İç Denetçiler Enstitüsü Avustralya (IIA-Australia) tarafından white paper formatında ‘İç Denetim Fonksiyonu Risklerinin Yönetimi’ başlıklı bir rapor yayımlanmıştır. Tanımında da geçtiği üzere iç denetim; yönetişim, risk yönetimi ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek için sistematik ve disiplinli bir yaklaşım getirerek bir kurumun hedeflerine ulaşmasına yardımcı olur. Bu zamana kadar ki araştırma ve yazılarımda iç denetimin bir kurum içerisindeki etkisine, kurumun hedeflerine ulaşmasındaki rolüne odaklanmıştım. IIA Australia tarafından yayımlanan raporu gördükten sonra iç denetim birimlerinin kendi içerisinde barındırdığı riskleri ve bu risklerin yönetimi konusunun da çok önemli olduğunun farkında vardım. Çünkü bir iç denetim birimi kendi risklerini etkin bir şekilde yönetemiyorsa kurum genelindeki risklere olan farkındalığının düşük olacağını ve bundan ötürü de kurumun hedeflerine ulaşması noktasındaki katkısının sınırlı düzeyde kalacağını düşünmekteyim. Bu yazımda raporu özetlemeye ve önemli noktaları ele almaya çalışacağım.
Bu white paper’ın (resmi rapor/sunuş belgesi) amacının iç denetim fonksiyonlarının kendi risklerini nasıl daha iyi yönetebileceğini açıklamak olduğu belirtilmekte.
Arka Plan (Background)
Etkin bir risk yönetim sistemi kurumların başarıya ulaşabilmeleri için şarttır. Çeşitli türlerdeki kurumlar, yönetim kurulu düzeyinde uygun bir gözetim ile riskleri aktif olarak tanımlar ve yönetirler. Avustralya Menkul Kıymetler Borsası (ASX) tarafından yayımlanan ‘Kurumsal Yönetim İlkeleri ve Tavsiyeleri’ne göre borsada işlem gören kurumların, riski denetlemek ve kurumun risk yönetimi çerçevesini gözden geçirmek için özel bir yönetim kurulu komitesine sahip olması gerekir. Bununla birlikte etkin risk yönetim süreci yalnızca yönetim kurulu veya icra düzeyinde sağlanamaz. İç denetim fonksiyonu da dahil olmak üzere bir organizasyonun tüm iş birimlerinin, bölümlerinin ve fonksiyonlarının bu sürece katılması gerekir.
Sorun (Issue)
ISO 31000 ‘Risk yönetimi – Kılavuzlar’ riski “belirsizliğin hedefler üzerindeki etkisi” olarak tanımlar. Organizasyonlar gibi iç denetim fonksiyonlarının da belirsizlikten etkilenen tarafları vardır. Ancak iç denetim fonksiyonları zamanlarının tamamını olmasa da çoğunu organizasyonlarının yönetişim, risk yönetimi ve kontrol süreçlerine bakarak geçirirler. Ancak iç denetim fonksiyonları, temel risklerin ve kontrollerin etkili bir şekilde yönetilip yönetilmediğini değerlendirmek için kendi fonksiyonlarını ne sıklıkla inceliyor?
Küresel iç denetim standartlarındaki iç denetimin tanımından alıntı yapmak gerekirse, bir iç denetim fonksiyonu iç denetim, risk yönetimi ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek için sistematik, disiplinli bir yaklaşım getirerek kendi hedeflerine ulaşmaya nasıl yardımcı olabilir?
Bu white paper (resmi rapor/sunuş belgesi) iç denetim fonksiyonlarının başarılarını etkileyebilecek riskleri aktif bir şekilde nasıl tanımlayabileceğini, değerlendirebileceğini ve bunlara ne şekilde yanıt verebileceğini incelemektedir.
