Deloitte YK Etkinliği Merkezi ve Denetim Kalitesi Merkezi (CAQ) tarafından ortaklaşa ‘Denetim Komiteleri: Uygulama Raporu’ hazırlanmıştır. Mart 2024’te üçüncü sayı olarak yayımlanan bu rapor denetim komitelerindeki ortak konuları ele almaktadır. Önceki raporlarda olduğu gibi verilerin anket yöntemiyle toplandığı ifade edilmekte. Rapora konu ankete toplam 266 kişi katılmış ve bunların %74’ü ABD’deki halka açık şirketlerde çalışmakta. Aynı zamanda bu şirketlerin %81’inin piyasa değeri 700 milyon doların üzerinde olduğu belirtilmekte.
Bu yazıma konu raporla ilgili giriş bilgilere yer verdikten sonra öncelikle Denetim Komitesi nedir şirketlerdeki yapılanması nasıldır bu konuları ele almak istiyorum. Akabinde raporun detaylarına yer vereceğim.
Öncelikle iç denetimin tanımına yer verecek olursak; iç denetim bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. Esasen tanımda iç denetime dair kritik sözcükler bulunmakta. Bağımsızlık bunlardan birisi. Bu durum iç denetim global standartlarında da geçmektedir. (Standartlar 2024 Ocak ayı itibarıyla güncellenmiştir, ben burada 2017’de kabul edilen standartlara yer verdim. Özü itibarıyla bu konuda bir değişiklik olmamıştır.) Standart 1100’a göre: İç denetim faaliyeti bağımsız olmak ve iç denetçiler görevlerini yaparken objektif olmak zorundadır. Bağımsızlık, bir bütün olarak iç denetim faaliyetinin organizasyonel (örgütsel) bir niteliğidir. Bağımsızlık, iç denetim faaliyetinin sorumluluklarını tarafsız olarak yerine getirme kabiliyetini tehdit eden şartlardan uzak olmak demektir. İç denetim faaliyetinin sorumluluklarını etkin bir şekilde yerine getirmesi için gerekli olan bağımsızlık düzeyine erişmek amacıyla İç Denetim Yöneticisi (İDY) yönetim kuruluna doğrudan ve sınırsız bir şekilde ulaşma imkânına sahip olmalıdır. Bu standardı daha iyi anlayabilmek için şirketlerin yapısını ele alalım. Anonim şirket türü ülkemizde en yoğun kullanılan şirket türlerinden birisidir. Bütün bankacılık ve finans sistemi, holding ve iştirakleri anonim şirket olarak faaliyetlerinde devam etmekte. Bir anonim şirkette en tepede Yönetim Kurulu dediğimiz bir yapı bulunur. Yönetim kurulları makro anlamda şirket yönetiminden sorumlu olup şirketle ilgili kritik kararlarda onayları gerekir. Yönetim Kurulunun altında ise Genel Müdür (CEO) bulunur ve aşağıya doğru Genel Müdür Yardımcıları, Direktörler, Müdürler şeklinde hiyerarşi devam eder. Bu Genel Müdürlük yapılanmasına Üst Yönetim diyoruz. Aslında iç denetimin bağımsızlık konusu burada ortaya çıkıyor. Üst Yönetim şirketle ilgili tüm operasyonları yürütür ve bu süreçte bazı riskler alır. Yönetim Kurulu ise Üst Yönetimin aldığı kararlara, uyguladığı politikalara ilişkin bağımsız bir güvence temin etmek ister. İç Denetim ise şirket yapılanması içerisinde Genel Müdürlük hiyerarşisinde bulunmadığı için bağımsız olarak bu güvenceyi Yönetim Kuruluna sağlayabilir. Gelelim Denetim Komitelerine. Denetim Komitesi üyeleri Yönetim Kurulu içerisinden seçilmekte ve kurumsal yönetim ilkeleri gereği icradan bağımsız olmaları beklenmekte. Denetim Komiteleri İç ve Dış Denetim faaliyetlerinin koordinasyonu sağlar, İç Denetim Yöneticisinin ataması ve azli gibi görevleri Yönetim Kurulu adına yürütürler.
Denetim Komitelerini açıkladıktan sonra giriş paragrafında bahsettiğim Deloitte’a ait raporun detaylarına bakalım. Anket katılımcılarından herhangi bir sınırlama olmaksızın denetim komiteleri için önümüzdeki 12 ay için en önemli konuyu, riski veya sorunu paylaşmaları istenmiş.
