IIA (Institute of Internal Auditors) tarafından iki ayda bir olmak üzere şirketlerin üst yönetimlerine, yönetim kurullarına ve denetim komitelerine, etik, risk yönetimi ve kurum kültürü gibi yönetişimle ilgili konularda kısa bilgiler aktarmak amacıyla ‘Tone at The Top’ başlığı ile bültenler yayımlanmaktadır. Bu yazımda 2024 yılı boyunca IIA tarafından yayımlanan bültenlerin tamamına özet şeklinde bulabilirsiniz. Esasında bültenler yayımlandıktan sonra LinkedIn hesabımda özet notları paylaşıyorum. Bu yazımda ise bültenlerde ele alınan konuları toplu halde bulabileceksiniz.
‘Tone at The Top’ bültenleri 2 ayda bir olmak üzere senede toplamda 6 defa yayımlanmaktadır. Şubat-Nisan-Haziran-Ağustos-Ekim-Aralık 2024 şeklinde. Bu 6 bülteni güncelden eskiye doğru aşağıda özetleyeceğim. Faydalı olması dileğiyle.
Aralık 2024 – 126. Sayı
Bülten Başlığı: En Önemli Risklere Odaklanma
İç Denetçiler Enstitüsü’nün ❝Odaktaki Risk 2025❞ raporu, iç denetim liderlerinin (kurumlarına 360 derecelik bir bakış açısına sahip, bağımsız, objektif profesyoneller) akıllarında kalan sorunları tespit etmektedir. Bu çalışmada ankete verilen küresel yanıtlar paylaşılmaktadır.
Hızla Artan Riskler
Ankette, iç denetim liderlerinden bugün uğraştıkları en önemli sorunları ve üç yıl içinde en önemli olmasını bekledikleri sorunları belirtmeleri istendi.
Dijital Yıkım (Yapay Zekâ Dahil): Mevcut riskler listesinde, bu tehdit geçen yıl 5. sırada iken 2025’te 4. sıraya yükseliyor. Anket katılımcılarının % 39’u bu riski 2025’te ilk 5 riskten biri olarak seçti.
İklim Değişikliği/Çevre: Anket katılımcıları bu konunun risk sıralamasında özellikle dramatik bir yükseliş yapmasını bekliyor. Geçtiğimiz yıl 14. sırada yer alan iklim değişikliği/çevre, iç denetim liderlerinin %23’ü tarafından 2025 için 13. risk olarak gösteriliyor. Ancak bu profesyonellerin %39’u önümüzdeki üç yıl içinde 5. sıraya yükseleceğini düşünüyor.
Siber Güvenlik: Siber güvenlik, 2024 ve 2025’in açık ara en büyük riskidir ve önümüzdeki üç yıl boyunca da en büyük endişe kaynağı olmaya devam etmesi bekleniyor.
İş Sürekliliği: Bu risk, bir önceki ankette güncel riskler listesinde 3. sırada yer alırken, bu yıl 2. sıraya yükseldi; ancak dijital dönüşümün artması nedeniyle önümüzdeki üç yıl içinde tekrar 3. sıraya gerileyecek.
İnsan Sermayesi: İnsan sermayesi riski, yakın tarihli ve öngörülen tüm risk sıralamalarında ilk dört risk arasında yer almaktadır.
Denetim Önceliklerinde Bir Kopukluk
Anket, mevcut ve beklenen riskler ile iç denetimin bu risklere ayırdığı zaman ve emek arasında bazı kopukluklar olduğunu ortaya koymakta. Dijital yıkım ve iklim değişikliği risklerinin artan önemine rağmen, bunlar çoğu denetim planında öncelikli değil. Bunun yerine, iç denetim ekipleri zamanlarının ve emeklerinin çoğunu siber güvenliğe harcıyor. Bu arada, iç denetçilerin en önemli beş riski arasında yer almasına rağmen, dijital bozulma iç denetçilerin zaman ve çaba harcadıkları alanlar listesinde 9. sırada yer alıyor.
Gelecekteki Risklere Hazırlanmak
Yönetim kurulu üyelerinin hızla değişen bu ortamda ortaya çıkan ve artan riskler hakkında bilgi sahibi olmak isteyeceği açıktır. Yönetim kurulları, kurumun karşı karşıya olduğu riskleri ve faydaları ve bu riskleri ele alacak gerekli kontrol ortamını anlamasına yardımcı olmak için iç denetime başvurabilir.
