Üçlü Hat Modelinin Başarısında Kritik Faktörler

Geçen yıl 29 Temmuz 2019 tarihinde Amerika’nın en büyük bankalarından Capital One, bulut hizmeti veren Amazon Web Services’in (AWS) üzerinde tuttuğu yaklaşık 106 milyon müşterisinin kişisel bilgilerinin çalındığını duyurmuştu. Eski bir AWS çalışanı bankanın web uygulamasındaki yanlış firewall konfigürasyonunu kullanarak bilgileri çalmıştı. Bu hırsızlık finansal hizmet veren bir kurumda gerçekleştirilen en büyük veri hırsızlığı niteliğindeydi.… Okumaya devam et Üçlü Hat Modelinin Başarısında Kritik Faktörler

Üçlü Savunma Hattı Modelinde Yapılan Değişiklikler

IIA tarafından ilk olarak Ocak 2013’de yayınlanan “ÜÇLÜ SAVUNMA HATTI” modeli güncellenerek “ÜÇLÜ HAT MODELİ” adıyla 20 Temmuz 2020 tarihinde yayınlandı. Bilindiği üzere, IIA tarafından modeli güncellemek amacıyla 20 Haziran-19 Eylül 2019 tarihleri arasında ilgili tüm paydaşlardan görüş alma süreci yürütmüştü. Bu aşamada, 31 Temmuz 2019  ve 14 Ağustos 2019 tarihlerinde yazdığım iki yazıda, modelin… Okumaya devam et Üçlü Savunma Hattı Modelinde Yapılan Değişiklikler

Üçlü Savunma Hattı – Eleştiriler ve Öneriler

Bilindiği üzere “Üçlü Savunma Hattı” (Three Lines of Defense) modelinin revizesi amacıyla Uluslararası İç Denetçiler Enstitüsü’nün (IIA) görüş alma süreci (20 Haziran – 19 Eylül 2019 tarihleri arasında) devam ediyor. Daha önceki yazımda, model ve IIA’in modelin değişimine ilişkin görüşe sunduğu takdim dokümanı hakkında bilgi vermiştim. Bu yazıda ise, modele getirilen bazı önemli eleştiriler ve değişiklik önerilerimi… Okumaya devam et Üçlü Savunma Hattı – Eleştiriler ve Öneriler

Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

Geçtiğimiz Pazartesi günü (29 Temmuz 2019) Amerikanın en büyük bankalarından Capital One, yaklaşık 106 milyon, kredi kartı sahibi ve kredi kartı başvurusu yapan, müşterisinin  kişisel bilgilerinin (140 bin sosyal güvenlik numarası, 80 bin banka hesabı numarası) çalındığını duyurdu. Bu veri ihlali finansal hizmet kurumlarının bu güne kadar karşılaştığı veri ihlallerinin en büyüğü. Bu bilgi duyulduktan sonra firmanın hisse değeri %… Okumaya devam et Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

ÜÇLÜ SAVUNMA HATTI NEDİR? MODEL NEDEN YENİLENİYOR?

“Üçlü Savunma Hattı” (Three Lines of Defence) modelinin gözden geçirilmesi ve yenilenmesi amacıyla geçtiğimiz Haziran ayında Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından  bir takdim dokümanı (exposure document) üyelerin ve diğer paydaşların görüşüne sunuldu. Görüş alma süreci 20 Haziran – 19 Eylül 2019 tarihleri arasında devam edecek.  Toplanacak görüşler sonucunda model gözden geçirilerek son hali verilecek.

Modele ilişkin yenileme gerekçeleri, eleştiriler ve iyileştirme alanlarına geçmeden önce model hakkında bilgi verelim.

