Ülkemizin de içinde olduğu 42 ülkede, 832 denetim komitesi başkan veya üyesinin katılımıyla, KPMG tarafından yapılan araştırma (2017 Global Audit Committee Pulsey Survey, Audit Committee Challenges and Priorities) denetim komitelerinin önceliklerinin anlaşılması açısından önemli sonuçlar içeriyor.
Araştırmaya göre, denetim komitesi üyelerinin öncelikleri; diğer ülkeler geneli (global) ve ülkemize göre sıralı şekilde, karşılaştırmalı olarak, aşağıda gösterilmiştir (Tablo 1,2). Araştırmada 16 konu yer almaktadır, ancak burada ilk on öncelik belirtilmiştir.
| Tablo 1: Diğer Ülkeler Sıralaması |
% Global |
% Türkiye |
|
|
1 |
Risk yönetimi süreçlerinin etkinliği |
41 |
11 |
|
2 |
Düzenlemelere uyum |
34 |
28 |
|
3 |
Siber risklerin yönetimi |
28 |
44 |
|
4 |
İç kontrollerin güçlendirilmesi |
28 |
22 |
|
5 |
Üst yönetimin yaklaşımları ve kurum kültürü |
24 |
15 |
|
6 |
Finansal raporlamaya ilişkin iç kontrollerin güçlendirilmesi |
22 |
22 |
|
7 |
İç denetimin maksimum değer oluşturması |
21 |
26 |
|
8 |
Kısa vadecilik baskısı ve kurumun uzun ve kısa dönemli önceliklerin uyumlaştırılması |
19 |
33 |
|
9 |
Yeni muhasebe standartlarının uygulanması |
13 |
11 |
|
10 |
Suistimal |
13 |
33 |
|
Tablo 2: Ülkemiz Sıralaması |
% Türkiye |
% Global |
|
|
1 |
Siber risklerin yönetimi |
44 |
28 |
|
2 |
Suistimal |
33 |
13 |
|
3 |
Kısa vadecilik baskısı ve kurumun uzun ve kısa dönemli önceliklerin uyumlaştırılması |
33 |
19 |
|
4 |
Düzenlemelere uyum |
28 |
34 |
|
5 |
İç denetimin maksimum değer oluşturması |
26 |
21 |
|
6 |
Finansal raporlamaya ilişkin iç kontrollerin güçlendirilmesi |
22 |
22 |
|
7 |
İç kontrollerin güçlendirilmesi |
22 |
28 |
|
8 |
Üst yönetimin yaklaşımları ve kurum kültürü |
15 |
24 |
|
9 |
Risk yönetimi süreçlerinin etkinliği |
11 |
41 |
|
10 |
Yeni muhasebe standartlarının uygulanması |
11 |
13 |
Diğer ülke üyeleriyle, ülkemizden katılan üyelerin öncelik verdiği konular karşılaştırıldığında aşağıdaki hususlar dikkat çekmektedir:
Diğer ülke üyelerinin en önemli gördükleri “risk yönetimi süreçlerinin etkinliği” konusu ülkemiz üyeleri için 9. sırada yer almaktadır. Bu konuda ciddi bir bakış açısı farklılığı görülmektedir. Ülkemiz üyeleri (%11), bu konuyu diğer ülke üyeleri kadar (%41) öncelikli görmemektedir. Diğer taraftan, aşağıda görüldüğü üzere (Tablo 3), araştırmanın diğer sonuçlarına bakıldığında, ülkemiz üyelerinin risk yönetiminin statüsü hakkında, diğer ülke üyelerine göre, daha kötümser oldukları görülmektedir.