İç Denetim Fonksiyonunun Karşılaştığı Riskler
İç denetim fonksiyonunun görevini yerine getirirken karşılaştığı riskler, iç denetim yöneticisinin ve bireysel iç denetçilerin etkinliğini ve güvenilirliğini etkileyebilir. İç denetim fonksiyonunu etkileyebilecek riskler şunları içerir:
| Risk Kategorisi | Risk Örnekleri |
| Stratejik | › Paydaş Yönetimi – Temel paydaş beklentilerini belirleyip karşılayamama.
› Stratejik Proje ve Girişimler – Büyük girişimlerin ve projelerin sistematik ve koordineli bir şekilde planlanmaması ve yürütülmemesi (Örneğin yeni denetim yazılım sisteminin uygulanması, yeni düzenleyici veya endüstriyel standartlara uyum). › Organizasyon Yapısı – İç denetim fonksiyonunun organizasyon yapısı, stratejik hedeflere ve iş hedeflerine verimli bir şekilde ulaşılmasını desteklememektedir. › İç İletişim – İç denetim ekibinin endişelerini anlamamak veya bunlara zamanında yanıt vermemek. › Marka ve İtibar – İç denetim fonksiyonunun misyonuna uygun bir marka, itibar ve güven yaratma, tanıtma ve sürdürmede başarısızlık. Bu aynı zamanda iç denetim fonksiyonunun değerlendirmelerinde önyargılı veya tarafsız olarak algılanma riskini de içerir. › Pazar Dinamikleri – İç denetim fonksiyonunun misyonunu yerine getirme yeteneğini etkileyen dış ortamdaki değişiklikler; örneğin, kilit personelin kaybı veya başka yerlerdeki müşterilere daha iyi ödeme yapılması nedeniyle uzman hizmet sağlayıcıların yetersizliği. |
| Operasyonel | › Kültür – İç denetim ekibi üyelerinin yaşamasını istediğiniz kültürü, kurumsal değerler ve iç denetim fonksiyonunun misyonu doğrultusunda tanımlamamak ve güçlendirmemek.
› Hizmet Kataloğu – İç denetim fonksiyonu tarafından sağlanan görev türleri iş ihtiyaçlarına uygun olmayabilir veya iç denetimin yetkisi bu görevlerin yerine getirilmesini desteklemeyebilir. › Risk Odaklılık – İç denetim planının kurumsal strateji ve temel risklerle uyumsuzluğu. › Değişim Yönetimi – İç denetim ekibinin değişime karşı direnci veya kötü yönetilen değişim girişimleri (örneğin değişimin çok sık olması, istişarede bulunulmadan yapılması, eğitim eksikliği vb.) › İnsan Yönetimi – Optimum personel seviyelerini ve yeterli yedekleme planlamasını sağlamak için nitelikli çalışanların işe alınmaması ve elde tutulmaması. Buna yüksek oranlı personel değişimleri de dahildir. › Yanlış Güvence – İç denetim fonksiyonunun kurumsal bir faaliyete katılımının kuruma mutlaka kesin bir güvence sağladığı varsayımı. › Temin – İç denetim hizmeti sağlayıcılarının atanmasında şeffaflık eksikliği veya gecikmeler. › Görev Kapsamı – Görevler sırasında iç denetim ekibi ve yönetim kapsamının kayması veya kapsam sınırlamaları. › Görev Döngü Süreleri – Ağır dokümantasyon gereklilikleri, yönetime aşırı sayıda rapor taslağı verilmesi, etkisiz proje yönetimi vb. nedeniyle denetimin başlangıcından sonuna kadar uzun döngü süreleri. › Hizmet Sağlayıcılar – İç denetim hizmet sağlayıcılarının işe alımı ve gözetiminin etkin olmaması. › Dolandırıcılık ve Etik Olmayan Davranış – İç denetim ekibinin sahte çalışma kağıtları, gider raporu manipülasyonu, denetim komitesine yanlış beyanda bulunma vb. gibi dolandırıcılık davranışları. › Raporlamanın Doğruluğu – Denetim komitesinin katılımı ve raporlaması doğru veya eksiksiz olmayabilir. |
| Finansal | › Bütçe Ayarlama – İç denetim planlaması sırasında gerekli mali kaynakları tahmin etmek için kullanılan eksik veya yanlış veriler.
