onayını alarak denetim çalışmalarımıza başlıyoruz. Denetim duyurusundan sonra, denetim hazırlıklarımıza başlıyoruz. Denetim kapsamında denetlenecek riskleri, test edilecek kontrolleri ve test yöntemlerini içeren denetim çalışma programımızı hazırlayarak, gerekli gözden geçirmeler sonrasında, süreç sahibi birimle paylaşıyoruz. Süreç sahipleriyle bir açılış toplantısı yaparak onları denetim çalışması hakkında bilgilendiriyoruz. Daha sonra da genellikle iç denetçilerden oluşan denetim ekiplerimiz saha çalışmalarına (audit fieldwork) başlayarak, gerekli denetim testlerini gerçekleştiriyor. Denetim müşterilerimiz bu çalışmalar sırasında denetim ekibimize katılmıyorlar. Saha çalışmalarımızda tespit ettiğimiz bulguları taslak raporlar haline getirerek, iç denetim ekip yöneticisi ve/veya iç denetim yöneticisinin gözden geçirmeleri (review) sonrasında ilk raporumuzu süreç sahipleriyle paylaşıyoruz. Süreç sahipleriyle yapılan testler, bulgular, önerilerimiz ve alınacak yönetim aksiyonları üzerinde mutabakatların sağlanması sonrasında, son raporu (final report) oluşturarak süreç sahibi birim yöneticileri ve üst yönetimle (genel müdür yardımcıları, genel müdür vb) paylaşıyoruz. Belirlenen aksiyon planlarını, vadelerine göre takibe alıyoruz. Yapılan denetim çalışmalarının ve aksiyon takip sonuçlarını genellikle çeyrek dönemler halinde statü raporu şeklinde denetim komitesine sunuyoruz.
Mevcut yürürlükteki iç denetim standartları ve yeni yayımlanan ve gelecek seneden itibaren yürürlüğe girecek olan yeni Global İç Denetim Standartlarında açıklanan yöntem de geleneksel dediğimiz “sıralı” yöntem. Yalnız yeni Global İç Denetim standartlarda, denetim adımları bu şekilde “sıralı” ya da “doğrusal” olarak açıklansa da bunun “kesin” olmadığı denetim adımlarının “yinelemeli” ya da “döngüsel” olarak da yürütülebileceği ifade edilmektedir. Yeni iç denetim standartlarıyla ilgili bu konudaki yazıma buradan ulaşabilirsiniz.
Denetim görevlerinin yürütülmesinde kullanılan bu yaygın geleneksel yöntemin, gerek denetçiler gerekse denetimin paydaşları açısından, ciddi zorluklara ve verimsizliklere neden olduğu görülmektedir. Bu yazının konusu bu zorluklar ve verimsizlikler olmadığı için, burada bunların detaylarına girmeyeceğim ancak geleneksel denetim yönteminin uygulanmasında karşılaşılan zorlukları kısaca özetlediğim daha önceki bir yazıma buradan ulaşabilirsiniz.
Denetim yöntemlerinden çevik yönteme gelirsek, bu yöntemde de denetim çalışmalarına genel bir risk değerlendirmesiyle başlıyoruz ve bir denetim planı (audit backlog) hazırlıyoruz. Çevik yöntemde denetim adımları birbiri arkasına gelen adımlar yerine “döngüsel” ya da, “yinelemeli” (iterative) olarak uygulanıyor. Aşağıdaki şekilde[ii] çevik denetim yönteminin detaylı gösterimi yapılmıştır
Denetim planımızı çıkardıktan sonra denetim müşterilerinin temsilcilerinin de içerisinde yer aldığı denetim ekibi (scrum team) tarafından; sprint (koşu) planlama (sprint planning) aşamasında bu denetimde/koşuda değerlendireceğimiz risklerin yer aldığı sprint iş listemiz (sprint backlog) ve bunlarla ilgili yapılacak testler, görevler (task) belirleniyor. Sprint planlama aşamasında denetim ekibi tarafından, hazır olmanın tanımını (Definition of Ready, DoR) yani bu denetimde ulaşmak istediğimiz “amaç” ya da katmak istediğimiz “değer”in ne olduğu belirleniyor. Bundan sonra, denetim saha çalışmasına başlanıyor. Ekip liderinin gözetiminde günlük olarak 10-15 dakikayı geçmeyecek şekilde günlük toplantılar (daily scrum, daily standup) yapılarak; neler yapıldı, sorunlar, yapılacaklar vb hususlar görüşülüyor. Sprintlerin sonunda, sprint gözden geçirme (sprint review) toplantısı yapılıyor. Bu toplantıda tespit edilen bulgular, alınacak aksiyonlar, zamanı vb hususlar süreç sahibiyle birlikte belirleniyor. Süreç sahibi de takımda yer aldığı için ayrı bir yazılı raporlamaya da gerek kalmıyor. Eğer istenirse rapor oluşturulabilir. Böylece her sprintin içerisinde planlama, saha çalışması, gözden geçirme ve raporlama tamamlanmış oluyor. Sprintler sırasında yeni tespit edilen riskler, risk listemize alınarak denetim planı yani iş listemize alabileceğimiz riskler güncelleniyor. Çevik denetimin önemli özelliklerinden birisi de “bitti”nin tanımının (Definition of Done, DoD) yapılmasıdır. Bitti’nin tanımlanması, o denetimden sağlanan değerin (sağlanan güvence, öneri listesi, alınan aksiyonlar vb) tanımlanması demek. Sprintin sonunda bitti tanımlanıyor ve retrospective toplantısı yapılarak denetim ekibinin performansı ya da neler iyi yapıldı, neler daha iyi yapılabilirdi, çıkarılacak dersler vb hususlar tartışılarak sprint sonlandırılıyor.
