By fatihozdemiroglu Posted on

Üçlü Hat Modeli veya Üçlü Savunma Hattı Nedir? İç Denetimin Üçlü Savunma Hattındaki Rolü nedir?

Üçlü Hat Modeli Nedir?

Üçlü savunma hattı veya üçlü hat modeli, riskin üç cephesinde sorumlulukların net olarak tanımlanmasını öngörür: riskin sahipliği, riskin takibi ve riskin güvencesi. Riski sahiplenen ve yöneten fonksiyonlar birinci hattı oluşturur. Riskleri izleyen çeşitli risk, kontrol ve uygunluk fonksiyonları ikinci hattı oluşturur.Üçüncü savunma hattı olan iç denetimin rolü ise; yönetim kurulu, varsa denetim komitesi gibi paydaşlara risklerin kabul edilebilir seviyede olduğuna dair güvence vermektedir.

  • Model, birinci, ikinci ve üçüncü savunma hatlarının, ayrı ayrı ve birbirleri ile olan etkileşimlerini açıklamaktadır.

  • 3’ lü Savunma Hattı Modelinin en büyük amacı, kurumsal amaç ve hedeflere ulaşmada, risklerin etkin yönetimine yönelik olarak Yönetim Kurulu ve Üst Yönetime güvence sağlayan tüm süreç ve faaliyetler arasında eş güdüm sağlamak, aralarındaki farkları ve benzerlikleri açıklamak, rol ve sorumlulukları ortaya koymaktır  

  • Model sayesinde, farklı kurum içi güvence mekanizmalarının eş güdümü sağlanmış, rol ve sorumlulukları tanımlanmış, birbirleri ile sinerji sağlayacak şekilde işlev göstermeleri hedeflenmiştir.

    • 1. Hat: Etkili iç kontrolleri tesis edip işleterek, işletmenin karşı karşıya kaldığı riskleri değerlendirmek, kontrol etmek ve sınırlandırmak faaliyetin sahibi olan yöneticilerin sorumluluğundadır. Bunlar departman müdürleri, risklerin sahibi ve yöneticisidirler. Dolayısıyla, süreçlerdeki kontrol zafiyetlerini giderecek düzeltici aksiyonları almaktan da sorumludurlar.

    2. Hat: Kontrol, risk yönetimi, uyum vb. fonksiyonlar işletme yönetiminin etkili risk yönetimi uygulamalarını hayata geçirmelerini kolaylaştırır ve izler. Bu fonksiyonlar aynı zamanda, riski sahiplenenlerin, risklerle bağlantılı bilgileri kurum içinde yukarı ve aşağı iletmelerine yardımcı olur. Yönetim, kontrol, risk yönetimi ve uyum gibi fonksiyonlar kurarak birinci savunma hattının etkinliğine dair gözetim yapar.

    3. Hat: İç Denetim fonksiyonu, risk bazlı bir yaklaşımla, yönetişim, risk yönetimi ve iç kontrolün etkililiği konusunda, 1. ve 2. savunma hatlarının faaliyetleri hakkındaki bilgileri de içerecek şekilde, yönetim kurulu ve üst yönetime güvence verir. İç Denetimin bu güvence sorumluluğu, kurumun risk yönetimi çerçevesinin tüm unsurlarını (örneğin; risklerin sınıflandırılması, değerlendirilmesi, kurum çapında paylaşılan risklerle ilgili bilgilere ilişkin ilgililerin tepki ve yaklaşımları gibi) kapsar.Dış denetim ve diğer dış düzenleyici kurumlar kurumun organizasyonel yapısının dışında olmasına rağmen kurumun genel yönetişim ve kontrol yapısı açısından sorumlulukları vardır. Bu özellikle bankacılık gibi düzenlemelerin yoğun olduğu sektörler için söz konusudur. Dış denetim ve/veya düzenleyici otoriteler, kurumun hissedarları, yönetim kurulu ve üst düzey yönetimine güvence sağlayan ilave bir savunma hattı olarak değerlendirilebilir. Ancak, görevlerinin kapsamı ve hedefi göz önünde bulundurulduğunda, bu kurumların sağlayacağı risk bağlantılı bilgilerin kapsamı kurum bünyesindeki 3 iç savunma hattının sağlayacağı bilgilere göre dar kapsamlı olacaktır. İç denetim, birinci ve ikinci savunma hatlarının etkinliğini gözeterek, risk yönetimi ve kontrol süreçlerinin etkinliğine dair bağımsız bir taraf olarak güvence verir.

    Three-Lines-Model-Updated-Turkish.pdf erişimi için tıklayın

    IAA’nin üçlü hattı modeli için yaptığı son güncellemeye buradan da ulaşabilirsiniz.

    İç Denetimin İkinci Savunma Hattı Olması Durumu

    Üçlü Savunma Hattı modeli izlenirken, sorumluluklar, kurumun çeşitli birimleri arasında genellikle aşağıdaki gibi sınıflandırılır ve iç denetimin görevleri çoğu firmada ikinci savunma hattını da kapsayabilmektedir.

    • Birinci savunma hattı: riskleri alan ve yöneten operasyonel yönetim birimleri.
    • İkinci savunma hattı: riskleri izleyen risk yönetimi ve uygunluk birimleri.
    • Üçüncü savunma hattı: bağımsız güvence sağlayan bir iç denetim birimi.