Modelin hedefi, işletmelere; amaçlarına ulaşmalarına engel olabilecek riskleri etkin bir şekilde yönetmeleri ve kontrol edebilmelerine yardımcı olmaktır. Model, esas olarak 1990’lı yıllardan itibaren duyulmakla birlikte, finansal krizlerin arkasından risk yönetiminden artan beklentiler doğrultusunda Ocak 2013’de IIA tarafından “Etkin Risk Yönetimi ve Kontrolünde Üçlü Savunma Hattı” (The Three Lines Of Defence In Efective Risk Management  and Control) adlı pozisyon raporu yayınlanmıştır.

Anılan pozisyon raporuna göre, aşağıdaki resimde de görüleceği üzere, risk yönetiminde birinci savunma hattında (1st line of defense) yönetim kontrolleri ve iç kontroller yer almaktadır. Birinci savunma hattını riskleri üstlenen ve yöneten operasyonel birimler oluşturur. Bu birimler günlük olarak risk ve kontrol prosedürlerini uygulamaktan ve iç kontrollerin etkinliğinin idame ettirilmesinden sorumludurlar. İç kontroller, operasyonel yönetim birimlerinin gözetiminde, sistemler ve süreçler içerisinde tasarlandığı için, doğal olarak ilk savunma hattında bu birimler yer alırlar.

3LOD

Risk yönetiminin ikinci savunma hattında (2nd line of defense) risklere nezaret eden, risk yönetimi ve uyum birimleri (finansal kontrol, güvenlik, risk yönetimi, kalite, uyum vb) yer alır.  Bu birimler birinci savunma hattında yer alan kontrollerin oluşturulmasına ve izlenmesine yardımcı olmak amacıyla oluşturulan birimlerdir. Örneğin ikinci savunma hattında yer alan risk yönetimi birimi; etkili risk yönetimi uygulamalarını hayata geçirmesi için operasyonel yönetim birimlerini izleyen, yönlendiren ve kurum içerisinde risk yönetimine ilişkin bilgilerin raporlanmasına yardımcı olan bir birimdir. Bu birimler; birinci savunma hattının gereğine uygun olarak tasarlanmış olduğundan, faal olduğundan ve hedeflendiği gibi faaliyet gösterdiğinden emin olmak amacıyla yönetim tarafından oluşturulmuştur. Bu birimler yönetimden kısmen bağımsız olmakla birlikte, tabiatı gereği yönetim birimleri içerisinde yer alırlar. Yönetim birimleri olarak, iç kontrol ve risk yönetimi sistemlerinin modifikasyonu  ve geliştirilmesinde doğrudan sorumluluk üstlenebilirler.

Risk yönetiminin üçüncü savunma hattında (3rd line of defense) ise risk yönetimi, yönetişim ve iç kontroller hakkında bağımsız güvence sağlayan iç denetim yer alır. İç denetim yönetimden bağımsızdır. İç denetim, birinci ve ikinci savunma hatlarının risk yönetimi ve kontrol hedeflerine ulaşıp ulaşamadıkları konusunda, üst yönetim ve yönetim kuruluna güvence sağlar.

Yukardaki resimde de görüleceği üzere dış denetçiler (external audit) düzenleyici otoriteler (regulator) kurumun yapısı dışında kalmakla birlikte korumun yönetişim ve kontrol yapısında önemli rol oynarlar. Modele göre bu birimler üçlü savunma hattı içerisinde yer almamaktadırlar. Düzenleyici otoriteler, kurumların kontrollerini güçlendirmek amacıyla kurallar koyabilirler veya bu gereklilikler açısından ilgili kurumlarda denetimler yürütebilirler. Kurum dışında yer alan bağımsız dış denetim de, üst yönetim ve kurum hissedarlarına finansal raporlama süreçlerine ilişkin güvence verirler.

