3’LÜ SAVUNMA HATTI:
COSO İÇ KONTROL SİSTEMİNİN ETKİNLİĞİNDE KALDIRAÇ ETKİSİ
I. GİRİŞ
Bilindiği üzere bir işletme yönetiminin beş temel fonksiyonu bulunmaktadır. Bunlar,
planlama, örgütleme, yönetme, koordinasyon ve kontrol fonksiyonlarıdır. Son yıllarda küresel iş dünyasında yaşanan büyük mali skandallar ‘iş geliştiren’, ‘kar ettiren’, ‘işletmenin piyasa değerini maksimize eden’, ‘yüksek yönetim kapasitesi olan’, ‘temsil kabiliyeti olan’ vb. üst düzey yönetici özelliklerine birinin daha eklenmesini zorunlu kılmıştır: ‘işletmede etkin kontrolü sağlayan yönetici’...
İşletme yönetimleri, kontrol fonksiyonlarını işletmenin vizyon, misyon, öz değerlerini, stratejik planlarını, işletme büyüklüğü ve tabi oldukları regülasyonları baz alarak, kontrol ortamı ve kontrol süreçleri ile proaktif risk yönetim politikaları eşliğinde yerine getirirler. Araç olarak ise, üst yönetimin (icra ve karar organları) gözetimi, yönetici kontrolleri, iç denetim, iç kontrol, uyum kontrolu, finansal kontrol, kalite kontrolu, güvenlik, risk yönetimi vb. birimleri kullanırlar.Tüm bu kontrollerin etkili, ekonomik ve etkin olmasının ön koşulu ise işletme içerisinde yer alması gereken entegre olmuş ve senkronize çalışan iç kontrol mekanizmalarıdır. Nasıl ki, yaşamımızı sürdürebilmemiz için sahip olduğumuz tüm organlarımız birbirine entegre ve senkronize biçimde çalışmakta ise; işletmede de, tüm hizmet birimlerinin koordinasyon içerisinde etkili çalışmaları zorunludur. İşletmenin hedeflerini gerçekleştirirken iç ve dış risklere karşı güçlü bir bağışıklık sistemine sahip olması işte bu ön koşulun varlığına bağlıdır.
II. İÇ KONTROL MEKANİZMALARI
Son yıllarda özellikle gerek ülkeler bazında gerekse uluslararası boyutta
‘risk kavramının’ adeta her şeyin üstünde yer alması yönetişimsel gözetim, yasal mevzuat ve düzenleyici kuruluşlardan kaynaklanan talep ve zorunluluklar, bilgi işlem teknolojilerindeki büyük ilerlemeler, küreselleşmeyle birlikte şirketlerde organizasyonel karmaşıklıklar ve denetim açıkları, suistimali önleyici ve tespit edici etkili mekanizmalara olan ihtiyacın günbegün artması ile etkin iç kontrol sistemlerinin önemi daha da artmıştır.
İç kontrol mekanizmaları, işletme içi kontrol ortamı, kontrol süreçleri şemsiyesi
altında ERP sistemi, iş süreçleri, finansal kontrol, iç kontrol, bilgi ve iletişim ortamı, uyum kontrolleri, risk yönetimi ve iç denetimden oluşur. Bu sayede, işletmeler bir yandan hedeflerine ulaşırlar, bir yandan performanslarını geliştirirler, diğer yandan ise küresel rekabet ortamında sürdürülebilirliği sağlarlar. Etkili, verimli ve ekonomik kriterlerini yakalayan birbirlerine entegre olan ve senkronize çalışan bir nevi fren ve denge sistemi (system of checks and balances) yapısında olan iç kontrol mekanizmaları ayrıca işletmelere stratejik planlarının gerçekleşmesine katkıda bulunarak rakiplerine karşı rekabet avantajı sağlarlar.
Günümüzde etkili iç kontrol sistemleri kurumsal risk yönetiminin en güvenilir
dayanaklarıdır. Kurumsal risk yönetimi felsefesi proaktif ve sistematik olmalı, objektif ve hassas analizleri temel almalıdır.
Entegre olan, senkronize çalışan, etkili bir kurum kültürü içerisinde oluşturulup uygulanan iç kontrol mekanizmaları bir işletmede;
İş süreçlerinin kontrol ortamı tonlamasına uygun olarak yerine getirilmesini sağlar,
Muhasebe kayıt nizamının intizamı ve güvenilirliğini sağlar,
Operasyonların etkili, verimli ve ekonomik yürütülmesini temin eder,
Yasa ve iç düzenlemelerdeki hususların yerine getirilmesini sağlar,
Doğru, güvenilir ve zamanında raporlamalar üretir,
Maliyet fayda analizleri yaparak dinamik katkıda bulunur,
İş süreçleri ve ERP sistemi ile herbir işlemi tarihsel olarak güvenceye alır.
