Odaktaki Risk 2025: İç Denetçiler İçin Güncel Konular (IIA)

Giriş

Bu yazımda Uluslararası İç Denetçiler Enstitüsü (The Institute of Internal Auditors – IIA) tarafından yayımlanan ‘Odaktaki Risk 2025: İç Denetçiler İçin Güncel Konular’ (Risk in Focus 2025: Hot Topics for Internal Auditors) başlıklı rapordan bazı notlar paylaşacağım. Aşağıdaki görselden de görüleceği üzere 6 farklı bölgenin 6 farklı ‘Odaktaki Risk 2025’ raporu mevcut. Ben ‘Odaktaki Risk 2025, Küresel Özet’ (Global Summary) raporundan derlediğim önemli noktaları sizlerle paylaşmak istiyorum.

Odaktaki Risk, iç denetçilerin ve paydaşlarının günümüzün risk ortamını anlamalarına ve denetim planlarını güncellemelerine yardımcı olmak için pratik, veri odaklı araştırmalar sunmaktadır. Odaktaki Risk, anket sonuçlarını ve bölgesel yuvarlak masa toplantılarını kullanarak dünya çapındaki iç denetim liderlerinin şu konulardaki temel görüşlerini ortaya koymaktadır:

• Mevcut risk seviyeleri ve denetim öncelikleri.
• Geçtiğimiz yıldaki risk seviyelerinde yaşanan değişiklikler.
• Bölge başına risk etkenleri.
• En önemli riskleri ele almak için önde gelen uygulamalar.

Araştırmaya Dair Nicel Veriler

Küresel Risk Trendleri

Siber güvenlik, iş sürekliliği ve insan sermayesi küresel risk sıralamasında ilk üç sırayı elinde tutmaya devam ediyor. Önümüzdeki üç yıl içinde dijital yıkım riskinin %20 artarak ikinci sıraya yükselmesi bekleniyor. Aynı zamanda iklim değişikliği riskinin %16 artarak beşinci sıraya yerleşmesi bekleniyor. Diğer on dört risk alanının hiçbirinin sıralamada veya yüzdelerde yukarıda sayılanlar kadar dramatik değişiklikler görmesi beklenmiyor.

❓Anket soruları: Kuruluşunuzun şu anda karşı karşıya olduğu en büyük 5 risk nedir? En büyük 5 riskin 3 yıl sonra ne olacağını düşünüyorsunuz?

Bölgesel Bazlı Risk Trendleri

❓Anket sorusu: İç denetimin en çok zaman ve emek harcadığı ilk 5 denetim alanı hangileridir?

Küresel ortalamaya göre ilk 5 denetim alanı şu şekilde:

1. Siber Güvenlik (%69)
2. Yönetişim/Kurumsal Raporlama (%56)
3. İş Sürekliliği (%55)
4. Mevzuat Değişiklikleri (%46)
5. Finansal Likidite (%45)

Güncel Konu 1 – İklim Değişikliği

Mevzuata uyum birincil güvence unsurudur.

İklim değişikliğinin etkileri her geçen yıl daha da belirginleşiyor. Aşırı hava olaylarının yoğunluğu ve sıklığı artıyor gibi görünse de henüz denetim planlarında bir değişiklik yapılmasına neden olmuyor.

Dünyanın dört bir yanındaki İç Denetim Yöneticileri, bu alandaki risk yönetiminin öncelikle uzun vadeli sürdürülebilirlik çabalarına, ilgili düzenleyici raporlamaya ve yeşil aklamaya ilişkin itibar risklerine uyuma odaklanıldığını söylemekteler.

Siyasallaşma

İklim değişikliğinin siyasallaştırılması, ABD’de iklim değişikliği düzenlemelerinin yavaşlamasında büyük bir rol oynamakla birlikte bu durum ayrıca iklim risklerinin iç denetim kapsamına alınmasında da olumsuz bir etki oluşturmakta.

Beklenen Değişim

Tüm bölgeler, aşağıdaki sayfadaki grafikte gösterildiği gibi, önümüzdeki üç yılda iklim değişikliği risklerinin önemli ölçüde artacağını bekliyor. Turuncu çubuklar, mevcut risk ile üç yıl içinde beklenen risk arasındaki farkı gösteriyor. En büyük değişikliklerin Asya Pasifik (%21) ve Orta Doğu (%20) için olması bekleniyor. En küçük değişikliklerin ise Avrupa (%12) ve Latin Amerika (%11) için olması bekleniyor.

