Bir işletme, banka ya da kamu idaresinde iç kontrol ve kurumsal risk yönetimi sistemlerinin oluşturulması oldukça külfetli, zorlu ve maliyetli bir süreçtir. Bunun 4 temel sebebi vardır:
1- Yetersiz üst yönetim desteği
2- İç kontrol kavramı ve iç kontrol sisteminin ne olduğunun ve nasıl hayata geçirileceğinin yeterli düzeyde anlaşılamaması
3- İyi bir metodoloji ve proje yönetim yaklaşımı belirlenmemesi
4- Çalışmalar sırasında çok fazla doküman üretilmesi nedeniyle bunların takip, konsolidasyon ve güncellenmesinin zor olması
Esasen bu 4 sorunun tamamı da doğru strateji ve yöntemler ile aşılabilir. Bunların başında doğru bir iç kontrol ve KRY yazılım çözümü kullanılması gelmektedir. Doğru bir yazılım çözümünün bu sorunlara nasıl çare olacağını 4 ayrı sorun bağlamında ele alalım.
Birinci sorundan başlarsak, üst yönetim desteğinin yeterli düzeyde olmamasının en baş nedeni, konunun üst yöneticiler tarafından yeterli düzeyde anlaşılamamasıdır. Bu konuda farkındalık kazanılmamış ise, bu durum çalışmaların planlamasından, yürütülmesine kadar büyük zorluklar yaşanmasına neden olmaktadır. Şirket ya da idaresinde iç kontrol ve/veya kurumsal risk yönetimi (KRY) sistemleri oluşturmak isteyen çalışma ekipleri, üst yönetim desteği almadan fazla mesafe kat edememektedirler. Orta ve alt kademe yöneticileri iç kontrol veya KRY sistemi oluşturmaya ikna etmek oldukça zorlu bir süreçtir. Bu süreçte üst yönetici, ekibin arkasında kararlı bir şekilde durmaz ise, bu sistemleri oluşturmaya yönelik pek çok analiz, toplantı, anket, mülakat ve çalıştay başarısız olur. Bunlardan kaliteli geri dönüş ve çıktılar sağlanamaz.
Birinci sorunun çözümü, üst yöneticinin iç kontrol sisteminden sağlayacağı faydaların somutlaştırılmasıdır. İç kontrolün üst yöneticilerin en büyük sıkıntı çektileri konulara olan somut etkisi net olarak ortaya koyulmalıdır. Bu somut sonuçları üst yöneticinin takip edebilmesine ve kazanımları deneyimleyebilmesine imkan veren bir bilgi sistemi (yazılım çözümü) burada kritik önem taşır.
Bir üst yönetici, 4 tane konuya büyük önem verir:
1- Kurum olarak performansımız nasıl?
2- Bu performansı nasıl artırırız?
3- Bu performansı tehlikeye düşürebilecek hususları (riskler) nasıl en ekonomik olarak bertaraf edebiliriz?
4- Kurumumuzu, organizasyonu ve kaynaklarını nasıl daha iyi ve verimli olarak yönetip, kontrol edebiliriz?
İç kontrol ve KRY sistemlerinin bu 4 konuya da büyük katkı sağlayan araçlar olduğunun üst yöneticiye somut örnekler ile anlatılması gerekir.
İç kontrolün performans değerlendirme, performans artışı, risk yönetimi ve verimlilik ile olan ilişkileri somut örnekler üzerinden, tercihen kurum özel örnekler verilmek suretiyle anlatılmalıdır. Bu noktada yazılım çözümlerinden faydalanmak mümkündür. İç kontrol ve kurumsal risk yönetimi faaliyetlerinin oluşturulması ve yönetimi amacı ile kullanılan yazılım çözümleri sahip oldukları üst yönetici arayüzleri (ekranları) ile üst yöneticilere hem performans, hem riskler hem de denetim bulguları ile ilgili nitelikli bilgiler sağlayacaklardır. Bir yöneticinin önem verdiği tüm konular esasen iç kontrol ile ilişkilidir. Bu ilişkiyi yazılım ara yüzü üzerinden göstermek, üst yöneticinin iç kontrolü daha iyi kavramasını sağlar ve iç kontrole destek oranı artar.
