İç Denetimin Başarıya Ulaşmasında Kullanılacak 5 Strateji

İç denetimin önünde çeşitli zorluklar bulunmaktadır. Bu zorlukları anlamak için teknolojide meydana gelen değişikliklerin ve ilerlemelerin mesleğin icrası için gerekli becerilerin önceki yüzyılda beklenen alanlardan daha fazlasını kapsayacak şekilde genişletilmesi gerektiği yönündeki haber kaynaklarını okumak yeterlidir. İç denetim, yönetim kurulu toplantı odasından ön safhalara kadar işin her alanına dokunmaktadır. Böyle geniş kapsamlı bir alan paydaşların beklentilerinde – denetim plan kapsamı veya gerekli uzmanlık alanları bakımından - boşluk olması ihtimalini giderek artırmaktadır

İç denetim işlevinin olgunlaştığı ve İDY’nin yerleşik kontrollerden emin olduğu bir ortamda danışma hizmetleri alanında genişleme şansı tabi ki daha fazladır. Güvence hizmetleri iç denetimin temel işlevi olmakla birlikte, etkin kontrol edilen ve çalıştırılan süreçlerin uygulanabilmesi için danışma hizmetleri de gereklidir. Daha önce Şekil 1’de gösterilen sürdürülebilir kaynak düzeyleri, iç denetimi bu role güvenli bir şekilde yerleştirmelidir.

Paydaşlarla kurulacak bir danışmanlık ilişkisinde kurumun karşılaştığı kritik riskleri ve ortaya çıkabilecek riskleri tanımak gereklidir. Bu konuda Sprint CFO’su Joe Euteneuer PwC’ye şöyle demektedir: “İç denetim riskleri öngörmek, değerlendirmek ve yönetmek konusunda bize yardımcı olmada proaktif bir rol üstlenmelidir. İç denetimin günlük gerçekleşen işlemleri yöneten işkolları ile işbirliği halinde olması ve şirketin genel yararı için risklere ve kontrollere ilişkin görüşler sunan bir “fikir deposu” olması beklenmektedir.” Burada karşımıza çıkan soru şudur: İç denetim güvenilir bir danışman nasıl olacaktır? Bu konuda ilerlemek için gerekli olan beş strateji dikkatinize sunulmaktadır:

 

Ana Paydaşların Beklentileriyle Uyumun Geliştirilmesi

Stratejik iş riskleri, paydaşlar arasındaki en önde gelen endişe kaynağıdır. Tablo 1’de de gösterildiği gibi IIA Araştırmasına katılan İDY’ler hem denetim komitesinin hem de yönetim kadrosunun riskleri sınıflandırırken en tepeye stratejik iş risklerini koyduğuna inanmaktadırlar. Daha özgün bir anlatımla, denetim komitesinin en çok önem verdiği ilk beş riski tanımlayan katılımcıların % 37’si en az bir stratejik iş riski kategorisini işaretlemiştir. Yönetim kadrosunun en çok önem verdiği ilk beş riski tanımlayan katılımcıların da % 47’si en az bir stratejik iş risk kategorisini işaretlemiştir. Bu bağlamda, iş stratejisi denetim planının görece küçük bir bölümünü (%8) kapsamaya devam etmesine karşın bu konunun sahip olduğu ağırlık artmaktadır (Şekil 2).

Tablo 1: 2014 yılında denetim komiteleri ve yönetim kadrolarının en fazla önem verdiği ilk beş riske ilişkin risk kategorileri

 Kaynak: IIA Denetim Yöneticileri Merkezi Küresel Mesleğin Nabzı Araştırması, 2014. Bu tablo, araştırmaya küresel düzeyde katılan İDY’lerden derlenen verileri yansıtmaktadır. Yuvarlamalar­dan dolayı toplam yüzde yüze eşit olmayabilir. Benzer şekilde, – 1900’dan fazla İDY, iç denetim müdürü, üst yönetim ve yönetim kurulu üyelerinin görüşlerini yansıtan – PwC araştırmasının sonuçları da iç denetim değeri ve performansına ilişkin önemli ölçüde memnuniyetsizlik göstermektedir İç denetimin kuruma önemli bir değer katıp katmadığını bilmeyen katılımcılar da dikkate alındığında, üst yönetim üyelerinin % 50’si ve yönetim kurulu üyelerinin yaklaşık % 28’i iç denetimin kuruma belirgin bir değer katmadığını düşünmektedirler. Ayrıca üst kurul üyelerinin sadece % 49’u ve yönetim kurulu üyelerinin % 64’ü iç denetimin beklentileri karşılamada iyi olduğunu düşünmektedir (Şekil 4).