Ekim 2024 – 125. Sayı
Bülten Başlığı: Yönetim Kurulunun Siber Dayanıklılıktaki Rolü
Şirketiniz bir sonraki siber saldırıya hazır mı? 2024 Cisco Siber Güvenlik Hazırlık Endeksi’ne göre, çoğu kurum gelecekte böyle bir olayın yaşanmasını bekliyor ve iş dünyası ve siber güvenlik liderlerinin %73‘ü önümüzdeki 12 ilâ 24 ay içinde bir siber olayın faaliyetlerini sekteye uğratacağını öngörüyor.
Yönetim Kurullarından Yeni Beklentiler
Düzenleyiciler ve hissedarlar, yönetim kurulunun siber güvenlik konusundaki sorumluluğunu incelemekte ve yönetim kurulu üyelerinin kurumlarının güvenlik açıklarını gözetip denetlemesine yönelik yeni beklentiler ortaya koymaktadır. ABD Menkul Kıymetler ve Borsa Komisyonu Siber Güvenlik Risk Yönetimi, Strateji, Yönetişim ve Olay Açıklamaları başlıklı nihai bir kural kapsamında, halka açık şirketler için, özellikle de önemli siber güvenlik olaylarına ilişkin açıklamaları ve kayıtlı şirketlerin bu riskleri nasıl değerlendirdiği, tanımladığı ve yönettiğinin yanı sıra yönetimin bunların değerlendirilmesi ve yönetilmesindeki rolü hakkında periyodik açıklamaları ele alan gerekli ekleri ortaya koymaktadır. Bu nihai kurallar, yönetim kurullarının siber güvenlik risklerine yönelik gözetimi hakkında açıklama yapılmasını da gerektirmektedir.
“Yönetim Kurulları: Endüstriler İçin Nihai Siber Güvenlik Savunması (Boards of Directors: The Final Cybersecurity Defense for Industrials)” başlıklı McKinsey makalesinde, yönetim kurulları gözetim rollerinin bir parçası olarak yöneticilerin ve ekiplerinin siber güvenlik konusunda yüksek bir standart belirlemelerini sağlamalıdır. Ardından, hedeflerin gerçekleştirilip gerçekleştirilmediğini ve ekiplerin siber güvenlik konusunda sorumluluk alıp almadığını tespit ederek siber güvenlik çaba ve çalışmalarını izlemelidirler. “Yönetim kurulu, bu tür girişimlerin planlanmasını ve finanse edilmesini sağlayan son savunma hattıdır,” diye belirtilmektedir.
Birçok yönetim kurulu, yönetimden güncel riskleri ve siber güvenlik hedeflerine yönelik kaydedilen ilerlemeyi gösteren bir siber puan kartı veya gösterge tablosu almaktadır. PwC, yönetim kuruluna sunulacak raporda yer alabilecek birkaç alana işaret etmektedir:
1️⃣ Çok yıllı bir stratejik plan ve mevcut yıla ait bir iş planı.
2️⃣ Siber güvenlik kaynak tahsisine ilişkin finansman ve personel bazında ayrıntılar.
3️⃣ NIST Siber Güvenlik Çerçevesi gibi tanınmış bir çerçeveye göre ölçülen bir olgunluk değerlendirmesi.
4️⃣ Görev açısından kritik sistemlerin düzenli aralıklarla güncellenen bir envanteri.
5️⃣ Kuruluşa yönelik önemli siber risklerin özeti.
6️⃣ Kuruluşun karşılaştığı önemli güvenlik olaylarının incelenmesi.
7️⃣ Çalışanların eğitimi ve bilinçlendirme çalışmalarına ilişkin bilgiler.
8️⃣ Siber sigorta poliçesi hakkındaki bilgiler de dahil olmak üzere kuruluşun olay hazırlık çerçevesine ilişkin ayrıntılar.
9️⃣ Üçüncü taraf siber risk stratejisine ilişkin ayrıntılar.
1️⃣0️⃣ Önemli hukuki ve düzenleyici gelişmelere ilişkin ayrıntılar.
İç Denetim: Siber Güvenlikte Güvenilir Ortak
Yönetim kurullarının, iç denetim birimlerinin siber güvenlik çalışmalarına katabileceği değerin farkında olmaları gerekir. İç denetim siber güvenlik stratejisi, yönetişimi ve kontrolleri hakkında özgün, objektif, bağımsız güvence ve danışmanlık hizmetleri sunmaktadır. PwC makalesi “Birçok şirket, dayanıklılık ve müdahale dâhil olmak üzere siber süreç ve kontrolleri gözden geçirmek için iç denetçilerden yararlanmaktadır” diye belirtmektedir.
