Üçlü Hat Modelinin temel sütunları olan iç kontrol, risk yönetimi ve iç denetim sistemlerinin şirketlere olan faydalarını daha önce pek çok yazımızda paylaştık. Bu yazıda, bu sistemler ve bağlı süreçlerdeki dijital dönüşümü ele alacağız.
Birlikte çalıştığım veya çalışmıyor olsam da fikrimi almak isteyen şirketler ile paylaştığım bir gerçek var; bu süreçler de dijital dönüşüme tabi olmalı. Peki ne demek istiyoruz? İç kontrol, risk yönetimi ve iç denetim süreçleri nasıl dijitalleşmeli?
Günümüzde akademik araştırmalar, saha gözlemlerim ve meslektaşlarım ile yaptığım istişareler sonucu şunu gözlemledim; ülkemizde CAPITAL veya Fortune 500 ile, ISO 1000 gibi listelerde yer alan şirketlerde bu sistem ve süreçlere tek tek veya hep birlikte sahip olma oranı %60-70 civarında. Halka açık şirketlerde bu oran % 80’lere kadar yükselmekte. Diğer büyük ve orta üst ölçekli şirketlerde ise bu oran ancak %20’lerde. Ancak cirosal olarak en büyük 500 veya 1000 listesinde yer alan ve/veya halka açık şirketlerde, her üçünün aynı anda bulunduğu, entegre ve etkin çalıştığı ve şirkete somut katkılar sağladığı örnek sayısı ise tahminen toplamın %10’unu bulmuyor.
Bunun iki sebebi var. Birincisi, bu sistemleri tasarlamak, entegre etmek ve koordine etmekte ihtiyaç duyulan know how ve pratik uygulama modeli eksikliği. İkincisi ise bu sistemleri tasarlamak, uygulamak ve izlemek için gerekli olan teknoloji çözümlerine erişimin olmaması. İkinci faktöre bakarsak, bu erişim eksikliğinin de iki sebebi var. Birincisi bu tür teknoloji araçları (yazılım çözümleri) olduğundan habersiz olunması, diğeri ise bunların yüksek maliyeti.
Tespitlerimize geri dönersek,
1- Büyük ölçekli şirketlerde iç kontrol, risk yönetimi ve iç denetim süreçlerine sahip olma isteği artıyor. Gittikçe daha fazla şirket özellikle iç kontrol konusu üzerinde duruyor ve bu alana yatırım yapıyor.
2- Şirketlerimiz bünyelerinde etkin olarak çalışan iç kontrol, risk yönetimi ve iç denetim sistemleri oluştururken zorlanıyorlar.
3- Bu sistemler entegre olarak kurulup, çalıştırılamıyor ki bu şekilde oluşturulmaları lazım.
4- Bu sistemleri manuel olarak kurgulama ve uygulama eğilimi nedeniyle, bunlardan fayda sağlama oranı düşüyor. Bu sistemleri tasarlar ve yönetirken yazılım çözümlerinden faydalanma oranı yetersiz.
Üçlü hat modeli kurumsal yönetimi destekleyen ve bu sistemler arası ilişkileri açıklayan başarılı bir teorik model. Ancak iş uygulamaya geldiğinde kafası karışmayan şirket ve meslek profesyoneli görmedim. 2003 senesinden bu yana konu üzerinde çalışan bir meslek insanı olarak, üçlü hat modelinin bir şirkette başarıyla ve entegre şekilde uygulanması için iyi bir uygulama modeli ve buna uygun iyi bir yazılım çözümü gerektiğini defalarca tecrübe ettim.
Uygulama modeli bu sistemlerin tasarlanması, kurulması ve yürütülmesi için şart. Şirketlerde bu sistemlerin çaba ve çıktılarının boşa gitmemesi, şirketin operasyonları ve hedeflerle yönetim sistemi ile entegre olması için açık, net ve basit bir uygulama modeline ihtiyaç duyuluyor. Bu başka bir yazıda daha detaylı ele alacağım bir konu olabilir.
Yazılım çözümü ise modelin hayata geçirilmesi ve tüm yönetici ve çalışanların süreçte rol ve sorumluluklarını yerine getirmesi için şart gözüküyor. Hatta bu görev ve sorumlulukları kolaylaştırmak, yürütmeyi daha verimli hale getirmek ve raporlamalar ile karar süreçlerine etki etmelerini sağlamak gibi faydalar da sağlanmış oluyor.
Burada şu net tespiti yapmak gerek; bu sistemleri oluşturmak ve entegre etmek yazılım çözümleri olmadan imkansız değilse de çok zor. En azından canlı tutmak ve günlük operasyonel ve yönetsel faaliyetler ile entegre etmek olasılık dışı oluyor.
O halde iç kontrol, risk yönetimi ve iç denetimi bir yazılım üzerinde entegre ederek yürütmek ve raporlamaları sağlamak büyük bir ihtiyaç. Peki bu konuda ülkemizde durum nedir diye bakarsak, ülkemizde bu sistemlere sahip olan şirketlerin ancak %10-%20’sinde bu yönde araçlar kullanıldığını tahmin ediyoruz. Onların da bir kısmı tam anlamıyla COSO/ IIA Standartları ve üçlü hat modeli mantığına uymayan süreç veya kalite yönetimi yazılımlarından devşirme çözümler oluyor.
