Önce 9 milyar USD, sonra 246 milyon USD. Son 3 yılda Bankanın sadece FED’ e ödediği/ödeyeceği ceza bu. Müthiş bir rakam.

Bankada iç kontrol ile ilgili bir sorun olduğu açık. Zaten FED’ de bu konuya dikkat çekmiş. Peki nasıl oluyor da dünyanın en büyük finansal kuruluşlarından bir tanesinde “iç kontrol zafiyeti” olabiliyor? İç kontrol, risk yönetimi ve iç denetime büyük kaynaklar ayıran BNP gibi finansal kuruluşlar, bu kayıplara nasıl maruz kalıyor?

Olaya COSO modeli çerçevesinden bakarsak, COSO’ nun beş bileşeninden “kontrol ortamı” yani “yumuşak kontroller” tarafında bir sorun olduğunu düşünüyorum. Ayrıca, uyum riskleri ve uyum kontrolleri ile ilgili de bir problem olduğu açık.

Banka üst yönetimi ve bölüm yöneticileri muhtemelen kötü bir performans sisteminin üzerlerinde yarattığı baskı ve/veya teşvikler ile kurumsal risk iştahının üstünde stratejiler izlemişler. Ya da muhtemelen, en başta risk iştahı hatalı belirlendi. Ne şekilde olursa olsun, kontrol ortamı veya iç ortamda “üst yönetimin felsefesi ve tutumu” sorunlu.

Yaptırım ihlalleri ve sonrasında gelen 9 milyar USD ceza, zaten açıkça kontrol faaliyetlerinden ziyade üst yönetimin ve şirket kültürünün arızalarına işaret ediyor.

Hep söylediğim şey şudur; iç kontrol veya kurumsal risk yönetimi sisteminiz, stratejik planlama süreçleri, performans yönetiminiz, kurumsal kültürünüz ve denetim mekanizmalarınız ile entegre değilse, yaşayan canlı sistemler değil de mevzuat gereği kurulan ve adet yerini bulsun diye uygulanan yapılar ise, bunlar size fayda sağlamaz.

BNP Bankasının Global Yönetim Kuruluna tavisyem, kendi KRY ve iç kontrol sistemlerini gözden geçirmeleri, sıkı bir GRC programını devreye almalarıdır. Ayrıca her seviyede yönetici performansının değerlendirme kriterleri arasında mutlaka risk yönetimi başarısı da yer almalıdır. Yöneticiler Bankaya para kazandırmak kadar kaybettirmemek ile de değerlendirilmelidir. Bu sebeple performans ve teşvik sistemlerine dikkat etmek gerekiyor.