İç denetçilerin küresel anlamdaki mesleki kuruluşu Uluslararası İç Denetçiler Enstitüsüdür. (IIA – Institute of Internal Auditors) Ülkemizde ise IIA Türkiye ünvanıyla Türkiye İç Denetim Enstitüsü (TİDE), ülkemizde uluslararası standartlarda iç denetim mesleğinin gelişimi için 19 Eylül 1995 tarihinde kurulmuştur.
IIA (Institute of Internal Auditors) tarafından iki ayda bir olmak üzere üst yönetime, yönetim kurullarına ve denetim komitelerine, etik, risk yönetimi ve kurum kültürü gibi yönetişimle ilgili konularda kısa bilgiler aktarmak amacıyla ‘Tone at The Top’ başlığı ile bültenler yayımlanmaktadır. Bu bültenlerin Türkçe çevirilerine TİDE web sayfasından ulaşılabilmektedir.
2023 yılının sonuna yaklaşırken iç denetim profesyonellerinin 2024 yılına ilişkin iş dünyasında ortaya çıkabilecek yeni riskleri, sınamaları tartıştığı bir dönemdeyiz. Ben de bu yazımda 2023 yılı boyunca IIA tarafından yayımlanan ‘Tone at The Top’ bültenlerini özetleyeceğim. Esasında bültenler yayımlandıktan sonra LinkedIn hesabımda özet notları paylaşıyorum. Bu yazımda ise bültenlerde ele alınan konuları toplu halde bulabileceksiniz. LinkedIn hesabıma aşağıdaki linkten ulaşabilirsiniz.
https://www.linkedin.com/in/ahmedfarukdinc/
‘Tone at The Top’ bültenleri 2 ayda bir olmak üzere senede toplamda 6 defa yayımlanmaktadır. Şubat-Nisan-Haziran-Ağustos-Ekim-Aralık 2023 şeklinde. Aralık sayısı henüz yayımlanmadığı için diğer 5 bülteni güncelden eskiye doğru aşağıda özetleyeceğim.
Ekim 2023 – 119. Sayı
Bülten Başlığı: Yenilenen ABD Menkul Kıymetler ve Borsa Komisyonu’nun Siber Güvenlik Kuralları: Yönetim Kurullarının Hızlanmak İçin Ne Yapması Gerekiyor?
ABD Menkul Kıymetler ve Borsa Komisyonu’nun yeni siber güvenlik kuralları, bu yaygın risk karşısında güçlü yönetimin önemini daha da artırıyor. Tone at the Top’ın bu sayısında IIA; yeni direktifleri inceliyor ve iç denetimin bir şirketin siber güvenlik çabalarına yapabileceği önemli katkıları tartışıyor. Aynı zamanda yönetim kurulu üyeleri için yeni sorumlulukları ve diğer önemli hususları da vurguluyor.
Siber güvenlik, bir kuruluşun bilgisayarlar, ağ cihazları, yazılımlar ve veriler de dâhil olmak üzere bilgi kaynaklarını yetkisiz erişime, kesintiye veya tahribata karşı korumakla ilgilidir. Ancak her teknolojik gelişmeyle birlikte dolandırıcılar siber güvenlik saldırıları başlatmanın yeni yollarını bulmakta ve bu da siber riski her kurum için önemli bir konu haline getirmekte.
İç Denetimin Katkısı
İç denetçiler, yaygın olarak benimsenen kontrol çerçevelerine atıfta bulunmak da dâhil olmak üzere, siber güvenlikle ilgili risklerin azaltılmasına yardımcı olan temel iç kontrollerin belirlenmesinden ve test edilmesinden sorumludur. Yeni kuralların ışığında, kurumların yönetim organları ve üst düzey yönetiminin, siber güvenlik müdahalesi ve kurtarma kontrollerinin etkinliğini ve verimliliğini doğrulamak için bağımsız ve objektif bir güvenceye ihtiyacı olacaktır. İç denetim, bu güvenceyi kendi mesleki standartlarının yanı sıra, özellikle kurumun BT ve bilgi güvenliği fonksiyonları tarafından kullanılanlar olmak üzere yaygın olarak kabul edilen kontrol çerçevelerine uygun bir şekilde sağlayabilir. Şirketler siber risklere karşı en iyi nasıl korunacaklarını belirlerken iç denetçiler bu konuda danışmanlık hizmetleri de sunabilirler.
