Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

Geçtiğimiz Pazartesi günü (29 Temmuz 2019) Amerikanın en büyük bankalarından Capital One, yaklaşık 106 milyon, kredi kartı sahibi ve kredi kartı başvurusu yapan, müşterisinin  kişisel bilgilerinin (140 bin sosyal güvenlik numarası, 80 bin banka hesabı numarası) çalındığını duyurdu. Bu veri ihlali finansal hizmet kurumlarının bu güne kadar karşılaştığı veri ihlallerinin en büyüğü. Bu bilgi duyulduktan sonra firmanın hisse değeri %… Okumaya devam et Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

ÜÇLÜ SAVUNMA HATTI NEDİR? MODEL NEDEN YENİLENİYOR?

“Üçlü Savunma Hattı” (Three Lines of Defence) modelinin gözden geçirilmesi ve yenilenmesi amacıyla geçtiğimiz Haziran ayında Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından  bir takdim dokümanı (exposure document) üyelerin ve diğer paydaşların görüşüne sunuldu. Görüş alma süreci 20 Haziran – 19 Eylül 2019 tarihleri arasında devam edecek.  Toplanacak görüşler sonucunda model gözden geçirilerek son hali verilecek.

Modele ilişkin yenileme gerekçeleri, eleştiriler ve iyileştirme alanlarına geçmeden önce model hakkında bilgi verelim.

Modelin hedefi, işletmelere; amaçlarına ulaşmalarına engel olabilecek riskleri etkin bir şekilde yönetmeleri ve kontrol edebilmelerine yardımcı olmaktır. Model, esas olarak 1990’lı yıllardan itibaren duyulmakla birlikte, finansal krizlerin arkasından risk yönetiminden artan beklentiler doğrultusunda Ocak 2013’de IIA tarafından “Etkin Risk Yönetimi ve Kontrolünde Üçlü Savunma Hattı” (The Three Lines Of Defence In Efective Risk Management  and Control) adlı pozisyon raporu yayınlanmıştır.

Anılan pozisyon raporuna göre, aşağıdaki resimde de görüleceği üzere, risk yönetiminde birinci savunma hattında (1st line of defense) yönetim kontrolleri ve iç kontroller yer almaktadır. Birinci savunma hattını riskleri üstlenen ve yöneten operasyonel birimler oluşturur. Bu birimler günlük olarak risk ve kontrol prosedürlerini uygulamaktan ve iç kontrollerin etkinliğinin idame ettirilmesinden sorumludurlar. İç kontroller, operasyonel yönetim birimlerinin gözetiminde, sistemler ve süreçler içerisinde tasarlandığı için, doğal olarak ilk savunma hattında bu birimler yer alırlar.

3LOD

Risk yönetimin ikinci savunma hattında (2nd line of defense) risklere nezaret eden, risk yönetimi ve uyum birimleri (finansal kontrol, güvenlik, risk yönetimi, kalite, uyum vb) yer alır.  Bu birimler birinci savunma hattında yer alan kontrollerin oluşturulmasına ve izlenmesine yardımcı olmak amacıyla oluşturulan birimlerdir. Örneğin ikinci savunma hattında yer alan risk yönetimi birimi; etkili risk yönetimi uygulamalarını hayata geçirmesi için operasyonel yönetim birimlerini izleyen, yönlendiren ve kurum içerisinde risk yönetimine ilişkin bilgilerin raporlanmasına yardımcı olan bir birimdir. Bu birimler; birinci savunma hattının gereğine uygun olarak tasarlanmış olduğundan, faal olduğundan ve hedeflendiği gibi faaliyet gösterdiğinden emin olmak amacıyla yönetim tarafından oluşturulmuştur. Bu birimler yönetimden kısmen bağımsız olmakla birlikte, tabiatı gereği yönetim birimleri içerisinde yer alırlar. Yönetim birimleri olarak, iç kontrol ve risk yönetimi sistemlerinin modifikasyonu  ve geliştirilmesinde doğrudan sorumluluk üstlenebilirler.