Böylece etkili iç kontrol mekanizmaları yer aldıkları işletmelerde;
Üst yönetimin işletmenin misyon, öz değerleri temelinde stratejik hedeflerin gerçekleştirilmesi işlevine risklerin minimizasyonu ile katkıda bulunur,
Üst yönetimin iş geliştirme ve yeni fırsatlara konsantre olmasına zaman yaratır,
İcra ve karar organlarınca yürürlüğe konulan politikalara uygun düzeyde performans sergilenmesini sağlar,
İşletme paydaşlarına, yöneticilerin iç ve dış mevzuata uygun icraatlarda bulunmaları güvencesini verir,
İşletme aktiflerinin korunmasına katkıda bulunur,
İşlemlerdeki hata, noksan ve eksiklikleri önler, tespit eder, düzeltir,
Suistimallere karşı caydırıcılık fonksiyonunu yerine getirir, önler ve tespit edilmesine yardımcı olur,
Faaliyetlerin güvenilir, etkili, verimli ve ekonomik sürdürülmesini ve kontrolünü sağlar.
III. COSO BAZLI İÇ KONTROL SİSTEMİ
Amerika Birleşik Devletleri’nde özellikle son yıllarda artan finansal tablolara dayalı iş suistimallerinin araştırılması ve gereken önlemler için hazırlık yapılması amacıyla beş meslek kuruluşunun oluşturduğu Treadway Komisyonu; suistimal olaylarının minimize edilmesi ve ortaya çıkarılması, bakımından iç kontrol mekanizmaları hususunda çalışmalar yapmak üzere COSO’yu (Treadway Komisyonu Sponsor Örgütleri Komitesi) oluşturmuştur. COSO, ilk çalışmalar sonucunda 1992 yılında COSO iç kontrol modelini oluşturmuş ve yıllar itibariyle geliştirerek 2013 yılında modeli güncellemiştir. Günümüzde COSO iç kontrol sistemi, iç kontrolün tasarlanması, uygulanması ve değerlendirilmesi amacıyla birçok kamu ve özel sektör kuruluşunda yaygın bir şekilde kullanılmaktadır.
COSO’ya göre, temel amacı işletmenin hedeflerine ulaşmasına katkı sağlamak olan İç
Kontrol; işletme faaliyetlerinde verimliliğin sağlanması, üretilen finansal raporların güvenilir olması, gerçekleştirilen işlemlerin iç ve dış mevzuata uyumluluğu konularında makul bir güvence veren bir süreçtir.
COSO bazlı iç kontrol sistemi; Kontrol Ortamı, Risk Değerlendirme, Kontrol
Faaliyetleri, Bilgi ve İletişim ile Gözetim Faaliyetleri olmak üzere beş temel unsura dayanır.
Kontrol Ortamı: işletmenin üst yönetiminin kontrolün önemine ilişkin tutum ve
davranışlarıdır. İşletme içi etik değerleri, iş standartları, süreçleri ve organizasyon yapısını içerir.
Risk Değerlendirme: işletmenin karşı karşıya kalabileceği risklerin operasyonel
faaliyetler esnasında dinamik bir süreçte belirlenmesi, analizi, tanımlanması, yönetimi ve izlenmesini içerir.
Kontrol Faaliyetleri: işletmede oluşturulan politika ve mevzuatlar temelinde risklerin
minimize edilmesi bakımından, iş ve bilgi işlem süreçlerinde yer alan önleyici, tespit edici ve yönlendirici faaliyetlerdir.
Bilgi ve İletişim: işletmenin yönetişim sistemi içerisinde yer alan iç ve dış paydaşlar
arasında doğru ve güvenilir bilgi akışının sağlanması ile işletmenin kontrol ortamı ve kontrol süreçlerinin etkinliğine katkıda bulunmak için zorunlu olan etkili iletişim faaliyetleri yapılır.
Gözetim: işletme faaliyetlerinin yürütülmesi esnasında risklerin değerlendirilmesi ile
işletmenin operasyonel sisteminin etkili, verimli, ekonomik ve güvenilir işleyip işlemediğine dair anlık ve periyodik gözden geçirme ve değerlendirmeler.
COSO’ya göre, etkin bir iç kontrol sistemi yukarıda belirttiğimiz beş unsurun
dayanacağı onyedi ilkenin yürürlükte olmasına ve beş temel unsurun birbirleriyle entegre olarak işlemesine bağlıdır.
IV. 3’LÜ SAVUNMA HATTI
i. 3’lü Savunma Hattı Nedir?
Ortaya çıkışının spor veya askeri kaynaklı olduğuna dair farklı görüşler olan 3’lü
Savunma Hattı, son yıllarda iç kontrol sistemi içerisine entegre edilerek işletmelerin karşı karşıya kaldıkları risklerin etkili yönetilmesinde popüler bir model olarak rağbet görmektedir.
