2015 İç Denetimin Global Nabzı · 2015. 7. 17. · Embracing Opportunities in a Dynamic...

2015 İç Denetimin Global Nabzı

Dinamik Bir Ortamda Fırsatları Yakalamak

Temmuz 2015

This report is driven by The IIA Research Foundation™

Common Body of Knowledge® (CBOK®)

Embracing Opportunities in a Dynamic Environment

TELİF HAKKI UYARISI

Telif Hakkı © 2015 The Institute of Internal

Auditors (IIA), 247 Maitland Ave., Altamonte

Springs, FL, 32701 U.S.A.’ya aittir. Tüm

hakları saklıdır. Amerika Birleşik

Devletleri’nde yayımlanmıştır. Bu yayının

kendi amaçları haricinde, bu dokümanın

okuyucuları IIA’in iznini almadan bu yayını

çoğaltamaz, tekrar dağıtıma sokamaz, teşhir

edemez, kiraya veremez, kiralayamaz, tekrar

satamaz, ticari amaçla kullanamaz ya da burada

bulunan istatistiksel ve diğer verileri

uyarlayamaz.

BU YAYIN HAKKINDA

Bu raporda verilen bilgiler niteliği gereği genel

bilgilerdir ve herhangi bir belirli gerçek kişi, iç

denetim birimi veya kuruma atıfta

bulunmamaktadır. Bu dokümanın amacı,

bilgileri ve diğer iç denetim uygulamaları,

eğilimleri ve sorunlarını paylaşmaktır. Buna

rağmen, hiçbir gerçek kişi, iç denetim birimi

veya kurum, bu dokümanda verilen bilgilere,

gereken uygun incelemeleri yapmadan veya

gereken uygun kişi ve kurumlara danışmadan

dayanmamalıdır.

CBOK HAKKINDA

Global İç Denetim Ortak Bilgi Tabanı (CBOK),

iç denetim mesleği hakkında dünyanın en

büyük devamlı araştırmasının adıdır. Dünya

çapındaki IIA enstitülerinin desteklediği

CBOK, iç denetim uygulamacıları ve onların

paydaşları hakkında kapsamlı araştırma ve

çalışmaları kapsamaktadır. CBOK hakkında

daha fazla bilgi almak için, www.theiia.org/CBOK’u ziyaret ediniz.

DENETİM YÖNETİM

MERKEZİ HAKKINDA

IIA’in Denetim Yönetim Merkezi®, CAE’leri (İç

Denetim Yöneticileri) daha başarılı olmaları için

destekleyen temel kaynaktır. Merkez’in bilgi, ürün

ve hizmetleri, CAE’lerin mesleğin gelişen

risklerine ve özgün sorunlarına cevap

verebilmelerine imkan sağlar. Merkez hakkında

daha fazla bilgi almak için, www.theiia.org/cae’yi ziyaret ediniz.

İÇİNDEKİLER TABLOSU

Giriş........................................................................................................4

Metodoloji & Demografik Bilgiler...........................................................5

Gelişen Yeni Risklere Karşılık Vermek...................................................6

Kurum Çapında Geçerli Bir Risk Görüşü Edinmek .................................9

Bütüncül Raporlama İç Denetim Fırsatlarını Artırıyor.......................... 13

Baskıyı Yönetmek................................................................................ 16

Sonuç ................................................................................................... 21

Ekler...................................................................................................... 22

3

http://www.theiia.org/CBOK'u

http://www.theiia.org/cae'yi

4 THE INSTITUTE OF INTERNAL AUDITORS

GİRİŞ

Bugün, iç denetimin rolünü ve görevini tanımlama sorunu, dinamik iş ortamı sebebiyle

her zamankinden daha karmaşık bir hal almış bulunmaktadır. Yeni gelişen riskler hiç

yavaşlamayacakmış gibi görünmekte; paydaşların riskler hakkında kapsamlı bir görüşe

sahipolma talep ve ihtiyacı bulunmakta; yeni raporlama modelleri ortaya çıkmakta ve iç

denetim yöneticileri (CAE) sık sık politik baskılarla karşı karşıya kalmaktadırlar.

Bu yıla ilişkin bu meseleleri ele alabilmek için, IIA’nın Denetim Yönetim Merkezi®,

The IIA Research Foundation™ (IIARF™) ile işbirliği yaparak, İç Denetimin Nabzı

araştırma sorularını, 2015 Global İç Denetim Genel Bilgi Tabanı® (CBOK®)

Uygulamacı Anketine dahil etmiştir. Bu sayede, rekor sayıda İç Denetim Yöneticisine

ulaşarak,2015 İç Denetimin Global Nabzı raporu için bilgilerine başvurma imkanını

yakalamış bulunuyoruz.

Bu raporda dört ana tema ele alınmaktadır:

• Kurumlar için riskler hızla ortaya çıkmaya devam etmekte ve yıllık risk

değerlendirmesi artık yeterli olmamaktadır. İç Denetim Yöneticilerinin yeni ortaya

çıkan ve gelişen riskleri hızla kavramaları; bu yeni bilgiye cevaben denetim planlarını

sık sık revize etmeleri ve bu değişiklikleri temel paydaşlarına etkin ve verimli bir

biçimde bildirmeleri gerekmektedir.

• Riskler izole yapılar içerisinde görülemezler, geniş yorumlanmaları ve

değerlendirilmeleri gerekir. İç denetimin de aynı geniş bakış açısına sahip olması

gerekmektedir. Bu, iç denetimin, risklerin tanımlanması, değerlendirilmesi ve

risklere karşı güvence sağlanması konularında diğer risk fonksiyonları ve

birimleriyle yakın işbirliği içinde çalışması gerektiği anlamına gelmektedir.

• Kurumlar için dış raporlama sadece finansal raporlamadan daha fazla bir anlam ifade

etmektedir. Sürdürülebilirlik raporlaması ve entegre raporlama kullanımı da artmıştır.

Her iki tip rapor da iç denetimin uzmanlığından ve içgörüsünden faydalanmalıdır. İç

Denetim Yöneticileri, bu fırsattan istifade ederek kendi kurumlarına daha fazla değer

katabilirler.

• Politik baskılar başarı ile yönetilebilir. Bunu yapabilmek için, İç Denetim

Yöneticilerinin raporlama hatlarını en uygun hale getirmeleri; iç denetim

faaliyetlerini yürütürken yaptıkları seçimlerin objektiflikleri üzerindeki etkisini

değerlendirmeleri; gereksinim duydukları bilgilerin tümüne erişime sahip olmak

konusunda ısrar etmeleri ve yaptıkları işin zorluklara karşı koyabilecek düzeyde

yüksek kaliteli olmasını sağlamaları gerekmektedir.

İç Denetimin Global Nabzı raporuyla, sizlerin kurumlarınızı ve bu mesleği ilerletme

çabalarına destek olmayı ümit ediyoruz.

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA

Başkan ve CEO

The Institute of Internal Auditors


5

METODOLOJİ VE DEMOGRAFİK BİLGİLER

IIARF ile işbirliği içerisinde, IIA’nın Denetim Yönetim Merkezi, İç Denetimin Nabzı araştırma sorularını, 2015 Global İç

Denetim Genel Bilgi Tabanı (CBOK) Uygulamacı Anketine dahil etti. Bu da, 166 ülkeden 14.500’den fazla kullanılabilir

yanıtın CBOK raporlarına dahil edilmesiyle sonuçlandı. Tüm yanıtlar anonimdi. Anket çalışması, 2 Şubat 2015 ile 1 Nisan

2015 tarihleri arasında devam etti. Çevrimiçi anket linki, enstitü e-posta listeleri, IIA web siteleri, haber bültenleri ve sosyal

medya aracılığıyla dağıtıldı. Kısmen doldurulmuş anket formları da, demografik soruların tam yanıtlanmış olması şartıyla

kullanılabilir kabul edildiler.

