Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

Geçtiğimiz Pazartesi günü (29 Temmuz 2019) Amerikanın en büyük bankalarından Capital One, yaklaşık 106 milyon, kredi kartı sahibi ve kredi kartı başvurusu yapan, müşterisinin  kişisel bilgilerinin (140 bin sosyal güvenlik numarası, 80 bin banka hesabı numarası) çalındığını duyurdu. Bu veri ihlali finansal hizmet kurumlarının bu güne kadar karşılaştığı veri ihlallerinin en büyüğü. Bu bilgi duyulduktan sonra firmanın hisse değeri %… Okumaya devam et Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru

ÜÇLÜ SAVUNMA HATTI NEDİR? MODEL NEDEN YENİLENİYOR?

“Üçlü Savunma Hattı” (Three Lines of Defence) modelinin gözden geçirilmesi ve yenilenmesi amacıyla geçtiğimiz Haziran ayında Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından  bir takdim dokümanı (exposure document) üyelerin ve diğer paydaşların görüşüne sunuldu. Görüş alma süreci 20 Haziran – 19 Eylül 2019 tarihleri arasında devam edecek.  Toplanacak görüşler sonucunda model gözden geçirilerek son hali verilecek.

Modele ilişkin yenileme gerekçeleri, eleştiriler ve iyileştirme alanlarına geçmeden önce model hakkında bilgi verelim.

Modelin hedefi, işletmelere; amaçlarına ulaşmalarına engel olabilecek riskleri etkin bir şekilde yönetmeleri ve kontrol edebilmelerine yardımcı olmaktır. Model, esas olarak 1990’lı yıllardan itibaren duyulmakla birlikte, finansal krizlerin arkasından risk yönetiminden artan beklentiler doğrultusunda Ocak 2013’de IIA tarafından “Etkin Risk Yönetimi ve Kontrolünde Üçlü Savunma Hattı” (The Three Lines Of Defence In Efective Risk Management  and Control) adlı pozisyon raporu yayınlanmıştır.

Anılan pozisyon raporuna göre, aşağıdaki resimde de görüleceği üzere, risk yönetiminde birinci savunma hattında (1st line of defense) yönetim kontrolleri ve iç kontroller yer almaktadır. Birinci savunma hattını riskleri üstlenen ve yöneten operasyonel birimler oluşturur. Bu birimler günlük olarak risk ve kontrol prosedürlerini uygulamaktan ve iç kontrollerin etkinliğinin idame ettirilmesinden sorumludurlar. İç kontroller, operasyonel yönetim birimlerinin gözetiminde, sistemler ve süreçler içerisinde tasarlandığı için, doğal olarak ilk savunma hattında bu birimler yer alırlar.

3LOD

Risk yönetimin ikinci savunma hattında (2nd line of defense) risklere nezaret eden, risk yönetimi ve uyum birimleri (finansal kontrol, güvenlik, risk yönetimi, kalite, uyum vb) yer alır.  Bu birimler birinci savunma hattında yer alan kontrollerin oluşturulmasına ve izlenmesine yardımcı olmak amacıyla oluşturulan birimlerdir. Örneğin ikinci savunma hattında yer alan risk yönetimi birimi; etkili risk yönetimi uygulamalarını hayata geçirmesi için operasyonel yönetim birimlerini izleyen, yönlendiren ve kurum içerisinde risk yönetimine ilişkin bilgilerin raporlanmasına yardımcı olan bir birimdir. Bu birimler; birinci savunma hattının gereğine uygun olarak tasarlanmış olduğundan, faal olduğundan ve hedeflendiği gibi faaliyet gösterdiğinden emin olmak amacıyla yönetim tarafından oluşturulmuştur. Bu birimler yönetimden kısmen bağımsız olmakla birlikte, tabiatı gereği yönetim birimleri içerisinde yer alırlar. Yönetim birimleri olarak, iç kontrol ve risk yönetimi sistemlerinin modifikasyonu  ve geliştirilmesinde doğrudan sorumluluk üstlenebilirler.