Düzenleyici ortam karmaşıklaştıkça ve şirketler yeni sınamalara daha fazla maruz kaldıkça, denetim komitelerinden ek beklentiler ortaya çıkmakta. Bu bağlamda denetim komitelerinin sorumluluklarının kapsamı, finansal raporlama, iç kontroller, iç ve dış denetim ile etik ve uyumluluk programlarından oluşan geleneksel görev alanlarının ötesine genişlemeye devam ediyor. Raporda, ankete katılan denetim komitesi üyeleri tarafından belirlenen en önemli beş önceliğe (siber güvenlik, kurumsal risk yönetimi, finans ve iç denetim yeteneği, yasa ve düzenlemelere uyum ve finansal dönüşüm) yer verilmekte.
Siber Güvenlik
Katılımcıların %69’u finansal raporlama ve iç kontrollerin ötesinde, siber güvenliğin önümüzdeki 12 ay içinde denetim komitesi için en önemli üç öncelikli alan arasında yer alacağını belirtti. Anket, denetim komitelerinin %58’inin siber güvenlik riskinin birincil düzeyde gözetim sorumluluğuna sahip olduğunu ve %25’inin gözetim sorumluluğunun tamamen yönetim kuruluna ait olduğunu belirtiyor. Genel olarak, finansal hizmet şirketlerinde siber güvenliğin gözetimi, denetim komitesi (%38) ve risk komitesi (%26) arasında paylaştırmakla birlikte, karşılaştırmalı olarak, finansal olmayan kuruluşların çoğu bu alanın gözetimini denetim komitesine (%64) ve çok nadiren de risk komitesine (%3) devretmektedir. Bu muhtemelen çoğu finansal hizmet şirketinin bir risk komitesine sahip olmasının gerekli olmasından kaynaklanmaktadır.
Temel Bulgular
+ Siber güvenlik, yönetim kurulunun yanı sıra birden fazla kurul komitesinde de odak noktasını oluşturmaya devam ediyor; ankete katılanların %73’ü en az üç ayda bir siber güvenliği %15’i altı ayda bir, %9’u ise yıllık olarak siber güvenliği tartıştıklarını bildiriyor. Siber güvenlik risklerinin yaygın doğası göz önüne alındığında, tüm kurulun siber güvenlik riskini anlamadaki rolü dikkate alınmalıdır. En azından yönetim kurulu, tehdit ortamını ve kurumu etkileyen kritik iş risklerini tartışmak için uygun tempoyu belirlemelidir.
+ Yöneticiler siber güvenlik ile ilgili konularda kendilerini eğitmeye çalışmalı ve bilgi sahibi olmak için CIO (Chief Information Officer) ile düzenli olarak iletişim kurmalıdır.
Kurumsal Risk yönetimi (ERM)
Ankete katılanların neredeyse yarısı (%48) ERM’nin önümüzdeki 12 ay içinde öncelikleri arasında ilk üç sırada yer alacağını belirtti. İlginç bir şekilde, katılımcılar ERM’nin öncelik sıralaması açısından eşit bir şekilde dağılmış durumda; %16’lık bir oranla her bir kesim 1, 2 veya 3 olarak derecelendiriyor. Önceki anket sonuçlarıyla karşılaştırıldığında, ERM sürekli olarak en önemli öncelikler arasında yer aldığı görülmekte.
Kurumsal risk yönetiminin (risklerin belirlenmesi, izlenmesi ve değerlendirilmesi için kullanılan süreçler) gözetimi, uzun yıllardan beri denetim komitesinin yetki alanı içerisinde olmuştur. Ancak küresel risk ortamı değiştikçe ve yeni tehdit türleri ortaya çıktıkça daha dikkatli olmak gerekebilir. Denetim komitesi, genel gözetimin yanı sıra mevcut ERM süreçlerinin yeni tehditlerle başa çıkıp çıkamayacağını, bu süreçlerin verimli ve etkili olup olmadığını ve uygun kaynaklarla desteklenip desteklenmediğini de değerlendirmelidir.
