Denetim bir tasarım gereksinimi değil, bir son tarih. Yaklaşan denetimi veri yönetişimi inşa etme nedeni olarak ele alan organizasyonlar yanlış sorunu çözüyor. Denetçiler geldiğinde, mimari kararlar için pencere kapanmış. Mevcut olan dokümantasyon, iyileştirme ve — gerekirse — işlerin neden böyle olduğunun açıklaması.
Denetimleri gerçekten iyi yöneten organizasyonlar denetime hazırlanmadı. Sağlam yönetişimin operasyonel olarak değerli olduğu için yönetişim altyapısı inşa etti ve denetim halihazırda çalışan sistemleri buldu.
Denetçiler Gerçekte Neye Bakıyor
Bir denetimin ne gerektirdiğini anlamak, denetim zamanlamasından bağımsız olarak hangi yönetişim altyapısını inşa etmek gerektiğini anlamak için yararlı.
Finansal hizmetlerde düzenleyici denetimlerde — ister BDDK, ister SPK'dan, isterse FATCA/CRS uyum incelemeleri bağlamında — denetçiler genellikle şunları arıyor:
Eksiksizlik. Kapsam dahilindeki tüm kayıtlar dahil edildi mi? Kayıtların %99,7'sini kapsayan ve geri kalanını sessizce düşüren bildirim %99,7 uyumlu değil. Uyumsuz, ve denetçi eksiksizliği sağlayan kontrollerin ne olduğunu anlamak istiyor.
Doğruluk. Gönderilen rakamlar altta yatan veriyi doğru yansıtıyor mu? Bu, bir bildirimdeki rakamı kaynağına — dönüşüm mantığı boyunca, onu üreten kaynak kayıtlara — izleyebilmeyi gerektiriyor.
Tutarlılık. Rakamlar önceki bildirimlerle tutarlı mı? Örtüşen kapsamı kapsayan diğer düzenleyici raporlarla? Açıklanamayan tutarsızlıklar, tutarsızlığın bir hata temsil edip etmediğinden bağımsız olarak bulgular.
Kontrollülük. Gönderilmeden önce bildirimi doğrulayan bir kontrol süreci var mı? Kontrollerin çalıştığına dair kanıt var mı? Bildirimi kimin incelediğine ve onayladığına dair kanıt var mı?
Tüm bu gereksinimler aynı altyapıya işaret ediyor: lineage, dokümantasyon, kalite kontrolleri ve onay iş akışları. Bu altyapı denetimlerden bağımsız olarak değerli — güvenle değil, kaygıyla çalışan bir ekip arasındaki farkı yaratan şey bu.
Şimdi Yapılacak Yönetişim Konuşması
Bir denetim on iki ay uzaktaysa, dahili olarak sorulacak sorular şunlar:
Düzenleyici bildirimlerimizin her rakamını kaynağına izleyebiliyor muyuz? Teorik olarak değil — bugün, geçen dönemin bildirimi için gerçekten yapabilir misiniz? Cevap "yeniden oluşturmak birkaç hafta alır" ise, bu bir lineage altyapısı boşluğu.
Her bildirimden önce çalışan belgelenmiş kontrollerimiz var mı? Enformel inceleme değil — kanıtlı belgelenmiş kontroller. Tamamlanan bir kontrol listesi, yapılan bir uzlaştırma, kaydedilen bir onay. Kontrol yalnızca çalıştığına dair kanıt varsa kontrol.
Kaynak verilerimizin ne zaman değiştiğini ve bildirimi nasıl etkilediğini biliyor muyuz? Poliçe yönetim sistemi üç ay önce veri modeli değişikliği yaptıysa, bu değişikliğin raporlama pipeline'ını nasıl etkilediğinin ve çıktıların sonrasında doğrulanıp doğrulanmadığının kaydı var mı?
Sistemler hakkındaki bilgimiz bir veya iki kişide mi yoğunlaşıyor? Evetse, denetim riski teknik olduğu kadar organizasyonel. Yalnızca bir kişinin yanıtlayabileceği bir soru soran ve o kişi müsait olmayan bir denetçi sorun.
Denetimden Önce Ne İnşa Edilmeli
Denetim hazırlığı açısından yönetişim altyapısı yatırımı için öncelik sırası:
Önce lineage dokümantasyonu. Her bildirimdeki her rakam izlenebilir olmalı. En yüksek riskli bildirimlerden — en fazla düzenleyici maruziyeti olanlardan — başlayın ve genişleyin.
İkinci sırada belgelenmiş kontroller. Şu anda enformel olarak var olan kontroller ne olursa olsun, formalize edin. Uyumu göstermek için değil, enformel kontroller tekrarlanabilir ve denetlenebilir olmadığı için.
Üçüncü sırada değişim yönetimi süreci. Kaynak sistemler değiştiğinde, düzenleyici gereksinimler değiştiğinde, pipeline mantığı değiştiğinde — bildirimlere etkiyi değerlendirmek ve yönetmek için belgelenmiş bir süreç olmalı.
Dördüncü sırada bilgi dağılımı. Her kritik sistemin birden fazla anlayan kişisi olmalı. Aynı derinlikte değil ama kilit soruların birden fazla olası yanıtlayıcısı olacak kadar.
Yeterince Yapılmayan Konuşma
Tutarlı biçimde atlanan yönetişim konuşması, denetimlerin gerçekte neyi bulduğu ve nedeni hakkında liderlikle yapılan konuşma. Çoğu liderlik ekibi denetimleri tanı araçları olarak değil, uyum olayları olarak anlıyor.
Yararlı yeniden çerçeveleme: denetim, inşa ettiğiniz sistemlerin amaçlandığı gibi çalışıp çalışmadığının harici incelemesi. Sistemler iyi inşa edilmişse, denetim rutin. Değilse, denetim öğrendiğiniz an — mümkün olan en kötü zamanda, mümkün olan en az yanıt verme kapasitesiyle.
Denetimden önce yönetişim altyapısı inşa etmek denetim hazırlığı değil. Çalışan sistemler inşa etmek. Denetim yalnızca harici doğrulama anı.
Gözlemlediğim en sakin denetimlere sahip organizasyonlar, denetçiler gelmeden önce herhangi bir gün geçecek olan organizasyonlar. Denetim için hazırlanmadılar. İyi operasyonlar için hazırlandılar — ve iyi operasyonların denetçilerin aradığı şey olduğu ortaya çıktı.