Kurumlar yeni siber güvenlik gerekliliklerini nasıl karşılayacaklarını belirlerken, iç denetim yöneticisinin ve iç denetim ekibinin bazı spesifik rolleri şunları içerebilir:
– Kuralların finansal, stratejik planlama, uyumluluk ve denetim planı perspektiflerinden beklenen etkisi konusunda yönetim kuruluna, üst düzey yönetime ve siber güvenlik risk yönetimi liderlerine danışmak.
– Yeni düzenlemelere uyum konusunda risk değerlendirmelerini güncellemek ve kurumun gereklilikleri karşılamaya yönelik hazırlıklarını desteklemek. İç denetim hâlihazırda siber güvenlik risk değerlendirmelerine dâhil değilse bu sürece katkıda bulunmaya başlayabilir.
– Kurumun yeni kurallara uyması için mevcut siber güvenlik kontrollerinin uygun şekilde tasarlanıp tasarlanmadığını ve etkili bir şekilde çalışıp çalışmadığını raporlamak.
Ağustos 2023 – 118. Sayı
Bülten Başlığı: Sürdürülebilirlik Raporlamasında Dönüm Noktası
Dünyanın dört bir yanındaki kurum ve kuruluşlar kritik önemdeki sürdürülebilirlik bilgilerini elde etmek ve raporlamak için çaba göstermekte. Çok geniş bir yelpazede yer alan ‘Çevresel, Sosyal ve Yönetişim (ÇYS)’ açıklamaları için birçok çerçeve ve kılavuz ilke bulunmakta ve bu da sürdürülebilirlik raporlama sürecinde kafa karışıklığına neden olmakta. Bu problemden yola çıkarak ‘Uluslararası Sürdürülebilirlik Standartları Kurulu (ISSB) sürdürülebilirlik raporlamasına ilişkin gereklilikleri daha iyi tanımlamak ve netleştirmek için uluslararası sürdürülebilirlik standartlarını yayımlamıştır. Kapsamı geniş olan yeni ISSB standartları, dünya çapındaki kuruluşlara sürdürülebilirlikle ilgili risk ve fırsatları raporlamak için kullanabilecekleri ortak bir dil sunmaktadır.
Bu şekilde kısa bir girişten sonra sürdürülebilirlik raporlaması sürecinde, bültende yer alan iç denetimin fonksiyonuna göz atalım. Kurum ve kuruluşlar yeni rehberleri benimsemeyi ve finansal olmayan bilgilerin raporlanması ve açıklanması konusunda daha yönlendirici bir yaklaşım benimsemeyi düşünürse iç denetim fonksiyonundan önemli katkılar sağlamasını isteyebilir. KPMG’ye göre iç denetim ‘ÇYS raporlaması ve daha geniş anlamda sürdürülebilirlik konularında objektif güvence ve tavsiye sağlamada kritik rol oynayabilir.’
İç denetimin rollerine örnek olarak şunlar verilebilir:
– Yeni iç kontrollerin sunulmasına yönelik tavsiyeler: Kurumun finansal olmayan bilgilerine yönelik iç kontrol sisteminin de sağlam bir yapıda olması gerekir.
– Veri kalitesinin değerlendirilmesi: İç denetim finansal olmayan verilerin toplanma sürecine hangi alanların dahil edilmesi gerektiğini ve etkili, güvenilir bir süreç oluşturmanın en iyi yolu gibi konularda tavsiyelerde bulunabilir.
– Uyum konusunda kolaylaştırıcı bir fonksiyon: Uyum konusundaki uzmanlığıyla iç denetim, yeni ÇYS standartlarını uygulamanın en iyi yolları hakkında tavsiyelerde bulunabilir.
