sayı 5 global perspektİfler ve anlayilar...kültürle ilgili politika ve prosedürlere uyulup...

Sayı 5

GLOBAL PERSPEKTİFLER VE ANLAYIŞLAR:

İç Denetimin Global Nabzı Kanalıyla Sunulan

Yeni Trendler

GlobalPerspektifler: Yeni Trendler

2 globaliia.org

İçindekiler

Metodoloji ve Demografi ........................................................... 3

Giriş ........................................................................................ 4

Kültürün Denetlenmesi ............................................................. 6

Varılan Sonuçlar ............................................................... 12

Teknolojinin Takip Edilmesi ..................................................... 13

Siber Güvenlik .................................................................. 13

Büyük Veri (Big Data) ....................................................... 18


Güvenilir Danışman Statüsüne Ulaşmak ................................... 23


Kapatırken ............................................................................. 29

Daha Fazla Bilgi Edinmek İçin .................................................. 30

Danışma Konseyi

Nur Hayati Baharuddin, CIA,

CCSA, CFSA, CGAP, CRMA – IIA–

Malezya

Lesedi Lesetedi, CIA, QIAL–

Afrika Federasyonu IIA

Hans Niewlands, CIA, CCSA,

CGAP – IIA – Hollanda

Karem Obeid, CIA, CCSA, CRMA –

IIA – Birleşik Arap Emirlikleri Üyesi

Carolyn Saint, CIA, CRMA, CPA –

IIA – Kuzey Amerika

Ana Cristina Zambrano Preciado,

CIA, CCSA, CRMA – IIA –

Kolombiya

Okuyucu Geribildirimi

Sorularınızı ve yorumlarınızı şu

adrese gönderiniz:

[email protected].

Telif hakları © 2016, Uluslararası İç Denetçiler Enstitüsü’ne

(The Institute of Internal Auditors, Inc. --- “The IIA”) aittir

ve kesinlikle saklı tutulmuştur. The IIA ismi veya logosunun

çoğaltılması halinde, A.B.D. federal ticari marka tescil

sembolü ®’nin kullanılması gerekmektedir. Bu dokümanın

hiçbir bölümü, IIA’nın yazılı izni alınmadan herhangi bir

formda çoğaltılamaz.

mailto:[email protected]


3 globaliia.org

Metodoloji ve Demografi

IIA’nın “2016 İç Denetimin Global Nabzı” anketi (Global Nabız) 9 Mayıs ve 27

Mayıs 2016 tarihleri arasında çevrimiçi yapıldı.1 IIA, dünya çapında şu an itibariyle

iç denetim mesleğini icra ettiğini belirten toplam 2.254 kişinin bu ankete verdiği

cevaplardan yola çıkarak birtakım veriler toparladı. Anketi cevaplayanların yüzde

elli ikisi (%52), iç denetim departmanının en üst kademede bulunan üyesi ya da

İDY’ye bağlı müdürler/üst yöneticilerdir. Bu raporda, bu gruptan “iç denetim

liderleri” olarak bahsedilmektedir. Yönetim Kurulu’na bağlı müdürler (%16),

denetimleri yürüten denetim personeli (%28) ve hizmet sağlayıcıları (%4) da

dâhil olmak üzere, başka kişiler de anketi cevaplayanlar arasında yer almaktadır.

111 ülke veya bölgeden ankete katılan kişiler kurum türü, sektör, kazanç,

personel sayısı ve iç denetim departmanının büyüklüğü açısından iç denetime

ilişkin geniş bir yelpaze sunmaktadırlar.

Ankete katılanlar büyük çoğunlukla halka açık şirketlerde (%34), kamu

sektöründe (%27) ve özel kurumlarda (%25) çalışmaktadırlar.

Bu ankette en yüksek düzeyde temsil edilen sektörler mali hizmetleri (%32),

üretimi (%12), kamu yönetimini (%11), sağlık hizmetlerini (%6) ve kamu

hizmetlerini (%6) kapsamaktadır.

Sonuçlar, IIA üyelerinin bölgelere göre global dağılımını gösterecek biçimde

ayarlandı (normalleştirildi):

1 Sadece sınırlı sayıda belirli sorular, Kuzey Amerika’dan ankete katılanlara, 20 Ekim 2015 ve 10 Kasım 2015 tarihleri arasında yöneltildi.


4 globaliia.org

Giriş Tüm dünya genelinde, iç denetim liderleri, çalıştıkları kurumun kurumsal

yönetimi, risk yönetimi ve stratejik hedeflerine ulaşma konusunda değerli bir

kaynak teşkil ettiği bilinen iş zekası, teknik uzmanlık ve ilişki becerilerini

göstererek dünya genelinde mükemmeliyete doğru büyük adımlar

atmaktadırlar. Dünyanın birçok ülkesinde iç denetim kadrosu ve bütçesinde

yapılması beklenen artışlar, gerek icracı yönetimin gerekse yönetim kurulunun

iç denetimin artan değerini fark ettiklerini ve desteklediklerini göstermekte ve iç

denetim birimlerinin risk yönetim güvencesi, stratejik iş riskleri ve BT gibi kritik

alanlara ayırdıkları zamanı artırmalarını sağlamaktadır. Bununla birlikte, pek çok

açıdan daha birçok iş yapmamız ve ilerleme sağlamamız gerekmektedir.

Ek 1 – İç denetim kadrosu projeksiyonları

Not: S49: Gelecek on iki aylık döneme baktığınızda, iç denetim biriminizdeki tam zamanlı eşdeğer personel sayısının nasıl değişeceğini bekliyorsunuz?

Ek 2 – İç denetim bütçesi projeksiyonları

Not: S50: Gelecek on iki aylık döneme baktığınızda, iç denetim için ayırdığınız bütçenin nasıl değişeceğini bekliyorsunuz?

Artar

Azalır

Aynı kalır

Artar

Azalır

Aynı kalır

Dünyanın birçok ülkesinde iç denetim kadrosu ve bütçesinde yapılması beklenen artışlar, gerek icracı yönetimin gerekse yönetim kurulunun iç denetimin artan değerini fark ettiklerini ve desteklediklerini göstermektedir.


5 globaliia.org

Global Nabız, mükemmeliyet arayışında atılan adımları araştırırken, iç denetim

yönetimi alanında dünya genelinde ortaya çıkan yeni sorunları ve uygulamaları

inceleyerek iç denetimin durumunu değerlendirdi.

Bu rapor yeni ortaya çıkan iki sorunu araştırmaktadır: kültürün denetlenmesi ve

teknolojinin takip edilmesi (siber güvenlik ve büyük veri). Ayrıca, iç denetimin

kurumun güvenilir danışmanı seviyesine nasıl ulaşabileceğini araştırdık ki

gerçekten de bu seviyeye ulaşması gerekmektedir.

Bu raporun iç denetimin yeni ortaya çıkan bu önemli konular ve uygulamalar

üzerine odaklanmaya devam etmesi yönündeki çağrıya bir destek oluşturacağına

inanıyoruz. Bu konuda iç denetimden beklentiler, bugüne kadar hiç olmadığı

kadar artmaya devam etmektedir. Evet, meslek çalışanları olarak bugüne kadar

büyük adımlar attık, ancak hâlâ yapmamız gereken çok iş var. İşte, iç denetimi

bu denli zor, ancak aynı düzeyde tatmin edici bir meslek yapan da budur.


6 globaliia.org

Kültürün Denetlenmesi Geçmişte olup bitenler, kültürün bir kurumun mali durumunu, faaliyetlerini ve

itibarını doğrudan doğruya ve bazen olumsuz yönde de etkileyebileceğini

göstermektedir. Yönetim kurulları, üst düzey yöneticiler ve diğer paydaşlar, iç

denetimi, kurum kültürünü izleme ve güçlendirmeye yardımcı olan güvence ve

danışmanlık hizmetlerini sağlayan ve herhangi bir şey ters gittiği takdirde onları

uyaran olarak değerlendirmelidirler.

Hiç kuşkusuz, iç denetim birimleri oldukça uzun bir süredir sert kontrollerin yanı

sıra yumuşak kontrolleri de denetlemekte ve en azından, “kurumun duruşu” (Ç.N.

yönetimin dürüstlük ve etik davranışlara bağlılığı ve bu konuda gösterdiği liderlik)

teriminin yaygın bir terim haline geldiği günden beri pek çok kurumda gayri resmi

yollarla da olsa kurumun duruşunu da değerlendirmektedirler. Bununla birlikte,

bazı denetim birimleri kurumsal kültürü de resmen denetlemek için gereken bir

sonraki adımı atmalarına rağmen, büyük çoğunluğu kurumsal kültürü

denetlemelerine engel olan bir takım faktörlere işaret etmekle yetinmektedirler.

Kültür, bir kurumun tüm çalışanlarının eylem ve davranışlarına da yansıyan inanç

ve değerlerini kapsayan bir kavramdır. Basitçe ifade etmek gerekirse, kültür,

işlerin kurumda nasıl yapıldığını ve yaptırıldığını ifade eder.

Arzulanan ve hedeflenen kültür, kurumun en üst kademesinde oluşturulur;

kurumun çekirdek değerleri ile etik kurallarının oluşturulmasında rol oynar ve

kurum içinde kabul edilebilen ve kabul edilemez davranışları dikte eder. Kabul

edilemez nitelikteki ve hatta etik olmayan davranışlar – işlerin nasıl YAPILMAMASI

gerektiği – kurumu çeşitli risk ve tehlikelere maruz bırakır ve öyle ki, uç noktalara

ulaştığında, sahtekârlık, yolsuzluk ve başka emniyeti suiistimal ve görevi kötüye

kullanma eylemleriyle ortaya çıkan zehirleyici kurumsal kültürlerin oluşmasına

sebep olur veya katkıda bulunur. Bu tip bazı dikkate değer olaylar dünya çapında

ekonomik krizlere ve kamusal güvenin sarsılmasına bile sebep olmuşlardır.

Örneğin, 2015 yılında, dünya, sadece bir kaç örnek vermek gerekirse Toshiba’da

muhasebe skandalı, FIFA’da rüşvet ve yolsuzluk iddiaları, Volkswagen’de emisyon

testlerinde tahrifat yapıldığına ilişkin kanıtlar ve iklim değişikliği üzerindeki etkiler

hakkında ExxonMobil’in yayımladığı kuşkulu raporlar da dâhil olmak üzere, kültür

konusunda önemli ve büyük yanlışlar yapılmış olabileceğine işaret eden bir dizi

sansasyonel olaya tanıklık etti. Yalnızca bu örnekler bile, iç denetimin bir kurumun

kültürünün genel kabul gören çekirdek değerlerle uyumlu olup olmadığı hakkında

ve kurumun etik davranışları ve kanunlara ve mevzuata uyumu teşvik edip

etmediği hakkında güvence vermesi için bir uyarı sinyali olarak görülmelidir. Buna

rağmen, iç denetim liderlerinin %72’si şu anda kurumsal kültürü

denetlemediklerini belirtmektedirler (Ek 3).

2. CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 Temmuz 2016 https://www.cchdaily.co.uk/

frc-calls-greater-emphasis-corporate-culture (Erişim tarihi: 24 Ağustos 2016).

“Kültürü denetlemek, sınırları belli, kesin bir bilim değildir. Birçok kurum, kurumsal kültürü risk değerlendirme ve güvence süreçlerine fiilen dahil etmeyi bir kenara bırakın, kendi kurumsal kültürünü tanımlamakta bile zorluk çekmektedir. Ancak bunu yapmaları tabii ki son derece önemlidir.”

Dr. Ian Peters, Başkan, İç Denetçiler Enstitüsü,

(IIA-BK ve İrlanda)2


7 globaliia.org

Ek3 – Kültür denetimi yapan iç denetim departmanlarının yüzdesi

Not: S5: İç denetim departmanınız kurumsal kültürü de denetliyor mu?

Her ne kadar kurumun duruşu genellikle kurumun en üst kademesinde

belirlense ve kurumun büyüklüğü veya karmaşıklık düzeyi ne olursa olsun

arzuladığı ve hedeflediği kültür kurumsal liderliğe bağlı olsa da, kültürün

kurumun tamamında homojen olması gerekmez. Bir kurumda hedeflenen

davranış tarzını tanımlamak gerektiğinde esas alınması gereken başlangıç

noktası, yukarıdan-aşağıya kurum-çapında kültür – yani bir “makro kültürdür”.

Bununla birlikte, her kurumun bir takım ortak noktaları bulunan spesifik

lokasyonları, departmanları, bölümleri ve başka birimleri ya da personel grupları

hususiyetle yansıtan birçok farklı ufak kültürü veya “mikro kültürü” de bulunur.

Tabii ki bu mikro kültür enflasyonu, kurumsal kültürün denetlenmesini

zorlaştırabilir. Ancak kuruma tepeden bir bütün olarak, kapsamlı bir bakış

açısıyla ve objektif bir gözle bakabildiği için, iç denetim bu mikro kültürlerin her

birini, bunların kurumun makro kültürü üzerindeki etkilerini ve kurumun karşı

karşıya kalabileceği ilişkili potansiyel riskleri inceleme imkanına sahiptir. İç

denetim, öncelikle, arzulanan ve hedeflenen makro kültürü son derece iyi

anlamalıdır, ancak bundan sonra tüm bu alt-kültürleri değerlendirebilir ve bir

tarafta üst kademenin istedikleri ile diğer tarafta kurum çapında fiilen olup

bitenler arasındaki farkları arayabilir.

Neyse ki, iç denetim liderlerinin büyük bir çoğunluğu (%89), iç denetim

departmanlarının kurumsal kültürle ilişkili riskleri anladığını söylemektedir;

bununla birlikte, ankete katılanların yalnızca yaklaşık yarısı (%53) iç denetim

departmanlarının kurumsal kültürü nasıl denetleyeceğini gerçekten bildiğini ve

anladığını belirtmektedir. Ek 4’te de gösterildiği gibi, ankete katılanların yüzde

18’inin kültürü denetlemediklerini, çünkü bu değerlendirmeyi yapan başka

birilerinin bulunduğunu söylemesi ve kültürün denetlenmemesi için gösterilen

en yaygın sebeplerin birimde bu amaç için gerekli yetkinliklerin mevcut

olmaması (%25) ve/veya birime gereken kurumsal desteğin verilmemesi (%23)

ya da yeterli vaktin bulunmaması (%21) olması da bahsetmemiz gereken ilginç

noktalardır.

Evet

Hayır

Kuruma tepeden bir bütün olarak, kapsamlı bir bakış açısıyla ve objektif bir gözle bakabildiği için, iç denetim bu mikro kültürlerin her birini, bunların kurumun makro kültürü üzerindeki etkilerini ve kurumun karşı karşıya kalabileceği ilişkili potansiyel riskleri inceleme imkanına sahiptir.


8 globaliia.org

Ek4 – İç denetim departmanlarının kültürü denetlememesinin sebepleri

Not: S6: İç denetim departmanınızın kültürü denetlememesinin sebebi aşağıdakilerden

hangisidir? Birden fazla cevap seçebilirsiniz. (Kültürü denetlemeyenlere sorulmuştur.)

IIA-Malezya’nınyönetim kurulu murahhas üyesi olan Nur Hayati Baharuddin’e

göre, “Kültürü denetlemek için gerekli becerilerden ve bilgi birikiminden yoksun

olan iç denetim departmanları, bu işe iç denetçilerin iyi yaptıkları şeyi yaparak –

yani, kurumun kültürle ilgili faaliyetlerini değerlendirmek ve iyileştirmek için

sistematik ve disiplinli bir yaklaşım getirerek başlayabilirler.” Örneğin, IIA’nın

2016 Global Perspektifler ve Anlayışlar: Kültürün Denetlenmesi – Hassas Konulara

Sert Bir Bakış kitapçığında tanımlandığı gibi, “üç savunma hattı modelini (ya da

risk ve kontrol görevlerini/sorumluluklarını ve hiyerarşik yapıyı betimleyen başka

uygun bir modeli)3 anlamak, kültürün değerlendirilmesinde standart denetim

görevlerinin desteklenmesi kadar etkilidir. Kültürün denetlenmesi söz konusu

olduğunda, her savunma hattından yerine getirmesi beklenen sorumluluklar

aşağıda sayılanları içerebilir:

1. Birinci savunma hattı — işkolu yönetimi — istenen değerleri ve davranışları

oluşturmaktan, gerekli yerlere iletmekten ve modellemekten sorumludur.

2. İkinci savunma hattı, etik programları geliştiren, kültürle ilgili riskleri ve

kültürle ilgili politika ve prosedürlere uyulup uyulmadığını kontrol eden ve

birinci savunma hattına tavsiyelerde bulunan örneğin bir etik bürosu gibi bir

gözetim fonksiyonudur. 3. Üçüncü savunma hattı — iç denetim — kurumun belirlenmiş olan ve beklenen

standartlarına uyulup uyulmadığını ve kurumsal kültürün kurumun amacını,

stratejisini ve iş modelini destekleyip desteklemediğini değerlendirir. İç denetim,

genel olarak kültürü değerlendirir ve kültürün zayıf olduğu alanları belirler.”4

3. IIA Görüş Açıklaması, “Etkili Risk Yönetimi ve Kontrolünde Üç Savunma Hattı,” 2013, https://www.theiia.org/3-

Lines-Defence (Erişim tarihi: 24 Ağustos 2016).

İç denetim, kültürü denetlemek için gerekli yetkinliğe (beceriler ve bilgi birikimi) sahip değildir.%25

İcracı yönetim, kurumsal kültürün denetlenmesi için gereken desteği iç denetime vermemektedir. %23

İç denetimin bu denetimi yapacak zamanı yoktur. %21

Kültürü kurum bünyesindeki başka bir birim (insan kaynakları, risk yönetimi, etik ve uyum ya da diğer) değerlendirmektedir.

cvv

%18

cvv

%5 Kültürü, bir dış hizmet sağlayıcısı değerlendirmektedir.

“Kültürü denetlemek için gerekli becerilerden ve bilgi birikiminden yoksun olan iç denetim departmanları, bu işe iç denetçilerin iyi yaptıkları şeyi yaparak – yani, kurumun kültürle ilgili faaliyetlerini değerlendirmek ve iyileştirmek için sistematik ve disiplinli bir yaklaşım getirerek başlayabilirler.”

Nur Hayati Baharuddin, Yönetim Kurulu Murahhas Üyesi,

IIA-Malezya

İç denetim, kültürü denelemek için Yönetim Kurulu / Denetim

Komitesinden yeterli desteği alamamaktadır.

cvv

%17

cvv


9 globaliia.org

Bununla birlikte, kültür denetimi, gereken yetkinliklere sahip olsun ya da

olmasın, her zaman iç denetimin radarında olmalıdır. Protiviti’nin 2016 İç

Denetim Kabiliyetleri Anketi’ne göre, kültürü denetlemek, iç denetim liderlerinin

öncelik göstermesi gereken konular arasında ilk beşe girmektedir. Ayrıca, IIA

Global Nabız anketine katılan denetim liderlerinin %89’unun kültürle ilgili riskleri

anladıklarını belirttiklerini de unutmayınız.

Kültürün denetlenmesine yol açan anahtar nedenler iç denetimin kültürü yüksek

bir risk alanı olarak derecelendirmesini, yönetim kurulunun/denetim komitesinin

bu yöndeki talebini ve kültürle ilgili olaylara bir karşılık olarak bu denetime

ihtiyaç duyulmasını içermektedir (Ek 5).

Ek5 – İç Denetim departmanları kültürü neden denetler?(İlk üç)

Not: S7: İç denetim departmanınızın kültürü neden denetlediğini belirtiniz. Birden fazla

cevap seçebilirsiniz. (Kültür denetimi yapanlara sorulmuştur.)

Dolayısıyla, İDY’ler, kurumun stratejik misyonuna ulaşması ve ilgili ticari ve

operasyonel hedeflerine ulaşabilmesi için gerekli olan sağlıklı ve hedeflenen

kültürü oluşturmasına ve korumasına bir risk bazlı iç denetim planı geliştirme

konusunda üstlendikleri liderlik vasfıyla ve yönetim kuruluyla / denetim

komitesiyle ilişkileri aracılığıyla yardımcı olma konusunda anahtar bir rol

oynamalıdırlar.

Kültür denetimi yapanlar, ilerlemeci bir yaklaşım benimserler. IIA’nın 2016-17

Global Başkanı Angela Witzany’nin ifade ettiği gibi, “Kültür denetimi, her

denetim görevinin kapsamına dâhil edilmek zorundadır; böylece sürekli izleme

faaliyetleri için bir temel sağlanmış ve iç denetçilerin erken uyarı işaretleri

aramasına olanak tanınmış olur.”5

İç denetimin kültürü denetlerken benimseyebileceği en az üç yöntem vardır:

kurum-çapında bağımsız değerlendirme; (hepsi olmasa da) birçok

denetiminbir parçası olarak yürütülen münferit görevler ve/veya zaman

içerisinde yapılan bir dizi mikro kültür denetiminin bir araya getirilmesiyle

oluşturulan raporlar. Bu yaklaşımlardan birinin benimsenmesi ve uygulanması

aynı zamanda diğerlerinin de uygulanmasına engel olmaz. Belki de kurumun

kendi kültürünün bir yansıması olarak, bugün kurumsal kültürü denetlemekte

olan azınlığın uyguladığı çok sayıda farklı yaklaşım vardır(Ek 6).