Modelin temel özellikleri;
Bütünsel yaklaşıma dayanır ve hem kendi savunma hatlarının kendi aralarında hem de içerisinde yer aldığı sistemlerin unsurlarıyla entegrasyonu sağlar,
Birimler ve entegre olduğu sistemlerin senkronize çalışmalarını sağlar,
Birimlerin hizmet yapabilme kapasitesini geliştirir,
Nesnel ve bağımsızdır,
İşlevsel olarak birbirine karışan değil herbir savunma hattının ayrı bir karakteristiği
vardır,
Her işletmeye uygulanabilen esnek bir yapısı vardır.
Modelin işletmeye kattığı değerleri maddeler halinde aşağıda özetlemekteyiz:
Üst yönetime makul bir güvence hizmeti vererek yönetişim, risk ve iç kontrol sistemlerinin optimizasyonu ve etkililiğini sağlayan bir mekanizma oluşturur,
Entegre yapıdan dolayı sistemlerin kapsama alanlarında boşluk bırakmayarak risk yönetiminde ve kontrolünde ideal etkililik sağlar,
Modelin paydaşlarının senkronizasyonunu sağlar ve böylece daha etkili, etkin çalışılır, bilgi paylaşımı daha verimli yapılır, riskler daha organize takip edilir, gereksiz tekrarları önler,
Üretilen ürün veya hizmetin kalite düzeyine olumlu etki yapar,
İşletme aktiflerinin korunmasına doğrudan etkide bulunur,
Görev alanlar görev, yetki ve sorumlulukları ile politikalar, prosedürler ve raporlama mekanizmalarını açık ve net olarak bilirler,
Kayıt nizamını sağlar ve buna dayanarak güvenilir raporlar üretilmesini sağlar,
Gerçekleştirilen işlemlerin iç ve dış mevzuata uyumluluğuna güvence sağlar.
Sonuç olarak; uygulandığı işletmede üst yönetime gözetim faaliyetleri açısından
yüksek katkıda bulunur, operasyonel faaliyetlerin daha güvenli, etkili, etkin ve ekonomik yürütülmesini sağlayarak erken uyarı sinyalleri üretir ve işletmenin operasyonel kapasitesi ile risk yönetimine kaldıraç etkisi yapar.
ii. 3’lü Savunma Hattının Unsurları
Üst Yönetim, Karar Organları ve Komiteler
İşletmenin tepe yönetimi (icra ve karar organları), risk yönetim sistemleri, iş süreçleri
ve yönetişim sisteminin güvenilir, etkili, etkin ve ekonomik yönetiminden en üst düzeyde sorumludurlar. İşletmenin tüm paydaşları da faaliyetlerin planlanan sistematik doğrultusunda yürütüldüğü hususunda güvende olmak isterler. Güven duygusu ancak etkili bir gözetim sistemi ile tatmin edilir. Bu kapsamda, işletmede her bir çalışanın sorumluluk hissedeceği kontrol ortamı ile kontrol süreçlerini devreye sokma, etkin bir iç kontrol sistemi oluşturma ve gözetimde bulunmada birinci derecede icra ve karar organlarının görev ve yetki alanındadır. Kurulacak etkin iç kontrol sistemi içerisine yerleştirilecek 3’lü Savunma Hattı ile gözetim fonksiyonu teminat altına alınır.
İcra Organı, iç kontrol, risk yönetimi/kontrolü, finansal kontrol, güvenlik,
kalite kontrol, yetkili kontrolleri, uyum kontrolleri ile bilgi ve iletişim kanallarını da etkin kullanarak birinci ve ikinci savunma hattı faaliyetlerinin etkin yürütülmesini sağlar ve gözetim sorumluluğunu yerine getirir. Bu çerçevede, işletme üst yönetimi erken uyarı sinyallerini takip eder ve riskin minimizasyonu bakımından gereken önlemleri zamanında alır. Yönetim Kurulu ise, Denetleme Kurulu ve üçüncü savunma hattında yer alan kendisine doğrudan veya dolaylı bağlı olan iç denetim birimi vasıtasıyla gözetim sorumluluğunu yerine getirir.
Birinci Savunma Hattı:
Birinci Savunma Hattını riskin gerçek sahipleri ve yönetenleri olan operasyonel
yönetim oluşturur. Operasyonel yönetim ise, işletme için etkin bir operasyonel organizasyon tasarlamalı ve üst yönetimin onayıyla uygulamaya almalıdır. Birinci Savunma Hattında yer alanlar, kesin ve net olarak belirlenmiş görev,yetki ve sorumluluklarının gereğini işletmenin kontrol ortamı içerisinde profesyonelce tasarlanmış iş süreçlerine dayanarak yetkili kontrolleri ve önleyici iç kontrol tedbirleri ile yerine getirir. Bu kapsamda, işletmenin karşı karşıya kaldığı riskleri belirleme, değerlendirmek, tanımlama, kontrol etmek, minimize etmeleri ve izlemeleri beklenir. Günlük ve yoğun iş süreci adımlarında yer alan çalışanlar, yetki-görev-sorumlulukları çerçevesinde, işlemin yapılması esnasında nezaret, gözden geçirme, kontrol öz-değerlendirme, onay mekanizmaları aracılığıyla işlem sıhhatini sağlamakla yükümlüdürler. Gözden kaçan ve risk doğuran bir hata veya eksiklik farkedilir farkedilmez giderilmelidir. Giderilemezse raporlanmalıdır.
