2015 İç Denetimin Global Nabzı
Transkript
2015 İç Denetimin Global Nabzı
2015 İç Denetimin Global Nabzı Dinamik Bir Ortamda Fırsatları Yakalamak Temmuz 2015 This report is driven by The IIA Research Foundation™ Common Body of Knowledge® (CBOK®) Embracing Opportunities in a Dynamic Environment TELİF HAKKI UYARISI Telif Hakkı © 2015 The Institute of Internal Auditors (IIA), 247 Maitland Ave., Altamonte Springs, FL, 32701 U.S.A.’ya aittir. Tüm hakları saklıdır. Amerika Birleşik Devletleri’nde yayımlanmıştır. Bu yayının kendi amaçları haricinde, bu dokümanın okuyucuları IIA’in iznini almadan bu yayını çoğaltamaz, tekrar dağıtıma sokamaz, teşhir edemez, kiraya veremez, kiralayamaz, tekrar satamaz, ticari amaçla kullanamaz ya da burada bulunan istatistiksel ve diğer verileri uyarlayamaz. BU YAYIN HAKKINDA Bu raporda verilen bilgiler niteliği gereği genel bilgilerdir ve herhangi bir belirli gerçek kişi, iç denetim birimi veya kuruma atıfta bulunmamaktadır. Bu dokümanın amacı, bilgileri ve diğer iç denetim uygulamaları, eğilimleri ve sorunlarını paylaşmaktır. Buna rağmen, hiçbir gerçek kişi, iç denetim birimi veya kurum, bu dokümanda verilen bilgilere, gereken uygun incelemeleri yapmadan veya gereken uygun kişi ve kurumlara danışmadan dayanmamalıdır. İÇİNDEKİLER TABLOSU Giriş........................................................................................................4 Metodoloji & Demografik Bilgiler...........................................................5 Gelişen Yeni Risklere Karşılık Vermek...................................................6 Kurum Çapında Geçerli Bir Risk Görüşü Edinmek .................................9 Bütüncül Raporlama İç Denetim Fırsatlarını Artırıyor.......................... 13 Baskıyı Yönetmek................................................................................ 16 Sonuç ................................................................................................... 21 CBOK HAKKINDA Ekler...................................................................................................... 22 Global İç Denetim Ortak Bilgi Tabanı (CBOK), iç denetim mesleği hakkında dünyanın en büyük devamlı araştırmasının adıdır. Dünya çapındaki IIA enstitülerinin desteklediği CBOK, iç denetim uygulamacıları ve onların paydaşları hakkında kapsamlı araştırma ve çalışmaları kapsamaktadır. CBOK hakkında daha fazla bilgi almak için, www.theiia.org/CBOK’u ziyaret ediniz. DENETİM YÖNETİM MERKEZİ HAKKINDA IIA’in Denetim Yönetim Merkezi®, CAE’leri (İç Denetim Yöneticileri) daha başarılı olmaları için destekleyen temel kaynaktır. Merkez’in bilgi, ürün ve hizmetleri, CAE’lerin mesleğin gelişen risklerine ve özgün sorunlarına cevap verebilmelerine imkan sağlar. Merkez hakkında daha fazla bilgi almak için, www.theiia.org/cae’yi ziyaret ediniz. 3 GİRİŞ Bugün, iç denetimin rolünü ve görevini tanımlama sorunu, dinamik iş ortamı sebebiyle her zamankinden daha karmaşık bir hal almış bulunmaktadır. Yeni gelişen riskler hiç yavaşlamayacakmış gibi görünmekte; paydaşların riskler hakkında kapsamlı bir görüşe sahipolma talep ve ihtiyacı bulunmakta; yeni raporlama modelleri ortaya çıkmakta ve iç denetim yöneticileri (CAE) sık sık politik baskılarla karşı karşıya kalmaktadırlar. Bu yıla ilişkin bu meseleleri ele alabilmek için, IIA’nın Denetim Yönetim Merkezi®, The IIA Research Foundation™ (IIARF™) ile işbirliği yaparak, İç Denetimin Nabzı araştırma sorularını, 2015 Global İç Denetim Genel Bilgi Tabanı® (CBOK®) Uygulamacı Anketine dahil etmiştir. Bu sayede, rekor sayıda İç Denetim Yöneticisine ulaşarak,2015 İç Denetimin Global Nabzı raporu için bilgilerine başvurma imkanını yakalamış bulunuyoruz. Bu raporda dört ana tema ele alınmaktadır: • Kurumlar için riskler hızla ortaya çıkmaya devam etmekte ve yıllık risk değerlendirmesi artık yeterli olmamaktadır. İç Denetim Yöneticilerinin yeni ortaya çıkan ve gelişen riskleri hızla kavramaları; bu yeni bilgiye cevaben denetim planlarını sık sık revize etmeleri ve bu değişiklikleri temel paydaşlarına etkin ve verimli bir biçimde bildirmeleri gerekmektedir. • Riskler izole yapılar içerisinde görülemezler, geniş yorumlanmaları ve değerlendirilmeleri gerekir. İç denetimin de aynı geniş bakış açısına sahip olması gerekmektedir. Bu, iç denetimin, risklerin tanımlanması, değerlendirilmesi ve risklere karşı güvence sağlanması konularında diğer risk fonksiyonları ve birimleriyle yakın işbirliği içinde çalışması gerektiği anlamına gelmektedir. • Kurumlar için dış raporlama sadece finansal raporlamadan daha fazla bir anlam ifade etmektedir. Sürdürülebilirlik raporlaması ve entegre raporlama kullanımı da artmıştır. Her iki tip rapor da iç denetimin uzmanlığından ve içgörüsünden faydalanmalıdır. İç Denetim Yöneticileri, bu fırsattan istifade ederek kendi kurumlarına daha fazla değer katabilirler. • Politik baskılar başarı ile yönetilebilir. Bunu yapabilmek için, İç Denetim Yöneticilerinin raporlama hatlarını en uygun hale getirmeleri; iç denetim faaliyetlerini yürütürken yaptıkları seçimlerin objektiflikleri üzerindeki etkisini değerlendirmeleri; gereksinim duydukları bilgilerin tümüne erişime sahip olmak konusunda ısrar etmeleri ve yaptıkları işin zorluklara karşı koyabilecek düzeyde yüksek kaliteli olmasını sağlamaları gerekmektedir. İç Denetimin Global Nabzı raporuyla, sizlerin kurumlarınızı ve bu mesleği ilerletme çabalarına destek olmayı ümit ediyoruz. Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA Başkan ve CEO The Institute of Internal Auditors 4 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment METODOLOJİ VE DEMOGRAFİK BİLGİLER IIARF ile işbirliği içerisinde, IIA’nın Denetim Yönetim Merkezi, İç Denetimin Nabzı araştırma sorularını, 2015 Global İç Denetim Genel Bilgi Tabanı (CBOK) Uygulamacı Anketine dahil etti. Bu da, 166 ülkeden 14.500’den fazla kullanılabilir yanıtın CBOK raporlarına dahil edilmesiyle sonuçlandı. Tüm yanıtlar anonimdi. Anket çalışması, 2 Şubat 2015 ile 1 Nisan 2015 tarihleri arasında devam etti. Çevrimiçi anket linki, enstitü e-posta listeleri, IIA web siteleri, haber bültenleri ve sosyal medya aracılığıyla dağıtıldı. Kısmen doldurulmuş anket formları da, demografik soruların tam yanıtlanmış olması şartıyla kullanılabilir kabul edildiler. 