Şirketlerimizde yaşanan en büyük kafa karışıklıklarından bir tanesi de iç kontrol, risk yönetimi ve iç denetim süreçlerinin yapılanması ve bu süreçlere dair rol ve sorumluluklar. Pek çok şirkette, iç kontrol- iç denetim veya iç denetim- risk yönetimi birbirine karıştırılıyor, iç denetim birimlerinden, güvence ve danışmanlık hizmetleri haricinde iç kontrol ve risk yönetimine ilişkin icrai görevler talep ediliyor. Bu konuda sadece yönetim kurulları veya Genel Müdürler değil, meslektaşlarımızın dahi kafasının karışık olduğunu görüyorum. Bu nedenle, konuya dair görüşlerimi paylaşmak ve yazı ekseninde bir tartışma başlatmak istedim. Lütfen kendi durumunuzu, görüşlerinizi, varsa yorumlarınızı veya çözüm önerilerinizi yazının altında paylaşın.

Aslında kafa karışıklığını ortadan kaldırmaya yönelik iyi bir rehberlik mevcut. İç Denetçiler Enstitüsü’nün (IIA) “Üç Hat Modeli”. Konuya dair oldukça iyi açıklama getirmiş ancak teknik jargon ile yazılmış bir model olduğu için bu alanların dışından insanların anlaması kolay olmayabiliyor. Yani IIA’in bu rehberini Yönetim Kurulu üyelerinizin önüne koyduğunuzda, hemen anlamalarını beklemeyin. Örnekler ile açıklamak, daha anlaşılır hale getirmek, icranın daha iyi anlayacağı şekilde sunmak gerekebiliyor.

İç Denetçiler Enstitüsü’nün “Üçlü Hat Modeli” bir organizasyonda risk yönetimine ilişkin rol ve sorumlulukların dağılımını ana hatlarıyla belirleyen temel bir çerçevedir ve şirket içinde iç kontrol, risk yönetimi, iç denetim ve genel anlamda yönetişimi geliştirmek için net bir yapı sağlar. Şirketlerde bu süreçlerin tasarımı ve uygulanmasına dair tutarlı ve kapsamlı bir yaklaşımı amaçlayan üçlü bir katman yapısı sağlanması hedeflenir. Bir diğer ifade ile Üç Hat Modeli, kuruluşların hedeflere ulaşmasına en iyi şekilde yardımcı olan güçlü yönetişim ve risk yönetimi yapıları ve süreçleri oluşturulmasına yardımcı olur.

Bu anlamda “Üç Hat Modeli”, sorumlulukların neler olduğunu ve nasıl koordine edilmesi gerektiğini belirlemede şirketlere yardımcı olan esnek ve kapsamlı bir çerçevedir. Sorumlulukları, her biri şirketin yönetişim ve kontrol yapısına önemli ölçüde katkıda bulunan üç ayrı katmana veya “hatta” ayırır.

Birinci Hat: Operasyonel Yönetim

İlk savunma hattı operasyonel yönetim tarafından oluşturulur. Kurum için gelir elde edilmesinde ve giderlerin gerçekleştirilmesinde doğrudan rol oynayan çeşitli iş birimlerini ve departmanları içerir. Ön saflarda yer aldıklarından, işletmenin faaliyetlerine özgü risklerin belirlenmesi, değerlendirilmesi ve azaltılması konusunda doğrudan sahiplik, sorumluluk ve hesap verebilirliğe sahiptirler. Risklerin uygun şekilde yönetildiğinden emin olmak için uygun kontrol mekanizmalarını uygular ve öz değerlendirmeler yaparlar.

Operasyonel yönetim ayrıca ikinci savunma hattı tarafından oluşturulan iç politika ve prosedürlere uyulmasını sağlar. Günlük faaliyetlerinde risklerin nasıl gerçekleşebileceğini en iyi anlayabilecek konumdadırlar ve ekipleri içinde risk bilincine sahip bir kültürün sürdürülmesinden sorumludurlar.

Bu kademe şirketin günlük işleyişi için çok önemlidir. Organizasyonun işleyişiyle doğrudan ilgilenen ve dolayısıyla işletmenin faaliyetlerinin doğasında bulunan riskleri yönetmek ve bunlara tepki vermek için doğrudan sahiplik, sorumluluk ve hesap verebilirlikle yükümlü olan yönetim ve çalışanlardan oluşur. Şirketin risk yönetimi stratejisinin temelini oluşturduğu için bu hattın verimli bir şekilde çalışması çok önemlidir.

İkinci Hat: Risk Yönetimi ve Uyum Fonksiyonları

İkinci hat; risk yönetimi, iç kontrol ve uyum süreçleri ile alakalı sorumluluklardan oluşur. Bu katman ikili bir rol üstlenir: gözetim ve destek.

İkinci hat roller, risk yönetiminin belirli hedeflerine odaklanabilir, örneğin yasalara, düzenlemelere ve kabul edilebilir etik davranışa uygunluk, iç kontrol, bilgi ve teknoloji güvenliği, sürdürülebilirlik, kalite güvencesi gibi. Alternatif olarak, ikinci hat rolleri, kurumsal risk yönetimi (ERM) gibi risk yönetimi için daha geniş bir sorumluluğu kapsayabilir. Ancak, risk yönetimi sorumluluğu, esasen birinci hattadır.