Danışmanlık yaptığımız onlarca özel sektör şirketi ve kamu idaresinde, bu durumu bizzat tecrübe ettik. Bu kurumlarda, kullanıma aldığımız KIOS GRC İç Kontrol ve KRY Yazılımını, üst yöneticilere yaptığımız farkındalık seminerlerinde tanıttık. İç kontrolü üst yönetici perspektifinden anlatma konusunda geliştirdiğimiz yöntemi, yazılım arayüzünü göstermek suretiyle desteklediğimizde, ortaya sürpriz sonuçlar çıktı. Konuya son derece ilgisiz gözüken Üniversite Rektör ve Rektör Yardımcıları, Müsteşar ve Yardımcıları, Genel Müdürler, Başkan ve Başkan Yardımcıları, CEO ve CFO’ lar, Belediye Başkan ve Yardımcıları bu sunumun ardından konuyu önceden yanlış anlamış olduklarını, iç kontrolü önemsiz bir konu olarak gördüklerini, ancak bu bakış açılarının tamamen değiştiğini ifade ettiler. İç kontrolden ciddi fayda sağlanacağına olan inançlarını belirttiler. Bu noktada orta ve alt kademe yöneticilere yapılan sunumlara da bizzat iştirak ederek destek verdiler. Bu yöntem ile orta ve alt düzey yöneticileri de ikna etmek mümkün oldu. Üst ve orta kademe yönetimin desteğinin sağlandığı her projede başarı ile ilerleme mümkün oldu.
İkinci sorun, “iç kontrol kavramı ve iç kontrol sisteminin ne olduğunun ve nasıl hayata geçirileceğinin yeterli düzeyde anlaşılamaması” dır. İç kontrol ve KRY sadece üst yönetim değil, çoğu zaman orta ve alt kademe yönetici ve çalışanlar tarafından da doğru algılanmamaktadır. Hatta, bu sistemleri oluşturmak ile görevli çalışanların dahi konuya vakıf oldukları söylenemez. Son derece soyut kavramlar olarak algılanan iç kontrol ve KRY, ne olduğu ve nasıl kullanılacağı, sağlayacağı faydalar açısından daha somut hale getirilmelidir.
İkinci sorunun çözümü noktasında İç kontrol ve KRY sistemleri ile ilgili uygulama bilgisi sahibi olmak önem taşır. İç kontrolün ne olduğu, ne fayda sağladığı ve nasıl işlediği “uygulama” yönünden görülmeli, tercihen iyi uygulamalar tespit edilmek ve yerinde incelenmek suretiyle zihinlerde somutlaştırılmalıdır. Bu noktada iyi uygulama nedir sorusu akıllara gelebilir. İyi uygulama; iç kontrol ve KRY sistemleri oluşturma projelerinde başarılı proje yönetimi, yeterli üst düzey yönetim desteği, ortak dilin kurum genelinde oluşturulmuş olması, iyi bir proje ekibine sahip olmak, doğru bir risk yönetimi metodolojisinin uygulanması ve bu sistemlerden elde edilen çıktıların, kuruma sağladığı faydaların somut olarak izlenebilmesi, yazılım çözümlerinin aktif olarak kullanımı durumlarından birkaçının birlikte görülebildiği uygulamalardır.
Eğitim ve danışmanlık hizmeti sağladığımız şirketlerde, eğitimlerimizin sonunda, eğitim katılımcıları ile KIOS GRC yazılım çözümü üzerinden pilot iç kontrol ve KRY uygulamaları yapıyor, iç kontrol kavramının zihinlerde somutlaşmasını sağlıyoruz. Eğitimlerimizde teorik olarak değindiğimiz konuların yazılım çözümü üzerinde görülmesi ve tecrübe edilmesi, konunun anlaşılması açısından büyük fayda sağlıyor. Ayrıca hizmet verdiğimiz şirket ve idarelerin, başka şirket ve idarelerdeki iyi çalışan ve fonksiyonel iç kontrol ve KRY örneklerini ziyaretler ile yerinde görmelerini sağlıyoruz. Tüm bu stratejiler, yazılım çözümü kullansın kullanmasın, konu ile ilgili görevlilerin iç kontrol ve KRY araçlarını, raporlarını ve mekanizmalarını somut olarak algılama ve tecrübe etmelerine imkan veriyor.