4. IIA, “Global Perspektifler ve Anlayışlar: Denetim Kültürü – Hassas Konulara Sert Bir Bakış,” 2016, 5

https://global/theiia.org/GPI-Auditing-C ul t ure (Erişim tarihi: 24 Ağustos 2016).

5. IIA, “Global Perspektifler ve Anlayışlar: Denetim Kültürü – Hassas Konulara Sert Bir Bakış,” 2016, 3

https://global/theiia.org/GPI-Auditing-Culture (Erişim tarihi: 24 Ağustos 2016).

İç denetim, kültürü yüksek bir risk alanı olarak derecelendirdi. %40

Yönetim kurulunun/denetim komitesinin talebi. %30

Kültürle ilgili olaylara bir karşılık olarak (örn. kuruma mali, operasyonel veya itibar açısından zarar veren etik olmayan davranışlar)

“Kültür denetimi, her denetim görevinin kapsamına dâhil edilmek zorundadır; böylece sürekli izleme faaliyetleri için bir temel sağlanmış ve iç denetçilerin erken uyarı işaretleri aramasına olanak tanınmış olur.”

Angela Witzany, Global Başkan, IIA

%29


10 globaliia.org

Ek6 – Kültürü denetlemek içinbenimsenen yaklaşımlar

Not: S8: Kültürü denetlemek içinbenimsediğiniz yaklaşımı, aşağıdakilerden hangisi en iyi

şekilde tanımlamaktadır? (Kültürü denetleyenlere sorulmuştur.)

Bazı durumlarda –örneğin, büyük ve önemli bir skandaldan sonra ya da iki

şirketin birleşmesi veya bir şirketin başka bir şirketi satın alması için hazırlık

yaparken bu kurumların birbirlerine uyumlu olup olmadıklarını değerlendirmek

amacıyla ya da spesifik bir uymama durumunun temelinde yatan kök sebepleri

belirlemek için o anın enstantane resminin çekilmesini gerektiren durumlarda –

sadece kültürü kapsayan bağımsız bir denetim görevi yürütmek mantıklıdır.

Bununla birlikte, sadece kültürle ilgili bağımsız denetim görevleri de tek

başlarına muhtemelen yeterli olmayacaklardır. Oysa iç denetim, üstlendiği

denetim görevlerinin hepsinde kurumsal kültürü de denetlerse, arzulanan genel

kurumsal kültürden önemli sapma gösteren bir mikrokültürü kurumun tamamını

zehirlemeye imkan bulmadan önce tespit etmek ve sorunu çözümlemek

konusunda icracı yönetime ve yönetim kuruluna daha iyi yardım edebilir.

Dolayısıyla, hem makro kültürü incelemek hem de birbirinden çok farklı ve çeşitli

mikro kültürleri değerlendirmek gerekir.

Kültür denetim görevlerinin en etkili olduğu zaman, kültürle ilgili faktörlerden

oluşan kapsamlı bir listenin göz önünde bulundurulduğu ve iç denetimin bu

alanda ilerleme kaydetmek için çok iyi fırsatları bulunan zamandır. Denetim

liderlerinin hemen hemen yarısı, bu ankette belirtilen yedi faktörden en az

dördünü göz önünde bulundurduklarını belirtmektedir (Ek 7). Kültürle ilgili

herhangi bir denetim görevinde en sık göz önünde tutulan faktörler uyum

sorunları, insan kaynakları uygulamaları ve kurumsal davranışın kurumun ilân

edilen çekirdek değerleriyle aynı doğrultuda olmasını sağlamaktır.

Kültürle ilgili herhangi bir denetim görevinde en sık göz önünde tutulan faktörler uyum sorunları, insan kaynakları uygulamaları ve kurumsal davranışın kurumun ilân edilen çekirdek değerleriyle aynı doğrultuda olmasını sağlamaktır.

Kültür, birkaç denetim görevinin kapsamına dâhil edilmiştir, ancak sadece kurumsal kültürü kapsayan bağımsız bir görev yoktur.

Kültür, tüm denetim görevlerinin kapsamına dâhil edilmiştir, ancak sadece kurumsal kültürü kapsayan bağımsız bir görev yoktur.

Sadece kurumsal kültürü kapsayan bağımsız bir görev vardır ve kültür, birkaç deneyim görevinin kapsamına dâhil edilmiştir.

Yalnızca sadece kurumsal kültürü kapsayan bağımsız bir görev vardır.

Sadece kurumsal kültürü kapsayan bağımsız bir görev vardır ve kültür, hiçbir denetim görevlerin kapsamına dâhil edilmiştir.


11 globaliia.org

Ek7 – İç denetim görevlerinde kültürle ilgili göz önünde bulundurulan faktörler

Not: S12: Varsa, herhangi bir iç denetim görevinde aşağıda sayılanlardan hangisi veya

hangileri göz önünde bulundurulur? Birden fazla cevap seçebilirsiniz. (Kültürü

denetleyenlere sorulmuştur.)

Kültürü denetleyenlerin tamı tamına %60’ının bu denetimi başka departmanlarla

koordine ederek yürütmesi ilginçtir. İç denetimin kültürü denetlerken en sık

eşgüdüm kurduğu birimler insan kaynakları, uyum ve/veya risk yönetimi

departmanlarıdır (Ek 8). İç denetimin bu konuda kurumun diğer önemli

departmanlarıyla eşgüdüm kurması sadece ihtiyaten atılmış bir adım gibi

görünmektedir ve muhtemelen kuruma yol göstermeyi amaçlamaktadır.

Bununla birlikte, iç denetimin görevinde bağımsız olmasının ne kadar önemli

olduğu dikkate alındığında, tüm bu çalışmaları iç denetim yönetmeli ve

herkesten bağımsız bir şekilde kendi sonuçlarına varmalı ve kendi fikirlerini ve

gözlemlerini rapor etmelidir.

Ek8 – İç denetimin kültürü denetlemek için eşgüdüm kurduğu departmanlar (ilk üç)

Not: S11: İç denetim, kültürü denetlemek için hangi departmanlarla eşgüdüm içinde

çalıştı? Birden fazla cevap seçebilirsiniz. (Başka departmanlarla eşgüdüm içinde

çalışanlara sorulmuştur.)

Uyum Sorunları (örn. muhbir koruma kuralları ya da kurumun hukuki sorunlarla ne sıklıkta karşılaştığı)

İnsan Kaynakları Uygulamaları (örn. çıkış görüşmeleri gibi teşvikler ve yaptırımlar ve politika ihlâlleri konusunda öngörülen cezaların tutarlı olup olmadığı)

Kurumun fiili davranışlarının ilân ettiği çekirdek değerleriyle aynı doğrultuda olup olmadığı

Kültürle ilgili konularda eğitim (örn. kurumun değerleri hakkında eğitim)

Paydaş memnuniyeti / görüşleri (örn. paydaşların kurumun duruşu hakkındaki algısı, çalışan ve müşteri

anketlerinin sonuçları, müşteri geribildirimleri veya kamuoyunun görüşü)

Hassas beceriler (örn. yetkinlik, güven, açıklık, şeffaflık ve liderlik)

Acil ihbar hattı, yardım hattı veya speak-up hattı (örn. kullanım oranı, sorunların türleri, çözümler)

Kültürü denetleyen iç denetim departmanlarının %60’ı diğer departmanlarla eşgüdüm içinde çalışmaktadır. Bununla birlikte, tüm bu çalışmaları iç denetim yönetmeli ve herkesten bağımsız bir şekilde kendi sonuçlarına varmalı ve kendi fikirlerini ve gözlemlerini rapor etmelidir.

İnsan Kaynakları %63

Uyum %57

Risk Yönetimi %48

%70

%58

%56

%53

%52

%52

%34


12 globaliia.org

İç denetimin kültürle ilgili görevler hakkındaki sonuçları rapor etmesinin, başka

görevler hakkındaki sonuçları rapor etmesinden neden daha zor olabildiğini

açıklayan faktörün kurumsal kültürü denetlemenin gayrimaddi sonuçlarını rapor

etmekle ilişkili güçlükler olabileceğini varsayıyoruz. Gerçekten de, kurumsal

kültürü denetleyenler arasında denetim liderlerinin yalnızca yarısı iç denetim

departmanlarının kültür hakkında nasıl rapor vereceğini bildiğini ve anladığını

söylemekte, beşte biri ise kültürle ilgili denetim görevinin sonuçlarını hiçbir zaman

rapor etmediklerini belirtmektedir. Sonuçlar rapor edildiğinde, en yaygın

kullanılan format, bazen sözlü bir raporun da eşlik ettiği yazılı rapordur.

Her ne kadar tereddütleri anlaşılabilir olsa da, iç denetçiler, kültür denetimi

yapmakta tereddüt etmemelidirler. İç denetim birimi kültürü uygun tüm denetim

görevlerinin kapsamına dâhil ederse, kültür, hem nihai raporda hem de münferit

denetim sonuçlarının her birinde göz önünde bulundurulacak önemli faktörlerden

biri haline gelebilir.

Varılan Sonuçlar

Bu konuda elde edilen kanıtlar, iç denetim birimlerinin kültürle ilgili meselelerin

kurumların maruz kaldıkları uzun vadeli zararların altında yatan potansiyel bir

sebep olduğunu daha iyi anlamaya başladıklarını ortaya koymaktadır. Her ne

kadar bu ankete katılan iç denetim departmanlarının yaklaşık dörtte üçü kültürü

denetlemediklerini belirtse de, iç denetim liderlerinden oluşan daha küçük bir grup

bu alanda mükemmele ulaşmak için dikkate değer adımlar atmıştır. Bir bütün

olarak iç denetim mesleğinin:

Kurumun makro kültürünü tamamen anlamak,

Hem makro kültürü hem de mikro kültürleri değerlendirmek amacıyla

kurumda yerleşik olan risk/kurumsal yönetim çerçevelerini uygulamak,

Kültürle ilgili birden fazla faktörü dikkate almak ve kültürü tüm görevlerde

göz önünde bulundurmak ve

Kültür hakkında sürekli rapor vermek

suretiyle bu liderleri takip etmesi tavsiye edilmektedir.

İç denetim liderlerinin yalnızca yarısı iç denetim departmanlarının kültür hakkında nasıl rapor vereceğini bildiğini ve anladığını söylerken, beşte biri kültürle ilgili denetim görevinin sonuçlarını hiçbir zaman rapor etmediklerini belirtmektedir.