Risk yönetiminin üçüncü savunma hattında (3rd line of defense) ise risk yönetimi, yönetişim ve iç kontroller hakkında bağımsız güvence sağlayan iç denetim yer alır. İç denetim yönetimden bağımsızdır. İç denetim, birinci ve ikinci savunma hatlarının risk yönetimi ve kontrol hedeflerine ulaşıp ulaşamadıkları konusunda, üst yönetim ve yönetim kuruluna güvence sağlar.

Yukardaki resimde de görüleceği üzere dış denetçiler (external audit) düzenleyici otoriteler (regulator) kurumun yapısı dışında kalmakla birlikte korumun yönetişim ve kontrol yapısında önemli rol oynarlar. Modele göre bu birimler üçlü savunma hattı içerisinde yer almamaktadırlar. Düzenleyici otoriteler, kurumların kontrollerini güçlendirmek amacıyla kurallar koyabilirler veya bu gereklilikler açısından ilgili kurumlarda denetimler yürütebilirler. Kurum dışında yer alan bağımsız dış denetim de, üst yönetim ve kurum hissedarlarına finansal raporlama süreçlerine ilişkin güvence verirler.

Dikkat edileceği üzere, IIA tarafından 2013 yılında yayınlanan pozisyon raporunda yer alan modele göre, üst yönetim (senior management) ve yönetim organı yani yönetim kurulu veya denetim komitesi (governing body/board/audit committee) savunma hatları içerisinde yer almamaktadır. Yönetim organları ve üst yönetim, hatların hizmet ettiği ana paydaşlardır. Bu birimler, kurumun hedeflerini belirleme, bu hedeflere ulaşmak için stratejilerini tanımlama, bu yolda oluşabilecek riskleri yönetmek için gereken yönetişim yapılarını ve süreçlerini tesis etme yükümlülüğüne ve bu konuda hesap verme sorumluluğuna sahiptirler. Aynı zamanda savunma hatlarının oluşturulması ve işletilmesine destek, rehberlik ve gözetim sağlarlar.

Kurumların büyüklüklerine göre bu savunma hatlarında yer alan birimler arasında birleşmeler olabilir. Pozisyon raporunda da ifade edildiği üzere etkin bir risk yönetimi ve kontrol ortamı sağlanmasında savunma hatları arasında eşgüdümün sağlanması önem arz etmektedir. Birimler arasında iletişim iyi düzeyde olmalıdır. Savunma hatları, etkinliklerine zarar verecek şekilde birleştirilmemelidirler. Savunma hatlarında yer alan birimlerin, aynı türden gereksiz çalışmaları tekrar etmemesi ve faaliyetleri arasında eşgüdüm sağlanmasında, iç denetim  birimlerinin yürüteceği güvence ve danışmanlık faaliyetleri önem taşımaktadır.

2013 yılında ortaya konan bu model basit, anlatımı ve anlaşılması kolaydır. Bu konulara aşina olmayan insanlara, risk yönetimi ve iç kontrollere ilişkin rol ve sorumlulukları anlatırken ben de sık sık bu modelden faydalanıyorum. Bu anlamda, kurum içerisinde rol ve sorumlulukların belirlenmesi açısından oldukça faydalı bir model. Daha ziyade finansal servis otoriteleri olmak üzere, düzenleyici kurumlar tarafından da kabul edilmiştir.

