Bilindiği üzere tüm dünyada Mayıs ayı iç denetçiler tarafından “iç denetim farkındalık ayı” olarak iç denetimi tanıtıcı çeşitli etkinliklerle kutlanıyor. Bu faaliyetlerin iç denetimin tanınması ve katkılarının anlaşılması açısından çok faydalı olduğunu düşünüyorum. Kişisel web sayfamın (nazifburca.com) açılışı da bu aya denk geldi. Bu sayfada iç denetim başta olmak üzere; iç kontrol, kurumsal yönetim, risk yönetimi, kalite, süreç iyileştirme, suistimal vb konulardaki görüşlerimi paylaşmayı amaçlıyorum. Sitenin tüm ilgilenenlere faydalı olmasını diliyorum.
İç denetim birimleri tarafından denetim planları hazırlanırken, bulunduğu kurumun en riskli alanlarını belirlemek amacıyla, süreç sahipleri, üst yönetim ve denetim komitesinin de görüşleri alınarak, genellikle yıllık olarak risk değerlendirmeleri yapılır. İç denetimin paydaşlarının beklentileriyle, iç denetimin yaptıkları arasında bir beklenti boşluğu/farklılığı olup olmadığını görmek açısından, iç denetim birimlerinin periyodik olarak kendi risk değerlendirmelerini de yapmalarının faydalı olacağını kanaatindeyim.
Kamu ve özel sektör uygulamaları dikkate alındığında genel olarak iç denetim birimlerinin bazı risklerini; teknolojinin ve veri analizi araçlarının yeterince kullanılamaması, sürekli ve uzaktan denetim metodolojilerinin oluşturulamaması, doğru raporlama yapısının oluşturulamaması, paydaşlarla iletişimde başarısızlık, hızla değişen teknoloji ve yeni risk alanları (siber güvenlik, yeni teknolojiler vb) konusunda müşterilerine yeterli katkıda bulunamamak, sadece uyum denetimleriyle sınırlı kalmak, problemlerin kök nedenlerinin net olarak ortaya konamaması nedeniyle bulguların tekrar etmesi, yetkin personelin temin edilememesi, etkin olmayan iç denetim performans değerlendirmeleri, denetim kapsamında hangi kontrol noktalarının ve nasıl test edileceğinin net bir şekilde tespit edilmemesi nedeniyle etkin bir denetim ve zaman yönetiminin yapılamaması, etkin olmayan gözden geçirme, raporlama ve aksiyon takip süreçleri, bulunduğu kurumun iş süreçlerinde yer alan önemli kontrol zaafiyetlerinin zamanında ortaya çıkarılamaması, kurumun ceza alması vb nedenlerle itibar kaybı, katma değer oluşturan faaliyetlerde bulunamama ve güvenilen bir danışman (trusted advisor) olamama, olarak belirtebiliriz.
Elbette bu riskleri artırmak ve başka şekillerde ifade etmek de mümkün. Kısaca ifade edilen bu risklerin içerisinde en önemli olanının; iç denetimin paydaşları için katma değer oluşturan faaliyetlerde bulunamaması ve onların güvenilir bir danışmanı haline gelememesi olduğu kanaatindeyim. Risk olarak belirttiğim diğer hususların çoğunu bu önemli riskin kök sebebi olarak da görebiliriz.
PwC tarafından yapılan “2017 State of the Internal Audit Profession Study” araştırması sonuçlarına göre, 2016 yılında iç denetimin paydaşlarının %54’ü iç denetimin önemli katma değer oluşturduğunu belirtirken, 2017’de bu oran % 10 azalarak % 44’e düşmüştür ve bu değer ölçüm yapılan son beş yılın en düşük değeridir (2013: %58, 2014: %54, 2015: %48). Aynı çalışmaya göre, araştırmaya katılanların ancak % 9’unun iç denetimi güvenilen danışman (PwC tarafından, denetim planının etkili ve verimli bir şekilde yürütülmesinin ötesinde, yönetime; katma değerli hizmetler ve proaktif stratejik danışmanlık hizmetleri sağlayan iç denetimi güvenilen danışman olarak tanımlanmaktadır) rolünde gördüğü belirtilmektedir. Diğer taraftan yönetim kurulu üyelerinin % 68’i, üst yönetimin ise % 77’si iç denetimin yıkıcı olaylara (disruptive events) (siber güvenlik, teknojik ilerlemeler, digital innovasyon vb) mevcut katılımını yeterli olarak görmemektedir.
Daha net bir kanaate ulaşabilmek için bu araştırma sonuçlarını başka araştırma sonuçları ve etkili olabilecek diğer faktörlerle birlikte değerlendirmek daha uygun olur. Ancak bu sonuçlara göre, iç denetimin katma değer oluşturma algısında önemli bir azalış görülmekte, güvenilir bir danışman olarak görülme ve yıkıcı olaylara katılımı yeterli görülmemektedir. Bu durumun kök nedenleri üzerinde dikkatlice değerlendirmeler yapılarak, bu kök nedenleri giderecek aksiyon planlarının belirlenmesinin uygun olacağı düşüncesindeyim.