| Tablo 3: Risk Yönetimin Statüsü |
% Global |
% Türkiye |
|
|
1 |
Sağlam bir risk yönetimi süreci var |
38 |
19 |
|
2 |
Risk yönetimi süreçleri kuruldu ancak yapılması gereken çok iş var |
42 |
52 |
|
3 |
Risk yönetimi sistemleri geliştirme aşamasında |
15 |
19 |
|
4 |
Aktif bir risk yönetimi sistemi yok |
4 |
11 |
|
5 |
Diğer |
1 |
0 |
Örneğin, globalde % 38 oranında üyeler bulundukları kurumda sağlam bir risk yönetimi süreci var derken, bu oran ülkemiz üyelerinde % 19’dur. Global olarak üyelerin %42’si risk yönetimi uygulamaya alındı, ancak yapılması gereken çok iş var derken, bu oran bizde % 52’dir. Diğer bir deyişle, ülkemiz üyeleri, diğer ülke üyelerine göre risk yönetimi süreçlerinin olgunluk seviyesiyle ilgili olarak daha kötümserdirler. Ülkemiz üyeleri, risk yönetimi süreçlerinin etkinliği hakkında hem çok endişe etmiyorlar, hem de kurumlarındaki risk yönetiminin olgunluk seviyesi hakkında daha kötümserdirler. Bu durum bir biriyle çelişiyor gözükmektedir. Bunun bir nedeninin, Türk Ticaret Kanunu’na göre (Madde 378) payları borsada işlem gören firmalarda, risk yönetimi aktivitelerinin gözetiminin “Risklerin Erken Teşhisi Komitesine” verilmiş olmasının olabileceği kanaatindeyim. Eğer risk komitesi yoksa, denetim komitelerinin risk yönetimi aktivitelerinin gözetimi konusunda görevleri bulunmaktadır. Payları borsada işlem gören firmalarda risk komiteleri kurulduğu için, bu konu denetim komitesi üyelerinin esas öncelikleri arasında görülmemiş olabilir. Denetim komitelerimiz, her ne kadar risk yönetimi süreçlerinin etkinliğini en öncelikli alan olarak belirtmese de, risk yönetimi aktivitelerinin etkin olmadığını ifade etmeleri nedeniyle, bu konuyu da öncelikli gördüklerini varsayabileceğimiz kanaatindeyim.
Ülkemiz üyelerini en çok kaygılandıran konu siber risklerin yönetimidir. Ancak bu konu global olarak denetim komitesi üyeleri için 3. sırada yer almaktadır. Aynı araştırmada, aşağıdaki tabloda görüldüğü üzere (Tablo 4), üyelerin siber risk yönetiminde en önemli boşluk gördükleri hususlar belirtilmiştir.
| Tablo 4: Siber Risk Yönetiminde En Önemli Boşluk Alanları |
% Global |
% Türkiye |
|
|
1 |
Kurumsal farkındalık/kültür |
31 |
37 |
|
2 |
Teknolojik sistemlerin güncel tutulması |
31 |
26 |
|
3 |
3.Partilerden kaynaklanan zafiyetler/tedarik zinciri |
24 |
22 |
|
4 |
Yetenek/uzmanlık |
22 |
7 |
|
5 |
Siber tehditlerin izlenmesi ve raporlaması (dashbord vb) |
21 |
22 |
|
6 |
İç “çalışan” riski |
20 |
37 |
|
7 |
Hazırlık ve cevap verme/ihlallerden korunma |
19 |
22 |
|
8 |
Önemli bir boşluk yok |
4 |
4 |
|
9 |
Diğer |
1 |
0 |
Global olarak üyelerin %31’i en büyük boşluğu kurumsal farkındalık/kültür ve sistemlerin teknolojik olarak güncel tutulması olarak görüyor. Ülkemiz üyelerinin %37’si ise, kurumsal farkındalık/kültürü ve iç çalışan risklerini en büyük boşluk alanları olarak görüyor. Global olarak üyelerin sadece %20’si iç çalışan riski konusunda boşluk görüyor. Bizim en öncelikli gördüğümüz iç çalışanlar konusunda, onlar o kadar endişe etmiyorlar. Dikkat çeken bir farklılık da ülkemiz üyeleri (%7) yetenek ve uzmanlık alanında global üyeler (%22) kadar endişeli değiller. Siber risklerle ilgili en riskli hususlardan birisinin, bu konuda yetenekli ve uzmanlığı olan kişilerin temini olduğunu düşünüyorum ancak araştırma, bizim üyelerin bu konuda diğer konulara nazaran, büyük bir boşluk görmediği yönünde.