Uluslararası İç Denetçiler Enstitüsü tarafından geçtiğimiz ay yayınlanan takdim dokümanında, modelin gözden geçirilme sürecinin başlatılmasının gerekçeleri olarak:

  • Modelin ilk yayınlandığı döneme göre birçok değişiklikler olması,
  • Organizasyonların doğalarının ve operasyonlarını yürüttükleri ortamların değişmesi,
  • Üç hattın rolü ve pozisyonları ile iç denetimin kurumsal başarıya sağladığı katkıların değişmesi,
  • Modelin kapsamının, değer korumaktan, değer yaratmaya doğru genişletilme amacı,
  • Değişen paydaş beklentileri ve organizasyonların artan karmaşıklığı,
  • Son yıllarda art arda gelen skandallar ve krizler neticesinde kurumlara olan güvenin sarsılması, modelin zayıf tarafları güçlendirilirse, modelin kurumlara olan güvenin tekrar inşa edilmesine ve onların amaçlarına ulaşmasına yardımcı olacağı, böylece paydaşlarının beklenti ve ihtiyaçlarına en iyi şekilde hizmet edebilecekleri

Hususlarının ifade edildiği görülmektedir.

Takdim dokümanında, model ile ilgili olarak bu zamana kadar yapılan ana eleştirilerin;

  • Modelin çok sınırlı ve sınırlayıcı olduğu,
  • Fırsat ve tehditlerin belirlenmesi, analizi ve hazırlığı için daha proaktif yaklaşım yerine, savunmaya (defense) odaklandığı,
  • Katı (rijit) bir yapı önerdiği,
  • Etkin ve verimli olmayan operasyonel silolar oluşturmaya eğilim oluşturduğu,
  • Modern organizasyonların mevcut gerçeklerini yansıtmak için yeterli donanımının olmadığı,
  • Hatların belirsizleşmesini (blurring of the lines) (örneğin; üçüncü hatta yer alan iç denetimin ikinci hatta yer alan uyum, risk yönetimi sorumluluklarını da yüklenmesi gibi) açıklayamadığı ve buna rehberlik edemediği

Hususlarının olduğu belirtilmiştir.

  • Takdim dokümanında, modelde geliştirme fırsatı olan alanların;
  • Risk yönetimi ve kontrolleri, yönetişimin (governance), organizasyonel başarının desteklenmesi ve değer yaratımının bir parçası olarak ele alınması,
  • Organizasyonun amaçlarının daha ileriye taşınması için proaktif ve duyarlı yaklaşımları teşvik etmesi,
  • Stratejik öncelik ve operasyonel ihtiyaçlar doğrultusunda işbirliği ve koordinasyonun önemine dikkat çekilmesi,
  • Bireysel fonksiyonların rol ve sorumlulukları ile, onların yönetişim, organizasyonun başarısı ve değer oluşturmaya ortak katkılarının daha net ifade edilmesi,
  • Modelin daha esnek ve çevik kullanımı için fırsatların belirlenmesi,
  • Özellikle sektör, büyüklük ve olgunluk yönleriyle organizasyonel farklılıkların dikkate alınması ve herhangi bir organizasyon için kullanıma hazır olabilmesi,
  • Modeli çok karmaşıklaştırmadan, dış paydaşların yönetişime, kurumsal başarıya ve değer oluşturmaya katkılarının dikkate alınması,
  • İç denetimin, “üçüncü savunma hattı” tanımının, “stratejik ortak” ve “güvenilen danışman” rollerini içerecek şekilde genişletilmesi,
  • Hatların belirsizleşmesinin ve uygun emniyet noktalarının açıklanması,
  • Modeldeki iyileştirmelerin grafiksel olarak gösterimi

Olduğu belirtilmiştir.

Takdim dokümanında belirtilen tüm bu hususlar dikkate alındığında, modelin gözden geçirilmesi kararının yerinde bir karar olduğu görülmektedir. Modelin değişmesine katkıda bulunmak isteyenler IIA’in anketine katılarak 19 Eylül 2019 tarihine kadar görüşlerini belirtmesi iyileştirme sürecine katkı sağlayacaktır. Bu yazıyı daha fazla uzatmamak açısından, modelde yapılabilecek değişikliklere ilişkin görüşlerimi ayrı bir yazıda ele almayı planlıyorum.