Burada en büyük sorun farkındalık eksikliği. İkinci sorun ise maliyetler. Bu yazılım çözümleri şirketlerde zaten patronlar ve üst yönetim tarafından gider merkezi olarak algılanan (ki bu algfı düzeltilmelidir) bu sistemlere yönelik ek bir maliyet olarak görülüyor. Oysa şirketlerin yönetim sistemlerine yapılacak en büyük katkı olduğunu anlatmak gerekiyor. İç kontrol, risk yönetimi ve iç denetim süreçlerinden, hele de dijital dönüşüme tabi olmuşlar ise şirketlerin sağlayacağı fayda gerçekten çok büyük. O sebeple bu konuda yapılacak yatırım kesinlikle geri dönüşü hızlı bir yatırım olacaktır.
Belki bir diğer sorun ise hangi yazılım çözümünün tercih edilmesi gerektiği. Bu noktada son 5 sene içinde danışmanlık hizmeti sağladığım şirket ve kamu idarelerinde kafaların çok karışık olduğunu gözlemledim. GRC grubu altında yer alan yazılımlar, kalite yazılımları, süreç yazılımları, spesifik iç kontrol- risk yönetimi yazılımları ya da iç denetim yazılımları arasında hangilerini seçip, hangilerini entegre etmeleri gerektiği konusunda şirketler son derece kararsızlar. Oysa çözüm tam entegre bir çözümü tercih etmek. Her üç fonksiyona ait özellikleri de sağlayan, bunu da entegre mantıkla yapan çözümleri tercih etmek. Bu yönde yerli ve yabancı pek çok çözüm mevcut (SAP GRC, Oracle GRC, iControl GRC, Sonik GRC, Metric Stream, KIOS GRC, Cura, One Trust vd.)
Hangi kategori altında veya hangi isimle sunuldukları fark etmiyor, bu yazılımlar ile ilgili beklememiz gereken özellikler;
1- COSO ve IIA Standartları ile mümkün olduğunca uyumlu olmaları,
2- Bir uygulama modeli içermeleri,
3- Entegre çalışmaları,
4- NOYA (ne iş olsa yaparız abi) modunda pek çok platform ve parçadan oluşmuş, başka bir amaçla yazılmış ancak bu amaca devşirilmiş olmamaları,
5- İyi bir danışman ekosistemine sahip olmaları (yani uygulama konusunda danışman desteği sağlayabilmeleri)
6- Fayda/Maliyet oranı yüksek, maliyeti makul olmaları,
7- Şirketlerdeki ERP ve diğer 3rd party çözümleri ile uyumlu olmaları,
8- Veri analizi ve analitiği çalışmaları ile entegre olabilme kabiliyetinde olmaları.
İç kontrol, risk yönetimi ve iç denetim süreçlerinin dijital ortamda yürütülmesi için doğru yazılım çözümlerinden faydalanılması büyük bir dikkat ve çaba gerektiriyor. Bu noktada doğru kişilerden destek almak sürecin hem üst yönetim nezdinde ikna ve kabulünü kolaylaştırıyor, hem de organizasyona en çok uyacak çözümün en doğru maliyet ile temin edilmesini sağlıyor.
Bu konuda uzmanlardan alınacak destek ile;
- Şirket operasyonları, teknolojileri ve IT sistemi ile en uyumlu çözümün seçilmesi,
- Çözümlerin alım noktasında doğru kriterler ile ve objektif olarak değerlendirileceği modelin kurulması,
- Şirket üst yönetimine üçlü hat modeli, sağlayacağı faydalar ve modelin hayata geçirilmesinde yazılım ihtiyacının etkili sunumlar ile anlatılması,
- Şirketin verilerinin (süreç, iş akışları, risk- kontrol envanteri, prosedürler, denetim çalışma kağıtları, vb.) en doğru şekilde sisteme aktarımı,
- Doğru entegrasyon ve uygulama yaklaşımının kurgulanması,
- Sistem üzerinde doğru yetki- onay hiyerarşilerinin kurulması,
- Eğitimlerin ve uygulama danışmanlığının sağlanması ile çözümün hayata geçirilmesi ve içselleştirilmesinde hız ve etkinlik kazanılması,
söz konusu olacaktır.
ÖZETLE yazılım seçimi son derece dikkatle verilmesi gereken bir karar. Size, organizasyonunuza, kurumsal yapınıza, teknolojilerinize, uygulama modellerinize ve bütçenize en uygun seçimi yapmanız gerekiyor. Her çözüm her şirkete uygun olmuyor. Bazı çözümler ihtiyacınızı eksik karşılarken, bazıları gerekmeyen özellikler ile maliyetinizi artırabilecektir.
Konuyla ilgili sorularınız için bertan.kaya@yahoo.com üzerinden irtibat sağlayabilirsiniz.