– Bilgiyi bir perspektife oturtmak: İç denetim halihazırda mali bilgiler hakkında güvence sağlamakta, mali olmayan bilgiler için de aynı şekilde güvence sağlama fonksiyonuna devam edebilir.
– Organizasyonu sürekli gelişim şeklinde bir yapıda konumlandırmak: ISSB standartları yeni yayımlanmasına rağmen ileride revizyona uğrayacaktır ve bu süreçte iç denetim, yönetim kuruluna yeni gelişmeler, güncellemeler ve bunların kurum için ne anlama geldiği konularında tavsiyelerde bulunabilir.
Haziran 2023 – 117. Sayı
Bülten Başlığı: Yapay Zekâ: Yönetişim Zorunlulukları
Yönetişimle alakalı birbiriyle ilişkili birçok kaygı dolayısıyla yapay zekâ, yönetim kurulu üyelerinin gündeminde olmalıdır. Forbes dergisinde yayımlanan bir makaleye göre ‘Yapay Zekâ, tek başına üstel yıkım gerçekleştirme kapasitesi dolayısıyla yönetim kurulunu ilgilendiren bir meseledir.’
İç Denetim Yapay Zekâ Yönetişimine Nasıl Katkıda Bulunabilir?
İç denetim, yönetim kuruluna, bir kurumun riskleri ve yapay zekanın şirket çapında etkisine yönelik bütüncül bir bakış sağlayabilecek eşsiz bir konuma sahiptir. Yönetim kurulları, şirketin gerektiği gibi yapay zekâ kontrolleri geliştirip geliştirmediği ve yapay zekâ üzerinde etkin yönetişim uygulaması ve izlemesi yapıp yapmadığı gibi konularda tarafsız ve bağımsız değerlendirmeler için iç denetime başvurabilir. İç denetim, diğer hususların yanı sıra, yapay zekâ kullanımının kurumun hesap verebilirlik, şeffaflık ve sağlamlık, adalet ve kapsayıcılık ile mahremiyet, güvenlik ve emniyete ilişkin yönetişim ilkelerine uygun olduğuna dair güvence sunabilir.
SpiritBank iç denetim direktörü Julio Tirado, CIA, yapay zekada uzman, iyi eğitimli bir iç denetim işlevi her kurul için paha biçilemez bir değer olacaktır” diyor. Bu gelişmekte olan risk alanında iç denetim için üç rol tanımlıyor.
– Danışman. İç denetçiler, tüm yapay zekâ sistemlerinin tasarım aşamasında yönetimle iş birliği yaparak önalıcı (preemptive) risk değerlendirmesi sunabilir ve böylelikle kurumun güvenli ve emniyetli bir sistem kurmasını sağlayabilir. Tirado, “Şirketler danışmanlık amacıyla iç denetim talep ettiklerinde şirkette acil işlere koşturmaktansa daha fazla işe odaklanabilirler,” diyor.
– Güvence. Tirado, iç denetimin gizlilik, güvenlik, uyum ve üçüncü taraf risk yönetimi – ki bu yapay zekâ ile ilgili önemli bir zorluk olabilir – gibi kritik hususlar üzerinde etkisi olabilecek riskleri araştırıp tespit edebileceğini ifade ediyor. “Riskleri tespit ettiğimiz geleneksel denetim prosedürü gerçekleştirme rolümüze eşsiz bir katma değer getirebiliriz.”
– Fikir liderliği. İç denetim, şirkete yönelik geliştirdiği bütüncül bakışını yapay zekanın yeni zorluklar ve fırsatların yanı sıra mevcut ortam üzerindeki etkisini anlamada liderlik rolünü ele almak için kullanabilir. Tirado, örnek olarak iç denetimin ChatGPT gibi araçların yalnızca denetim değil aynı zamanda çeşitli işlevlerdeki yöneticiler tarafından kullanımı hakkında yönetim kurulu ve denetim komitesine bilgi verebileceğini belirtiyor.