Bu sprintlerimiz, yani koşularımız üç aylık bir plan döneminde iki haftalık sürelerle yinelemeli olarak, aynı yöntemle devam ediyor. Çeyrek dönemlerde, yani tamamlanan planların sonunda, denetim komitesi ve üst yönetim için planlama dönemi içerisinde yapılan çalışmaların özetinin yer aldığı bir final ya da statü raporunu hazırlıyoruz.
Çevik denetimde en önemli hususlardan birisi, her denetime uyan tek bir yöntem (one size fits all) yok, yani her bir denetim yönetiminde farklılıklar olabilir. Ancak çevik denetim yönteminde, denetim adımları genel olarak böyle diyebiliriz.
Geleneksel denetim ve çevik denetim yöntemleri hakkındaki bu genel bilgilerden sonra bu yöntemler arasındaki farklılıklara biraz daha detaylı olarak bakabiliriz. Yukarıda yapılan açıklamalardan da anlaşılacağı üzere her iki yöntem arasında başlıca farklılıklar kısaca şunlardır:
Proje yönetim şekli farklıdır: Yukarıda ifade edildiği gibi geleneksel yöntem, “sıralı” ve “doğrusal” iken çevik yöntem “yinelemeli”dir. Geleneksel yöntemde geriye dönüş mümkün değildir veya zordur. Örneğin yeni bir riskle karşı karşıya kalındığında denetim planına almak zordur. Çevik yöntem ise, yinelemeli olarak uygulandığı için yeni ortaya çıkan riskler kolaylıkla kapsama alınabilir ve plan esnektir.
Proje amaçları farklıdır: İki yöntemin odaklandığı amaçlar farklıdır. Geleneksel yöntemde genellikle denetim amacı (audit objective) ilgili süreçteki kontrollerin etkinliğini tespit etmek, ilgili mevzuata uyulup uyulmadığını tespit etmek vb şeklindedir. Çevik yöntemde ise müşteriye ya da kuruma sağlanacak değere odaklanılır. Bu nedenle, çevik yöntemde denetimin başında ulaşılmak istenen değer tanımlanır ve denetimin sonunda da değere ulaşılıp ulaşılmadığına karar verilerek denetim sonlandırılır. Ayrıca, geleneksel denetimde genellikle ana performans kriteri, denetim planına alınan denetimlerin tamamlanmasıdır. Diğer bir deyişle, değerden ziyade denetim planının tamamlanmasına odaklıdır.
Müşteri ilişkileri farklıdır: Geleneksel yöntemde genellikle müşteriden izole çalışılır. İç denetim çalışmanın sahibidir. Risk değerlendirmesi, denetimin açılış ve kapanış toplantılarında müşterinin görüşleri alınır ancak denetimden ulaşılmak istenen amaç, yapılacak testler ve yöntemi gibi konular müşteriden ayrı olarak iç denetim ekibi tarafından belirlenir. Çevik yöntemde ise, müşteri ile yakın iş birliği ve iletişim esastır. Müşterinin uygun olan personeli denetim ekibine dahil edilir. Denetim çalışmalarının her aşamasında müşteri görüş sağlar, denetim sonucundan zamanında haberdar olur, sürprizle karşılaşmaz. Müşteriyle yakın çalışıldığı için ara raporları yapmaya da gerek kalmaz. Müşteri sprintler sırasında belirlenen öneriler doğrultusunda aksiyonları hayata geçirmeye çalışır. Müşteri ile sadece belli aşamalarda değil, süreç boyunca sık sık ve yakın iletişim söz konusudur.
Risk değerlendirme farklıdır: Geleneksel yöntemde risk değerlendirme yıllık olarak yapılır veya bazen yapılmaz ve var olan değerlendirme güncellenir. Çevik yöntemde ise, riskler her çeyrekte ve denetim çalışmaları sırasında tespit edilen veya yeni ortaya çıkan riskleri kapsayacak şekilde güncellenir. Bu anlamda dinamik bir risk değerlendirmesi söz konusudur.