İkinci Savunma Hattı:
İkinci savunma hattı ise, finansal kontrol, risk yönetimi, uyum kontrolleri, bilgi işlem
sistem güvenliği, iç kontrol, fiziki güvenlik, iş güvenliği, bilgi güvenliği, hukuki kontrol, tedarik zinciri kontrolleri ve kalite güvenceden oluşur. Sözkonusu hatta yer alanlar, riskin gözetimi ve kontrolü fonksiyonlarını bir nevi yarı bağımsız olarak yerine getirseler de etkili risk yönetimi politikalarının sağlıklı uygulanmasına ve işletme içerisinde doğru bilgi üretimine katkıda bulunurlar.
Üçüncü Savunma Hattı:
Üçüncü savunma hattını ise, işletmenin iç denetim birimi faaliyetleri oluşturur.
İç denetim birimi, işletme üst yönetimi ve diğer paydaşlara işletmenin yönetişim sistemi, operasyonel sistem işlemleri ve risk yönetimi sisteminin iç/dış mevzuata uyumu, güvenilirliği, etkinliği, etkililiği ve ekonomikliği konularında bağımsız ve objektif çalışmalara dayanan bilgi güvencesi sunar. Sonuç olarak, bu değerlendirmeler içerisine birinci ve ikinci savunma hatlarının performans düzeyleri de girmektedir.
Dış Organlar
Özel dış denetim, kamu dış denetim (örneğin Sayıştay, Maliye), düzenleyici kurumlar
(örneğin BDDK, SPK) ve diğer dış organlar (örneğin Mali Müşavir, Yeminli Mali Müşavir) işletmenin organizasyonel yapısının içerisinde yer almazlar. Buna karşın, daha dar kapsamlı da olsa işletmenin etkili risk yönetimi bakımından üç savunma hattına da destek olurlar ve yönetişim sistemine etkinliğine, üretilen finansal raporların doğruluğunun teyidine, mevzuata uyum faaliyetlerine ve zaman zaman da olsa işletme iç kontrol mekanizmalarınca farkedilmeyen risklerin (örneğin suistimaller) ortaya çıkmasına da katkıda bulunurlar.
iii. 3’lü Savunma Hattının Tasarımı
3’lü Savunma Hattının işletmede uygulanması amacıyla öncelikle işletmeye özgü
esnek tasarımının yapılması gerekir.
Tasarım esnasında dikkate alınması gereken hususlar:
İşletmenin kurum kültürü, vizyon, misyon, öz değerler, stratejik hedefler,
İşletmenin büyüklüğü,
İşletmenin yer aldığı sektör ve tabi olduğu dış mevzuat,
İşletmenin yönetişim ve operasyonel yapısı,
İşletme üst yönetim, karar organları ile faaliyet gösterdiği ülkelerde sektöre özgü
düzenlemelerin risk yönetimine yaklaşımları,
Yönetim Kurulu’ndan en alt kademe çalışana, tedarik zincirinde yer alan paydaşlara
kadar doğru bilgi ve iletişim kanalları oluşturulması ve eğitimler verilmesi,
COSO temelli Kontrol ortamı, risk yönetimi, kontrol süreçleri, bilgi ve iletişim ile
gözetim yapılarının ve bağlı oldukları prensiplerin varlığının gözden geçirilmesi, yeniliklerin belirlenmesi,
İşletme büyüklüğü, sektörel ve ülke özellikleri dikkate alınsa bile her hattın asgari
gereklilikleri olduğu gerçeği,
Birinci savunma hattının riskin sahipleri olduğu, doğrudan riskin etkisini
azaltan/arttıran etkiye haiz oldukları,
İkinci savunma hattı bileşenlerin destek hizmetleri verdikleri ve yarı bağımsız gözetim
görevi yaptıkları gerçeği,
Birinci ve ikinci savunma hatlarının esas itibariyle yönetim fonksiyonu kapsamında
oldukları ve işletme üst yönetimin yönetimi ve gözetiminde bulundukları,
Üçüncü savunma hattının ise, işletmenin karar organına doğrudan ve dolaylı bağlı
olarak görev yaptığı, yönetsel bir fonksiyonu olmadığı, işletme paydaşlarına güvence hizmeti sunduğu, hizmet kalitesinin artması için İç Kontrol ve 3’lü Savunma Hattı sistemlerinden beklentiler,
Her üç savunma hattının ayrı karakteristiği olduğu, bu nedenle fonksiyon tanımlarının
birbiriyle karıştırılmaması,
Dış organların bazılarının doğrudan işletme politika ve uygulamalarını değiştirecek
düzeyde olduğu,
Savunma hatlarının görev ve sorumluluklarını uygun biçimde ve hakkıyla
yerine getirmesi hususları...