Tirado, yapay zekayı ele alırken bir kaynak olarak iç denetimden faydalanamamanın aşağıdakiler dâhil olmak üzere bazı riskler getireceğini ifade ediyor:
– Risklerin, kontrollerin ve potansiyel süreç iyileştirmelerinin yetersiz tespiti.
– Olası yapay zekâ düzenlemeleri dâhil olmak üzere ilgili kurallara, düzenlemelere ve politikalara aykırılık.
– Yapay zekâ konularında bağımsız ve tarafsız güvenceyle paydaş —hissedarlar ve düzenleyiciler dâhil— güvenini arttırma fırsatını kaçırma.
Nisan 2023 – 116. Sayı
Bülten Başlığı: Risk İştahının Finansal Olmayan Ölçütler İçin Ayarlanması
Risk iştahı — bir kurumun hedeflerine ulaşmak için kabul etmeye hazır olduğu risk seviyesi — tüm kurumlarda etkili yönetişim için esastır ve yönetim kurulları bu iştahın belirlenmesinde kritik bir rol oynarlar. Ancak dikkate alınması gereken tek konu kredi ve piyasa riskleri ve diğer finansal faktörler midir? Adına rağmen finansal olmayan risklerin de kurum üzerinde önemli bir finansal etkisi olabilir. Yönetişim, risk ve uyum konularına odaklanırken şirketlerin finansal olmayan riskin kurumsal risk yönetimi (KRY) çabalarını ve genel risk iştahını nasıl etkilediğini hesaba katmaları gereklidir.
Finansal olmayan kategorisinde yer alan risklerin çok sayıda olması bazılarının gözden kaçma ihtimalini artırmaktadır. Bu riskler diğerlerinin yanı sıra operasyonel, uyum, siber güvenlik, itibar, çevre, personel davranışı, etik ve kurumsal kültür, halk sağlığı, sosyal adalet, çeşitlilik, eşitlik ve kapsayıcılık, insan hakları, stratejik, üçüncü taraf, jeopolitik, doğal kaynaklar, insan kaynakları ve veri bütünlüğü ile ilişkili riskleri içerebilir. Bu kapsamlı olmayan liste, finansal olmayan risklerin ne kadar önemli olabileceğini göstermekte ve bu risklerin risk iştahına ilişkin her türlü tartışmaya dâhil edilmeleri gerektiğini ortaya koymaktadır. Gerçekten de PwC’ye göre “Finansal olmayan riskler, finansal risklere maruziyetten potansiyel olarak daha maliyetli bir tehdit yaratmaktadır.”
İç Denetimi Dâhil Etme
Yönetimin finansal olmayan riskleri anlamasına ve bunlarla başa çıkmasına yardımcı olmak amacıyla iç denetim liderleri kurumun çok yönlü yapısına -ve tehditlerine- ilişkin bütüncül anlayışından yararlanarak risk mülahazalarını tanımlayabilir ve bunlarla en iyi nasıl başa çıkılabileceği konusunda tavsiyeler verebilir.
İç denetim ekipleri denetim planlarını kurumun genel risk iştahını da içeren çok sayıda faktör üzerinden inşa ederler. Denetçiler kurumun finansal risk limitlerini ve iştah beyanlarını ve ayrıca, kanunlar ve yönetmelikler, kurumsal politikalar ve standartlar ve – örneğin yönetim kurulu, yatırımcılar, analistler, müşteriler, çalışanlar ve iş ortakları gibi- paydaşların beklentileri ve sektör standartları gibi konuları göz önünde bulundururlar.
İç denetimin finansal olmayan verilerin tam ve doğru olmasını sağlama konusunda kritik bir rol oynama şansına sahip olduğunu görmek yönetim kurulları için bir adımdır. Ne yazık ki birçok kurum iç denetimin sağlayabileceği katkıdan tam olarak yararlanamamaktadır. NACD anketine göre, iç denetim yöneticisi (İDY) ankete katılan kamu şirketlerinin sadece %11’inde ve özel şirketlerin %8’inde ÇTY konularında yönetim kuruluna raporlama yapmaktadır.