Düzenlemelere uyum global olarak üyelerin %34’ünün en çok öncelik verdiği 2. konu iken, bizim üyelerin %28’i bu konuya 4.sırada öncelik verdiği (Tablo 1,2) görülmektedir. Düzenlemelere uyum konusunda bizden katılan üyeler daha az endişeli gözükmektedir. Düzenlemelere uyum konusunun ne kadar öncelikli bir konu olduğunun, organizasyonun bulunduğu sektöre ve düzenlemenin zamanına ve niteliğine göre değişebileceği kanaatindeyim. Örneğin 2018’de yürülüğe girecek kişisel verilerin korunması düzenlemesinin Avrupa birliğine dahil ülkelerde bulunan denetim komitesi üyelerini kaygılandırdığını tahmin ediyorum.
Diğer önemli bir farklılık ise suistimale bakış açısıyla ilgilidir. Suistimal konusu bizim üyelerimiz için ikinci öncelik arasındayken, global olarak 10. sırada yer almaktadır. Ayrıca, kısa vadecilik baskısı ve kurumun uzun ve kısa dönem önceliklerin uyumlaştırılması konusu, bizde suistimal ile aynı öncelikte değerlendirilirken global öncelikte 8. sırada önceliktedir. Bu iki konu, denetim komitesi üyelerimizi en çok kaygılandıran konular arasında yer almasına rağmen, diğer üyeler o derecede öncelikli görmemektedir.
İç kontrollerin değerlendirilmesi global üyelerin en önemli gördüğü ilk üç öncelik arasındayken, ülkemizden katılan üyeler 5. öncelikli bir konu olarak görmektedir (Tablo 1,2).
Finansal raporlamaya ilişkin iç kontrollerin güçlendirilmesi hem global, hem de ülkemiz üyelerinin aynı oranda (%22) 6. sırada önem verdiği bir konudur (Tablo 1,2). Bu konu hem ülkemiz, hem de diğer ülke komite üyelerinin ilk öncelikleri arasında yer almıyor. Bu alanın, bir çok denetim ekibi (bağımsız dış denetim, iç denetim, regülasyon kurumlarının denetimi) tarafından denetlenen bir konu olmasının bunda etkili olabileceği kanaatindeyim.
İç denetimin maximum değer oluşturması global olarak üyelerin 7. sırada önem verdiği konu iken, bu konuya ülkemiz üyeleri 5. sırada önem vermektedir. Bu durumun, araştırmaya bizden katılan üyelerin, iç denetimin maximum değer oluşturması konusunda beklentilerinin diğer ülke üyelerine göre, daha yüksek olduğunu gösterdiği kanaatindeyim.
Aynı araştırmada üyelere, iç denetimin finansal raporlama ve uyum risklerine odaklanma dışında, bulunduğu organizasyona daha fazla değer katmak için, hangi konularda adım atması gerektiği sorulduğunda, alınan sonuçlar aşağıda (Tablo 5) gösterilmiştir.
| Tablo 5: İç denetimin adım atması gereken konular |
% Global |
% Türkiye |
|
|
1 |
Denetim planının, ana risk alanlarını (siber güvenlik, öncelikli teknoloji ve operasyonel riskler vb) ve kontrollerini kapsaması |
56 |
67 |
|
2 |
Denetim planının, iş riskleri ve risk şartlarındaki değişimlere bağlı olarak esnek bir şekilde değiştirilmesi |
53 |
63 |
|
3 |
Denetim planının kurumun risk yönetimi süreçlerini kapsayacak şekilde genişletilmesi |
49 |
59 |
|
4 |
İç denetim organizasyonundaki yetenek ve uzmanlıkların iyileştirilmesi |
42 |
41 |
|
5 |
Kurumun kültürünün denetlenmesi/değerlendirilmesine yardımcı olunması |
27 |
33 |
Araştırma, gerek ülkemiz, gerekse diğer ülke üyelerinin iç denetimin daha fazla değer katması için finansal raporlama ve uyum riskleri dışındaki konulara odaklanmasına (siber güvenlik, teknoloji ve operasyonel riskler vb) büyük öncelik verdiğini göstermektedir. Ancak ülkemiz üyeleri (% 67) bu konuya diğer ülke üyelerinden ( %56) daha fazla önem vermektedir. Bu durum, iç denetim brimlerinin daha fazla değer katmak için uyum ve finansal raporlama riskleri dışındaki alanlara denetim planlarında daha büyük yer ayırması gerektiğine işaret ediyor. Denetim planının risklerdeki değişimlere parelel olarak esnek bir şekilde değiştirilmesi, değer katmada ikinci öncelikli konu olarak görülmektedir. Ülkemiz üyeleri (%63) bu konuyu da, diğer ülke üyelerine göre (%53) daha önemli görüyor. Planın risk yönetimi süreçlerini kapsanmasını da hem bizim üyeler (%59) hem de diğer ülke üyeleri (%49) üçüncü sırada değer katan aktivite olarak görmektedirler. Bu konuya da bizim üyeler global üyelerden daha fazla önem verdiği görülmektedir.
