sayı 5 global perspektİfler ve anlayilar...İcracı yönetim, kurumsal kültürün denetlenmesi...
TRANSCRIPT
Sayı 5
GLOBAL PERSPEKTİFLER VE ANLAYIŞLAR:
İç Denetimin Global Nabzı Kanalıyla Sunulan
Yeni Trendler
GlobalPerspektifler: Yeni Trendler
2 globaliia.org
İçindekiler
Metodoloji ve Demografi ........................................................... 3
Giriş ........................................................................................ 4
Kültürün Denetlenmesi ............................................................. 6
Varılan Sonuçlar ............................................................... 12
Teknolojinin Takip Edilmesi ..................................................... 13
Siber Güvenlik .................................................................. 13
Büyük Veri (Big Data) ....................................................... 18
Varılan Sonuçlar ............................................................... 22
Güvenilir Danışman Statüsüne Ulaşmak ................................... 23
Varılan Sonuçlar ............................................................... 28
Kapatırken ............................................................................. 29
Daha Fazla Bilgi Edinmek İçin .................................................. 30
Danışma Konseyi
Nur Hayati Baharuddin, CIA,
CCSA, CFSA, CGAP, CRMA – IIA–
Malezya
Lesedi Lesetedi, CIA, QIAL–
Afrika Federasyonu IIA
Hans Niewlands, CIA, CCSA,
CGAP – IIA – Hollanda
Karem Obeid, CIA, CCSA, CRMA –
IIA – Birleşik Arap Emirlikleri Üyesi
Carolyn Saint, CIA, CRMA, CPA –
IIA – Kuzey Amerika
Ana Cristina Zambrano Preciado,
CIA, CCSA, CRMA – IIA –
Kolombiya
Okuyucu Geribildirimi
Sorularınızı ve yorumlarınızı şu
adrese gönderiniz:
Telif hakları © 2016, Uluslararası İç Denetçiler Enstitüsü’ne
(The Institute of Internal Auditors, Inc. --- “The IIA”) aittir
ve kesinlikle saklı tutulmuştur. The IIA ismi veya logosunun
çoğaltılması halinde, A.B.D. federal ticari marka tescil
sembolü ®’nin kullanılması gerekmektedir. Bu dokümanın
hiçbir bölümü, IIA’nın yazılı izni alınmadan herhangi bir
formda çoğaltılamaz.
GlobalPerspektifler: Yeni Trendler
3 globaliia.org
Metodoloji ve Demografi
IIA’nın “2016 İç Denetimin Global Nabzı” anketi (Global Nabız) 9 Mayıs ve 27
Mayıs 2016 tarihleri arasında çevrimiçi yapıldı.1 IIA, dünya çapında şu an itibariyle
iç denetim mesleğini icra ettiğini belirten toplam 2.254 kişinin bu ankete verdiği
cevaplardan yola çıkarak birtakım veriler toparladı. Anketi cevaplayanların yüzde
elli ikisi (%52), iç denetim departmanının en üst kademede bulunan üyesi ya da
İDY’ye bağlı müdürler/üst yöneticilerdir. Bu raporda, bu gruptan “iç denetim
liderleri” olarak bahsedilmektedir. Yönetim Kurulu’na bağlı müdürler (%16),
denetimleri yürüten denetim personeli (%28) ve hizmet sağlayıcıları (%4) da
dâhil olmak üzere, başka kişiler de anketi cevaplayanlar arasında yer almaktadır.
111 ülke veya bölgeden ankete katılan kişiler kurum türü, sektör, kazanç,
personel sayısı ve iç denetim departmanının büyüklüğü açısından iç denetime
ilişkin geniş bir yelpaze sunmaktadırlar.
Ankete katılanlar büyük çoğunlukla halka açık şirketlerde (%34), kamu
sektöründe (%27) ve özel kurumlarda (%25) çalışmaktadırlar.
Bu ankette en yüksek düzeyde temsil edilen sektörler mali hizmetleri (%32),
üretimi (%12), kamu yönetimini (%11), sağlık hizmetlerini (%6) ve kamu
hizmetlerini (%6) kapsamaktadır.
Sonuçlar, IIA üyelerinin bölgelere göre global dağılımını gösterecek biçimde
ayarlandı (normalleştirildi):
1 Sadece sınırlı sayıda belirli sorular, Kuzey Amerika’dan ankete katılanlara, 20 Ekim 2015 ve 10 Kasım 2015 tarihleri arasında yöneltildi.
GlobalPerspektifler: Yeni Trendler
4 globaliia.org
Giriş Tüm dünya genelinde, iç denetim liderleri, çalıştıkları kurumun kurumsal
yönetimi, risk yönetimi ve stratejik hedeflerine ulaşma konusunda değerli bir
kaynak teşkil ettiği bilinen iş zekası, teknik uzmanlık ve ilişki becerilerini
göstererek dünya genelinde mükemmeliyete doğru büyük adımlar
atmaktadırlar. Dünyanın birçok ülkesinde iç denetim kadrosu ve bütçesinde
yapılması beklenen artışlar, gerek icracı yönetimin gerekse yönetim kurulunun
iç denetimin artan değerini fark ettiklerini ve desteklediklerini göstermekte ve iç
denetim birimlerinin risk yönetim güvencesi, stratejik iş riskleri ve BT gibi kritik
alanlara ayırdıkları zamanı artırmalarını sağlamaktadır. Bununla birlikte, pek çok
açıdan daha birçok iş yapmamız ve ilerleme sağlamamız gerekmektedir.
Ek 1 – İç denetim kadrosu projeksiyonları
Not: S49: Gelecek on iki aylık döneme baktığınızda, iç denetim biriminizdeki tam zamanlı eşdeğer personel sayısının nasıl değişeceğini bekliyorsunuz?
Ek 2 – İç denetim bütçesi projeksiyonları
Not: S50: Gelecek on iki aylık döneme baktığınızda, iç denetim için ayırdığınız bütçenin nasıl değişeceğini bekliyorsunuz?
Artar
Azalır
Aynı kalır
Artar
Azalır
Aynı kalır
Dünyanın birçok ülkesinde iç denetim kadrosu ve bütçesinde yapılması beklenen artışlar, gerek icracı yönetimin gerekse yönetim kurulunun iç denetimin artan değerini fark ettiklerini ve desteklediklerini göstermektedir.
GlobalPerspektifler: Yeni Trendler
5 globaliia.org
Global Nabız, mükemmeliyet arayışında atılan adımları araştırırken, iç denetim
yönetimi alanında dünya genelinde ortaya çıkan yeni sorunları ve uygulamaları
inceleyerek iç denetimin durumunu değerlendirdi.
Bu rapor yeni ortaya çıkan iki sorunu araştırmaktadır: kültürün denetlenmesi ve
teknolojinin takip edilmesi (siber güvenlik ve büyük veri). Ayrıca, iç denetimin
kurumun güvenilir danışmanı seviyesine nasıl ulaşabileceğini araştırdık ki
gerçekten de bu seviyeye ulaşması gerekmektedir.
Bu raporun iç denetimin yeni ortaya çıkan bu önemli konular ve uygulamalar
üzerine odaklanmaya devam etmesi yönündeki çağrıya bir destek oluşturacağına
inanıyoruz. Bu konuda iç denetimden beklentiler, bugüne kadar hiç olmadığı
kadar artmaya devam etmektedir. Evet, meslek çalışanları olarak bugüne kadar
büyük adımlar attık, ancak hâlâ yapmamız gereken çok iş var. İşte, iç denetimi
bu denli zor, ancak aynı düzeyde tatmin edici bir meslek yapan da budur.
GlobalPerspektifler: Yeni Trendler
6 globaliia.org
Kültürün Denetlenmesi Geçmişte olup bitenler, kültürün bir kurumun mali durumunu, faaliyetlerini ve
itibarını doğrudan doğruya ve bazen olumsuz yönde de etkileyebileceğini
göstermektedir. Yönetim kurulları, üst düzey yöneticiler ve diğer paydaşlar, iç
denetimi, kurum kültürünü izleme ve güçlendirmeye yardımcı olan güvence ve
danışmanlık hizmetlerini sağlayan ve herhangi bir şey ters gittiği takdirde onları
uyaran olarak değerlendirmelidirler.
Hiç kuşkusuz, iç denetim birimleri oldukça uzun bir süredir sert kontrollerin yanı
sıra yumuşak kontrolleri de denetlemekte ve en azından, “kurumun duruşu” (Ç.N.
yönetimin dürüstlük ve etik davranışlara bağlılığı ve bu konuda gösterdiği liderlik)
teriminin yaygın bir terim haline geldiği günden beri pek çok kurumda gayri resmi
yollarla da olsa kurumun duruşunu da değerlendirmektedirler. Bununla birlikte,
bazı denetim birimleri kurumsal kültürü de resmen denetlemek için gereken bir
sonraki adımı atmalarına rağmen, büyük çoğunluğu kurumsal kültürü
denetlemelerine engel olan bir takım faktörlere işaret etmekle yetinmektedirler.
Kültür, bir kurumun tüm çalışanlarının eylem ve davranışlarına da yansıyan inanç
ve değerlerini kapsayan bir kavramdır. Basitçe ifade etmek gerekirse, kültür,
işlerin kurumda nasıl yapıldığını ve yaptırıldığını ifade eder.
Arzulanan ve hedeflenen kültür, kurumun en üst kademesinde oluşturulur;
kurumun çekirdek değerleri ile etik kurallarının oluşturulmasında rol oynar ve
kurum içinde kabul edilebilen ve kabul edilemez davranışları dikte eder. Kabul
edilemez nitelikteki ve hatta etik olmayan davranışlar – işlerin nasıl YAPILMAMASI
gerektiği – kurumu çeşitli risk ve tehlikelere maruz bırakır ve öyle ki, uç noktalara
ulaştığında, sahtekârlık, yolsuzluk ve başka emniyeti suiistimal ve görevi kötüye
kullanma eylemleriyle ortaya çıkan zehirleyici kurumsal kültürlerin oluşmasına
sebep olur veya katkıda bulunur. Bu tip bazı dikkate değer olaylar dünya çapında
ekonomik krizlere ve kamusal güvenin sarsılmasına bile sebep olmuşlardır.
Örneğin, 2015 yılında, dünya, sadece bir kaç örnek vermek gerekirse Toshiba’da
muhasebe skandalı, FIFA’da rüşvet ve yolsuzluk iddiaları, Volkswagen’de emisyon
testlerinde tahrifat yapıldığına ilişkin kanıtlar ve iklim değişikliği üzerindeki etkiler
hakkında ExxonMobil’in yayımladığı kuşkulu raporlar da dâhil olmak üzere, kültür
konusunda önemli ve büyük yanlışlar yapılmış olabileceğine işaret eden bir dizi
sansasyonel olaya tanıklık etti. Yalnızca bu örnekler bile, iç denetimin bir kurumun
kültürünün genel kabul gören çekirdek değerlerle uyumlu olup olmadığı hakkında
ve kurumun etik davranışları ve kanunlara ve mevzuata uyumu teşvik edip
etmediği hakkında güvence vermesi için bir uyarı sinyali olarak görülmelidir. Buna
rağmen, iç denetim liderlerinin %72’si şu anda kurumsal kültürü
denetlemediklerini belirtmektedirler (Ek 3).
2. CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 Temmuz 2016 https://www.cchdaily.co.uk/
frc-calls-greater-emphasis-corporate-culture (Erişim tarihi: 24 Ağustos 2016).
“Kültürü denetlemek, sınırları belli, kesin bir bilim değildir. Birçok kurum, kurumsal kültürü risk değerlendirme ve güvence süreçlerine fiilen dahil etmeyi bir kenara bırakın, kendi kurumsal kültürünü tanımlamakta bile zorluk çekmektedir. Ancak bunu yapmaları tabii ki son derece önemlidir.”
Dr. Ian Peters, Başkan, İç Denetçiler Enstitüsü,
(IIA-BK ve İrlanda)2
GlobalPerspektifler: Yeni Trendler
7 globaliia.org
Ek3 – Kültür denetimi yapan iç denetim departmanlarının yüzdesi
Not: S5: İç denetim departmanınız kurumsal kültürü de denetliyor mu?
Her ne kadar kurumun duruşu genellikle kurumun en üst kademesinde
belirlense ve kurumun büyüklüğü veya karmaşıklık düzeyi ne olursa olsun
arzuladığı ve hedeflediği kültür kurumsal liderliğe bağlı olsa da, kültürün
kurumun tamamında homojen olması gerekmez. Bir kurumda hedeflenen
davranış tarzını tanımlamak gerektiğinde esas alınması gereken başlangıç
noktası, yukarıdan-aşağıya kurum-çapında kültür – yani bir “makro kültürdür”.
Bununla birlikte, her kurumun bir takım ortak noktaları bulunan spesifik
lokasyonları, departmanları, bölümleri ve başka birimleri ya da personel grupları
hususiyetle yansıtan birçok farklı ufak kültürü veya “mikro kültürü” de bulunur.
Tabii ki bu mikro kültür enflasyonu, kurumsal kültürün denetlenmesini
zorlaştırabilir. Ancak kuruma tepeden bir bütün olarak, kapsamlı bir bakış
açısıyla ve objektif bir gözle bakabildiği için, iç denetim bu mikro kültürlerin her
birini, bunların kurumun makro kültürü üzerindeki etkilerini ve kurumun karşı
karşıya kalabileceği ilişkili potansiyel riskleri inceleme imkanına sahiptir. İç
denetim, öncelikle, arzulanan ve hedeflenen makro kültürü son derece iyi
anlamalıdır, ancak bundan sonra tüm bu alt-kültürleri değerlendirebilir ve bir
tarafta üst kademenin istedikleri ile diğer tarafta kurum çapında fiilen olup
bitenler arasındaki farkları arayabilir.
Neyse ki, iç denetim liderlerinin büyük bir çoğunluğu (%89), iç denetim
departmanlarının kurumsal kültürle ilişkili riskleri anladığını söylemektedir;
bununla birlikte, ankete katılanların yalnızca yaklaşık yarısı (%53) iç denetim
departmanlarının kurumsal kültürü nasıl denetleyeceğini gerçekten bildiğini ve
anladığını belirtmektedir. Ek 4’te de gösterildiği gibi, ankete katılanların yüzde
18’inin kültürü denetlemediklerini, çünkü bu değerlendirmeyi yapan başka
birilerinin bulunduğunu söylemesi ve kültürün denetlenmemesi için gösterilen
en yaygın sebeplerin birimde bu amaç için gerekli yetkinliklerin mevcut
olmaması (%25) ve/veya birime gereken kurumsal desteğin verilmemesi (%23)
ya da yeterli vaktin bulunmaması (%21) olması da bahsetmemiz gereken ilginç
noktalardır.
Evet
Hayır
Kuruma tepeden bir bütün olarak, kapsamlı bir bakış açısıyla ve objektif bir gözle bakabildiği için, iç denetim bu mikro kültürlerin her birini, bunların kurumun makro kültürü üzerindeki etkilerini ve kurumun karşı karşıya kalabileceği ilişkili potansiyel riskleri inceleme imkanına sahiptir.
GlobalPerspektifler: Yeni Trendler
8 globaliia.org
Ek4 – İç denetim departmanlarının kültürü denetlememesinin sebepleri
Not: S6: İç denetim departmanınızın kültürü denetlememesinin sebebi aşağıdakilerden
hangisidir? Birden fazla cevap seçebilirsiniz. (Kültürü denetlemeyenlere sorulmuştur.)
IIA-Malezya’nınyönetim kurulu murahhas üyesi olan Nur Hayati Baharuddin’e
göre, “Kültürü denetlemek için gerekli becerilerden ve bilgi birikiminden yoksun
olan iç denetim departmanları, bu işe iç denetçilerin iyi yaptıkları şeyi yaparak –
yani, kurumun kültürle ilgili faaliyetlerini değerlendirmek ve iyileştirmek için
sistematik ve disiplinli bir yaklaşım getirerek başlayabilirler.” Örneğin, IIA’nın
2016 Global Perspektifler ve Anlayışlar: Kültürün Denetlenmesi – Hassas Konulara
Sert Bir Bakış kitapçığında tanımlandığı gibi, “üç savunma hattı modelini (ya da
risk ve kontrol görevlerini/sorumluluklarını ve hiyerarşik yapıyı betimleyen başka
uygun bir modeli)3 anlamak, kültürün değerlendirilmesinde standart denetim
görevlerinin desteklenmesi kadar etkilidir. Kültürün denetlenmesi söz konusu
olduğunda, her savunma hattından yerine getirmesi beklenen sorumluluklar
aşağıda sayılanları içerebilir:
1. Birinci savunma hattı — işkolu yönetimi — istenen değerleri ve davranışları
oluşturmaktan, gerekli yerlere iletmekten ve modellemekten sorumludur.
2. İkinci savunma hattı, etik programları geliştiren, kültürle ilgili riskleri ve
kültürle ilgili politika ve prosedürlere uyulup uyulmadığını kontrol eden ve
birinci savunma hattına tavsiyelerde bulunan örneğin bir etik bürosu gibi bir
gözetim fonksiyonudur. 3. Üçüncü savunma hattı — iç denetim — kurumun belirlenmiş olan ve beklenen
standartlarına uyulup uyulmadığını ve kurumsal kültürün kurumun amacını,
stratejisini ve iş modelini destekleyip desteklemediğini değerlendirir. İç denetim,
genel olarak kültürü değerlendirir ve kültürün zayıf olduğu alanları belirler.”4
3. IIA Görüş Açıklaması, “Etkili Risk Yönetimi ve Kontrolünde Üç Savunma Hattı,” 2013, https://www.theiia.org/3-
Lines-Defence (Erişim tarihi: 24 Ağustos 2016).
İç denetim, kültürü denetlemek için gerekli yetkinliğe (beceriler ve bilgi birikimi) sahip değildir.%25
İcracı yönetim, kurumsal kültürün denetlenmesi için gereken desteği iç denetime vermemektedir. %23
İç denetimin bu denetimi yapacak zamanı yoktur. %21
Kültürü kurum bünyesindeki başka bir birim (insan kaynakları, risk yönetimi, etik ve uyum ya da diğer) değerlendirmektedir.
cvv
%18
cvv
%5 Kültürü, bir dış hizmet sağlayıcısı değerlendirmektedir.
“Kültürü denetlemek için gerekli becerilerden ve bilgi birikiminden yoksun olan iç denetim departmanları, bu işe iç denetçilerin iyi yaptıkları şeyi yaparak – yani, kurumun kültürle ilgili faaliyetlerini değerlendirmek ve iyileştirmek için sistematik ve disiplinli bir yaklaşım getirerek başlayabilirler.”
Nur Hayati Baharuddin, Yönetim Kurulu Murahhas Üyesi,
IIA-Malezya
İç denetim, kültürü denelemek için Yönetim Kurulu / Denetim
Komitesinden yeterli desteği alamamaktadır.
cvv
%17
cvv
GlobalPerspektifler: Yeni Trendler
9 globaliia.org
Bununla birlikte, kültür denetimi, gereken yetkinliklere sahip olsun ya da
olmasın, her zaman iç denetimin radarında olmalıdır. Protiviti’nin 2016 İç
Denetim Kabiliyetleri Anketi’ne göre, kültürü denetlemek, iç denetim liderlerinin
öncelik göstermesi gereken konular arasında ilk beşe girmektedir. Ayrıca, IIA
Global Nabız anketine katılan denetim liderlerinin %89’unun kültürle ilgili riskleri
anladıklarını belirttiklerini de unutmayınız.
Kültürün denetlenmesine yol açan anahtar nedenler iç denetimin kültürü yüksek
bir risk alanı olarak derecelendirmesini, yönetim kurulunun/denetim komitesinin
bu yöndeki talebini ve kültürle ilgili olaylara bir karşılık olarak bu denetime
ihtiyaç duyulmasını içermektedir (Ek 5).
Ek5 – İç Denetim departmanları kültürü neden denetler?(İlk üç)
Not: S7: İç denetim departmanınızın kültürü neden denetlediğini belirtiniz. Birden fazla
cevap seçebilirsiniz. (Kültür denetimi yapanlara sorulmuştur.)
Dolayısıyla, İDY’ler, kurumun stratejik misyonuna ulaşması ve ilgili ticari ve
operasyonel hedeflerine ulaşabilmesi için gerekli olan sağlıklı ve hedeflenen
kültürü oluşturmasına ve korumasına bir risk bazlı iç denetim planı geliştirme
konusunda üstlendikleri liderlik vasfıyla ve yönetim kuruluyla / denetim
komitesiyle ilişkileri aracılığıyla yardımcı olma konusunda anahtar bir rol
oynamalıdırlar.
Kültür denetimi yapanlar, ilerlemeci bir yaklaşım benimserler. IIA’nın 2016-17
Global Başkanı Angela Witzany’nin ifade ettiği gibi, “Kültür denetimi, her
denetim görevinin kapsamına dâhil edilmek zorundadır; böylece sürekli izleme
faaliyetleri için bir temel sağlanmış ve iç denetçilerin erken uyarı işaretleri
aramasına olanak tanınmış olur.”5
İç denetimin kültürü denetlerken benimseyebileceği en az üç yöntem vardır:
kurum-çapında bağımsız değerlendirme; (hepsi olmasa da) birçok
denetiminbir parçası olarak yürütülen münferit görevler ve/veya zaman
içerisinde yapılan bir dizi mikro kültür denetiminin bir araya getirilmesiyle
oluşturulan raporlar. Bu yaklaşımlardan birinin benimsenmesi ve uygulanması
aynı zamanda diğerlerinin de uygulanmasına engel olmaz. Belki de kurumun
kendi kültürünün bir yansıması olarak, bugün kurumsal kültürü denetlemekte
olan azınlığın uyguladığı çok sayıda farklı yaklaşım vardır(Ek 6).
