Effektiv daxili nəzarət sistemi biznesin immun sistemi kimidir. O, şirkətin aktivlərini qoruyur, maliyyə hesabatlarının düzgünlüyünü təmin edir, əməliyyatların səmərəliliyini artırır və təşkilatı qanunvericiliyə uyğun fəaliyyət göstərməyə yönəldir.
Bəs bu sistemin həqiqətən işlək və effektiv olub-olmadığını necə müəyyən etmək olar?
Bu bloq yazısında şirkətin daxili nəzarət sisteminin qiymətləndirilməsinin əsas prinsiplərini, mərhələlərini və praktik tətbiqini birgə araşdıracağıq.
Daxili nəzarətin qiymətləndirilməsi beynəlxalq standartlara, xüsusilə də COSO (Committee of Sponsoring Organizations of the Treadway Commission) çərçivəsinə əsaslanır. COSO mürəkkəb və çoxşaxəli “daxili nəzarət” anlayışını beş əsas, idarəolunan komponentə bölür.
Bu komponentləri yadda saxlamağın ən asan yolu isə bir qədər istehzalı səslənən C.R.I.M.E. abreviaturasından istifadə etməkdir:
1. C — Control Environment: Nəzarət Mühiti
Bu komponent korporativ idarəetmədə daha çox “Tone at the Top” anlayışı ilə tanınır. Yəni təşkilatın etik havasını, davranış standartlarını və qərarvermə mədəniyyətini məhz yuxarı rəhbərlik formalaşdırır.
- Əsas sual: Yuxarı rəhbərlik (Müşahidə Şurası, Direktorlar Şurası və s.) və İdarə Heyəti dürüstlük və etik prinsiplərə sadiqdirmi? Peşəkar və səriştəli kadrların seçilməsinə şərait yaradılırmı? İşçilər üçün aydın hesabatlılıq və məsuliyyət mexanizmləri mövcuddurmu?
- Niyə vacibdir? Nəzarət mühiti bütün daxili nəzarət sisteminin “vicdanıdır”. Əgər rəhbərlik hədəflərə çatmaq naminə müəyyən edilmiş qaydaları görməzdən gəlirsə, ən mükəmməl yazılı siyasət belə işçilərin hərəkətlərinin qarşısını ala bilməz. Əgər “yuxarıda” dürüstlük və hesabatlılıq yoxdursa, heç bir kağız üzərindəki qayda işləməyəcək. Mədəniyyət qaydalardan daha güclüdür.
2. R — Risk Assessment: Risklərin Qiymətləndirməsi
Hər bir biznes kiberhücumlardan tutmuş təchizat zəncirindəki qırılmalara qədər müxtəlif risklərlə üz-üzədir. Bu risklərin reallaşması şirkətin fəaliyyətinin davamlılığını sual altında qoya bilər.
- Əsas sual: Şirkətin bu riskləri vaxtında müəyyən etmək, qiymətləndirmək və idarə etmək üçün sistemli bir mexanizmi varmı?
- Niyə vacibdir? Müəyyən etmədiyiniz və qiymətləndirmədiyiniz riski effektiv şəkildə idarə etmək mümkün deyil. Risklərin idarə edilməsi üzrə strukturlaşdırılmış bir sistemin olmaması şirkəti proaktiv (qabaqlayıcı) mövqedən çıxarıb reaktiv (hadisədən sonra reaksiya verən) vəziyyətə salır. Bu yanaşma isə adətən xərclərin artmasına, qərarların gecikməsinə və bəzi hallarda “iş-işdən keçdikdən sonra” müdaxilə etməyə məcbur qalmağa gətirib çıxarır. Halbuki düzgün qurulmuş risklərin idarə edilməsi sistemi problemləri baş verməmişdən əvvəl görməyə və vaxtında tədbir görməyə imkan verir.
3. I — Information & Communication: İnformasiya və Kommunikasiya
Nəzarət mexanizmləri yalnız o halda effektiv olur ki, əməkdaşlar öz öhdəliklərini bilsinlər və rəhbərlik isə real vəziyyəti əks etdirən dəqiq hesabatlar əldə edə bilsin
- Əsas sual: Düzgün məlumat, düzgün insanlara, qərarların qəbulu və problemlərin vaxtında aşkarlanması üçün zəruri olan vaxtda çatırmı?
- Niyə vacibdir? İnformasiya biznesin “sinir sistemi” hesab olunur. Əgər məlumat axını ləngiyirsə, qeyri-dəqiqdirsə və ya ayrı-ayrı şöbələrdə qalırsa, rəhbərlik faktlara deyil, fərziyyələrə əsaslanan qərarlar qəbul edir. Effektiv hesabat mexanizmi olmayan yerdə nəzarət mexanizmləri sadəcə kağız üzərində qalır.
4. M — Monitoring Activities: Monitorinq Fəaliyyətləri
Heç bir sistem əbədi olaraq mükəmməl qalmır. Zaman keçdikcə daxili qaydalar unudula, texnoloji yeniliklər isə mövcud nəzarət mexanizmlərində yeni boşluqlar yarada bilər.
- Əsas sual: Tətbiq olunan nəzarət mexanizmlərinin aylar və ya illər sonra da effektiv işlədiyini yoxlamaq üçün davamlı qiymətləndirmələr aparılırmı?
- Niyə vacibdir? Monitorinq daxili nəzarət sisteminin hələ də aktiv və funksional olub-olmadığını təmin edən əsas mexanizmdir. Sistemlər də zamanla köhnəlir, zəifləyir və bir növ “yorulur”. Davamlı yoxlamalar və müstəqil qiymətləndirmələr olmadıqda, nəzarət mexanizmləri tədricən formal xarakter almağa başlayır və artıq şirkəti real risklərdən qorumaq gücünü itirir.