2015 İç Denetimin Global Nabzı raporu için, 3.344 İç Denetim Yöneticisi veya eşdeğerinden ve 1.630 direktör veya kıdemli

yöneticiden alınan anket yanıtları analiz edildi. Bu raporda, bu iki gruptan, İç Denetim Yöneticileri ve direktörler olarak söz

edilmektedir. Açıkça aksi belirtilmedikçe, bu raporda verilen veri ve bilgiler, İç Denetim Yöneticisi ve direktör yanıtlarının

analizinden elde edilen veri ve bilgilerdir. Bazı durumlarda, sadece İç Denetim Yöneticisi katılımcıların yanıtları analiz

edilmiştir. Lütfen, bu raporda yer verilen verilerin Ankete katılanların yanıtları arasındaki ortalamaları temsil ettiğini ve belirli

bir bölgedeki iç denetçi popülasyonunun tamamına genellenemeyeceğini dikkate alınız.

İç Denetim Yöneticileri ve direktörler, bu Ankete, yer, tip, boyut ve sektör açısından çok büyük değişkenlik ve farklılık

gösteren kurumlardan katıldılar. Bu katılımcıların en büyük grubu (yüzde 28) esas olarak Avrupa ve Orta Asya’da

çalışıyorlardı – bu grubu her biri yüzde 20 ile Doğu Asya & Pasifik bölgesi ve Kuzey Amerika bölgesi takip ediyordu. Ek

olarak, Latin Amerika & Karayipler’den katılanlar yüzde 14’ü, Orta Doğu ve Kuzey Afrika’dan katılanlar yüzde 8’i, Sahra Altı

Afrika’dan katılanlar yüzde 6’yı ve Güney Asya’dan katılanlar yüzde 3’ü temsil ediyorlardı. İç denetim yöneticileri ve

direktörlerin ülke ve bölge bazındaki detaylı dağılımları için ekler bölümüne bakınız.

Ankete katılan İç Denetim Yöneticileri ve direktörler, farklı türlerde kurumlardan geliyorlardı: yüzde 35’i kurumlarını özel

şirket olarak; yüzde 33’ü halka açık şirket olarak ve yüzde 23’ü kamu sektörü olarak tanımladılar.

Çok sayıda İç Denetim Yöneticisi ve direktör (yüzde 34) kurumlarının yıllık gelirinin 1 milyar ABD$ veya daha fazla olduğunu

belirtirken, çoğu katılımcı da yıllık toplam geliri çok daha düşük rakamlarda olduğunu ifade ettiler. Yüzde 34’ü ise yıllık geliri

100 milyon ABD$ veya daha az olarak beyan etti. Benzer şekilde, denetim personeli sayısı da İç Denetim Yöneticileri ve

direktörler arasında çok büyük farklılıklar arz etmekteydi. Çoğunluğu (yüzde 61) bir ile dokuz arasında personel olduğunu

belirtirken, yüzde 12’lik önemli bir kesim 50 veya daha fazla personel bulunduğunu ifade etti.

20 olası yanıt arasından seçim yapıldığında, İç Denetim Yöneticileri ve direktörlerin yüzde 29’u sektörlerini finans ve

sigortacılık olarak tanımladı. Daha yüksek sayılarda temsil edilen diğer sektörler arasında imalattan (yüzde 13) ve kamu

yönetiminden (yüzde 8) söz edebiliriz.


GELİŞEN YENİ RİSKLERE KARŞILIK VERMEK

Dünyanın bilgiye hızlı ve çabuk erişim olanağına sahip olduğu bir çağda, on yıllarca

uğraşılarak biriktirilmiş değeri bir anda tahrip edebilecek riskler bir gecede ve herhangi bir

ön uyarı yapmadan ortaya çıkabilmektedirler. Jeopolitik, makroekonomik ve siber-

bağlantılı sürprizler neredeyse rutin hale gelmiştir. Yeni global tehditlere veya siber

saldırılara atıf yapmadığımız neredeyse tek bir gün geçmemektedir.

İster politik kargaşa ve huzursuzluk, ister deprem, isterse gelişmekte olan bir salgın hastalık

söz konusu olsun, hepsinin iş dünyası üzerinde önemli etkileri olur. Bu yeni ortaya çıkan ve

gelişen risklerin değişkenliği, iç denetim fonksiyonları ve birimleri üzerine müthiş bir baskı

yaratmaktadır. İç denetim fonksiyonları ve birimleri, globalleşmeyle ve karşılıklı

bağımlılıkla ilgili risklerin tanımlanması ve yönetilmesinden birbiri ile bağlantılı global

iletişim kanallarının yaygınlaşmasına kadar değişen çok çeşitli ve farklı sorunlarla mücadele

etmek zorunda kalmaktadırlar.

IIA’nın İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartları (“Standartlar”), iç

denetçilerin bir risk-bazlı planlarının bulunmasını gerektirmektedir. Dolayısıyla, bir kurumun

hedef ve amaçlarına ulaşmasını engelleyen faktörlerden en fazla etkilenme olasılığı bulunan

alanları – en yüksek risk alanları – üzerine odaklanmamız gerekir. Geleneksel ve rutin riskler

kolaylıkla tanımlanır, iyi tanınmaktadırlar ve kolay değerlendirilirler. Yeni gelişen riskler,

özellikle de geçen aya veya bu yıla kadar hiç tanımadığımız riskler, hem tanımlanması hem

de değerlendirmesi en zor olan risklerdir. Fakat tam da bu sebeple, bu riskler çok kritik

önemi haiz olabilirler ve iç denetimin mutlaka bunlar üzerine odaklanması gerekir.

Gelişen Yeni Risklerle İlgili Bulgular DENETİM PLANLAMASI: Ankete katılan İç Denetim Yöneticileri, özellikle, stratejik iş

riski (yüzde 48), Bilgi Teknolojileri (yüzde 42) ve kurumsal yönetim (yüzde 32) – yeni

gelişen risklere özellikle açık ve duyarlı olan alanlar – üzerine odaklandıklarını beyan ettiler.

Aynı zamanda, İç Denetim Yöneticileri, risk değerlendirmelerini gerekenden daha az sıklıkta

olabilecek zaman aralıklarıyla güncellediklerini de rapor ettiler. Sadece yüzde 23’ü kesintisiz

risk değerlendirmesi yaptıklarını ifade etti (Ek 1’e bakınız). İç Denetim Yöneticilerinin

çoğunluğunun denetim planlarını yılda en fazla bir veya iki kere güncellediklerini rapor

etmelerinin sebebi de bu olabilir (Ek 2’ye bakınız). Risklerin değişim hızı yüksek olmasına

rağmen, İç Denetim Yöneticilerinin sadece yüzde 16’sı denetim planı süreçlerinin yeni

gelişen risklere cevap verebilecek kadar esnek olduğunu ifade ettiler.

Bu veriler, İç Denetim Yöneticilerinin yüzde 77’sinin riskleri zamanında

tanımlayamayabileceğini ve yüzde 84’ünün kurumsal kaynak planlama sistemi

güncellemesinin başarısızlığa uğraması, yakın bir rakip şirkette büyük bir siber saldırı ya da

kurumun faaliyet gösterdiği bir ülkede hükümetin bir darbeyle devrilmesi gibi bir krizle

karşılaştığında bu krize güncellenmiş bir denetim planıyla karşılık vermekte gecikeceğini

göstermektedir. İç Denetim Yöneticisi, bu tip sorunların kurum üzerinde bir etkisinin

olmayacağını düşünüyor olabilir, fakat büyük risk olaylarının tarihçesi, kurumların bu tip

riskleri aşma kabiliyetlerine olan aşırı güvenlerinden dolayı bu risklere hızlı ve çabuk cevap

verme konusunda genellikle hazırlıksız olduklarını göstermektedir.

7


Ek 1: Risk Değerlendirmelerinin Sıklığı

Not: Soru 42: İç denetim birimi ne sıklıkta bir risk değerlendirmesi yapar? Sadece İç Denetim

Yöneticileri, n = 2.941. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir.