Siz de değerli görüş ve yorumlarınızı paylaşırsanız memnun olurum.
Dr. Nazif Burca 
İç Denetim, bir kurumun operasyonlarını geliştirmek ve onlara değer katmak için tasarlanmış bir bağımsız ve nesnel güvence ve danışmanlık faaliyetidir. Özellikle son dönemde, iç denetim faaliyetlerinin “proaktif stratejik danışmanlık hizmetleri” misyonu çok fazla ön plana çıkarılmış durumda. Ancak, bu misyonun yerine getirilebilmesi için öncelikle, “faaliyet gösterilen sektör – iş kolu ve en iyi uygulamalar” konularında detaylı ve güncel bilgiye sahip olunmalıdır. Bu da ancak, İç Denetim Birimleri nin, yeterli hatta gerekli iş gücü ve zaman kaynağına sahip olması ile mümkündür. Aksi taktirde, söz konusu misyon tam anlamıyla yerine getirilememekte, beklentiler karşılanamamakta ve hatta İç Denetim faaliyetinin itibarı sarsılmaya tartışılmaya başlanır hale gelmektedir. Özetle; İç Denetim’ in esas olarak, bağımsız ve nesnel bir güvence faaliyeti olduğunu, kaynakları ölçüsünde de danışmanlık misyonu üstlenebileceğini belirtmek, daha makul bir yaklaşım olacak ve buna göre beklentiler de karşılanabilir seviyede oluşabilecektir. Selam ve saygılarımla,
BeğenBeğen
İlker bey size katılıyorum iç denetimin özellikle danışmanlık görevi daha fazla kaynak ihtiyacı gerektirebilir örneğin iç denetçilerin gerekli eğitimleri almaları, sürekli denetim ve data analizi için gerekli teknolojik araç ve uygulamaların temini gibi. Katkınız için teşekkür ederim.
BeğenBeğen
Yorumunuzda belirtmiş olduğunuz “data analizi için gerekli teknolojik araç ve uygulamaların temini” ifadesi de kesinlikle çok yerinde bir tespit. İç denetimler sırasında, belirli bir örnek sayısından (örneklem) hareketle değerlendirmede bulunmak, aslında çok da makul olmayan ancak gerekli kaynak ve teknolojik yeterlilik yok ise, mecbur kalınan bir uygulama. Tüm data üzerinden analiz yapabilmek, hem çok daha kesin – doğru yargıları hem de dayanağı sağlam çözüm önerilerini (riskin bertaraf edilebilmesi noktasında) beraberinde getirebilmektedir. Bu noktada, sınırlı kaynakların etkin bir biçimde kullanılabilmesi adına; olabildiğince fazla veriye, olabildiğince hızlı bir biçimde ulaşabilmek, ancak teknolojik yeterlilik ve yetkinlik ile mümkün olacaktır.
BeğenBeğen
Kesinlikle doğru İlker bey. Örneklem yerine tüm popülasyonu analiz ederek tespit yapmak; yönetime olayın büyüklüğünü daha anlamlı bir şekilde göstermek, tespit hakkında daha doğru kararlar alınması sağlamak ve böylece tespit edilen bulgu hakkında aksiyon alınmasını kolaylaştırmak açısından önemli bir konu. İfade ettiğiniz gibi iç denetim birimlerinde bu tespitleri yapacak kaynakların bulunması çok önemli.
BeğenBeğen
Nazif Bey bu güzel yazınız için teşekkürler. İlker Bey’in yorumları da çok yerinde tespitler. Ben bir iç denetçi olarak şunu söyleyebilirim ki, özellikle iç denetçilerin misyonundan çok daha fazlası beklenmektedir. Ancak bu beklentiye karşılık değişen süreçler ve teknolojiler ile ilgili yeterli eğitim ve farkındalık iç denetçide yaratılamamaktadır. Bu nedenle eğitim için ciddi bir man/day ayrılması gerektiğini düşünüyorum. Bunun haricinde iç denetim mekanizmasının tespitlerini çok iyi bir dille özellikle kök nedenleri ortaya koyarak ve aksaklığın tekrarını önleyecek önerilerle vermesi gerekmektedir. Aksi takdirde denetlenen tarafta denetçinin değeri ve bakış açısı oldukça negatif yönde olabilmektedir. Kurumun operasyonları, süreçleri ve işleyişini bir tık ileri götürebilecek, suistimali ve cezaları önleyebilecek denetim konularının ön plana alınması gerekmekte diye düşünüyorum.
BeğenBeğen