İç denetim birimleri, siber olaylara müdahale ve kurtarma süreçlerini de kapsayan çeşitli yöntemlerle siber dayanıklılık çalışmalarına katkı sağlayabilir. Geçen yılki Risk in Focus raporunda, iç denetçilerin katabileceği değerlerden bazıları sıralanmaktadır ve bu liste bugün de geçerliliğini korumaktadır:
• Siber savunma yanıtlarının alakalı ve güncel olmasını sağlamak amacıyla yönetim kurulu da dâhil olmak üzere kurumun önemli bölümlerinde farkındalığın, bilgi ve beceri düzeyinin değerlendirilmesi.
• Risklerin ve tavsiyelerin açık bir şekilde iletilmesini ve gerektiğinde en üst düzeye taşınabilmesini sağlamak amacıyla bilgi güvenliğinden sorumlu genel müdür yardımcısı, bilişimden sorumlu genel müdür yardımcısı ve yönetim kurulu arasındaki raporlama hatlarının değerlendirilmesi.
• Kimlik avı test simülasyonları ve diğer farkındalık artırma faaliyetlerinin sıklığının, zamanlamasının ve etkinliğinin, çalışanların katılım düzeylerinin ve çalışanların eğitim ve takip süreçlerine ne kadar iyi entegre olduğunun değerlendirilmesi.
• Hem yönetim kurulunu yönetişim sorumlulukları konusunda eğitmek hem de risk azaltma süreçlerinin tam ve etkili olup olmadığını test etmek için senaryo pratiklerinin kullanılması.
• İç kontrol ortamının etkinliğinin ve kontrollerin birinci ve ikinci hatlara ne kadar iyi yerleştirildiğinin IIA’nın Üçlü Hat Modeli’ne göre ve çalışanların rahatsız edici veya müdahaleci bulduğu ve göz ardı etmesi, unutması veya atlatması muhtemel uygulamalara özellikle dikkat edilerek değerlendirilmesi.
• Kurumun yönetişim yapısının üçlü hat boyunca iş birliğini ne kadar iyi sağladığının değerlendirilmesi. • Kurumun siber güvenlik ve teknoloji düzenlemelerindeki küresel gelişmeleri ne kadar iyi izlediğinin ve iç kontrollerin gelecekteki gereksinimleri karşılamak için değiştirilebilmesine ne kadar hazır olduğunun belirlenmesi.
Ağustos 2024 – 124. Sayı
Bülten Başlığı: Kültür Denetimi
Bir organizasyonun kültürü, işlerin nasıl yürütüldüğü ve stratejilerin nasıl uygulandığı konusunda hayati öneme sahiptir. Geçtiğimiz on yıl boyunca iç denetçiler; çalıştıkları kurumlarda kültürün nasıl tanımlandığı, pratikte nasıl çalıştığı ve kurum üzerinde iyi veya kötü ne gibi etkileri olduğunu tespit edebilmek için sıklıkla kurum kültürüne yönelik denetimler gerçekleştirdiler.
Kültürle İlgili Önemli Konular
– Kuruma bağlılığı yüksek çalışanların sağladığı performans ve verimlilik artışları.
– Güçlü bir işe alma duruşu ve personeli elde tutma performansı.
– Kurum için pozitif bir itibar.
– Kurumun misyonu, beklentileri ve uygulamaları hakkında açıklığın artırılması sayesinde uyum sağlama yeteneğinin artması.
Çok yönlü olduğu için, kültürü tanımlamak güç olabilir, fakat IIA uygulama kılavuzu, Kültürü Denetlemek, şu tanımı vermektedir: “Kültür, bir kurumu oluşturan bireylerin gözle görülmeyen inanç sistemleri, değerleri, normları ve tercihlerini temsil eder. Davranış ise bu bireylerin eylem, davranış ve kararları yoluyla kültürün somut bir yansıması olarak ortaya çıkar.”
Kültürü Değerlendirmek
Kültür soyuttur ve geleneksel finansal ölçütlerle değerlendirilemez, fakat yine de onu ölçmek mümkün ve önemlidir. Konuşmasında, Hennessy, kültür ölçümü ve değerlendirmesinin değişimin teşvik edilmesinde hayati bir rol oynadığını ileri sürmüştür. Doğal dil işleme (Natural Language Processing/NLP) ve ağ analizi gibi gelişmekte olan teknolojiler yeni kaynaklardan bilgi toplama olanağını yaratmaktadır ve bir kurumun kültürü hakkında gerçek zamanlı geri besleme ve trend analizi sağlayabilirler.