 

Yönetim Kurulu üyeleri arasında iç denetimin kuruma önemli bir değer sağladığı yönündeki görüşün geçen yıla kıyasla 10 puan düşmüş olması da dikkate değer bir ve­ridir. Bu bulgular ışığında, paydaşlar ile iç denetim faaliyeti arasında beklenti yönünden bir boşluğun olduğu açıktır.Paydaşlarla işbirliği yaparak uyumu sağlamak zorunludur. İç Denetim Yönetmeliği, öncelikleri ve beklentileri belirlemek için kullanılmalıdır. KPMG Raporuna göre atıl­ması gereken ilk adım şudur: “İç denetimin uygunluk ve finansal raporlama risklerine odaklanıldığında değil, ana operasyonel riskler ve bunlarla bağlantılı kontroller de dâhil olmak üzere işe ilişkin kritik risklere odaklanıldığında en etkili olduğu bilinmelidir.”

Kaynak: PwC İç Denetim Mesleğinin Durumu Araştırması, 2014

 İç denetim düşünce yapısını değiştirmeli ve sürekli değişen faaliyet ortamının farkında olmalıdır. KPMG yeni bir sorgulama hattının oluşturulmasını öngörmektedir: Örneğin genişletilmiş (global) organizasyonun sebep olduğu kaynak kullanımı, dış kaynak kul­lanımı, satışlar ve dağıtım kanallarına ilişkin riskler nelerdir?” Şirketin iç kontrol yapısının olgunluğa eriştiğini varsayarak İDY, – iç kontrol yapısının izin verdiği ölçülerde- üç ilâ beş yıllık bir süreyi kapsayan ve güvence hizmetleri azalırken danışmanlık hizmetlerinde artış gösteren stratejik bir iç denetim planı sunmalıdır. İDY, ortaya çıkan riskleri ele alırken esneklik ve uyarlama ihtiyacına ilişkin düşüncelerini kaybetmemelidir. Bu tür bir plan danışmanlık hizmetlerinin nasıl gerçekleştirileceğini ve bunların şirketin iş planına nasıl bağlanacağını detaylı olarak göstermelidir.

 

İkinci ve Üçüncü Savunma Hatlarını Koordinasyonunda Liderlik Rolünü Üstlenme

IIA, ana paydaşları yönetim kontrolleri, risk yönetimi ve iç denetimden oluşan üç hatlı bir savunma modeli üzerinden eğitmeyi savunmaktadır. Bu modeli anlatma ve diğer güvence hizmeti sağlayanlarla koordinasyonu sağlama işlemi şu ana kadar yavaş ilerlemektedir. Şekil 5’te de gösterildiği gibi IIA anketine katılan İDY katılımcıları bu üç savunma hattının birbiriyle çakıştığını belirtmektedirler: İDY katılımcılarının % 36’sı kurumlarında bu üç savunma hattı arasında belirgin bir biçimde tanımlanmış ayrımlar olduğunu söylerken, geriye kalan % 64 oranında İDY katılımcısının tümü kurumlarının orta düzeyde belirgin veya hiç belirgin olmayan bir ayrıma sahip olduğunu söylemek­tedir.

Güvence Sağlayıcılarla İlişkisine Yönelik Çerçeve başlıklı IIA-İspanya Danışma Belge­sinde yer alan “Bağımsız güvence sağlayıcılar, nihayetinde üçüncü savunma hattına özelde de iç denetime güvenirler. “ hükmüne uygun hareket etmelidir.

Savunma hatları arasındaki işbirliği ve etkinliği geliştirerek iç denetim, kuruma sağladığı değeri artırmak için temel bir adım atabilir. IIA Başkanı ve CEO’su Richard Chambers’a göre “İDY, herkesi kendi hattında tutmak ve kapsama alanında boşluklar ya da tekrarlar olmamasını sağlamak için liderlik rolü üstlenmelidir.”

Her bir birim için belirgin roller oluşturarak ve işbirliğini geliştirerek kurumlar, tüm iş alanına ilişkin riskleri tanımlama ve yönetme yeteneklerini büyük ölçüde geliştirebil­irler. Daha da önemlisi kapsama alanına ilişkin boşlukları en az düzeye indirebilirler, tekrarlayan çabaları ortadan kaldırabilirler ve kaynakları daha etkin bir biçimde kulla­nabilirler.

Bunu başarmak için PwC şunları tavsiye eder:

• Bilgi paylaşımını sağlamak ve en üstte yer alan risklere ilişkin uyumu yakala­mak için iç denetim ve risk yönetimi grupları arasında düzenli toplantılar yapmak, • Kurumun tümünü kapsayacak bütünleşik bir risk görünümü oluşturmak.