4. IIA, “Global Perspektifler ve Anlayışlar: Denetim Kültürü – Hassas Konulara Sert Bir Bakış,” 2016, 5
https://global/theiia.org/GPI-Auditing-C ul t ure (Erişim tarihi: 24 Ağustos 2016).
5. IIA, “Global Perspektifler ve Anlayışlar: Denetim Kültürü – Hassas Konulara Sert Bir Bakış,” 2016, 3
https://global/theiia.org/GPI-Auditing-Culture (Erişim tarihi: 24 Ağustos 2016).
İç denetim, kültürü yüksek bir risk alanı olarak derecelendirdi. %40
Yönetim kurulunun/denetim komitesinin talebi. %30
Kültürle ilgili olaylara bir karşılık olarak (örn. kuruma mali, operasyonel veya itibar açısından zarar veren etik olmayan davranışlar)
“Kültür denetimi, her denetim görevinin kapsamına dâhil edilmek zorundadır; böylece sürekli izleme faaliyetleri için bir temel sağlanmış ve iç denetçilerin erken uyarı işaretleri aramasına olanak tanınmış olur.”
Angela Witzany, Global Başkan, IIA
%29
GlobalPerspektifler: Yeni Trendler
10 globaliia.org
Ek6 – Kültürü denetlemek içinbenimsenen yaklaşımlar
Not: S8: Kültürü denetlemek içinbenimsediğiniz yaklaşımı, aşağıdakilerden hangisi en iyi
şekilde tanımlamaktadır? (Kültürü denetleyenlere sorulmuştur.)
Bazı durumlarda –örneğin, büyük ve önemli bir skandaldan sonra ya da iki
şirketin birleşmesi veya bir şirketin başka bir şirketi satın alması için hazırlık
yaparken bu kurumların birbirlerine uyumlu olup olmadıklarını değerlendirmek
amacıyla ya da spesifik bir uymama durumunun temelinde yatan kök sebepleri
belirlemek için o anın enstantane resminin çekilmesini gerektiren durumlarda –
sadece kültürü kapsayan bağımsız bir denetim görevi yürütmek mantıklıdır.
Bununla birlikte, sadece kültürle ilgili bağımsız denetim görevleri de tek
başlarına muhtemelen yeterli olmayacaklardır. Oysa iç denetim, üstlendiği
denetim görevlerinin hepsinde kurumsal kültürü de denetlerse, arzulanan genel
kurumsal kültürden önemli sapma gösteren bir mikrokültürü kurumun tamamını
zehirlemeye imkan bulmadan önce tespit etmek ve sorunu çözümlemek
konusunda icracı yönetime ve yönetim kuruluna daha iyi yardım edebilir.
Dolayısıyla, hem makro kültürü incelemek hem de birbirinden çok farklı ve çeşitli
mikro kültürleri değerlendirmek gerekir.
Kültür denetim görevlerinin en etkili olduğu zaman, kültürle ilgili faktörlerden
oluşan kapsamlı bir listenin göz önünde bulundurulduğu ve iç denetimin bu
alanda ilerleme kaydetmek için çok iyi fırsatları bulunan zamandır. Denetim
liderlerinin hemen hemen yarısı, bu ankette belirtilen yedi faktörden en az
dördünü göz önünde bulundurduklarını belirtmektedir (Ek 7). Kültürle ilgili
herhangi bir denetim görevinde en sık göz önünde tutulan faktörler uyum
sorunları, insan kaynakları uygulamaları ve kurumsal davranışın kurumun ilân
edilen çekirdek değerleriyle aynı doğrultuda olmasını sağlamaktır.
Kültürle ilgili herhangi bir denetim görevinde en sık göz önünde tutulan faktörler uyum sorunları, insan kaynakları uygulamaları ve kurumsal davranışın kurumun ilân edilen çekirdek değerleriyle aynı doğrultuda olmasını sağlamaktır.
Kültür, birkaç denetim görevinin kapsamına dâhil edilmiştir, ancak sadece kurumsal kültürü kapsayan bağımsız bir görev yoktur.
Kültür, tüm denetim görevlerinin kapsamına dâhil edilmiştir, ancak sadece kurumsal kültürü kapsayan bağımsız bir görev yoktur.
Sadece kurumsal kültürü kapsayan bağımsız bir görev vardır ve kültür, birkaç deneyim görevinin kapsamına dâhil edilmiştir.
Yalnızca sadece kurumsal kültürü kapsayan bağımsız bir görev vardır.
Sadece kurumsal kültürü kapsayan bağımsız bir görev vardır ve kültür, hiçbir denetim görevlerin kapsamına dâhil edilmiştir.
GlobalPerspektifler: Yeni Trendler
11 globaliia.org
Ek7 – İç denetim görevlerinde kültürle ilgili göz önünde bulundurulan faktörler
Not: S12: Varsa, herhangi bir iç denetim görevinde aşağıda sayılanlardan hangisi veya
hangileri göz önünde bulundurulur? Birden fazla cevap seçebilirsiniz. (Kültürü
denetleyenlere sorulmuştur.)
Kültürü denetleyenlerin tamı tamına %60’ının bu denetimi başka departmanlarla
koordine ederek yürütmesi ilginçtir. İç denetimin kültürü denetlerken en sık
eşgüdüm kurduğu birimler insan kaynakları, uyum ve/veya risk yönetimi
departmanlarıdır (Ek 8). İç denetimin bu konuda kurumun diğer önemli
departmanlarıyla eşgüdüm kurması sadece ihtiyaten atılmış bir adım gibi
görünmektedir ve muhtemelen kuruma yol göstermeyi amaçlamaktadır.
Bununla birlikte, iç denetimin görevinde bağımsız olmasının ne kadar önemli
olduğu dikkate alındığında, tüm bu çalışmaları iç denetim yönetmeli ve
herkesten bağımsız bir şekilde kendi sonuçlarına varmalı ve kendi fikirlerini ve
gözlemlerini rapor etmelidir.
Ek8 – İç denetimin kültürü denetlemek için eşgüdüm kurduğu departmanlar (ilk üç)
Not: S11: İç denetim, kültürü denetlemek için hangi departmanlarla eşgüdüm içinde
çalıştı? Birden fazla cevap seçebilirsiniz. (Başka departmanlarla eşgüdüm içinde
çalışanlara sorulmuştur.)
Uyum Sorunları (örn. muhbir koruma kuralları ya da kurumun hukuki sorunlarla ne sıklıkta karşılaştığı)
İnsan Kaynakları Uygulamaları (örn. çıkış görüşmeleri gibi teşvikler ve yaptırımlar ve politika ihlâlleri konusunda öngörülen cezaların tutarlı olup olmadığı)
Kurumun fiili davranışlarının ilân ettiği çekirdek değerleriyle aynı doğrultuda olup olmadığı
Kültürle ilgili konularda eğitim (örn. kurumun değerleri hakkında eğitim)
Paydaş memnuniyeti / görüşleri (örn. paydaşların kurumun duruşu hakkındaki algısı, çalışan ve müşteri
anketlerinin sonuçları, müşteri geribildirimleri veya kamuoyunun görüşü)
Hassas beceriler (örn. yetkinlik, güven, açıklık, şeffaflık ve liderlik)
Acil ihbar hattı, yardım hattı veya speak-up hattı (örn. kullanım oranı, sorunların türleri, çözümler)
Kültürü denetleyen iç denetim departmanlarının %60’ı diğer departmanlarla eşgüdüm içinde çalışmaktadır. Bununla birlikte, tüm bu çalışmaları iç denetim yönetmeli ve herkesten bağımsız bir şekilde kendi sonuçlarına varmalı ve kendi fikirlerini ve gözlemlerini rapor etmelidir.
İnsan Kaynakları %63
Uyum %57
Risk Yönetimi %48
%70
%58
%56
%53
%52
%52
%34
GlobalPerspektifler: Yeni Trendler
12 globaliia.org
İç denetimin kültürle ilgili görevler hakkındaki sonuçları rapor etmesinin, başka
görevler hakkındaki sonuçları rapor etmesinden neden daha zor olabildiğini
açıklayan faktörün kurumsal kültürü denetlemenin gayrimaddi sonuçlarını rapor
etmekle ilişkili güçlükler olabileceğini varsayıyoruz. Gerçekten de, kurumsal
kültürü denetleyenler arasında denetim liderlerinin yalnızca yarısı iç denetim
departmanlarının kültür hakkında nasıl rapor vereceğini bildiğini ve anladığını
söylemekte, beşte biri ise kültürle ilgili denetim görevinin sonuçlarını hiçbir zaman
rapor etmediklerini belirtmektedir. Sonuçlar rapor edildiğinde, en yaygın
kullanılan format, bazen sözlü bir raporun da eşlik ettiği yazılı rapordur.
Her ne kadar tereddütleri anlaşılabilir olsa da, iç denetçiler, kültür denetimi
yapmakta tereddüt etmemelidirler. İç denetim birimi kültürü uygun tüm denetim
görevlerinin kapsamına dâhil ederse, kültür, hem nihai raporda hem de münferit
denetim sonuçlarının her birinde göz önünde bulundurulacak önemli faktörlerden
biri haline gelebilir.
Varılan Sonuçlar
Bu konuda elde edilen kanıtlar, iç denetim birimlerinin kültürle ilgili meselelerin
kurumların maruz kaldıkları uzun vadeli zararların altında yatan potansiyel bir
sebep olduğunu daha iyi anlamaya başladıklarını ortaya koymaktadır. Her ne
kadar bu ankete katılan iç denetim departmanlarının yaklaşık dörtte üçü kültürü
denetlemediklerini belirtse de, iç denetim liderlerinden oluşan daha küçük bir grup
bu alanda mükemmele ulaşmak için dikkate değer adımlar atmıştır. Bir bütün
olarak iç denetim mesleğinin:
Kurumun makro kültürünü tamamen anlamak,
Hem makro kültürü hem de mikro kültürleri değerlendirmek amacıyla
kurumda yerleşik olan risk/kurumsal yönetim çerçevelerini uygulamak,
Kültürle ilgili birden fazla faktörü dikkate almak ve kültürü tüm görevlerde
göz önünde bulundurmak ve
Kültür hakkında sürekli rapor vermek
suretiyle bu liderleri takip etmesi tavsiye edilmektedir.
İç denetim liderlerinin yalnızca yarısı iç denetim departmanlarının kültür hakkında nasıl rapor vereceğini bildiğini ve anladığını söylerken, beşte biri kültürle ilgili denetim görevinin sonuçlarını hiçbir zaman rapor etmediklerini belirtmektedir.