İç Denetimin Yaklaşımı
Wolters Kluwer’in “Conducting a Cultural Audit: Concluding the Analysis” başlıklı çalışmasına göre “İç denetçiler, kültürü ölçmek ve değerlendirmek için pek çoğu halihazırda mevcut olan çeşitli farklı göstergeler kullanırlar. Örneğin, çalışan değişim oranı, çıkış mülakatı verileri, çalışanların şikâyetleri, etik telefon hattı bilgileri ve devamsızlık verileri gibi insan yönetimi verilerini ve ayrıca müşteri şikâyetleriyle ilgili ayrıntıları dikkate alabilirler. Kurumun elinde bu bilgiler yoksa, iç denetim, hangi verilerin değerli olacağını ve veri toplamada hangi noktalarda yetersizlik bulunduğunu tespit edebilir.”
Bazı sektörlerde veya ülkelerde iç denetçilerin kurumun kültürünün belirli yönleri ve davranış risk yönetimi çabalarının etkinliği hakkında değerlendirme ve raporlama yapmaları gerekebilir. Bununla birlikte, bir düzenleyici görevleri olmasa bile, iç denetçiler kültür ve etkisi hakkında yansız bir değerlendirme yapmak suretiyle kuruma değer katabilirler.
IIA’ya göre, kültür denetimleri şunları kapsayabilir:
• Kültürde tespit edilen eksiklikler ve en iyi uygulamalar için kök sebeplerin bulunması.
• Kültür ve davranışla ilgili yönetim yapısının (görevler ve sorumluluklar) değerlendirilmesi.
• Değerleri, stratejileri ve hedefleri iletme çabalarının ve davranış kuralları, etik ve ilgili endişelere dair eğitimlerin etkinliğinin değerlendirilmesi.
• Çalışan teşvik ve işe alma programları, disiplin tedbirleri ve yetkili makamlara iletme protokolleri, muhbirlerin göreceği işlemler ve kurumun kültürüyle ilgili göstergelerinin değerlendirilmesi. diğer etkinliğinin temel performans ve verimliliğinin değerlendirilmesi.
• Çalışan anketi verilerinin analiz edilmesi ve eğilim belirleme gibi, başka amaçlarla toplanan kültürle ilgili bilgilerin analiz edilmesi.
Haziran 2024 – 123. Sayı
Bülten Başlığı: Yapay Zekâ Yönetişimiyle İlgili Kritik Hususlar
Gelişen teknolojiler kuruluşlara çok çeşitli fırsatlar sunmakla birlikte bir dizi yeni ve beklenmedik riskleri de beraberinde getirmektedir. İç Denetim Vakfı’nın küresel iç denetim liderleriyle yaptığı bir ankette; katılımcıların %34’ü dijital bozulmanın kuruluşlarının karşı karşıya olduğu en önemli beş riskten biri olduğunu, %55’i ise bunun üç yıl içinde ilk beş riskten biri olacağını söylemekte.
Pek çok kuruluş yapay zekayı giderek daha fazla benimsediğinden, yönetim kurullarının ve denetim komitelerinin yapay zekanın kendi kuruluşları ve yönetişim sorumlulukları üzerindeki etkisini daha iyi anlamaları gerekecek. Denetim komiteleri “sadece bekçiler değil, aynı zamanda yapay zekanın etik olarak benimsenmesinin ve sorumlu yönetiminin koruyucularıdır.” Kuruluşun yapay zekâ stratejisi hakkında sağlam bir anlayışa sahip olan denetim komitelerinin bu stratejinin şirketin genel risk iştahı ve hedefleriyle uyumlu olup olmadığına karar vermesi gerekecek.
Diğer konuların yanı sıra yönetim kurullarının şirketin yapay zeka üzerinde yeterli kontrole sahip olup olmadığını ve yapay zeka stratejisinin, gizlilik, hesap verebilirlik ve potansiyel önyargılarla ilgili konular da dahil olmak üzere yapay zekanın etik kullanımına hitap edip etmediğinin anlaşılmasını belirlemesi önemli olacaktır.
ABD merkezli bir düşünce kuruluşu olan National Association of Corporate Directors (NACD) – Ulusal Kurumsal Direktörler Birliği aşağıdaki yapay zekâ risklerine işaret ediyor:
– Çalışanların kendi yazılımlarını veya donanımlarını BT uzmanlarının gözetimi olmadan veya muhtemelen şirketin BT protokollerine uymadan kullandığı ve kurumu bir dizi potansiyel tehdide açık bırakan gölge BT ortamları.
– Fikri mülkiyet ve üretken yapay zekanın potansiyel olarak özel veya telif hakkıyla korunan bilgileri kullanma konusunda şeffaf olmamasıyla ilgili diğer endişeler.