› Bütçe Sınırları – Denetim komitesi tarafından onaylanan iç denetim fonksiyonu bütçesinin aşılması. |
| Uyum | › Standartlar – ‘Küresel İç Denetim Standartlarına’ uyumsuzluk.
› Yasalar ve Düzenlemeler – Aşağıdaki gibi gerekliliklere uyulmaması: (Raporda bu bölümde Avustralya’ya özgü düzenlemeler sayılmıştır bu nedenle detayları eklemedim.) |
IIA Standartları İç Denetim Risklerinin Yönetiminde Nasıl Yardımcı Olur?
(Not: Raporun başında ‘Bu kaynak, 2024 yılında ‘Küresel İç Denetim Standartları’ yayınlandıktan sonra hazırlanmıştır’ ifadeleri yer almaktadır. Yani aşağıda belirtilen standartlar 9 Ocak 2024 yılında yayımlanan ve 9 Ocak 2025 yılında yürürlüğe girecek olan yeni küresel iç denetim standartlarından alınmıştır.)
‘Küresel İç Denetim Standartları’ bunların ‘Dünya çapındaki profesyonel iç denetim uygulamalarına rehberlik ettiğini ve iç denetim fonksiyonunun kalitesini değerlendirmek ve yükseltmek için bir temel oluşturduğunu’ belirtir. Bu bağlamda standartlar, iç denetim fonksiyonlarının karşı karşıya kalabileceği potansiyel risklere yönelik çeşitli yanıtlar sağlamaktadır.
› Denetim çalışması yapılırken potansiyel önyargıların belirlenmemesi veya yönetilmemesi riski – Standart 2.1 ‘Bireysel Objektiflik’ aracılığıyla ele alınmaktadır.
› Kendi kendini denetleme riski/yönetim sorumluluklarını yerine getirme riski – Standart 2.1 ‘Bireysel Objektiflik’ aracılığıyla ele alınmaktadır.
› Veri kaybı veya verilerin iç denetçiler tarafından kötüye kullanılması riski – Standart 5.2 ‘Bilgilerin Korunması’ kapsamında ele alınmıştır.
› İç denetim faaliyetlerinin paydaş beklentileriyle uyumlu olmama riski – Standart 8.1 ‘Yönetim Kurulu Etkileşimi’ ve Standart 11.1 ‘Paydaşlarla İlişkiler Kurma ve İletişim’ aracılığıyla ele alınmıştır.
› İç denetimin bütçesinin, personelinin veya teknoloji kaynaklarının, Standart 10.1 ‘Finansal Kaynak Yönetimi’, Standart 10.2 ‘İnsan Kaynakları Yönetimi’ ve Standart 10.3 ‘Teknolojik Kaynaklar’ aracılığıyla ele alınan iç denetim planını etkili bir şekilde sunma yeteneğini sınırlama riski.
› Denetim sonuçlarının yeterince desteklenmeme riski – Standart 12.3 ‘Görev Performansının Gözetilmesi ve İyileştirilmesi’ ve Standart 14.1 ‘Analiz ve Değerlendirme için Bilgi Toplanması’ kapsamında ele alınmaktadır.
İç Denetim Risklerinin Yönetiminde Sistematik ve Disiplinli Bir Yaklaşım
Risk yönetimi çerçeveleri genellikle temel risk yönetimi faaliyetlerini aşağıdaki beş adıma ayırır:
Bu adımlar iç denetim fonksiyonu risklerini yönetmek için de uygulanabilir:
- Adım – Tanımlama
| Atılacak Adım | Değerlendirmeler |
| İç denetim fonksiyonunun maruz kalabileceği tüm potansiyel riskleri belirleyin. | › İç denetim fonksiyonunun (İç denetim tüzüğü) amacı, tanımı ve yetki alanından başlayın.