Üçüncü sorun, “iyi bir metodoloji ve proje yönetim yaklaşımı belirlenmemesi” dir. Bu noktada, iç kontrol ve KRY sistemi oluşturma çalışmalarında tercih edilecek model (COSO, CoCo, ISO 31000) belirli olsa da, modelin hayata geçirileceği metodolojinin belirsiz olması, işlerin başarısızlıkla sonuçlanmasına neden oluyor. COSO İç Kontrol ve KRY Çerçeveleri ile ISO 31000 gibi çerçeveler, “ne” sorusuna cevap verseler de “nasıl” sorusuna cevap vermiyorlar. Bir uygulama ve entegrasyon metodolojisi belirlenmediğinde, kavramsal boyut doğru anlaşılmış olsa da, uygulama boyutuna geçmek mümkün olmamaktadır. Genellikle metodoloji sorunu nedeni ile doğru başlayıp yanlış biten pek çok iç kontrol ve KRY projesi görülmektedir. İç Kontrol ve KRY bileşenlerinin uygulama boyutuna uygun bir metodoloji ile aktarılması kritik önem taşır. Bazı bileşenler daha uzun vadeli, bazıları daha kısa vadeli hayata geçirilmelidir. Doğru metodoloji, işin doğru şekilde planlanmasını ve yürütülmesini sağlar.
Bu konuya ek olarak, iç kontrol sistemi oluşturma çalışmalarında doğru bir proje yönetimi yapılmaması da önemli bir diğer sorundur. İç kontrol ve KRY sistemi oluşturma işleri, genel olarak bir proje mantığı ile düşünülmemektedir. Bu sebeple, ortada bir proje beratı ve takvimi olmamakta, görev, rol ve sorumluluklar ile zaman planı belirlenmediğinden, işler kaotik bir süreçte yürütülmeye çalışılmaktadır.
Üçüncü sorunun çözümü noktasında, işe iyi bir proje beratı ve takvimi oluşturmak ile başlanması gerekir. Tabi ideal olan, projenin başlangıcında, proje ekibinin bir proje yönetimi eğitimi almasıdır. Konuya bir proje olarak bakılması, işin daha iyi planlanmasını, koordine edilmesini ve takibini sağlar. Bir projede, iç kontrol ve KRY sistemi oluşturma süreci, iş paketlerine bölünür. Kritik kilometretaşları belirlenir. Bu ara hedeflere zamanında ve bütçeye uygun şekilde erişilip erişilmediği tespit edilebilir. Düzeltici aksiyonların alınmasında vakit kaybedilmez. Projenin gidişatı ve verimi, objektif kriterler çerçevesinde değerlendirilebilir. Projede görev, rol ve sorumluluklar netleşmiş olduğundan, herhangi bir iş paketi ya da adımının, kimlerin sorumluluğunda olduğu konusunda kafa karışıklığı yaşanmaz.