– Siber güvenlik riskleri. Kuruluşlar bu alandaki tehlikelerin farkında olsa da üretken yapay zekâ bilgisayar korsanlarının sistemlere sızmasını veya kimlik avı e-postaları yazmasını kolaylaştırabilir.
Yönetim Kurulları için Önemli Konular
Yönetim kurulları ve denetim komitelerinin değerlendirmeleri gereken sorular şunları da içermektedir:
Yeni uzmanlara gereksinim duyacak mıyız? Gereksinim duyulan yapay zekâ uzmanlığı seviyesi, yapay zekânın kurumda yaratacağı değişimin önem seviyesine bağlıdır, diyor Manalo. “Yapay zekâ stratejisi ve kullanımı yaygın mülahazalar ise ve her toplantıda teknik ayrıntılar ve yönetişim sorunları da tartışılacaksa, yönetim kurulunda ya da uygun komitede yapay zekâ sorunlarının nüanslarını bilen ve bu konuda gerçek uzmanlığa sahip bir üyenin bulunması şarttır.” Yapay zekâ onların stratejisinde merkezi bir yer işgal etmiyorsa, şirketler, yönetim kurulu üyelerinin yapay zekâ yönetişim konuları hakkında bilgi düzeylerini yükselten ve bu hızla değişen bilgi alanındaki yeni konu ve sorunlar hakkında yönetim kuruluna düzenli olarak güncel bilgilendirmeler yapan bir danışmanla çalışabilirler.
Yapay zekâ yönetişiminden hangi komiteler sorumludur? Yapay zekânın kapsama alanı geniş ve kapsamlı olduğu için, birden çok yönetim kurulu komitesi bulunan kurumlar, hangi komitelerin — ve kaç komitenin – komite tüzüğüne yapay zekâyla ilgili bazı görev ve sorumlulukları da dâhil etmeleri gerektiğini ciddi olarak düşünmelidirler. Manalo’ya göre, en büyük tehlike, yapay zekâ yönetişimi konusunda belirli görevler üstlenmesi gereken komitelerin bu görevlerin başka bir grup tarafından üstlenildiğini ve yerine getirildiğini var saymalarıdır. Bu sorun, yapay zekâ risk ve yönetişimine ilişkin genel sorumluluğun belirli bir komiteye verilmesi ve — veri mahremiyeti ve veri kalitesi de dâhil belirli alanlardaki – özel görevlerin bu görevleri yerine getirebilecek araçlarla en iyi donatılmış bulunan belirli başka komitelere verilmesi yoluyla çözümlenebilir.
Yeni komitelere gereksinimimiz olacak mı? Manalo’nun şirketi makine öğrenmesi ve yapay zekânın etik kullanımıyla ilgili bir yönetim kurulu komitesi kurmuştur. Başka kurumlar da yapay zekâyla ilgili ortaya çıkan sorunları çözümlemek için yeni gruplar kurma gereksinimini hissedebilirler, çünkü bu alanın çok fazla nüansları vardır ve diğer konuların yanı sıra siber güvenlik, mevzuata uyum ve veri mahremiyeti de dâhil çeşitli farklı alanlarla bağlantısı ve ilişkisi vardır.
Mevcut komitelerin yönetmeliklerini güncellememiz gerekiyor mu? Bu soru, kısmen, yapay zekânın kurumun risklerini nasıl hafiflettiği ve azalttığı konusunda yeni bir karmaşıklık seviyesine yol açıp açmadığına karar verilerek yanıtlanabilir. Yeni komitelerin yönetmelikleri en baştan ve sıfırdan yazılabilir, fakat mevcut komitelerin yönetmelikleri yeni süreçlere gereksinim olup olmayacağı ve mevcut kontrollerin yeterli olup olmadığı gibi hususları dikkate almalı ve değerlendirmelidirler. Modeldeki sapmaları (yani, yeni gelişmeler esasında ve üzerine modelin kestirme ve tahmin kabiliyetinde meydana gelen düşüş) ölçenler de dâhil olmak üzere anahtar performans göstergelerine de gereksinim duyulabilir.
Güvenilir Danışmanlar Olarak İç Denetçiler
Manalo’ya göre, “Ne zaman yeni veya gelişmekte olan bir risk ortaya çıksa, iç denetim, bu riskin en iyi nasıl ele alınması gerektiği konusunda bir danışman rolünü oynayabilir ve ardından, bu risklerin iyi ele alınıp alınmadıklarına ilişkin raporlamada güvenceyle ilgili sorumluluklar üstlenebilir.” Yeni geliştirilen ve benimsenen teknolojilerle, süreçler henüz tam olarak oturmamışken güvence vermek güçtür; bu sebeple, başlangıçta danışmanlık almak çok önemlidir. “Şirketler bir yapay zekâ yönetişim yapısı kurduklarında, iç denetim birimi risklerin tespit edilmesine yardımcı olabilir, kurumun stratejilerinin mevcut tüzük ve yönetmeliklere uyumlu olmasını sağlayabilir ve yeterli izleme süreçlerinin mevcut olup olmadığını tespit edebilir,” diyor Manalo. Süreçler kurulduktan ve işlemeye başladıktan sonra, iç denetim, kontrollerin amaçlandığı gibi çalışıp çalışmadığını ve kurumun gelişen tüzük ve yönetmeliklere uyup uymadığını tespit edebilir.