İkinci hatta yer alan birim ya da uzmanlar; kurumun risk yönetimi çerçevesini geliştirir, iç kontrol sisteminin tasarımını yapar, politika ve prosedürleri formüle eder ve bu sistemlerin uygulanmasında birinci hatta yardımcı olurlar. İkinci hat, risklerin doğru bir şekilde tanımlanmasını, ölçülmesini ve azaltılmasını sağlar. Birinci hat tarafından uygulamaya konulan kontrollerin etkinliğini izler ve gerektiğinde tavsiye ve rehberlik sağlarlar. Ayrıca kurum içinde risk bilgilerinin raporlanmasını koordine eder ve dış düzenleyiciler ve paydaşlarla irtibat kurabilirler.

Üçüncü Hat: İç Denetim

Üçüncü hat iç denetim faaliyetidir. Son üçlü hat unsuru olarak iç denetim, risk yönetimi sürecinin diğer unsurlarının bağımsız ve objektif bir şekilde gözden geçirilmesini sağlar. Raporlamaların güvenilirliği, yasa ve düzenlemelere uygunluk ve operasyonların etkinliği ve verimliliği de dahil olmak üzere birinci ve ikinci savunma hatlarının yeterliliği ve etkinliğini değerlendirirler.

İç denetim; risk yönetimi, kontrol ve yönetişim süreçlerini değerlendirmek ve geliştirmek için sistematik ve disiplinli bir yaklaşım getirir. Bulgularını Yönetim Kuruluna ve üst yönetime raporlayarak diğer iki hattın amaçlandığı şekilde işlediğine dair güvence sağlar ve gerektiğinde iyileştirmeler önerir.

Yönetim kurulunun ve üst yönetimin şirketin yönetişim, risk yönetimi ve iç kontrol ortamına ilişkin doğru bir resme sahip olmasını sağlarlar. Bu hat risk yönetimi ve yönetişime dair genel güvence mekanizmasının kritik bir bileşenidir. Bağımsız statüsü, tarafsız değerlendirmeler yapmaya olanak tanıyarak sürece güvenilirlik ve şeffaflık katar.

Şirketimizde “Üç Hat Modeli “nden tam anlamıyla faydalanmak için çeşitli stratejiler uygulamalıyız:

Açık İletişim: Her bir hat kendi rol ve sorumluluklarını açıkça anlamalıdır. Bu, düzenli toplantılar, eğitim oturumları ve politika ve prosedürlerin iletilmesi yoluyla kolaylaştırılabilir.

Yazılım Desteği: Üç hat modelinin anlaşılamaması, rollerin ve sorumlulukların karışması ve süreçlerin entegre şekilde yönetilememesi önemli bir sorundur. Entegre iç kontrol, risk yönetimi ve iç denetim yazılımları bu sorunu ortadan kaldırır. Birinci hattın görevlerini yerine getirmesini kolaylaştırır, ikinci hattın izleme ve rehberlik süreçlerini hızlandırır ve verimli hale getirir, üçüncü hattın birinci ve ikinci hattı risk odaklı olarak denetlemesini ve geliştirmesini etkinleştirir. Üç hat modelinin teknoloji desteği olmadan yürütülmesi zordur. Hele de yapay zeka dönemine girilirken.

Tanımlanmış Roller ve Sorumluluklar: Her bir hattın rolleri organizasyon yapısında ve görev tanımlarında açıkça tanımlanmalıdır. Bu, risk yönetimi faaliyetlerinde çakışmaları veya boşlukları önlemeye yardımcı olacaktır.

Uygun Kaynak Kullanımı: Her bir hat, rollerini etkin bir şekilde yerine getirmek için yeterli kaynak ve yetkinliğe sahip olmalıdır. Buna personel, bütçe ve teknik kaynaklar dahil olabilir.

Kurum Kültürüne Yerleştirme: Model kurumun kültürüne yerleştirilmeli ve herkesin risk yönetimindeki rolünü anlaması sağlanmalıdır. Bu, konuya dair liderlik taahhüdü, eğitim ve modelin ilkelerinin pekiştirilmesi yoluyla başarılabilir. Hesap verebilirlik, şeffaflık ve açık iletişim kültürünün benimsenmesi, rollerin ve sorumlulukların modelde belirtildiği şekilde tanımlanmasını güçlendirmeye yardımcı olur.

Bu model bir rehber niteliğinde olsa da, şirketimizin kendine özgü yapısına, ihtiyaçlarına ve zorluklarına uyacak şekilde uyarlanması gerektiğini unutmamak da önemlidir. Modeli kendi kurumsal bağlamımıza uyacak şekilde uyarlamak modelin etkinliğini önemli ölçüde artıracaktır.

Model, modelin uygulanması veya şirketinize özel durumların değerlendirilmesi için benimle irtibata geçebilirsiniz. Linkedin üzerinden veya info@bertankaya.com üzerinden iletişim kurabiliriz.