İç kontrol ve KRY projelerinde seçilen modelden sonra, iyi bir metodoloji belirlenmesi, projenin başarısı ve sonuç elde etmek açısından önemlidir. Seçilecek iç kontrol ve/veya KRY metodolojisinin, asgari olarak aşağıdaki unsurları içermesi gerekecektir:
- Süreç analiz metodolojisi ve süreç hiyerarşisi modeli
- İş akışı oluşturma yöntemi, kullanılacak araç
- İş akışlarının taşıyacağı veri ve bilgi setinin tanımlanması
- Risk değerlendirme metodolojisi kapsamında risk tanımlama, ölçüm, analiz ve önceliklendirme yöntem ve araçları
- Kontrol faaliyetlerinin tanımlanması, sınıflandırması ve kontrol tasarımına ilişkin usul ve esaslar
- Anahtar risk göstergelerine ilişkin modelin tanımlanması
- Doğal risk- artık risk medelinin belirlenmesi
- Risk iştahı ve risk toleranslarına ilişkin kullanılacak model ve araçların tanımlanması
- İç kontrol ve KRY sistemlerinin, stratejik yönetim ve performans yönetimi sistemleri ile uyumunun sağlanmasına ve entegrasyona yönelik yöntem ve araçların belirlenmesi
Hizmet verdiğimiz kamu idareleri ve şirketlerde, iç kontrol ve KRY sistemi oluşturma çalışmalarının bir proje olarak algılanmasını ve bir proje ciddiyeti ile yürütülmesini sağlıyoruz. Bu noktada, kullanıma açtığımız KIOS GRC İç Kontrol ve KRY yazılımı son derece büyük bir fayda sağlıyor. KIOS GRC yazılımında, ayrı bir proje yönetimi bölümü bulunması, iş ve görev takibi yapılabilmesi müşterilerimizin projeyi baştan sona dek kontrol altında tutmalarını sağlıyor. Ayrıca, KIOS GRC yazılımında her kurumun tercih ettiği iç kontrol ve/veya KRY modeli ve tercih ettiği metodoloji çerçevesinde kullanım esnekliği sağlanıyor. Yukarıda belirtilen tüm metodoloji unsurları, KIOS GRC çözümünde esnek olarak tasarlanıp kurgulanabiliyor. Bu sayede, bir kurum yazılım çözümü sayesinde, tüm süreçleri, iş akışları, risk yönetimi ve kontrol faliyetlerini kendi kurguladığı metodoloji çerçevesinde yürütebiliyor.
Konunun bir proje olarak yürütülmesi, projenin yazılım çözümü ile takibinin mümkün olması ve ayrıca metodolojinin yazılım üzerinden uygulanabilmesi ile iç kontrol ve KRY projelerinde hem süre kısalmakta, hem iç kontrol ve KRY faaliyetleri daha disiplinli ve düzenli yürütülebilmekte, hızlı raporlamalar elde edilebilmekte ve kurumun dört bir yanından gelen verilerin konsolidasyonu son derece kolaylaşmaktadır.
Dördüncü sorun, özellikle iç kontrol ve KRY projelerinde koordinasyon görevi üstlenmiş olan birimler ile görevli uzmanların işin dokümantasyon boyutu nedeni ile son derece büyük zorluk çekmeleridir. İç kontrol ve KRY süreçlerinin tasarımı, entegrasyonu, güncellenmesi ve izlenmesi son derece zahmetli işlerdir. Bu işler nedeniyle görevli uzmanlar üzerinde önemli bir iş yükü ortaya çıkacaktır. Ortalama bir iç kontrol ve/veya KRY projesinde, her bir iş süreci ile ilgili hatırı sayılır miktarda süreç, iş akışı, risk, kontrol, risk iyileştirme eylemi, risk kontrol matrisi, risk haritası, risk göstergeleri ve gerçekleşme verisi ortaya çıkacaktır. Bu verilerin ana sürçeler bazında konsolide edilmesi, raporlanması ve güncel tutulması çok büyük emek gerektirir. Bu işler, Excel, Word veya Visio yazılımları kullanılarak, manuel olarak yapıldığında ortaya ciddi versiyon yönetimi, erişim güvenliği, raporlama, saklama, yedekleme, tasnif, izleme, güncelleme sorunları çıkar. Bunlar arasında en önemli olanı da güncelleme sorunudur. Bu sorun kritik bir sorundur, zira iç kontrol ve KRY sistemlerinden elde edilecek fayda büyük ölçünde bu sistemlerin ana iş süreçleri ve sistemlerine entegrasyona ve bu sistemlerin güncel tutulmasına bağlıdır. Bir sürece ilişkin iş akışı ya da risk değerlendirme verilerinin, güncel olmaması ilgili sistemlerin süreç yöneticileri tarafından kullanılmamasına ve atıl kalmasına neden olur.
Dordüncü sorunun çözümü, iç kontrol ve KRY sistemleri oluşturma konusunda bir yazılım çözümünden faydalanılması, bu sayede tüm veri girişlerinin kolaylaştırılması, verilerin kolaylıkla güncel tutulabilmesi ve sistemlerin gerçek iş süreçleri ile uyumunun sağlanmasıdır. İç kontrol ve KRY sistemleri oluşturmak amaçlı kullanılan yazılım çözümleri, bu sorunun çözümüne ilişkin 3 önemli fayda sağlamaktadır:
1- Proje adımlarının birbirlerini takip eder ve birbirlerinin girdi- çıktısı şekilde yürütülmesi ve bu sayede tüm çalışmaların ilk adımdan son adıma kadar entegre edilmesi.