    İç denetimin aynı zamanda risk yönetimi ve uyum gibi ikinci savunma hattı işlevlerinden de sorumlu olduğu durumda,bağımsızlık ve/veya objektifliği koruma altına almak ve bu korumanın etkili şekilde işlemekte olduğunu rutin olarak teyit etmek esastır.İç denetim ikinci savunma hattı işlevlerini üstlendiğinde, yönetim ve yönetim kurulu riskleri ve ihtiyaç duyulan uygun kontrolleri net olarak anlamalıdır.

    Şirketlerin kendi içlerindeki risk ve kontrol sorumlulukları tek bir kişi veya departmana yüklenmesi halinde bu işlevleri daha ileri ki bir zamanda birbirinden ayırması gerekmektedir. İç denetimin ikinci savunma hattı işlevlerinden sorumlu olabileceği durumlarda bağımsızlık ve objektiflikten taviz verilmemesi gerekmektedir. İç denetim ikinci savunma hattı işlevlerini üstlendiğinde, yönetim ve yönetim kurulu riskleri ve ihtiyaç duyulan uygun kontrolleri net olarak anlaması önemlidir.

    İç Denetim Meslekî Uygulama Standartları(Standartlar)’da yer alan aşağıdaki standartlar, iç denetimin ikinci savunma hattı işlevlerini üstlenmesine ilişkindir. Buna ilaveten ilgili diğer IIA rehberlik dokümanları Kaynaklar’da belirtilmektedir.

    1100 –Bağımsızlık ve Objektiflik İç denetim faaliyeti bağımsız olmak zorundadır ve iç denetçiler görevlerini yaparken objektif davranmak zorundadır.

    1110 –Kurum İçi Bağımsızlık İç Denetim Yöneticisi, kurum içinde, iç denetim faaliyetinin sorumluluklarını yerine getirmesine imkân sağlayan bir yönetim kademesine bağlı olmak zorundadır. İç Denetim Yöneticisi, en az yılda bir, yönetim kuruluna iç denetim faaliyetinin kurum içi bağımsızlığını teyit etmek zorundadır.

    1120 –Bireysel Objektiflik İç denetçiler, tarafsız ve ön yargısız bir şekilde davranmak ve her türlü çıkar çatışmasından kaçınmak zorundadır.

    1130 –Bağımsızlık veya Objektifliğin Bozulması Denetçilerin bağımsızlığı veya objektifliği fiilen bozulduğu veya bozulmuş izlenimi verdiği takdirde, bozulmanın ayrıntıları ilgili taraflara açıklanmak zorundadır. Bu açıklamanın kapsamı, bozucu etkenin niteliğine bağlıdır.

    1130.A1 –İç denetçiler, daha önceden kendilerinin sorumlu olduğu faaliyetlere ilişkin değerlendirme yapmaktan kaçınmak zorundadır. Bir iç denetçinin son bir yıl içinde kendisinin sorumlu olduğu bir faaliyet hakkında güvence hizmeti vermesinin, objektifliğini bozacağı varsayılır. 1130.A2 –İç Denetim Yöneticisinin sorumluluğundaki işlevlere yönelik güvence görevleri, iç denetim faaliyeti dışından biri tarafından gözetlenmek ve kontrol edilmek zorundadır. 1130.C1 –İç denetçiler, daha önce sorumlusu oldukları faaliyetlere ilişkin danışmanlık hizmeti verebilir. 1130.C2 –İç denetçiler, önerilen danışmanlık hizmetleriyle ilgili bağımsızlıklarına ve objektifliklerine zarar verecek hususlar söz konusu ise, görevi kabul etmeden önce denetlenene özel durum açıklaması yapmak zorundadır.

    1322 –Aykırılıkların Açıklanması İç Denetimin Tanımına, Etik Kurallarına ya da Standartlar’a aykırılık, iç denetimin genel kapsamınıveyaiç denetim faaliyetinin kendisinietkilediği zaman, İç Denetim Yöneticisi, aykırılığı ve etkilerini üst yönetime ve yönetim kuruluna açıklamak zorundadır.

    2050 –Eşgüdüm (Koordinasyon) İç Denetim Yöneticisi; aynı çalışmaların gereksizyere tekrarlanmasını asgarîye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, güvence ve danışmanlık hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetleri bunlarla eşgüdüm içinde sürdürmelidir.

    2100 –İşin Niteliği İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, yönetişim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak zorundadır.

    2500 –İlerlemenin Gözlenmesi İç Denetim Yöneticisi, yönetime rapor edilen sonuçların akıbetinin gözlenmesi için bir sistem kurmak ve uygulamak zorundadır.

    2500.A1 –İç Denetim Yöneticisi, yönetimin aldığı tedbirlerin etkili bir şekilde uyguladığından veya üst yönetimin, gerekli tedbiri almamasının riskini üstlenmeyi kabul ettiğinden emin olmak ve gelişmeleri gözlemek amacına yönelik bir takip süreci kurmak zorundadır.

    2500.C1 –İç denetim faaliyeti, müşterileriyle mutabık kalındığı ölçüde, danışmanlık görevlerinin sonuçlarının akıbetini gözlemek zorundadır.

    2600 –Risklerin Kabul Edildiğinin İletilmesi, İç Denetim Yöneticisi, üst yönetimin kurum için kabul edilemeyebilecek bir risk düzeyini üstlenmeyi kabul ettiği sonucuna vardığında, konuyu üst yönetimle tartışmak zorundadır. İç Denetim Yöneticisi konunun çözümlenmediğine hükmederse, konuyu denetim komitesi ve yönetim kuruluna iletmek zorundadır.

    Yorum bırakın