 

İç Denetimin Kritik Stratejik Ticari Riskleri Ele Alma Kabiliyetinin Geliştirilmesi

Ayrı ayrı yapılan araştırmalarda hem İDY’ler hem de paydaşlar benzer alanlara ilişkin endişelerini belirtmişlerdir. IIA araştırmasına katılan İDY’ler, paydaşların en çok dikkatini çektiğini düşündükleri spesifik riskleri belirtmişlerdir. Bu risk alanlarının yaklaşık % 60’ı şu dört risk kategorisi altında toplanmaktadır: stratejik iş riski, operasyonel, uygunluk ve bilgi teknolojisi.

Benzer biçimde, KPMG araştırmasındada yönetim ve denetim komitesi üyeleri iç denetçiler tarafından daha iyi ele alınması gereken ve gündemde yer alan konuları belirlemişlerdir (Şekil 6). Paydaşların iç denetçilerden daha fazla vakit ayırmalarını istedikleri alanlar şunlardır: risk yönetim süreçleri (% 65), bilgi teknolojisi ve veri yönetimi (% 58), operasyonel riskler (% 52) ve uyum ve yasal düzenlemeler (% 45).

İç denetim, iş alanını ve endüstriyi doğru anladığından emin olarak bu genişletilmiş kapsama alanına hizmet vermek için kapasitesini artırmalıdır. Ku­rumun karşılaştığı veya ortaya çıkmakta olan kritik riskler nelerdir?

 

Stratejik iş riski alanına hareket ederken dikkate alınması gereken noktalar şunlardır:

• Kurumsal Risk Yönetimi – iç denetim, uygulamalarda liderlik olünü üstlenmelidir. • Sistem Geliştirme Yaşam Döngüsü – operasyonel süreçlerde yeni sistem değişikliklerinde iç denetimin yer alması için resmileştirilmiş bir risk süreci olmalıdır ve merkezileştirme/standartlaştırma projeleri kurulmalıdır. • Lean ve Six Sigma (Altı Sigma) Süreçleri – iç denetim personeli geniş bir deneyim spektrumuna sahip olmalıdır. • Yeni çıkan teknolojiler – gerekli bilgi teknolojilerinin kullanılması ve uygu­lanması lazımdır. • Yeni gelişen küresel etkileşim – iş planına erken maruz kalmak iç denetimin daha başarılı olmasını sağlar.

 

Bilgi ve Beceri Kazanım StratejileriGeliştirme ve Uygulama

Chamber şöyle der: “Doğru insanı kazanmak son nokta değildir, araçtır.” “Doğru insanı kazanmak kurumda riskleri tam kapsamlı ele almak için gerekli bilgi ve beceriye sahip olmak için bir araçtır.” Geniş kapsamlı karmaşık risklerle karşılaşılan kurumlarda, İDY personelin bilgisi ve becerisi arasında boşlukların olduğunu tespit eder. İç denetim ancak paydaşların beklentileriyle uyumlu hale geldikten ve birlikte yeni öncelikleri tespit ettikten sonra bunları etkili bir biçimde ele alma kapasitesini değerlendirebilir. Bu tür bir değerlendirme, geleneksel personel sayımının çok ötesinde gerekli insan kaynağı ve yeteneklerin varlığı veya yokluğunu tespit eden bir çalışmadır.

PwC araştırmasına yanıt veren üst yönetim üyelerinin yarısından daha azı (% 49), iç denetimin kendi ihtiyaçlarına uygun yeteneğe ve uzmanlık alanına sahip personeli alma, eğitme ve/veya bu konuda kaynak bulma konusunda iyi olduğunu belirmektedir. PwC Raporu şöyle demektedir: “Beklentilerin karşılanmasında doğru beceri modeli gerekli olduğu için paydaşların beceri gelişimi ve iç denetimin genel performansına ilişkin görüşleri arasında böyle bir korelasyon olduğundan şüphe yoktur.” Bu boşluğu kapatmanın çeşitli yolları vardır: Birlikte kaynak bulma, işe alma ve eğitim. Temel nokta boşluğu tanımlamak ve kapatmaktır.

Bu tür yetersizlikler, şirketlerin iç denetim işlevini nasıl inşa ettiğini yeniden tanımlamaktadır. Şekil 7’de de gösterildiği gibi, IIA araştırmasına katılan ve küresel düzeyde hizmet veren İDY’lerin sadece % 28’i muhasebe becerilerinden dolayı işe alım yapmaktadır. Buna kıyasla, hem iş zekası hem de endüstriye özgü bilgi katılımcıların % 36’sı tarafından aranmaktadır. – Sırasıyla % 75 ve % 58 oranında yanıt alan analitik düşünce ve iletişim becerilerinin de işe alınmada aranan en yaygın özellikler olduğu da dikkate değer bir veridir.