Bu ilkeler çerçevesinde bir işletmede 3’lü Savunma Hattının tasarımını ve uygulama ön hazırlığını aşağıdaki adımlarla gerçekleştirebiliriz:
İşletmenin vizyon, misyon, öz değerler ve stratejik hedeflerinin öğrenilmesi, analizi,
Üst yönetimin etkili risk yönetimi konusundaki beklentilerinin öğrenilmesi,
Üst yönetimin risk iştahının öğrenilmesi ve işletmenin karşı karşıya olduğu risklerin
tam kapsanması bakımından risk haritasının hazırlanıp savunma hatlarıyla
ilişkilendirilmesi,
Üst yönetimin gözetim ve raporlamada hassasiyetlerinin öğrenilmesi,
İşletmeye ilişkin gereken bilgilerin detaylı olarak toplanması,
Detaylı planın yapılması,
Mevcut kontrol ortamı ve kontrol süreçlerinin gözden geçirilmesi,
İç ve dış kaynaklardan bilgilerin toplanması,
Karşı karşıya kalınacak risklerle ilgili önleme, tespit etme ve minimizasyon
politikalarının tasarımı,
Bilgi ve iletişim etkinliğinin tasarımı,
Hatlarda yer alan birim ve sistemlerin birbirleriyle entegre ve senkronize
çalışmalarının tasarımı,
Hatların gereksiz tekrarlar (duplication) üretmesinin önlenmesi,
Risk kontrolünde açıklar içermeyecek risk yönetimi ve kontrol süreçlerinin tasarımı,
Gözden geçirmeler, kontroller, güncellemelerle 3’lü Savunma Hattı sisteminin
etkin olarak idame ettirilme koşullarının tasarımı,
3’lü Savunma Hattı unsurlarının birebir COSO İç Kontrol Sistemi beş unsuru ve bağlı
oldukları 17 prensiple ilişkilendirilmeleri,
Taslağın hazırlanması paydaşlarla tartışılması, üst yönetime sunulması, onayı takiben
uygulama hazırlıkları yapılması ve ön eğitimlerin verilmesini içerir.
iv. 3’lü Savunma Hattının İşletmede Uygulaması
Bir önceki bölümde belirttiğimiz çerçevede COSO İç Kontrol Sistemi ile entegre
olarak tasarımı tamamlanan 3’lü Savunma Hattı sistemi işletmenin üst yönetimi (bazen Yönetim Kurulu’nun da doğrudan veya Denetim Komitesi ile dolaylı olarak) kararlarıyla yürürlüğe girer. Yani, sistematik temele dayanan organizasyonel planlama yapıldı ve şimdi sahneye çıkma zamanı!
İşletmede uygulamaya başlanacak modelin unsurları (ve hatları) ne kadar kesin, net
ve birbirinden ayrı karakteristiklerde tasarlanırsa uygulamada elde edilecek performans düzeyi o kadar yüksek olur. İşletme üst yönetimi de, kurum içerisinde oluşturulacak kontrol ortamı ve kontrol süreçlerinde modelin öneminin bir defa daha altını çizmeli, kontrol ortamı çerçevesinde ve ayrıca entegre/senkronik çalışması konusunda gereken desteği vermelidir.
Uygulama esnasında üst yönetimin gözetim fonksiyonu aktif ve dinamik halde yerine getirilmeli, erken uyarı sinyalleri mutlaka değerlendirilmeli ve işler iyi giderken ‘ufak tefek’ diye tanımlanan riskler önemsenmeli ve proaktif olarak minimizasyonu yönetilmelidir. Sistemin ortaya çıkardığı ve raporladığı risklere, üst yönetimce gereken hassasiyet gösterilmezse işletme içeriden yavaş yavaş erozyona uğrar ve ileride ya bütçe (gelirlerin azalması/giderlerin artması), ya teslimat zaman ve kalite koşullarının yerine getirilmemesi, ya suistimal fırsatları yaratılması ya da mutsuz paydaşlar yaratılması vb. sonuçlarla işletmeye olumsuz etkisini gösterir. En kötüsü bu faktörlerin bir arada yaşanmaya başlamasıdır ki; bu durum, işletmeyi tasfiyeye kadar götürebilir. Zaten yapılan araştırmalara göre, genelde riskler tek başına değil birlikte ortaya çıkmaya veya farkedilmeye başlanıyor, böylece işletmeye vereceği darbe daha şiddetli oluyor.