Risk yönetiminin üçüncü savunma hattında (3rd line of defense) ise risk yönetimi, yönetişim ve iç kontroller hakkında bağımsız güvence sağlayan iç denetim yer alır. İç denetim yönetimden bağımsızdır. İç denetim, birinci ve ikinci savunma hatlarının risk yönetimi ve kontrol hedeflerine ulaşıp ulaşamadıkları konusunda, üst yönetim ve yönetim kuruluna güvence sağlar.

Yukardaki resimde de görüleceği üzere dış denetçiler (external audit) düzenleyici otoriteler (regulator) kurumun yapısı dışında kalmakla birlikte korumun yönetişim ve kontrol yapısında önemli rol oynarlar. Modele göre bu birimler üçlü savunma hattı içerisinde yer almamaktadırlar. Düzenleyici otoriteler, kurumların kontrollerini güçlendirmek amacıyla kurallar koyabilirler veya bu gereklilikler açısından ilgili kurumlarda denetimler yürütebilirler. Kurum dışında yer alan bağımsız dış denetim de, üst yönetim ve kurum hissedarlarına finansal raporlama süreçlerine ilişkin güvence verirler.

Dikkat edileceği üzere, IIA tarafından 2013 yılında yayınlanan pozisyon raporunda yer alan modele göre, üst yönetim (senior management) ve yönetim organı yani yönetim kurulu veya denetim komitesi (governing body/board/audit committee) savunma hatları içerisinde yer almamaktadır. Yönetim organları ve üst yönetim, hatların hizmet ettiği ana paydaşlardır. Bu birimler, kurumun hedeflerini belirleme, bu hedeflere ulaşmak için stratejilerini tanımlama, bu yolda oluşabilecek riskleri yönetmek için gereken yönetişim yapılarını ve süreçlerini tesis etme yükümlülüğüne ve bu konuda hesap verme sorumluluğuna sahiptirler. Aynı zamanda savunma hatlarının oluşturulması ve işletilmesine destek, rehberlik ve gözetim sağlarlar.

Kurumların büyüklüklerine göre bu savunma hatlarında yer alan birimler arasında birleşmeler olabilir. Pozisyon raporunda da ifade edildiği üzere etkin bir risk yönetimi ve kontrol ortamı sağlanmasında savunma hatları arasında eşgüdümün sağlanması önem arz etmektedir. Birimler arasında iletişim iyi düzeyde olmalıdır. Savunma hatları, etkinliklerine zarar verecek şekilde birleştirilmemelidirler. Savunma hatlarında yer alan birimlerin, aynı türden gereksiz çalışmaları tekrar etmemesi ve faaliyetleri arasında eşgüdüm sağlanmasında, iç denetim  birimlerinin yürüteceği güvence ve danışmanlık faaliyetleri önem taşımaktadır.

2013 yılında ortaya konan bu model basit, anlatımı ve anlaşılması kolaydır. Bu konulara aşina olmayan insanlara, risk yönetimi ve iç kontrollere ilişkin rol ve sorumlulukları anlatırken ben de sık sık bu modelden faydalanıyorum. Bu anlamda, kurum içerisinde rol ve sorumlulukların belirlenmesi açısından oldukça faydalı bir model. Daha ziyade finansal servis otoriteleri olmak üzere, düzenleyici kurumlar tarafından da kabul edilmiştir.

Uluslararası İç Denetçiler Enstitüsü tarafından geçtiğimiz ay yayınlanan takdim dokümanında, modelin gözden geçirilme sürecinin başlatılmasının gerekçeleri olarak:

  • Modelin ilk yayınlandığı döneme göre birçok değişiklikler olması,
  • Organizasyonların doğalarının ve operasyonlarını yürüttükleri ortamların değişmesi,
  • Üç hattın rolü ve pozisyonları ile iç denetimin kurumsal başarıya sağladığı katkıların değişmesi,
  • Modelin kapsamının, değer korumaktan, değer yaratmaya doğru genişletilme amacı,
  • Değişen paydaş beklentileri ve organizasyonların artan karmaşıklığı,
  • Son yıllarda art arda gelen skandallar ve krizler neticesinde kurumlara olan güvenin sarsılması, modelin zayıf tarafları güçlendirilirse, modelin kurumlara olan güvenin tekrar inşa edilmesine ve onların amaçlarına ulaşmasına yardımcı olacağı, böylece paydaşlarının beklenti ve ihtiyaçlarına en iyi şekilde hizmet edebilecekleri

Hususlarının ifade edildiği görülmektedir.