GlobalPerspektifler: Yeni Trendler
13 globaliia.org
Teknolojinin Takip Edilmesi
Her ne kadar iç denetim hızla değişen karmaşık teknolojinin sürekli gelişen dinamiklerini takip etmek için bazı adımlar atmış olsa da, Global Nabız anketinin
sonuçları, iç denetimin teknoloji risklerini kapsamlı olarak ele alma konusunda hâlâ sorunları olduğunu göstermektedir. İç denetim, bu mücadelede yalnız değildir. Gerçekten de, 2016 global Hewlett Packard Enterprise (HPE) Güvenlik
Operasyonları durum raporuna göre, 2015 yılında güvenlik operasyon merkezinin (SOC) olgunluk düzeyinde yıldan yıla bir düşüş olduğu görüldü. HPE bu düşüşü bulut bilişim, mobil bilişim, sosyal bilişim ve büyük veri bilişimi
hizmetlerinin siber savunma üzerinde yarattığı baskıya ve siber saldırı çevresinin giderek daha sofistike olmasına ve uzmanlaşmasına bağlamaktadır.Bununla birlikte, yönetim kurulu üyelerinin katıldığı anketlerin çoğunda, özellikle siber
riskler başta olmak üzere teknoloji riskleri,yönetim kurullarının endişelendikleri konuları kapsayan bir listede (listenin en başında olmasa bile) yüksek bir risk unsure olarak görülmektedir.
İç denetim kuruma nasıl yardımcı olabilir? Sayıları gittikçe artan çok bilgili iç denetim liderleri;iç denetim birimini kurum için siber alanda güvenilir bir danışman olarak konumlandırmak amacıyla, siber güvenlik ve büyük veri gibi
BT sorunları konusunda kendisini yetkinleştirmek ve yeni yetenekler kazanmak ve bu konularla ilgili (doğrudan doğruya ya da eş kaynak kullanımı yoluyla) çok çeşitli ve kapsamlı iç denetim hizmetleri sunmak suretiyle dikkate değer adımlar
atmaktadırlar. Ancakbu gruba girmeyen iç denetim birimleri söz konusu olduğunda, Global Nabız anketi verileri, iç denetim biriminin bu alanda
mükemmeliyete ulaşmasını engelleyen çeşitli faktörlerin mevcut olduğuna işaret etmektedir.
Siber Güvenlik
Siber güvenlik kavramı, bilgisayar tabanlı sistemlerde tutulan şirket verilerinin kayıp, tahribat, yetkisiz erişim ve yetkisiz kişilerin kötüye kullanması risklerine karşı korunması için alınan önlemlere atıf yapar. IIA’nın ‘2016 Global
Perspektifler ve Anlayışlar: Güvenilir Siber Danışman olarak İç Denetim ’kitapçığında da açıklandığı gibi, “Siber güvenlik tüm kurumlarda bütüncül bir
bakış açısıyla ve sistemli bir biçimde ele alınmalıdır, çünkü bir kurumun siber güvenliği sağlayamaması en temel faaliyetlerini bile yürütememesine, fikri mülkiyet haklarını kaybetmesine ve hatta itibarının büyük zarar görmesine yol
açabilir. Siber güvenlik, sadece teknolojik bir risk değildir,aynı zamanda iş ve işletmeyle ilgili bir risktir ve dolayısıyla, bu konuda da iç denetçilerin oynaması gereken kritik bir rol vardır.”6
Neyse ki, iç denetim liderlerinin büyük çoğunluğu (%93), iç denetim departmanlarının siber güvenlikle ilgili riskleri anladığını belirtmektedir. Oysa, bu iyimserliğin tam aksine, 2016 yılında hazırladığı ‘Dijital dünyada güven yaratmak’ başlıklı raporunda, EY, siber güvenlik risklerinin çok hafife alındığı ve çok fazla sayıda kurumun bu riske karşı sorunu ciddiye almayan bir yaklaşım benimseyerek mevcut zafiyeti daha da artırdığı konusunda uyarıda
bulunmaktadır. Global Nabız, iç denetim liderlerinin yarısından biraz fazlasının (%55) kurumlarının siber güvenliği sağlamak için tasarlanmış bir çerçeve kullandığını belirterek EY’nin bu raporunu doğrulamaktadır. Ek 9’da da
gösterildiği gibi, bu oran, kurumlarına şahsen (%16) ya da eş kaynak kullanımı yoluyla (%42) siber güvenlikle ilişkili iç denetim hizmetleri sunduklarını söyleyen iç denetim birimlerinin oranına (%58) çok yakındır.
6. IIA, “Global Perspektiflerve Anlayışlar: Güvenilir Siber Danışman olarak İç Denetim,” 2016, 5,
https://www.theiia. org/gpi (Erişim tarihi: 24 Ağustos 2016).
Siber güvenlik tüm kurumlarda bütüncül bir bakış açısıyla ve sistemli bir biçimde ele alınmalıdır, çünkü bir kurumun siber güvenliği sağlayamaması en temel faaliyetlerini bile yürütememesine, fikri mülkiyet haklarını kaybetmesine ve hatta itibarının büyük zarar görmesine yol açabilir.
GlobalPerspektifler: Yeni Trendler
14 globaliia.org
Dolayısıyla, iç denetim departmanlarının çoğu siber güvenlikle ilgili riskleri
anladıklarını iddia edebilmesine rağmen, sadece çok azı bu tür denetimlere
ihtiyacı olan kurumlarına siber güvenlikle ilgili iç denetim hizmetlerinin tümünü
kapsamlı bir biçimde sunarak bu anlayışı eyleme dökebilmektedir. Ancak daha
da endişe verici ve kaygı uyandırıcı olan, iç denetim liderleri siber güvenlik
risklerini anladıklarını iddia etmelerine ve kamuya mal olmuş siber olayların yol
açtığı büyük zararlar ve bu olayların kamuoyu nezdinde görünürlüğü ortada
olmasına rağmen, her dört iç denetim liderinden birinin (%25) kurumlarına siber
güvenlikle ilgili hiçbir iç denetim hizmeti sunmadığını belirtmesidir. Geriye kalan
%16’lık kısım, siber güvenlikle ilgili tüm iç denetim hizmetlerinin tamamen dış
kaynak kullanımı yoluyla sunulduğunu belirtmektedir (Ek 9).
Ek 9 – Kurumlara siber güvenlikle ilgili iç denetim hizmetlerini kim
sunmaktadır?
Not: S25: Siber güvenlikle ilgili iç denetim hizmetlerini kurumunuza kimin sunduğunu,
yukarıdakilerin hangisi en iyi şekilde tanımlamaktadır?
Bir kuruma hiçbir iç denetim hizmeti sunulmamasının en başta gelen sebepleri,
iç denetim biriminin bu denetimi yapmak için gerekli yetkinliklerden (beceriler
ve bilgi birikimi) ve siber güvenliği denetlemek için gerekli araçlardan yoksun
olmasını da içermektedir (Ek 10). İDY’ler bu eksiklikleri gidermek için birtakım
girişimlerde bulunmaktadırlar. 2016 yılında hazırlanan bir IIARF CBOK raporuna7
göre, İDY’lerin iç denetim departmanları için istihdam ettikleri kişilerde aradıkları
ya da bu departmanda çalışanlara kazandırmaya çalıştıkları yedi beceriden ikisi
bilgi teknolojisi ve veri madenciliği/analizidir. İDY’ler, eş kaynak ve dış kaynak
kullanımı düzenlemeleriyle yetkinlik ve araç eksiğini de telafi etmektedirler.
7. James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Institute of Internal Auditors Research
Foundation, 2016) p 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.
Her dört iç denetim liderinden biri, kurumlarına siber güvenlikle ilgili hiçbir iç denetim hizmeti sunmadığını belirtmektedir.
Siber güvenlikle ilgili tüm iç denetim hizmetlerini iç denetim departmanı sunar.
Siber güvenlikle ilgili iç denetim hizmetleri, iç denetim departmanı ve dış hizmet sağlayıcıları arasında yapılan eş-kaynak kullanımı düzenlemesiyle sunulur.
Siber güvenlikle ilgili tüm iç denetim hizmetleri için dış kaynak kullanılır.
Kurumuma siber güvenlikle ilgili hiçbir iç denetim hizmeti sunulmamıştır.
GlobalPerspektifler: Yeni Trendler
15 globaliia.org
Ek 10 – İç denetim departmanlarının siber güvenliği denetlememesinin sebepleri
Not: S26: İç denetim departmanınızın özellikle siber güvenlikle ilgili iç denetim hizmetleri
sunmamasının nedeni, aşağıda sayılanlardan hangisi veya hangileridir? Birden fazla
cevap seçebilirsiniz. (Kuruma siber güvenlikle ilgili hiçbir iç denetim hizmeti sunmamış
olanlara sorulmuştur.)
Bir iç denetçi bu alanda ilerleme kaydetmek için ne yapabilir? Öncelikle, her şey
siber güvenliği denetlemek için gerekli yetkinliklere ve araçlara sahip olmakla
veya bunları edinmekle başlar. Anket sonuçlarına bakıldığında, bu iki unsurun
bu kritik alanı başarıyla denetlemeyi engelleyen sebeplerin başında geldiği
açıkça görülmektedir. Ardından, üst yönetimin iç denetim birimini bu konuda
desteklemesini sağlamanın ne kadar önemli olduğunun farkında olmalısınız.
‘Güvenilir Siber Danışman olarak İç Denetim’ kitapçığında da belirtildiği gibi,
hemen hemen tüm kurumlarda, her önemli ve büyük proje için, üst yönetimin
desteğinin alınması kritik düzeyde önemlidir. Bununla birlikte, yönetim kurulları,
siber güvenlikle ilgili en büyük endişeleri hakkında riskle orantılı eylemlerde
bulunmayı tercih etmeyebilirler. Örneğin, Amerika Birleşik Devletleri’nde yakın
zamanda yapılan bir çalışmaya göre, çalışmaya katılanların %26’sı, bilgi
güvenliği yöneticilerinin (CISO) veya güvenlik yöneticilerinin (CSO) yönetim
kuruluna yılda sadece bir kere güvenlikle ilgili bir sunum yaptığını belirtti; aşağı
yukarı eşit sayıda kişi (%28), bu konuda hiçbir sunum yapılmadığını söyledi.
Ayrıca, katılanların yaklaşık üçte biri, hiçbir yönetim kurulu komitesinin veya
yönetim kurulu üyesinin siber riskle ilgilenmediğini ve katılanların sadece %15’i
denetim komitesinin siber riskle ilgilendiğini belirtti.8
8. PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,”
Temmuz 2015, http://www.pwc.com/us/cybercrime (Erişim tarihi: 24 Ağustos 2016).
%22
İç denetim, siber güvenliği denetlemek için gerekli araçlara sahip değildir.
%26
İç denetim, siber güvenlikle ilgili denetim hizmeti sağlamak için gerekli yetkinliklere (beceriler ve bilgi birikimi) sahip değildir.
%19
%16
%16
%14
%7
%65
%55
İç denetim, siber güvenlikle ilgili riskleri değerlendirmemiştir.
İç denetimin siber güvenliği denetlemek için yeterli zamanı yoktur.
İcracı yönetim, siber güvenliğin denetlenmesi için gereken desteği iç denetime vermemektedir.