13 globaliia.org

Teknolojinin Takip Edilmesi

Her ne kadar iç denetim hızla değişen karmaşık teknolojinin sürekli gelişen dinamiklerini takip etmek için bazı adımlar atmış olsa da, Global Nabız anketinin

sonuçları, iç denetimin teknoloji risklerini kapsamlı olarak ele alma konusunda hâlâ sorunları olduğunu göstermektedir. İç denetim, bu mücadelede yalnız değildir. Gerçekten de, 2016 global Hewlett Packard Enterprise (HPE) Güvenlik

Operasyonları durum raporuna göre, 2015 yılında güvenlik operasyon merkezinin (SOC) olgunluk düzeyinde yıldan yıla bir düşüş olduğu görüldü. HPE bu düşüşü bulut bilişim, mobil bilişim, sosyal bilişim ve büyük veri bilişimi

hizmetlerinin siber savunma üzerinde yarattığı baskıya ve siber saldırı çevresinin giderek daha sofistike olmasına ve uzmanlaşmasına bağlamaktadır.Bununla birlikte, yönetim kurulu üyelerinin katıldığı anketlerin çoğunda, özellikle siber

riskler başta olmak üzere teknoloji riskleri,yönetim kurullarının endişelendikleri konuları kapsayan bir listede (listenin en başında olmasa bile) yüksek bir risk unsure olarak görülmektedir.

İç denetim kuruma nasıl yardımcı olabilir? Sayıları gittikçe artan çok bilgili iç denetim liderleri;iç denetim birimini kurum için siber alanda güvenilir bir danışman olarak konumlandırmak amacıyla, siber güvenlik ve büyük veri gibi

BT sorunları konusunda kendisini yetkinleştirmek ve yeni yetenekler kazanmak ve bu konularla ilgili (doğrudan doğruya ya da eş kaynak kullanımı yoluyla) çok çeşitli ve kapsamlı iç denetim hizmetleri sunmak suretiyle dikkate değer adımlar

atmaktadırlar. Ancakbu gruba girmeyen iç denetim birimleri söz konusu olduğunda, Global Nabız anketi verileri, iç denetim biriminin bu alanda

mükemmeliyete ulaşmasını engelleyen çeşitli faktörlerin mevcut olduğuna işaret etmektedir.

Siber Güvenlik

Siber güvenlik kavramı, bilgisayar tabanlı sistemlerde tutulan şirket verilerinin kayıp, tahribat, yetkisiz erişim ve yetkisiz kişilerin kötüye kullanması risklerine karşı korunması için alınan önlemlere atıf yapar. IIA’nın ‘2016 Global

Perspektifler ve Anlayışlar: Güvenilir Siber Danışman olarak İç Denetim ’kitapçığında da açıklandığı gibi, “Siber güvenlik tüm kurumlarda bütüncül bir

bakış açısıyla ve sistemli bir biçimde ele alınmalıdır, çünkü bir kurumun siber güvenliği sağlayamaması en temel faaliyetlerini bile yürütememesine, fikri mülkiyet haklarını kaybetmesine ve hatta itibarının büyük zarar görmesine yol

açabilir. Siber güvenlik, sadece teknolojik bir risk değildir,aynı zamanda iş ve işletmeyle ilgili bir risktir ve dolayısıyla, bu konuda da iç denetçilerin oynaması gereken kritik bir rol vardır.”6

Neyse ki, iç denetim liderlerinin büyük çoğunluğu (%93), iç denetim departmanlarının siber güvenlikle ilgili riskleri anladığını belirtmektedir. Oysa, bu iyimserliğin tam aksine, 2016 yılında hazırladığı ‘Dijital dünyada güven yaratmak’ başlıklı raporunda, EY, siber güvenlik risklerinin çok hafife alındığı ve çok fazla sayıda kurumun bu riske karşı sorunu ciddiye almayan bir yaklaşım benimseyerek mevcut zafiyeti daha da artırdığı konusunda uyarıda

bulunmaktadır. Global Nabız, iç denetim liderlerinin yarısından biraz fazlasının (%55) kurumlarının siber güvenliği sağlamak için tasarlanmış bir çerçeve kullandığını belirterek EY’nin bu raporunu doğrulamaktadır. Ek 9’da da

gösterildiği gibi, bu oran, kurumlarına şahsen (%16) ya da eş kaynak kullanımı yoluyla (%42) siber güvenlikle ilişkili iç denetim hizmetleri sunduklarını söyleyen iç denetim birimlerinin oranına (%58) çok yakındır.

6. IIA, “Global Perspektiflerve Anlayışlar: Güvenilir Siber Danışman olarak İç Denetim,” 2016, 5,

https://www.theiia. org/gpi (Erişim tarihi: 24 Ağustos 2016).

Siber güvenlik tüm kurumlarda bütüncül bir bakış açısıyla ve sistemli bir biçimde ele alınmalıdır, çünkü bir kurumun siber güvenliği sağlayamaması en temel faaliyetlerini bile yürütememesine, fikri mülkiyet haklarını kaybetmesine ve hatta itibarının büyük zarar görmesine yol açabilir.


14 globaliia.org

Dolayısıyla, iç denetim departmanlarının çoğu siber güvenlikle ilgili riskleri

anladıklarını iddia edebilmesine rağmen, sadece çok azı bu tür denetimlere

ihtiyacı olan kurumlarına siber güvenlikle ilgili iç denetim hizmetlerinin tümünü

kapsamlı bir biçimde sunarak bu anlayışı eyleme dökebilmektedir. Ancak daha

da endişe verici ve kaygı uyandırıcı olan, iç denetim liderleri siber güvenlik

risklerini anladıklarını iddia etmelerine ve kamuya mal olmuş siber olayların yol

açtığı büyük zararlar ve bu olayların kamuoyu nezdinde görünürlüğü ortada

olmasına rağmen, her dört iç denetim liderinden birinin (%25) kurumlarına siber

güvenlikle ilgili hiçbir iç denetim hizmeti sunmadığını belirtmesidir. Geriye kalan

%16’lık kısım, siber güvenlikle ilgili tüm iç denetim hizmetlerinin tamamen dış

kaynak kullanımı yoluyla sunulduğunu belirtmektedir (Ek 9).

Ek 9 – Kurumlara siber güvenlikle ilgili iç denetim hizmetlerini kim

sunmaktadır?

Not: S25: Siber güvenlikle ilgili iç denetim hizmetlerini kurumunuza kimin sunduğunu,

yukarıdakilerin hangisi en iyi şekilde tanımlamaktadır?

Bir kuruma hiçbir iç denetim hizmeti sunulmamasının en başta gelen sebepleri,

iç denetim biriminin bu denetimi yapmak için gerekli yetkinliklerden (beceriler

ve bilgi birikimi) ve siber güvenliği denetlemek için gerekli araçlardan yoksun

olmasını da içermektedir (Ek 10). İDY’ler bu eksiklikleri gidermek için birtakım

girişimlerde bulunmaktadırlar. 2016 yılında hazırlanan bir IIARF CBOK raporuna7

göre, İDY’lerin iç denetim departmanları için istihdam ettikleri kişilerde aradıkları

ya da bu departmanda çalışanlara kazandırmaya çalıştıkları yedi beceriden ikisi

bilgi teknolojisi ve veri madenciliği/analizidir. İDY’ler, eş kaynak ve dış kaynak

kullanımı düzenlemeleriyle yetkinlik ve araç eksiğini de telafi etmektedirler.

7. James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Institute of Internal Auditors Research

Foundation, 2016) p 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

Her dört iç denetim liderinden biri, kurumlarına siber güvenlikle ilgili hiçbir iç denetim hizmeti sunmadığını belirtmektedir.

Siber güvenlikle ilgili tüm iç denetim hizmetlerini iç denetim departmanı sunar.

Siber güvenlikle ilgili iç denetim hizmetleri, iç denetim departmanı ve dış hizmet sağlayıcıları arasında yapılan eş-kaynak kullanımı düzenlemesiyle sunulur.

Siber güvenlikle ilgili tüm iç denetim hizmetleri için dış kaynak kullanılır.

Kurumuma siber güvenlikle ilgili hiçbir iç denetim hizmeti sunulmamıştır.


15 globaliia.org

Ek 10 – İç denetim departmanlarının siber güvenliği denetlememesinin sebepleri

Not: S26: İç denetim departmanınızın özellikle siber güvenlikle ilgili iç denetim hizmetleri

sunmamasının nedeni, aşağıda sayılanlardan hangisi veya hangileridir? Birden fazla

cevap seçebilirsiniz. (Kuruma siber güvenlikle ilgili hiçbir iç denetim hizmeti sunmamış

olanlara sorulmuştur.)

Bir iç denetçi bu alanda ilerleme kaydetmek için ne yapabilir? Öncelikle, her şey

siber güvenliği denetlemek için gerekli yetkinliklere ve araçlara sahip olmakla

veya bunları edinmekle başlar. Anket sonuçlarına bakıldığında, bu iki unsurun

bu kritik alanı başarıyla denetlemeyi engelleyen sebeplerin başında geldiği

açıkça görülmektedir. Ardından, üst yönetimin iç denetim birimini bu konuda

desteklemesini sağlamanın ne kadar önemli olduğunun farkında olmalısınız.

‘Güvenilir Siber Danışman olarak İç Denetim’ kitapçığında da belirtildiği gibi,

hemen hemen tüm kurumlarda, her önemli ve büyük proje için, üst yönetimin

desteğinin alınması kritik düzeyde önemlidir. Bununla birlikte, yönetim kurulları,

siber güvenlikle ilgili en büyük endişeleri hakkında riskle orantılı eylemlerde

bulunmayı tercih etmeyebilirler. Örneğin, Amerika Birleşik Devletleri’nde yakın

zamanda yapılan bir çalışmaya göre, çalışmaya katılanların %26’sı, bilgi

güvenliği yöneticilerinin (CISO) veya güvenlik yöneticilerinin (CSO) yönetim

kuruluna yılda sadece bir kere güvenlikle ilgili bir sunum yaptığını belirtti; aşağı

yukarı eşit sayıda kişi (%28), bu konuda hiçbir sunum yapılmadığını söyledi.

Ayrıca, katılanların yaklaşık üçte biri, hiçbir yönetim kurulu komitesinin veya

yönetim kurulu üyesinin siber riskle ilgilenmediğini ve katılanların sadece %15’i

denetim komitesinin siber riskle ilgilendiğini belirtti.8

8. PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,”

Temmuz 2015, http://www.pwc.com/us/cybercrime (Erişim tarihi: 24 Ağustos 2016).

%22

İç denetim, siber güvenliği denetlemek için gerekli araçlara sahip değildir.

%26

İç denetim, siber güvenlikle ilgili denetim hizmeti sağlamak için gerekli yetkinliklere (beceriler ve bilgi birikimi) sahip değildir.

%19

%16

%16

%14

%7

%65

%55

İç denetim, siber güvenlikle ilgili riskleri değerlendirmemiştir.

İç denetimin siber güvenliği denetlemek için yeterli zamanı yoktur.

İcracı yönetim, siber güvenliğin denetlenmesi için gereken desteği iç denetime vermemektedir.

Siber güvenliği bir dış güvence sağlayıcısı değerlendirmektedir.

