Ritmi Yakala ve Şirketini Savun: Üç Savunma Hattı Modeli

• Burak Özagazar, SMMM, CMA         
• Müdür
• E-posta Gönder

“Üç Savunma Hattı Modeli” risk yönetimi sorumluluklarının sistematik bir yaklaşımla koordine edilebilmesi için basit ve etkili bir yol sunuyor.

Her yıl çok sayıda kurum yeni skandallar, suistimaller, uyum ve yönetim sorunları ile karşı karşıya kalıyor. Kurumsal yönetim zafiyetleri sonucunda bu büyük yapıların çöküşü ve bu çöküşlerin olumsuz etkileri, sistematik risk yönetimi ve kontrol yaklaşımının kritik önemini bizlere bir kez daha gösteriyor.

“Üç Savunma Hattı Modeli” 20 yılı aşkın süredir geniş bir sektör yelpazesi tarafından, etkin kurumsal yönetim, risk yönetimi ve kontrol alanlarında küresel bazda kabul görüyor ve güvenilir bir araç olarak popülaritesini her geçen gün arttırmaya devam ediyor. 

Üç Savunma Hattı Modeli’nin dünya çapında kabul görmesinin ana sebebi, kurumlara, ölçek ve karmaşıklık seviyeleri ne olursa olsun, farklı risk ve kontrol grupları arasında çeşitli görev ve sorumlulukların nasıl atanacağı, ayrılacağı, birleştirileceği ve koordine edileceği konularında sistematik bir yaklaşım sağlamasıdır. Bu modelde, farklı risk kontrol fonksiyonlarında görevli profesyonellerin her biri, genel risk-kontrol yapısı üzerindeki etki ve katkılarını somut bir şekilde izleyebilmektedir.

Üç Savunma Hattı Modeli nedir?

Üç Savunma Hattı Modeli, temel olarak üç güçlü katmanı tanımlamakta, kurumların risk yönetimi görevlerini sistematik bir şekilde koordine etmesini ve yönetmesini sağlayacak üç savunma hattını temsil etmektedir.

Model’de, ilk savunma hattı, kurumun kuruluş amacı ve hedefleri doğrultusunda risklerinin yönetilmesinden sorumlu operasyon yönetimini ifade eder. İkinci savunma hattı ise, risk, kalite, finansal kontrol, mevzuat ve uygunluk fonksiyonlarının, belirlenmiş olan kurumsal politikalar, prosedürler, araçlar ve tekniklerle ile uyumlu olarak etkin bir şekilde yönetilebilmesi için ilk savunma hattına destek olmaktan sorumludur. Burada ikinci savunma hattının, yapısal ve raporlama esasları açısından birinci savunma hattı ile birbirine bağlı olduğunu ve bu sebeple, üçüncü savunma hattı olan iç denetim gibi bağımsız bir yapı gibi düşünülmediğini belirtmemiz gerekiyor. 

Bağımsız iç denetim, kurum içinde en fazla bağımsız ve nesnel hareket etme imkanına sahip fonksiyondur. Bağımsız iç denetim, birinci ile ikinci savunma hattının belirlenmiş normlar ve standartlar çerçevesinde yönetildiği hususunda yönetim organı ve üst yönetime makul güvence sağlamaktan sorumludur.  

Dış denetçiler ve düzenleyici otoriteler gibi kurum dışı taraflar, Üç Savunma Hattı Modeli’nin dışında sınıflandırılırlar ancak kurumun menfaat sahiplerine bağımsız ek bir güvence sağlarlar. 

Savunma Hatları Arasındaki İş birliği ve Entegrasyon

Üst düzey yönetim ile yönetişim organları (yönetim kurulu, denetim komitesi), Üç Savunma Hattı’nın içinde olmamakla birlikte, kurumun belirlemiş olduğu hedeflere ulaşmak için kurumsal yönetişim yapılarının ve süreçlerinin en etkin şekilde kurgulanmasına ve yönetilmesine imkân sağlayacak ortamın kurumda oluşturulmasında belirleyici bir role sahiptir. 

Yönetişim organları ve üst yönetim, her bir savunma hattına ilişkin beklentileri belirleyerek, doğru zamanda ve anlaşılır bir biçimde ilgili fonksiyonlara aktarmalıdır. Bu yaklaşım hem risk yönetimindeki eksikliklere ve sorumluluk çakışmalarına meydan vermez hem de iş birliği ve koordinasyonu güçlendirerek kurumun, amaç ve hedeflerine ulaşmasına katkı sağlar. 

Hızla değişen bir iş ortamında, etkin şekilde tasarlanmış anahtar performans göstergelerinin oluşturulması ve savunma hatları arasında sürekli devam eden yapıcı geri bildirimlerle desteklenmesi, risk ve kontrol yönetiminin sürekli gelişiminde kritik öneme sahiptir.

Üç Savunma Hattı Modeli’nin Uygulanmasında Kurum Ölçeği Önemli mi?

Genellikle, küçük ve orta ölçekli kuruluşlar, Üç Savunma Hattı Modeli’nin sadece büyük kurumlar için uygulanabilir olduğu düşünmektedir. Ancak bu algı oldukça yanlıştır. Model, farklı sektör, boyut, işletme yapısı ve risk yönetimi yaklaşımlarına uyarlanabilecek şekilde esnek olarak tasarlanmıştır. Nispeten küçük ve karmaşık olmayan organizasyonlarda, yönetişim organları tüm operasyonların doğrudan içinde olabilmesi sebebiyle, güvence fonksiyonlarına büyük ve kompleks yapılara oranla daha az ihtiyaç duyabilir. Böyle bir durumda yönetişim organı, ikinci ve üçüncü savunma hattını birleştirmeye karar verebilir veya üçüncü savunma hattını, yani iç denetim fonksiyonunu, güvence dışı faaliyetlerde kullanmak üzere yönlendirebilir. 

Savunma hatlarının birleştirilmesi veya ayrı tutularak yönetilmesi kararını verirken, her bir kombinasyonun artı ve eksileri, kurumun yönetişim, risk yönetimi ve kontrol yapısının etkinliğine göre değerlendirilmelidir.

Üç Savunma Hattı Modeli’nin kurumunuza uyarlanması aşamasındaki en kritik nokta, farklı şirketlerin ihtiyaçlarına göre modelde yapılan değişiklerin sayısı veya savunma hatlarının kombinasyonları değil, bağımsız ve objektif güvenceden ödün vermeden, risk ve kontrol yönetiminin en etkin düzeyde yürütülmesinin sağlanmasıdır.

Kurumun amaç ve hedeflerine ulaşmasındaki başarısı ve gücü, çeşitli görev ve sorumlulukların farklı risk ve kontrol fonksiyonları arasında etkin şekilde koordine edilmesi ve bütünleştirilmesiyle mümkündür. Risk yönetim sorumluluklarının başarılı koordinasyonu, sorumluluk hatları arasındaki ritmin yakalanmasıdır. 

Doğru ritmi yakalayarak kurumunuzun yanlış yönetişim yaklaşımlarından dolayı mağdur olmasına izin vermeyin!