❓Anket soruları: Kuruluşunuzun şu anda karşı karşıya olduğu en büyük 5 risk nedir? Sizce en büyük 5 risk 3 yıl sonra ne olacak? (Konu: İklim değişikliği/Çevre)

İş Sürekliliği ve Sosyal Etki

Mevzuat uyumuna öncelikli olarak odaklanılmasına rağmen, iç denetim liderleri iklim değişikliğinin fiziksel etkilerinin daha çok olduğunu kabul ediyor. Latin Amerika’da yaşanan kasırgalar, seller, kuraklıklar ve aşırı sıcaklar iş operasyonlarını ve tedarik zincirlerini bozuyor hatta Panama Kanalı’ndan ulaşımı yavaşlatıyor.

Umeme Ltd. şirketinde iç denetim başkanı ve Afrika İç Denetim Enstitüleri Federasyonu başkanı Ruth Doreen Mutebe, Afrika’da aşırı hava olaylarının sosyal etkileri arasında gıda ve su kıtlığı, salgın hastalıklar, altyapı ve konut kayıplarının yer aldığını söyledi. Ankete katılan tüm bölgelerdeki kamu sektörü denetçileri, kuruluşlarının aşırı hava koşullarına karşı özellikle savunmasız olduğunu, hazırlık ve müdahale için fon bulmaları gerektiğini söylüyor.

Güncel Konu 2 – Dijital Yıkım

Yapay zekâ fırsatlar ve riskler yaratıyor.

Yirmi birinci yüzyılın büyük bölümünde, dijital dönüşüm büyüyen ve dinamik bir risk alanı oldu ve 2022’de kullanıcı dostu, sıfır maliyetli üretken yapay zekâ araçlarının tanıtılması, bu karmaşıklığın daha da artmasına sebep oldu.

Modern iş stratejileri, yenilikçi teknolojilerin yarattığı fırsatları siber güvenlik riski, veri yönetimi ve veri gizliliği düzenlemeleri üzerindeki etkileriyle dengelemelidir. Bununla birlikte yapay zekâyı iş operasyonlarına dâhil etmek verimlilik, üretkenlik ve rekabet gücü açısından hayati önem taşımaktadır.

İç denetim liderleri, kendi organizasyonları ve kendi denetim fonksiyonları içindeki bu hassas dengenin öneminin son derece farkındadır. Dijital yıkım (yapay zekâ dâhil) hızla küresel çapta en önemli risklerden biri haline geliyor ve etkileri yaygın olarak kabul ediliyor. Bu konuyla ilgili Odaktaki Risk yuvarlak masa toplantıları sırasında, denetim liderleri arasında yapay zekânın anlaşılması ve benimsenmesinin aciliyeti açıkça görülüyordu. İç denetim liderleri dijital yıkım ve yapay zekâ riskleriyle başa çıkarken rekabet baskısı, operasyonel problemler, uygulamaya dönük konular ve mevzuat uyumu önemli sorunlar olarak tanımladılar. İç denetim liderleri ayrıca siber güvenlik, dolandırıcılık, organizasyon kültürü ve daha fazlasıyla ilişkili risklerin mevcudiyetini görüyorlar.

❓Anket sorusu: İç denetimin en çok zaman ve emek harcadığı ilk 5 denetim alanı hangileridir?

Odaktaki Risk yuvarlak masa toplantılarının temel temalarından biri yapay zekâ yönetişiminin genel olarak olgunlaşmamış olmasıdır. Etkili veri güvenliği, veri uyumluluğu, yama yönetimi ve yazılım güvenliği gibi dijital dönüşümle ilişkili kontrollere duyulan ihtiyaç, yönetim kurulları ve üst yönetimler tarafından genel olarak kabul edilmektedir. Bununla birlikte, üretken yapay zekânın yarattığı fırsatlara ayak uydurma çabası, bazen yönetim ve kontrollerin desteklenmesine yeterince önem verilmeden hızlı bir şekilde benimsenmesine neden oluyor. Ayrıca belirtmek gerekir ki yapay zekâyı kullanmaya ve yönetmeye yönelik stratejiler veya politikalar tutarsızdır, koordine değildir veya çoğu durumda mevcut değildir.Denetim liderleri, sağlam yönetişimin kritik öneme sahip olduğu ve iç denetimin, yönetim kurulu ve üst düzey yöneticileri yapay zekâ ile ilgili veri kalitesi, veri gizliliği ve etik kurallar konusunda eğitmede rol oynaması gerektiği konusunda hemfikir.