Tekrar görüşmek dileğiyle..

Etkin Politika ve Prosedürler Nasıl Olmalıdır?

İşletmelerde ortaya çıkan problemlerin kök nedenleri analiz edildiğinde, bir çoğunun, ilgili süreçlere ilişkin politika ve prosedürlerin yetersizliğinden kaynaklandığı görülmektedir. Politika ve prosedürlerin etkin olmaması önemli kayıplara neden olmaktadır. Politika ve prosedür nedir, kısaca açıkladıktan sonra, bu dokümanların işlevleri ve nasıl olmaları gerektiği hakkında bilgi verelim. “Politika ve prosedür”, kelimeleri genellikle birlikte kullanılır ancak aralarında bazı… Okumaya devam et Etkin Politika ve Prosedürler Nasıl Olmalıdır?

Kobiler İçin İç Kontroller Neden Önemli

Ülkemizde işletmelerin % 99’u KOBİ’lerden (KOBİ, Küçük ve Orta Büyüklükteki İşletmeler)  oluşmaktadır. Bu işletmeler istihdamın %75’ini sağlamaktadır. TÜİK verilerine göre, 2015 yılı ihracatının %55’i, ithalatının ise %38’i KOBİ’lere aitdir. Bu rakamlar, KOBİ’lerin ekonomimiz içerisinde çok önemli bir büyüklüğe ve role sahip olduklarını göstermektedir. 250 kişinin altında çalışanı bulunan ve yıllık net satış hasılatı 40 milyon… Okumaya devam et Kobiler İçin İç Kontroller Neden Önemli

“Çözüme Değil, Probleme Aşık Ol”

Waze şirketinin kurucusu Uri Levine’ye atfedilen bu söz, yenilikçi çözümler üreten girişimlerin (startups) kendi geliştirdikleri “dahiyane” çözümler yerine, müşteriye sağlanacak değere, müşterinin problemine odaklanılması gerektiğine işaret etmekte. Buna katılmamak mümkün değil.. Yeni girişimlerin çok büyük oranda başarısız oldukları belirtiliyor ve araştırma sonucuna göre, startupların başarısızlığının en büyük (%42) nedeni, pazarda ürünlerine talebin olmaması. Müşterilerin derdine… Okumaya devam et “Çözüme Değil, Probleme Aşık Ol”

2017 Siber Saldırıları, 2018 Beklentileri ve İç Kontroller

2017 yılı büyük siber saldırıların gerçekleştirildiği veya daha önce gerçekleştirilen saldırıların açıklandığı bir yıl oldu. Bu saldırıların en önde gelenleri şunlardı: Amerika’nın en büyük kredi bürosu Equfax’ın kayıtlarına sızılarak 145.5 milyon Amerikalı’nın kişisel bilgileri çalındı (Temmuz, 2017). Yahoo’nun ana şirketi olan Verizon, Yahoo’nun 3 milyar kullanıcısının hesabının saldırıya uğradığını açıkladı (Ekim, 2017). Shadow Brokers adlı… Okumaya devam et 2017 Siber Saldırıları, 2018 Beklentileri ve İç Kontroller

Yeni Bir Siber Saldırı: BadRabbit

Bugün haberlerde yer aldığı üzere, dünya maalesef yeni bir siber saldırı tehlikesi altında. Zararlı yazılım bulaşan bilgisayarlar şifrelenerek, yaklaşık 300 dolar fidye isteniyor. Özellikle Rusya, Ukrayna, Avrupa ülkelerini etkilenmiş durumda. Ülkemizin de, en çok etkilenen dördüncü ülke olduğu belirtiliyor. Zararlı yazılım kendisini, Adobe Flash Player güncellemesi olarak gösteriyor. Ülkemizde daha çok medya ve gezi siteleri… Okumaya devam et Yeni Bir Siber Saldırı: BadRabbit