Siber güvenliği bir dış güvence sağlayıcısı değerlendirmektedir.
Yönetim kurulu / denetim komitesi, siber güvenliğin denetlenmesi için gereken desteği iç denetime vermemektedir.
Siber güvenliği başka bir iç güvence sağlayıcısı değerlendirmektedir.
İç denetim, siber güvenlikle ilgili riski kurum açısından düşük bir risk alanı olarak
değerlendirmiştir.
GlobalPerspektifler: Yeni Trendler
16 globaliia.org
Muhtemelen, iç denetimin siber güvenliği değerlendirmek için yeterli yetkinliğe
sahip olmadığı gerçeği ve bu yöndeki algının ortak bir sonucu olarak, iç
denetimin bu açığı kapatacağına duyulan güven de azdır. Örneğin, Global
Nabız’da, iç denetim liderlerinin sadece %56’sı yönetim kurulunun/denetim
komitesinin siber güvenliğin denetlenmesini şart koştuğunu söyledi. Peki, bu
konuda ne yapmak gerekir? Öncelikle, yönetim kuruluna/denetim komitesine
ayrıcalıklı erişim hakkına sahip olan ve siber güvenlik risklerini anlayan iç
denetim liderleri, siber güvenliği yönetim kurulu toplantılarının gündeminde
tutmalı, kurumun siber güvenlik konusundaki zayıf noktalarını tartışmalı ve
kurumun siber güvenlik riskini alma iştahını belirlemek için yürütülecek bir
sürece yardımcı olmayı teklif etmelidirler. Siber güvenlik risklerinin ne kadar
önemli ve ciddi olduğunu anlamayanlar, en azından, teknoloji, bu riski etkili
şekilde idare ve kontrol etmek için gösterilen çaba ve çalışmalardan daha hızlı
gelişmeye devam ettikçe bu durumun daha ciddi bir hal alacak büyük bir risk
faktörü olduğunu anlamalıdırlar. Aslında, Forbes, 2016 yılı başlarında bilişim
suçlarının maliyetinin 2019 yılına kadar 2 trilyon $’a ulaşmasını beklediğini
belirten bir projeksiyonu rapor etmişti.9
İkinci olarak, siber güvenlik konusunun İDY’nin kurumda sergilediği liderlik
yeteneği ve vasfına bağlı olarak işbirliğine dayalı bir çalışma gerektirdiğini fark
etmelidirler. IIA Hollanda’da başkan olarak görev yapan Hans Nieuwlands’in de
açıkladığı gibi, “İDY’ler, siber güvenlik risklerini idare eden veya kabul edilebilir
bir düzeye indiren tavsiyeler ve çözümler sunmak ve bilgi teknolojileri yöneticisi
(CIO), bilgi güvenliği yöneticisi (CISO) ve üst düzey gizlilik / hukuk yetkilisiyle
işbirliğine dayalı ilişkiler kurup bu ilişkileri geliştirmek suretiyle icracı yönetimle
güvene dayalı ortaklıklar kurmak zorundadırlar.”
Üçüncü olarak, bu alanda zaten büyük adımlar atmış olanları takip etmelidirler.
Daha önce de bahsedildiği gibi, iç denetim liderlerinin yarısından fazlası (%58),
kurumlarına şahsen ya da eş kaynak kullanımı yoluyla siber güvenlikle ilgili iç
denetim hizmetleri sunduklarını belirtmektedirler. Siber güvenliği denetlemenin
en başta gelen sebepleri, siber güvenliğin haklı olarak yüksek bir risk olarak
belirlenmesi ve kurumun siber güvenliğin giderek artan önemi hakkında
gerekeni yapması ve bu konuya gereken önemi vermesi için İDY’nin iç denetim
liderlerinin katalizör olmaları gerekebileceğini göstererek denetim planlama
sürecinde bu konuya parmak basmasıdır (Ek 11).
Siber güvenliği denetleyen iç denetim departmanlarının bunu yapmakla aslında
kurumlarına çok çeşitli ve geniş yelpazede değerli hizmetler sunmaya başlaması
da önemlidir. Bu konuda en çok bahsi geçen hizmetler arasında internete bağlı
sistemlerin verileri nasıl işlediğini, depoladığını ve/veya aktardığını
değerlendirmek; iş sürekliliği planını değerlendirmek ve siber güvenlik risk
değerlendirme sürecini değerlendirmek yer almaktadır (Ek 12). İç denetim
liderlerinin proje ekiplerine tavsiye vermek ve siber güvenlik uygulama ve
performans planlarına rehberlik etmek suretiyle bu sürecin ön saflarında daha
fazla yer alması apaçık bir potansiyel fırsattır.
9. Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/
stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0
Yönetim kuruluna / denetim komitesine ayrıcalıklı erişim hakkına sahip olan ve siber güvenlik risklerini anlayan iç denetim liderleri, siber güvenliği yönetim kurulu toplantılarının gündeminde tutmalı, kurumun siber güvenlik konusundaki zayıf noktalarını tartışmalı ve kurumun siber güvenlik riskini alma iştahını belirlemek için yürütülecek bir sürece yardımcı olmayı teklif etmelidirler.
GlobalPerspektifler: Yeni Trendler
17 globaliia.org
Ek 11 – İç denetim departmanları siber güvenliği neden denetler?
Not: S27: İç denetim departmanınızın neden özellikle siber güvenlikle ilgili iç denetim
hizmetleri sunduğunu belirtiniz. Birden fazla cevap seçebilirsiniz. (Siber güvenlikle ilgili
hizmetler sunanlara veya bu hizmetler için eş kaynak kullananlara sorulmuştur.)
Ek 12 – İç denetim departmanları siber güvenliği nasıl denetler?
Not: S28: İç denetim departmanınızın siber güvenlik alanına nasıl dâhil olduğunu
belirtiniz. Birden fazla cevap seçebilirsiniz. (Siber güvenlikle ilgili hizmetler sunanlara
veya bu hizmetler için eş kaynak kullananlara sorulmuştur.)
Siber güvenlik yüksek bir risk olarak sınıflandırıldı. %74
İç denetim yöneticisi (İDY) veya iç denetim birimi başkanı, yıllık denetim planlama sürecinde bu konuyu gündeme getirdi. %63
Yönetim kurulu / denetim komitesinin talebi üzerine %34
Yönetimin talebi üzerine %28
%17
%10
Siber güvenlikle ilgili bir olaya cevap olarak (örn. kuruma finansal, operasyonel veya itibar açısından zarar veren bir veri ihlâli)
Kurumda yerleşik olan siber güvenlik ölçü standardındaki değişikliklere cevap olarak (örn. koruyucu yazılımın verdiği uyarıların sayısının artması, siber güvenlik politikası ihlâllerinin sayısının artması)
İnternete bağlı sistemlerin verileri nasıl işlediğini, depoladığını ve/veya aktardığını ele alan kontrolleri değerlendirdi.
İş sürekliliği planını değerlendirdi.
Siber güvenlik risk değerlendirme sürecini değerlendirdi.
Siber güvenlik korumasını değerlendirdi.
Olay müdahale planını değerlendirdi.
Kriz yönetimi planını değerlendirdi.
%27
%70
%68
%64
%59
%56
%47
Siber güvenlik uygulama planları ve planların uygulamaya
konulmasına rehberlik etmek için proje ekibine katıldı.
GlobalPerspektifler: Yeni Trendler
18 globaliia.org
Büyük Veri (Big Data)
Büyük veri, sadece çok miktarda veri olarak tanımlanamaz ve bundan daha
fazlası anlamına gelir. Büyük veri; bir kurum bünyesinde tutulan ve o kurumun
sadece o verileri tutmak ve işlemek için özel olarak tasarlanmış system
mimarileri, araçları ve uygulamalarına yatırım yapmasını gerektirecek kadar
büyük bir hacme, çeşitliliğe, akış hızına ve değişkenliğe ulaşmış bulunan very
(bilgi) anlamına gelir. Dünya çapında, iç denetim liderlerinin hemen hemen
yarısı (%49), kurumlarının bu tür yatırımlar yaptığını (ve muhtemelen büyük
veriyi bir dereceye kadar etkili idare etmek amacıyla sistemler uygulamaya
koyduğunu) belirtmektedir ve yüzde 23’lük başka bir kısım da, kurumlarında bu
amacı yerine getirecek bir stratejinin mevcut olduğunu söylemektedir (Ek 13).
Sonuç olarak, iç denetimin büyük veriyi risk-temelli denetim planlarında ele
alması veya alacağı beklenmelidir.
Ek 13 – Büyük veriye yatırım yapan kurumlar
Not: S17: Kurumunuzun büyük very konusunda benimsediği yaklaşımı en iyi tanımlayan
ifade hangisidir?
2016 yılında Fortune 1000 listesinin ABD-merkezli kıdemli ticaret ve teknoloji
karar alıcılarını kapsayan bir New Vantage Partners (NVP) anketi şu sonuçlara
ulaştı:
Büyük veri, anaakım kurum ve kuruluşlarca kabul edilmiştir.
Yeni kurumsal yapı içerisinde bir kıdemli veri müdürünün rolü giderek önem
kazanmaktadır.
İş ve teknoloji ortaklığı, büyük verinin kabulü ve benimsenmesi için kritik
bir unsur olarak görülmektedir.
İş hayatında içgörü ve sürat, büyük veriye yatırım yapılmasının altında
yatan temel faktörlerdir.
Büyük veri yatırımlarının altında yatan teknik faktör olarak (verinin)
çeşitliliği verinin hacmi ve hızına ağır basmaya devam etmektedir.10
10. New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/up-
loads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (Erişim tarihi: 24 Ağustos 2016).
Dünya genelinde, iç denetim liderlerinin hemen hemen yarısı, kurumlarının büyük veriye yatırım yaptığını belirtmektedir ve yüzde 23’lük başka bir kısım da, kurumlarında bu amacı yerine getirecek bir stratejinin mevcut olduğunu söylemektedir. İç denetimin büyük veriyi risk-temelli denetim planlarında ele alması veya alacağı beklenmelidir.
Kurumum özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmıştır.
Kurumum, özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmamıştır, ancak uygulamaya koyduğu bir strateji vardır.
Kurumum, özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmamıştır ve bu amaçla uygulamaya koyduğu bir strateji de yoktur.
Bilmiyorum.
GlobalPerspektifler: Yeni Trendler
19 globaliia.org
Ek 14’te de gösterildiği gibi, iç denetim liderlerinin büyük veriye yatırım yapmış
olan kurumlarda çalıştığı durumlarda, liderlerin %64’ü, departmanlarının
kuruma şahsen (%32) ya da bir dış hizmet sağlayıcısıyla birlikte eş kaynak
kullanımı yoluyla (%32) büyük veriyle ilgili iç denetim hizmetleri sunduklarını
belirtmektedir. Ayrıca, tıpkı siber güvenlik alanında da olduğu gibi, kurumun
büyük veri risk yönetimi ve kontrolü konularına verdiği önem ve dikkati çoğu
zaman iç denetim liderleri yönlendirmektedir. Büyük veriyi denetleyen iç
denetim liderlerinin bu denetim için öne sürdükleri nedenlerden ilk ikisi riski
görmekle ilgilidir. Ankette de belirtildiği gibi, ya İDY bu konuyu yıllık denetim
planlama sürecinde gündeme getirmiş ya da iç denetim büyük veriyi yüksek bir
risk olarak kabul etmiştir.