Ek 2: Denetim Planı Güncelleme Sıklığı

Not: Soru 38: Kurumunuzda denetim planı geliştirme sıklığını nasıl tanımlayabilirsiniz? Sadece İç Denetim

Yöneticileri, n = 3.014. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir.

23%

14%

18%

22%

23%

29%

30%

39%

36%

44%

36%

36%

34%

32%

30%

31%

32%

37%

34%

34%

26%

31%

33%

21%

9%

4%

11%

7%

17%

8%

6%

9%

0% 20% 40% 60% 80% 100%

Global Ortalama

Kuzey Amerika

Orta Doğu & Kuzey Afrika

Avrupa ve Orta Asya

Doğu Asya & Pasifik

Latin Amerika ve Karayipler

Güney Asya

Sahra-Altı Afrika

Sürekli değerlendirme Periyodik resmi güncellemelerle yıllık değerlendirme Resmi güncelleme olmaksızın yıllık değerlendirme Hiç

16%

11%

11%

18%

18%

22%

24%

25%

18%

18%

13%

29%

13%

13%

18%

20%

44%

49%

43%

41%

46%

46%

45%

36%

21%

22%

33%

12%

22%

19%

13%

19%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Global Ortalama

Avrupa & Orta Asya


Kuzey Amerika



Güney Asya

Sahra-Altı Afrika

Çok esnek plan, kurumun değişen risk profiline uydu Yılda bir kez geliştirildi ve riskler değiştikçe üç veya dört kez güncellendi

Her yıl bir kere geliştirildi ve bir veya iki kere güncellendi Her yıl bir kere geliştirildi ve değiştirilmedi


İç denetimin yeni gelişen risklere en açık ve duyarlı olan alanlara olan ilgisinin

artması bu konuda bir ilerleme kaydedilmesine imkan vermektedir, fakat bu ilerleme

hızı yavaştır. İç denetimin kendi geleneksel dahili süreçlerinin hızıyla değil riskin

gelişme hızıyla denetim yapması gerekir.

İleriye Bakmak

Yeni ortaya çıkan ve gelişen risklerin tehdidi, kapsamı ve önemi dikkate alındığında, iç

denetim birimlerinin ve onların çalıştığı kurumların riskleri kesintisiz ve sürekli

değerlendirme ve bu riske hızla cevap verme kabiliyetlerine sahip olmaları şarttır. Riskin

gelişme hızıyla denetim yapmak, İç Denetim Yöneticilerinin, kendi ekipleri içinde, denetim

kapsama alanlarını büyük riskleri ele alacak ve zarar verici sürprizlerden kaçınacak şekilde

ve kesintisiz olarak düzenleme veya yeniden düzenleme kabiliyetlerini geliştirmeleri

gerektiği anlamına gelir. Özellikle global şirketlerin denetim planlarını kendi kurumları

içinde, sektörlerinde ve dünyada olup bitenler bazında sürekli olarak yeniden kalibre

etmeleri gerekir.

İç Denetim Yöneticileri İçin Olmazsa Olmaz Şartlar

Yeni ortaya çıkan ve gelişen riskleri ele alma gerekliliği açıktır. Riskler eşi benzeri

olmayan bir hızda gelişmekte ve ortaya çıkmaktadırlar ve paydaşların sürprizlere olan

tahammülünün yüksek olmadığı açıktır. Aşağıda önerilen eylemler, Imperatives for

Change: The IIA’s Global Internal Audit Survey in Action’dan (Değişim İçin Şartlar:

IIA’nın Global İç Denetim Anketi Çalışması)1alınmıştır:

• Yeni gelişen riskleri tanımlamak ve rapor etmek amacıyla iç denetim içerisinde

süreçler GELİŞTİRMEK:

■ Yeni gelişen risklerin tanımlanması ve değerlendirilmesini iç denetimin kilit

önemde bir yetkinliği haline getirmek.

■ Yeni gelişen sorunlar hakkında bilgi ve görüşleri paylaşmak amacıyla kurumun

birim ve işletmeleriyle eşgüdüm içerisinde olmak.

■ Yeni gelişen dış sorunların tanımlanmasına yardımcı olmak amacıyla dış

kaynaklı veri,bilgi ve iş konularını kullanmak.

• İç denetim planının revize edilmesine yönelik mevcut süreci DEĞERLENDİRMEK

ve kurumun karşı karşıya olduğu riskler değiştikçe daha hızlı hareket etmek ve denetim

planında daha sık değişiklikler yapmak amacını güden bir yaklaşım geliştirmek.

• Değişen riskler ve denetim planının zamanında revize edilmesi gereği hakkında kilit

paydaşlarla (üst yönetim ve yönetim kurulu) İLETİŞİM İÇİNDE OLMAK.

■ İç denetimin “yıllık planı tamamlaması” gereği ile iç denetimin gelişen ve değişen

risklere cevap vermesi gereği arasında uygun bir dengenin kurulması için mutabakat

aramak.

• Değişen riskler konusunda kilit paydaşlara RAPOR SUNMAK ve bu değişiklikleri

doğrudan doğruya denetim planı değişikliklerine bağlamak.

1 Richard J. Anderson ve J. Christopher Svare, “Imperatives for Change: The IIA’s Global

Internal Audit Survey in Action” (Altamonte Springs, FL: The Institute of Internal Auditors

Research Foundation, 2011).

9


KURUM ÇAPINDA GEÇERLİ BİR RİSK GÖRÜŞÜ EDİNMEK

Sorun riskin azaltılması ve hafifletilmesi noktasına gelince, yönetim kurulunun temel ve

asli hedeflerinden biri de, kurumun karşı karşıya olduğu geniş risk çeşitliliği konusunda

kurum çapında bir görüş edinmektir. İç denetim birimleri risk yönetimi ve yönetişimine

bakışlarıyla yönetim kurullarına yardımcı olmak için iyi bir konumda olmalarına rağmen,

bu, hem kurumun niteliği, büyüklüğü ve tipine göre hem de kurumun faaliyet gösterdiği

pazarlara göre değişecektir. Örneğin, daha küçük kurumlarda, iç denetçiler, yönetim

kurullarına, kurumsal risklerin kapsamlı bir resmini çıkartabilmek için gereken bağımsız,

objektif ve bilgiye dayanan içgörülerini sunabilirler. Öte yandan, büyük bir kurumda,

gözetim sorumlulukları ve görevleri konusunda yönetim kuruluna düzenli olarak yardımcı

ve destek olmakla görevli bir kurumsal risk yöneticisi (Chief Risk Officer – CRO)

bulunabilir. Bu durumlarda, iç denetimin rolü, muhtemelen, yönetimin risk tanımlama

faaliyetlerine destek olmayı kapsayan yardımcı ve bağlı bir rol olacaktır.

Sermaye piyasaları mevzuatından kaynaklanan düzenleyici faaliyetler de yönetim

kurulunun gözetim sorumluluklarını yönlendirir ve bir şirketin risk yönetim faaliyetlerinin

bağıl olgunluğuna katkıda bulunur. Örneğin, hisseleri Londra Menkul Kıymetler

Borsası’nda işlem gören şirketleri düzenleyen Birleşik Krallık Kurumsal Yönetim

Kanunu’na2 (B.K. Kanunu) göre, yönetim kurulu, “stratejik hedeflerine yönelik

çalışmalarında üstlenmeyi kabul ettiği temel risklerin niteliğini ve kapsamını belirleme” ve

“sağlam risk yönetim ve iç kontrol sistemleri” kurma ve sürdürme sorumluluğunu üstlenir.

B.K. Kanunu, yönetim kuruluna, kurumsal raporlama, risk yönetimi ve iç kontrol

prensiplerinin uygulanması etrafındaki düzenlemeleri belirleme ve yapma sorumluluğunu

da yükler.

İç denetim biriminin risk gözetim sorumlulukları konusunda yönetim kuruluna yardımcı

ve destek olmak için kullandığı teknikler, basit çalışma kağıtlarından karmaşık sistemlere

kadar değişmektedir. Bu tekniklerin amacı, bir kurumsal risk yönetimi (ERM) ve

bütünleşik güvence bakışı sağlamaktır.