Yönetim kurulu / denetim komitesi, siber güvenliğin denetlenmesi için gereken desteği iç denetime vermemektedir.

Siber güvenliği başka bir iç güvence sağlayıcısı değerlendirmektedir.

İç denetim, siber güvenlikle ilgili riski kurum açısından düşük bir risk alanı olarak

değerlendirmiştir.


16 globaliia.org

Muhtemelen, iç denetimin siber güvenliği değerlendirmek için yeterli yetkinliğe

sahip olmadığı gerçeği ve bu yöndeki algının ortak bir sonucu olarak, iç

denetimin bu açığı kapatacağına duyulan güven de azdır. Örneğin, Global

Nabız’da, iç denetim liderlerinin sadece %56’sı yönetim kurulunun/denetim

komitesinin siber güvenliğin denetlenmesini şart koştuğunu söyledi. Peki, bu

konuda ne yapmak gerekir? Öncelikle, yönetim kuruluna/denetim komitesine

ayrıcalıklı erişim hakkına sahip olan ve siber güvenlik risklerini anlayan iç

denetim liderleri, siber güvenliği yönetim kurulu toplantılarının gündeminde

tutmalı, kurumun siber güvenlik konusundaki zayıf noktalarını tartışmalı ve

kurumun siber güvenlik riskini alma iştahını belirlemek için yürütülecek bir

sürece yardımcı olmayı teklif etmelidirler. Siber güvenlik risklerinin ne kadar

önemli ve ciddi olduğunu anlamayanlar, en azından, teknoloji, bu riski etkili

şekilde idare ve kontrol etmek için gösterilen çaba ve çalışmalardan daha hızlı

gelişmeye devam ettikçe bu durumun daha ciddi bir hal alacak büyük bir risk

faktörü olduğunu anlamalıdırlar. Aslında, Forbes, 2016 yılı başlarında bilişim

suçlarının maliyetinin 2019 yılına kadar 2 trilyon $’a ulaşmasını beklediğini

belirten bir projeksiyonu rapor etmişti.9

İkinci olarak, siber güvenlik konusunun İDY’nin kurumda sergilediği liderlik

yeteneği ve vasfına bağlı olarak işbirliğine dayalı bir çalışma gerektirdiğini fark

etmelidirler. IIA Hollanda’da başkan olarak görev yapan Hans Nieuwlands’in de

açıkladığı gibi, “İDY’ler, siber güvenlik risklerini idare eden veya kabul edilebilir

bir düzeye indiren tavsiyeler ve çözümler sunmak ve bilgi teknolojileri yöneticisi

(CIO), bilgi güvenliği yöneticisi (CISO) ve üst düzey gizlilik / hukuk yetkilisiyle

işbirliğine dayalı ilişkiler kurup bu ilişkileri geliştirmek suretiyle icracı yönetimle

güvene dayalı ortaklıklar kurmak zorundadırlar.”

Üçüncü olarak, bu alanda zaten büyük adımlar atmış olanları takip etmelidirler.

Daha önce de bahsedildiği gibi, iç denetim liderlerinin yarısından fazlası (%58),

kurumlarına şahsen ya da eş kaynak kullanımı yoluyla siber güvenlikle ilgili iç

denetim hizmetleri sunduklarını belirtmektedirler. Siber güvenliği denetlemenin

en başta gelen sebepleri, siber güvenliğin haklı olarak yüksek bir risk olarak

belirlenmesi ve kurumun siber güvenliğin giderek artan önemi hakkında

gerekeni yapması ve bu konuya gereken önemi vermesi için İDY’nin iç denetim

liderlerinin katalizör olmaları gerekebileceğini göstererek denetim planlama

sürecinde bu konuya parmak basmasıdır (Ek 11).

Siber güvenliği denetleyen iç denetim departmanlarının bunu yapmakla aslında

kurumlarına çok çeşitli ve geniş yelpazede değerli hizmetler sunmaya başlaması

da önemlidir. Bu konuda en çok bahsi geçen hizmetler arasında internete bağlı

sistemlerin verileri nasıl işlediğini, depoladığını ve/veya aktardığını

değerlendirmek; iş sürekliliği planını değerlendirmek ve siber güvenlik risk

değerlendirme sürecini değerlendirmek yer almaktadır (Ek 12). İç denetim

liderlerinin proje ekiplerine tavsiye vermek ve siber güvenlik uygulama ve

performans planlarına rehberlik etmek suretiyle bu sürecin ön saflarında daha

fazla yer alması apaçık bir potansiyel fırsattır.

9. Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/

stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

Yönetim kuruluna / denetim komitesine ayrıcalıklı erişim hakkına sahip olan ve siber güvenlik risklerini anlayan iç denetim liderleri, siber güvenliği yönetim kurulu toplantılarının gündeminde tutmalı, kurumun siber güvenlik konusundaki zayıf noktalarını tartışmalı ve kurumun siber güvenlik riskini alma iştahını belirlemek için yürütülecek bir sürece yardımcı olmayı teklif etmelidirler.


17 globaliia.org

Ek 11 – İç denetim departmanları siber güvenliği neden denetler?

Not: S27: İç denetim departmanınızın neden özellikle siber güvenlikle ilgili iç denetim

hizmetleri sunduğunu belirtiniz. Birden fazla cevap seçebilirsiniz. (Siber güvenlikle ilgili

hizmetler sunanlara veya bu hizmetler için eş kaynak kullananlara sorulmuştur.)

Ek 12 – İç denetim departmanları siber güvenliği nasıl denetler?

Not: S28: İç denetim departmanınızın siber güvenlik alanına nasıl dâhil olduğunu

belirtiniz. Birden fazla cevap seçebilirsiniz. (Siber güvenlikle ilgili hizmetler sunanlara

veya bu hizmetler için eş kaynak kullananlara sorulmuştur.)

Siber güvenlik yüksek bir risk olarak sınıflandırıldı. %74

İç denetim yöneticisi (İDY) veya iç denetim birimi başkanı, yıllık denetim planlama sürecinde bu konuyu gündeme getirdi. %63

Yönetim kurulu / denetim komitesinin talebi üzerine %34

Yönetimin talebi üzerine %28

%17

%10

Siber güvenlikle ilgili bir olaya cevap olarak (örn. kuruma finansal, operasyonel veya itibar açısından zarar veren bir veri ihlâli)

Kurumda yerleşik olan siber güvenlik ölçü standardındaki değişikliklere cevap olarak (örn. koruyucu yazılımın verdiği uyarıların sayısının artması, siber güvenlik politikası ihlâllerinin sayısının artması)

İnternete bağlı sistemlerin verileri nasıl işlediğini, depoladığını ve/veya aktardığını ele alan kontrolleri değerlendirdi.

İş sürekliliği planını değerlendirdi.

Siber güvenlik risk değerlendirme sürecini değerlendirdi.

Siber güvenlik korumasını değerlendirdi.

Olay müdahale planını değerlendirdi.

Kriz yönetimi planını değerlendirdi.

%27

%70

%68

%64

%59

%56

%47

Siber güvenlik uygulama planları ve planların uygulamaya

konulmasına rehberlik etmek için proje ekibine katıldı.


18 globaliia.org

Büyük Veri (Big Data)

Büyük veri, sadece çok miktarda veri olarak tanımlanamaz ve bundan daha

fazlası anlamına gelir. Büyük veri; bir kurum bünyesinde tutulan ve o kurumun

sadece o verileri tutmak ve işlemek için özel olarak tasarlanmış system

mimarileri, araçları ve uygulamalarına yatırım yapmasını gerektirecek kadar

büyük bir hacme, çeşitliliğe, akış hızına ve değişkenliğe ulaşmış bulunan very

(bilgi) anlamına gelir. Dünya çapında, iç denetim liderlerinin hemen hemen

yarısı (%49), kurumlarının bu tür yatırımlar yaptığını (ve muhtemelen büyük

veriyi bir dereceye kadar etkili idare etmek amacıyla sistemler uygulamaya

koyduğunu) belirtmektedir ve yüzde 23’lük başka bir kısım da, kurumlarında bu

amacı yerine getirecek bir stratejinin mevcut olduğunu söylemektedir (Ek 13).

Sonuç olarak, iç denetimin büyük veriyi risk-temelli denetim planlarında ele

alması veya alacağı beklenmelidir.

Ek 13 – Büyük veriye yatırım yapan kurumlar

Not: S17: Kurumunuzun büyük very konusunda benimsediği yaklaşımı en iyi tanımlayan

ifade hangisidir?

2016 yılında Fortune 1000 listesinin ABD-merkezli kıdemli ticaret ve teknoloji

karar alıcılarını kapsayan bir New Vantage Partners (NVP) anketi şu sonuçlara

ulaştı:

Büyük veri, anaakım kurum ve kuruluşlarca kabul edilmiştir.

Yeni kurumsal yapı içerisinde bir kıdemli veri müdürünün rolü giderek önem

kazanmaktadır.

İş ve teknoloji ortaklığı, büyük verinin kabulü ve benimsenmesi için kritik

bir unsur olarak görülmektedir.

İş hayatında içgörü ve sürat, büyük veriye yatırım yapılmasının altında

yatan temel faktörlerdir.

Büyük veri yatırımlarının altında yatan teknik faktör olarak (verinin)

çeşitliliği verinin hacmi ve hızına ağır basmaya devam etmektedir.10

10. New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/up-

loads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (Erişim tarihi: 24 Ağustos 2016).

Dünya genelinde, iç denetim liderlerinin hemen hemen yarısı, kurumlarının büyük veriye yatırım yaptığını belirtmektedir ve yüzde 23’lük başka bir kısım da, kurumlarında bu amacı yerine getirecek bir stratejinin mevcut olduğunu söylemektedir. İç denetimin büyük veriyi risk-temelli denetim planlarında ele alması veya alacağı beklenmelidir.

Kurumum özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmıştır.

Kurumum, özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmamıştır, ancak uygulamaya koyduğu bir strateji vardır.

Kurumum, özel olarak büyük veriyi tutmak ve işlemek için tasarlanmış sistem mimarisine, araçlarına ve uygulamalarına yatırım yapmamıştır ve bu amaçla uygulamaya koyduğu bir strateji de yoktur.

Bilmiyorum.


19 globaliia.org

Ek 14’te de gösterildiği gibi, iç denetim liderlerinin büyük veriye yatırım yapmış

olan kurumlarda çalıştığı durumlarda, liderlerin %64’ü, departmanlarının

kuruma şahsen (%32) ya da bir dış hizmet sağlayıcısıyla birlikte eş kaynak

kullanımı yoluyla (%32) büyük veriyle ilgili iç denetim hizmetleri sunduklarını

belirtmektedir. Ayrıca, tıpkı siber güvenlik alanında da olduğu gibi, kurumun

büyük veri risk yönetimi ve kontrolü konularına verdiği önem ve dikkati çoğu

zaman iç denetim liderleri yönlendirmektedir. Büyük veriyi denetleyen iç

denetim liderlerinin bu denetim için öne sürdükleri nedenlerden ilk ikisi riski

görmekle ilgilidir. Ankette de belirtildiği gibi, ya İDY bu konuyu yıllık denetim

planlama sürecinde gündeme getirmiş ya da iç denetim büyük veriyi yüksek bir

risk olarak kabul etmiştir.