› Kuruluşunuzun stratejisini, amaçlarını ve hedeflerini gözden geçirin ve denetim döngüsü içinde ona doğrudan veya dolaylı olarak katkıda bulunan iç denetim süreçlerini listeleyin. › Belirlenen süreçlerdeki (iç denetim planlaması, görevin yürütülmesi, denetim komitesi raporlaması vb.) riskleri şirket içinde, risk ekibi ve uyum ekibiyle ve dış sektörle birlikte ele almayı değerlendirin ve sektör literatürüne başvurun. › Tüm riskleri dikkate almak ve bu süreç aracılığıyla belirlenen riskleri kategorilere ayırmak için kuruluşunuzun risk değerlendirme metodolojisini (varsa) kullanın. Çıktı – Risk kaydındaki süreçlerin ve ilgili risklerin listesi. |
- Adım – Değerlendirme
| Atılacak Adım | Değerlendirmeler |
| Önemini belirlemek için riskleri olasılık ve etkiye göre değerlendirin ve kategorilere ayırın. | › Riskleri değerlendirmek için kuruluşun kendi risk değerlendirme metodolojisini kullanın.
› Bir etki / olasılık matrisi, bir risk derecelendirmesi elde etmek için etkiyi (örneğin ihmal edilebilir ile ciddi) ve olasılığı (örneğin olası değil ile çok olası) kullanarak riski objektif bir şekilde değerlendirmek için kullanılabilir. › Değerlendirmenin bir parçası olarak süreçlerin bozulma ve hedeflerine ulaşamama eğilimini göz önünde bulundurun. Göz önünde bulundurabileceğiniz bazı faktörler: › Stratejik önem › Düzenleme önemi › Süreç karmaşıklığı ve otomasyon düzeyi › İlgili kişilerin yeteneği ve kapasitesi › Sıklık frekansı › Dayanıklılık ve sürdürülebilirlik › Dolandırıcılık, operasyonel kayıp, ihmal edilen hatalar, düzenleme ve dış denetim bulguları vb. gibi geçmiş sorunlar veya endişeler) Çıktı – Kayıttaki tüm risklerin, destekleyici gerekçelerle birlikte bir risk derecelendirmesi vardır. |
- Adım – Önceliklendirme
| Atılacak Adım | Değerlendirmeler |
| İç denetim fonksiyonu açısından çok az sorun yaratacak bir riske düşük öncelik verilmesini sağlayacak şekilde riskleri önemlerine göre sıralayın. | › Liste tamamlandıktan sonra dikkat gerektiren alanlara öncelik verin.
› Risklere ilişkin anlayışınızı 2. savunma hatta bulunan güvence faaliyetleriyle veya konunun uzmanlarıyla test edin. Çıktı – Hangi risklerin ele alınması gerektiği konusunda netlik; örneğin tüm riskler ‘Orta’ya eşit ve üzeri. |
- Adım – Yönetme
| Atılacak Adım | Değerlendirmeler |
| Riski kabul ederek, kaçınarak, yöneterek veya paylaşarak riske yanıt verin. | › Önemsiz riskleri kabul etmeye açık olun.
› Riskleri yönetmek için kontrolleri belirleyin ve geliştirin veya riskleri ele almak, riskleri kabul etmek, önlemek veya paylaşmak gibi alternatif stratejileri değerlendirin. › Kontroller bir iç denetim görevi sırasında tavsiyelerin veya iyileştirmelerin nasıl geliştirildiğine benzer şekilde tanımlanabilir: › Kontrolü yürütmek için en iyi konum kimdedir (örneğin kapasite / yetenek)? › Kontrolün (önleyici / tespit edici) yürütülmesi için en uygun zaman ne zamandır? › En iyi kontrol hangisidir (manuel inceleme / otomatik yapılandırılmış iş akışı vb.)? › Kontrolün en iyi kanıtı nerededir (örn. kontrol listesinin imzalanması)? › Kontrol riski nasıl yönetiyor? Örneğin: İç denetim yöneticisi, denetim kanıtlarının denetim sonuçlarını desteklemek için yeterli ve uygun olduğunu doğrulamak amacıyla iç denetim raporunu yayınlamadan önce denetim yönetim sistemindeki bir denetim dosyasını inceler ve onaylar. Çıktı – Tüm önemli riskler ve bunları hafifleten kontroller belirlenir. Kontrollerin bulunmadığı veya etkisiz olduğu durumlarda, önemli riskleri ele almak için Spesifik / Ölçülebilir / Ulaşılabilir / İlgili / Zamana Dayalı (SMART) eylem planları mevcuttur. |
- Adım – İzleme/Denetleme
| Atılacak Adım | Değerlendirmeler |
| Potansiyel yeni risklere karşı hem kontrollerin işleyişini hem de operasyonel ortamı sürekli olarak izleyin. | › Organizasyonlar ve çevre dinamik olduğundan ve riskler değiştiğinden, sürekli izleme etkili bir risk yönetiminin anahtarıdır.