Üst yönetimin yaklaşımları ve kurum kültürünün önceliği konusunda da, ülkemiz üyeleri ile global olarak üyeler arasında önemli farklılık görülmektedir (Tablo 1,2). Global olarak üyeler bu konuyu % 24 oranında öncelikli görürken (5. sırada) ülkemiz katılımcıları % 15 oranında 8. sırada öncelikli görmektedir. Ülkemiz denetim komitesi üyeleri, üst yönetimin yaklaşımları ve kurum kültürü konusunu, diğer ülke üyelerine nazaran yüksek öncelikli görmemektedir. Bununla birlikte üst yönetimin yaklaşımları ve kurum kültürü, iç kontrol unsurlarının temelini oluşturan “kontrol ortamının” öncelikleri içerisinde olması nedeniyle, bu konunun da yüksek öncelikli konular arasında değerlendirilmesinin uygun olgun olacağı kanaatindeyim.
Bu araştırma, denetim komitelerinin paydaşlarının denetim komitelerinin beklentisini anlaması ve ona göre kendi çalışmalarını planlamaları açısından çok önem arz ediyor. Denetim komitelerinin en önemli paydaşları, yönetim kurullları, üst yöneticiler, iç denetim ve dış denetimdir.
Yönetim kurullarının bu beklentiler doğrultusunda, üst yönetimden gerekli çalışmaların yapılmasını istemeleri, bu konularda gerekli gözetimi yapmaları ve ihtiyaç olan kaynakların sağlanması konusunda üst yönetime ve denetim ekiplerine yardımcı olmaları önemlidir.
Üst yöneticilerin de bu öncelikleri dikkate alarak, çalışmalaraına yön vermeleri, denetim komitesini yapılan çalışmalar hakkında düzenli olarak bilgilendirmeleri önem taşımaktadır. Ayrıca bu konularda denetim komitesinin beklediği hizmetlerin verilmesi için gerekli teknoloji, eğitim, insan kaynağı vb ihtiyaçların sağlanmasında denetim ekiplerine azami yardımcı olmaları önemlidir.
Ayrıca iç denetim ve bağımsız dış denetimi ekiplerinin de, bu beklentileri dikkate alarak çalışmalarını planlamaları büyük önem arz etmektedir. Öncelikli olarak belirtilen konularda kendi denetim komitelerinin görüşlerini de alarak ve kaynaklarını değerlendirerek, denetim planlarında bu konulara kaynak ayırmaları, en önemli müşterileri olan denetim komitelerinin beklentilerinin karşılanması açısından önemlidir. Ayrıca, bu alanlarda hizmet verirken ilgili konuda ne tür hizmetin (güvence, danışmanlık) maksimum sağlayacağını dikkatli bir şekilde değerlendirmeleri uygun olacaktır. Çünkü yukarıda açıklanan bir çok konu, özellikle ülkemiz komite üyelerinin beklentileri, standart güvence hizmetinden ziyade danışmanlık hizmeti vermeyi gerekli kılmaktadır.
Bunun yanında denetim komitesi üyelerinin iç denetimin katma değerinin artırılması için adım atılmasının gerekli olduğunu belirttiği hususlarda da (finansal raporlama ve uyum riskleri dışında teknoloji, operasyon vb ana risk alanlarının denetim kapsamına alınması, denetim planlarının esnek olması, risk yönetimi süreçlerinin kapsama alınması, iç denetim içerisindeki yetenek ve uzmanlıkların iyileştirilmesi ve kurum kültürünü denetlenmesine/değerlendirilmesine yardımcı olunması) gerekli iyileştirmelerin yapılması önem taşımaktadır.
Dr. Nazif Burca 