Şirketler ve kamu idareleri, iç kontrol ve risk yönetimi faaliyetlerinde 5 temel hata yapıyor ve bu sistemlerden sağlamaları gereken faydaları sağlamıyorlar. Elbette, bu 5 hatanın hepsi aynı anda gerçekleştirilmiyor olabilir, ancak bu kritik hataları Türkiye ve Dünya genelinde onlarca kurumda gözlemleme imkanı buldum. Bu kritik hatalar, sistemlerin tasarım, işletim ve gözetim süreçlerinde gerçekleştiriliyor ve yıllarca doğru kabul edilerek devam ettiriliyor.
Bu 5 kritik hata şunlar:
İç Kontrol ve Risk Yönetimi Sistem ve Süreçlerini Sınırlı Bilgi, Tecrübe ve Yetkinlik ile Oluşturmaya Çalışmak.
Bu belki de en önemli sorun, çünkü gömleğin ilk düğmesi yanlış iliklenince, diğer tüm düğmeler de yanlış iliklenmiş oluyor. Şirketler veya kamu idarelerinde, bu sistemleri oluşturmak için gerekli istek ve yönlendirme genellikle üst yönetimden gelmiyor. Konu ile ilgili yasal düzenlemeler veya şirket içi vizyoner profesyonellerin girişimleri ile bu kavramlar şirket ve idarelere tanıtılıyor ve gerekliliği anlatılıyor. Ancak sorun şu ki, bu vizyoner profesyoneller, konu ile ilgili uzmanlık sahibi olmadıklarından, konunun önemli olduğu ve kurumda uygulanması gerektiği savlarını hayata geçirmede zorlanıyorlar. Üst yönetim ikna edilir ise, ikinci sorun olan “nasıl” sorusu gündeme geliyor. Burada üç ayrı yöntem uygulanıyor. Ya bu konu ile ilgili profesyoneller kendi kısıtlı bilgi ve tecrübeleri ile birşeyler yapmaya çalışıyorlar, ya bu konuda görevlendirilen ilgili kişiler eğitim alarak bu sistemleri tasarlamaya çalışıyor, ya da bu konuda dış bir danışmanlık şirketinden / danışmandan hizmet alınıyor. Bu noktada, profesyonelin kısıtlı bilgisi, eğitim alınan kişi ve kurumların doğru seçilmemesi, hizmet alınan danışman/ danışmanlık şirketinin doğru belirlenmemesi önemli bir başlangıç riski olarak görülmeli.
Üst Yönetimi İşin İçine Çekememek
Bu en önemli risklerden bir tanesidir. Üst yönetim, bu konular ile ilgili bilgi sahibi olup, şirkete olan faydalarını iyi kavrayamaz ise, konunun içinde olmak istemeyecektir. İç Kontrol ve Risk Yönetimi, yönetimin delege edebileceği konular değildir. Üst yönetim ve şirket/idare içindeki tüm yöneticiler, bu konu ile ilgili tasarım, işletim ve gözetim yetki ve sorumluluklarının delege edilemeyeceğini anlamalıdır. İç Kontrol ve Risk Yönetimi, bir şirketin veya idarenin tüm faaliyetleri ile alakalı, entegre ve çoğu zaman kapsamındadır. Dolayısı ile, herhangi bir yönetsel karar alma süreci, görevlendirme süreci, icra süreci veya izleme süreci bu sistemlerden bağımsız işlev gösteremez. Tüm üst yöneticiler, kurulacak olan sistemler ile ilgili daha tasarım aşamasından aktif olarak görev almalıdırlar. Bu görev, konular ile ilgili bütçe ve kaynak desteği sağlamaktan, konular ile ilgili eğitim, çalıştay ve toplantılara aktif katılıma kadar geniş bir yelpazede değerlendirilebilir. Ancak, en temel destek, bu sistemlerin kurum içinde oluşturulmasını talep eden profesyonellerin arkasında durmak ve onların talep ve önerilerini dikkate almaktır.
İç Kontrol ve Risk Yönetimini Yönetsel ve Operasyonel Faaliyetler, Diğer Yönetsel Sistemler ve Karar Süreçleri ile Entegre Edememek
Bu en kritik risklerden bir tanesidir. İç Kontrol ve Risk Yönetimi süreçleri, kendi başlarına anlam taşıyan süreçler olmakla birlikte, diğer yönetsel (kalite, ISO, iç denetim, stratejik yönetim, performans yönetimi, vb.) ve operasyonel (ERP, MRP, Diğer Yazılım Uygulamaları, Otomasyon Sistemleri) sistemler ile de uyumlu, tercihen de entegre olmalıdır. Bu entegrasyonun sağlanacağı nokta, iş süreçleri ve iş akışlarıdır. Süreçler ve iş akışları, risk ve kontrol verilerinin en iyi anlam kazanacağı yerlerdir. Süreç yönetimi, hemen hemen tüm yönetsel sistemler açısından temel konudur. Entegrasyon bu noktada olmalıdır. Ayrıca, stratejik yönetim ve performans yönetimi de farklı bağlantı noktalarından, iç kontrol ve risk yönetimi ile entegre olabilir. Bu konulara kafa yormak, tercihen de bu işle ilgili destek almak kuruma zaman ve kaynak kazandıracaktır. Bu entegrasyon konusu ile ilgili en kritik entegrasyon ise “üçlü savunma hattı” entegrasyondur. İç Kontrol ve Risk Yönetimi sistem ve süreçleri, mutlaka iç denetime veri ve bilgi sağlar, iç denetimden de veri ve bilgi alır hale getirilmelidir.