Takdim dokümanında, model ile ilgili olarak bu zamana kadar yapılan ana eleştirilerin;

  • Modelin çok sınırlı ve sınırlayıcı olduğu,
  • Fırsat ve tehditlerin belirlenmesi, analizi ve hazırlığı için daha proaktif yaklaşım yerine, savunmaya (defense) odaklandığı,
  • Katı (rijit) bir yapı önerdiği,
  • Etkin ve verimli olmayan operasyonel silolar oluşturmaya eğilim oluşturduğu,
  • Modern organizasyonların mevcut gerçeklerini yansıtmak için yeterli donanımının olmadığı,
  • Hatların belirsizleşmesini (blurring of the lines) (örneğin; üçüncü hatta yer alan iç denetimin ikinci hatta yer alan uyum, risk yönetimi sorumluluklarını da yüklenmesi gibi) açıklayamadığı ve buna rehberlik edemediği

Hususlarının olduğu belirtilmiştir.

  • Takdim dokümanında, modelde geliştirme fırsatı olan alanların;
  • Risk yönetimi ve kontrolleri, yönetişimin (governance), organizasyonel başarının desteklenmesi ve değer yaratımının bir parçası olarak ele alınması,
  • Organizasyonun amaçlarının daha ileriye taşınması için proaktif ve duyarlı yaklaşımları teşvik etmesi,
  • Stratejik öncelik ve operasyonel ihtiyaçlar doğrultusunda işbirliği ve koordinasyonun önemine dikkat çekilmesi,
  • Bireysel fonksiyonların rol ve sorumlulukları ile, onların yönetişim, organizasyonun başarısı ve değer oluşturmaya ortak katkılarının daha net ifade edilmesi,
  • Modelin daha esnek ve çevik kullanımı için fırsatların belirlenmesi,
  • Özellikle sektör, büyüklük ve olgunluk yönleriyle organizasyonel farklılıkların dikkate alınması ve herhangi bir organizasyon için kullanıma hazır olabilmesi,
  • Modeli çok karmaşıklaştırmadan, dış paydaşların yönetişime, kurumsal başarıya ve değer oluşturmaya katkılarının dikkate alınması,
  • İç denetimin, “üçüncü savunma hattı” tanımının, “stratejik ortak” ve “güvenilen danışman” rollerini içerecek şekilde genişletilmesi,
  • Hatların belirsizleşmesinin ve uygun emniyet noktalarının açıklanması,
  • Modeldeki iyileştirmelerin grafiksel olarak gösterimi

Olduğu belirtilmiştir.

Takdim dokümanında belirtilen tüm bu hususlar dikkate alındığında, modelin gözden geçirilmesi kararının yerinde bir karar olduğu görülmektedir. Modelin değişmesine katkıda bulunmak isteyenler IIA’in anketine katılarak 19 Eylül 2019 tarihine kadar görüşlerini belirtmesi iyileştirme sürecine katkı sağlayacaktır. Bu yazıyı daha fazla uzatmamak açısından, modelde yapılabilecek değişikliklere ilişkin görüşlerimi ayrı bir yazıda ele almayı planlıyorum.

Tekrar görüşmek dileğiyle..

“Çözüme Değil, Probleme Aşık Ol”

Waze şirketinin kurucusu Uri Levine’ye atfedilen bu söz, yenilikçi çözümler üreten girişimlerin (startups) kendi geliştirdikleri “dahiyane” çözümler yerine, müşteriye sağlanacak değere, müşterinin problemine odaklanılması gerektiğine işaret etmekte. Buna katılmamak mümkün değil.. Yeni girişimlerin çok büyük oranda başarısız oldukları belirtiliyor ve araştırma sonucuna göre, startupların başarısızlığının en büyük (%42) nedeni, pazarda ürünlerine talebin olmaması. Müşterilerin derdine… Okumaya devam et “Çözüme Değil, Probleme Aşık Ol”