Ek 14 – Büyük veriyle ilgili iç denetim hizmetlerini kurumunuza
kim sunmaktadır?
Not: S19: Kurumunuzun büyük veriyle ilgili iç denetim hizmetlerini kimin sunduğunu en
iyi tanımlayan ifade hangisidir? (Büyük veriye yatırım yapmış olanlara sorulmuştur.)
Büyük veriyi ele alan iç denetim departmanları, kurumlarına büyük veriyle ilgili
çok sayıda değerli hizmetler sunmaktadırlar. Bu konuda en çok bahsi geçen
hizmetler verinin mevcudiyeti, kullanılabilirliği, bütünlüğü veya güvenliği
üzerindeki kontrolleri değerlendirmeyi; büyük veri kullanımıyla ilişkilendirilen
riskleri değerlendirmeyi ve büyük verinin doğru olup olmadığını değerlendirmeyi
içermektedir (Ek 15).
Büyük veriyi denetleyen iç denetim liderlerinin bu denetim için öne sürdükleri nedenlerden ilk ikisi riskle ilgilidir. Ankette de belirtildiği gibi, ya İDY bu konuyu yıllık denetim planlama sürecinde gündeme getirmiş ya da iç denetim büyük veriyi yüksek bir risk olarak kabul etmiştir.
Büyük veriyle ilgili tüm iç denetim hizmetlerini, iç denetim departmanı sunmaktadır.
Büyük veriyle ilgili iç denetim hizmetleri için iç denetim ve dış hizmet sağlayıcıları arasında eş kaynak kullanılmaktadır.
Büyük veriyle ilgili iç denetim hizmetlerinin hepsi dış kaynaklardan temin edilmektedir.
Kurumuma büyük veriyle ilgili hiçbir iç denetim hizmeti sunulmamıştır.
GlobalPerspektifler: Yeni Trendler
20 globaliia.org
Ek 15 – İç denetim departmanları büyük veriyi nasıl denetlerler?
Not: S22: İç denetim departmanınızın büyük veri alanına nasıl dâhil olduğunu belirtiniz.
Birden fazla cevap seçebilirsiniz. (Büyük veriyle ilgili hizmetler sunanlara veya bu
hizmetler için eş kaynak kullananlara sorulmuştur.)
Bu iç denetim hizmetlerinin NVP anketindeki anahtar bulguların tümüyle
ilişkilendirilip ilişkilendirilemeyeceği tartışmaya açıktır. Örneğin, Botswana
Uluslararası Bilim ve Teknoloji Üniversitesi’nde iç denetim direktörü olarak
çalışan Lesedi Lesetedi’nin açıkladığı gibi, “NVP anketi, büyük veri
harcamalarının arttığını ortaya koymuştur. İç denetimin bir maliyet-zarar
analizine yardımcı ve destek olması, icracı yönetim ve yönetim kuruluna, kuruma
sağlanan potansiyel faydalar göz önünde bulundurulduğunda bu harcamaların
haklı olduğu güvencesini vermeye yardımcı olabilir.” Virginia Üniversitesi’nde
İDY olarak çalışan Carolyn Saint ise şunu ekler: “İç denetim, proje ekiplerinde
yer aldığında, hem veri bütünlüğü, güvenliği ve gizliliği gibi konular hakkındaki
iş ve teknoloji perspektiflerini hem de gizlilik şartlarını ele alan düşünmeye
zorlayıcı sohbetleri teşvik edebilir.”
Her ne kadar iç denetim liderlerinin %92’si iç denetim departmanlarının büyük
veriyle ilişkilendirilen riskleri ve iç denetimin kurumlarının büyük veriyle ilgili
girişimlerine katkıda bulunabileceği sayısız yol ve yöntemi anladığını söylese de,
büyük veriye yatırım yapmış kurumlarda çalışan her dört iç denetim liderinden
biri (%26) kurumlarına büyük veriyle ilgili hiçbir iç denetim hizmeti
sunulmadığını belirtmektedir. Bu iç denetim liderlerinin çoğunun iç denetimin bu
konuda geri kalma sebebinin araç ve yetkinlik (beceriler ve bilgi birikimi) eksikliği
olduğunu belirtmesine rağmen, bu liderler çok sayıda sebepten
bahsetmektedirler (Ek 16).
Büyük verinin mevcut, kullanılabilir, tam veya güvenli olup olmadığı üzerindeki kontrolleri değerlendirdi.
Büyük veri kullanımıyla ilişkilendirilen riskleri değerlendirdi.
Büyük verinin doğru olup olmadığını değerlendirdi.
Büyük verinin geçerli olup olmadığını (verinin hedeflenen kullanımı için uygun olup olmadığını) değerlendirdi.
Büyük veri analizlerinin kurum için değerini değerlendirdi.
%24 2%24
%10
%80
%66
%54
%51
%38
Siber güvenlik uygulama planları ve planların uygulamaya konulmasına rehberlik etmek için proje ekibine katıldı.
Bir maliyet-fayda analizine yardım etti.
“İç denetim, proje ekiplerine katıldığında, hem veri bütünlüğü, güvenliği ve gizliliği gibi konular hakkındaki iş ve teknoloji perspektiflerini hem de gizlilik şartlarını ele alan düşünmeye zorlayan sohbetleri teşvik edebilir.”
Carolyn Saint, İDY, Virginia Üniversitesi
GlobalPerspektifler: Yeni Trendler
21 globaliia.org
Ek 16 – İç denetim departmanlarının büyük veriyi denetlememe sebepleri
Not: S20: İç denetim departmanınızın, özellikle büyük veriyle ilgili iç denetim hizmetleri
sunmamasının sebebi aşağıdakilerden hangisidir? Birden fazla cevap seçebilirsiniz.
(Kuruma büyük veriyle ilgili hiçbir iç denetim hizmeti sunmayanlara sorulmuştur.)
İç denetim, büyük veriyi denetleyecek araçlara sahip değildir.
İç denetim, büyük veriyi denetlemek için gerekli yetkinliklere (beceriler ve
bilgi birikimi) sahip değildir.
İç denetim, büyük veriyle ilgili riski değerlendirmemiştir.
İç denetimin büyük veriyi denetleyecek zamanı yoktur.
%17
%14
%13
%8 %5
%61
%46
%34
%22
İcracı yönetim, iç denetimin büyük veriyi denetlemesini desteklemez.
Büyük veri bir dış güvence sağlayıcısı tarafından değerlendirilmektedir.
İç denetim, büyük veriyle ilgili riskleri kurum için düşük bir risk olarak değerlendirmiştir.
Yönetim kurulu / denetim komitesi, iç denetimin büyük veriyi denetlemesini desteklemez.
Büyük veri başka bir dış güvence sağlayıcısı tarafından değerlendirilmektedir.
GlobalPerspektifler: Yeni Trendler
22 globaliia.org
Varılan Sonuçlar
Her ne kadar siber güvenlik ve büyük veriyle ilgili teknoloji riskleri birçok yönetim
kurulunun öncelik verdiği konuların en başında gelse de, riskler hesaba
katıldığında, kurumlarına bu konuyla ilgili iç denetim hizmetleri sunan iç denetim
departmanı sayısı yeterli değil gibi görünmektedir. Bununla birlikte, bu
hizmetleri sunan iç denetim departmanları, genelde kurumun ilgi ve alakasını
siber güvenlik ve büyük veriyle ilişkilendirilen kritik risk ve kontrol konularına
yönlendirmesine yardım ederler. İç denetçilerin sürekli değişen bu dinamik risk
ortamında becerilere, bilgi birikimine, kaynaklara ve araçlara erişimesini
sağlamak zor olacaktır. Konunun uzmanı olan uygun kişileri kuruma getirerek
eşkaynak kullanımı düzenlemelerinden faydalanmanın, birçok iç denetim
biriminin bu alanda ilerlemesi için şart olduğu kanıtlanabilir.
İç denetimin bu alanda mükemmele doğru ilerleme kaydetmesine yardımcı
olacak basamaklar:
Teknolojiyle ilgili riskleri ve onların operasyonel ve stratejik hedeflere
ulaşma üzerindeki muhtemel etkisini iyice anlamayı,
Siber güvenlik ve büyük veriyi denetlemek için gerekli araçları elde etmek
amacıyla kurumun teknoloji alanına yaptığı yatırımlarını kullanmayı,
Gerekli iç denetim yetkinliklerini geliştirmeyi,
Teknoloji operasyonları ve ticari operasyonlar arasındaki işbirliğini
geliştirmeye yardım etmeyi ve
Proje yönetimi ekiplerine katılmaktan, yönetim kuruluna teknolojiyle ilgili
risk yönetimi ve iç kontrol güvencesi vermeye kadar değişiklik gösteren,
teknolojiyle ilgili kapsamlı bir iç denetim hizmetleri seti sunmayı
içermektedir.
Riskler hesaba katıldığında, kurumlarına bu konuyla ilgili iç denetim hizmetleri sunan iç denetim departmanı sayısı yeterli değil gibi görünmektedir.
GlobalPerspektifler: Yeni Trendler
23 globaliia.org
Güvenilir Danışman Statüsüne Ulaşmak Anlaşılması ne kadar güç ve zorlu olursa olsun, iç denetim, paydaşların sürekli
artan beklentilerine yetişme ve onları karşılama konusunda büyük adımlar
atmaya devam etmektedir. Bu durum, kimisi için ebedi ve zorlu bir süreçken;
diğerleri için en azından artan talep ve beklentilerin bir veya iki adım önünde
kalmaya çalışma meselesi olacaktır.
Tartışmaya açık düzeyde demode bir yaklaşımla muhasebe kontrollerine
odaklanmaktan, tam anlamıyla kurum çapında risk-temelli denetime doğru
gelişmeyi sürdürmek, bu meslek için büyük bir sıçrama olmuştur. Ayrıca,
İDY’lerin iç denetim planının kurumun stratejik öncelikleriyle aynı doğrultuda
olmasını sağlaması ve bir kurumun stratejik hedeflerine başarıyla ulaşma
becerisinin (veya bu konudaki yetersizliğinin) içyüzünün anlaşılmasını
sağlaması mesleğin olgunlaştığı bir sonraki adım olmuştur.
