İç Denetim Fonksiyonuyla Uyumlu Güvenlik Stratejileri

Giriş

Denetim yöneticileri kuruluşlar (organizasyonlar) genelinde güvenlik çalışmalarını koordine etmekte zorlanırlar. Çoğu zaman, bu kuruluşlar arasında birden fazla güvenlik fonksiyonu mevcut olduğunda, bunların denetimleri parçalı ve hatta çelişkili görünebilir.

Artan organizasyonel karmaşıklığa ve hızla değişen risk ortamına yanıt olarak, güvenlikte hızlı bir büyüme olmuş, farklı güvenlik fonksiyonlarının sayısı (örneğin risk, gizlilik, bilgi güvenliği ve kalite) çoğu kuruluşta neredeyse iki katına çıkmıştır. Her fonksiyon, güvenlik sağlamada sıklıkla farklı gerekçeler ve dil kullanır, ancak yine de sıklıkla aynı yöneticilerle röportaj yapar ve aynı icra komitelerine ve yönetim kuruluna rapor verirler.

Birden fazla, koordine olmayan güvenlik ekibine sahip olmak, yönetim kurulu ve üst düzey yönetim için gerçeğe ilişkin birden fazla görüşe, güvenlik kapsamındaki mükerrerliklere ve boşluklara ve güvenlik yorgunluğuna yol açabilir. Koordinesiz bir yaklaşım aynı zamanda uyumsuzluk riskini de artırır ve liderliğin gereksiz yere riskten kaçınmasına neden olabilir ve karar almayı geciktirebilir. Sonuç olarak, birçok kuruluş uyumlu güvenlik girişimlerini uygulamaya koymanın yollarını aramaktadır.

Ancak bunu yaparken sıklıkla sahiplenme ve koordinasyon zorlukları ve bu girişimlerin başarılı olması için gerekli temeli oluşturma konusunda zorluk yaşarlar. İç denetim yöneticileri (chief audit executives) de bu zorlukların baskısını hissederler. Gartner firmasının bir araştırmasına göre iç denetim yöneticilerinin yalnızca %37’si diğer güvenlik fonksiyonlarının çalışmalarında düzeltmeleri ve tekrarları azaltma becerilerine güvenmekte ve yalnızca %46’sı denetim komitesine verdikleri raporları diğer güvenlik fonksiyonlarıyla daha iyi uyumlu hale getirebilme becerilerine güvenmektedir.

Tamamen uyumlu güvenceye ulaşmanın ölçeği ve zorluğu göz önüne alındığında, iç denetim yöneticileri çoğu zaman nereden başlayacaklarını bilmede zorluk yaşar. Ayrıca, kapsamlı ve uyumlu bir güvenlik programı oluşturmaya çalışmak, acil öncelikler nedeniyle kolayca gölgede bırakılabilecek uzun bir süreç olabilir. İlerleme kaydetmek için iç denetim yöneticileri, yukarıdan aşağıya uyum sağlamaya çalışmak yerine, belirli alanlarda veya projelerde uyumlu güvenliğe yönelik hedeflenen fırsatları belirlemeli ve oradan yola çıkmalıdır.

1. Fonksiyonlar arası görünürlüğü geliştirmek için güvenlik haritalaması yapılması

Güvenlik fonksiyonlarının çalışmalarını koordine edebileceği fırsatların belirlenmesi, iç denetim yöneticilerinin her bir güvence sağlayıcı tarafından hangi faaliyetlerin ne zaman gerçekleştirildiğini anlaması ile başlar. Önde gelen kuruluşlar, bu fırsatları belirlemek ve risk ortamına ilişkin kapsamlı bir görünüm elde etmek amacıyla, planlarını paylaşmak ve temel riskler ve güvenlik faaliyetleri için potansiyel güvenlik ortaklarını belirlemek üzere güvence haritalarından yararlanır.

Tüm güvenlik fonksiyonları için ortak bir harita kullanarak devam eden ve planlanan güvenlik faaliyetlerine ilişkin bilgilerin paylaşılması, yönetim üzerindeki prosedür yükünün azaltılmasına ve güvenlik yorgunluğunun önlenmesine yardımcı olacaktır. Bu paylaşılan bilgi, denetimin risk değerlendirme modellerini ayarlamasına ve organizasyonel ve iş önceliklerindeki değişikliklere bağlı olarak her risk için gereken kapsam derinliğini ve güvenlik düzeyini belirlemesine olanak tanır.

Güvenlik haritaları aynı zamanda tüm güvenlik faaliyetleri ve farklı işlevsel ve risk alanlarındaki güvenliğin olgunluk düzeyleri muhasebeleştirildikten sonra kalan risk alanlarının belirlenmesine de yardımcı olur. Bu bilgilerin mevcut olması, gelecekteki faaliyetler için haritanın güncellenmesi sürecini kolaylaştırmaya ve gereken kapsama derinliğini belirlemeye yardımcı olur. Güvenlik haritalamanın yararlı olması için kuruluşa yönelik tüm riskleri kapsaması gerekmez ki; bu nedenle, mükemmel bir harita elde etmenin zorluğuyla ertelemek yerine, bu haritaya bir başlangıç yapmak en iyisidir.

2. Ortak bir risk dili, risk derecelendirme ölçekleri ve ölçümleri oluşturularak iletişimin kolaylaştırılması

Risk yönetimi süreçlerini etkili bir şekilde bütünleştirmek ve tutarlı bir risk görüşüne ulaşmak için, güvenlik fonksiyonlarının ortak bir risk dili ve risk derecelendirme ölçekleri geliştirmesi gerekir. Kendi benzersiz risk dilini, risk derecelendirme ölçeklerini ve metodolojilerini kullanan güvenlik fonksiyonları, temel riskler, risk toleransı, azaltma performansı ve gerekli eylemler konusunda kafa karışıklığı yaratır. Bu, güvenlik bulgularını ve karar almayı karmaşıklaştırabilir.