Dikkat edileceği üzere, IIA tarafından 2013 yılında yayınlanan pozisyon raporunda yer alan modele göre, üst yönetim (senior management) ve yönetim organı yani yönetim kurulu veya denetim komitesi (governing body/board/audit committee) savunma hatları içerisinde yer almamaktadır. Yönetim organları ve üst yönetim, hatların hizmet ettiği ana paydaşlardır. Bu birimler, kurumun hedeflerini belirleme, bu hedeflere ulaşmak için stratejilerini tanımlama, bu yolda oluşabilecek riskleri yönetmek için gereken yönetişim yapılarını ve süreçlerini tesis etme yükümlülüğüne ve bu konuda hesap verme sorumluluğuna sahiptirler. Aynı zamanda savunma hatlarının oluşturulması ve işletilmesine destek, rehberlik ve gözetim sağlarlar.

Kurumların büyüklüklerine göre bu savunma hatlarında yer alan birimler arasında birleşmeler olabilir. Pozisyon raporunda da ifade edildiği üzere etkin bir risk yönetimi ve kontrol ortamı sağlanmasında savunma hatları arasında eşgüdümün sağlanması önem arz etmektedir. Birimler arasında iletişim iyi düzeyde olmalıdır. Savunma hatları, etkinliklerine zarar verecek şekilde birleştirilmemelidirler. Savunma hatlarında yer alan birimlerin, aynı türden gereksiz çalışmaları tekrar etmemesi ve faaliyetleri arasında eşgüdüm sağlanmasında, iç denetim  birimlerinin yürüteceği güvence ve danışmanlık faaliyetleri önem taşımaktadır.

2013 yılında ortaya konan bu model basit, anlatımı ve anlaşılması kolaydır. Bu konulara aşina olmayan insanlara, risk yönetimi ve iç kontrollere ilişkin rol ve sorumlulukları anlatırken ben de sık sık bu modelden faydalanıyorum. Bu anlamda, kurum içerisinde rol ve sorumlulukların belirlenmesi açısından oldukça faydalı bir model. Daha ziyade finansal servis otoriteleri olmak üzere, düzenleyici kurumlar tarafından da kabul edilmiştir.

Uluslararası İç Denetçiler Enstitüsü tarafından geçtiğimiz ay yayınlanan takdim dokümanında, modelin gözden geçirilme sürecinin başlatılmasının gerekçeleri olarak:

 • Modelin ilk yayınlandığı döneme göre birçok değişiklikler olması,
 • Organizasyonların doğalarının ve operasyonlarını yürüttükleri ortamların değişmesi,
 • Üç hattın rolü ve pozisyonları ile iç denetimin kurumsal başarıya sağladığı katkıların değişmesi,
 • Modelin kapsamının, değer korumaktan, değer yaratmaya doğru genişletilme amacı,
 • Değişen paydaş beklentileri ve organizasyonların artan karmaşıklığı,
 • Son yıllarda art arda gelen skandallar ve krizler neticesinde kurumlara olan güvenin sarsılması, modelin zayıf tarafları güçlendirilirse, modelin kurumlara olan güvenin tekrar inşa edilmesine ve onların amaçlarına ulaşmasına yardımcı olacağı, böylece paydaşlarının beklenti ve ihtiyaçlarına en iyi şekilde hizmet edebilecekleri

Hususlarının ifade edildiği görülmektedir.

Takdim dokümanında, model ile ilgili olarak bu zamana kadar yapılan ana eleştirilerin;

 • Modelin çok sınırlı ve sınırlayıcı olduğu,
 • Fırsat ve tehditlerin belirlenmesi, analizi ve hazırlığı için daha proaktif yaklaşım yerine, savunmaya (defense) odaklandığı,
 • Katı (rijit) bir yapı önerdiği,
 • Etkin ve verimli olmayan operasyonel silolar oluşturmaya eğilim oluşturduğu,
 • Modern organizasyonların mevcut gerçeklerini yansıtmak için yeterli donanımının olmadığı,
 • Hatların belirsizleşmesini (blurring of the lines) (örneğin; üçüncü hatta yer alan iç denetimin ikinci hatta yer alan uyum, risk yönetimi sorumluluklarını da yüklenmesi gibi) açıklayamadığı ve buna rehberlik edemediği

Hususlarının olduğu belirtilmiştir.