Peki, bir sonraki adım nedir? Birçok kişi iç denetimin tam anlamıyla etkili
olabilmesi için daha da ileri giderek kurum çapında “güvenilir danışman” olarak
görülmesi gerektiğini söylemektedir. Bununla birlikte, birçok durumda iç
denetim hâlâ “masada istediği yeri”, yani en önemli ve acil kurumsal sorunların
tartışıldığı ve icrai kararların alındığı masadaki yerini kazanmaya çalışmaktadır
(tabii alabilirse). Dolayısıyla, gerçek bir güvenilir danışman, bu masadaki yerini
herkesin genel olarak kabul ettiği değerden dolayı alır. Güvenilir danışmanlar
masaya oturmayı talep etmezler, davet edilirler. Dolayısıyla, güvenilir bir
danışman, paydaşların kurumun hedeflerine ulaşmasında paha biçilemez
düzeyde önemli bir kaynak olarak algılanması için iş zekası, teknik uzmanlık
ve ilişki becerilerinin tamamına sahip olmak zorundadır. Bu, İDY ve ekibi için
kuruma katkıda bulunacak önemli bir şeye sürekli sahip olmak anlamına gelir.
PwC, ‘2016 İç Denetim Mesleği Çalışmasının Durumu, Liderlikle ilgili Konular:
Paydaşlar daha fazlasını bekledikçe gerçek kuzeye doğru ilerlemek’ başlıklı
raporunda, mesleğin arzu ettiği gerçek amaçlar ve iç denetçilerin günümüzde
kurumlara fiilen sundukları arasında, genel görüşlerle de tutarlı bir uçurum
olduğunu ortaya çıkarmıştır. PwC’nin yaptığı çalışmaya katılanların (İDY’ler ve
onların paydaşları) yalnızca %16’sı, bu yöndeki beklentiyi anladıklarını kabul
ederek, iç denetimin bugün iş ve işletme için denetim planının etkili ve verimli
bir şekilde uygulamaya konulmasının çok daha ötesinde katma-değerli
hizmetler ve proaktif stratejik tavsiyeler sunduğunu söylerken; katılanların
%62’si, iç denetimin tüm bunları gelecek beş yıl içerisinde yapacağını
beklediklerini belirtti. Benzer şekilde, Deloitte, ‘2016 Global CEO Araştırması,
Evrim mi, yoksa anlamsızlık mı? İç denetim bir yol ayrımında’ başlıklı
kitapçığına göre, “İDY’lerin yalnızca %28’i birimlerinin kurum üzerinde güçlü
bir etki ve nüfuz sahibi olduğuna inanmaktadır. Katılanların %16’sının İç
Denetimin kurumda çok az etki ve nüfuz sahibi olduğunu ya da hiç etki veya
nüfuz sahibi olmadığını belirtmesi rahatsız edicidir. Aynı şekilde, katılanların
neredeyse üçte ikisi, İç Denetimin bu alanlarda sahip olduğu gücün gelecek
yıllarda önemli olacağına inanmaktadır.”11
11. Deloitte, “Evolution or irrelevance? Internal audit at a crossroads,” 2016, 5,
http://www2.deloitte.com/global/en/ pages/audit/solutions/global-chief-audit-executive-survey.html (Erişim
tarihi: 24 Ağustos 2016).
Gerçek bir güvenilir danışman, bu masadaki yeri herkesin genel olarak kabul ettiği değerden dolayı alır. Güvenilir danışmanlar Masaya oturmayı talep etmezler, davet edilirler.
GlobalPerspektifler: Yeni Trendler
24 globaliia.org
İç denetim bu dikkate değer açığı kapatıp güvenilir bir danışman olmaya doğru
büyük adımlar atabilecek mi? Beklentiler göz önünde bulundurulduğunda,
proaktif ve agresif adımlar atılması gerekebilir.
Tawazun’da İDY olarak çalışan Karem Toufic Obeid’e göre, “Bu açığı kapatmak
icracı yönetimle ve yönetim kuruluyla güvene dayalı ilişkiler kurmayı
gerektirmektedir. İç denetimin yürüttüğü çalışmalar sadece güvenilir ve verdiği
sözleri tutar nitelikte değil, aynı zamanda ileriye dönük ve işin iç yüzünü
kavrayan nitelikte olduğunda, güven yaratılmış olur.” Ne yazık ki, iç denetim
liderlerinin çoğu CEO, icracı yönetim ve denetim komitesi başkanıyla hâlâ
gerektiğinde ve sıklıkla değil, sadece önceden belirlenmiş ve tayin edilmiş
tarihlerde toplantı yapmaktadır. Ayrıca, en tepede güçlü ilişkiler kurma gereği
nedeniyle, güçlü bir kavrayışa ve içgörüye sahip olma gereğiyle birlikte çok
keskin bir iş zekası ve teknik uzmanlığı dikkate almak ve hesaba katmak
başarılması zor bir görev haline gelebilir. Ancak bunun da gerekli bir girdi haline
gelmekte olduğu anlaşılmaktadır. Bununla birlikte, iç denetim liderlerinin çoğu
(%66) büyük ve önemli kurumsal değişiklik girişimlerinde rol oynamalarının çok
sık talep edilmediğini (Ek 17) söylerken, iç denetim liderlerinin neredeyse üçte
biri tüm üyelerin katıldığı bir yönetim kurulu toplantısına hiçbir zaman davet
edilmediklerini (Ek 18) belirtmektedir. Sonuç olarak, güvenilir danışman statüsü,
en azından şu anda pek çok kişi için umut verici ve “hâlâ sonuca ulaşmamış” bir
arzu olarak kalmaya devam etmektedir.
Ek 17 – İç denetim, kurumsal değişikliğe yönelik girişimlerde ne
sıklıkta yer alır?
Not: S38: İç denetim birimi, eğer varsa, büyük ve önemli kurumsal değişiklik
girişimlerinde ne sıklıkta yer alır? Sonuçlar yuvarlandığı için sayı %100’e eşit değildir.
İç denetim liderlerinin çoğu (%66) büyük ve önemli kurumsal değişiklik girişimlerinde rol oynamadıklarını söylerken, liderlerin neredeyse üçte biri tüm üyelerin katıldığı bir yönetim kurulu toplantısına hiçbir zaman davet edilmediklerini belirtmektedir.
Her zaman
Sık sık
Bazen
Nadiren
Hiçbir zaman katılmaz
GlobalPerspektifler: Yeni Trendler
25 globaliia.org
Ek 18 – İDY’ler tüm üyelerin katıldığı yönetim kurulu
toplantılarına ne sıklıkta davet edilirler?
Not: S37: İç denetim yöneticisi veya iç denetim birimi müdürü, tüm üyelerin katıldığı
yönetim kurulu toplantılarına (denetim komitesi toplantılarından bağımsız) davet
ediliyorsa, ne sıklıkta davet edilmektedirler?
İç denetim liderleri ve personeli; CEO, icracı yönetim ve denetim komitesi
başkanının yanı sıra, üst ve orta kademelerde görevli yöneticilerle de ilişkiler
kurmalıdırlar. Pek çoğu için, bunu en iyi yapmanın yolu, derin ve sürdürülebilir
ilişkiler kurmak için çalışırken bir yandan da özel tasarlanmış ve sık tekrarlanan
etkileşimler yoluyla bilinçli bir planlama yapmaktır. Bununla birlikte, iç denetim
liderlerinin %65’i, iç denetçilerin kurumda hedeflediği ve istediği personelle
sürekli iletişim kurmasına olanak sağlayan resmi bir programın bulunmadığını
belirtmektedir (Ek 19). Bu tür bir program mevcut olmadığında, iç denetim
liderleri ve personelinin kurumda güvenilir danışmanlar olarak kabul edildikleri
statüye ulaşmaları için gerekli ilişkilerin temelini atmaları ve bu ilişkileri
sürdürmeleri, farklı büyüklükteki çoğu kurumda imkansız değilse de zor
olacaktır.
Ek 19 – İç denetçilerin kurum personeliyle iletişim kurmasını sağlayan programlar
Not: S31: İç denetim, iç denetçilerin kurum personeliyle sürekli olarak iletişim
kurmasını sağlayan bir programa sahip midir?
“Bu açığı kapatmak icracı yönetim ve yönetim kuruluyla güvene dayalı ilişkiler kurmayı gerektirmektedir. İç denetimin yürüttüğü çalışmalar sadece güvenilir ve verdiği sözleri tutar nitelikte değil, aynı zamanda ileriye dönük ve işin iç yüzünü kavrayan nitelikte olduğunda güven yaratılır.”
Karem Toufic Obeid, İDY, Tawazun
Tüm toplantılara
Her yıl
Yönetim kurulunun bu yönde bir talebi oldukça
İç denetim yöneticisinin (İDY) ya da iç denetim müdürünün bu yönde bir talebi
oldukça
Hiçbir zaman
Evet, kurumda resmi bir programımız
var.
Evet, kurumda gayri resmi bir
programımız var.
Hayır, kurumda bu tür bir programımız yok, ancak bu konu üzerine düşünüyoruz.
Hayır, kurumda bu tür bir programımız yok ve bu konu üzerine düşünmüyoruz.
GlobalPerspektifler: Yeni Trendler
26 globaliia.org
İç denetçinin kurum personeliyle etkileşimini artıran resmi programlar, iç
denetimin kurumda daha görünür ve daha bilgili bir hale gelmesine ve kurumda
fiilen olup bitenlere karşı daha uyumlu olmasına yardımcı olur. IIA-
Kolombiya’nın başkanı ve genel müdürü olan Ana Cristina Zambrano
Preciado’nun da açıkladığı gibi, “İDY’lerin kendilerini nasıl takdim ettikleri,
kurumda nasıl algılandıklarını etkiler.” Ayrıca, hepimiz bu algının gerçeği
yönlendirdiğini bilmekteyiz. Bununla birlikte, anket sonuçları, İDY’lerin yalnızca
%26’sının kurumda icracı yönetimin bir üyesi olarak algılandıklarını belirttiklerini
göstermektedir. Geriye kalan %74’lük kısmın kurumda icracı yönetim ekibine
eşdeğer bir pozisyonda algılanmadıklarını gördükleri açıktır (Ek 20). Çok sayıda
İDY’nin kurumdaki en kıdemli kişiler arasında görüldüklerine inanmadığı göz
önünde bulundurulduğunda, bunun endişe verici bir istatistik olduğu ve iç
denetimin güvenilir danışman statüsüne ulaşması ve kurumda görünür olması
önünde potansiyel bir engel olduğu görülebilir.
Ek 20 – İDY kurumda nasıl algılanmaktadır?
Not: S35: İç denetim yöneticisi (İDY) veya iç denetim birimi müdürü kurumda hangi
yönetim kademesinin bir üyesi olarak algılanmaktadır? (Burada sunulan veriler yalnızca
İDY’lerin cevaplarını yansıtmaktadır. Sonuçlar yuvarlandığı için sayı %100’e eşit değildir.)
Ne kadar zor olsa da, iç denetim liderlerinin iç denetimin görev alanı dışında
sorumluluklar üstlenmesini istemek onların kurumdaki görünürlüğü ve
statüsünü artırabilecek başka bir faktördür. Her dört iç denetim liderinden biri
(%26) iç denetim dışındaki birimlerden sorumlu olduklarını belirtmektedir (Ek
21). İç denetim biriminin sorumlu olduğu birimler arasında en sık adı geçenler,
risk yönetiminin ikinci savunma hattına odaklanan birimleri ile uyum birimidir.