İç denetim, aşağıda sayılanları içeren riskleri azaltmaya ve tanımlamaya yardımcı olabilecek güvence ve tavsiyeler sağlayabilir:
•İş modeli üzerindeki etki. Şirketler kendilerini beklenmedik finansal olmayan riskleri ele alan yeni uygulamaları benimsemeleri için beklenmedik bir baskıyla karşı karşıya bulabilirler.
•Rekabet avantajının kaybedilmesi. Finansal olmayan risklerin bir şirketin pazar payına ve itibarına zarar verme potansiyeli vardır.
•Sermayeye erişim zorluğu veya daha yüksek borçlanma maliyetleri. Yatırımcılar veya kredi verenler, finansal olmayan riskler konusunda şirketin sunabileceğinden daha fazla şeffaflık talep edebilirler.
•İş gücü dezavantajları. İşe alım piyasasının sıkışık olması veya çalışan bağlılığının olmaması, özellikle de bir şirketin cazip olmayan bir çalışma yeri olarak görünmesi halinde zarar verici olabilir.
•Sosyal ve jeopolitik etkiler. Şirketler yerel sosyal veya sivil karışıklıkları öngöremeyebilir.
Şubat 2023 – 115. Sayı
Bülten Başlığı: COVID-19 Salgınının Devam Eden Suistimal Riskleri
Dünyanın büyük bir kısmı, 2022 yılını COVID-19 salgınının en yıkıcı etkilerinden mümkün olduğunca tamamen kurtulabilmek için çalışarak geçirmiştir. Ne yazık ki her ne kadar dünya bazı açılardan nispeten normal bir ortama dönmüş gibi görünse de COVID’in yarattığı dünyanın kalıntıları hâlâ varlığını sürdürmektedir. Küresel salgın, suistimal riskinin artması da dâhil olmak üzere iş dünyasını birçok yönden etkilemiştir. Uluslararası Muhasebeciler Federasyonu, küresel salgının başlarında, yeni ortamın “hem dâhili personel hem de harici taraflar için yeni fırsatlar ve baskılar ortaya çıkabileceğinden suistimal ve uygunsuz finansal raporlama riskinin arttığını” belirtmiştir.
Deloitte firmasının hazırladığı bir rapora göre, diğer hususların yanı sıra “şirketlerin, kendi personelinin bu benzersiz ekonomik durumun getirdiği yoğun ticari baskıya nasıl tepki verebileceğini değerlendirmesi gerekmektedir.”
Örneğin:
• Çalışanlar, durgunluk döneminde satış hedeflerinin iyileştirilmesine yönelik işveren baskısı nedeniyle görevi kötüye kullanmaya yönelebilir.
• Tedarik zincirindeki aksaklıklar da suistimalin ortaya çıkmasını kolaylaştırabilir.
• Küresel salgının zirve yaptığı dönemde kriz yönetimi çaba ve çalışmalarının bir parçası olarak benimsenen bazı kolaya kaçma prosedürleri veya geçici prosedürler de hâlâ kullanılıyor olabilir ve bu durum kurumlar için potansiyel sonuçlar doğurabilir.
Sonuç olarak, yönetim kurulları hem suistimal riski yönetimindeki gözetim rollerini hem de iç denetimin suistimal riskini önlemeye veya azaltmaya nasıl yardımcı olabileceğini her zamankinden daha fazla anlamaya ihtiyaç duymaktadır.
Kültürü Dikkate Alın
Çalışanlar ve parçası oldukları kurum kültürü suistimalin tespit edilmesi ve önlenmesinde kritik unsurlardır. Kurumsal kültür küresel salgından mutlaka zarar görmüş olmayabilir ancak yine de bazı yönlerden değişime uğramış olması neredeyse kesindir. Bu durum, yönetim kurullarının aşağıdaki gibi sorular sorarak kurumun kültürü hakkında bir tartışma başlatması için iyi bir zaman olabilir:
• Güçlü bir etik kültürümüz var mı?