Kurum Çapinda Risk Görüşü İle İlgili Bulgular ERM’nin (kurumsal risk yönetimi) kurum çapında risk profili çıkartmak için kullanılan

ortak bir yöntem olduğunu dikkate alarak, Anket, ERM içinde güncel iç denetim

sorumluluklarının tam ve doğru bir resmini çıkartmayı amaçlamıştır. Ankette rapor edildiği

gibi, İç Denetim Yöneticisi ve direktör katılımcıların yüzde 47’si münferit riskler üzerinde

güvence sağlarken, yüzde 46’sı bir bütün olarak risk yönetimi üzerinde güvence sağlamakta,

yüzde 56’sı ise risk yönetim faaliyetleri konusunda tavsiye ve danışmanlık sunmaktadır.

Kendi kurumlarının risk yönetim süreçlerinin göreceli olgunluğunu tanımlamaları

istendiğinde, bu katılımcıların yüzde 37’si risk yönetim süreçlerini gayri resmi veya daha

yeni gelişen bir süreç olarak tanımlamışlardır; yüzde 29’u resmi risk yönetim süreçleri ve

prosedürlerinin bulunduğunu bildirmiştir; yüzde 24’ü ise kurumlarının bir kurumsal risk

yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM sürecinin bulunduğunu söylemiştir (Ek

3’e bakınız).

2 Birleşik Krallık Kurumsal Yönetim Kanunu (Londra: Finansal Raporlama Konseyi, 2014), 17.


Ek 3: Risk Yönetim Süreçlerinin Olgunluğu

N o t : S o r u 5 8 : K u r u m u n u zu n r i s k yö n e t i m sü r e ç l e r i n i n g e l i ş m i ş l i k se v i ye s i n e d i r ? S a d e ce İ ç D e n e t i m Y ö n e t i c i l e r i , n = 2 .6 7 5 . R a ka m l a r y u va r l a n d ı ğ ı i ç i n , b a z ı b ö l g e t o p l a m la r ı yü zd e 1 0 0 ’e e ş i t o l m a ya b i l i r .

İÇ DENETİM VE ERM. Anket katılımcıları, kendi kurumlarında iç denetim ile

ERM arasında mevcut olan ilişki hakkında da bilgi verdiler. İç Denetim Yöneticisi ve

direktör katılımcıların yüzde onikisi, iç denetim ve ERM’nin ayrı birimler olduklarını

ve aralarında herhangi bir etkileşimin bulunmadığını bildirdi. Yüzde 66’sı, ayrı

birimler olmalarına rağmen, iç denetim ve ERM arasında daha fazla işbirliği

bulunduğunu ve iki personel grubunun eşgüdüm içinde olduklarını ve bilgileri

paylaştıklarını ifade etti. Avrupa ve Orta Asya bölgesinde katılımcıların belirgin

şekilde daha yüksek bir yüzdesi (yüzde 72), bu işbirliği düzenlemesinin kendi

kurumlarında bu iki birim arasındaki ilişkiyi tanımladığını belirttiler. Öte yandan, İç

Denetim Yöneticisi ve direktör katılımcıların yüzde 15’i iç denetim biriminin kurumun

ERM fonksiyonundan da sorumlu olduğunu, ayrı bir yüzde 7 de, iç denetim biriminin

şu anda ERM’den sorumlu olduğunu fakat kurumun ERM sorumluluğunu başka bir

alana devretmeyi planladığını ifade etti. İç denetim biriminin halen ERM’den de

sorumlu olduğu yüzde 22’ye göre ise dikkat gerektiren temel hususlar bağımsızlık ve

objektiflik olarak belirtilmiştir. İç denetim birimi, sorumlu olduğu süreçleri

denetleyemez.

24%

12%

14%

17%

17%

21%

27%

34%

29%

23%

37%

25%

31%

32%

25%

33%

37%

45%

45%

40%

38%

36%

44%

27%

10%

20%

4%

17%

14%

10%

4%

7%

0% 20% 40% 60% 80% 100%

Global Ortalama


Güney Asya

Latin Amerika & Karayipler


Sahra-Altı Afrika

Kuzey Amerika

Avrupa & Orta Asya

Bir kurumsal risk yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM süreci Resmi risk yönetim süreçleri ve prosedürleri

Risk yönetim süreçleri gayri resmi veya daha yeni gelişiyor Risk yönetim süreçleri hiç yok

11


Ek 4: Bütünleşik Güvence Uygulama Planı

49% 26% 25%

Not: Soru 61: Kurumunuz resmi bir bütünleşik güvence modeli uygulamakta mıdır? Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor

edildi. “Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor” yanıtı, “evet, şu anda uyguluyor”, “evet, fakat henüz yönetim kurulu veya

denetim komitesi tarafından onaylanmadı” ve “hayır, fakat gelecek 2 ilâ 3 yıl içinde uygulamayı planlıyor” yanıtlarını içeriyordu, n = 3.795.

Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir

İÇ DENETİM VE BÜTÜNLEŞİK GÜVENCE. Anket, katılımcıların, King III3

tarafından belirtildiği şekli ile, “şirketi etkileyen risk alanlarında yönetimden, iç

güvence sağlayıcılardan ve dış güvence sağlayıcılardan elde edilen güvence kapsamını

optimize etmeyi hedefleyen” bütünleşik güvence alanındaki faaliyetlerini de ölçümledi.

Somut olarak, İç Denetim Yöneticileri ve Direktörlere, kurumlarının bir resmi

bütünleşik güvence modeli uygulayıp uygulamadığı soruldu: yüzde 49’u bunu

gelecekte gerçekleştirmek için bir model veya plan uyguladıklarını rapor ettiler; yüzde

26’sı böyle bir model uygulamak gibi bir planlarının bulunmadığını; başka bir yüzde

25 ise, böyle bir modele hiç aşina olmadıklarını beyan etti (Ek 4’e bakınız). Dikkate

değer şekilde, İç Denetim Yöneticileri ve Direktörlerin yüzde 57’si, iç denetim

birimlerinin yazılı bütünleşik-güvence değerlendirmesi yayımladığını da ifade etti.

İç denetimin sağladığı bütünleşik güvencenin bir takım faydalar sağladığı açık

olmasına karşın, Banco Santander’de iç denetimden sorumlu genel başkan yardımcısı

ve IIA global direktörü olarak görev yapan Ernesto Martinez Gomez şunu ifade

etmektedir: “Bu, bir iç denetim biriminin bağımsızlığını tehlikeye atabilir ve onun

gerçek bir global güvence sağlayıcı olarak konumunu olumsuz etkileyebilir. Yönetimin

sağladığı güvence, bağımsızlık ve tarafsızlık düzeyleri yönetim ile aynı olmayan iç ve

dış denetçilerin sağladığı güvenceye eşit değildir.

3 King Code of Governance Principles (Yönetim Prensipleri Kral Kodu) (Parklands, Güney Afrika: Institute of Directors in Southern Africa, 2009).

49%

35%

46%

49%

53%

56%

61%

75%

26%

38%

23%

25%

25%

19%

21%

15%

25%

28%

31%

26%

23%

26%

18%

10%

0% 20% 40% 60% 80% 100%

Global Ortalama

Kuzey Amerika


Avrupa & Orta Asya


Güney Asya


Sahra-Altı Afrika

Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor Hayır ve bütünleşik güvence uygulama planları yok

Bütünleşik güvence modeline aşina değil


İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar

İç denetimin kuruma hizmet edebileceği asli yollar; birimler ve bölümler arası

işbirliğini artırmak ve risk konusunda yakın ve bitişik birimlerle eşgüdümlü

bir odak noktasını geliştirmektir. Risk yönetimi alanındaki fırsatları optimize

etmek için:

• Risk yönetimi konusunda etkili bir kurum çapında yaklaşıma sahip olabilmek için

yakın ve ilişkili birimlerle İŞBİRLİĞİ YAPILMALIDIR. Pratikte, iç denetim

birimi, iç kontroller yoluyla hafifletilen ve azaltılan riskler üzerinde

odaklanabilirken, diğer birimler perspektiflerini genişletebilmek için bu risklerin

ötesine bakabilirler. Risklerin tanımlanması, yönetilmesi ve rapor edilmesiyle

uğraşan tüm birim ve bölümlerin bir araya getirilmesi, bir bütün olarak kurum için

daha kapsamlı bir risk yönetim resminin çıkartılmasıyla sonuçlanır.

