Türkiye son 10 yılda büyük bir dönüşüm yaşıyor. Hem kamu idareleri, hem de özel sektörde şirketleri geleneksel yönetimden, hesap verebilir, şeffaf, adil ve sorumlu bir yönetimi simgeleyen “kurumsal yönetim” ya da “yönetişim” anlayışına geçiyorlar. Bu dönüşüm sırasında, şirket ve kurumların elinde, bu dönüşüm ve yeni yönetişim anlayışını destekleyebilecek bazı araçlar var. İç denetim, iç kontrol ve risk yönetimi bunların başında geliyor.
Yeni Türk Ticaret Kanunu gereği, halka açık şirketlerde, “risklerin erken teşhisi ve önlenmesi” başlığı altında risk yönetimini ve iç denetim zorunlu hale geldi. 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, Türkiye’ deki tüm kamu idarelerinde, iç kontrol ve iç denetimi zorunlu kıldı. Bankacılık Kanunu ve Bankaların İç Sistemleri Hakkında Yönetmelik ise, Bankalarda iç kontrol, iç denetim ve risk yönetimini şart koşuyor. Buna ek olarak, bu kanun ve düzenlemelere tabi olmayan pek çok büyük şirket de, bu üç araçtan fayda sağladığı için risk yönetimi, iç kontrol ve iç denetim faaliyetlerinden faydalanmak istiyor.
Şirket hissedarları, yönetim kurulları ve icra kurulları bu kavramların önemini her geçen gün daha fazla anlıyor ve bu hizmetleri talep ediyorlar. Bu noktada, talep sevindirici olsa da karşımıza iki sorun çıkıyor.
1) Bu sistemleri nasıl oluşturacağız?
2) Oluşturduktan sonra nasıl yöneteceğiz?
Her iki sorunun cevabı da bu işleri iyi bilen profesyonelleri istihdam etmekten ya da dışarıdan bu sistemleri oluşturmak ve yönetmeye yönelik profesyonel danışmanlık hizmeti almaktan geçiyor.
Hangi yol seçilirse seçilsin, kilit nokta, iç kontrol, risk yönetimi ve iç denetim sistemleri oluşturup, bu sistemlerden fayda sağlamayı nasıl kolaylaştırabileceğimiz?
Kolaylaştırmak diyorum zira, bu sistemleri oluşturmak büyük bir farkındalık, adanmışlık ve çalışma gerektiriyor. Bu sistemlere sahip olmak ve bunlardan fayda sağlamaya karar veren bir şirketin, bu işi ne şekilde yapacağından bağımsız (profesyonel istihdam etmek ya da dışarıdan danışmanlık hizmeti almak şeklinde) olarak, nasıl ve ne kadar sürede yapacağı ve başarıyı nasıl garanti edeceği önem taşıyor.
Şirket yönetim kurulları ve tepe yöneticiler sonuç odaklı olduklarından, bu sistemlere yapacakları yatırımlardan hızlı geri dönüşler bekliyorlar. Haksız da sayılmazlar. Öte yandan, şirket ve kamu idarelerinin performanslarına %100 katkı sağlayacağına emin olduğum iç kontrol, risk yönetimi ve iç denetim sistem ve faaliyetlerini kısa sürede oluşturmak ve işlevsel kılmak da büyük bir sorun. Diğer bir sorun da kurulmuş, işleyen sistemlerin performansını artırmak.
İşte bu noktada karşımıza bize yardımcı olacak bazı yazılım çözümleri yetişiyor. Kurumsal Risk Yönetimi Yazılımları, İç Denetim Yazılımları, İç Kontrol Yazılımları ve tüm bunları tek bir pakette almamızı sağlayan GRC yazılımları gibi. GRC, Governance, Risk ve Compliance kavramlarının baş harflerinden oluşan bir kısaltma. GRC yazılımları ile şirketlerin, kurumsal yönetim süreçlerini iyileştirmek ve kurum performansını artırmak mümkün oluyor. İç denetim, risk yönetimi, iç kontrol ve uyum faaliyetlerinin yönetimi için ayrı ayrı yazılım veya programlar almak yerine, tek bir GRC çözümü ile tüm bu ihtiyaçları “entegre” olarak karşılayabiliyorsunuz. Bu sistemleri ayrı ayrı almak ve konuşturmak, birbirleri ile entegre etmek çok zor. Bu nedenle, entegrasyon özelliği olan GRC çözümleri şirket ve kamu kurumlarına büyük fayda sağlıyor. Ayrıca, bu yazılımların iç kontrol, iç denetim, risk yönetimi ve uyum modülleri birbirlerinden bağımsız da kullanılabiliyor. Örneğin, bir iç denetim faaliyetiniz var ancak risk yönetimi sistemi yok. Sadece iç denetim modülünü kullanıp, risk yönetimi modülünü zamanı gelince, kullanıma açıp, iç denetim ile entegre hale getirebiliyorsunuz.