Ek 14 – Büyük veriyle ilgili iç denetim hizmetlerini kurumunuza

kim sunmaktadır?

Not: S19: Kurumunuzun büyük veriyle ilgili iç denetim hizmetlerini kimin sunduğunu en

iyi tanımlayan ifade hangisidir? (Büyük veriye yatırım yapmış olanlara sorulmuştur.)

Büyük veriyi ele alan iç denetim departmanları, kurumlarına büyük veriyle ilgili

çok sayıda değerli hizmetler sunmaktadırlar. Bu konuda en çok bahsi geçen

hizmetler verinin mevcudiyeti, kullanılabilirliği, bütünlüğü veya güvenliği

üzerindeki kontrolleri değerlendirmeyi; büyük veri kullanımıyla ilişkilendirilen

riskleri değerlendirmeyi ve büyük verinin doğru olup olmadığını değerlendirmeyi

içermektedir (Ek 15).

Büyük veriyi denetleyen iç denetim liderlerinin bu denetim için öne sürdükleri nedenlerden ilk ikisi riskle ilgilidir. Ankette de belirtildiği gibi, ya İDY bu konuyu yıllık denetim planlama sürecinde gündeme getirmiş ya da iç denetim büyük veriyi yüksek bir risk olarak kabul etmiştir.

Büyük veriyle ilgili tüm iç denetim hizmetlerini, iç denetim departmanı sunmaktadır.

Büyük veriyle ilgili iç denetim hizmetleri için iç denetim ve dış hizmet sağlayıcıları arasında eş kaynak kullanılmaktadır.

Büyük veriyle ilgili iç denetim hizmetlerinin hepsi dış kaynaklardan temin edilmektedir.

Kurumuma büyük veriyle ilgili hiçbir iç denetim hizmeti sunulmamıştır.


20 globaliia.org

Ek 15 – İç denetim departmanları büyük veriyi nasıl denetlerler?

Not: S22: İç denetim departmanınızın büyük veri alanına nasıl dâhil olduğunu belirtiniz.

Birden fazla cevap seçebilirsiniz. (Büyük veriyle ilgili hizmetler sunanlara veya bu

hizmetler için eş kaynak kullananlara sorulmuştur.)

Bu iç denetim hizmetlerinin NVP anketindeki anahtar bulguların tümüyle

ilişkilendirilip ilişkilendirilemeyeceği tartışmaya açıktır. Örneğin, Botswana

Uluslararası Bilim ve Teknoloji Üniversitesi’nde iç denetim direktörü olarak

çalışan Lesedi Lesetedi’nin açıkladığı gibi, “NVP anketi, büyük veri

harcamalarının arttığını ortaya koymuştur. İç denetimin bir maliyet-zarar

analizine yardımcı ve destek olması, icracı yönetim ve yönetim kuruluna, kuruma

sağlanan potansiyel faydalar göz önünde bulundurulduğunda bu harcamaların

haklı olduğu güvencesini vermeye yardımcı olabilir.” Virginia Üniversitesi’nde

İDY olarak çalışan Carolyn Saint ise şunu ekler: “İç denetim, proje ekiplerinde

yer aldığında, hem veri bütünlüğü, güvenliği ve gizliliği gibi konular hakkındaki

iş ve teknoloji perspektiflerini hem de gizlilik şartlarını ele alan düşünmeye

zorlayıcı sohbetleri teşvik edebilir.”

Her ne kadar iç denetim liderlerinin %92’si iç denetim departmanlarının büyük

veriyle ilişkilendirilen riskleri ve iç denetimin kurumlarının büyük veriyle ilgili

girişimlerine katkıda bulunabileceği sayısız yol ve yöntemi anladığını söylese de,

büyük veriye yatırım yapmış kurumlarda çalışan her dört iç denetim liderinden

biri (%26) kurumlarına büyük veriyle ilgili hiçbir iç denetim hizmeti

sunulmadığını belirtmektedir. Bu iç denetim liderlerinin çoğunun iç denetimin bu

konuda geri kalma sebebinin araç ve yetkinlik (beceriler ve bilgi birikimi) eksikliği

olduğunu belirtmesine rağmen, bu liderler çok sayıda sebepten

bahsetmektedirler (Ek 16).

Büyük verinin mevcut, kullanılabilir, tam veya güvenli olup olmadığı üzerindeki kontrolleri değerlendirdi.

Büyük veri kullanımıyla ilişkilendirilen riskleri değerlendirdi.

Büyük verinin doğru olup olmadığını değerlendirdi.

Büyük verinin geçerli olup olmadığını (verinin hedeflenen kullanımı için uygun olup olmadığını) değerlendirdi.

Büyük veri analizlerinin kurum için değerini değerlendirdi.

%24 2%24

%10

%80

%66

%54

%51

%38

Siber güvenlik uygulama planları ve planların uygulamaya konulmasına rehberlik etmek için proje ekibine katıldı.

Bir maliyet-fayda analizine yardım etti.

“İç denetim, proje ekiplerine katıldığında, hem veri bütünlüğü, güvenliği ve gizliliği gibi konular hakkındaki iş ve teknoloji perspektiflerini hem de gizlilik şartlarını ele alan düşünmeye zorlayan sohbetleri teşvik edebilir.”

Carolyn Saint, İDY, Virginia Üniversitesi


21 globaliia.org

Ek 16 – İç denetim departmanlarının büyük veriyi denetlememe sebepleri

Not: S20: İç denetim departmanınızın, özellikle büyük veriyle ilgili iç denetim hizmetleri

sunmamasının sebebi aşağıdakilerden hangisidir? Birden fazla cevap seçebilirsiniz.

(Kuruma büyük veriyle ilgili hiçbir iç denetim hizmeti sunmayanlara sorulmuştur.)

İç denetim, büyük veriyi denetleyecek araçlara sahip değildir.

İç denetim, büyük veriyi denetlemek için gerekli yetkinliklere (beceriler ve

bilgi birikimi) sahip değildir.

İç denetim, büyük veriyle ilgili riski değerlendirmemiştir.

İç denetimin büyük veriyi denetleyecek zamanı yoktur.

%17

%14

%13

%8 %5

%61

%46

%34

%22

İcracı yönetim, iç denetimin büyük veriyi denetlemesini desteklemez.

Büyük veri bir dış güvence sağlayıcısı tarafından değerlendirilmektedir.

İç denetim, büyük veriyle ilgili riskleri kurum için düşük bir risk olarak değerlendirmiştir.

Yönetim kurulu / denetim komitesi, iç denetimin büyük veriyi denetlemesini desteklemez.

Büyük veri başka bir dış güvence sağlayıcısı tarafından değerlendirilmektedir.


22 globaliia.org

Varılan Sonuçlar

Her ne kadar siber güvenlik ve büyük veriyle ilgili teknoloji riskleri birçok yönetim

kurulunun öncelik verdiği konuların en başında gelse de, riskler hesaba

katıldığında, kurumlarına bu konuyla ilgili iç denetim hizmetleri sunan iç denetim

departmanı sayısı yeterli değil gibi görünmektedir. Bununla birlikte, bu

hizmetleri sunan iç denetim departmanları, genelde kurumun ilgi ve alakasını

siber güvenlik ve büyük veriyle ilişkilendirilen kritik risk ve kontrol konularına

yönlendirmesine yardım ederler. İç denetçilerin sürekli değişen bu dinamik risk

ortamında becerilere, bilgi birikimine, kaynaklara ve araçlara erişimesini

sağlamak zor olacaktır. Konunun uzmanı olan uygun kişileri kuruma getirerek

eşkaynak kullanımı düzenlemelerinden faydalanmanın, birçok iç denetim

biriminin bu alanda ilerlemesi için şart olduğu kanıtlanabilir.

İç denetimin bu alanda mükemmele doğru ilerleme kaydetmesine yardımcı

olacak basamaklar:

Teknolojiyle ilgili riskleri ve onların operasyonel ve stratejik hedeflere

ulaşma üzerindeki muhtemel etkisini iyice anlamayı,

Siber güvenlik ve büyük veriyi denetlemek için gerekli araçları elde etmek

amacıyla kurumun teknoloji alanına yaptığı yatırımlarını kullanmayı,

Gerekli iç denetim yetkinliklerini geliştirmeyi,

Teknoloji operasyonları ve ticari operasyonlar arasındaki işbirliğini

geliştirmeye yardım etmeyi ve

Proje yönetimi ekiplerine katılmaktan, yönetim kuruluna teknolojiyle ilgili

risk yönetimi ve iç kontrol güvencesi vermeye kadar değişiklik gösteren,

teknolojiyle ilgili kapsamlı bir iç denetim hizmetleri seti sunmayı

içermektedir.

Riskler hesaba katıldığında, kurumlarına bu konuyla ilgili iç denetim hizmetleri sunan iç denetim departmanı sayısı yeterli değil gibi görünmektedir.


23 globaliia.org

Güvenilir Danışman Statüsüne Ulaşmak Anlaşılması ne kadar güç ve zorlu olursa olsun, iç denetim, paydaşların sürekli

artan beklentilerine yetişme ve onları karşılama konusunda büyük adımlar

atmaya devam etmektedir. Bu durum, kimisi için ebedi ve zorlu bir süreçken;

diğerleri için en azından artan talep ve beklentilerin bir veya iki adım önünde

kalmaya çalışma meselesi olacaktır.

Tartışmaya açık düzeyde demode bir yaklaşımla muhasebe kontrollerine

odaklanmaktan, tam anlamıyla kurum çapında risk-temelli denetime doğru

gelişmeyi sürdürmek, bu meslek için büyük bir sıçrama olmuştur. Ayrıca,

İDY’lerin iç denetim planının kurumun stratejik öncelikleriyle aynı doğrultuda

olmasını sağlaması ve bir kurumun stratejik hedeflerine başarıyla ulaşma

becerisinin (veya bu konudaki yetersizliğinin) içyüzünün anlaşılmasını

sağlaması mesleğin olgunlaştığı bir sonraki adım olmuştur.

