Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından ortaya koyulmuş olan üçlü savunma hattı (üç savunma hattı) modeli uzun yıllardır şirketlerin risk yönetimi ve kontrol süreçlerinin etkili yönetimi için rehberlik sağlıyor. Bu model senelerce yönetim sistemlerini konumlama ve entegre etmede yorumlama kolaylığı sağladı. Ancak yine de modelin zayıf yönleri bulunuyor. Bu ayrı bir yazının konusu olmakla birlikte, bu sıkıntılar şu şekilde özetlenebilir:

• Birinci hattı oluşturan iş birimleri ve fonksiyonların riske yönelik sahiplik ve sorumluluğu üstlenmemeleri nedeniyle, burada oluşan boşluğun ikinci hat olan izleme ve uzmanlaşma birimlerince yürütülmesi, modelin etkinliğini azaltmaktadır,
• İkinci hatta yer alan sistem ve süreçler silo yaklaşımı ile, birinci ve üçüncü hattan ve birbirlerinden kopuk olarak yürütülmektedir. Şirketlerinde risk yönetim departmanı oluşturulduğunu bilmeden çalışan iç denetim birimleri ile karşılaştım. Aynı şekilde riskin kendisinin sorumluluğu olduğunu bilemeyen, bunun risk yönetim biriminin sorumluluğunda olduğunu düşünen birinci hat yöneticiler ile çalıştım.
• İkinci hat; çeşitli risk yönetim faaliyetlerine gözetim yapmak, birinci hattın tespit ve eylemlerini izlemek, geliştirmek ve gelecekte yaşanabilecek üst seviye risklere odaklanmak yerine bizzat operasyonel, finansal ve BT risklerinin yönetimini yapmaya başlıyor ve bu da kendi öneminin azalmasına, ikinci hat görevlerin aksamasına neden oluyor. Bu aksaklık da elbette üçüncü hat olan iç denetim tarafından yerine getirilmeye çalışıyor. Örneğin, yönetim sistemleri kapsamında prosedür yazmak, riskleri izlemek, raporlamak, hatta bizzat risk yönetimi koordinasyonu yapmak. Elbette bu da doğru bir uygulama değil.
• Hatlar birbirinin görevini yapmaya başladıkça, üçlü savunma hattı etkinliğini kaybediyor, anlamını yitiriyor. Bazı şirketlerde  ikinci hattın veya üçüncü hattın da olmadığı da düşünüldüğünde, durum daha vahim hale geliyor.
• Bu üç hattın tam olarak mevcut olması ve birbirleri ile entegre olması konusu da ayrı bir sorun. Pek çok kurumda, bu üç hattın mevcut ancak birbirleri ile entegre yönetilmediğini gördüm. Sağlanan fayda minimize olduğu gibi, güvence süreçlerinde verimsizlik üst boyutta oluyor. Mükerrerlikler, koordine olmayan çabalar nedeniyle sıklıkla yaşanıyor. Birinci hat yorulurken, ikinci ve üçüncü hat arası rol ve sorumluluklar birbirine giriyor. Bu üç hattı hem iç düzenleme, hem prosedür, hem de yazılımsal boyutu ile entegre etmek, rol ve sorumlulukları netleştirmek gerekiyor. Bu noktada bu üç hattın SAP, Oracle, KIOS veya SONİK gibi yazılımlar ile entegre edilmesi büyük önem taşıyor.

İlk 2 hattın bulunmaması veya bulunsa dahi rol ve sorumluluklarının net olmaması ve ikisinden biri veya ikisinin de işlevsiz olması, iç denetimden verim almayı imkansız hale getiriyor.

İç denetçilerin iç kontrol ve risk yönetimine dair bulguları ve önerileri havada kalıyor, sahipsizlik içinde eylem planları içinde kayboluyor. İlk iki hattın bulunmadığı yapılarda iç denetimi, rakip ataklar ile karşı karşıya kalan bir kaleciye benzetiyorum. Her top gol olma potansiyeli taşıyor. Şirketlerin C seviye yöneticileri veya sahipleri, ikinci ve birinci hatlardan ziyade iç denetimden beklenti içindeler. Suistimallerin önlenmesi, verimliliği artıran öneriler yapılması, kritik risklerin bertaraf edilmesi gibi pek çok konuda iç denetimden medet umuyorlar. Şirkette yaşanan pek çok riskten ise eğer kayba dönüşmüşse iç denetimi sorumlu tutuyorlar. “İç denetim bunu nasıl görmedi, nasıl yakalayamadı” şeklinde ithamlar son derece sık karşılaşılan durumlar.

Üst yönetim, birim yöneticileri ve fonksiyon yöneticileri tarafından yürütülmeyen, risk yönetimi veya diğer yönetim sistemleri tarafından takip edilip, raporlanıp, iyileştirilmeyen iç kontrol ve risk yönetimi süreçlerinden kaynaklı zafiyetler, iç denetim. tarafından yakalanmaz ise adeta kaleye girerek “gol” oluyor.

İç denetçilerin bu durumu kendi üst yönetimleri ve yönetim kurullarına doğru anlatmaları gerekiyor. İç denetim, ancak diğer iki hat mevcut ve etkin çalışıyor ise verimli bir süreç. Sonuç alabilen bir süreç. Ancak eğer ilk iki hatta sorun var ise, iç denetim bu hatların boşluklarını kapatırken hem yoruluyor, hem de riskler kayba dönmeden çare üretemiyor. Öyleyse üçlü savunma hattı konusunda bir bilince, farkındalığa, isteğe şirket olarak sahip olmak gerekiyor. Bu hatlardan bir tanesi dahi çalışmaz veya eksik olur ise, risk yönetimi ve kontrol mekanizmaları etkinliğini ciddi oranda kaybediyor. Adet yerini bulsun diye, sadece yapılmış olmak için yapılan faaliyetler haline dönüyor.

Şirketlerinde birinci ve ikinci savunma hattı konusunda sorun yaşayan iç denetçilerin, üçlü savunma hattı, bu hattın işleyişi ve önemi ile alakalı iyi birer sunum hazırlayıp, yöneticilerinin karşılarına çıkmaları gerekiyor. Bu sunumlarda, gerçek hayattan ve şirket operasyonlarından örnekler vermeleri, hatta mevcut bazı sorun veya kayıpların sebeplerini bu şekilde açıklamaları, konunun anlaşılması açısından büyük önem taşıyor.

Üçlü savunma hattının VUCA ve Endüstri 4.0 döneminde, şirketler açısından büyük bir dayanıklılık ve sürdürülebilirlik sağladığını düşünüyorum. Hatta daha ileri giderek şunu iddia edeceğim; stratejik yönetim ve operasyonel süreçler ile entegre üçlü savunma hattı, kurumsal başarının ve bu dönemde ayakta kalmanın güvencesidir.