• İç denetim biriminin ve ona yakın ve ilişkili birimlerin risk yönetimi ve yönetişim

faaliyetleri üzerindeki yönetim kurulu gözetimine en iyi nasıl destek

olabilecekleri TESPİT EDİLMELİDİR. Risk yönetim operasyonlarının

olgunluğunu ve iç denetim biriminin ve riskle bağlantılı birimlerin ERM’nin

yönetilmesini koordine etme kabiliyetlerini dikkate alınmalıdır.

• DEĞERLENDİRME ÇABALARININ BİRBİRİNE BAĞLANMASI. Bir iç

denetim birimi için nihai hedef, Üç Sıralı Savunma Modelinde4 savunmanın

birinci ve ikinci hatlarının faaliyetleri de dahil risk yönetimi konusunda bağımsız

ve objektif değerlendirme sağlamaktır. Bir kurumun ikinci savunma hattında risk

değerlendirmeleri yapan ve bir tür güvence sağlayan – iç denetime ek olarak IT

(Bilgi Teknolojileri) ve risk yönetimi gibi – bir dizi ayrı birim ve bölümü varsa, o

kurum, yönetim kurulu için tüm faaliyetleri içerecek kapsamda bir bakış

geliştirmelidir.

• Tüm önemli risklerin yönetim kurulu için usulünce tanımlanmasını ve

değerlendirilmesini sağlamak için risk değerlendirme sürecinin

SORGULANMASI. Riski tanımlamak ve ölçmek için kullanılan yöntemlerin

değerlendirilmesi.

• YARATICI OLMAK. Tüm kurumlarda işe yarayan tek bir ERM yönetim modeli

yoktur. Kurum için en iyisinin hangisi olduğunu belirlemek amacıyla farklı ERM

yaklaşımlarını tanımlamak, araştırmak ve değerlendirmek gereklidir.

4 IIA Görüş Açıklaması: The Three Lines of Defense in Effective Risk Management and Control (Etkin Risk Yönetimi ve Kontrolünde Üç Savunma Sırası) (Altamonte Springs, FL: The Institute of Internal Auditors, 2013).

13


BÜTÜNCÜL RAPORLAMA, İÇ DENETİM

FIRSATLARINI ARTIRIYOR

Bankacılık krizi ve diğer krizler, paydaşların stratejik kararları ve bir kurumun gerçek

değerini sorgulamalarına sebep olmuştur. Bir kurumun değeri, finansal analiz ve

raporlamanın ötesine geçer ve kaynak tahsisi ve karar almaya kadar uzanır. Kurumların

değer yaratma konusunda kapsamlı ve bütüncül bir bakış sunma kabiliyeti daha da

önemli hale gelmiştir. Tarihsel olarak, bazı şirketler finansal raporlar, sürdürülebilirlik

raporları ve başka iç veya dış raporlar yayımlarlar. Güncel eğilim, bir kurumun değeri

hakkında bütüncül bir öykü yaratabilmek için birkaç raporun sonuçlarını birleştiren bir

raporlamaya doğrudur. Bu yöntem, bir kurumun altı örgütsel sermaye unsuru üzerinde

odaklanarak kısa, orta ve uzun vadelerde nasıl değer yaratmayı planladığını tanımlayan

ve açıklayan basit ve özlü bir dokümandan ibaret olan entegre raporlama olarak

anılmaktadır.5

Oldukça yeni bir kavram olmasına rağmen, entegre raporlama kullanımının gelecekte

önemli oranda artması beklenmektedir. Aynı zamanda, pazarlama stratejilerini ve karar

alma sürecini iyileştirmek için yıllardır kullanılmakta olan sürdürülebilirlik raporlamasının

kullanımı da artmaktadır. Her iki tip rapor için de, iç denetimin uzmanlığı ve içgörüsüne

kuvvetli bir gereksinim vardır.

Bütüncül Raporlamayla İlgili Bulgular ENTEGRE RAPORLAMA. Anketin İç Denetim Yöneticisi ve direktör

katılımcılarına kurumlarının 2013 yılı sonlarında çıkartılmış bulunan Uluslararası

Entegre Raporlama <IR> Çerçevesine dayanan bir yıllık entegre rapor çıkartmayı

planlayıp planlamadığı sorulmuştur. Bu soru üzerine, İç Denetim Yöneticileri ve

direktörlerin yüzde 30’u, bu yıl ya da öngörülebilir gelecekte bir entegre rapor

çıkartmayı planladıklarını söylemişlerdir – Sahra Altı Afrika’dan6 katılanların

yüzde 63’ü bu çerçeveyi benimsediklerini ifade etmişlerdir (Ek 5’e bakınız).

SÜRDÜRÜLEBİLİRLİK RAPORLAMASI. Öte yandan, Anketin İç Denetim

Yöneticisi ve direktör katılımcılarının yaklaşık yarısı (yüzde 48’i), kurumlarının

bu yıl veya gelecekte bir sürdürülebilirlik raporu çıkartmayı planladığını

belirtmişlerdir (Ek 5’e bakınız). Bu yanıtlara göre, sürdürülebilirlik raporu

hazırlamayı planlayanların oranının sadece %28 olduğu Kuzey Amerika ise hemen

geriden gelmektedir.

5 Uluslararası <IR> Çerçevesi, (Londra: The International Integrated Reporting Council, 2013). 6 Sahra Altı Afrika’dan katılan iç denetim yöneticilerinin ve direktörlerinin %33’ü Güney Afrika dışında yerleşik olduklarını belirtmişlerdir. Johannesburg Borsası, 2010 yılında, entegre raporlamanın kullanımını teşvik eden King III ilkelerini benimsemiş bulunmaktadır.


Ek 5: Entegre Rapor ve Sürdürülebilirlik Raporlaması Kıyaslaması

47%

54%

54%

45%

59%

52%

63% 63% 48%

30%

31% 33% 28%

28%

30%

14%

Doğu Asya &

Avrupa & Latin Amerika Orta Doğu Kuzey Güney Sahara-Altı Global

& Pasifik Orta Asya & Karayipler & Kuzey Afrika Amerika Asya Afrika Ortalama

Sürdürülebilirlik Raporu’nu şimdi ya da gelecekte yayınlamayı planlıyor Entegre Raporu’nu şimdi ya da gelecekte çıkarmayı planlıyor

Not: Soru 69: Kurumunuz Uluslararası Entegre raporlama (<IR>) Çerçevesi temelinde bir yıllık entegre rapor çıkartmayı planlıyor mu? Soru 70:

Kurumunuz sürdürülebilirlik hakkında bir rapor çıkartmayı planlıyor mu? “Evet, bu yıl”; “Evet, gelecek 2 veya 3 yıl içerisinde bir zamanda” ve “Evet,

gelecekte belirlenmemiş bir noktada” yanıtlarını içermektedir. Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor edildi, n = 3.746; 3.346

İç Denetim Birimi, Entegre Raporlama Ve Sürdürülebilirlik Raporlamasini Desteklemek İçin İyi Bir Konumdadir

İç denetim birimi, entegre raporlama uygulamasını desteklemek için özgün bir niteliğe

ve konuma sahiptir. Avrupa iç denetçiler enstitülerinin yayımladığı son raporlardan

birinde belirtildiği gibi, İç Denetim Yöneticileri, bir kurumun entegre raporlama

sürecinde merkezi öneme sahip olan kilit oyuncularla rutin olarak etkileşim içine

girmektedirler.7 Uygun örgütsel bağımsızlıkla ve sağlam bir iş anlayışıyla, iç denetim

birimi, entegre raporlamanın kredibilitesini artırmak için gereken güvenceyi

sağlayabilir ve örgüt birimleri arasındaki iletişimin tutarlılığının güçlendirilmesine

yardımcı olabilir. Sürdürülebilirlik raporlaması için de hemen hemen aynısı

söylenebilir. Tarihsel olarak sürdürülebilirlik raporlamasında yer almamış bulunmasına

rağmen, iç denetim, iş süreçleri üzerindeki etkisini bildirerek değer katabilir. Global

Raporlama İnisiyatifi Teknik Danışma Komitesi Başkanı ve Deloitte’un eski ortağı

olan Eric Hespenheide, “Sürdürülebilirliğin etkilerini anlamadan ve iş süreçlerinin

sürdürülebilirlik verilerini nasıl kapsadıklarını tam kavramadan hiç kimse anlamlı bir

entegre raporlama yapamaz,” demektedir.