İDY’lerin yalnızca %26’sı kurumda icracı yönetimin bir üyesi olarak algılandıklarına inanmaktadır.
İcracı yönetim
Üst kademe yönetim
Orta kademe yönetim
GlobalPerspektifler: Yeni Trendler
27 globaliia.org
Ek 21 – Başka birimlerden sorumlu olan iç denetim
Not: S39: Kurumunuzda çalışan iç denetim yöneticisi (İDY) veya iç denetim birimi
müdürü, iç denetim dışında başka birim(ler)den de sorumlu mudur?
İç denetim liderleri, iç denetim dışındaki alanlarda sorumluluk aldıklarında
elbette zorluklarla karşı karşıya kalmaktadırlar. Hiyerarşik yapıya bağlı olarak
birimin bağımsızlık konusunda karşılaşabileceği zorlukların yanı sıra, hem
algılanan hem de gerçek objektifliği korumak ve sürdürmek temel sorunlardan
biridir. Evet, ikinci ve üçüncü savunma hatlarının belirsizleşmesi riski vardır ve
İDY, iç denetim biriminin yerine getirmesi gereken ana görevi ve yetki alanına
herhangi bir şekilde minimuma indiren ya da ona zarar veren bir yöne doğru
çekilmesine karşı her türlü önlemi almak zorundadır. Bununla birlikte, iç denetim
biriminin sorumluluk alanını iç denetim dışındaki birimleri de kapsayacak şekilde
genişletmesini istemek, İDY’lerin bilgi birikimlerinin, becerilerinin ve kuruma
yaptığı katkıların bir dizi birim boyunca kurumun tamamı için anlamlı olabildiği
ve olduğunu onlara gösteren bir işaret de olabilir.
Birçok kurumun iç denetim liderlerinin idari olarak CEO’ya, işlevsel olarak
denetim komitesine bağlı olduğu yönündeki yeni görüşe göre, optimal hiyerarşik
yapı, iç denetim liderlerinin bir yandan güvenilir danışmanlar olma
potansiyellerini maksimuma çıkarırken, diğer yandan kurumsal bağımsızlıklarını
korumalarına yardımcı olur. Global Nabız, iç denetim liderlerinin %45’inin idari
olarak CEO’ya (ya da eşdeğerine), %73’ününse işlevsel olarak yönetim kurulu
ve denetim komitesine (ya da eşdeğerine) bağlı olduğunu ortaya koydu.12 İç
denetim birimi, öncelik olarak yalnızca muhasebe ve finansla ilgili konulara
odaklandıkları şeklindeki basmakalıp rolden dışarı çıkmaya devam ettikçe,
zaman içerisinde bu yüzdeler de artmaya devam eder.
İç denetim biriminin sorumluluk alanını – örneğin uyum ve risk yönetimi sorumluluğunu alarak – genişletmesini istemek, İDY’lerin bilgi birikimlerinin, becerilerinin ve kuruma yaptığı katkıların bir dizi birim boyunca kurumun tamamı için anlamlı olabildiği ve olduğunu onlara gösteren bir işaret de olabilir.
Evet
Hayır
GlobalPerspektifler: Yeni Trendler
28 globaliia.org
Varılan Sonuçlar
İç denetim zaman içerisinde değişerek pek çok gelişme göstermiştir: ilk önce
kontrol-temelli denetimden risk-temelli denetime doğru odaklanmış; şimdiyse
riski aşağıdan-yukarıya doğru değerlendirmek yerine iç denetimin öncelikleri ve
kurumun stratejik önceliklerinin aynı doğrultuda olmasını sağlamaya
çalışmaktadır; şimdi, bir sonraki değişim dalgası gelip çatmıştır: güvenilir
danışman statüsüne yükselmek. Önümüzde uzanan yol, değer verilen beceriler
ve arzu edilen yetenekler açısından dinamiğin değişmesinin yanı sıra, özverili
çaba ve çalışmalar yapmayı gerektirecektir. Ancak bu, iç denetim paydaşlarının
katedileceğini ümit etmeye başladığı bir yol ... ve az sayıda öncü kişinin ulaşmış
olduğu bir varış noktasıdır.
IIA Başkanı ve CEO’su olan Richard Chambers’ın hazırladığı bir İç Denetçi blogu,
İDY veya iç denetim birimi olarak kuruma kattıklarınıza değer verilmiyor
olabileceğini gösteren işaretleri ortaya koydu:
İç denetimin yıllık risk değerlendirme süreci sırasında minimal düzeyde
girdi yapılmıştır.
İş stratejisinin tartışıldığı veya formüle edildiği toplantılara davet
edilmezsiniz.
Raporlarınızın alıcısı, vardığınız sonuçlara veya tavsiyelere karşı ilgisizdir
ya da onlara karşı koymaktadır.
Önemli bir risk belirlendiğinde, yönetim size aramaz – bir danışman
ararlar.13
12.Burada geçen ‘idari olarak bağlı olma’ terimi; bütçelendirme, insan kaynakları yönetimi, iletişim, kurum-içi
politikalar ve prosedürler de dâhil olmak üzere, günlük meselelerin denetlenmesini ifade eder. ‘İşlevse olarak
bağlı olma’ terimiyse; iç denetim tüzüğünün onaylanması, denetim planı, İDY’nin değerlendirilmesi ve İDY’nin
ücreti de dâhil olmak üzere, iç denetim biriminin sorumluluklarının denetlenmesini ifade eder.
13. Chambers, Richard. June 14, 2016. Forensic Examination May Explain Why You Aren’t a Trusted Advisor.
https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-
a-Trust- ed-Advisor.aspx (Erişim tarihi: 24 Ağustos 2016).
GlobalPerspektifler: Yeni Trendler
29 globaliia.org
Kapatırken İç denetimin kritik düzeyde önemli faaliyetlerinin çoğunluk için aynı kalmasını
veya artmasını destekleyecek bütçe ve personel seviyeleri nedeniyle, iç denetim,
paydaşların giderek artan beklentilerini karşılamak ve onları aşmak için gerekli
ilave adımlar atmak için asla bundan daha büyük bir fırsat bulamayabilir. Kaynak
sağlama konusundaki destek de göz önünde bulundurulduğunda, şu an bu fırsatı
yakalamak için en iyi zaman olabilir.
Ayrıca, mükemmeli yakalama ve güvenilir danışman statüsüne ulaşma arayışına
devam eden iç denetim, kritik düzeydeki kurumsal maruziyetleri ele alabilmek için
kurumda ön planda olmak zorundadır. 2016 Global Nabız anketinin de gösterdiği
gibi, kültür, siber güvenlik ve büyük veri gibi kuruma baskı yapan maruziyet
alanları, bu alanlara zaten ayırdığı zaman ve enerjiyi artıramıyorsa da iç denetimin
zaman ve enerji harcaması ve odaklanması gereken yeni konular arasındadır.
İç denetim liderleri bu konuda büyük adımlar atmışlardır, ancak mesleğin bir
bütün olarak hız kazanması gerekebilir ve hız kaybetmeyi göze alamayacağı
açıktır.
GlobalPerspektifler: Yeni Trendler
30 globaliia.org
Daha Fazla Bilgi Edinmek İçin
Kültürün Denetlenmesi
Chartered Institute of Internal Auditors, “Organisational Culture:
Evolving approaches to embedding and assurance,” May 2016, https://iia.org.uk/policy/ publications/culture-evolving-approaches-
toembedding-and-assurance-board- briefing/ (accessed Aug. 24, 2016). CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 Jul
2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-
corporateculture (accessed Aug. 24, 2016). Financial Reporting Council, “Corporate Culture and the Role of
Boards,” July 2016, https://www.frc.org.uk/Our-
Work/CorporateGovernance-Reporting/Corporate-governance/Corporate-Culture-andthe-Role-of-Boards.aspx (accessed Aug. 25, 2016).
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, https://www.theiia.org/GPIAuditing-Culture (accessed Aug. 24, 2016).
Teknolojinin Takip Edilmesi
EY, “Creating trust in the digital world,” 2015
http://www.ey.com/Publication/ vwLUAssets/EY-creating-trust-in-
thedigital-world/$FILE/EY-creating-trust-in-the- digital-world.pdf
(accessed Aug. 24, 2016).
KPMG, “Global profiles of the fraudster: Technology enables and weak
controls fuel the fraud,” May 2016,
https://home.kpmg.com/xx/en/home/insights/2016/05/globalprofiles-
of-the-fraudster.html (accessed Aug. 24, 2016).
New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016,
http:// newvantage.com/wp-content/uploads/2016/01/Big-
DataExecutive-Survey-2016- Findings-FINAL.pdf (accessed Aug. 24,
2016).
PwC, “US cybersecurity: Progress stalled, Key findings from the 2015
US State of Cybercrime Survey,” July 2015,
http://www.pwc.com/us/cybercrime (accessed Aug. 24, 2016).
Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by
2019,”
http://www.forbes.com/sites/stevemorgan/2016/01/17/cybercrime-
costs- projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0
The IIA, “Global Perspectives and Insights: Internal Audit as Trusted
Cyber Adviser,” 2016, https://www.theiia.org/gpi (accessed Aug. 24,
2016).
GlobalPerspektifler: Yeni Trendler
31 globaliia.org
Güvenilir Danışman
Chambers, Richard. June 14, 2016. Forensic Examination May Explain
Why You Aren’t a Trusted Advisor.
https://iaonline.theiia.org/blogs/chambers/2016/
Pages/ForensicExamination-May-Explain-Why-You-Arent-a-Trusted-
Advisor.aspx (accessed Aug. 24, 2016).
Genel
Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads,” 2016,
http://www2.deloitte.com/global/en/pages/audit/solutions/global-
chiefaudit-executive- survey.html (accessed Aug. 24, 2016).
Protiviti, Arriving at Internal Audit’s Tipping Point Amid Business
Transformation, 2016, http://www.protiviti.com/en-
US/Pages/IACapabilities-and-Needs-Survey.aspx (accessed Aug. 25,
2016).
PwC, “2016 State of Internal Audit Profession Study, Leadership matters:
Advancing toward true north as stakeholders expect more,” 2016,
https://www. pwc.com/ca/en/risk/publications/pwc-state-of-internal-
auditprofession-study- 2016-03-en.pdf (accessed Aug. 24, 2016).
James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA
Institute of Internal Auditors Research Foundation, 2016) p 2,
http://theiia. mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.
The IIA’s Position Paper, “The Three Lines of Defence in Effective Risk
Management and Control,” 2013, https://www.theiia.org/3-Lines-Defence
(accessed Aug. 24, 2016).
The IIA’s Position Paper, “The Three Lines of Defence in Effective Risk
Management and Control,” 2013, https://www.theiia.org/3-Lines-Defence
(accessed Aug. 24, 2016).