Şirketlerin içinde bulunduğumuz dönemde iki önemli kavramına ihtiyacı var. Birincisi strateji. Diğeri risk yönetimi. Her iki kavram da neredeyse insanlık tarihi kadar eski.

 

Strateji konusu, insanlık tarihi boyunca, milletlerin, ülkelerin, iş dünyasının ilerlemesine; risk yönetimi ise ilerlemeyi desteklemek ve başarısızlıkların önlenmesine yönelik bir araç olmuş.

 

İş dünyasında, son dönemde yaşanan VUCA dalgası, şirket ve kurumlarımızı belirsiz, değişken, sürprizler ile dolu ve öngörülemez bir döneme sürüklüyor. Bu fırtınalı dönemde, kaptanınız ne kadar iyi olursa olsun, doğru bir rotanız ve sağlıklı bir pusulanız yok ise geminiz ya istenmeyen yerlere sürüklenir ya da batar.

 

İyi stratejik yönetim üzerinde ayrıca konuşmak gerek, ancak risk yönetimi deyince, şirketlerin risklerini sistematik olarak yönettikleri, metodoloji ve araçları içeren bir yönetim mekanizması aklımıza geliyor. Dünyada, bu konuda en gelişmiş modellerden bir tanesi, Uluslararası İç Denetçiler Enstitüsü (IIA)’in üçlü savunma hattı modeli. Bu model, organizasyonların riske cevap verme sistematiği ve yönünü göstermesi ve bileşenler arasındaki ilişkiyi net anlatması açısından son derece makul bir model.

 

Kendim de danışanlarıma bazı kavramları açıklarken bu modelden faydalanıyorum.

 

Bu modelde ilk kademe veya ilk hat iç kontrol. Burası riske karşı en şiddetli çarpışmaların yaşandığı ön cephe. Yani hem müşteriye yönelik ürün/hizmet sunumları, hem de şirketin tüm iş süreçlerine yönelik risklerinin ilk kontrol altına alınmaya çalışıldığı hat. Yönetim kontrolleri, otomasyon kontrolleri, süreç kontrolleri, manuel kontrolleri, vb. kontrollerin tasarlandığı ve uygulandığı hat.

 

İkinci savunma hattı kalite yönetimi, uyum ve risk yönetimi gibi güvence fonksiyonlarından oluşuyor. Birinci hattın desteklendiği, birinci hattı aşan risklerin yakalandığı ve daha ciddi boyutlu risklerin yakından takip edildiği bu önemli hatta oluşabilecek bir hata veya boşluk, şirketi önemli zararlara uğratabiliyor. Şirketlerin riske yönelik politika ve prosedürleri, kurumsal kültürleri içinde risk farkındalığı, etik ortam, güçlü uyum fonksiyonları ve yönetim sistemleri, bu hat içinde birlikte çalışarak güvence sağlıyor.

 

Üçüncü savunma hattı ise, iç denetim. Yani son hat. Bu hattı geçen ciddi riskler, organizasyon için yıkıcı sonuçlara yol açabiliyor. Esasen diğer iki hattın sağlıklı işleyip işlemediği, bu iki hattaki boşluklar ve yapısal zafiyetler ile ilgili olması beklenen iç denetim, bazı zamanlarda doğrudan bir risk yakalama ve eliminasyon aracı olarak da işlev gösterebiliyor. Ancak ne olursa olsun, iç denetimin üçlü hatta büyük bir rolü ve sorumluluğu var.

 

Türkiye’ de şirketlerde çoğunlukla ilk iki hattın doğru düzgün kurulmadığı, kurulmasına gerek duyulmadığı veya fazla maliyetli görüldüğü şirket kültürleri ağırlıklı. Şirketler sadece 3. hat olan iç denetim ile riskleri etkili bir şekilde azaltabileceklerine ve riske karşı korunabileceklerine inanıyorlar.

 

Bu son derece hatalı bir görüş.

 

Son dönemlerde, bana sık sorulan bir soru var. Bu üç hattan öncelikle hangisini oluşturmak gerek?

Bundan 5 sene önce fark etmez, bir yerden başlayın derdim. Şimdi daha farklı düşünüyorum. Son 5 yılda 100′ den fazla şirket ve kurum ile üçlü savunma hattının bir veya birden fazla hattı üzerinde çalıştım. Buradan edindiğim tecrübe bana işe iç kontrol sistemi ile başlamak gerektiğini söylüyor. Pek çok şirkette ISO yönetim sistemleri de var. Ancak bunlar çok işlevsel ve hayata geçmiş şeyler değil. Daha çok duvar ISO’ ları şeklinde, adet yerini bulsun diye yapılan çalışmalar. Bu sebeple çoğu şirkette, ikinci savunma hattı zaten yok. Ülkemizde bankalar ve büyük bazı holdingler hariç, üçlü savunma hattını düzgün bir şekilde oluşturmuş şirket yok denecek kadar az.

 

Ülkemizde ölçeği ve operasyonları ne boyutta olursa olsun, hedefleri ne olursa olsun, tüm şirketlerin üçlü savunma modelini risklere karşı etkili bir şekilde tesis etmeleri gerekiyor. İşe iç kontrol ile başlamak gerektiğini düşünüyorum.

 

Şirket yönetim kurulunuza İç kontrol- risk yönetimi- iç denetim kavramlarını, birbirlerinden farkını ve ilişkilerini anlatmakta zorluk çekiyorsanız, mutlaka üçlü savunma hattı modeli üzerinden anlatın. Bu modelin üst yönetimlerin kafasına çok yattığını tecrübe ettim. Konuyu daha anlaşılır kılıyor. İşte o zaman, esasen talep ettikleri bazı hizmetlerin, iç denetim değil, iç kontrol olduğunu anlıyor ve konuya daha sağlıklı bir perspektiften bakmaya başlıyorlar.

 

Türkiye İç Kontrol Enstitüsü olarak, bu konuya ilişkin daha fazla yayın çıkartmayı planlıyoruz. Bu yayınlardan faydalanarak, şirketinizin Yönetim Kurulu’ nu güçlü bir üçlü savunma hattı tasarımı yaparak, ikna etmeniz mümkün olacaktır.