Modelin uygulanmasında en temel unsur üst yönetimin kararlılığı ise, ikinci temel
unsur çalışanların ve diğer paydaşların sistemin uygulanması esnasında gösterecekleri katkıdır. Katkı düzeyinin yüksek olması, gönülden olması uygulama öncesi ve esnasındaki eğitimlerle birebir ilişkilidir. Yani, ‘sistemi kurduk tıkır tıkır işler’, hatalı bir yaklaşım tarzı olacaktır. Günümüz işletmelerinde insan kaynakları istihdam politikaları ‘yetenek avcılığı’ üzerine kurulmuştur. Yetenekli ve becerikli, kendini geliştiren insanların işletmede görev ve sorumluluk alanlarına katacakları değerin sınırı yoktur. Bu konuda son olarak belirtmek gerekir ki, her bir savunma hattında yer alan yöneticiler ve diğer çalışanlar öncelikle kendi görev, yetki ve sorumluluklarının bilincinde olmalı ve ona uygun hareket etmelidir.
Günümüzde yüksek bilgi işlem teknolojilerine dayanmayan hiçbir küresel veya
büyük/orta ölçekli yerel firmanın yaşama şansı yoktur. İş süreçlerinin yürütülmesi, görev-yetki-sorumlulukların yerine getirilmesi, veri analizlerinin yapılması, uyum kontrolleri, bilgi işlem üzerinden üretilen raporlamalar ve iç denetimde kullanılan bilgi işlem destekli sürekli denetimler, bilgi işlem güvenliği gibi hususlar sistemin işleyiş kalite düzeyine doğrudan etki eden unsurlardır. 3’lü Savunma Hatlarının birbirleriyle ve bağlantılı organlarla ilişkileri ve herbirinin kendine özgü fonksiyonlarının açık ve net olarak belirlenmesinde yaşanan zorluklar bilgi işlem teknolojisiyle aşılacaktır.
Sistemin verimli işlemesi için hatlar ve diğer paydaşlar arasındaki etkili bilgi ve iletişim ile koordinasyon konusu çok önemlidir. Burada sorumluluk tamamen orta ve üst düzey yöneticilerin omuzları üzerindedir. Çalışanları ve diğer paydaşları yaratacakları öğrenen kurum kültürü atmosferi içerisinde bilinçli olarak yönlendirmeleri gerekir. Bu durum, çalışanlarda hem motivasyonu hem ekip ruhunu hem de işletmenin temel değerlerine bağlılığı arttırır. Sonuç ise, performansın ve yaratıcılığın artmasıdır.
Sistem uygulanırken işletmenin büyüklüğü ve imkanları elveriyorsa, bir 3’lü Savunma Hattı Uygulama Komitesi kurulabilir. Mümkün değilse, İç Kontrol Mekanizmaları Komitesi içerisinde veya İcra Komiteleri ve Denetim Komiteleri uhdesinde sistemin performansı gözlemlenebilir. Gözetim ve geri beslemelerle edinilen veriler dikkatlice analiz edilir, gereken aksiyonlar alınır ve içsel/dışsal faktörlerin zorladığı yeniliklerle sistem güncellenir.
Sonuç olarak, uygulamada sistemin temel fonksiyonunun iç kontrol sisteminin
risk yönetimi ve kontrollerinde etkinliğinin arttırılması olduğu unutulmamalıdır. Uygulama yukarıdaki çerçevede başarılırsa, sistemin de iç kontrol sistemi performansına yapacağı kaldıraç etkisi mutlak olur.
v. Üçlü Savunma Hattının Koordinasyonu
3’lü Savunma Hattı isminde de açıkça yer aldığı üzere üç ayrı hattan oluşan ve ayrıca
işletmenin yönetim kurulu ve üst yönetimi ile dış organların yer aldığı entegre bir sistemdir. Bundan dolayı, sistem içerisinde yer alan paydaşların verimli bir senkronizasyon düzeyi yakalamak bakımından koordinasyonu – özellikle günlük yoğun iş akışı, aşırı hedef baskıları, tedarik zinciri ilişkileri vb. konular nedeniyle – daha fazla önem hatta sistemin başarısı için hayatiyet arzetmektedir.
İşletmelerde çağdaş gelişmeler ışığında profesyonelce tasarlanan ve sonrasında
yürürlüğe giren sadece 3’lü Savunma Hattı değil; örneğin COSO bazlı iç kontrol sistemi,
en kapsamlı ERP sistemi, en önemli uzmanlarca hazırlanan iş süreçleri büyük bir heyecan
ve iştahla uygulanmaya başlanır fakat bir süre sonra amaçlanan verimin alınmadığı görülür. Tabii ki, suç sistemlerde ve sistemleri geliştirenlerde, kuranlarda aranır! Gözden kaçan ise,
üst yönetimin günlük operasyonel yapıya müdahaleleri, sistemlere ilişkin ortaya çıkan bilgi eksiklikleri, sistemlerin yönetici ve uygulayıcılarının kendi aralarında ve ilgili diğer birimlerle etkili iletişim kuramamaları, sistemin ortaya çıkardığı ve değerlendirmeye alınması gereken bazı verilerin göz ardı edilmesi, içsel ve dışsal gelişmelerin yeterince dikkate alınmaması, gereken güncellemelerin yapılmaması, profesyonel desteğin dışlanması ve faaliyetler devam ederken gereken eğitimlerle donanımın güçlendirilip taze tutulmaması gibi faktörlerdir...