2015 İç Denetimin Global Nabzı raporu için, 3.344 İç Denetim Yöneticisi veya eşdeğerinden ve 1.630 direktör veya kıdemli yöneticiden alınan anket yanıtları analiz edildi. Bu raporda, bu iki gruptan, İç Denetim Yöneticileri ve direktörler olarak söz edilmektedir. Açıkça aksi belirtilmedikçe, bu raporda verilen veri ve bilgiler, İç Denetim Yöneticisi ve direktör yanıtlarının analizinden elde edilen veri ve bilgilerdir. Bazı durumlarda, sadece İç Denetim Yöneticisi katılımcıların yanıtları analiz edilmiştir. Lütfen, bu raporda yer verilen verilerin Ankete katılanların yanıtları arasındaki ortalamaları temsil ettiğini ve belirli bir bölgedeki iç denetçi popülasyonunun tamamına genellenemeyeceğini dikkate alınız. İç Denetim Yöneticileri ve direktörler, bu Ankete, yer, tip, boyut ve sektör açısından çok büyük değişkenlik ve farklılık gösteren kurumlardan katıldılar. Bu katılımcıların en büyük grubu (yüzde 28) esas olarak Avrupa ve Orta Asya’da çalışıyorlardı – bu grubu her biri yüzde 20 ile Doğu Asya & Pasifik bölgesi ve Kuzey Amerika bölgesi takip ediyordu. Ek olarak, Latin Amerika & Karayipler’den katılanlar yüzde 14’ü, Orta Doğu ve Kuzey Afrika’dan katılanlar yüzde 8’i, Sahra Altı Afrika’dan katılanlar yüzde 6’yı ve Güney Asya’dan katılanlar yüzde 3’ü temsil ediyorlardı. İç denetim yöneticileri ve direktörlerin ülke ve bölge bazındaki detaylı dağılımları için ekler bölümüne bakınız. Ankete katılan İç Denetim Yöneticileri ve direktörler, farklı türlerde kurumlardan geliyorlardı: yüzde 35’i kurumlarını özel şirket olarak; yüzde 33’ü halka açık şirket olarak ve yüzde 23’ü kamu sektörü olarak tanımladılar. Çok sayıda İç Denetim Yöneticisi ve direktör (yüzde 34) kurumlarının yıllık gelirinin 1 milyar ABD$ veya daha fazla olduğunu belirtirken, çoğu katılımcı da yıllık toplam geliri çok daha düşük rakamlarda olduğunu ifade ettiler. Yüzde 34’ü ise yıllık geliri 100 milyon ABD$ veya daha az olarak beyan etti. Benzer şekilde, denetim personeli sayısı da İç Denetim Yöneticileri ve direktörler arasında çok büyük farklılıklar arz etmekteydi. Çoğunluğu (yüzde 61) bir ile dokuz arasında personel olduğunu belirtirken, yüzde 12’lik önemli bir kesim 50 veya daha fazla personel bulunduğunu ifade etti. 20 olası yanıt arasından seçim yapıldığında, İç Denetim Yöneticileri ve direktörlerin yüzde 29’u sektörlerini finans ve sigortacılık olarak tanımladı. Daha yüksek sayılarda temsil edilen diğer sektörler arasında imalattan (yüzde 13) ve kamu yönetiminden (yüzde 8) söz edebiliriz. 5 GELİŞEN YENİ RİSKLERE KARŞILIK VERMEK Dünyanın bilgiye hızlı ve çabuk erişim olanağına sahip olduğu bir çağda, on yıllarca uğraşılarak biriktirilmiş değeri bir anda tahrip edebilecek riskler bir gecede ve herhangi bir ön uyarı yapmadan ortaya çıkabilmektedirler. Jeopolitik, makroekonomik ve siberbağlantılı sürprizler neredeyse rutin hale gelmiştir. Yeni global tehditlere veya siber saldırılara atıf yapmadığımız neredeyse tek bir gün geçmemektedir. İster politik kargaşa ve huzursuzluk, ister deprem, isterse gelişmekte olan bir salgın hastalık söz konusu olsun, hepsinin iş dünyası üzerinde önemli etkileri olur. Bu yeni ortaya çıkan ve gelişen risklerin değişkenliği, iç denetim fonksiyonları ve birimleri üzerine müthiş bir baskı yaratmaktadır. İç denetim fonksiyonları ve birimleri, globalleşmeyle ve karşılıklı bağımlılıkla ilgili risklerin tanımlanması ve yönetilmesinden birbiri ile bağlantılı global iletişim kanallarının yaygınlaşmasına kadar değişen çok çeşitli ve farklı sorunlarla mücadele etmek zorunda kalmaktadırlar. IIA’nın İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartları (“Standartlar”), iç denetçilerin bir risk-bazlı planlarının bulunmasını gerektirmektedir. Dolayısıyla, bir kurumun hedef ve amaçlarına ulaşmasını engelleyen faktörlerden en fazla etkilenme olasılığı bulunan alanları – en yüksek risk alanları – üzerine odaklanmamız gerekir. Geleneksel ve rutin riskler kolaylıkla tanımlanır, iyi tanınmaktadırlar ve kolay değerlendirilirler. Yeni gelişen riskler, özellikle de geçen aya veya bu yıla kadar hiç tanımadığımız riskler, hem tanımlanması hem de değerlendirmesi en zor olan risklerdir. Fakat tam da bu sebeple, bu riskler çok kritik önemi haiz olabilirler ve iç denetimin mutlaka bunlar üzerine odaklanması gerekir. Gelişen Yeni Risklerle İlgili Bulgular DENETİM PLANLAMASI: Ankete katılan İç Denetim Yöneticileri, özellikle, stratejik iş riski (yüzde 48), Bilgi Teknolojileri (yüzde 42) ve kurumsal yönetim (yüzde 32) – yeni gelişen risklere özellikle açık ve duyarlı olan alanlar – üzerine odaklandıklarını beyan ettiler. Aynı zamanda, İç Denetim Yöneticileri, risk değerlendirmelerini gerekenden daha az sıklıkta olabilecek zaman aralıklarıyla güncellediklerini de rapor ettiler. Sadece yüzde 23’ü kesintisiz risk değerlendirmesi yaptıklarını ifade etti (Ek 1’e bakınız). İç Denetim Yöneticilerinin çoğunluğunun denetim planlarını yılda en fazla bir veya iki kere güncellediklerini rapor etmelerinin sebebi de bu olabilir (Ek 2’ye bakınız). Risklerin değişim hızı yüksek olmasına rağmen, İç Denetim Yöneticilerinin sadece yüzde 16’sı denetim planı süreçlerinin yeni gelişen risklere cevap verebilecek kadar esnek olduğunu ifade ettiler. Bu veriler, İç Denetim Yöneticilerinin yüzde 77’sinin riskleri zamanında tanımlayamayabileceğini ve yüzde 84’ünün kurumsal kaynak planlama sistemi güncellemesinin başarısızlığa uğraması, yakın bir rakip şirkette büyük bir siber saldırı ya da kurumun faaliyet gösterdiği bir ülkede hükümetin bir darbeyle devrilmesi gibi bir krizle karşılaştığında bu krize güncellenmiş bir denetim planıyla karşılık vermekte gecikeceğini göstermektedir. İç Denetim Yöneticisi, bu tip sorunların kurum üzerinde bir etkisinin olmayacağını düşünüyor olabilir, fakat büyük risk olaylarının tarihçesi, kurumların bu tip riskleri aşma kabiliyetlerine olan aşırı güvenlerinden dolayı bu risklere hızlı ve çabuk cevap verme konusunda genellikle hazırlıksız olduklarını göstermektedir. 