2- Veri girişleri yapma ve güncelleme işinin word, excel ve visio ya göre çok daha kolay olması.
3- Sisteme aktarılmış olan tüm verilerin versiyon takibi, yedekleme, güncelleme, izleme ve raporlama işlerinin inanılmaz boyutta kolaylaşması.
Genellikle iç kontrol sistemi oluşturma çalışmalarına başlamamış, ya da henüz işin başında olan kurumlar ile çalışıyoruz. Ancak zaman zaman, iç kontrol konusunda doğru veya yanlış ciddi ölçüde mesafe almış şirket ya da kamu idarelerinden, çalışmalarını değerlendirme, iyileştirme ya da revize etme talepleri geliyor. Bu kurumlarda yaptığımız en önemli gözlem, üretilen doküman miktarının fazlalığı oluyor. İç kontrol çalışmalarında çıktı olarak üretilen pek çok el kitabı, iş akışları, risk tabloları ve diğer dokümanların incelenmesi, analizi ve güncellenmesi kolay olmuyor. Hele de düzeltme ya da güncelleme işleri oldukça külfetli olabiliyor. Bu kurumlarda işe KIOS GRC iç kontrol ve KRY Yazılımını kurmak ve yürütülen tüm çalışmaları, daha doğru bir metodoloji kapsamında aktarmak ile başlıyoruz. Birlikte çalıştığımız kurumlardaki uzmanlar, bu çalışmaları daha önce manuel olarak yapmış olduklarından, KIOS GRC kullanımının sağladığı büyük kolaylık ve imkanlara şahit oluyorlar, bu kolaylığı bizzat tecrübe ediyorlar. Herhangi bir iş akışını Microsoft Visio veya Excel ile çizmek, düzeltmek veya diğer bir iş akışı ile birleştirmek, detaylı risk-kontrol tabloları oluşturmak ve güncellemek gibi işlerin manuel olarak yürütülmesinin güçlüğünü yaşamış olan uzmanlar, yazılım çözümü ile bu işlerin ne kadar kolay gerçekleştirildiğini görüyor ve çözümü bu işin en önemli aracı olarak görüyorlar.
İç kontrol ve kurumsal risk yönetimi sistemleri oluşturma noktasında, yazılım çözümleri kullanılması yukarıda belirtilen 4 sorunun da çözümüne büyük katkı sağlamaktadır. Buna ek olarak, bu sistemlerin kurumsal birer veri merkezi olmak ve kurumsal hafıza işlevi göstermek gibi yan faydaları da vardır. Bir iç kontrol ve KRY sisteminden sağlanacak faydalar, sadece bu sistemlerin kurulması ile sınırlı değildir. ERP sistemlerine geçişten, kurumsal yeniden yapılandırmaya, performans yönetimi sisteminin oluşturulmasından, iç denetim etkinliğinin sağlanmasına kadar pek çok konuda bu yazılım çözümleri önemli faydalar sağlar. Bu yazılımlar tarafından üretilen raporlar, üst ve orta kademe yöneticiler açısından, şirket ya da idareleri yönetirken önemli bilgiler içerir. Bir yatırım kararı verilmesinden, yeniden yapılandırmaya, süreç revizyonundan, personelin görev yerlerinin değiştirilmesine kadar pek çok konuda, yöneticiler iç kontrol ve KRY sistemlerininin ürettiği verilerden faydalanabilirler. İç kontrol ve KRY yazılımları stratejik, yasal, itibar, finansal ve operasyonel risklerin takibinde ve erken tedbir alınmak suretiyle etkin yönetiminde en önemli katkıyı sağlar.
Doğru iç kontrol ve KRY yazılım çözümünün seçimine ilişkin alttaki yazıyı da öneriyoruz:
İç Denetim, İç Kontrol ve Risk Yönetiminde Kullanılan Yazılımlar