İç denetim, yapay zekânın yaratabileceği kolayca fark edilmeyen risklerin anlaşılması ve azaltılması konusunda da yönetim kuruluna yardımcı olabilir. Örneğin, yapay zekâ, kısa bir süre içinde büyük veri hacimlerini işleme olanağına sahip olduğu için verimlilikte ve üretkenlikte keskin bir artışa yol açabilir. Bunun potansiyel dezavantajlarından biri de, bir işlemin gereken onayları almak için yeterli zaman bırakmadan gerçekleşebilmesidir. İç denetim, bu durumda potansiyel hile ve suistimal eylemlerinin tespitini sağlamak amacıyla kesintisiz izleme, önleyici iç kontroller ve destek mekanizmalarının kullanılmasında kurumlara yardımcı olabilir. İç denetim, veri toplama, raporlama ve birleştirme süreçlerinin otomatize edilmesi konusunda da danışmanlık yapabilir. “İç denetimin neler yapabileceği konusunda pek çok fırsat var,” diyor Manalo.
Nisan 2024 – 122. Sayı
Bülten Başlığı: SEC’in İklimle İlgili Yeni Açıklama Kuralları Yönetim Kurulları İçin Ne Anlama Geliyor?
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), halka açık şirket tescil beyanları ve yıllık raporlarında iklimle ilgili açıklamalara yönelik nihai gereklilikleri yayınlayarak sürdürülebilirlik raporlamasında önemli bir adım atmıştır1. SEC, bu nihai kuralda, raporlamada tutarlılık ve mukayese edilebilirlik yetersizliğinin, yatırımcıların karar vermeye yardımcı bilgileri elde etmesini ve analiz etmesini daha maliyetli hale getirdiğini belirtmiştir.
SEC’in iklimle ilgili açıklamalara ilişkin ilk taslağı 2021 yılında ilk kez yayımlandığında büyük ilgi görmüş ve önemli endişelere yol açmıştı. SEC, iş dünyasından ve siyasi çevrelerden katılımcıların anlamlı endişelerini de içeren 24.000’den fazla kamuoyu yorumu almıştır. Bunun sonucunda tartışmalara yol açan ve ilk başta önerilen bazı taslaklar geri çekilmiştir. Yeni kurallara karşı halihazırda çok sayıda mahkeme itirazı yapılmış olmasına rağmen, yönetim kurullarının bu kurallardan haberdar olmaları ve kendi kuruluşları üzerindeki olası nihai etkilerini anlamaları gerekmektedir. Bu durum, uyumla ilgili yeni stratejiler, politikalar ve kontroller hakkında güvence ve danışmanlık hizmetleri sağlamak da dâhil olmak üzere yeni SEC kurallarına uyum sürecini yönetme konusunda iç denetimin kurumlara yardımcı olabileceği birçok hususu fark etmek için de iyi bir zamandır. Tone at the Top’ın bu sayısı yönetim kurulları için bu önemli hususlardan bazılarını ele alacaktır.
Değişen Beklentiler
SEC’in nihai kuralı, kapsamlı ve detaylı yeni raporlama rehberleri ekleyerek var olan açıklama gerekliliklerinin kapsamını önemli ölçüde genişletmektedir. Tescil ettirenlerin açıklamak zorunda olduğu bilgiler aşağıda sayılanları içermektedir:
• Şirketin stratejisini, faaliyet sonuçlarını ve mali durumunu etkileyebilecek iklimle ilgili önemli riskler ve kurumun bunların etkisini nasıl azalttığı veya bunlara nasıl uyum sağladığı.
• Bazı kurumlar için, önemli Kapsam 1 sera gazı (GHG) emisyonları —şirket tarafından doğrudan kontrol edilenler— ve Kapsam 2 emisyonları — şirketin satın aldığı elektrik, buhar, ısı veya soğutma unsurlarıyla ilgili dolaylı emisyonlar— hakkındaki veriler. Ayrıca, gerekli açıklamalara ilişkin tasdik raporları da sunulmalıdır.