6 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment Ek 1: Risk Değerlendirmelerinin Sıklığı Sahra-Altı Afrika 39% 31% 21% Güney Asya 30% 30% 33% Latin Amerika ve Karayipler 29% 32% 31% Doğu Asya & Pasifik 23% 34% Avrupa ve Orta Asya 22% 36% Orta Doğu & Kuzey Afrika 18% Kuzey Amerika Global Ortalama 0% Sürekli değerlendirme 17% 7% 34% 11% 37% 36% 20% 8% 34% 44% 23% 6% 26% 36% 14% 9% 32% 40% Periyodik resmi güncellemelerle yıllık değerlendirme 4% 60% 9% 80% 100% Resmi güncelleme olmaksızın yıllık değerlendirme Hiç Not: Soru 42: İç denetim birimi ne sıklıkta bir risk değerlendirmesi yapar? Sadece İç Denetim Yöneticileri, n = 2.941. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir. Ek 2: Denetim Planı Güncelleme Sıklığı Sahra-Altı Afrika 25% Güney Asya 24% Latin Amerika ve Karayipler 20% 18% 22% Orta Doğu & Kuzey Afrika 18% Kuzey Amerika 18% Doğu Asya & Pasifik 11% Avrupa & Orta Asya 11% Global Ortalama 10% 19% 46% 22% 29% 41% 13% 43% 18% 12% 33% 49% 18% Çok esnek plan, kurumun değişen risk profiline uydu Her yıl bir kere geliştirildi ve bir veya iki kere güncellendi 13% 46% 13% 20% 19% 45% 13% 16% 0% 36% 30% 22% 44% 40% 50% 60% 21% 70% 80% 90% 100% Yılda bir kez geliştirildi ve riskler değiştikçe üç veya dört kez güncellendi Her yıl bir kere geliştirildi ve değiştirilmedi Not: Soru 38: Kurumunuzda denetim planı geliştirme sıklığını nasıl tanımlayabilirsiniz? Sadece İç Denetim Yöneticileri, n = 3.014. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir. 7 İç denetimin yeni gelişen risklere en açık ve duyarlı olan alanlara olan ilgisinin artması bu konuda bir ilerleme kaydedilmesine imkan vermektedir, fakat bu ilerleme hızı yavaştır. İç denetimin kendi geleneksel dahili süreçlerinin hızıyla değil riskin gelişme hızıyla denetim yapması gerekir. İleriye Bakmak Yeni ortaya çıkan ve gelişen risklerin tehdidi, kapsamı ve önemi dikkate alındığında, iç denetim birimlerinin ve onların çalıştığı kurumların riskleri kesintisiz ve sürekli değerlendirme ve bu riske hızla cevap verme kabiliyetlerine sahip olmaları şarttır. Riskin gelişme hızıyla denetim yapmak, İç Denetim Yöneticilerinin, kendi ekipleri içinde, denetim kapsama alanlarını büyük riskleri ele alacak ve zarar verici sürprizlerden kaçınacak şekilde ve kesintisiz olarak düzenleme veya yeniden düzenleme kabiliyetlerini geliştirmeleri gerektiği anlamına gelir. Özellikle global şirketlerin denetim planlarını kendi kurumları içinde, sektörlerinde ve dünyada olup bitenler bazında sürekli olarak yeniden kalibre etmeleri gerekir. İç Denetim Yöneticileri İçin Olmazsa Olmaz Şartlar Yeni ortaya çıkan ve gelişen riskleri ele alma gerekliliği açıktır. Riskler eşi benzeri olmayan bir hızda gelişmekte ve ortaya çıkmaktadırlar ve paydaşların sürprizlere olan tahammülünün yüksek olmadığı açıktır. Aşağıda önerilen eylemler, Imperatives for Change: The IIA’s Global Internal Audit Survey in Action’dan (Değişim İçin Şartlar: IIA’nın Global İç Denetim Anketi Çalışması) 1alınmıştır: • Yeni gelişen riskleri tanımlamak ve rapor etmek amacıyla iç denetim içerisinde süreçler GELİŞTİRMEK: ■ Yeni gelişen risklerin tanımlanması ve değerlendirilmesini iç denetimin kilit önemde bir yetkinliği haline getirmek. ■ Yeni gelişen sorunlar hakkında bilgi ve görüşleri paylaşmak amacıyla kurumun birim ve işletmeleriyle eşgüdüm içerisinde olmak. ■ Yeni gelişen dış sorunların tanımlanmasına yardımcı olmak amacıyla dış kaynaklı veri,bilgi ve iş konularını kullanmak. • İç denetim planının revize edilmesine yönelik mevcut süreci DEĞERLENDİRMEK ve kurumun karşı karşıya olduğu riskler değiştikçe daha hızlı hareket etmek ve denetim planında daha sık değişiklikler yapmak amacını güden bir yaklaşım geliştirmek. • Değişen riskler ve denetim planının zamanında revize edilmesi gereği hakkında kilit paydaşlarla (üst yönetim ve yönetim kurulu) İLETİŞİM İÇİNDE OLMAK. ■ İç denetimin “yıllık planı tamamlaması” gereği ile iç denetimin gelişen ve değişen risklere cevap vermesi gereği arasında uygun bir dengenin kurulması için mutabakat aramak. • Değişen riskler konusunda kilit paydaşlara RAPOR SUNMAK ve bu değişiklikleri doğrudan doğruya denetim planı değişikliklerine bağlamak. Richard J. Anderson ve J. Christopher Svare, “Imperatives for Change: The IIA’s Global Internal Audit Survey in Action” (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2011). 1 8 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment KURUM ÇAPINDA GEÇERLİ BİR RİSK GÖRÜŞÜ EDİNMEK Sorun riskin azaltılması ve hafifletilmesi noktasına gelince, yönetim kurulunun temel ve asli hedeflerinden biri de, kurumun karşı karşıya olduğu geniş risk çeşitliliği konusunda kurum çapında bir görüş edinmektir. İç denetim birimleri risk yönetimi ve yönetişimine bakışlarıyla yönetim kurullarına yardımcı olmak için iyi bir konumda olmalarına rağmen, bu, hem kurumun niteliği, büyüklüğü ve tipine göre hem de kurumun faaliyet gösterdiği pazarlara göre değişecektir. Örneğin, daha küçük kurumlarda, iç denetçiler, yönetim kurullarına, kurumsal risklerin kapsamlı bir resmini çıkartabilmek için gereken bağımsız, objektif ve bilgiye dayanan içgörülerini sunabilirler. Öte yandan, büyük bir kurumda, gözetim sorumlulukları ve görevleri konusunda yönetim kuruluna düzenli olarak yardımcı ve destek olmakla görevli bir kurumsal risk yöneticisi (Chief Risk Officer – CRO) bulunabilir. Bu durumlarda, iç denetimin rolü, muhtemelen, yönetimin risk tanımlama faaliyetlerine destek olmayı kapsayan yardımcı ve bağlı bir rol olacaktır. Sermaye piyasaları mevzuatından kaynaklanan düzenleyici faaliyetler de yönetim kurulunun gözetim sorumluluklarını yönlendirir ve bir şirketin risk yönetim faaliyetlerinin bağıl olgunluğuna katkıda bulunur. Örneğin, hisseleri Londra Menkul Kıymetler Borsası’nda işlem gören şirketleri düzenleyen Birleşik Krallık Kurumsal Yönetim Kanunu’na2 (B.K. Kanunu) göre, yönetim kurulu, “stratejik hedeflerine yönelik çalışmalarında üstlenmeyi kabul ettiği temel risklerin niteliğini ve kapsamını belirleme” ve “sağlam risk yönetim ve iç kontrol sistemleri” kurma ve sürdürme sorumluluğunu üstlenir. B.K. Kanunu, yönetim kuruluna, kurumsal raporlama, risk yönetimi ve iç kontrol prensiplerinin uygulanması etrafındaki düzenlemeleri belirleme ve yapma sorumluluğunu da yükler. İç denetim biriminin risk gözetim sorumlulukları konusunda yönetim kuruluna yardımcı ve destek olmak için kullandığı teknikler, basit çalışma kağıtlarından karmaşık sistemlere kadar değişmektedir. Bu tekniklerin amacı, bir kurumsal risk yönetimi (ERM) ve