Koordinasyonda, etkili bilgi ve iletişim yapısından önce, işletmenin kontrol ortamı, kontrol süreçleri ve risk yönetim politikalarının temelinde etik değerlerin, üst yönetimin konuya ilişkin hassasiyetlerinin, iş süreçlerinin, görev-yetki-sorumlulukların açık ve net olarak belirlenmesi ve her savunma hattının ayrı bir karakteristiğinin olduğu gerçeğine göre hareket edilmesi gelir.
İşletme içerisinde dikey/yatay, çapraz vb. formatlarda uygulanacak etkili bilgi ve iletişim ortamı ise, hem 3’lü Savunma Hatları paydaşlarının birbirlerini daha iyi anlamalarını ve işbirliğini sağlar hem gereksiz yere tekrar (duplicate) işlem ve raporlamalardan kaçınılır hem de dinamik yapı içerisinde sisteme yönelik gereken güncellemeler ihmal edilmez, sonuç olarak COSO bazlı iç kontrol faaliyetlerinde daha fazla etkinlik sağlanır. Böylece, risk silolarında yaratılan çok fazla miktarda ve birbiriyle tutarsız, bir anlamda ‘gereksiz’ ve zaman zaman aynı bilgileri içeren verilerin de daha sistematik hale gelmesinin yolu açılacaktır. Faaliyetlerin yürütülmesi esnasında tüm paydaşların aynı dili konuşmasıyla işletme içerisinde riskin etkili yönetim ve kontrolünde proaktif bir ortam oluşur.
Sistemin bileşenlerinin koordinasyonunda sağlanacak başarı düzeyi, sistemin entegre olduğu sistemlere yaratacağı değer çıktılarına doğrudan etkide bulunacaktır.
V. 3’LÜ SAVUNMA HATTININ COSO İÇ KONTROL SİSTEMİNİN ETKİNLİĞİNİN ARTTIRILMASINDA KALDIRAÇ ETKİSİ
COSO iç kontrol sistemi içerisine adeta ‘gömülerek’ uygulanmaya başlayacak entegre
ve senkronize çalışma performansı sergileyen 3’lü Savunma Hattı, COSO bazlı iç kontrol sisteminin risk yönetiminde etkinliğini kayda değer ölçüde arttırır. Bu duruma kaldıraç etkisi denildiğini daha önce sizlerle paylaşmıştık.
3’lü Savunma Hattının COSO bazlı iç kontrol sistemine katacağı değerleri özetlersek,
kaldıraç etkisinin temellerini daha net görme olanağına kavuşuruz:
3’lü Savunma Hattı, COSO İç Kontrol sistemiyle entegre halde uyum ve bütünlük sağlar,
Hatların ve dahil olduğu iç kontrol sisteminin unsurlarının senkronize çalışmasını
sağlar,
COSO İç Kontrol Sistemi’nin beş temel unsuru ve bu unsurlara ilişkin on yedi
prensibin içerisine 3’lü Savunma Hattının unsurları gömülerek, işletmenin karşı
karşıya kalabileceği tüm risklerin yönetim ve kontrol sürecinin etkili biçimde
yürütülmesini sağlar,
Sistemin paydaşları arasında kurulacak koordinasyonla verimsizliklerin önüne geçilir,
Her bir hattın ve içerisinde yer alan birim ve çalışanların görev alanları ve
sorumlulukları ve birbirleriyle olan ilişkileri açık ve net olarak belirlendiği için işlevini
yerine getirmeye daha konsantredir. Böylece, risk yönetim kapsama alanlarında da
boşluk bırakmaz,
Esnek bir sistemdir, işletme ve ülke gerçeklerini dikkate alır,
Güvence görevini yerine getirir, yönetişim sisteminin itibarına olumlu etki yapar,
Riskleri caydırıcı, önleyici ve tespit edici özelliği vardır,
Risk değerlendirmelerinin daha nesnel yapılmasını sağlar,
Alınan aksiyon planlarının uygulanmasında zaman kazandırır,
Etkili bilgi ve iletişim ortamını temel alır, katkıda bulunur,
Verilerin sistematik ve koordine biçimde değerlendirilmesini sağlar, tutarsız bilgileri
ve çift işlemleri ayıklar, önler, sistemlerin işlemesinde, risklerin yönetilmesi ve
raporlama süreçlerinde aynı dilin konuşulmasını sağlar,
Oluşturduğu dinamik ve proaktif ortamla risk analizlerindeki nesnelliğe (dolayısıyla
etkili risk yönetim ve kontrol politikalarının oluşturulmasına) katkıda bulunur,
İşletme içi güvence hizmetlerinde ekonomikliği sağlar,
Yapısal doğası gereği işletmenin yönetişim sistemine değer katar.