 

Protiviti’nin 2014 İç Denetim Kapasiteleri ve İhtiyaçları Araştırmasına katılan her düzey­den iç denetim uzmanları da benzer şekilde iş zekasını. – topluluk önünde konuşma, karşı karşıya gelme, ikna etme, müzakere etme – geliştirilmesi gerekli bir alan olarak tanımlamışlardır.

Protiviti raporunda bu becerilerin teknik becerilerle dengeli bir şekilde işlev içi ve dışı ve kurum içi ve dışı ilişkileri artırmaya yardımcı olduğu belirtilmiştir. Ayrıca rapor şöyle sonuçlanmaktadır: “Daha derin, daha anlamlı işbirliği iç denetçilere uzun öncelik listel­erinde yer alan hemen hemen her konuyu ele almada yardımcı olabilir. İş ortamında derin ve yapıcı ortaklıklar geliştirerek ve bunları koruyarak iç denetçiler, uzmanlıklarını stratejik kararlarda -yeterli düzeyde proaktif davranarak - önceden uygulayabilirler. “

 

Denetim Komitesi ve Yönetim Kadrosunun Güveneceği Bir Danışman Olma

Sonuç olarak burada önerilen nihai strateji mesleğe ilişkin hâlihazırda elde edilebilir olan bir fırsatı özetlemektedir. İDY’ler paydaşlarla danışmalık ilişkisi kuracak iyi ve yeterli becerilere sahiptir ve daha da önemlisi onları ortaya çıkan riskler ve geçiş faaliyetleri için eğitebilirler. Böyle bir rehberlik, özellikle denetim komitelerinin artan iş yükünün kapasiteleri zorladığı dönemlerde hoş karşılanacak ve değerli olacaktır. KPMG araştırmasına katılan denetim komitesi üyelerinin % 40’ından daha fazlası temel görevlerine ilaveten gündemde olan büyük riskleri öngörmenin giderek zorlaştığını belirtmektedir (Şekil 8). Aslında, her dört kişiden biri sorumlulukları yeniden tahsis etmektedir ve hatta bazıları özellikle bazı belirli riskleri ele almak için yeni komiteler oluşturmaktadır [örneğin uygunluk (% 5) veya teknoloji (% 4)].İDY’lerin iletişimi ve eğitimi teşvik etmede sergiledikleri liderlik rolünün yeterince üzerinde durulmamaktadır. Bu durum hem gerçek bir risk hem de bilinmeyen bir risk gibi algılanan teknoloji gibi konuları ele alırken özellikle daha doğrudur. Bu durumda, iç denetim aşağıda sayılan adımları atarak şeffaflığı sağlayabilir ve denetim komiteleriyle amaçların uyumlaştırılmasını sağlayabilir: • En üstte yer alan riskleri yeniden değerlendirmek için kurul ve üst yönetimle düzenli toplantılar yapmak, • Kurumun BT birimiyle güçlü ilişkiler kurmak, • Kurul üyeleri ile CIO arasında doğrudan doğruya diyalog kurulmasını sağlamak, • BT altyapısı ve işlemlerini denetlemek.

Bu bağlamda IIA Küresel Yönetim Kurulu Kıdemli Başkan Yardımcısı Antonvan Wyk şöyle demektedir: “Bildiğimiz dünya değişiyor, dolayısıyla iç denetimin üstlendiği rol de değişiyor ….Çok katlı bağımlılıkların ve etkilerin tanınmasında, bütünleşik düşünme ve raporlama, resmileştirilmiş paydaş varlığı, yıllık bütünleşik raporu kavramları iç denetimin işe bakışını bölünmez bir bütün halinde sunmanın yollarıdır.”

Böyle proaktif strateji tavsiyeleri sunmak nihai hedeftir. Bu rapor boyunca da anlatıldığı gibi kurumun kritik hedeflerini öğrenerek, bunlarla uyumu sağlayarak, çok çeşitli becerilere sahip bir ekip oluşturarak ve işbirliği yaparak başarıdan ötesi yapılabilir. Bu tür adımların atılması sadece iç denetimi korumaz, aynı zamanda olması gerekene (Güvenilir Danışman) doğru onu evrimleştirir.

 KAYNAK: İŞ BİRLİĞİ YOLUYLA DEĞERİN ARTTIRILMASI KONFERANSI