bütünleşik güvence bakışı sağlamaktır. Kurum Çapinda Risk Görüşü İle İlgili Bulgular ERM’nin (kurumsal risk yönetimi) kurum çapında risk profili çıkartmak için kullanılan ortak bir yöntem olduğunu dikkate alarak, Anket, ERM içinde güncel iç denetim sorumluluklarının tam ve doğru bir resmini çıkartmayı amaçlamıştır. Ankette rapor edildiği gibi, İç Denetim Yöneticisi ve direktör katılımcıların yüzde 47’si münferit riskler üzerinde güvence sağlarken, yüzde 46’sı bir bütün olarak risk yönetimi üzerinde güvence sağlamakta, yüzde 56’sı ise risk yönetim faaliyetleri konusunda tavsiye ve danışmanlık sunmaktadır. Kendi kurumlarının risk yönetim süreçlerinin göreceli olgunluğunu tanımlamaları istendiğinde, bu katılımcıların yüzde 37’si risk yönetim süreçlerini gayri resmi veya daha yeni gelişen bir süreç olarak tanımlamışlardır; yüzde 29’u resmi risk yönetim süreçleri ve prosedürlerinin bulunduğunu bildirmiştir; yüzde 24’ü ise kurumlarının bir kurumsal risk yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM sürecinin bulunduğunu söylemiştir (Ek 3’e bakınız). 2 Birleşik Krallık Kurumsal Yönetim Kanunu (Londra: Finansal Raporlama Konseyi, 2014), 17. 9 Ek 3: Risk Yönetim Süreçlerinin Olgunluğu Avrupa & Orta Asya 34% Kuzey Amerika 33% 27% Sahra-Altı Afrika 25% 21% Doğu Asya & Pasifik 17% Latin Amerika & Karayipler 17% Güney Asya 12% Global Ortalama 25% 14% 40% 37% 17% 45% 4% 45% 29% 20% 10% 38% 23% 0% 4% 36% 31% 24% 40% 20% 37% 60% Bir kurumsal risk yöneticisi (CRO) veya eşdeğeriyle bir resmi ERM süreci Resmi risk yönetim süreçleri ve prosedürleri Risk yönetim süreçleri gayri resmi veya daha yeni gelişiyor Risk yönetim süreçleri hiç yok 10% 80% Not: Soru 58: Kurumunuzun risk yönetim süreçlerinin gelişmişlik seviyesi nedir? Sadece İç Denetim Yöneticileri, n = 2.675. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir . İÇ DENETİM VE ERM. Anket katılımcıları, kendi kurumlarında iç denetim ile ERM arasında mevcut olan ilişki hakkında da bilgi verdiler. İç Denetim Yöneticisi ve direktör katılımcıların yüzde onikisi, iç denetim ve ERM’nin ayrı birimler olduklarını ve aralarında herhangi bir etkileşimin bulunmadığını bildirdi. Yüzde 66’sı, ayrı birimler olmalarına rağmen, iç denetim ve ERM arasında daha fazla işbirliği bulunduğunu ve iki personel grubunun eşgüdüm içinde olduklarını ve bilgileri paylaştıklarını ifade etti. Avrupa ve Orta Asya bölgesinde katılımcıların belirgin şekilde daha yüksek bir yüzdesi (yüzde 72), bu işbirliği düzenlemesinin kendi kurumlarında bu iki birim arasındaki ilişkiyi tanımladığını belirttiler. Öte yandan, İç Denetim Yöneticisi ve direktör katılımcıların yüzde 15’i iç denetim biriminin kurumun ERM fonksiyonundan da sorumlu olduğunu, ayrı bir yüzde 7 de, iç denetim biriminin şu anda ERM’den sorumlu olduğunu fakat kurumun ERM sorumluluğunu başka bir alana devretmeyi planladığını ifade etti. İç denetim biriminin halen ERM’den de sorumlu olduğu yüzde 22’ye göre ise dikkat gerektiren temel hususlar bağımsızlık ve objektiflik olarak belirtilmiştir. İç denetim birimi, sorumlu olduğu süreçleri denetleyemez. 10 THE INSTITUTE OF INTERNAL AUDITORS 7% 44% 32% 14% Orta Doğu & Kuzey Afrika 27% 100% Embracing Opportunities in a Dynamic Environment Ek 4: Bütünleşik Güvence Uygulama Planı Sahra-Altı Afrika 75% Latin Amerika & Karayipler 15% 61% Güney Asya 21% 56% Orta Doğu & Kuzey Afrika 23% 35% Global Ortalama 26% 31% 38% 49% 0% 23% 25% 46% Kuzey Amerika 26% 25% 49% Doğu Asya & Pasifik 18% 19% 53% Avrupa & Orta Asya 20% Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor 10% 28% 26% 40% 49% 60% 25% 26% 80% 100% 25% Hayır ve bütünleşik güvence uygulama planları yok Bütünleşik güvence modeline aşina değil Not: Soru 61: Kurumunuz resmi bir bütünleşik güvence modeli uygulamakta mıdır? Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor edildi. “Evet ya da gelecekte bütünleşik güvence uygulamayı planlıyor” yanıtı, “evet, şu anda uyguluyor”, “evet, fakat henüz yönetim kurulu veya denetim komitesi tarafından onaylanmadı” ve “hayır, fakat gelecek 2 ilâ 3 yıl içinde uygulamayı planlıyor” yanıtlarını içeriyordu, n = 3.795. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir İÇ DENETİM VE BÜTÜNLEŞİK GÜVENCE. Anket, katılımcıların, King III3 tarafından belirtildiği şekli ile, “şirketi etkileyen risk alanlarında yönetimden, iç güvence sağlayıcılardan ve dış güvence sağlayıcılardan elde edilen güvence kapsamını optimize etmeyi hedefleyen” bütünleşik güvence alanındaki faaliyetlerini de ölçümledi. Somut olarak, İç Denetim Yöneticileri ve Direktörlere, kurumlarının bir resmi bütünleşik güvence modeli uygulayıp uygulamadığı soruldu: yüzde 49’u bunu gelecekte gerçekleştirmek için bir model veya plan uyguladıklarını rapor ettiler; yüzde 26’sı böyle bir model uygulamak gibi bir planlarının bulunmadığını; başka bir yüzde 25 ise, böyle bir modele hiç aşina olmadıklarını beyan etti (Ek 4’e bakınız). Dikkate değer şekilde, İç Denetim Yöneticileri ve Direktörlerin yüzde 57’si, iç denetim birimlerinin yazılı bütünleşik-güvence değerlendirmesi yayımladığını da ifade etti. İç denetimin sağladığı bütünleşik güvencenin bir takım faydalar sağladığı açık olmasına karşın, Banco Santander’de iç denetimden sorumlu genel başkan yardımcısı ve IIA global direktörü olarak görev yapan Ernesto Martinez Gomez şunu ifade etmektedir: “Bu, bir iç denetim biriminin bağımsızlığını tehlikeye atabilir ve onun gerçek bir global güvence sağlayıcı olarak konumunu olumsuz etkileyebilir. Yönetimin sağladığı güvence, bağımsızlık ve tarafsızlık düzeyleri yönetim ile aynı olmayan iç ve dış denetçilerin sağladığı güvenceye eşit değildir. 3 King Code of Governance Principles (Yönetim Prensipleri Kral Kodu) (Parklands, Güney Afrika: Institute of Directors in Southern Africa, 2009). 