5. E — Existing Control Activities: Mövcud Nəzarət Tədbirləri
Bu komponent, şirkətin daxili qaydalarında və təlimatlarında əks olunmuş faktiki icra mexanizmlərini əhatə edir.
- Əsas sual: Şirkətdə lazımi təsdiqlər, səlahiyyət bölgüsü və fiziki/rəqəmsal təhlükəsizlik tədbirləri vaxtında tətbiq olunurmu?
- Niyə vacibdir? Mövcud nəzarət tədbirləri şirkətin müdafiə xətti rolunu oynayır. Təlimatlar, təsdiq prosedurları və səlahiyyət bölgüsü saxtakarlığa qarşı real sədd yaradır.
Test mərhələsi
1. Kontrol düzgün dizayn olunubmu?
Bu mərhələ, nəzarət mexanizminin “kağız üzərində” nə dərəcədə məntiqli qurulduğunu qiymətləndirir. Sadəcə prosedurların mövcud olması kifayət deyil; onların hədəflənən riskləri effektiv şəkildə idarə edə biləcək şəkildə dizayn olunması vacibdir.
- Əsas sual: Əgər bu kontrol tam olaraq qaydalara uyğun icra olunarsa, hədəflənən riski aradan qaldırmağa və ya azaltmağa kifayət qədər gücü varmı?
- Niyə vacibdir?: Dizaynı səhv olan nəzarət mexanizmi nə qədər mükəmməl tətbiq olunsa da, riski effektiv şəkildə önləyə bilməz. Məsələn, 1000 AZN-lik ödəniş üçün menecer təsdiqi tələb olunur, lakin sistemdə eyni adamın 999 AZN-lik 10 ödəniş etməsinə heç bir məhdudiyyət qoyulmayıbsa, bu kontrol dizayn baxımından qüsurludur. Əlavə olaraq, dizayn effektivliyi işçilərin davranışına da təsir göstərir: düzgün hazırlanmış kontrol mexanizmləri işçiləri düzgün addımlar atmağa yönləndirir, səhvlərin və saxtakarlığın qarşısını alır.
2. Kontrol düzgün tətbiq olunubmu və işləkdirmi?
Bu mərhələdə fokus kontrol mexanizminin real həyatda necə işlədiyinə yönəlir. Sadəcə prosedurların mövcud olması kifayət deyil; onlar vaxtında, düzgün və səlahiyyətli şəxslər tərəfindən tətbiq olunmalıdır.
- Əsas sual: Kontrol müəyyən edilmiş qaydada, vaxtında və səlahiyyətli şəxs tərəfindən icra olunurmu?
- Niyə vacibdir?: Bir çox şirkətdə kağız üzərində əla prosedurlar var, lakin işçilər onları “vaxt itkisi” hesab edərək icra etmirlər. Əgər bir nəzarət mexanizmi tətbiq olunmursa, o sadəcə bir illüziyadır və şirkəti saxtakarlıqdan qorumur. Tətbiq effektivliyi yalnız mexanizmin mövcudluğu ilə deyil, onun düzgün icrası ilə ölçülür. Bu mərhələdə şirkətlər auditor yoxlamaları, nümunə əməliyyatlar və test ssenariləri vasitəsilə mexanizmlərin işləkliyini sınamalıdır.
3. Kontrol işinin öhdəsindən gəlirmi?
Bu mərhələdə fokus, kontrolun spesifik məqsədinə nə dərəcədə çatdığını qiymətləndirməyə yönəlir.
- Əsas sual: Bu kontrol tətbiq olunandan bəri səhvlərin və ya itkilərin sayında azalma müşahidə olunubmu?
- Niyə vacibdir?: Bəzən bir kontrol texniki baxımdan işləyə bilər, amma hədəfi yerinə yetirmir. Məsələn, anbarı qorumaq üçün kamera quraşdırılıb və kamera işləyir, amma kimsə kameranın görmədiyi küncdən malı çıxarırsa, kontrol hədəfə çatmır və riskləri önləyə bilmir. Kontrolun məqsədə çatmasını ölçmək üçün konkret göstəricilər və metriklər müəyyən edin. Məsələn, səhv ödənişlərin sayı, inventar itkiləri və ya əməliyyat gecikmələri kimi göstəricilər vasitəsilə kontrolların effektivliyini qiymətləndirmək mümkündür.
4. Kontrol biznesin ehtiyaclarını ödəyirmi?
Nəzarət mexanizmi biznes prosesini “boğmamalı” və əməliyyatların sürətinə zərər verməməlidir. Kontrolun məqsədi riskləri azaltmaq, amma eyni zamanda biznesin effektivliyini qorumaqdır.
- Əsas sual: Bu kontrol riski azaldarkən biznes prosesini həddindən artıq ləngidirmi? Xərci yaratdığı dəyərdən çoxdurmu?
- Niyə vacibdir?: Əgər 10 AZN-lik bir malı qorumaq üçün 100 AZN-lik prosedur (kontrol) tətbiq edirsinizsə, bu kontrol biznesin ehtiyacını ödəmir. Kontrol dizaynı və tətbiqi zamanı riskin dəyəri ilə kontrolun xərci mütləq müqayisə olunmalıdır. Bu yanaşma həm əməliyyat xərclərini azaldır, həm də şirkəti lazımsız prosedurlardan qoruyur.