7 “Enhancing Integrated Reporting - Internal Audit Value Proposition” (Entegre Raporlamayı Geliştirmek – İç Denetim Değer Önermesi) (IIA-Fransa, IIA-Hollanda, IIA-Norveç, IIA-İspanya, IIA-İngiltere ve İrlanda, 2015).

15


Bu raporlara duyulan ilginin artması, İç Denetim Yöneticileri için, kendi

kurumları ile daha fazla iç içe olma, sürdürülebilirlik risklerinin etkisi hakkında

içgörü sunma ve sürdürülebilirlik verilerinin güvenilirliği hakkında güvence

sağlama fırsatlarını sunar. Ayrıca, entegre raporlama ve sürdürülebilirlik

raporlamasının popülaritesi, iç denetime, lider bir teknoloji üretim şirketinin

misyon açıklamasında belirtildiği gibi, “daha iyi bir karar alma süreci yaratma”

fırsatını da sunmaktadır.

İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar

Entegre raporlama ve sürdürülebilirlik raporlaması gereksinimleri tüm dünyada

arttıkça, İç Denetim Yöneticilerinin aşağıda yer verilen tedbirler ile liderlik

göstermesi mümkündür:

• Sürdürülebilirliğin iş üzerindeki etkisini anlamak için paydaşlarla bağlantı

kurarak ve kurumun kültürünü değerlendirerek entegre raporlama ve

sürdürülebilirlik raporlaması konusunda sağlam bir anlayış temeli

GELİŞTİRMEK.

• Finansal olmayan ilgili veriler, bu verilerin kullanım süreçleri ve prosedürleri ve iç

denetim için gelişme amacına yönelik danışmanlık hizmetleri verme fırsatlarını

TANIMLAMAK.

• İç denetimin mevcut veri ve yönetim sistemlerinin kalitesi hakkında güvence

sağlayabileceği alanları – örneğin, tedarik zinciri denetimleri – tespit etmek için

kilit paydaşlarla İŞBİRLİĞİ YAPMAK.

• Entegre raporlama ve sürdürülebilirlik raporlamasını destekleyen süreç ve

sistemlere yönelik güvence ve danışmanlık hizmetleri için kapsamlı bir denetim

stratejisi YARATMAK – Paydaşlar ile uyumun sağlanmasına yardımcı olmak için

bir geri bildirim mekanizmasını da sürece dahil etmek.


BASKIYI YÖNETMEK

İç Denetim Yöneticilerinin başarılı olabilmesi için, kurumlarının karşı karşıya olduğu

çok çeşitli ve hassas sorunlarla baş edebilmelerini mümkün kılacak düzeyde, politik

baskılarla etkili bir biçimde mücadele etme cesaretlerinin bulunması gerekir. IIA

Araştırma Vakfı’nın yeni bir raporunda8 da belirtildiği gibi, bazı İç Denetim

Yöneticileri, politik mayın tarlalarından başarılı bir şekilde geçebilmek için gerekli

cesaret ve diplomasiyi sergileyebilmektedirler. Haber bültenleri ise bu çabalarında

başarısız olmuş başka iç denetim liderlerine işaret etmektedir. Bu alanda başarıya

katkıda bulunan pek çok faktör mevcut olup bunlar, raporlama hatları, kişisel ve

kurumsal hedefler, yönetim kurulunun desteği ve Standartlara uyum olarak ifade

edilebilir.

Ankete verilen yanıtlar, İç Denetim Yöneticilerinin politik baskıyla etkin bir

şekilde baş edebilmek için dikkat etmeleri gereken belirli alanlara işaret

etmektedir.

İç Denetim Yöneticisi Üzerindeki Baskıyla İlgili Bulgular

RAPORLAMA HATLARI. Bir iç denetim biriminin kendi ana organizasyonu

içerisindeki konumunun birimin misyonunu etkin bir şekilde yürütme ve yönetme

kabiliyetiyle çok yakın bir bağlantısı vardır. İç Denetim Yöneticisi veya

eşdeğerinin kurum içindeki asli fonksiyonel raporlama hattı (hiyerarşik bağları)

sorulduğunda, İç Denetim Yöneticisi katılımcıların yüzde 72’si denetim komitesine

(veya eşdeğerine) veya yönetim kuruluna bağlı olduklarını belirtmişlerdir (Ek 6’ya

bakınız). Bu tip bir raporlama yapısı idealdir, çünkü bir İç Denetim Yöneticisinin

denetim süreci üzerinde uygunsuz bir baskı kaynağı olma ihtimali bulunmayan kilit

paydaşların görüş, tavsiye ve desteklerini almasına olanak sağlar. Ancak bununla

birlikte, Anket katılımcılarının yüzde 19’u fonksiyonel olarak CEO’ya, başkana ya

da bir kamu kurumu başkanına bağlı olduklarını belirtmişlerdir. Katılımcıların

yüzde 4’ü ise CFO’ya (Finanstan Sorumlu Başkan Yardımcısı) bağlı olduklarını

ifade etmişlerdir.

Başarılı bir denetim yapabilmek için, İç Denetim Yöneticilerinin denetlemeleri gereken

kişilerin kontrolünden bağımsız olmaları gerekir. Bu açıdan, kontrolden bağımsız olmayı

sağlamak için raporlama hatları kritik öneme sahiptir, fakat bunlar kendi başlarına

yetersizdirler. İç Denetim Yöneticilerinin bir gözetim grubuna bağlı olan yüzde 72’si için,

raporlamanın sağlam, açık, işbirliğine yatkın ve dürüst olması gerekir – tüm bu faktörler

denetim konusunda cesaretli bir yaklaşımın güçlendirilmesine hizmet ederler. Bu pozitif

özelliklere ulaşmak, kilit yöneticilerle yakın profesyonel ilişkiler kurulmasını ve

sürdürülmesini gerektirir. Ayrıca, İç Denetim Yöneticilerinin yüzde 29’u hem fonksiyonel

hem de idari olarak yönetime bağlı olduklarını ifade etmişlerdir. Bu İç Denetim

Yöneticileri politik baskılarla başa çıkmakta çok daha büyük zorluklar yaşayabilirler.

8 Dr. Larry Rittenberg ve Patricia K. Miller, The Politics of Internal Auditing (İç Denetim Politikası) (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015).

17


KARİYER PLANLAMASI. Anket sonuçlarına göre, iç denetim yöneticilerinin yüzde 29’u, bir denetim bulgusunun

veya raporunun değiştirilmesi için politik baskı altında kaldıklarını ifade etmektedirler. Bu baskıların yakınlık ve verilen

değerin kaybedilmesinden rütbe indirimine veya işin kaybedilmesine kadar değişebilen önemli sonuçlarının olabileceği

açıktır. Kariyer planlamaları sorulduğunda, İç Denetim Yöneticilerinin yüzde 72’si gelecek beş yıl içerisinde iç denetim

mesleğinde kalmayı planladıklarını söylerken, yüzde 9’u ayrılmayı planladığını söylemiştir. Kalanlar ise emin değildir

ya da farklı görevler üstlenmeyi planlamaktadırlar (Ek 7’ye bakınız).