Temel Bulgular
+ Yeni risklerin ortaya çıkmasını izlemek için denetim komiteleri, etki ve olasılık düzeyi yüksek risklerin yanı sıra yüksek etkili, düşük olasılıklı riskleri de dikkate alarak modellerini uyarlayabilir. Salgın hastalıklar, büyük doğal afetler, iklim felaketleri ve küresel çatışmalar gibi olayların giderek yaygınlaştığı göz önüne alındığında, böyle bir yaklaşım giderek daha değerli hale gelmekte.
+ Çevresel ve sosyal yönetişim gibi çeşitli alanlarda getirilen açıklama ve beyan yükümlülükleri nedeniyle denetim komitelerinin ERM gözetimine ilişkin sorumluluğu bu yıl artış gösterdiği düşünülmekte. Bununla birlikte, ERM gözetimi denetim komitesiyle sınırlı değildir; yönetim kurulunun periyodik güncellemeler alması, risk iştahını değerlendirmesi ve ortaya çıkan yeni riskleri belirlemesi için bol miktarda fırsat vardır.
+ Denetim komitesinin, maddi risklerin belirlenmesi ve izlenmesi konusunda yönetime tavsiyelerde bulunma ve bunların yönetim kurulunun ve/veya ilgili komitenin dikkatine sunulmasını sağlama rolü vardır. Yöneticiler, risk değerlendirmesini yıllık bazda gerçekleştirip bunu bir sonraki yıla ertelemek şeklindeki modası geçmiş yaklaşıma güvenmek yerine, yönetimi riskleri sürekli olarak değerlendirmeye teşvik etmelidir.
Finans ve İç Denetim Yeteneği
Finans ve iç denetim yeteneği denetim komiteleri için bir önceliktir; katılımcıların %37’si bunun önümüzdeki 12 ay içinde en önemli üç önceliğinden biri olduğunu belirtirken %9’u bunun en önemli sorun olduğunu öne sürmektedir. Katılımcıların % 46’sı denetim komitelerinin bu konuyu üç ayda bir ele aldığını, %23’ü ise son 12 ayda bir kez tartıştığını belirtti.
Ayrıca katılımcılardan iç denetimin kurumlarındaki fonksiyonuna ilişkin bakış açılarını paylaşmaları istenmiş. Genel olarak katılımcıların çoğunluğu iç denetimi hem etkili hem de kanıtlanabilir değer katan bir fonksiyon olarak görmekte. Bu, iç denetimin yalnızca güvence sağlayıcı rolüyle değil aynı zamanda gelecekteki riskleri tahmin etmeye ve tavsiyelerde bulunmaya yardımcı olmak için dinamik bir şekilde risk değerlendirmeleri yapabileceğini gösteriyor. Ancak yanıt verenlerin neredeyse %80’i iç denetimin daha fazla değer katma fırsatı olduğuna katılıyor. Bu görüş, iç denetim fonksiyonunun kendisiyle ilgili herhangi bir hoşnutsuzluktan ziyade, yetenekli işgücü sıkıntısının ve hızla değişen iş ortamının bir sonucu olabilir, ancak yine de dikkate alınmaya değer bir noktadır.
Temel Bulgular
+ Denetim komiteleri hem finans hem de iç denetim ekipleriyle güçlü ilişkiler geliştirmeli ve desteklemelidir.
+ Denetim komitesi güçlü bir finans ekibini ve bu ekibin çalışmalarını sürdürülebilir kılmak için, finans alanındaki yetenek ihtiyaçları ve rollerde devam eden değişiklikleri anlamak amacıyla CFO ile düzenli ve güçlü bir iletişim sürdürmelidir.
+ İç denetim, denetim komitesi için kritik bir kaynak olmaya devam ediyor. İç denetim fonksiyonun, en büyük risk alanlarına odaklanmayı sürdürmek için dinamik bir risk değerlendirmesini benimsemesi teşvik edilmelidir. Güvence sağlamanın yanı sıra, iç denetimin gelecekteki riskler hakkında tavsiyelerde bulunarak ve bunları önceden tahmin ederek daha fazla değer katıp katamayacağını değerlendirilmelidir.