11 İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar İç denetimin kuruma hizmet edebileceği asli yollar; birimler ve bölümler arası işbirliğini artırmak ve risk konusunda yakın ve bitişik birimlerle eşgüdümlü bir odak noktasını geliştirmektir. Risk yönetimi alanındaki fırsatları optimize etmek için: • Risk yönetimi konusunda etkili bir kurum çapında yaklaşıma sahip olabilmek için yakın ve ilişkili birimlerle İŞBİRLİĞİ YAPILMALIDIR. Pratikte, iç denetim birimi, iç kontroller yoluyla hafifletilen ve azaltılan riskler üzerinde odaklanabilirken, diğer birimler perspektiflerini genişletebilmek için bu risklerin ötesine bakabilirler. Risklerin tanımlanması, yönetilmesi ve rapor edilmesiyle uğraşan tüm birim ve bölümlerin bir araya getirilmesi, bir bütün olarak kurum için daha kapsamlı bir risk yönetim resminin çıkartılmasıyla sonuçlanır. • İç denetim biriminin ve ona yakın ve ilişkili birimlerin risk yönetimi ve yönetişim faaliyetleri üzerindeki yönetim kurulu gözetimine en iyi nasıl destek olabilecekleri TESPİT EDİLMELİDİR. Risk yönetim operasyonlarının olgunluğunu ve iç denetim biriminin ve riskle bağlantılı birimlerin ERM’nin yönetilmesini koordine etme kabiliyetlerini dikkate alınmalıdır. • DEĞERLENDİRME ÇABALARININ BİRBİRİNE BAĞLANMASI. Bir iç denetim birimi için nihai hedef, Üç Sıralı Savunma Modelinde4 savunmanın birinci ve ikinci hatlarının faaliyetleri de dahil risk yönetimi konusunda bağımsız ve objektif değerlendirme sağlamaktır. Bir kurumun ikinci savunma hattında risk değerlendirmeleri yapan ve bir tür güvence sağlayan – iç denetime ek olarak IT (Bilgi Teknolojileri) ve risk yönetimi gibi – bir dizi ayrı birim ve bölümü varsa, o kurum, yönetim kurulu için tüm faaliyetleri içerecek kapsamda bir bakış geliştirmelidir. • Tüm önemli risklerin yönetim kurulu için usulünce tanımlanmasını ve değerlendirilmesini sağlamak için risk değerlendirme sürecinin SORGULANMASI. Riski tanımlamak ve ölçmek için kullanılan yöntemlerin değerlendirilmesi. • YARATICI OLMAK. Tüm kurumlarda işe yarayan tek bir ERM yönetim modeli yoktur. Kurum için en iyisinin hangisi olduğunu belirlemek amacıyla farklı ERM yaklaşımlarını tanımlamak, araştırmak ve değerlendirmek gereklidir. 4 IIA Görüş Açıklaması: The Three Lines of Defense in Effective Risk Management and Control (Etkin Risk Yönetimi ve Kontrolünde Üç Savunma Sırası) (Altamonte Springs, FL: The Institute of Internal Auditors, 2013). 12 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment BÜTÜNCÜL RAPORLAMA, İÇ DENETİM FIRSATLARINI ARTIRIYOR Bankacılık krizi ve diğer krizler, paydaşların stratejik kararları ve bir kurumun gerçek değerini sorgulamalarına sebep olmuştur. Bir kurumun değeri, finansal analiz ve raporlamanın ötesine geçer ve kaynak tahsisi ve karar almaya kadar uzanır. Kurumların değer yaratma konusunda kapsamlı ve bütüncül bir bakış sunma kabiliyeti daha da önemli hale gelmiştir. Tarihsel olarak, bazı şirketler finansal raporlar, sürdürülebilirlik raporları ve başka iç veya dış raporlar yayımlarlar. Güncel eğilim, bir kurumun değeri hakkında bütüncül bir öykü yaratabilmek için birkaç raporun sonuçlarını birleştiren bir raporlamaya doğrudur. Bu yöntem, bir kurumun altı örgütsel sermaye unsuru üzerinde odaklanarak kısa, orta ve uzun vadelerde nasıl değer yaratmayı planladığını tanımlayan ve açıklayan basit ve özlü bir dokümandan ibaret olan entegre raporlama olarak anılmaktadır.5 Oldukça yeni bir kavram olmasına rağmen, entegre raporlama kullanımının gelecekte önemli oranda artması beklenmektedir. Aynı zamanda, pazarlama stratejilerini ve karar alma sürecini iyileştirmek için yıllardır kullanılmakta olan sürdürülebilirlik raporlamasının kullanımı da artmaktadır. Her iki tip rapor için de, iç denetimin uzmanlığı ve içgörüsüne kuvvetli bir gereksinim vardır. Bütüncül Raporlamayla İlgili Bulgular ENTEGRE RAPORLAMA. Anketin İç Denetim Yöneticisi ve direktör katılımcılarına kurumlarının 2013 yılı sonlarında çıkartılmış bulunan Uluslararası Entegre Raporlama <IR> Çerçevesine dayanan bir yıllık entegre rapor çıkartmayı planlayıp planlamadığı sorulmuştur. Bu soru üzerine, İç Denetim Yöneticileri ve direktörlerin yüzde 30’u, bu yıl ya da öngörülebilir gelecekte bir entegre rapor çıkartmayı planladıklarını söylemişlerdir – Sahra Altı Afrika’dan6 katılanların yüzde 63’ü bu çerçeveyi benimsediklerini ifade etmişlerdir (Ek 5’e bakınız). SÜRDÜRÜLEBİLİRLİK RAPORLAMASI. Öte yandan, Anketin İç Denetim Yöneticisi ve direktör katılımcılarının yaklaşık yarısı (yüzde 48’i), kurumlarının bu yıl veya gelecekte bir sürdürülebilirlik raporu çıkartmayı planladığını belirtmişlerdir (Ek 5’e bakınız). Bu yanıtlara göre, sürdürülebilirlik raporu hazırlamayı planlayanların oranının sadece %28 olduğu Kuzey Amerika ise hemen geriden gelmektedir. 5 Uluslararası <IR> Çerçevesi, (Londra: The International Integrated Reporting Council, 2013). Sahra Altı Afrika’dan katılan iç denetim yöneticilerinin ve direktörlerinin %33’ü Güney Afrika dışında yerleşik olduklarını belirtmişlerdir. Johannesburg Borsası, 2010 yılında, entegre raporlamanın kullanımını teşvik eden King III ilkelerini benimsemiş bulunmaktadır. 6 13 Ek 5: Entegre Rapor ve Sürdürülebilirlik Raporlaması Kıyaslaması 63% 63% 59% 54% 54% 47% 48% 45% 31% 30% 52% 33% 28% 30% 28% 14% Doğu Asya & & Pasifik Avrupa & Orta Asya Latin Amerika Orta Doğu & Karayipler & Kuzey Afrika Kuzey Amerika Sürdürülebilirlik Raporu’nu şimdi ya da gelecekte yayınlamayı planlıyor Güney Asya Sahara-Altı Afrika Global Ortalama Entegre Raporu’nu şimdi ya da gelecekte çıkarmayı planlıyor Not: Soru 69: Kurumunuz Uluslararası Entegre raporlama (<IR>) Çerçevesi temelinde bir yıllık entegre rapor çıkartmayı planlıyor mu? Soru 70: Kurumunuz sürdürülebilirlik hakkında bir rapor çıkartmayı planlıyor mu? “Evet, bu yıl”; “Evet, gelecek 2 veya 3 yıl içerisind e bir zamanda” ve “Evet, gelecekte belirlenmemiş bir noktada” yanıtlarını içermektedir. Sadece İç Denetim Yöneticileri ve direktörlerin yanıtları rapor edildi, n = 3.746; 3.346 İç Denetim Birimi, Entegre Raporlama Ve Sürdürülebilirlik Raporlamasini Desteklemek İçin İyi Bir Konumdadir İç denetim birimi, entegre raporlama uygulamasını desteklemek için özgün bir niteliğe ve konuma sahiptir. Avrupa iç denetçiler enstitülerinin yayımladığı son raporlardan birinde belirtildiği gibi, İç Denetim Yöneticileri, bir kurumun entegre raporlama sürecinde merkezi öneme sahip olan kilit oyuncularla rutin olarak etkileşim içine girmektedirler.7 Uygun örgütsel bağımsızlıkla ve sağlam bir iş anlayışıyla, iç denetim birimi, entegre raporlamanın kredibilitesini artırmak için gereken güvenceyi sağlayabilir ve örgüt birimleri arasındaki iletişimin tutarlılığının güçlendirilmesine yardımcı olabilir. Sürdürülebilirlik raporlaması için de hemen hemen aynısı söylenebilir. Tarihsel olarak sürdürülebilirlik raporlamasında yer almamış bulunmasına rağmen, iç denetim, iş süreçleri üzerindeki etkisini bildirerek değer katabilir. Global Raporlama İnisiyatifi Teknik Danışma Komitesi Başkanı ve Deloitte’un eski ortağı olan Eric Hespenheide, “Sürdürülebilirliğin etkilerini anlamadan ve iş süreçlerinin sürdürülebilirlik verilerini nasıl kapsadıklarını tam kavramadan hiç kimse anlamlı bir entegre raporlama yapamaz,” demektedir. 