• Tescil ettirenin işi, faaliyet sonuçları veya mali durumu için önemli olan (veya olması muhtemel olan) iklimle ilgili hedefler veya amaçlar hakkında mevcut veriler.
• Şiddetli hava olaylarının ve diğer doğal koşulların mali tablolara etkileri, örneğin maliyetlere ve kayıplara.
Yönetim Kurullarına Odaklanma
Yöneticilerin iklimle ilgili risklere yönelik gözetimi ve yönetimin iklimle ilgili önemli riskleri değerlendirme ve yönetmede konusunda üstlendiği her türlü rol hakkında açıklama yapılmasını zorunlu kılan yeni SEC kuralında SEC bünyesinde tescil edilmiş şirketlerin yönetim kurullarına özel sorumluluklar verilmektedir. Kurallara tâbi olan şirketler aşağıda sayılan konularda da açıklama yapmak zorundadırlar:
• İklimle ilgili risklerin gözetiminden, eğer varsa, hangi yönetim kurulu komitelerinin veya alt komitelerinin sorumlu olduğu.
• Bu komitelerin ve alt komitelerin iklimle ilgili riskler konusunda nasıl bilgilendirildiği.
• Bu grupların iklimle ilgili açıklanan herhangi bir hedef, amaç veya geçiş planındaki ilerlemeyi izleyip izlemediği ve eğer izliyorsa nasıl izlediği.
Bu kurallar, iklimle ilgili riskler konusunda yönetim kurulu gözetimini taahhüt etmeyen tescilli kurumlar için geçerli değildir. SEC, aşağıdakilere yönelik gereklilikler de dâhil olmak üzere, yönetim kurulları için teklif edilen bazı gereklilikleri de ortadan kaldırmıştır:
• İklimle ilgili risklerin gözetiminden sorumlu yönetim kurulu üyelerinin belirlenmesi. • Yönetim kurulu üyelerinin iklim konusundaki uzmanlığının tanımlanması. • Yönetim kurulunun veya yönetim kurulu komitelerinin iklimle ilgili riskleri tartışma sıklığı hakkında ayrıntı verilmesi.
İç Denetimin Kattığı Değer
İç Denetçiler Enstitüsü’ne göre “Kurumlar, çevre, sosyal ve yönetişim (ÇSY) raporlamasının stratejik olarak hazırlanmış bir iç kontroller sistemi üzerine inşa edilmek ve bir kurumun ÇSY çalışmalarının birbiriyle, kurumun mali durumuyla ve değer yaratmayla nasıl ilişkili olduğunu doğru bir şekilde yansıtmak gerektiğini kabul etmelidirler.”
Yönetim kurulları kuralların kurumları üzerindeki etkilerini anlamaya çalışırken iç denetimin sunabileceği danışmanlık ve güvence hizmetinin farkında olmalıdırlar. Örneğin, iç denetim, mevzuata uyumun sağlanmasına ve ilgili en iyi uygulamaların teşvik edilmesine yardımcı olabilir ve aynı zamanda, yönetim kurullarına yeni gözden geçirme türleri hakkında içgörü ve yeni kurallara uyum konusunda güvence sağlayabilir.
İç denetim ayrıca:
• İklimle ilgili raporlama da dâhil olmak üzere sürdürülebilirlik risk yönetiminin etkinliği konusunda güvence sağlayabilir. İç denetçiler raporlama ölçütlerini doğruluk ve ilgi açısından gözden geçirebilir, raporlamanın resmi finansal açıklama dosyalarıyla tutarlı olmasını sağlayabilir ve iklimle ilgili açıklama dosyalarında önemlilik veya risk değerlendirmeleri yapabilir.
• İlgili risklerin fark edilebilmesi ve yönetilebilmesi için sürdürülebilirliği denetim planlarına dâhil edebilir.
• Sürdürülebilirlikle ilgili konularda objektif ve bağımsız tavsiyeler sunabilir. Örneğin, iç denetim, etkin bir sürdürülebilirlik kontrol ortamının geliştirilmesi konusunda danışmanlık yapabilir ve en uygun nicel ve nitel verileri sağlayan raporlama ölçütlerini tavsiye edebilir.
• Uygun rol ve sorumlulukların yanı sıra eğitim ihtiyaçlarını belirlemek suretiyle sürdürülebilirlik yönetişiminin etkinliği konusunda danışmanlık yapmak için kurum hakkındaki bütünsel bilgisini kullanabilir.
Şubat 2024 – 121. Sayı
Bülten Başlığı: Yeni Küresel İç Denetim Standartları Yönetim Kurulları İçin Ne İfade Ediyor?