Peki, bir sonraki adım nedir? Birçok kişi iç denetimin tam anlamıyla etkili

olabilmesi için daha da ileri giderek kurum çapında “güvenilir danışman” olarak

görülmesi gerektiğini söylemektedir. Bununla birlikte, birçok durumda iç

denetim hâlâ “masada istediği yeri”, yani en önemli ve acil kurumsal sorunların

tartışıldığı ve icrai kararların alındığı masadaki yerini kazanmaya çalışmaktadır

(tabii alabilirse). Dolayısıyla, gerçek bir güvenilir danışman, bu masadaki yerini

herkesin genel olarak kabul ettiği değerden dolayı alır. Güvenilir danışmanlar

masaya oturmayı talep etmezler, davet edilirler. Dolayısıyla, güvenilir bir

danışman, paydaşların kurumun hedeflerine ulaşmasında paha biçilemez

düzeyde önemli bir kaynak olarak algılanması için iş zekası, teknik uzmanlık

ve ilişki becerilerinin tamamına sahip olmak zorundadır. Bu, İDY ve ekibi için

kuruma katkıda bulunacak önemli bir şeye sürekli sahip olmak anlamına gelir.

PwC, ‘2016 İç Denetim Mesleği Çalışmasının Durumu, Liderlikle ilgili Konular:

Paydaşlar daha fazlasını bekledikçe gerçek kuzeye doğru ilerlemek’ başlıklı

raporunda, mesleğin arzu ettiği gerçek amaçlar ve iç denetçilerin günümüzde

kurumlara fiilen sundukları arasında, genel görüşlerle de tutarlı bir uçurum

olduğunu ortaya çıkarmıştır. PwC’nin yaptığı çalışmaya katılanların (İDY’ler ve

onların paydaşları) yalnızca %16’sı, bu yöndeki beklentiyi anladıklarını kabul

ederek, iç denetimin bugün iş ve işletme için denetim planının etkili ve verimli

bir şekilde uygulamaya konulmasının çok daha ötesinde katma-değerli

hizmetler ve proaktif stratejik tavsiyeler sunduğunu söylerken; katılanların

%62’si, iç denetimin tüm bunları gelecek beş yıl içerisinde yapacağını

beklediklerini belirtti. Benzer şekilde, Deloitte, ‘2016 Global CEO Araştırması,

Evrim mi, yoksa anlamsızlık mı? İç denetim bir yol ayrımında’ başlıklı

kitapçığına göre, “İDY’lerin yalnızca %28’i birimlerinin kurum üzerinde güçlü

bir etki ve nüfuz sahibi olduğuna inanmaktadır. Katılanların %16’sının İç

Denetimin kurumda çok az etki ve nüfuz sahibi olduğunu ya da hiç etki veya

nüfuz sahibi olmadığını belirtmesi rahatsız edicidir. Aynı şekilde, katılanların

neredeyse üçte ikisi, İç Denetimin bu alanlarda sahip olduğu gücün gelecek

yıllarda önemli olacağına inanmaktadır.”11

11. Deloitte, “Evolution or irrelevance? Internal audit at a crossroads,” 2016, 5,

http://www2.deloitte.com/global/en/ pages/audit/solutions/global-chief-audit-executive-survey.html (Erişim

tarihi: 24 Ağustos 2016).

Gerçek bir güvenilir danışman, bu masadaki yeri herkesin genel olarak kabul ettiği değerden dolayı alır. Güvenilir danışmanlar Masaya oturmayı talep etmezler, davet edilirler.


24 globaliia.org

İç denetim bu dikkate değer açığı kapatıp güvenilir bir danışman olmaya doğru

büyük adımlar atabilecek mi? Beklentiler göz önünde bulundurulduğunda,

proaktif ve agresif adımlar atılması gerekebilir.

Tawazun’da İDY olarak çalışan Karem Toufic Obeid’e göre, “Bu açığı kapatmak

icracı yönetimle ve yönetim kuruluyla güvene dayalı ilişkiler kurmayı

gerektirmektedir. İç denetimin yürüttüğü çalışmalar sadece güvenilir ve verdiği

sözleri tutar nitelikte değil, aynı zamanda ileriye dönük ve işin iç yüzünü

kavrayan nitelikte olduğunda, güven yaratılmış olur.” Ne yazık ki, iç denetim

liderlerinin çoğu CEO, icracı yönetim ve denetim komitesi başkanıyla hâlâ

gerektiğinde ve sıklıkla değil, sadece önceden belirlenmiş ve tayin edilmiş

tarihlerde toplantı yapmaktadır. Ayrıca, en tepede güçlü ilişkiler kurma gereği

nedeniyle, güçlü bir kavrayışa ve içgörüye sahip olma gereğiyle birlikte çok

keskin bir iş zekası ve teknik uzmanlığı dikkate almak ve hesaba katmak

başarılması zor bir görev haline gelebilir. Ancak bunun da gerekli bir girdi haline

gelmekte olduğu anlaşılmaktadır. Bununla birlikte, iç denetim liderlerinin çoğu

(%66) büyük ve önemli kurumsal değişiklik girişimlerinde rol oynamalarının çok

sık talep edilmediğini (Ek 17) söylerken, iç denetim liderlerinin neredeyse üçte

biri tüm üyelerin katıldığı bir yönetim kurulu toplantısına hiçbir zaman davet

edilmediklerini (Ek 18) belirtmektedir. Sonuç olarak, güvenilir danışman statüsü,

en azından şu anda pek çok kişi için umut verici ve “hâlâ sonuca ulaşmamış” bir

arzu olarak kalmaya devam etmektedir.

Ek 17 – İç denetim, kurumsal değişikliğe yönelik girişimlerde ne

sıklıkta yer alır?

Not: S38: İç denetim birimi, eğer varsa, büyük ve önemli kurumsal değişiklik

girişimlerinde ne sıklıkta yer alır? Sonuçlar yuvarlandığı için sayı %100’e eşit değildir.

İç denetim liderlerinin çoğu (%66) büyük ve önemli kurumsal değişiklik girişimlerinde rol oynamadıklarını söylerken, liderlerin neredeyse üçte biri tüm üyelerin katıldığı bir yönetim kurulu toplantısına hiçbir zaman davet edilmediklerini belirtmektedir.

Her zaman

Sık sık

Bazen

Nadiren

Hiçbir zaman katılmaz


25 globaliia.org

Ek 18 – İDY’ler tüm üyelerin katıldığı yönetim kurulu

toplantılarına ne sıklıkta davet edilirler?

Not: S37: İç denetim yöneticisi veya iç denetim birimi müdürü, tüm üyelerin katıldığı

yönetim kurulu toplantılarına (denetim komitesi toplantılarından bağımsız) davet

ediliyorsa, ne sıklıkta davet edilmektedirler?

İç denetim liderleri ve personeli; CEO, icracı yönetim ve denetim komitesi

başkanının yanı sıra, üst ve orta kademelerde görevli yöneticilerle de ilişkiler

kurmalıdırlar. Pek çoğu için, bunu en iyi yapmanın yolu, derin ve sürdürülebilir

ilişkiler kurmak için çalışırken bir yandan da özel tasarlanmış ve sık tekrarlanan

etkileşimler yoluyla bilinçli bir planlama yapmaktır. Bununla birlikte, iç denetim

liderlerinin %65’i, iç denetçilerin kurumda hedeflediği ve istediği personelle

sürekli iletişim kurmasına olanak sağlayan resmi bir programın bulunmadığını

belirtmektedir (Ek 19). Bu tür bir program mevcut olmadığında, iç denetim

liderleri ve personelinin kurumda güvenilir danışmanlar olarak kabul edildikleri

statüye ulaşmaları için gerekli ilişkilerin temelini atmaları ve bu ilişkileri

sürdürmeleri, farklı büyüklükteki çoğu kurumda imkansız değilse de zor

olacaktır.

Ek 19 – İç denetçilerin kurum personeliyle iletişim kurmasını sağlayan programlar

Not: S31: İç denetim, iç denetçilerin kurum personeliyle sürekli olarak iletişim

kurmasını sağlayan bir programa sahip midir?

“Bu açığı kapatmak icracı yönetim ve yönetim kuruluyla güvene dayalı ilişkiler kurmayı gerektirmektedir. İç denetimin yürüttüğü çalışmalar sadece güvenilir ve verdiği sözleri tutar nitelikte değil, aynı zamanda ileriye dönük ve işin iç yüzünü kavrayan nitelikte olduğunda güven yaratılır.”

Karem Toufic Obeid, İDY, Tawazun

Tüm toplantılara

Her yıl

Yönetim kurulunun bu yönde bir talebi oldukça

İç denetim yöneticisinin (İDY) ya da iç denetim müdürünün bu yönde bir talebi

oldukça

Hiçbir zaman

Evet, kurumda resmi bir programımız

var.

Evet, kurumda gayri resmi bir

programımız var.

Hayır, kurumda bu tür bir programımız yok, ancak bu konu üzerine düşünüyoruz.

Hayır, kurumda bu tür bir programımız yok ve bu konu üzerine düşünmüyoruz.


26 globaliia.org

İç denetçinin kurum personeliyle etkileşimini artıran resmi programlar, iç

denetimin kurumda daha görünür ve daha bilgili bir hale gelmesine ve kurumda

fiilen olup bitenlere karşı daha uyumlu olmasına yardımcı olur. IIA-

Kolombiya’nın başkanı ve genel müdürü olan Ana Cristina Zambrano

Preciado’nun da açıkladığı gibi, “İDY’lerin kendilerini nasıl takdim ettikleri,

kurumda nasıl algılandıklarını etkiler.” Ayrıca, hepimiz bu algının gerçeği

yönlendirdiğini bilmekteyiz. Bununla birlikte, anket sonuçları, İDY’lerin yalnızca

%26’sının kurumda icracı yönetimin bir üyesi olarak algılandıklarını belirttiklerini

göstermektedir. Geriye kalan %74’lük kısmın kurumda icracı yönetim ekibine

eşdeğer bir pozisyonda algılanmadıklarını gördükleri açıktır (Ek 20). Çok sayıda

İDY’nin kurumdaki en kıdemli kişiler arasında görüldüklerine inanmadığı göz

önünde bulundurulduğunda, bunun endişe verici bir istatistik olduğu ve iç

denetimin güvenilir danışman statüsüne ulaşması ve kurumda görünür olması

önünde potansiyel bir engel olduğu görülebilir.

Ek 20 – İDY kurumda nasıl algılanmaktadır?

Not: S35: İç denetim yöneticisi (İDY) veya iç denetim birimi müdürü kurumda hangi

yönetim kademesinin bir üyesi olarak algılanmaktadır? (Burada sunulan veriler yalnızca

İDY’lerin cevaplarını yansıtmaktadır. Sonuçlar yuvarlandığı için sayı %100’e eşit değildir.)

Ne kadar zor olsa da, iç denetim liderlerinin iç denetimin görev alanı dışında

sorumluluklar üstlenmesini istemek onların kurumdaki görünürlüğü ve

statüsünü artırabilecek başka bir faktördür. Her dört iç denetim liderinden biri

(%26) iç denetim dışındaki birimlerden sorumlu olduklarını belirtmektedir (Ek

21). İç denetim biriminin sorumlu olduğu birimler arasında en sık adı geçenler,

risk yönetiminin ikinci savunma hattına odaklanan birimleri ile uyum birimidir.