7 “Enhancing Integrated Reporting - Internal Audit Value Proposition” (Entegre Raporlamayı Geliştirmek – İç Denetim Değer Önermesi) (IIA-Fransa, IIA-Hollanda, IIANorveç, IIA-İspanya, IIA-İngiltere ve İrlanda, 2015). 14 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment Bu raporlara duyulan ilginin artması, İç Denetim Yöneticileri için, kendi kurumları ile daha fazla iç içe olma, sürdürülebilirlik risklerinin etkisi hakkında içgörü sunma ve sürdürülebilirlik verilerinin güvenilirliği hakkında güvence sağlama fırsatlarını sunar. Ayrıca, entegre raporlama ve sürdürülebilirlik raporlamasının popülaritesi, iç denetime, lider bir teknoloji üretim şirketinin misyon açıklamasında belirtildiği gibi, “daha iyi bir karar alma süreci yaratma” fırsatını da sunmaktadır. İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar Entegre raporlama ve sürdürülebilirlik raporlaması gereksinimleri tüm dünyada arttıkça, İç Denetim Yöneticilerinin aşağıda yer verilen tedbirler ile liderlik göstermesi mümkündür: • Sürdürülebilirliğin iş üzerindeki etkisini anlamak için paydaşlarla bağlantı kurarak ve kurumun kültürünü değerlendirerek entegre raporlama ve sürdürülebilirlik raporlaması konusunda sağlam bir anlayış temeli GELİŞTİRMEK. • Finansal olmayan ilgili veriler, bu verilerin kullanım süreçleri ve prosedürleri ve iç denetim için gelişme amacına yönelik danışmanlık hizmetleri verme fırsatlarını TANIMLAMAK. • İç denetimin mevcut veri ve yönetim sistemlerinin kalitesi hakkında güvence sağlayabileceği alanları – örneğin, tedarik zinciri denetimleri – tespit etmek için kilit paydaşlarla İŞBİRLİĞİ YAPMAK. • Entegre raporlama ve sürdürülebilirlik raporlamasını destekleyen süreç ve sistemlere yönelik güvence ve danışmanlık hizmetleri için kapsamlı bir denetim stratejisi YARATMAK – Paydaşlar ile uyumun sağlanmasına yardımcı olmak için bir geri bildirim mekanizmasını da sürece dahil etmek. 15 BASKIYI YÖNETMEK İç Denetim Yöneticilerinin başarılı olabilmesi için, kurumlarının karşı karşıya olduğu çok çeşitli ve hassas sorunlarla baş edebilmelerini mümkün kılacak düzeyde, politik baskılarla etkili bir biçimde mücadele etme cesaretlerinin bulunması gerekir. IIA Araştırma Vakfı’nın yeni bir raporunda8 da belirtildiği gibi, bazı İç Denetim Yöneticileri, politik mayın tarlalarından başarılı bir şekilde geçebilmek için gerekli cesaret ve diplomasiyi sergileyebilmektedirler. Haber bültenleri ise bu çabalarında başarısız olmuş başka iç denetim liderlerine işaret etmektedir. Bu alanda başarıya katkıda bulunan pek çok faktör mevcut olup bunlar, raporlama hatları, kişisel ve kurumsal hedefler, yönetim kurulunun desteği ve Standartlara uyum olarak ifade edilebilir. Ankete verilen yanıtlar, İç Denetim Yöneticilerinin politik baskıyla etkin bir şekilde baş edebilmek için dikkat etmeleri gereken belirli alanlara işaret etmektedir. İç Denetim Yöneticisi Üzerindeki Baskıyla İlgili Bulgular RAPORLAMA HATLARI. Bir iç denetim biriminin kendi ana organizasyonu içerisindeki konumunun birimin misyonunu etkin bir şekilde yürütme ve yönetme kabiliyetiyle çok yakın bir bağlantısı vardır. İç Denetim Yöneticisi veya eşdeğerinin kurum içindeki asli fonksiyonel raporlama hattı (hiyerarşik bağları) sorulduğunda, İç Denetim Yöneticisi katılımcıların yüzde 72’si denetim komitesine (veya eşdeğerine) veya yönetim kuruluna bağlı olduklarını belirtmişlerdir (Ek 6’ya bakınız). Bu tip bir raporlama yapısı idealdir, çünkü bir İç Denetim Yöneticisinin denetim süreci üzerinde uygunsuz bir baskı kaynağı olma ihtimali bulunmayan kilit paydaşların görüş, tavsiye ve desteklerini almasına olanak sağlar. Ancak bununla birlikte, Anket katılımcılarının yüzde 19’u fonksiyonel olarak CEO’ya, başkana ya da bir kamu kurumu başkanına bağlı olduklarını belirtmişlerdir. Katılımcıların yüzde 4’ü ise CFO’ya (Finanstan Sorumlu Başkan Yardımcısı) bağlı olduklarını ifade etmişlerdir. Başarılı bir denetim yapabilmek için, İç Denetim Yöneticilerinin denetlemeleri gereken kişilerin kontrolünden bağımsız olmaları gerekir. Bu açıdan, kontrolden bağımsız olmayı sağlamak için raporlama hatları kritik öneme sahiptir, fakat bunlar kendi başlarına yetersizdirler. İç Denetim Yöneticilerinin bir gözetim grubuna bağlı olan yüzde 72’si için, raporlamanın sağlam, açık, işbirliğine yatkın ve dürüst olması gerekir – tüm bu faktörler denetim konusunda cesaretli bir yaklaşımın güçlendirilmesine hizmet ederler. Bu pozitif özelliklere ulaşmak, kilit yöneticilerle yakın profesyonel ilişkiler kurulmasını ve sürdürülmesini gerektirir. Ayrıca, İç Denetim Yöneticilerinin yüzde 29’u hem fonksiyonel hem de idari olarak yönetime bağlı olduklarını ifade etmişlerdir. Bu İç Denetim Yöneticileri politik baskılarla başa çıkmakta çok daha büyük zorluklar yaşayabilirler. 8 Dr. Larry Rittenberg ve Patricia K. Miller, The Politics of Internal Auditing (İç Denetim Politikası) (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015). 