Yukarıda belirttiğimiz tüm bu noktalar, 3’lü Savunma Hattı Sistemi’nin COSO İç Kontrol Sistemi içerisinde uygulanmasıyla sağladığı kaldıraç etkisiyle, işletme üst yönetiminin kontrol fonksiyonunu yerine getirmede en temel enstrümanlarından birisi olarak yer almasını gerektiğini açık ve net olarak gösterir. Bu nedenle, birçok uluslararası mesleki ve düzenleyici kuruluşlar COSO İç Kontrol Sistemi uygulamasında 3’lü Savunma Hattından yararlanılmasını yüksek etkililik için bir gösterge (benchmark) olarak kabul etmektedirler. Sistemin uygulanmasında yüksek etkililiğin ve verimliliğin devam etmesi için değişen içsel ve dışsal koşullara göre güncellemeler yapılması ve periyodik olarak performansının değerlendirilmesi gerekir.
VI. SONUÇ
Yönetimin kontrol fonksiyonu araçları, işletmenin yeni müşterilere ulaşılması ve iş geliştirilmesi yönündeki faaliyetlerine doğrudan etki yapmaz.
Diğer yandan bu araçlar arasında yer alan COSO bazlı iç kontrol sistemi ile 3’lü Savunma Hattı modelinin bir işletmede entegre uygulaması risklerin gölgesindeki stratejik hedeflerin gerçekleştirilmesine katkı bakımından;
ideal kontrol ortamını sunar,
kontrol süreçlerini etkili hale getirir,
kurum içi etkileşim sağlayan bilgi atmosferini yaratır,
hizmet birimleri aktiviteleri arasında senkronizasyon sağlar,
eş anlı kontrollerle anında reaksiyon imkanı sunar,
muhtemel iç ve dış riskler konusunda öngörüler sağlar,
hatalı, eksik, kasıtlı işlemleri yakalar, engeller, telafi eder.
Bu çerçeveden baktığımızda ise, iç kontrol mekanizmaları işletmenin tüm faaliyetlerinin kapsandığı operasyonel sistemin etkinliğine ve güvenilirliğine doğrudan etkide bulunan bir fonksiyondur.
Bir işletmede risklerin yönetiminde daha etkili çalışan yönetimin kontrol fonksiyonu araçları, işletmenin düzenleyici kuruluşlar nezdinde mevzuatlarla uyum kriterleri bakımından itibar kazanmasını sağlar, şirket üst yönetimine ‘görüş mesafesi’ kazandırarak asli hedeflerine odaklanmasına yardımcı olur ve ayrıca ekonomiklik prensibine dayanan organizasyon yapısıyla operasyonel sisteminin rakiplerine karşı maliyet avantajı kazandırmasını sağlar. Kısacası, işletmeyi risklerin darbelerinden azami düzeyde korur ve karlılığa dolaylı etkide bulunur.
Sonuç olarak diyebiliriz ki, işletme üst icra ve karar organları işletmenin yönetişim,
iç kontrol ve risk yönetim sistemlerinde yüksek güvenilirlik, verimlilik, etkililik ve ekonomiklik düzeylerini yakalayarak hedeflerini gerçekleştirmeye yoğunlaşmak arzusundaysalar, COSO İç Kontrol Sistemi ile birlikte 3’lü Savunma Hattının uygulanması bir işletme açısından temel bir göstergedir. Bu sayede, işletmenin yönetişim sistemi içerisinde daha mutlu çalışanlar, daha mutlu paydaşlar yer alır, maliyetler minimize verimlilik ise maksimize edilir. Yöneticiler de yüksek tatmin düzeyini yakalar.
KAYNAKÇA
COSO (Committee of Sponsoring Organizations of the Treadway Commission), Internal Control — Integrated Framework, Executive Summary- May 2013
COSO (Committee of Sponsoring Organizations of the Treadway Commission), Leveraging COSO Across The Three Lines Of Defense, Research Commissioned by COSO, July 2015
ECIIA and FERMA, Guidance for Boards and Audit Committees on the Implementation of Art 41. 2 of the 8th Directive
EY, Maximizing Value From Your Lines Of Defense- December 2013
Hasanefendioğlu, Bülent (2015) İş Suistimali Rehberi. İstanbul : Dinamo
Hasanefendioğlu, Bülent (2015) 50 Soruda Risk Bazlı İç Denetim Rehberi. İstanbul : Dinamo
IIA Position Paper, The Three Lines of Defense in Efective Risk Management and Control, The Institute of Internal Auditors Inc. -January 2013
ISMMMO Mali Çözüm Dergisi, Hasanefendioğlu, Bülent-Uzel, Murat N. İş Suı̇stı̇mal Riskinin Proaktı̇f Yönetimi ve İşletmelerde Rekabet Avantajına Katkısı- 2015
Pike, Richard (2009) Strengthening the Three Lines of Defense, CCH Sword
White Paper
TDK, Güncel Türkçe Sözlük-(http://www.tdk.gov.tr)
TİDE – IIA Zorunlu Rehber/IIA Mesleki Standartlar ve Sözlüğü
Hiç yorum yok:
Yorum Gönder