Ek 6: İç Denetim Yöneticisi İçin Fonksiyonel Raporlama Hattı

Not: Soru 74: Kurumunuzda iç denetim yöneticisi (CAE) veya eşdeğeri için asli fonksiyonel raporlama hattı nedir? Sadece İç Denetim Yöneticileri. Ankette şu ifade

edilmiştir: “fonksiyonel raporlama, iç denetim tüzüğünün ve denetim planının onaylanması, iç denetim yöneticisinin değerlendirilmesi ve iç denetim yöneticisi için ücret

tespiti de dahil, iç denetim birimi sorumluluklarının gözetimine atıf ta bulunur.” n = 2.599. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir

Meslekten ayrılmayı planlayan İç Denetim Yöneticilerinin yanı sıra, pek çok denetim lideri de politik baskılardan

kaynaklanan sorunlarla karşı karşıya kalmaktadır. İç denetim mesleğinde kalmayı planlayan İç Denetim

Yöneticilerinin yüzde 72’si, kurumları onların politik baskıya gösterdikleri dirence saygı göstermekte istekli

davranmazsa, kariyer değişikliklerini ve dış seçenekleri araştırmak zorunda kalacaklarını belirtmektedir. İç denetimin

sadece bir kariyer basamağı olduğu rotasyonlu İç Denetim Yöneticileri de dahil, iç denetim mesleğini bırakmayı

planlayan İç Denetim Yöneticilerinin, İç Denetim Yöneticisi olarak sorumluluk ve görevlerini yerine getirmelerinin

ana kurum içerisindeki uzun vadeli kariyer seçeneklerine göre ağır basıp basmadığına karar vermeleri gerekmektedir.

DESTEK VE ERİŞİM. İç denetim için yönetim kurulu desteğine ilişkin anket sonuçları, bunun dikkate alınmaya

değer bir alan olması gerektiğine işaret etmektedir. İç Denetim Yöneticilerinin yarıdan biraz fazlası (yüzde 57),

kurumsal yönetim politikaları ve prosedürlerinin gözden geçirilmesi konusunda yönetim kurulunun tam desteğine sahip

olduklarını rapor ederken, yüzde 43’lük önemli bir kesim de sadece biraz destek alabildiklerini ya da hiç destek

alamadıklarını rapor etmişlerdir. Kurumsal yönetim politikaları ve prosedürleri, sıklıkla, iç denetçileri, yöneticilerin

ücretleri, etikle ilgili programlar, yönetim ile yönetim kurulu arasında bilginin serbest akışı, yönetimin kurumsal

politikalardan muafiyeti, vb. gibi yönetim üzerinde doğrudan kişisel etkiye sahip alanlara sürüklemektedir. Bir İç

Denetim Yöneticisi başa çıkmanın cesaret gerektirdiği hassas bulgularla karşılaştığı takdirde yönetim kurulunun

desteği kritik bir önem arz eder.

72%

62%

63%

71%

75%

79%

80%

87%

19%

30%

27%

20%

20%

11%

8%

11%

4%

3%

3%

4%

3%

8%

8%

0%

5%

5%

6%

6%

2%

2%

4%

2%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Global Ortalama

Doğu Asya ve Pasifik


Avrupa ve Orta Asya

Orta Doğu ve Kuzey Afrika

Güney Asya

Kuzey Amerika

Sahara-Altı Afrika

Yönetim Kurulu, Denetim Komitesi veya eşdeğeri CEO, Başkan, Kamu Kurumu Başkanı

CFO, Finanstan Sorumlu Başkan Yardımcısı Diğerleri


Ek 7 – İç Denetim Mesleğinde Kalmayı Planlayan İç Denetim Yöneticileri

63%

75%

85%

74%

67%

74% 77%

72%

Doğu Asya &

Avrupa &

Latin Amerika

Orta Doğu &

Kuzey

Güney

Sahara-Altı

Global

Pasifik Orta Asya & Karayipler Kuzey Afrika Amerika Asya Afrika Ortalama

Not: Soru 36: Gelecek beş yıl içerisinde, iç denetimle ilgili kariyer planlarınız nelerdir? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar rapor edilmiştir. n = 3.108

Ek 8 - Kısıtlanmamış Erişim Olanağına Sahip Olduklarını Rapor Eden İç Denetim Yöneticileri

34%

60% 57%

48%

65%

38%

58%

54%

Doğu Asya &

Avrupa &

Latin Amerika Orta Doğu &

Kuzey

Güney

Sahara-Altı

Global

Pasifik Orta Asya & Karayipler Kuzey Afrika Amerika Asya Afrika Ortalama

Not: Soru 53: Sizin kanaatinize göre, kurumunuzda iç denetim departmanının denetim faaliyetlerinin yürütülmesi için uygun olarak personel kayıtları ve objelerine tam ve kısıtlanmamış erişim olanağı var mıdır? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar rapor edilmiştir. n = 2.765.

19


Anket katılımcılarına, iç denetim çalışmaları yapılırken iç denetim biriminin gerekli

kayıtlara ve varlıklara erişim olanağına sahip olup olmadığı da soruldu. İç Denetim

Yöneticilerinin az bir farkla çoğunluğu (yüzde 54), iç denetim biriminin iç denetim

çalışmalarını yaparken personel kayıtları ve varlıklarına tam ve kısıtlanmamış erişim

olanağına sahip olduğunu ifade etti (Ek 8’e bakınız). Bu, kurumların yarıdan biraz daha

azında, İç Denetim Yöneticilerinin işle ilgili konularda personelden dokümantasyon

almalarının engellenebileceği anlamına gelmektedir – kısıtlanmamış erişim iç

denetçiler için yaşamsal öneme sahiptir.

STANDARTLARA UYUM: Politik olarak popüler olmayan pozisyonlar üstlenen İç

Denetim Yöneticileri yönetimin gözetimi altındadırlar ve bu nedenle, yaptıkları işleri

etkin bir şekilde dokümante etmeleri gerekir. Yetersiz, eksik ve zayıf bir şekilde

yapılandırılmış denetim işine karşı en iyi savunma, Standartlara güçlü bir bağlılık ve

uyumdur. Standartlara etkin uyum, sağlam bir Kalite Güvencesi ve Geliştirme

Programı (QAIP) gerektirir. İç Denetim Yöneticisi katılımcıların sadece yüzde 34’ü,

iyi tanımlanmış bir QAIP’ye sahip olduklarını söylemişlerdir (Ek 9’a bakınız). İç

Denetim Yöneticilerinin üçte birlik bir kısmı da, QAIP’lerinin geliştirilmekte olduğunu

belirtmiştir. Kalan üçte birlik kısım ise, böyle bir programlarının bulunmadığını ya da

ad hoc bir programlarının bulunduğunu ifade etmiştir. Denetim süreçleri paydaşların

detaylı sorgulamasına hazır olamadıkları takdirde, İç Denetim Yöneticileri cesaretli bir

tutum takınmakta güçlük çekeceklerdir.

Ek 9: Kalite Güvencesi ve Geliştirme Programının Olgunluk Seviyesi

Not: Soru 47: Kurumunuzda kalite güvencesi ve geliştirme programı (QAIP) ne kadar gelişmiştir? Sadece İç Denetim Yöneticileri. Ankette “İyi

tanımlanmış” yanıtı, “Dış kalite incelemesi de dahil iyi tanımlanmış” yanıtını ya da “dış kalite incelemesi ve sürekli geliştirme ve personel eğitimi

faaliyetlerine resmi bir bağlantı da dahil iyi tanımlanmış” yanıtını da içermektedir. n = 2.833

34%

20%

22%

30%

30%

32%

40%

42%

37%

49%

44%

43%

36%

49%

33%

32%

29%

31%

34%

27%

34%

19%

27%

26%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Global Ortalama

Güney Asya


Orta Doğu ve Kuzey Afrika

Doğu Asya ve Pasifik

Sahara-Altı Afrika

Kuzey Amerika

Avrupa & Orta Asya

En azından dış kalite incelemesini de kapsayan iyi tanımlanmış bir program Geliştiriliyor Yok ya da ad hoc


İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar Her kurum diğerinden ayrı olmasına rağmen, tüm İç Denetim Yöneticilerinin

hassas konularla etkin bir şekilde başa çıkma kabiliyetlerini güçlendirmeleri

gereklidir. Bu amaçla, İç Denetim Yöneticileri:

• İç denetime hassas konuları doğrudan doğruya gözetim organizasyonunun

üyeleriyle (örneğin, yönetim kurulu) ele alabilmek için gereken bağımsızlığı

kazandıran raporlama hatları ve ilişkileri GELİŞTİRMELİDİRLER. Örgütlenme

şemalarına veya resmi ilişkilere çok fazla bel bağlamaktan kaçınmalıdırlar.