16 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment KARİYER PLANLAMASI. Anket sonuçlarına göre, iç denetim yöneticilerinin yüzde 29’u, bir denetim bulgusunun veya raporunun değiştirilmesi için politik baskı altında kaldıklarını ifade etmektedirler. Bu baskıların yakınlık ve verilen değerin kaybedilmesinden rütbe indirimine veya işin kaybedilmesine kadar değişebilen önemli sonuçlarının olabileceği açıktır. Kariyer planlamaları sorulduğunda, İç Denetim Yöneticilerinin yüzde 72’si gelecek beş yıl içerisinde iç denetim mesleğinde kalmayı planladıklarını söylerken, yüzde 9’u ayrılmayı planladığını söylemiştir. Kalanlar ise emin değildir ya da farklı görevler üstlenmeyi planlamaktadırlar (Ek 7’ye bakınız). Ek 6: İç Denetim Yöneticisi İçin Fonksiyonel Raporlama Hattı Sahara-Altı Afrika 87% 11% 0% 2% Kuzey Amerika 80% 8% Güney Asya 79% 11% Orta Doğu ve Kuzey Afrika 75% Avrupa ve Orta Asya Latin Amerika ve Karayipler Doğu Asya ve Pasifik 71% 62% Global Ortalama 0% 10% 20% 30% Yönetim Kurulu, Denetim Komitesi veya eşdeğeri CFO, Finanstan Sorumlu Başkan Yardımcısı 72% 40% 4% 2% 8% 20% 20% 63% 8% 2% 3% 4% 6% 27% 3% 6% 30% 3% 5% 19% 50% 60% 70% 80% CEO, Başkan, Kamu Kurumu Başkanı Diğerleri 4% 5% 90% 100% Not: Soru 74: Kurumunuzda iç denetim yöneticisi (CAE) veya eşdeğeri için asli fonksiyonel raporlama hattı nedir? Sadece İç Denetim Yöneticileri. Ankette şu ifade edilmiştir: “fonksiyonel raporlama, iç denetim tüzüğünün ve denetim planının onaylanması, iç denetim yöneticisinin değerlendirilmesi ve iç denetim yöneticisi için ücret tespiti de dahil, iç denetim birimi sorumluluklarının gözetimine atıf ta bulunur.” n = 2.599. Rakamlar yuvarlandığı için, bazı bölge toplamları yüzde 100’e eşit olmayabilir Meslekten ayrılmayı planlayan İç Denetim Yöneticilerinin yanı sıra, pek çok denetim lideri de politik baskılardan kaynaklanan sorunlarla karşı karşıya kalmaktadır. İç denetim mesleğinde kalmayı planlayan İç Denetim Yöneticilerinin yüzde 72’si, kurumları onların politik baskıya gösterdikleri dirence saygı göstermekte istekli davranmazsa, kariyer değişikliklerini ve dış seçenekleri araştırmak zorunda kalacaklarını belirtmektedir. İç denetimin sadece bir kariyer basamağı olduğu rotasyonlu İç Denetim Yöneticileri de dahil, iç denetim mesleğini bırakmayı planlayan İç Denetim Yöneticilerinin, İç Denetim Yöneticisi olarak sorumluluk ve görevlerini yerine getirmelerinin ana kurum içerisindeki uzun vadeli kariyer seçeneklerine göre ağır basıp basmadığına karar vermeleri gerekmektedir. DESTEK VE ERİŞİM. İç denetim için yönetim kurulu desteğine ilişkin anket sonuçları, bunun dikkate alınmaya değer bir alan olması gerektiğine işaret etmektedir. İç Denetim Yöneticilerinin yarıdan biraz fazlası (yüzde 57), kurumsal yönetim politikaları ve prosedürlerinin gözden geçirilmesi konusunda yönetim kurulunun tam desteğine sahip olduklarını rapor ederken, yüzde 43’lük önemli bir kesim de sadece biraz destek alabildiklerini ya da hiç destek alamadıklarını rapor etmişlerdir. Kurumsal yönetim politikaları ve prosedürleri, sıklıkla, iç denetçileri, yöneticilerin ücretleri, etikle ilgili programlar, yönetim ile yönetim kurulu arasında bilginin serbest akışı, yönetimin kurumsal politikalardan muafiyeti, vb. gibi yönetim üzerinde doğrudan kişisel etkiye sahip alanlara sürüklemektedir. Bir İç Denetim Yöneticisi başa çıkmanın cesaret gerektirdiği hassas bulgularla karşılaştığı takdirde yönetim kurulunun desteği kritik bir önem arz eder. 17 Ek 7 – İç Denetim Mesleğinde Kalmayı Planlayan İç Denetim Yöneticileri 85% 75% 74% 77% 72% 67% 63% Doğu Asya & Pasifik 74% Avrupa & Orta Asya Latin Amerika Orta Doğu & & Karayipler Kuzey Afrika Kuzey Amerika Güney Asya Sahara-Altı Afrika Global Ortalama Not: Soru 36: Gelecek beş yıl içerisinde, iç denetimle ilgili kariyer planlarınız nelerdir? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar rapor edilmiştir. n = 3.108 Ek 8 - Kısıtlanmamış Erişim Olanağına Sahip Olduklarını Rapor Eden İç Denetim Yöneticileri 60% 65% 58% 57% 54% 48% 38% 34% Doğu Asya & Pasifik Avrupa & Orta Asya Latin Amerika Orta Doğu & & Karayipler Kuzey Afrika Kuzey Amerika Güney Asya Sahara-Altı Afrika Global Ortalama Not: Soru 53: Sizin kanaatinize göre, kurumunuzda iç denetim departmanının denetim faaliyetlerinin yürütülmesi için uygun olarak personel kayıtları ve objelerine tam ve kısıtlanmamış erişim olanağı var mıdır? Sadece İç Denetim Yöneticilerinin verdikleri yanıtlar rapor edilmiştir. n = 2.765. 18 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment Anket katılımcılarına, iç denetim çalışmaları yapılırken iç denetim biriminin gerekli kayıtlara ve varlıklara erişim olanağına sahip olup olmadığı da soruldu. İç Denetim Yöneticilerinin az bir farkla çoğunluğu (yüzde 54), iç denetim biriminin iç denetim çalışmalarını yaparken personel kayıtları ve varlıklarına tam ve kısıtlanmamış erişim olanağına sahip olduğunu ifade etti (Ek 8’e bakınız). Bu, kurumların yarıdan biraz daha azında, İç Denetim Yöneticilerinin işle ilgili konularda personelden dokümantasyon almalarının engellenebileceği anlamına gelmektedir – kısıtlanmamış erişim iç denetçiler için yaşamsal öneme sahiptir. STANDARTLARA UYUM: Politik olarak popüler olmayan pozisyonlar üstlenen İç Denetim Yöneticileri yönetimin gözetimi altındadırlar ve bu nedenle, yaptıkları işleri etkin bir şekilde dokümante etmeleri gerekir. Yetersiz, eksik ve zayıf bir şekilde yapılandırılmış denetim işine karşı en iyi savunma, Standartlara güçlü bir bağlılık ve uyumdur. Standartlara etkin uyum, sağlam bir Kalite Güvencesi ve Geliştirme Programı (QAIP) gerektirir. İç Denetim Yöneticisi katılımcıların sadece yüzde 34’ü, iyi tanımlanmış bir QAIP’ye sahip olduklarını söylemişlerdir (Ek 9’a bakınız). İç Denetim Yöneticilerinin üçte birlik bir kısmı da, QAIP’lerinin geliştirilmekte olduğunu belirtmiştir. Kalan üçte birlik kısım ise, böyle bir programlarının bulunmadığını ya da ad hoc bir programlarının bulunduğunu ifade etmiştir. Denetim süreçleri paydaşların detaylı sorgulamasına hazır olamadıkları takdirde, İç Denetim Yöneticileri cesaretli bir tutum takınmakta güçlük çekeceklerdir. Ek 9: Kalite Güvencesi ve Geliştirme Programının Olgunluk Seviyesi Avrupa & Orta Asya 42% Kuzey Amerika 40% Sahara-Altı Afrika 30% Orta Doğu ve Kuzey Afrika 30% Güney Asya Global Ortalama 33% 32% Doğu Asya ve Pasifik Latin Amerika & Karayipler 32% 22% 36% 43% 19% 34% 27% 34% 49% 34% 27% 49% 44% 20% 26% 31% 37% 0% 10% 20% 30% 40% 50% 60% 70% En azından dış kalite incelemesini de kapsayan iyi tanımlanmış bir program Geliştiriliyor 29% 80% 90% 100% Yok ya da ad hoc Not: Soru 47: Kurumunuzda kalite güvencesi ve geliştirme programı (QAIP) ne kadar gelişmiştir? Sadece İç Denetim Yöneticileri. Ankette “İyi tanımlanmış” yanıtı, “Dış kalite incelemesi de dahil iyi tanımlanmış” yanıtını ya da “dış kalite incelemesi ve sürekli geliştirme ve personel eğitimi faaliyetlerine resmi bir bağlantı da dahil iyi tanımlanmış” yanıtını da içermektedir. n = 2.833 19 İç Denetim Yöneticisi İçin Olmazsa Olmaz Şartlar Her kurum diğerinden ayrı olmasına rağmen, tüm İç Denetim Yöneticilerinin hassas konularla etkin bir şekilde başa çıkma kabiliyetlerini güçlendirmeleri gereklidir. Bu amaçla, İç Denetim Yöneticileri: • İç denetime hassas konuları doğrudan doğruya gözetim organizasyonunun üyeleriyle (örneğin, yönetim kurulu) ele alabilmek için gereken bağımsızlığı kazandıran raporlama hatları ve ilişkileri GELİŞTİRMELİDİRLER. Örgütlenme şemalarına veya resmi ilişkilere çok fazla bel bağlamaktan kaçınmalıdırlar. • Hassas konuların İç Denetim Yöneticisinin rolü veya kariyeri üzerine yapabileceği etkiyi ÖNGÖRMELİDİRLER. Bu, özellikle, aynı kurum içerisinde iç denetimin dışında bir alana geçmeyi planlayan İç Denetim Yöneticileri için söz konusudur. • Kurum çapında yüksek riskleri denetlemek için gereken paydaş desteğini ve erişim olanağını KAZANMALIDIRLAR. • Denetim çalışmalarının paydaşların detaylı sorgulamasına dayanabilmek için yeterli kalitede yürütülüp yürütülmediğini teyit etmek için iç denetimin sağlam bir QAIP’sinin bulunduğundan EMİN OLMALIDIRLAR. 20 THE INSTITUTE OF INTERNAL AUDITORS Embracing Opportunities in a Dynamic Environment SONUÇ Mevcut iş ortamında, yeni gelişen risklerden ve devamlı değişimden dolayı, iç denetimin daha duyarlı, esnek ve iş bilir olması gerekmektedir. Risk gözetim görevlerinin ifasında yönetim kuruluna yardımcı olma sorumluluklarını benimsemiş bulunan İç Denetim Yöneticileri, kendilerini bu dinamik ortamda başarıyla hareket edecek şekilde konumlandırmaktadırlar. Bu nedenle, 2015 İç Denetimin Global Nabzı raporu, geniş risk görüşlerini ve esnek denetim planlamasını – ve aynı zamanda, iç denetimin etkinlik alanını politik baskılara direnecek şekilde genişletme cesaretini – savunmaktadır. Yeni gelişen riskleri ister resmi risk değerlendirmeleri yoluyla ister gayri resmi konuşmalar yoluyla değerlendirsinler, İç Denetim Yöneticileri, bu bilgileri denetim planında ayarlamalar yapabilecek şekilde kullanmalıdırlar. Bir kurumun risk profili ne kadar değişkense, denetim planı da o kadar esnek ve hassas olmalıdır. İç denetim bakış açısını kurumsal riskleri de kapsayacak şekilde genişlettikçe, İç Denetim Yöneticileri – bu riskleri kimin yönettiğine bakılmaksızın – kurumsal risk değerlendirmeleri için güvence sağlamak üzerinde odaklanmalıdırlar. Ayrıca, iç denetim, ERM’ye veya bütünleşik güvenceye olan katılımının birimin bağımsızlığını ve objektifliğini asla tehdit etmemesini de sağlamalıdır. Kurumsal kaygılar, karar almak için kullanılan finansal ve finansal olmayan veri ve bilgileri içermektedir. Daha somut ifade edersek, paydaşlar, entegre raporlama ve sürdürülebilirlik raporlaması gibi finansal olmayan raporlama konularına da daha fazla ilgi göstermektedirler. Bu, iç denetimin daha önce ele alınmamış alanlarda güvence sağlayarak etki alanını genişletmesi için fırsatlar sunmaktadır. Bu konuda ilk adım, sürdürülebilirliğin kurum üzerindeki etkilerini ve iç denetimin ilgili riskleri değerlendirmek için gerekli tedbirlere destek olabileceği alanları anlamaktır. Mesleğe yönelik değişen talepleri karşılayabilmek için, İç Denetim Yöneticilerinin kendi pozisyonları üzerindeki politik baskılara da direnmeleri gereklidir. İç denetim, bu baskılarla baş edebilmek için uygun savunma mekanizmalarına – bağımsızlık, yönetim kurulu desteği ve kaliteli bir iç denetim fonksiyonu – ihtiyaç duyar. Bir İç Denetim Yöneticisi, bu alanları etkileyebildiği ölçüde, iç denetimin kurum içerisinde sahip olduğu erişim olanağının derecesini de etkileyebilir ve kendi objektif karar alma mekanizmasını koruyabilir. Kısaca, eski İç Denetim Yöneticisi ve şu an meslekte kanaat önderi olan Douglas Anderson’un ifade ettiği gibi: “Şimdi İç Denetim Yöneticilerinin kayıtsız ve ilgisiz olmalarının zamanı değil. Etrafımızdaki dünya hızla değişiyor. Sadece reaksiyon göstermekle kalmamamız, fakat aynı zamanda hazırlıklı olmamız gerekiyor. Risk üzerine, işinizin kapsamı üzerine ve politik baskılarla nasıl başa çıkabileceğiniz üzerine odaklanınız.” 21 EK Doğu Asya & Pasifik İDY ve Direktörler Avrupa & Orta Asya İDY ve Direktörler = n=977 Avustralya...........62 Çin n = 1,355 24 Sahara-Altı Afrika İDY ve Direktörler n = 166 n = 317 Bangladeş........24 Güney Afrika .....106 Brezilya..............92 Umman ............24 ABD………. ...880 Hindistan........128 Tanzanya …......55 Şili ..................70 Suudi Arabistan..119 Diğer.................14 Uganda..............20 Kolombiya .........55 ............81 Estonya.............25 Kosta Rika .........56 Yeni Zelanda ......22 Fransa .............124 Ekvator.............38 Filipinler Almanya..........126 El Salvador.........33 Singapur ..........49 Yunanistan.......57 Meksika..............77 Tayvan .............179 Italya.................82 Nikaragua ..........20 Diğer .................43 Letonya............22 Panama .............32 Polonya.............41 Peru ..................45 Romanya............23 Uruguay.............25 Rusya ...............27 Diğer .................71 .........23 n = 999 Güney Asya İDY ve Direktörler İsrail ...................58 Kanada ............119 Danimarka ........30 Malezy n = 394 Kuzey Amerika İDY ve Direktörler ...........61 Avusturya............37 Arjantin Endonezya.........52 Çek Cum. Orta Doğu & Kuzey Afrika İDY ve Direktörler n = 675 ...............290 Hırvatistan...........21 Japonya............176 Latin Amerika & Karayipler İDY ve Direktörler BAE ………… 120 Diğer.................73 Zimbabve..........36 Diğer...............100 Sırbistan.............22 Slovenya .............31 İspanya..............128 İsveç İsviçre ..............35 ......166 Türkiye ...............69 Ukrayna............21 Birleşik Krallık..47 Diğer...........197 Not: S6: Hangi bölgede yerleşiksiniz veya çalışmaktasınız? Ankete katılanlar önce bulundukları bölgeyi sonrasında ise ülkeyi seçmişlerdir. Alınan cevaplar Dünya Bankası tarafından belirlenen 7 bölgeye göre dağıtılmıştır. Sadece İDY ve direktörlerden alınan cevaplar raporlanmıştır. “Diğer” kalemi 20’den daha az sayıda cevap alınan ülkeleri ifade etmektedir. n=4,883. Küresel bir bölge belirtmeyenlerin cevapları dahil edilmemiştir. 22 THE INSTITUTE OF INTERNAL AUDITORS GLOBAL HEADQUARTERS 247 Maitland Avenue Altamonte Springs, FL 3270 1-420I www.globaliia.org 201$.0718