Etik kurallar oluşturmak veya ihbar hattı kurmak gibi adımlar kurumun suistimali önleme ve farkındalık konularına verdiği önemi göstermektedir. En önemlisi, şirket yönetimi ve yönetim kurulu kuralları desteklemeli, kabul etmeli ve bunlara bağlı kalmalıdır. İhbarda bulunanların ödüllendirilmesi ve suistimal veya diğer yanlış uygulamaları gün ışığına çıkardıkları için olumsuz sonuçlarla karşılaşmaması gereklidir.
• Küresel salgından bu yana kültür değişti mi?
Eğer değiştiyse daha iyiye doğru mu yoksa daha kötüye doğru mu değişti? Hangi eylemler hangi değişikliklere katkıda bulundu? Uzaktan çalışmaya ilave olarak, personelin işten çıkması veya yeni personelin istihdam edilmesi de personel davranışları, tutumları ve bağlılığı üzerinde etkili olabilir. Personelin kurumun etik kültürüne ilişkin anlayışına ilişkin anketler yapmak ve bağlılığın devamını sağlamak için şirketin değerlerini ve prosedürlerini yeniden vurgulamak gerekebilir.
• İleriye dönük bir suistimale geçit vermeme kültürünü hangi adımlar güçlendirebilir?
Kurum şu anda bunu yapmıyorsa etik ve kültüre bağlılığı güçlendirmek için ölçütler ve hesap verebilirlik tedbirleri kullanmayı düşünebilir.
İç denetim, her kurumun küresel salgın sonrası özel ihtiyaçlarına yönelik en iyi adımlar hakkında fikirler verebilir ve güçlü bir etik kültürün oluşturulması veya geliştirilmesi konusunda danışmanlık yapabilir.
İleriye Bakan İç Denetim
İç denetim ekipleri, bu değişen suistimal ortamının ortaya çıkardığı sorunlara çeşitli çözümler bulmuşlardır. İç Denetim Vakfı ve Kroll tarafından ortaklaşa hazırlanan Suistimal ve Küresel Salgın: İç Denetim Mücadeleye Hazırlanıyor başlıklı araştırma raporuna göre iç denetçiler suistimalin önlenmesi ve tespit edilmesinde reaktif bir rol yerine daha ileriye bakan bir rol üstlenmişlerdir. Raporda, “Bazı katılımcılar, suistimal riski perspektifinden yönetimle daha stratejik bir ilişki kurulmasından ve risk değerlendirmesi yoluyla kurum çapında suistimal riskinin incelenmesine daha fazla dâhil olunmasından bahsetti,” denmiştir. Örneğin:
• İç denetim ekipleri, “sürpriz” ve tek seferlik yıllık denetimler yerine kurumların sürekli devam eden operasyonel zorluklarla ve iş uygulamalarındaki hızlı değişimlerle daha iyi mücadele edebilmelerini sağlamak için sürekli güvence sağlamaya yönelmiştir. İç denetim ekipleri suistimal risk değerlendirmeleri yaptıklarını ve acil durum koşulları altında başlatılan süreçleri yeniden gözden geçirdiklerini rapor etmişlerdir. • İç denetim yeni ve gelişmekte olan teknolojilerin kullanımını artırmış ve veri analitiği ve diğer ileri teknolojiler konusunda becerilerini geliştirmeyi hedeflemiştir. Bu, verilerin suistimalin önlenmesi ve tespit edilmesinde etkin şekilde kullanılmasını da içermektedir. Rapora göre, “yüksek hacimli, düşük değerli suistimale karşı koymak için daha küçük envanter kalemlerinin hareketi çevresinde spesifik analitik bilgiler toplamak ve kurumun dört bir yanından alınan verileri kullanarak fazla mesai analizini değerlendirmek” örnek olarak verilebilir.
No responses yet