Etkili bir iç denetim mekanizması, kurumlara ve yönetim kurullarına çok değerli bilgiler ile bağımsız ve nesnel güvence ve tavsiye sağlamaktadır. Bu bağlamda 1978’den bu yana, iç denetim uygulayıcıları, en yüksek kalite ve etik seviyesini korumak için IIA’nin Uluslararası İç Denetim Mesleki Uygulama Standartlarını takip etmektedir. Uluslararası Mesleki Uygulamalar Çerçevesi (IPPF), iç denetimin tanımını, Etik Kurallarını ve zorunlu ve tavsiye edilen rehberleri ekleyerek 2010 yılında oluşturulmuştur. İç Denetimin Misyonu ve Temel Prensipler 2017 güncellemesiyle eklenmiştir.
İç denetimin temelleri aynı kalsa da kuruluşların karşılaştığı risklerin karmaşıklığı ve yeni zorlukların ortaya çıkma hızı, mevcut iç denetim kılavuzunun güncellenmesini gerekli kılmıştır. Bunu akılda tutarak, yeni düzenleme standartların ve çerçevenin bazı yönlerini önemli ölçüde değiştirmektedir. Ocak 2025’te uygulayıcılar için resmi olarak yürürlüğe girecek olan yeni Standartlar, 15 ilke ve 53 Standardı içeren beş alan halinde yapılandırılmıştır. Bu bültende, yönetim kurulunun iç denetimle ilişkisine dair önemli açıklamalar sunan, İç Denetim Fonksiyonunu Yöneten Standartlar Alanı III’e odaklanılacaktır.
Bu alan, yönetim kurulu ile CAE (Chief Audit Executive) arasındaki kritik ortaklığı vurgulamaktadır. Standartların diğer bölümlerinden farklıdır çünkü CAE’nin başarılı olması için yönetim kurulundan ve üst yönetimden ihtiyaç duyacağı destek ve yönlendirme konusunda rehberlik sunar. Standartların tamamında, her bir standart için uygulamaya ilişkin hususları ve uygunluk kanıtı örneklerini içerir. Alan III, 15 temel ilkeden üçünü ve 53 standarttan dokuzunu kapsamaktadır.
Standartlar Nasıl Bir Etki Yapacak?
Standartlar mevcut şartları değiştiriyor olsa da genel anlamda kurullardan henüz iyi uygulama örneği addedilmemiş herhangi bir şey yapması beklenmiyor. Sobel bunu şöyle açıklıyor: “Standartlarda halihazırda bulunan hususlar, yönetim kurulunun muhtemelen zaten yapmakta olduğu eylemlere duyulan ihtiyacı ve İDY’nin yönetim kurulu üyelerinin çalışmalarına sunabileceği desteği daha net ortaya koyabilmek için artık daha açık bir şekilde ifade ediliyor.”
Bununla birlikte, gerçekçi yaklaşmak gerekirse her yönetim kurulu yeni Standartlardan farklı düzeyde değişim bekleyecektir. Sobel’e göre İDY’nin halihazırda kurulla sağlam bir iş ilişkisi tesis etmiş olan kurumlar mevcut duruma göre çok az farklılık görmeyi bekleyebilir ancak yine de bazı prosedürleri resmileştirmeleri yahut belgeye dökmeleri gerekebilir. Henüz çok olgunlaşmamış yahut iç denetim işlevleri yeni oluşturulmuş veya İDY’nin yeni olduğu kurumlarda ise Standartlar, iç denetim ve kurul arasında önerilen etkileşimlerin nasıl olması gerektiğine dair bir yol haritası sunacaktır. Sobel, kaliteyi arttıran ve iç denetimin yönetim kurulunun ihtiyaçlarını en iyi nasıl karşılayabileceğine dair rehberlik sunan Standartlar için “Standartların amacı, mesleğin çıtasını yükseltmektir,” diyor.
Hedef: İyi Yönetişim
Sobel, nihayetinde kurulun varlık amacının kurumun hedeflerine ulaşıp misyonunu yerine getirerek daha başarılı olmasına yardımcı olmak olduğunu söylüyor. Kurulun birincil görevi gözetim ve yön tayin etmedir ve iç denetimin kurumun riskleri ve fırsatlarına ilişkin sunacağı kurum içinden, tarafsız bakış açısına ihtiyaç duyar. “Her şey en nihayetinde iyi yönetişimde iç denetimin rolünü ve kurulun gözetim rolünde daha etkin olmasına iç denetimin nasıl yardımcı olabileceğini anlamaya dayanıyor.”
Kısaca Yeni Küresel İç Denetim Standartları
No responses yet