 • Takdim dokümanında, modelde geliştirme fırsatı olan alanların;
 • Risk yönetimi ve kontrolleri, yönetişimin (governance), organizasyonel başarının desteklenmesi ve değer yaratımının bir parçası olarak ele alınması,
 • Organizasyonun amaçlarının daha ileriye taşınması için proaktif ve duyarlı yaklaşımları teşvik etmesi,
 • Stratejik öncelik ve operasyonel ihtiyaçlar doğrultusunda işbirliği ve koordinasyonun önemine dikkat çekilmesi,
 • Bireysel fonksiyonların rol ve sorumlulukları ile, onların yönetişim, organizasyonun başarısı ve değer oluşturmaya ortak katkılarının daha net ifade edilmesi,
 • Modelin daha esnek ve çevik kullanımı için fırsatların belirlenmesi,
 • Özellikle sektör, büyüklük ve olgunluk yönleriyle organizasyonel farklılıkların dikkate alınması ve herhangi bir organizasyon için kullanıma hazır olabilmesi,
 • Modeli çok karmaşıklaştırmadan, dış paydaşların yönetişime, kurumsal başarıya ve değer oluşturmaya katkılarının dikkate alınması,
 • İç denetimin, “üçüncü savunma hattı” tanımının, “stratejik ortak” ve “güvenilen danışman” rollerini içerecek şekilde genişletilmesi,
 • Hatların belirsizleşmesinin ve uygun emniyet noktalarının açıklanması,
 • Modeldeki iyileştirmelerin grafiksel olarak gösterimi

Olduğu belirtilmiştir.

Takdim dokümanında belirtilen tüm bu hususlar dikkate alındığında, modelin gözden geçirilmesi kararının yerinde bir karar olduğu görülmektedir. Modelin değişmesine katkıda bulunmak isteyenler IIA’in anketine katılarak 19 Eylül 2019 tarihine kadar görüşlerini belirtmesi iyileştirme sürecine katkı sağlayacaktır. Bu yazıyı daha fazla uzatmamak açısından, modelde yapılabilecek değişikliklere ilişkin görüşlerimi ayrı bir yazıda ele almayı planlıyorum.

Tekrar görüşmek dileğiyle..

Yenilenen ISO 31000 Risk Yönetimi Rehberi

Kurumsal risk yönetimi alanında, tüm dünyada, yaygın olarak kullanılan iki çerçeve/rehber var: Biri COSO (The Committee of Sponsoring Organizations of the Treadway Commission) diğeri ise ISO (The International Oranization for Standardization) tarafından yayımlanan. COSO, 2004 yılında yayımladığı ilk çerçeveyi revize ederek, geçtiğimiz Eylül ayında, COSO-Kurumsal Risk Yönetimi- Riskin Strateji ve Performansla Uyumlaştırılması (COSO-Enterprise Risk Management-… Okumaya devam et Yenilenen ISO 31000 Risk Yönetimi Rehberi

Başarısız Bir Siber Risk Yönetimi Örneği: Equifax

Geçtiğimiz ay, 7 Eylül günü, dünyanın en büyük, kredi raporlama hizmeti veren firmalarından Amerikan Equifax firması, sistemlerine yetkisiz erişim tespit ettiklerini ve  143 milyon (bu sayı en son 145.5 milyon olduğu belirtildi) Amerika’lının sosyal güvenlik numarası, adı, doğum tarihi ve adresi gibi hassas bilgilerine, 209 bin kişinin kredi kartı bilgilerine, 182 bin kişinin de kimlik… Okumaya devam et Başarısız Bir Siber Risk Yönetimi Örneği: Equifax

Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesi

Bilindiği üzere, COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından yayınlanan iki çerçeve var: Bir tanesi 1992 yılında yayınlanan ve 2013 yılında revize edilen İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework),  diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework). COSO, Kurumsal Risk Yönetimi Çerçevesi de… Okumaya devam et Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesi