2015 İç Denetimin Global Nabzı

Transkript

2015 İç Denetimin
Global Nabzı
Dinamik Bir Ortamda
Fırsatları Yakalamak
Temmuz 2015
This report is driven by The IIA Research Foundation™
Common Body of Knowledge® (CBOK®)
Embracing Opportunities in a Dynamic Environment
TELİF HAKKI UYARISI
Telif Hakkı © 2015 The Institute of Internal
Auditors (IIA), 247 Maitland Ave., Altamonte
Springs, FL, 32701 U.S.A.’ya aittir. Tüm
hakları saklıdır. Amerika Birleşik
Devletleri’nde yayımlanmıştır. Bu yayının
kendi amaçları haricinde, bu dokümanın
okuyucuları IIA’in iznini almadan bu yayını
çoğaltamaz, tekrar dağıtıma sokamaz, teşhir
edemez, kiraya veremez, kiralayamaz, tekrar
satamaz, ticari amaçla kullanamaz ya da burada
bulunan istatistiksel ve diğer verileri
uyarlayamaz.
BU YAYIN
HAKKINDA
Bu raporda verilen bilgiler niteliği gereği genel
bilgilerdir ve herhangi bir belirli gerçek kişi, iç
denetim birimi veya kuruma atıfta
bulunmamaktadır. Bu dokümanın amacı,
bilgileri ve diğer iç denetim uygulamaları,
eğilimleri ve sorunlarını paylaşmaktır. Buna
rağmen, hiçbir gerçek kişi, iç denetim birimi
veya kurum, bu dokümanda verilen bilgilere,
gereken uygun incelemeleri yapmadan veya
gereken uygun kişi ve kurumlara danışmadan
dayanmamalıdır.
İÇİNDEKİLER TABLOSU
Giriş........................................................................................................4
Metodoloji & Demografik Bilgiler...........................................................5
Gelişen Yeni Risklere Karşılık Vermek...................................................6
Kurum Çapında Geçerli Bir Risk Görüşü Edinmek .................................9
Bütüncül Raporlama İç Denetim Fırsatlarını Artırıyor.......................... 13
Baskıyı Yönetmek................................................................................ 16
Sonuç ................................................................................................... 21
CBOK HAKKINDA
Ekler...................................................................................................... 22
Global İç Denetim Ortak Bilgi Tabanı (CBOK),
iç denetim mesleği hakkında dünyanın en
büyük devamlı araştırmasının adıdır. Dünya
çapındaki IIA enstitülerinin desteklediği
CBOK, iç denetim uygulamacıları ve onların
paydaşları hakkında kapsamlı araştırma ve
çalışmaları kapsamaktadır. CBOK hakkında
daha fazla bilgi almak için,
www.theiia.org/CBOK’u ziyaret ediniz.
DENETİM YÖNETİM
MERKEZİ HAKKINDA
IIA’in Denetim Yönetim Merkezi®, CAE’leri (İç
Denetim Yöneticileri) daha başarılı olmaları için
destekleyen temel kaynaktır. Merkez’in bilgi, ürün
ve hizmetleri, CAE’lerin mesleğin gelişen
risklerine
ve
özgün
sorunlarına
cevap
verebilmelerine imkan sağlar. Merkez hakkında
daha fazla bilgi almak için, www.theiia.org/cae’yi
ziyaret ediniz.
3
GİRİŞ
Bugün, iç denetimin rolünü ve görevini tanımlama sorunu, dinamik iş ortamı sebebiyle
her zamankinden daha karmaşık bir hal almış bulunmaktadır. Yeni gelişen riskler hiç
yavaşlamayacakmış gibi görünmekte; paydaşların riskler hakkında kapsamlı bir görüşe
sahipolma talep ve ihtiyacı bulunmakta; yeni raporlama modelleri ortaya çıkmakta ve iç
denetim yöneticileri (CAE) sık sık politik baskılarla karşı karşıya kalmaktadırlar.
Bu yıla ilişkin bu meseleleri ele alabilmek için, IIA’nın Denetim Yönetim Merkezi®,
The IIA Research Foundation™ (IIARF™) ile işbirliği yaparak, İç Denetimin Nabzı
araştırma sorularını, 2015 Global İç Denetim Genel Bilgi Tabanı® (CBOK®)
Uygulamacı Anketine dahil etmiştir. Bu sayede, rekor sayıda İç Denetim Yöneticisine
ulaşarak,2015 İç Denetimin Global Nabzı raporu için bilgilerine başvurma imkanını
yakalamış bulunuyoruz.
Bu raporda dört ana tema ele alınmaktadır:
• Kurumlar için riskler hızla ortaya çıkmaya devam etmekte ve yıllık risk
değerlendirmesi artık yeterli olmamaktadır. İç Denetim Yöneticilerinin yeni ortaya
çıkan ve gelişen riskleri hızla kavramaları; bu yeni bilgiye cevaben denetim planlarını
sık sık revize etmeleri ve bu değişiklikleri temel paydaşlarına etkin ve verimli bir
biçimde bildirmeleri gerekmektedir.
• Riskler izole yapılar içerisinde görülemezler, geniş yorumlanmaları ve
değerlendirilmeleri gerekir. İç denetimin de aynı geniş bakış açısına sahip olması
gerekmektedir. Bu, iç denetimin, risklerin tanımlanması, değerlendirilmesi ve
risklere karşı güvence sağlanması konularında diğer risk fonksiyonları ve
birimleriyle yakın işbirliği içinde çalışması gerektiği anlamına gelmektedir.
• Kurumlar için dış raporlama sadece finansal raporlamadan daha fazla bir anlam ifade
etmektedir. Sürdürülebilirlik raporlaması ve entegre raporlama kullanımı da artmıştır.
Her iki tip rapor da iç denetimin uzmanlığından ve içgörüsünden faydalanmalıdır. İç
Denetim Yöneticileri, bu fırsattan istifade ederek kendi kurumlarına daha fazla değer
katabilirler.
• Politik baskılar başarı ile yönetilebilir. Bunu yapabilmek için, İç Denetim
Yöneticilerinin raporlama hatlarını en uygun hale getirmeleri; iç denetim
faaliyetlerini yürütürken yaptıkları seçimlerin objektiflikleri üzerindeki etkisini
değerlendirmeleri; gereksinim duydukları bilgilerin tümüne erişime sahip olmak
konusunda ısrar etmeleri ve yaptıkları işin zorluklara karşı koyabilecek düzeyde
yüksek kaliteli olmasını sağlamaları gerekmektedir.
İç Denetimin Global Nabzı raporuyla, sizlerin kurumlarınızı ve bu mesleği ilerletme
çabalarına destek olmayı ümit ediyoruz.
Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA
Başkan ve CEO
The Institute of Internal Auditors
4
THE INSTITUTE OF INTERNAL AUDITORS
METODOLOJİ VE DEMOGRAFİK BİLGİLER
IIARF ile işbirliği içerisinde, IIA’nın Denetim Yönetim Merkezi, İç Denetimin Nabzı araştırma sorularını, 2015 Global İç
Denetim Genel Bilgi Tabanı (CBOK) Uygulamacı Anketine dahil etti. Bu da, 166 ülkeden 14.500’den fazla kullanılabilir
yanıtın CBOK raporlarına dahil edilmesiyle sonuçlandı. Tüm yanıtlar anonimdi. Anket çalışması, 2 Şubat 2015 ile 1 Nisan
2015 tarihleri arasında devam etti. Çevrimiçi anket linki, enstitü e-posta listeleri, IIA web siteleri, haber bültenleri ve sosyal
medya aracılığıyla dağıtıldı. Kısmen doldurulmuş anket formları da, demografik soruların tam yanıtlanmış olması şartıyla
kullanılabilir kabul edildiler.
2015 İç Denetimin Global Nabzı raporu için, 3.344 İç Denetim Yöneticisi veya eşdeğerinden ve 1.630 direktör veya kıdemli
yöneticiden alınan anket yanıtları analiz edildi. Bu raporda, bu iki gruptan, İç Denetim Yöneticileri ve direktörler olarak söz
edilmektedir. Açıkça aksi belirtilmedikçe, bu raporda verilen veri ve bilgiler, İç Denetim Yöneticisi ve direktör yanıtlarının
analizinden elde edilen veri ve bilgilerdir. Bazı durumlarda, sadece İç Denetim Yöneticisi katılımcıların yanıtları analiz
edilmiştir. Lütfen, bu raporda yer verilen verilerin Ankete katılanların yanıtları arasındaki ortalamaları temsil ettiğini ve belirli
bir bölgedeki iç denetçi popülasyonunun tamamına genellenemeyeceğini dikkate alınız.
İç Denetim Yöneticileri ve direktörler, bu Ankete, yer, tip, boyut ve sektör açısından çok büyük değişkenlik ve farklılık
gösteren kurumlardan katıldılar. Bu katılımcıların en büyük grubu (yüzde 28) esas olarak Avrupa ve Orta Asya’da
çalışıyorlardı – bu grubu her biri yüzde 20 ile Doğu Asya & Pasifik bölgesi ve Kuzey Amerika bölgesi takip ediyordu. Ek
olarak, Latin Amerika & Karayipler’den katılanlar yüzde 14’ü, Orta Doğu ve Kuzey Afrika’dan katılanlar yüzde 8’i, Sahra Altı
Afrika’dan katılanlar yüzde 6’yı ve Güney Asya’dan katılanlar yüzde 3’ü temsil ediyorlardı. İç denetim yöneticileri ve
direktörlerin ülke ve bölge bazındaki detaylı dağılımları için ekler bölümüne bakınız.
Ankete katılan İç Denetim Yöneticileri ve direktörler, farklı türlerde kurumlardan geliyorlardı: yüzde 35’i kurumlarını özel
şirket olarak; yüzde 33’ü halka açık şirket olarak ve yüzde 23’ü kamu sektörü olarak tanımladılar.
Çok sayıda İç Denetim Yöneticisi ve direktör (yüzde 34) kurumlarının yıllık gelirinin 1 milyar ABD$ veya daha fazla olduğunu
belirtirken, çoğu katılımcı da yıllık toplam geliri çok daha düşük rakamlarda olduğunu ifade ettiler. Yüzde 34’ü ise yıllık geliri
100 milyon ABD$ veya daha az olarak beyan etti. Benzer şekilde, denetim personeli sayısı da İç Denetim Yöneticileri ve
direktörler arasında çok büyük farklılıklar arz etmekteydi. Çoğunluğu (yüzde 61) bir ile dokuz arasında personel olduğunu
belirtirken, yüzde 12’lik önemli bir kesim 50 veya daha fazla personel bulunduğunu ifade etti.
20 olası yanıt arasından seçim yapıldığında, İç Denetim Yöneticileri ve direktörlerin yüzde 29’u sektörlerini finans ve
sigortacılık olarak tanımladı. Daha yüksek sayılarda temsil edilen diğer sektörler arasında imalattan (yüzde 13) ve kamu
yönetiminden (yüzde 8) söz edebiliriz.
5
GELİŞEN YENİ RİSKLERE KARŞILIK VERMEK
Dünyanın bilgiye hızlı ve çabuk erişim olanağına sahip olduğu bir çağda, on yıllarca
uğraşılarak biriktirilmiş değeri bir anda tahrip edebilecek riskler bir gecede ve herhangi bir
ön uyarı yapmadan ortaya çıkabilmektedirler. Jeopolitik, makroekonomik ve siberbağlantılı sürprizler neredeyse rutin hale gelmiştir. Yeni global tehditlere veya siber
saldırılara atıf yapmadığımız neredeyse tek bir gün geçmemektedir.
İster politik kargaşa ve huzursuzluk, ister deprem, isterse gelişmekte olan bir salgın hastalık
söz konusu olsun, hepsinin iş dünyası üzerinde önemli etkileri olur. Bu yeni ortaya çıkan ve
gelişen risklerin değişkenliği, iç denetim fonksiyonları ve birimleri üzerine müthiş bir baskı
yaratmaktadır. İç denetim fonksiyonları ve birimleri, globalleşmeyle ve karşılıklı
bağımlılıkla ilgili risklerin tanımlanması ve yönetilmesinden birbiri ile bağlantılı global
iletişim kanallarının yaygınlaşmasına kadar değişen çok çeşitli ve farklı sorunlarla mücadele
etmek zorunda kalmaktadırlar.
IIA’nın İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartları (“Standartlar”), iç
denetçilerin bir risk-bazlı planlarının bulunmasını gerektirmektedir. Dolayısıyla, bir kurumun
hedef ve amaçlarına ulaşmasını engelleyen faktörlerden en fazla etkilenme olasılığı bulunan
alanları – en yüksek risk alanları – üzerine odaklanmamız gerekir. Geleneksel ve rutin riskler
kolaylıkla tanımlanır, iyi tanınmaktadırlar ve kolay değerlendirilirler. Yeni gelişen riskler,
özellikle de geçen aya veya bu yıla kadar hiç tanımadığımız riskler, hem tanımlanması hem
de değerlendirmesi en zor olan risklerdir. Fakat tam da bu sebeple, bu riskler çok kritik
önemi haiz olabilirler ve iç denetimin mutlaka bunlar üzerine odaklanması gerekir.
Gelişen Yeni Risklerle İlgili Bulgular
DENETİM PLANLAMASI: Ankete katılan İç Denetim Yöneticileri, özellikle, stratejik iş
riski (yüzde 48), Bilgi Teknolojileri (yüzde 42) ve kurumsal yönetim (yüzde 32) – yeni
gelişen risklere özellikle açık ve duyarlı olan alanlar – üzerine odaklandıklarını beyan ettiler.
Aynı zamanda, İç Denetim Yöneticileri, risk değerlendirmelerini gerekenden daha az sıklıkta
olabilecek zaman aralıklarıyla güncellediklerini de rapor ettiler. Sadece yüzde 23’ü kesintisiz
risk değerlendirmesi yaptıklarını ifade etti (Ek 1’e bakınız). İç Denetim Yöneticilerinin
çoğunluğunun denetim planlarını yılda en fazla bir veya iki kere güncellediklerini rapor
etmelerinin sebebi de bu olabilir (Ek 2’ye bakınız). Risklerin değişim hızı yüksek olmasına
rağmen, İç Denetim Yöneticilerinin sadece yüzde 16’sı denetim planı süreçlerinin yeni
gelişen risklere cevap verebilecek kadar esnek olduğunu ifade ettiler.
Bu veriler, İç Denetim Yöneticilerinin yüzde 77’sinin riskleri zamanında
tanımlayamayabileceğini ve yüzde 84’ünün kurumsal kaynak planlama sistemi
güncellemesinin başarısızlığa uğraması, yakın bir rakip şirkette büyük bir siber saldırı ya da
kurumun faaliyet gösterdiği bir ülkede hükümetin bir darbeyle devrilmesi gibi bir krizle
karşılaştığında bu krize güncellenmiş bir denetim planıyla karşılık vermekte gecikeceğini
göstermektedir. İç Denetim Yöneticisi, bu tip sorunların kurum üzerinde bir etkisinin
olmayacağını düşünüyor olabilir, fakat büyük risk olaylarının tarihçesi, kurumların bu tip
riskleri aşma kabiliyetlerine olan aşırı güvenlerinden dolayı bu risklere hızlı ve çabuk cevap
verme konusunda genellikle hazırlıksız olduklarını göstermektedir.
6
Ek 1: Risk Değerlendirmelerinin Sıklığı
Sahra-Altı Afrika
39%
31%
21%
Güney Asya
30%
30%
33%
Latin Amerika ve Karayipler
29%
32%
31%
Doğu Asya & Pasifik
23%
34%
Avrupa ve Orta Asya
22%
36%
Orta Doğu & Kuzey Afrika
18%
Kuzey Amerika
Global Ortalama
0%
Sürekli değerlendirme
17%
7%
34%
11%
37%
36%
20%
8%
34%
44%
23%
6%
26%
36%
14%
9%
32%
40%
Periyodik resmi güncellemelerle yıllık değerlendirme
4%
60%
9%
80%
100%
Resmi güncelleme olmaksızın yıllık değerlendirme
Hiç
Not: Soru 42: İç denetim birimi ne sıklıkta bir risk değerlendirmesi yapar? Sadece İç Denetim
Yöneticileri, n = 2.941. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir.
Ek 2: Denetim Planı Güncelleme Sıklığı
Sahra-Altı Afrika
25%
Güney Asya
24%
20%
18%
22%
18%
Kuzey Amerika
18%
11%
Avrupa & Orta Asya
11%
Global Ortalama
10%
19%
46%
22%
29%
41%
13%
43%
18%
12%
33%
49%
18%
Çok esnek plan, kurumun değişen risk profiline uydu
Her yıl bir kere geliştirildi ve bir veya iki kere güncellendi
13%
46%
13%
20%
19%
45%
13%
16%
0%
36%
30%
22%
44%
40%
50%
60%
21%
70%
80%
90%
100%
Yılda bir kez geliştirildi ve riskler değiştikçe üç veya dört kez güncellendi
Her yıl bir kere geliştirildi ve değiştirilmedi
Not: Soru 38: Kurumunuzda denetim planı geliştirme sıklığını nasıl tanımlayabilirsiniz? Sadece İç Denetim
Yöneticileri, n = 3.014. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir.
7
İç denetimin yeni gelişen risklere en açık ve duyarlı olan alanlara olan ilgisinin
artması bu konuda bir ilerleme kaydedilmesine imkan vermektedir, fakat bu ilerleme
hızı yavaştır. İç denetimin kendi geleneksel dahili süreçlerinin hızıyla değil riskin
gelişme hızıyla denetim yapması gerekir.
İleriye Bakmak
Yeni ortaya çıkan ve gelişen risklerin tehdidi, kapsamı ve önemi dikkate alındığında, iç
denetim birimlerinin ve onların çalıştığı kurumların riskleri kesintisiz ve sürekli
değerlendirme ve bu riske hızla cevap verme kabiliyetlerine sahip olmaları şarttır. Riskin
gelişme hızıyla denetim yapmak, İç Denetim Yöneticilerinin, kendi ekipleri içinde, denetim
kapsama alanlarını büyük riskleri ele alacak ve zarar verici sürprizlerden kaçınacak şekilde
ve kesintisiz olarak düzenleme veya yeniden düzenleme kabiliyetlerini geliştirmeleri
gerektiği anlamına gelir. Özellikle global şirketlerin denetim planlarını kendi kurumları
içinde, sektörlerinde ve dünyada olup bitenler bazında sürekli olarak yeniden kalibre
etmeleri gerekir.
İç Denetim Yöneticileri İçin Olmazsa Olmaz Şartlar
Yeni ortaya çıkan ve gelişen riskleri ele alma gerekliliği açıktır. Riskler eşi benzeri
olmayan bir hızda gelişmekte ve ortaya çıkmaktadırlar ve paydaşların sürprizlere olan
tahammülünün yüksek olmadığı açıktır. Aşağıda önerilen eylemler, Imperatives for
Change: The IIA’s Global Internal Audit Survey in Action’dan (Değişim İçin Şartlar:
IIA’nın Global İç Denetim Anketi Çalışması) 1alınmıştır:
• Yeni gelişen riskleri tanımlamak ve rapor etmek amacıyla iç denetim içerisinde
süreçler GELİŞTİRMEK:
■
Yeni gelişen risklerin tanımlanması ve değerlendirilmesini iç denetimin kilit
önemde bir yetkinliği haline getirmek.
■
Yeni gelişen sorunlar hakkında bilgi ve görüşleri paylaşmak amacıyla kurumun
birim ve işletmeleriyle eşgüdüm içerisinde olmak.
■
Yeni gelişen dış sorunların tanımlanmasına yardımcı olmak amacıyla dış
kaynaklı veri,bilgi ve iş konularını kullanmak.
• İç denetim planının revize edilmesine yönelik mevcut süreci DEĞERLENDİRMEK
ve kurumun karşı karşıya olduğu riskler değiştikçe daha hızlı hareket etmek ve denetim
planında daha sık değişiklikler yapmak amacını güden bir yaklaşım geliştirmek.
• Değişen riskler ve denetim planının zamanında revize edilmesi gereği hakkında kilit
paydaşlarla (üst yönetim ve yönetim kurulu) İLETİŞİM İÇİNDE OLMAK.
■ İç denetimin “yıllık planı tamamlaması” gereği ile iç denetimin gelişen ve değişen
risklere cevap vermesi gereği arasında uygun bir dengenin kurulması için mutabakat
aramak.
• Değişen riskler konusunda kilit paydaşlara RAPOR SUNMAK ve bu değişiklikleri
doğrudan doğruya denetim planı değişikliklerine bağlamak.
Richard J. Anderson ve J. Christopher Svare, “Imperatives for Change: The IIA’s Global
Internal Audit Survey in Action” (Altamonte Springs, FL: The Institute of Internal Auditors
Research Foundation, 2011).
1
8
KURUM ÇAPINDA GEÇERLİ BİR RİSK GÖRÜŞÜ EDİNMEK
Sorun riskin azaltılması ve hafifletilmesi noktasına gelince, yönetim kurulunun temel ve
asli hedeflerinden biri de, kurumun karşı karşıya olduğu geniş risk çeşitliliği konusunda
kurum çapında bir görüş edinmektir. İç denetim birimleri risk yönetimi ve yönetişimine
bakışlarıyla yönetim kurullarına yardımcı olmak için iyi bir konumda olmalarına rağmen,
bu, hem kurumun niteliği, büyüklüğü ve tipine göre hem de kurumun faaliyet gösterdiği
pazarlara göre değişecektir. Örneğin, daha küçük kurumlarda, iç denetçiler, yönetim
kurullarına, kurumsal risklerin kapsamlı bir resmini çıkartabilmek için gereken bağımsız,
objektif ve bilgiye dayanan içgörülerini sunabilirler. Öte yandan, büyük bir kurumda,
gözetim sorumlulukları ve görevleri konusunda yönetim kuruluna düzenli olarak yardımcı
ve destek olmakla görevli bir kurumsal risk yöneticisi (Chief Risk Officer – CRO)
bulunabilir. Bu durumlarda, iç denetimin rolü, muhtemelen, yönetimin risk tanımlama
faaliyetlerine destek olmayı kapsayan yardımcı ve bağlı bir rol olacaktır.
Sermaye piyasaları mevzuatından kaynaklanan düzenleyici faaliyetler de yönetim
kurulunun gözetim sorumluluklarını yönlendirir ve bir şirketin risk yönetim faaliyetlerinin
bağıl olgunluğuna katkıda bulunur. Örneğin, hisseleri Londra Menkul Kıymetler
Borsası’nda işlem gören şirketleri düzenleyen Birleşik Krallık Kurumsal Yönetim
Kanunu’na2 (B.K. Kanunu) göre, yönetim kurulu, “stratejik hedeflerine yönelik
çalışmalarında üstlenmeyi kabul ettiği temel risklerin niteliğini ve kapsamını belirleme” ve
“sağlam risk yönetim ve iç kontrol sistemleri” kurma ve sürdürme sorumluluğunu üstlenir.
B.K. Kanunu, yönetim kuruluna, kurumsal raporlama, risk yönetimi ve iç kontrol
prensiplerinin uygulanması etrafındaki düzenlemeleri belirleme ve yapma sorumluluğunu
da yükler.
İç denetim biriminin risk gözetim sorumlulukları konusunda yönetim kuruluna yardımcı
ve destek olmak için kullandığı teknikler, basit çalışma kağıtlarından karmaşık sistemlere
kadar değişmektedir. Bu tekniklerin amacı, bir kurumsal risk yönetimi (ERM) ve
bütünleşik güvence bakışı sağlamaktır.
Kurum Çapinda Risk Görüşü İle İlgili Bulgular
ERM’nin (kurumsal risk yönetimi) kurum çapında risk profili çıkartmak için kullanılan
ortak bir yöntem olduğunu dikkate alarak, Anket, ERM içinde güncel iç denetim
sorumluluklarının tam ve doğru bir resmini çıkartmayı amaçlamıştır. Ankette rapor edildiği
gibi, İç Denetim Yöneticisi ve direktör katılımcıların yüzde 47’si münferit riskler üzerinde
güvence sağlarken, yüzde 46’sı bir bütün olarak risk yönetimi üzerinde güvence sağlamakta,
yüzde 56’sı ise risk yönetim faaliyetleri konusunda tavsiye ve danışmanlık sunmaktadır.
Kendi kurumlarının risk yönetim süreçlerinin göreceli olgunluğunu tanımlamaları
istendiğinde, bu katılımcıların yüzde 37’si risk yönetim süreçlerini gayri resmi veya daha
yeni gelişen bir süreç olarak tanımlamışlardır; yüzde 29’u resmi risk yönetim süreçleri ve
prosedürlerinin bulunduğunu bildirmiştir; yüzde 24’ü ise kurumlarının bir kurumsal risk
yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM sürecinin bulunduğunu söylemiştir (Ek
3’e bakınız).
2
Birleşik Krallık Kurumsal Yönetim Kanunu (Londra: Finansal Raporlama Konseyi, 2014), 17.
9
Ek 3: Risk Yönetim Süreçlerinin Olgunluğu
Avrupa & Orta Asya
34%
Kuzey Amerika
33%
27%
Sahra-Altı Afrika
25%
21%
17%
Latin Amerika & Karayipler
17%
Güney Asya
12%
Global Ortalama
25%
14%
40%
37%
17%
45%
4%
45%
29%
20%
10%
38%
23%
0%
4%
36%
31%
24%
40%
20%
37%
60%
Bir kurumsal risk yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM süreci
Resmi risk yönetim süreçleri ve prosedürleri
Risk yönetim süreçleri gayri resmi veya daha yeni gelişiyor
Risk yönetim süreçleri hiç yok
10%
80%
Not: Soru 58: Kurumunuzun risk yönetim süreçlerinin gelişmişlik seviyesi nedir? Sadece İç Denetim
Yöneticileri, n = 2.675. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir .
İÇ DENETİM VE ERM. Anket katılımcıları, kendi kurumlarında iç denetim ile
ERM arasında mevcut olan ilişki hakkında da bilgi verdiler. İç Denetim Yöneticisi ve
direktör katılımcıların yüzde onikisi, iç denetim ve ERM’nin ayrı birimler olduklarını
ve aralarında herhangi bir etkileşimin bulunmadığını bildirdi. Yüzde 66’sı, ayrı
birimler olmalarına rağmen, iç denetim ve ERM arasında daha fazla işbirliği
bulunduğunu ve iki personel grubunun eşgüdüm içinde olduklarını ve bilgileri
paylaştıklarını ifade etti. Avrupa ve Orta Asya bölgesinde katılımcıların belirgin
şekilde daha yüksek bir yüzdesi (yüzde 72), bu işbirliği düzenlemesinin kendi
kurumlarında bu iki birim arasındaki ilişkiyi tanımladığını belirttiler. Öte yandan, İç
Denetim Yöneticisi ve direktör katılımcıların yüzde 15’i iç denetim biriminin kurumun
ERM fonksiyonundan da sorumlu olduğunu, ayrı bir yüzde 7 de, iç denetim biriminin
şu anda ERM’den sorumlu olduğunu fakat kurumun ERM sorumluluğunu başka bir
alana devretmeyi planladığını ifade etti. İç denetim biriminin halen ERM’den de
sorumlu olduğu yüzde 22’ye göre ise dikkat gerektiren temel hususlar bağımsızlık ve
objektiflik olarak belirtilmiştir. İç denetim birimi, sorumlu olduğu süreçleri
denetleyemez.
10
7%
44%
32%
14%
27%
100%
Ek 4: Bütünleşik Güvence Uygulama Planı
Sahra-Altı Afrika
75%
15%
61%
Güney Asya
21%
56%
23%
35%
Global Ortalama
26%
31%
38%
49%
0%
23%
25%
46%
Kuzey Amerika
26%
25%
49%
18%
19%
53%
Avrupa & Orta Asya
20%
Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor
10%
28%
26%
40%
49%
60%
25%
26% 80%
100%
25%
Hayır ve bütünleşik güvence uygulama planları yok
Bütünleşik güvence modeline aşina değil
Not: Soru 61: Kurumunuz resmi bir bütünleşik güvence modeli uygulamakta mıdır? Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor
edildi. “Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor” yanıtı, “evet, şu anda uyguluyor”, “evet, fakat henüz yönetim kurulu veya
denetim komitesi tarafından onaylanmadı” ve “hayır, fakat gelecek 2 ilâ 3 yıl içinde uygulamayı planlıyor” yanıtlarını içeriyordu, n = 3.795.
Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir
İÇ DENETİM VE BÜTÜNLEŞİK GÜVENCE. Anket, katılımcıların, King III3
tarafından belirtildiği şekli ile, “şirketi etkileyen risk alanlarında yönetimden, iç
güvence sağlayıcılardan ve dış güvence sağlayıcılardan elde edilen güvence kapsamını
optimize etmeyi hedefleyen” bütünleşik güvence alanındaki faaliyetlerini de ölçümledi.
Somut olarak, İç Denetim Yöneticileri ve Direktörlere, kurumlarının bir resmi
bütünleşik güvence modeli uygulayıp uygulamadığı soruldu: yüzde 49’u bunu
gelecekte gerçekleştirmek için bir model veya plan uyguladıklarını rapor ettiler; yüzde
26’sı böyle bir model uygulamak gibi bir planlarının bulunmadığını; başka bir yüzde
25 ise, böyle bir modele hiç aşina olmadıklarını beyan etti (Ek 4’e bakınız). Dikkate
değer şekilde, İç Denetim Yöneticileri ve Direktörlerin yüzde 57’si, iç denetim
birimlerinin yazılı bütünleşik-güvence değerlendirmesi yayımladığını da ifade etti.
İç denetimin sağladığı bütünleşik güvencenin bir takım faydalar sağladığı açık
olmasına karşın, Banco Santander’de iç denetimden sorumlu genel başkan yardımcısı
ve IIA global direktörü olarak görev yapan Ernesto Martinez Gomez şunu ifade
etmektedir: “Bu, bir iç denetim biriminin bağımsızlığını tehlikeye atabilir ve onun
gerçek bir global güvence sağlayıcı olarak konumunu olumsuz etkileyebilir. Yönetimin
sağladığı güvence, bağımsızlık ve tarafsızlık düzeyleri yönetim ile aynı olmayan iç ve
dış denetçilerin sağladığı güvenceye eşit değildir.
3
King Code of Governance Principles (Yönetim Prensipleri Kral Kodu) (Parklands, Güney Afrika:
Institute of Directors in Southern Africa, 2009).
11
İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar
İç denetimin kuruma hizmet edebileceği asli yollar; birimler ve bölümler arası
işbirliğini artırmak ve risk konusunda yakın ve bitişik birimlerle eşgüdümlü
bir odak noktasını geliştirmektir. Risk yönetimi alanındaki fırsatları optimize
etmek için:
• Risk yönetimi konusunda etkili bir kurum çapında yaklaşıma sahip olabilmek için
yakın ve ilişkili birimlerle İŞBİRLİĞİ YAPILMALIDIR. Pratikte, iç denetim
birimi, iç kontroller yoluyla hafifletilen ve azaltılan riskler üzerinde
odaklanabilirken, diğer birimler perspektiflerini genişletebilmek için bu risklerin
ötesine bakabilirler. Risklerin tanımlanması, yönetilmesi ve rapor edilmesiyle
uğraşan tüm birim ve bölümlerin bir araya getirilmesi, bir bütün olarak kurum için
daha kapsamlı bir risk yönetim resminin çıkartılmasıyla sonuçlanır.
• İç denetim biriminin ve ona yakın ve ilişkili birimlerin risk yönetimi ve yönetişim
faaliyetleri üzerindeki yönetim kurulu gözetimine en iyi nasıl destek
olabilecekleri TESPİT EDİLMELİDİR. Risk yönetim operasyonlarının
olgunluğunu ve iç denetim biriminin ve riskle bağlantılı birimlerin ERM’nin
yönetilmesini koordine etme kabiliyetlerini dikkate alınmalıdır.
• DEĞERLENDİRME ÇABALARININ BİRBİRİNE BAĞLANMASI. Bir iç
denetim birimi için nihai hedef, Üç Sıralı Savunma Modelinde4 savunmanın
birinci ve ikinci hatlarının faaliyetleri de dahil risk yönetimi konusunda bağımsız
ve objektif değerlendirme sağlamaktır. Bir kurumun ikinci savunma hattında risk
değerlendirmeleri yapan ve bir tür güvence sağlayan – iç denetime ek olarak IT
(Bilgi Teknolojileri) ve risk yönetimi gibi – bir dizi ayrı birim ve bölümü varsa, o
kurum, yönetim kurulu için tüm faaliyetleri içerecek kapsamda bir bakış
geliştirmelidir.
• Tüm önemli risklerin yönetim kurulu için usulünce tanımlanmasını ve
değerlendirilmesini sağlamak için risk değerlendirme sürecinin
SORGULANMASI. Riski tanımlamak ve ölçmek için kullanılan yöntemlerin
değerlendirilmesi.
• YARATICI OLMAK. Tüm kurumlarda işe yarayan tek bir ERM yönetim modeli
yoktur. Kurum için en iyisinin hangisi olduğunu belirlemek amacıyla farklı ERM
yaklaşımlarını tanımlamak, araştırmak ve değerlendirmek gereklidir.
4
IIA Görüş Açıklaması: The Three Lines of Defense in Effective Risk Management and
Control (Etkin Risk Yönetimi ve Kontrolünde Üç Savunma Sırası) (Altamonte Springs, FL:
The Institute of Internal Auditors, 2013).
12
BÜTÜNCÜL RAPORLAMA, İÇ DENETİM
FIRSATLARINI ARTIRIYOR
Bankacılık krizi ve diğer krizler, paydaşların stratejik kararları ve bir kurumun gerçek
değerini sorgulamalarına sebep olmuştur. Bir kurumun değeri, finansal analiz ve
raporlamanın ötesine geçer ve kaynak tahsisi ve karar almaya kadar uzanır. Kurumların
değer yaratma konusunda kapsamlı ve bütüncül bir bakış sunma kabiliyeti daha da
önemli hale gelmiştir. Tarihsel olarak, bazı şirketler finansal raporlar, sürdürülebilirlik
raporları ve başka iç veya dış raporlar yayımlarlar. Güncel eğilim, bir kurumun değeri
hakkında bütüncül bir öykü yaratabilmek için birkaç raporun sonuçlarını birleştiren bir
raporlamaya doğrudur. Bu yöntem, bir kurumun altı örgütsel sermaye unsuru üzerinde
odaklanarak kısa, orta ve uzun vadelerde nasıl değer yaratmayı planladığını tanımlayan
ve açıklayan basit ve özlü bir dokümandan ibaret olan entegre raporlama olarak
anılmaktadır.5
Oldukça yeni bir kavram olmasına rağmen, entegre raporlama kullanımının gelecekte
önemli oranda artması beklenmektedir. Aynı zamanda, pazarlama stratejilerini ve karar
alma sürecini iyileştirmek için yıllardır kullanılmakta olan sürdürülebilirlik raporlamasının
kullanımı da artmaktadır. Her iki tip rapor için de, iç denetimin uzmanlığı ve içgörüsüne
kuvvetli bir gereksinim vardır.
Bütüncül Raporlamayla İlgili Bulgular
ENTEGRE RAPORLAMA. Anketin İç Denetim Yöneticisi ve direktör
katılımcılarına kurumlarının 2013 yılı sonlarında çıkartılmış bulunan Uluslararası
Entegre Raporlama <IR> Çerçevesine dayanan bir yıllık entegre rapor çıkartmayı
planlayıp planlamadığı sorulmuştur. Bu soru üzerine, İç Denetim Yöneticileri ve
direktörlerin yüzde 30’u, bu yıl ya da öngörülebilir gelecekte bir entegre rapor
çıkartmayı planladıklarını söylemişlerdir – Sahra Altı Afrika’dan6 katılanların
yüzde 63’ü bu çerçeveyi benimsediklerini ifade etmişlerdir (Ek 5’e bakınız).
SÜRDÜRÜLEBİLİRLİK RAPORLAMASI. Öte yandan, Anketin İç Denetim
Yöneticisi ve direktör katılımcılarının yaklaşık yarısı (yüzde 48’i), kurumlarının
bu yıl veya gelecekte bir sürdürülebilirlik raporu çıkartmayı planladığını
belirtmişlerdir (Ek 5’e bakınız). Bu yanıtlara göre, sürdürülebilirlik raporu
hazırlamayı planlayanların oranının sadece %28 olduğu Kuzey Amerika ise hemen
geriden gelmektedir.
5
Uluslararası <IR> Çerçevesi, (Londra: The International Integrated Reporting Council, 2013).
Sahra Altı Afrika’dan katılan iç denetim yöneticilerinin ve direktörlerinin %33’ü Güney Afrika
dışında yerleşik olduklarını belirtmişlerdir. Johannesburg Borsası, 2010 yılında, entegre
raporlamanın kullanımını teşvik eden King III ilkelerini benimsemiş bulunmaktadır.
6
13
Ek 5: Entegre Rapor ve Sürdürülebilirlik Raporlaması Kıyaslaması
63% 63%
59%
54%
54%
47%
48%
45%
31%
30%
52%
33%
28%
30%
28%
14%
Doğu Asya
& & Pasifik
Avrupa &
Orta Asya
Latin Amerika Orta Doğu
& Karayipler & Kuzey Afrika
Kuzey
Amerika
Sürdürülebilirlik Raporu’nu şimdi ya da gelecekte yayınlamayı planlıyor
Güney
Asya
Sahara-Altı
Afrika
Global
Ortalama
Entegre Raporu’nu şimdi ya da gelecekte çıkarmayı planlıyor
Not: Soru 69: Kurumunuz Uluslararası Entegre raporlama (<IR>) Çerçevesi temelinde bir yıllık entegre rapor çıkartmayı planlıyor mu? Soru 70:
Kurumunuz sürdürülebilirlik hakkında bir rapor çıkartmayı planlıyor mu? “Evet, bu yıl”; “Evet, gelecek 2 veya 3 yıl içerisind e bir zamanda” ve “Evet,
gelecekte belirlenmemiş bir noktada” yanıtlarını içermektedir. Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor edildi, n = 3.746; 3.346
İç Denetim Birimi, Entegre Raporlama Ve Sürdürülebilirlik
Raporlamasini Desteklemek İçin İyi Bir Konumdadir
İç denetim birimi, entegre raporlama uygulamasını desteklemek için özgün bir niteliğe
ve konuma sahiptir. Avrupa iç denetçiler enstitülerinin yayımladığı son raporlardan
birinde belirtildiği gibi, İç Denetim Yöneticileri, bir kurumun entegre raporlama
sürecinde merkezi öneme sahip olan kilit oyuncularla rutin olarak etkileşim içine
girmektedirler.7 Uygun örgütsel bağımsızlıkla ve sağlam bir iş anlayışıyla, iç denetim
birimi, entegre raporlamanın kredibilitesini artırmak için gereken güvenceyi
sağlayabilir ve örgüt birimleri arasındaki iletişimin tutarlılığının güçlendirilmesine
yardımcı olabilir. Sürdürülebilirlik raporlaması için de hemen hemen aynısı
söylenebilir. Tarihsel olarak sürdürülebilirlik raporlamasında yer almamış bulunmasına
rağmen, iç denetim, iş süreçleri üzerindeki etkisini bildirerek değer katabilir. Global
Raporlama İnisiyatifi Teknik Danışma Komitesi Başkanı ve Deloitte’un eski ortağı
olan Eric Hespenheide, “Sürdürülebilirliğin etkilerini anlamadan ve iş süreçlerinin
sürdürülebilirlik verilerini nasıl kapsadıklarını tam kavramadan hiç kimse anlamlı bir
entegre raporlama yapamaz,” demektedir.
7
“Enhancing Integrated Reporting - Internal Audit Value Proposition” (Entegre
Raporlamayı Geliştirmek – İç Denetim Değer Önermesi) (IIA-Fransa, IIA-Hollanda, IIANorveç, IIA-İspanya, IIA-İngiltere ve İrlanda, 2015).
14
Bu raporlara duyulan ilginin artması, İç Denetim Yöneticileri için, kendi
kurumları ile daha fazla iç içe olma, sürdürülebilirlik risklerinin etkisi hakkında
içgörü sunma ve sürdürülebilirlik verilerinin güvenilirliği hakkında güvence
sağlama fırsatlarını sunar. Ayrıca, entegre raporlama ve sürdürülebilirlik
raporlamasının popülaritesi, iç denetime, lider bir teknoloji üretim şirketinin
misyon açıklamasında belirtildiği gibi, “daha iyi bir karar alma süreci yaratma”
fırsatını da sunmaktadır.
Entegre raporlama ve sürdürülebilirlik raporlaması gereksinimleri tüm dünyada
arttıkça, İç Denetim Yöneticilerinin aşağıda yer verilen tedbirler ile liderlik
göstermesi mümkündür:
• Sürdürülebilirliğin iş üzerindeki etkisini anlamak için paydaşlarla bağlantı
kurarak ve kurumun kültürünü değerlendirerek entegre raporlama ve
sürdürülebilirlik raporlaması konusunda sağlam bir anlayış temeli
GELİŞTİRMEK.
• Finansal olmayan ilgili veriler, bu verilerin kullanım süreçleri ve prosedürleri ve iç
denetim için gelişme amacına yönelik danışmanlık hizmetleri verme fırsatlarını
TANIMLAMAK.
• İç denetimin mevcut veri ve yönetim sistemlerinin kalitesi hakkında güvence
sağlayabileceği alanları – örneğin, tedarik zinciri denetimleri – tespit etmek için
kilit paydaşlarla İŞBİRLİĞİ YAPMAK.
• Entegre raporlama ve sürdürülebilirlik raporlamasını destekleyen süreç ve
sistemlere yönelik güvence ve danışmanlık hizmetleri için kapsamlı bir denetim
stratejisi YARATMAK – Paydaşlar ile uyumun sağlanmasına yardımcı olmak için
bir geri bildirim mekanizmasını da sürece dahil etmek.
15
BASKIYI YÖNETMEK
İç Denetim Yöneticilerinin başarılı olabilmesi için, kurumlarının karşı karşıya olduğu
çok çeşitli ve hassas sorunlarla baş edebilmelerini mümkün kılacak düzeyde, politik
baskılarla etkili bir biçimde mücadele etme cesaretlerinin bulunması gerekir. IIA
Araştırma Vakfı’nın yeni bir raporunda8 da belirtildiği gibi, bazı İç Denetim
Yöneticileri, politik mayın tarlalarından başarılı bir şekilde geçebilmek için gerekli
cesaret ve diplomasiyi sergileyebilmektedirler. Haber bültenleri ise bu çabalarında
başarısız olmuş başka iç denetim liderlerine işaret etmektedir. Bu alanda başarıya
katkıda bulunan pek çok faktör mevcut olup bunlar, raporlama hatları, kişisel ve
kurumsal hedefler, yönetim kurulunun desteği ve Standartlara uyum olarak ifade
edilebilir.
Ankete verilen yanıtlar, İç Denetim Yöneticilerinin politik baskıyla etkin bir
şekilde baş edebilmek için dikkat etmeleri gereken belirli alanlara işaret
etmektedir.
İç Denetim Yöneticisi Üzerindeki Baskıyla İlgili Bulgular
RAPORLAMA HATLARI. Bir iç denetim biriminin kendi ana organizasyonu
içerisindeki konumunun birimin misyonunu etkin bir şekilde yürütme ve yönetme
kabiliyetiyle çok yakın bir bağlantısı vardır. İç Denetim Yöneticisi veya
eşdeğerinin kurum içindeki asli fonksiyonel raporlama hattı (hiyerarşik bağları)
sorulduğunda, İç Denetim Yöneticisi katılımcıların yüzde 72’si denetim komitesine
(veya eşdeğerine) veya yönetim kuruluna bağlı olduklarını belirtmişlerdir (Ek 6’ya
bakınız). Bu tip bir raporlama yapısı idealdir, çünkü bir İç Denetim Yöneticisinin
denetim süreci üzerinde uygunsuz bir baskı kaynağı olma ihtimali bulunmayan kilit
paydaşların görüş, tavsiye ve desteklerini almasına olanak sağlar. Ancak bununla
birlikte, Anket katılımcılarının yüzde 19’u fonksiyonel olarak CEO’ya, başkana ya
da bir kamu kurumu başkanına bağlı olduklarını belirtmişlerdir. Katılımcıların
yüzde 4’ü ise CFO’ya (Finanstan Sorumlu Başkan Yardımcısı) bağlı olduklarını
ifade etmişlerdir.
Başarılı bir denetim yapabilmek için, İç Denetim Yöneticilerinin denetlemeleri gereken
kişilerin kontrolünden bağımsız olmaları gerekir. Bu açıdan, kontrolden bağımsız olmayı
sağlamak için raporlama hatları kritik öneme sahiptir, fakat bunlar kendi başlarına
yetersizdirler. İç Denetim Yöneticilerinin bir gözetim grubuna bağlı olan yüzde 72’si için,
raporlamanın sağlam, açık, işbirliğine yatkın ve dürüst olması gerekir – tüm bu faktörler
denetim konusunda cesaretli bir yaklaşımın güçlendirilmesine hizmet ederler. Bu pozitif
özelliklere ulaşmak, kilit yöneticilerle yakın profesyonel ilişkiler kurulmasını ve
sürdürülmesini gerektirir. Ayrıca, İç Denetim Yöneticilerinin yüzde 29’u hem fonksiyonel
hem de idari olarak yönetime bağlı olduklarını ifade etmişlerdir. Bu İç Denetim
Yöneticileri politik baskılarla başa çıkmakta çok daha büyük zorluklar yaşayabilirler.
8
Dr. Larry Rittenberg ve Patricia K. Miller, The Politics of Internal Auditing (İç Denetim
Politikası) (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation,
2015).
16
KARİYER PLANLAMASI. Anket sonuçlarına göre, iç denetim yöneticilerinin yüzde 29’u, bir denetim bulgusunun
veya raporunun değiştirilmesi için politik baskı altında kaldıklarını ifade etmektedirler. Bu baskıların yakınlık ve verilen
değerin kaybedilmesinden rütbe indirimine veya işin kaybedilmesine kadar değişebilen önemli sonuçlarının olabileceği
açıktır. Kariyer planlamaları sorulduğunda, İç Denetim Yöneticilerinin yüzde 72’si gelecek beş yıl içerisinde iç denetim
mesleğinde kalmayı planladıklarını söylerken, yüzde 9’u ayrılmayı planladığını söylemiştir. Kalanlar ise emin değildir
ya da farklı görevler üstlenmeyi planlamaktadırlar (Ek 7’ye bakınız).
Ek 6: İç Denetim Yöneticisi İçin Fonksiyonel Raporlama Hattı
Sahara-Altı Afrika
87%
11% 0% 2%
Kuzey Amerika
80%
8%
Güney Asya
79%
11%
Orta Doğu ve Kuzey Afrika
75%
Avrupa ve Orta Asya
Doğu Asya ve Pasifik
71%
62%
Global Ortalama
0%
10%
20%
30%
Yönetim Kurulu, Denetim Komitesi veya eşdeğeri
CFO, Finanstan Sorumlu Başkan Yardımcısı
72%
40%
4%
2%
8%
20%
20%
63%
8%
2%
3%
4% 6%
27%
3% 6%
30%
3% 5%
19%
50%
60%
70%
80%
CEO, Başkan, Kamu Kurumu Başkanı
Diğerleri
4% 5%
90%
100%
Not: Soru 74: Kurumunuzda iç denetim yöneticisi (CAE) veya eşdeğeri için asli fonksiyonel raporlama hattı nedir? Sadece İç Denetim Yöneticileri. Ankette şu ifade
edilmiştir: “fonksiyonel raporlama, iç denetim tüzüğünün ve denetim planının onaylanması, iç denetim yöneticisinin değerlendirilmesi ve iç denetim yöneticisi için ücret
tespiti de dahil, iç denetim birimi sorumluluklarının gözetimine atıf ta bulunur.” n = 2.599. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir
Meslekten ayrılmayı planlayan İç Denetim Yöneticilerinin yanı sıra, pek çok denetim lideri de politik baskılardan
kaynaklanan sorunlarla karşı karşıya kalmaktadır. İç denetim mesleğinde kalmayı planlayan İç Denetim
Yöneticilerinin yüzde 72’si, kurumları onların politik baskıya gösterdikleri dirence saygı göstermekte istekli
davranmazsa, kariyer değişikliklerini ve dış seçenekleri araştırmak zorunda kalacaklarını belirtmektedir. İç denetimin
sadece bir kariyer basamağı olduğu rotasyonlu İç Denetim Yöneticileri de dahil, iç denetim mesleğini bırakmayı
planlayan İç Denetim Yöneticilerinin, İç Denetim Yöneticisi olarak sorumluluk ve görevlerini yerine getirmelerinin
ana kurum içerisindeki uzun vadeli kariyer seçeneklerine göre ağır basıp basmadığına karar vermeleri gerekmektedir.
DESTEK VE ERİŞİM. İç denetim için yönetim kurulu desteğine ilişkin anket sonuçları, bunun dikkate alınmaya
değer bir alan olması gerektiğine işaret etmektedir. İç Denetim Yöneticilerinin yarıdan biraz fazlası (yüzde 57),
kurumsal yönetim politikaları ve prosedürlerinin gözden geçirilmesi konusunda yönetim kurulunun tam desteğine sahip
olduklarını rapor ederken, yüzde 43’lük önemli bir kesim de sadece biraz destek alabildiklerini ya da hiç destek
alamadıklarını rapor etmişlerdir. Kurumsal yönetim politikaları ve prosedürleri, sıklıkla, iç denetçileri, yöneticilerin
ücretleri, etikle ilgili programlar, yönetim ile yönetim kurulu arasında bilginin serbest akışı, yönetimin kurumsal
politikalardan muafiyeti, vb. gibi yönetim üzerinde doğrudan kişisel etkiye sahip alanlara sürüklemektedir. Bir İç
Denetim Yöneticisi başa çıkmanın cesaret gerektirdiği hassas bulgularla karşılaştığı takdirde yönetim kurulunun
desteği kritik bir önem arz eder.
17
Ek 7 – İç Denetim Mesleğinde Kalmayı Planlayan İç Denetim Yöneticileri
85%
75%
74%
77%
72%
67%
63%
Doğu Asya &
Pasifik
74%
Avrupa &
Orta Asya
Latin Amerika Orta Doğu &
& Karayipler
Kuzey Afrika
Kuzey
Amerika
Güney
Asya
Sahara-Altı
Afrika
Global
Ortalama
Not: Soru 36: Gelecek beş yıl içerisinde, iç denetimle ilgili kariyer planlarınız nelerdir? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar
rapor edilmiştir. n = 3.108
Ek 8 - Kısıtlanmamış Erişim Olanağına Sahip
Olduklarını Rapor Eden İç Denetim Yöneticileri
60%
65%
58%
57%
54%
48%
38%
34%
Doğu Asya &
Pasifik
Avrupa &
Orta Asya
Latin Amerika Orta Doğu &
& Karayipler Kuzey Afrika
Kuzey
Amerika
Güney
Asya
Sahara-Altı
Afrika
Global
Ortalama
Not: Soru 53: Sizin kanaatinize göre, kurumunuzda iç denetim departmanının denetim faaliyetlerinin yürütülmesi için uygun olarak personel kayıtları ve
objelerine tam ve kısıtlanmamış erişim olanağı var mıdır? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar rapor edilmiştir. n = 2.765.
18
Anket katılımcılarına, iç denetim çalışmaları yapılırken iç denetim biriminin gerekli
kayıtlara ve varlıklara erişim olanağına sahip olup olmadığı da soruldu. İç Denetim
Yöneticilerinin az bir farkla çoğunluğu (yüzde 54), iç denetim biriminin iç denetim
çalışmalarını yaparken personel kayıtları ve varlıklarına tam ve kısıtlanmamış erişim
olanağına sahip olduğunu ifade etti (Ek 8’e bakınız). Bu, kurumların yarıdan biraz daha
azında, İç Denetim Yöneticilerinin işle ilgili konularda personelden dokümantasyon
almalarının engellenebileceği anlamına gelmektedir – kısıtlanmamış erişim iç
denetçiler için yaşamsal öneme sahiptir.
STANDARTLARA UYUM: Politik olarak popüler olmayan pozisyonlar üstlenen İç
Denetim Yöneticileri yönetimin gözetimi altındadırlar ve bu nedenle, yaptıkları işleri
etkin bir şekilde dokümante etmeleri gerekir. Yetersiz, eksik ve zayıf bir şekilde
yapılandırılmış denetim işine karşı en iyi savunma, Standartlara güçlü bir bağlılık ve
uyumdur. Standartlara etkin uyum, sağlam bir Kalite Güvencesi ve Geliştirme
Programı (QAIP) gerektirir. İç Denetim Yöneticisi katılımcıların sadece yüzde 34’ü,
iyi tanımlanmış bir QAIP’ye sahip olduklarını söylemişlerdir (Ek 9’a bakınız). İç
Denetim Yöneticilerinin üçte birlik bir kısmı da, QAIP’lerinin geliştirilmekte olduğunu
belirtmiştir. Kalan üçte birlik kısım ise, böyle bir programlarının bulunmadığını ya da
ad hoc bir programlarının bulunduğunu ifade etmiştir. Denetim süreçleri paydaşların
detaylı sorgulamasına hazır olamadıkları takdirde, İç Denetim Yöneticileri cesaretli bir
tutum takınmakta güçlük çekeceklerdir.
Ek 9: Kalite Güvencesi ve Geliştirme Programının Olgunluk Seviyesi
Avrupa & Orta Asya
42%
Kuzey Amerika
40%
Sahara-Altı Afrika
30%
Orta Doğu ve Kuzey Afrika
30%
Güney Asya
Global Ortalama
33%
32%
Doğu Asya ve Pasifik
32%
22%
36%
43%
19%
34%
27%
34%
49%
34%
27%
49%
44%
20%
26%
31%
37%
0%
10%
20%
30%
40%
50%
60%
70%
En azından dış kalite incelemesini de kapsayan iyi tanımlanmış bir program
Geliştiriliyor
29%
80%
90%
100%
Yok ya da ad hoc
Not: Soru 47: Kurumunuzda kalite güvencesi ve geliştirme programı (QAIP) ne kadar gelişmiştir? Sadece İç Denetim Yöneticileri. Ankette “İyi
tanımlanmış” yanıtı, “Dış kalite incelemesi de dahil iyi tanımlanmış” yanıtını ya da “dış kalite incelemesi ve sürekli geliştirme ve personel eğitimi
faaliyetlerine resmi bir bağlantı da dahil iyi tanımlanmış” yanıtını da içermektedir. n = 2.833
19
Her kurum diğerinden ayrı olmasına rağmen, tüm İç Denetim Yöneticilerinin
hassas konularla etkin bir şekilde başa çıkma kabiliyetlerini güçlendirmeleri
gereklidir. Bu amaçla, İç Denetim Yöneticileri:
• İç denetime hassas konuları doğrudan doğruya gözetim organizasyonunun
üyeleriyle (örneğin, yönetim kurulu) ele alabilmek için gereken bağımsızlığı
kazandıran raporlama hatları ve ilişkileri GELİŞTİRMELİDİRLER. Örgütlenme
şemalarına veya resmi ilişkilere çok fazla bel bağlamaktan kaçınmalıdırlar.
• Hassas konuların İç Denetim Yöneticisinin rolü veya kariyeri üzerine
yapabileceği etkiyi ÖNGÖRMELİDİRLER. Bu, özellikle, aynı kurum
içerisinde iç denetimin dışında bir alana geçmeyi planlayan İç Denetim
Yöneticileri için söz konusudur.
• Kurum çapında yüksek riskleri denetlemek için gereken paydaş desteğini ve
erişim olanağını KAZANMALIDIRLAR.
• Denetim çalışmalarının paydaşların detaylı sorgulamasına dayanabilmek için
yeterli kalitede yürütülüp yürütülmediğini teyit etmek için iç denetimin sağlam bir
QAIP’sinin bulunduğundan EMİN OLMALIDIRLAR.
20
SONUÇ
Mevcut iş ortamında, yeni gelişen risklerden ve devamlı değişimden dolayı, iç
denetimin daha duyarlı, esnek ve iş bilir olması gerekmektedir. Risk gözetim
görevlerinin ifasında yönetim kuruluna yardımcı olma sorumluluklarını benimsemiş
bulunan İç Denetim Yöneticileri, kendilerini bu dinamik ortamda başarıyla hareket
edecek şekilde konumlandırmaktadırlar. Bu nedenle, 2015 İç Denetimin Global
Nabzı raporu, geniş risk görüşlerini ve esnek denetim planlamasını – ve aynı
zamanda, iç denetimin etkinlik alanını politik baskılara direnecek şekilde genişletme
cesaretini – savunmaktadır.
Yeni gelişen riskleri ister resmi risk değerlendirmeleri yoluyla ister gayri resmi
konuşmalar yoluyla değerlendirsinler, İç Denetim Yöneticileri, bu bilgileri denetim
planında ayarlamalar yapabilecek şekilde kullanmalıdırlar. Bir kurumun risk profili
ne kadar değişkense, denetim planı da o kadar esnek ve hassas olmalıdır. İç denetim
bakış açısını kurumsal riskleri de kapsayacak şekilde genişlettikçe, İç Denetim
Yöneticileri – bu riskleri kimin yönettiğine bakılmaksızın – kurumsal risk
değerlendirmeleri için güvence sağlamak üzerinde odaklanmalıdırlar. Ayrıca, iç
denetim, ERM’ye veya bütünleşik güvenceye olan katılımının birimin bağımsızlığını
ve objektifliğini asla tehdit etmemesini de sağlamalıdır.
Kurumsal kaygılar, karar almak için kullanılan finansal ve finansal olmayan veri ve
bilgileri içermektedir. Daha somut ifade edersek, paydaşlar, entegre raporlama ve
sürdürülebilirlik raporlaması gibi finansal olmayan raporlama konularına da daha
fazla ilgi göstermektedirler. Bu, iç denetimin daha önce ele alınmamış alanlarda
güvence sağlayarak etki alanını genişletmesi için fırsatlar sunmaktadır. Bu konuda ilk
adım, sürdürülebilirliğin kurum üzerindeki etkilerini ve iç denetimin ilgili riskleri
değerlendirmek için gerekli tedbirlere destek olabileceği alanları anlamaktır.
Mesleğe yönelik değişen talepleri karşılayabilmek için, İç Denetim Yöneticilerinin
kendi pozisyonları üzerindeki politik baskılara da direnmeleri gereklidir. İç denetim,
bu baskılarla baş edebilmek için uygun savunma mekanizmalarına – bağımsızlık,
yönetim kurulu desteği ve kaliteli bir iç denetim fonksiyonu – ihtiyaç duyar. Bir İç
Denetim Yöneticisi, bu alanları etkileyebildiği ölçüde, iç denetimin kurum içerisinde
sahip olduğu erişim olanağının derecesini de etkileyebilir ve kendi objektif karar
alma mekanizmasını koruyabilir.
Kısaca, eski İç Denetim Yöneticisi ve şu an meslekte kanaat önderi olan Douglas
Anderson’un ifade ettiği gibi: “Şimdi İç Denetim Yöneticilerinin kayıtsız ve ilgisiz
olmalarının zamanı değil. Etrafımızdaki dünya hızla değişiyor. Sadece reaksiyon
göstermekle kalmamamız, fakat aynı zamanda hazırlıklı olmamız gerekiyor. Risk
üzerine, işinizin kapsamı üzerine ve politik baskılarla nasıl başa çıkabileceğiniz
üzerine odaklanınız.”
21
EK
Doğu Asya &
Pasifik İDY ve
Direktörler
Avrupa & Orta Asya
İDY ve Direktörler
= n=977
Avustralya...........62
Çin
n = 1,355
24
Sahara-Altı Afrika
İDY ve Direktörler
n = 166
n = 317
Bangladeş........24
Güney Afrika .....106
Brezilya..............92
Umman ............24 ABD………. ...880
Hindistan........128
Tanzanya …......55
Şili ..................70
Suudi Arabistan..119
Diğer.................14
Uganda..............20
Kolombiya .........55
............81 Estonya.............25
Kosta Rika .........56
Yeni Zelanda ......22 Fransa .............124
Ekvator.............38
Filipinler
Almanya..........126
El Salvador.........33
Singapur ..........49
Yunanistan.......57
Meksika..............77
Tayvan .............179
Italya.................82
Nikaragua ..........20
Diğer .................43
Letonya............22
Panama .............32
Polonya.............41
Peru ..................45
Romanya............23
Uruguay.............25
Rusya ...............27
Diğer .................71
.........23
n = 999
Güney Asya
İDY ve
Direktörler
İsrail ...................58 Kanada ............119
Danimarka ........30
Malezy
n = 394
Kuzey Amerika
İDY ve
Direktörler
...........61
Avusturya............37 Arjantin
Endonezya.........52 Çek Cum.
Orta Doğu & Kuzey
Afrika İDY ve
Direktörler
n = 675
...............290 Hırvatistan...........21
Japonya............176
Latin Amerika &
Karayipler İDY ve
Direktörler
BAE ………… 120
Diğer.................73
Zimbabve..........36
Diğer...............100
Sırbistan.............22
Slovenya .............31
İspanya..............128
İsveç
İsviçre
..............35
......166
Türkiye ...............69
Ukrayna............21
Birleşik Krallık..47
Diğer...........197
Not: S6: Hangi bölgede yerleşiksiniz veya çalışmaktasınız? Ankete katılanlar önce bulundukları bölgeyi sonrasında ise ülkeyi seçmişlerdir. Alınan cevaplar
Dünya Bankası tarafından belirlenen 7 bölgeye göre dağıtılmıştır. Sadece İDY ve direktörlerden alınan cevaplar raporlanmıştır. “Diğer” kalemi 20’den daha az
sayıda cevap alınan ülkeleri ifade etmektedir. n=4,883. Küresel bir bölge belirtmeyenlerin cevapları dahil edilmemiştir.
22
GLOBAL HEADQUARTERS
247 Maitland Avenue
Altamonte Springs, FL 3270 1-420I
www.globaliia.org
201$.0718

2015 İç Denetimin Global Nabzı

Transkript

Benzer belgeler

değişim için denetim

Letter to care recipient advising of visit

General Procurement Notice (Türkçe Tercümesi)

ULTRAPROBE 10,000

buradan - PODEM | Kamusal Politika ve Demokrasi Çalışmaları

Advanced Chemical Process Control

Birleşik Krallık ve Avrupa Birliği`nde ç Kontrol

2011 - Türkiye İç Denetim Enstitüsü