Yasa ve Düzenlemelere Uyum
Ankete katılanların %36’sı yasa ve düzenlemelere uyumun önümüzdeki 12 ay içinde denetim komitelerinin en önemli üç önceliğinden biri olduğunu belirtmekte; bu geçen yıla göre önemli bir artış olmakla birlikte katılımcıların % 17’si bunu en önemli sorun olduğunu ayrıca belirtmekte. Düzenleyici ortamın artan karmaşıklığı, bu yıl bu alana verilen önceliğin artmasına neden olabilir. Ankete katılanların % 45’i, şirketlerinin uyum gözetimini denetim komitesine, %37’si yönetim kuruluna ve %5’i risk komitesine tahsis ettiğini belirtti.
Temel Bulgular
+ Yeni uyum riskleri ortaya çıktıkça, yönetimin risk değerlendirme süreçlerini ve risk metodolojilerini güncellemesi kritik öneme sahiptir.
+ Yönetim kurulunun, denetim ve risk komiteleri ile açık iletişim hatları kurması gereklidir ve ilgili sektörün düzenleme derecesine bağlı olarak bu iletişim daha da anlam kazanır. Havacılık ve gıda hizmetleri gibi sıkı düzenlemeye tabi sektörler her zaman daha büyük uyum sorunlarıyla karşı karşıyadır.
+ Denetim komiteleri, kurumun tabi olduğu yasa ve düzenlemeleri, yönetimin uyum çabalarını ve uyumsuzluğun oluşturduğu riski anlamalıdır. Bu anlayış, hangi risklerin yasal, finansal, operasyonel veya itibara zarar verme açısından en büyük potansiyele sahip olduğunu daha iyi değerlendirmelerine yardımcı olabilir.
Finansal Dönüşüm
Ankete yanıt verenlerin %33’ü, finansal dönüşümünün önümüzdeki 12 ay içinde denetim komitelerinin ilk üç önceliği arasında olduğunu belirtti ve bu kişilerin neredeyse yarısı finansal dönüşümü en önemli konu olarak seçti. Finansal dönüşüm, piyasa krizleri, teknolojinin artan bir hızda hayatımıza nüfuz etmesi ve yeni düzenleyici gereklilikler dahil olmak üzere bir dizi dış etkenden etkilenebileceği göz önüne alındığında karmaşık bir konudur. Bu faktörler, daha önce tartışılan yetenek yönetimi sorunlarıyla birlikte, denetim komitelerinin finansal dönüşümü denetleme rolünü zorlaştırıyor.
Ek olarak, üretken yapay zekanın hızlı yükselişi, finansal yapı ve bunun dönüşüm hızı üzerinde etkisi olabilecek uygun teknolojilere ne zaman ve nasıl yatırım yapılacağı konusunda önemli soruları gündeme getiriyor. Bu bağlamda ankete yanıt verenlerin %66’sının denetim komitelerinin son 12 ayda yapay zeka yönetişimini tartışmaya yeterli zaman ayırmadığını belirtmesi oldukça dikkat çekicidir.
Temel Bulgular
+ Denetim komiteleri, gelişen finans teknolojilerini ve bunların kurum içinde nasıl değerlendirildiğini ve uygulandığını anlamalıdır. Üretken yapay zekâ gibi teknolojilerin hemen benimsenmemesi durumunda yönetim, yeni teknolojilere yönelik yönetişim yapılarını ve kontrollerini ana hatlarıyla belirlemek için yönetim kuruluyla birlikte çalışmalıdır.
+ Finansal dönüşüm, organizasyonunda yeni beceriler ve uzmanlık gerektirebilir ve bu nedenle doğal olarak daha önce tartışılan yetenek yönetimi sorunlarıyla bu konu bağlantılıdır.
‘Denetim Komiteleri Uygulama Raporu’ için ankete katılan denetim komitesi üyeleri tarafından belirlenen en önemli beş önceliği özetlemiş olduk. Dünya hiç olmadığı kadar hızlı bir değişim ve dönüşüm sürecinden geçmekte. Bu nedenle finans, teknoloji vb. her alandaki gelişmeleri sıkı bir şekilde takip etmemiz gerekir diye düşünüyorum. Deloitte gibi dünyanın birçok yerinde faaliyetleri olan denetim ve danışmanlık firmalarının bu tarz rapor ve çalışmalarını da ayrıca önemsiyorum çünkü bu çalışmalarda dünyanın farklı bölgelerindeki profesyonellerin fikirleri alınıyor ve anket yoluyla sayısal veriler elde ediliyor.
Bu raporun ve yazımın denetim camiasındaki üstatlara ve meslektaşlarıma faydalı olması dilerim.
No responses yet