Yönetsel süreçler, stratejik ve operasyonel seviyede hedef belirleme ile başlayan, sırasıyla süreç yönetimi, iç kontrol ve risk yönetimi, performans izleme ve değerlendirme, iyileştirme, güncelleme ve raporlama ile yeniden stratejik planlama sürecine girdi sağlayan süreçlerdir. Yönetsel süreçlerin her aşamasında, ciddi bir karar alma süreci vardır. Karar alma, doğru performans ve risk verisine dayanır ise karar alma ve yürütme kalitesi artar. Bu da yönetim kalitesini artırır.
Bu noktada, bir sonraki maddede belirteceğimiz, uygun bir yazılım çözümü kullanımı önem kazanmaktadır.
Doğru Bir Entegrasyon Yazılımı Kullanmamak
Genel olarak şirket ya da kurumlarda yazılım seçimleri, mevcut kullanılan ERP sistemi ve buna uyumlu yazılımlar tercih edilerek yapılmaktadır. Bu durum veri alış verişi yapabilme ve ortak platform oluşturma amaçlı yapılsa da, çoğu zaman beklenen sonucu ve kazanımı sağlamaz. Çünkü hiç bir yazılım firması her konuda uzman değildir. Uzman olmadığı için, ne kadar büyük bir firma olsa veya ne kadar büyük yatırım yapsa da, konunun uzmanı olan bir firmanın sağlayabileceği doğru entegrasyon çözümünü sağlayamaz. Şirketlerde ilk etapta iç kontrol, kurumsal risk yönetimi ve iç denetim; sonrasında ise, bu sistemler ile ISO Yönetim Sistemleri, en son stratejik yönetim ve performans yönetimi sistemleri birbirlerine bağlanmalı, entegre edilmelidir. ERP sistemi operasyonel bir yönetim destek sistemidir. İş süreçlerinin yönetimi, izlenmesi ve raporlamasını kolaylaştırır. Yönetim ve karar almada, değerli bilgiler üretmekle birlikte, iç kontrol, risk yönetimi, ISO, stratejik yönetim veya performans yönetimi sistemlerinin tasarım, işletim ve izlenmesini sağlamaz. Bu işi yapan yazılımlar genellikle GRC, Kurumsal Risk Yönetimi veya Entegre Yönetim Yazılımları olarak geçer. Bünyelerinde, süreç yönetimi, risk yönetimi, kontrol yönetimi, raporlama, iç denetim modülleri bulunur. Daha ileri seviyede, bünyesinde, stratejik planlama ve performans izlemeden, iç denetime kadar tüm modülleri entegre olarak barındırır. Bu sistemlere ek olarak kalite ve ISO Standartlarına yönelik faaliyetlerin de bu sistemleri destekleyen yazılımlar üzerinden yürütülmesi, çabaların mükerrerliğini ve kaynak israfını önleyecektir. Bu noktada, KIOS GRC gibi yerli, Accelus ve Mega gibi yabancı menşeili yazılım yazılım çözümleri hem tüm ERP sistemlerinden veri alıp verebilme, hem platform bağımsız olma, hem de entegrasyon özellikleri ile öne çıkmaktadır.
İç Kontrol ve Risk Yönetimini, Kurum İçinde Birkaç Kişi Ya Da Bir Birimin Sorumluluğu Olarak Görmek
Hiç bir şirket ya da kurumda, İç Kontrol ve Risk Yönetimi, bir birimin işi olarak görülmemelidir. Bu süreçleri koordine etmek için birimler oluşturulabilir, ancak bunlar özünde kurumsal, yönetsel sistemlerdir. Bunların işlevselliği, stratejik ve operasyonel seviyelerde farkındalık, iş süreçleri ile entegrasyon ve yönetim sistemleri ile entegrasyon ile mümkündür. Bundan daha önceki maddelerde bahsetmiştik. Yani bu sistem ve süreçler, her seviyede yönetici ve personel ile uygulanır, işletilir ve raporlanır. Koordinasyonun bir başka birimde olması, bu birimi sorumlu kılmaz. Sorumluluk tüm kurum yöneticileri ve personelindedir. Bu noktada, İç Kontrol ve Risk Yönetimi sistem ve süreçleri için farkındalık sağlamak yeterli olmaz. Bu farkındalığı sorumluluğa dönüştürmek için farklı önlemler almak gereklidir. Bu önlemler, bu süreçler için yönetsel komiteler oluşturmak (risk komitesi gibi), iç denetimlerde bu konunun sorumluluk boyutunun denetlenenlere iyi anlatılması, İç Kontrol ve Risk Yönetimi Yönergeleri veya Yönetmelikleri ile, bu sistemler, diğer yönetsel sistemler ile entegrasyonu, beklenen çıktılar, rol ve sorumlulukların netleştirilmesi ve iyi bir uygulama olarak, iç kontrol ve risk yönetimi görev ve sorumluluklarının, süreç, yönetici ve personel performans ölçüm kriterleri arasına koyulması gibi çeşitli stratejileri içermelidir.
İyi bir iç kontrol ve risk yönetimi sistemi; şirketin stratejik, operasyonel ve insan kaynağı performansının artırılması için çok önemli bir kurumsal araçtır.