Planlama farklıdır: İki yöntemdeki en önemli farklılıklardan biri de planlamadadır. Geleneksel yöntemde plan genellikle yılda bir defa yapılır mecbur kalınmadıkça planda değişiklik yapılmaz, yeni ortaya çıkan riskleri kapsama almak zordur ve yeterince esnek değildir. Çevik yöntemde ise, planlama yıllık yapılmaz genellikle çeyrek dönemler için planlama yapılır ve her bir sprintte ortaya çıkan yeni risklere göre denetim evreni yani risk listesi güncellenir. Denetim planı yeni risklere cevap verecek şekilde esnektir.
Denetim evreni farklıdır: Geleneksel denetimde denetim evreni iç denetim risk değerlendirmesine bağlı olarak, bölüm ve süreç bazında oluşturulur. Çevik yöntemde ise değer odaklı çalışmaya bağlı olarak denetim evreni risklerden oluşur. Düşük ve orta risklerden ziyade, stratejik olarak öncelikli riskler dikkate alınır. Her bir risk, bir denetim görevi olarak ele alınır.
Denetim kapsamı farklıdır: Geleneksel denetim yönteminde, ilgili birim veya sürecin baştan sona tüm riskleri kapsama alınmaya çalışılır, çevik yöntemde ise kurumun stratejik önceliklerine etki edebilecek yüksek öncelikli, acil ve yeni ortaya çıkan risklere odaklanılır.
Dokümantasyon farklıdır: Geleneksel yöntemde kapsamlı, eksiksiz ve mükemmel bir dokümantasyon yapılırken, çevik yöntemde dokümantasyon rasyoneldir ve bir işlevi olmayan ve önemli olmayan dokümantasyonlar yapılmaz.
Raporlama farklıdır: Her iki yöntem arasında en önemli farklılıklardan biri de raporlama şeklindedir. Geleneksel yöntemde denetim süresi sonucunda kapsamlı ve tek bir rapor yayımlanırken çevik yöntemde sprintler içerisinde müşteri ile yakın çalışıldığı için, müşteri bulgular, önerilerden haberdardır ve aksiyonları hızlıca belirleme imkânı vardır. Standartlara göre raporlama yazılı olmak zorunda olmadığı için, sprintlerde, alınacak aksiyonlar üzerinde mutabık kalınması veya aksiyonlara başlanması durumunda ayrı bir yazılı raporlamaya da gerek kalmamaktadır. Yönetimle sürekli iletişim içerisinde olunması sürekli raporlamaya imkân sağlar. Denetim komitesine de beklentiye göre daha hızlı ve sürekli raporlama yapılabilir. Çeyrek dönem sonunda sprintlerde yapılan tespit, öneri ve alınan aksiyonlara ilişkin denetim komitesine ve üst yönetime raporlama yapmak da yeterli olabilir. Uzun, okunmayan raporlar ve çok uzun süren yazım ve gözden geçirme süreleri çevik yöntemde olmaz. Raporlar, daha çok görselliğe önem veren bir sayfalık bilgilendirmeler şeklinde yapılabilir.
Kaynak yönetimi farklıdır: Geleneksel yöntemde onaylı zaman planına göre çalışmalar yürütülür, kaynak planlaması daha zordur. Küçük ve orta risklere de kaynak ayrıldığı için denetimler uzun sürer. Karmaşık ve kapsamlı denetimlerde zaman takibi daha zordur. Çevik yöntemde ise, çalışmalar zaman sınırlı sprintler halinde yürütüldüğü için kaynak yönetimi daha kolaydır. Her bir sprint sonunda çalışma mutlaka bitirilir, bitmeyen işler diğer sprinte devredilebilir. Gereksiz kapsam genişlemeleri önlenir.
Yukarıda da ifade ettiğim üzere çevik yöntem giderek yaygınlaşmaktadır. Geleneksel yöntemde karşılaşılan zorluklar ve müşteri beklentilerinin yeterince karşılanamaması bugün denetim departmanlarını çevik denetim yöntemine yöneltmektedir. Çevik yönteme geçiş, doğru bir şekilde yapıldığında ve bu yöntem doğru şekilde uygulandığında, iç denetim departmanları olarak kurumlarına önemli değerler katan çalışmalara imza atabileceğine inanıyorum.
Çevik denetime geçiş sürecinizle ilgili uzman bir desteğine ihtiyaç duymanız halinde, size yardımcı olmaktan memnuniyet duyarız, aşağıdaki e-posta adresimden veya telefondan bana her zaman ulaşabilirsiniz.
Vezin Tel: 0 (312) 473 57 57
Not: Bu sitede yer alan yazılardan lütfen kaynak belirtmeden alıntı yapmayız.
[i] https://adeptadvisory.co.za/news/agile-internal-audit/
[ii] https://www.monacoconsultinggroup.com/blog/reenvisioning-internal-audit-part-2-1
Dr. Nazif Burca 