› İç denetim fonksiyonu, etkin risk izleme için bir dizi strateji kullanabilir. Yararlı olduğu tespit edilen uygulamalar şunlardır: › Risklerin zaman içinde risk iştahı dahilinde kalıp kalmadığını değerlendirmek için temel risk göstergelerini (KRI’ler) geliştirin ve izleyin. › Kontrollerin riskleri etkili bir şekilde yönetmeye devam edip etmediğini doğrulamak için mevcut kontrollerin (tasarım etkinliği ve çalışma etkinliği) periyodik olarak öz değerlendirilmesi. › Değişen düzenlemeler, risk sorunları, olaylar veya durumlar gibi son gelişmelerin ve dış incelemelerin mevcut risklere ekleme veya revizyon gerektirip gerektirmediğini doğrulamak için risk kaydının periyodik olarak gözden geçirilmesi. › Açık eylemlerin kararlaştırılan zaman dilimlerine göre dahili olarak iç denetim fonksiyonu içerisinde ve denetim komitesine ve 2. savunma hattına, özellikle de risk toplama ve raporlama mekanizmasının mevcut olduğu durumlarda periyodik olarak raporlanması. Çıktı – Değişen risk ortamının sürekli izlenmesi ve genel risk durumunun iyileştirilmesi iç denetim fonksiyonunun kontrol ortamı. |
Sonuç
Kurumun herhangi bir birimi gibi iç denetim fonksiyonu da hedeflerine ulaşmada risklerle karşı karşıyadır. Bu riskleri pratik ve sürdürülebilir bir şekilde, tüm iç denetim ekibini dahil edecek şekilde aktif bir şekilde belirlemek, değerlendirmek ve bunlara yanıt vermek önemlidir.
Küresel iç denetim standartlarının gerektirdiği şekilde iç denetçiler, organizasyonun ve temel iş fonksiyonlarının sağlam risk yönetimi uygulamalarına sahip olup olmadığını değerlendirir. İç denetim fonksiyonları aynı değerlendirme zihniyetini kendi risklerine karşı da uygulamalıdır.
Bir iç denetim fonksiyonunun karşılaşabileceği tüm riskleri resmi olarak yönetmenin bir yolu olmasa da riski proaktif bir şekilde belirlemek, değerlendirmek ve bunlara yanıt vermek için pratik adımlar atmalı ve ortaya çıkan sınırlamaları veya önemli derecede yönetilemeyen riskleri denetim komitesine açıkça bildirmelidir.
Bir iç denetim fonksiyonunun itibarını ve markasını oluşturmak yıllar alır ve bu ciddi anlamda bir hata ve başarısızlıkla yok edilebilir. İç denetim fonksiyonunun risklerini aktif bir şekilde yönetmek ve tedaviyi metodolojilere ve günlük süreçlere dahil etmek, iç denetim fonksiyonunun korunmasına ve etkinliğinin arttırılmasına yönelik çok faydalı bir yol olacaktır.
Kaynak
IIA-Australia White Paper – Managing Internal Audit Function Risks
https://iia.org.au/technical-resources/white-paper/iia-australia-white-paper-managing-internal-audit-function-risks?at_context=75
No responses yet