İDY’lerin yalnızca %26’sı kurumda icracı yönetimin bir üyesi olarak algılandıklarına inanmaktadır.

İcracı yönetim

Üst kademe yönetim

Orta kademe yönetim


27 globaliia.org

Ek 21 – Başka birimlerden sorumlu olan iç denetim

Not: S39: Kurumunuzda çalışan iç denetim yöneticisi (İDY) veya iç denetim birimi

müdürü, iç denetim dışında başka birim(ler)den de sorumlu mudur?

İç denetim liderleri, iç denetim dışındaki alanlarda sorumluluk aldıklarında

elbette zorluklarla karşı karşıya kalmaktadırlar. Hiyerarşik yapıya bağlı olarak

birimin bağımsızlık konusunda karşılaşabileceği zorlukların yanı sıra, hem

algılanan hem de gerçek objektifliği korumak ve sürdürmek temel sorunlardan

biridir. Evet, ikinci ve üçüncü savunma hatlarının belirsizleşmesi riski vardır ve

İDY, iç denetim biriminin yerine getirmesi gereken ana görevi ve yetki alanına

herhangi bir şekilde minimuma indiren ya da ona zarar veren bir yöne doğru

çekilmesine karşı her türlü önlemi almak zorundadır. Bununla birlikte, iç denetim

biriminin sorumluluk alanını iç denetim dışındaki birimleri de kapsayacak şekilde

genişletmesini istemek, İDY’lerin bilgi birikimlerinin, becerilerinin ve kuruma

yaptığı katkıların bir dizi birim boyunca kurumun tamamı için anlamlı olabildiği

ve olduğunu onlara gösteren bir işaret de olabilir.

Birçok kurumun iç denetim liderlerinin idari olarak CEO’ya, işlevsel olarak

denetim komitesine bağlı olduğu yönündeki yeni görüşe göre, optimal hiyerarşik

yapı, iç denetim liderlerinin bir yandan güvenilir danışmanlar olma

potansiyellerini maksimuma çıkarırken, diğer yandan kurumsal bağımsızlıklarını

korumalarına yardımcı olur. Global Nabız, iç denetim liderlerinin %45’inin idari

olarak CEO’ya (ya da eşdeğerine), %73’ününse işlevsel olarak yönetim kurulu

ve denetim komitesine (ya da eşdeğerine) bağlı olduğunu ortaya koydu.12 İç

denetim birimi, öncelik olarak yalnızca muhasebe ve finansla ilgili konulara

odaklandıkları şeklindeki basmakalıp rolden dışarı çıkmaya devam ettikçe,

zaman içerisinde bu yüzdeler de artmaya devam eder.

İç denetim biriminin sorumluluk alanını – örneğin uyum ve risk yönetimi sorumluluğunu alarak – genişletmesini istemek, İDY’lerin bilgi birikimlerinin, becerilerinin ve kuruma yaptığı katkıların bir dizi birim boyunca kurumun tamamı için anlamlı olabildiği ve olduğunu onlara gösteren bir işaret de olabilir.

Evet

Hayır


28 globaliia.org

Varılan Sonuçlar

İç denetim zaman içerisinde değişerek pek çok gelişme göstermiştir: ilk önce

kontrol-temelli denetimden risk-temelli denetime doğru odaklanmış; şimdiyse

riski aşağıdan-yukarıya doğru değerlendirmek yerine iç denetimin öncelikleri ve

kurumun stratejik önceliklerinin aynı doğrultuda olmasını sağlamaya

çalışmaktadır; şimdi, bir sonraki değişim dalgası gelip çatmıştır: güvenilir

danışman statüsüne yükselmek. Önümüzde uzanan yol, değer verilen beceriler

ve arzu edilen yetenekler açısından dinamiğin değişmesinin yanı sıra, özverili

çaba ve çalışmalar yapmayı gerektirecektir. Ancak bu, iç denetim paydaşlarının

katedileceğini ümit etmeye başladığı bir yol ... ve az sayıda öncü kişinin ulaşmış

olduğu bir varış noktasıdır.

IIA Başkanı ve CEO’su olan Richard Chambers’ın hazırladığı bir İç Denetçi blogu,

İDY veya iç denetim birimi olarak kuruma kattıklarınıza değer verilmiyor

olabileceğini gösteren işaretleri ortaya koydu:

İç denetimin yıllık risk değerlendirme süreci sırasında minimal düzeyde

girdi yapılmıştır.

İş stratejisinin tartışıldığı veya formüle edildiği toplantılara davet

edilmezsiniz.

Raporlarınızın alıcısı, vardığınız sonuçlara veya tavsiyelere karşı ilgisizdir

ya da onlara karşı koymaktadır.

Önemli bir risk belirlendiğinde, yönetim size aramaz – bir danışman

ararlar.13

12.Burada geçen ‘idari olarak bağlı olma’ terimi; bütçelendirme, insan kaynakları yönetimi, iletişim, kurum-içi

politikalar ve prosedürler de dâhil olmak üzere, günlük meselelerin denetlenmesini ifade eder. ‘İşlevse olarak

bağlı olma’ terimiyse; iç denetim tüzüğünün onaylanması, denetim planı, İDY’nin değerlendirilmesi ve İDY’nin

ücreti de dâhil olmak üzere, iç denetim biriminin sorumluluklarının denetlenmesini ifade eder.

13. Chambers, Richard. June 14, 2016. Forensic Examination May Explain Why You Aren’t a Trusted Advisor.

https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-

a-Trust- ed-Advisor.aspx (Erişim tarihi: 24 Ağustos 2016).


29 globaliia.org

Kapatırken İç denetimin kritik düzeyde önemli faaliyetlerinin çoğunluk için aynı kalmasını

veya artmasını destekleyecek bütçe ve personel seviyeleri nedeniyle, iç denetim,

paydaşların giderek artan beklentilerini karşılamak ve onları aşmak için gerekli

ilave adımlar atmak için asla bundan daha büyük bir fırsat bulamayabilir. Kaynak

sağlama konusundaki destek de göz önünde bulundurulduğunda, şu an bu fırsatı

yakalamak için en iyi zaman olabilir.

Ayrıca, mükemmeli yakalama ve güvenilir danışman statüsüne ulaşma arayışına

devam eden iç denetim, kritik düzeydeki kurumsal maruziyetleri ele alabilmek için

kurumda ön planda olmak zorundadır. 2016 Global Nabız anketinin de gösterdiği

gibi, kültür, siber güvenlik ve büyük veri gibi kuruma baskı yapan maruziyet

alanları, bu alanlara zaten ayırdığı zaman ve enerjiyi artıramıyorsa da iç denetimin

zaman ve enerji harcaması ve odaklanması gereken yeni konular arasındadır.

İç denetim liderleri bu konuda büyük adımlar atmışlardır, ancak mesleğin bir

bütün olarak hız kazanması gerekebilir ve hız kaybetmeyi göze alamayacağı

açıktır.


30 globaliia.org

Daha Fazla Bilgi Edinmek İçin

Kültürün Denetlenmesi

Chartered Institute of Internal Auditors, “Organisational Culture:

Evolving approaches to embedding and assurance,” May 2016, https://iia.org.uk/policy/ publications/culture-evolving-approaches-

toembedding-and-assurance-board- briefing/ (accessed Aug. 24, 2016). CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 Jul

2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-

corporateculture (accessed Aug. 24, 2016). Financial Reporting Council, “Corporate Culture and the Role of

Boards,” July 2016, https://www.frc.org.uk/Our-

Work/CorporateGovernance-Reporting/Corporate-governance/Corporate-Culture-andthe-Role-of-Boards.aspx (accessed Aug. 25, 2016).

The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, https://www.theiia.org/GPIAuditing-Culture (accessed Aug. 24, 2016).

Teknolojinin Takip Edilmesi

EY, “Creating trust in the digital world,” 2015

http://www.ey.com/Publication/ vwLUAssets/EY-creating-trust-in-

thedigital-world/$FILE/EY-creating-trust-in-thedigital-world.pdf

(accessed Aug. 24, 2016).

KPMG, “Global profiles of the fraudster: Technology enables and weak

controls fuel the fraud,” May 2016,

https://home.kpmg.com/xx/en/home/insights/2016/05/globalprofiles-

of-the-fraudster.html (accessed Aug. 24, 2016).

New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016,

http:// newvantage.com/wp-content/uploads/2016/01/Big-

DataExecutive-Survey-2016- Findings-FINAL.pdf (accessed Aug. 24,

2016).

PwC, “US cybersecurity: Progress stalled, Key findings from the 2015

US State of Cybercrime Survey,” July 2015,

http://www.pwc.com/us/cybercrime (accessed Aug. 24, 2016).

Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by

2019,”

http://www.forbes.com/sites/stevemorgan/2016/01/17/cybercrime-

costs- projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

The IIA, “Global Perspectives and Insights: Internal Audit as Trusted

Cyber Adviser,” 2016, https://www.theiia.org/gpi (accessed Aug. 24,

2016).


31 globaliia.org

Güvenilir Danışman

Chambers, Richard. June 14, 2016. Forensic Examination May Explain

Why You Aren’t a Trusted Advisor.

https://iaonline.theiia.org/blogs/chambers/2016/

Pages/ForensicExamination-May-Explain-Why-You-Arent-a-Trusted-

Advisor.aspx (accessed Aug. 24, 2016).

Genel

Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads,” 2016,

http://www2.deloitte.com/global/en/pages/audit/solutions/global-

chiefaudit-executive- survey.html (accessed Aug. 24, 2016).

Protiviti, Arriving at Internal Audit’s Tipping Point Amid Business

Transformation, 2016, http://www.protiviti.com/en-

US/Pages/IACapabilities-and-Needs-Survey.aspx (accessed Aug. 25,

2016).

PwC, “2016 State of Internal Audit Profession Study, Leadership matters:

Advancing toward true north as stakeholders expect more,” 2016,

https://www. pwc.com/ca/en/risk/publications/pwc-state-of-internal-

auditprofession-study- 2016-03-en.pdf (accessed Aug. 24, 2016).

James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA

Institute of Internal Auditors Research Foundation, 2016) p 2,

http://theiia. mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

The IIA’s Position Paper, “The Three Lines of Defence in Effective Risk

Management and Control,” 2013, https://www.theiia.org/3-Lines-Defence


The IIA’s Position Paper, “The Three Lines of Defence in Effective Risk

Management and Control,” 2013, https://www.theiia.org/3-Lines-Defence


sayı 5 global perspektİfler ve anlayilar...kültürle ilgili politika ve prosedürlere uyulup...

Documents