Teknolojinin Peşinde

Dünyanın gelişmekte olan bölgelerinde yapay zekâ ve teknolojinin aralıksız ilerlemesi farklı ve aynı derecede sinir bozucu bir zorluk teşkil ediyor. Latin Amerika ve Afrika’daki birçok işletmenin gelişmiş bir teknoloji altyapısı yok bu nedenle dijital yıkımın zorluğu yalnızca mevcut teknolojiyi güncellemekten ibaret değil. Birçokları için en büyük engel, dijital teknolojiye çok az veya hiç bağımlı olmayan işletmeler için dijital dönüşümün maliyetidir.

“Şirketimi ve Brezilya’daki diğer birçok şirketi düşünüyorum. Milyarlarca fatura kesen çok uluslu şirketlerden bahsetmiyorum,” dedi Latin Amerika yuvarlak masa katılımcılarından biri. “Bugün, çoğu şirket bu kadar fazla fatura kesmiyor ve ayrıca çok gelişmiş bir BT departmanına sahip değil. Şirketim daha dijital olma yolunda ilerliyor ancak maliyetler çok yüksek.”

İç Denetim Faaliyetlerinde Yapay Zekânın Kullanılması

Yapay zekâ üzerinde etkili güvence ve danışmanlık hizmetleri elde etmenin kritik adımlarından biri, iç denetimin teknolojiyi kendi süreçlerinde benimsemesi olacaktır. Gerçekten de, bir iç denetim lideri, yapay zekâyı benimsememenin felaketle sonuçlanabileceği konusunda uyardı. AuditBoard kıdemli denetim danışmanı Richard Chambers, “Ben daha çok [iç denetimin] yapay zekâ kullanımı ve yapay zekâ risklerini denetleme yeteneğimiz konusunda endişeliyim” dedi. “Bu alandaki uzmanlığımızın eksik olmasının kuruluşlarımızı savunmasız bırakmasından endişeleniyorum.” Richard Chambers uygulayıcıları, yapay zekâyı uygulamalı deneyim yoluyla öğrenmeye teşvik ediyor. “Ellerinizi kirletmeye istekli olmalısınız.”

SONUÇ

Bir stratejik danışman olarak iç denetim fonksiyonu

Sayısız riskin etkin bir şekilde yönetilmesi konusunda kuruluşlardan beklenenler her geçen gün daha da karmaşık hale geliyor. Etkili risk yönetiminin ayrılmaz oyuncuları olarak, iç denetçiler yalnızca gelişen risklerle başa çıkmakla kalmamalı, aynı zamanda kuruluşlarının bunları tahmin etmesine ve yönetmesine yardımcı olmalıdır.

Siber güvenlik, iş sürekliliği ve insan sermayesi, öngörülebilir gelecekte en önemli riskler ve denetim öncelikleri olmaya devam edecek ancak iç denetçiler, kuruluşlarının bugünün ötesini görmelerine ve gelecekteki risklere hazırlanmalarına yardımcı olmalıdır. Dijital yıkım (yapay zekâ dâhil) ve iklim değişikliği, kuruluşların ortaya çıkan riski yönetebilecek, rekabete ayak uydurabilecek ve kısa vadeli başarı ve uzun vadeli büyüme için net bir strateji sürdürebilecek kadar esnek ve dayanıklı olmaları yönündeki baskıyı artırıyor.

Odaktaki Risk: 2025 raporlarının sunduğu güçlü analiz, iç denetçilerin aşağıdaki yollarla kuruluşlarında stratejik danışmanlar olarak yerlerini alma ihtiyacını keskin bir şekilde ortaya koymaktadır:

• Kuruluşların ve sektörlerin içindeki en önemli risk faktörlerini anlamak.
• Yönetim kurullarını ve üst düzey yöneticileri teknoloji, iş, toplum, iklim ve politik eğilimler ve gelişmeler konusunda güncel tutmak.
• Risk ortamının kurumsal stratejiyi nasıl etkilediğini açıkça ortaya koymak.
• Kuruluşta yapay zekâ yönetişiminin desteklenmesi ve iç denetim süreçleri için yapay zekâdan faydalanmak.

Organizasyonların karşı karşıya olduğu risklerin gelecekte daha karmaşık ve birbiriyle ilişkili hale geleceğine dair çok az tartışma var. İç denetçiler, paydaşları için etkin güvence ve danışmanlık hizmetlerinin objektif ve bağımsız kaynakları olarak değer katmaya devam edeceklerdir.