Ne yazık ki Gartner, denetim komitesi üyelerinin yarısından azının (%46) risklerini rapor ettiğini ve güvenlik fonksiyonlarının riskleri sunarken aynı ölçekleri kullandığını tespit etmiştir. Ortak bir risk dili oluşturmak, anlamlı koordinasyonu kolaylaştırmanın anahtarıdır.

3. Risk değerlendirmesi ve denetim planlaması konusunda işbirliği yapılması

Standart risk değerlendirmeleri, kurumsal riskleri değerlendirmek ve plan kapsamına ilişkin öncelikleri belirlemek için denetim veya başka bir güvenlik fonksiyonunun faaliyetler (anketler, görüşmeler ve çalıştaylar gibi) yürütmesini içerir. Tek başına yürütüldüğünde, risk değerlendirmelerinin boşluklar ve yanlışlıklar içermesi ve/veya kalan risk düzeyinin belirlenmesinde diğer güvenlik fonksiyonlarının çalışmalarını hesaba katmada başarısız olması daha olasıdır.

Risk değerlendirmelerini koordine etmek iç denetim yöneticileri için bir öncelik olmaya devam etmekte ve ortak risk değerlendirmeleri, tüm güvenlik fonksiyonlarının riskleri azaltma çalışmalarının etkisine ilişkin bütünsel bir bakış açısına dayalı olarak kapsamı önceliklendirmelerine olanak tanımaktadır.

4. Görevin kapsamının belirlenmesi konusunda diğer güvenlik fonksiyonlarından girdi talep edilmesi

Uyumlu güvenlik çalışmalarından elde edilen önemli bir verimlilik kazanımı, denetim görevlerinin kapsamını, diğer güvenlik fonksiyonları marifetiyle sağlanan risk kapsamı ve hafifletme düzeyini hesaba katacak şekilde uyarlama yeteneğidir. Bunu yaparak denetim, görevlerinin kapsamını daha iyi “doğru boyutlandırabilir” ve kuruluşun ihtiyaçlarını karşılayacak temel riskleri hedefleyebilir. Görev kapsamının diğer güvenlik fonksiyonlarıyla koordine edilmesi aynı zamanda denetimin, denetim görev sürecinde risklerde meydana gelen değişikliklere karşı sözleşmelerin yeterince erken güncellenmesini sağlamasına da olanak tanır. Denetim, tek başına hareket ettikleri takdirde mevcut olmayacak belirli risk bilgilerini dâhil ederek denetim görevlerinin kapsamını belirlerken diğer güvenlik fonksiyonlarıyla işbirliği yapabilir.

5. Ortak denetimler gerçekleştirilerek güvence kapsamının derinleştirilmesi

Ortak denetim, birden fazla güvenlik ekibinin, ortak saha ziyaretleri ve görüşmeleri planlarken ve yürütürken kaynakları bir araya getirmesine olanak tanır. Ortak denetimler, birden fazla güvenlik fonksiyonunun benzer riskleri veya kontrolleri inceleyip raporlaması durumunda ortaya çıkabilecek iş tekrarı olasılığını azaltır ve potansiyel güvenlik boşluklarının görünürlüğünü artırır.

Ortak denetim senaryolarında, iç denetim yöneticileri tüm güvenlik fonksiyonları genelindeki sorumlulukları etkili bir şekilde koordine edebilir ve bu da birden fazla güvenlik fonksiyonunun iş ortaklarıyla ayrı ayrı görüştüğü durumlarda ortaya çıkan güvenlik yorgunluğu olasılığını azaltır. Ortak denetimler aynı zamanda diğer güvenlik fonksiyonlarının uzmanlık bilgisine erişim sağlayarak güvenliğin derinliğini artırır.

6. Ortak raporlar sunularak kuruluş genelinde riske ilişkin bütünsel bir bakış açısı sağlanması

Ortak denetimlerde olduğu gibi, ortak raporlama yoluyla güvenlik fonksiyonları arasındaki işbirliği, birden fazla güvenlik fonksiyonunun denetim komitesine ve yönetim kuruluna aynı riskler hakkında farklı görüşler sunmasını engellemeye yardımcı olur. Güvenlik fonksiyonları genellikle birbirinden bağımsız çalışır ve risk ve kontrol ortamının durumu hakkında yönetim kuruluna ayrı ayrı rapor verir. Bu, yönetim kuruluna hem eksik hem de farklı formatlarda bilgi sunarak yönetim kurulunun etkili kararlar alma yeteneğini sınırlayabilir.

Aslında, denetim komitesi üyelerinin %20’si birden fazla güvenlik fonksiyonundan farklı bilgiler almanın kafa karıştırıcı olduğu konusunda hemfikir ve yaklaşık yarısı kurum genelinde riske ilişkin daha tematik görüşler görmek ister. Güvenlik sağlayıcıları, koordineli risk raporlaması ile yönetim kuruluna tüm risklerin bütünleşik ve kapsamlı bir görünümünü sunarak daha iyi karar alınmasını sağlar.

Sonuç

İç denetim yöneticilerinin yukarıda zikredilen bu altı faaliyete sırayla yaklaşması gerekmez; bunun yerine bunları bir seçenek menüsü olarak görmeli ve kuruluşlarının yeteneklerine ve bağlamına en uygun olanları seçmelidir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.