• Hassas konuların İç Denetim Yöneticisinin rolü veya kariyeri üzerine

yapabileceği etkiyi ÖNGÖRMELİDİRLER. Bu, özellikle, aynı kurum

içerisinde iç denetimin dışında bir alana geçmeyi planlayan İç Denetim

Yöneticileri için söz konusudur.

• Kurum çapında yüksek riskleri denetlemek için gereken paydaş desteğini ve

erişim olanağını KAZANMALIDIRLAR.

• Denetim çalışmalarının paydaşların detaylı sorgulamasına dayanabilmek için

yeterli kalitede yürütülüp yürütülmediğini teyit etmek için iç denetimin sağlam bir

QAIP’sinin bulunduğundan EMİN OLMALIDIRLAR.

21


SONUÇ

Mevcut iş ortamında, yeni gelişen risklerden ve devamlı değişimden dolayı, iç

denetimin daha duyarlı, esnek ve iş bilir olması gerekmektedir. Risk gözetim

görevlerinin ifasında yönetim kuruluna yardımcı olma sorumluluklarını benimsemiş

bulunan İç Denetim Yöneticileri, kendilerini bu dinamik ortamda başarıyla hareket

edecek şekilde konumlandırmaktadırlar. Bu nedenle, 2015 İç Denetimin Global

Nabzı raporu, geniş risk görüşlerini ve esnek denetim planlamasını – ve aynı

zamanda, iç denetimin etkinlik alanını politik baskılara direnecek şekilde genişletme

cesaretini – savunmaktadır.

Yeni gelişen riskleri ister resmi risk değerlendirmeleri yoluyla ister gayri resmi

konuşmalar yoluyla değerlendirsinler, İç Denetim Yöneticileri, bu bilgileri denetim

planında ayarlamalar yapabilecek şekilde kullanmalıdırlar. Bir kurumun risk profili

ne kadar değişkense, denetim planı da o kadar esnek ve hassas olmalıdır. İç denetim

bakış açısını kurumsal riskleri de kapsayacak şekilde genişlettikçe, İç Denetim

Yöneticileri – bu riskleri kimin yönettiğine bakılmaksızın – kurumsal risk

değerlendirmeleri için güvence sağlamak üzerinde odaklanmalıdırlar. Ayrıca, iç

denetim, ERM’ye veya bütünleşik güvenceye olan katılımının birimin bağımsızlığını

ve objektifliğini asla tehdit etmemesini de sağlamalıdır.

Kurumsal kaygılar, karar almak için kullanılan finansal ve finansal olmayan veri ve

bilgileri içermektedir. Daha somut ifade edersek, paydaşlar, entegre raporlama ve

sürdürülebilirlik raporlaması gibi finansal olmayan raporlama konularına da daha

fazla ilgi göstermektedirler. Bu, iç denetimin daha önce ele alınmamış alanlarda

güvence sağlayarak etki alanını genişletmesi için fırsatlar sunmaktadır. Bu konuda ilk

adım, sürdürülebilirliğin kurum üzerindeki etkilerini ve iç denetimin ilgili riskleri

değerlendirmek için gerekli tedbirlere destek olabileceği alanları anlamaktır.

Mesleğe yönelik değişen talepleri karşılayabilmek için, İç Denetim Yöneticilerinin

kendi pozisyonları üzerindeki politik baskılara da direnmeleri gereklidir. İç denetim,

bu baskılarla baş edebilmek için uygun savunma mekanizmalarına – bağımsızlık,

yönetim kurulu desteği ve kaliteli bir iç denetim fonksiyonu – ihtiyaç duyar. Bir İç

Denetim Yöneticisi, bu alanları etkileyebildiği ölçüde, iç denetimin kurum içerisinde

sahip olduğu erişim olanağının derecesini de etkileyebilir ve kendi objektif karar

alma mekanizmasını koruyabilir.

Kısaca, eski İç Denetim Yöneticisi ve şu an meslekte kanaat önderi olan Douglas

Anderson’un ifade ettiği gibi: “Şimdi İç Denetim Yöneticilerinin kayıtsız ve ilgisiz

olmalarının zamanı değil. Etrafımızdaki dünya hızla değişiyor. Sadece reaksiyon

göstermekle kalmamamız, fakat aynı zamanda hazırlıklı olmamız gerekiyor. Risk

üzerine, işinizin kapsamı üzerine ve politik baskılarla nasıl başa çıkabileceğiniz

üzerine odaklanınız.”


EK

Doğu Asya & Pasifik İDY ve Direktörler

Avrupa & Orta Asya

İDY ve Direktörler Latin Amerika &

Karayipler İDY ve

Direktörler

Orta Doğu & Kuzey

Afrika İDY ve

Direktörler

Kuzey Amerika

İDY ve Direktörler

Güney Asya İDY ve

Direktörler

Sahara-Altı Afrika İDY ve Direktörler

= n=977 n = 1,355 n = 675 n = 394 n = 999 n = 166 n = 317

Avustralya...........62 Avusturya............37 Arjantin ...........61 İsrail ...................58 Kanada ............119 Bangladeş........24 Güney Afrika .....106

Çin ...............290 Hırvatistan...........21 Brezilya..............92 Umman ............24 ABD………. ...880 Hindistan........128 Tanzanya …......55

Endonezya.........52 Çek Cum. 24

Şili ..................70 Suudi Arabistan..119 Diğer.................14 Uganda..............20

Japonya............176 Danimarka ........30 Kolombiya .........55 BAE ………… 120

Zimbabve..........36

Malezy ............81 Estonya.............25 Kosta Rika .........56 Diğer.................73 Diğer...............100

Yeni Zelanda ......22 Fransa .............124 Ekvator.............38

Filipinler .........23 Almanya..........126 El Salvador.........33

Singapur ..........49 Yunanistan.......57 Meksika..............77

Tayvan .............179 Italya.................82 Nikaragua ..........20

Diğer .................43 Letonya............22 Panama .............32

Polonya.............41 Peru ..................45

Romanya............23 Uruguay.............25

Rusya ...............27 Diğer .................71

Sırbistan.............22

Slovenya .............31

İspanya..............128

İsveç ..............35

İsviçre ......166

Türkiye ...............69

Ukrayna............21

Birleşik Krallık..47

Diğer...........197

Not: S6: Hangi bölgede yerleşiksiniz veya çalışmaktasınız? Ankete katılanlar önce bulundukları bölgeyi sonrasında ise ülkeyi seçmişlerdir. Alınan cevaplar

Dünya Bankası tarafından belirlenen 7 bölgeye göre dağıtılmıştır. Sadece İDY ve direktörlerden alınan cevaplar raporlanmıştır. “Diğer” kalemi 20’den daha az

sayıda cevap alınan ülkeleri ifade etmektedir. n=4,883. Küresel bir bölge belirtmeyenlerin cevapları dahil edilmemiştir.

GLOBAL HEADQUARTERS

247 Maitland Avenue

Altamonte Springs, FL 3270 1-420I

www.globaliia.org

201$.0718

http://www.globaliia.org/

2015 İç Denetimin Global Nabzı · 2015. 7. 17. · Embracing Opportunities in a Dynamic...

Documents

Transcript of 2015 İç Denetimin Global Nabzı · 2015. 7. 17. · Embracing Opportunities in a Dynamic...