Dünya genelinde tanınmış bir kaç adet GRC yazılım çözümü var. Ülkemizde bazı banka, holding, kamu kurumları ve telco şirketleri bunları kullanıyor. Bunlara ek olarak ülkemizde geliştirilmiş bir GRC çözümü de mevcut. GRC yazılımlarının talep görmesi, iç denetim, risk yönetimi ve iç kontrol sistemlerine olan talep düzeyi ile de alakalı olduğundan ve GRC yazılımı geliştirmek, üst düzey bir yetkinlik gerektirdiğinden kurumsal büyük yazılım firmaları bu yazılımları geliştirmeye ilgi duymuyor. İlgi duysalar bile, geliştirilmelerinde büyük bir teknik bilgi ve yetkinlik gereksinimi söz konusu. Bu yetkinlikleri elde etmeleri çok zor. Bu sebeple, bu yazılımların arzı sınırlı ve fiyatları da oldukça yüksek.
GRC yazılımları genellikle, Süreç Yönetimi, Kalite Yönetimi ve İç Denetim Yönetimi yazılımları ile karıştırılıyor. Oysa bunlardan çok daha farklı özelliklere sahipler. Bazı GRC yazılımları, bünyelerinde İç kontrol, risk yönetimi ve iç denetim modüllerine ek olarak, yine diğer modüller ile entegre süreç yönetimi, iş sağlığı ve güvenliği (İSG) ve kalite yönetimi modülleri de barındırıyor. Örneğin, ülkemizde geliştirilmiş olan KIOS GRC yazılım çözümü, iç kontrol ile ISO 9001 süreçlerini tam olarak entegre etmiş durumda. Dolayısı ile, GRC çözümüne ek olarak bir kalite yönetim çözümü olarak da işlev gösteriyor. Esasen ülkemizde kalite sistemlerine yönelik ISO 9001, TKY, Six Sigma gibi yaklaşımlar, “iç kontrol, risk yönetimi ve iç denetim” sistemlerinden önce hayata geçirildiğinden, bu sistemler ile uyumlu GRC çözümleri gerçekten de altın değerinde oluyor.
İç kontrol, risk yönetimi ve iç denetim sistemlerini şirket faaliyetleri ve diğer yönetsel sistemler ile entegre olarak kurmak yönetmek, bir GRC çözümü ile mümkün. Bu noktada doğru GRC ürününün seçimi büyük önem taşıyor. Ülkemizde faaliyet gösteren kamu idareleri, özel sektör şirketleri ve finansal kuruluşlar için doğru GRC çözümünde dikkat etmeleri gereken hususları aşağıda maddeler halinde özetlemeye çalışacağım:
1) Yazılımın iç denetim, iç kontrol ve risk yönetimi modüllerinin bulunması ve entegre olması
2) Yazılımın Türkçe dil desteği ile verilmesi
3) Yazılımın, eğitim ve danışmanlığının uluslararası mesleki sertifikalara sahip (CIA, CCSA, CRMA, CGAP) tercihen Türk iş hayatı ve kültürünü tanıyan danışmanlar tarafından verilebilmesi
4) Yazılımın şirketin tüm sistem ve süreçleri ile entegre olabilmesi
5) Yazılımın, teknik desteğinin Türkiye’ den verilebilmesi. Tercihen, teknik destek ekibinin müşteriye yakın bir şehir ve lokasyonda olması
6) Yazılımın genel kullanım prensipleri itibariyle, kolay bir arayüze sahip olması
7) Yazılımın güçlü raporlama özellikleri bulunması ve yöneticiler için bir karar destek sistemi olarak kullanılabilmesi
8) Yazılımın maliyetinin, sağlayacağı faydadan yüksek olmaması
9) Yazılımın sürekli geliştirilmesine yönelik, tedarikçi şirketin bir ARGE sistemi ve stratejik planı bulunması
10) Sadece yazılıma ilişkin teknik konularda değil, aynı zamanda şirketin iç denetim, iç kontrol ve risk yönetimi faaliyetlerine ilişkin de destek ve gözetim hizmeti verilmesi, ilgili yöneticilere rehberlik yapılması
Bu unsurları sağlayan, İç kontrol, İç Denetim ve Risk Yönetimi otomasyon çözümleri yani GRC yazılımları, şirketlere büyük fayda sağlayacaktır.
GRC yazılımları, GRC yazılım seçimi ve şirketinizin/kurumunuzun bu yazılımlardan sağlayacağı faydalar hakkında bilgi almak için info@rehbergrup.com adresine mail atabilirsiniz.