Protoviti firması tarafından 2020 yılı “iç denetim yetkinlikleri ve ihtiyaçları” (internal audit capabilities and needs survey) araştırması geçtiğimiz ay “Yeni Nesil İç Denetimin Keşfi” (Exploring the Next Generation of Internal Auditing) başlığı ile yayınlandı. Araştırma yıllık olarak, dünya çapında, çeşitli ülke ve sektörlerde gerçekleştiriliyor.
Bu yılın araştırması, 2019 yılı son çeyreğinde gerçekleştirilmiş ve Covid başlamadan önce 2020 ilk çeyreğinde tamamlanmış. Araştırmaya başta iç denetim yöneticileri olmak üzere, iç denetimle alakalı 777 kişi katılmıştır. Araştırma sonuçları Covid salgını nedeniyle ancak geçtiğimiz günlerde açıklandı.
Araştırma kapsamında “yeni nesil iç denetim” (next generation internal audit) konusu yönetişim, metodoloji ve teknolojinin kullanımı (enabling technology) olmak üzere, üç alanda değerlendirilmiştir. Bu yazıda bu alanlarla ilgili olarak, iç denetçilerin “iyileştirmesi gereken” sıralaması ve “yetkinlik seviyesi” değerlendirmesi sonuçları ve iç denetim fonksiyonlarının innovasyon/transformasyon olgunluk dereceleri ile ilgili sonuçları değerlendirdim.
Katılımcılar her alanla ilgili olarak hem iyileştirme ihtiyacı sıralamalarını, hem de aynı alanla ilgili yetkinlik seviyelerini ifade etmişlerdir.
1) YÖNETİŞİM: İç denetim fonksiyonlarının yönetişim süreçleriyle ilgili olarak katılımcılardan “uyumlu güvence” (aligned assurance), “iç denetim stratejik vizyon” (internal audit strategic vision), “kaynak&yetenek yönetimi”, “organizasyonel yapı” alanlarını değerlendirmeleri istenilmiştir.
Aşağıdaki tabloda da görüleceği üzere, katılımcılar, yönetişim alanında en çok iyileştirme ihtiyacı duydukları hususun “uyumlu güvence” olduğunu, sonra sırasıyla “iç denetim stratejik vizyon”, “kaynak&yetenek yönetimi” ve “organizasyonel yapı” olduğunu ifade etmişlerdir.
| İyileştirme İhtiyacı | Değerlendirme Yapılan Konu | Yetkinlik seviyesi |
| 1 | Uyumlu güvence | (2.8) |
| 2 | İç denetim stratejik vizyon | (3.3) |
| 3 | Kaynak&yetenek yönetimi | (3.1) |
| 4 | Organizasyonel yapı | (3.2) |
İç denetim fonksiyonlarının yönetişim süreçleriyle ilgili değerlendirme sonuçlarına, yetkinlik yönünden bakıldığında, diğerlerine göre, en az yetkinlik seviyesinin “uyumlu güvence” (5 üzerinden, 2.8) olduğu ifade edilmiştir. Araştırmada “uyumlu güvence” riskler ve kontroller ve üçlü hat unsurları arasındaki uyum olarak ifade edilmiştir. Bu sonuç güvence birimleri arasında etkin iş birliği, iletişim ve koordinasyonun önemine ve iç denetimin de bu alanda kendisini geliştirmesi ihtiyacına işaret etmektedir.
Daha önceki yazımda da ifade ettiğim gibi, risk yönetiminde başarı, diğer bir deyişle, üçlü hattın başarısında kritik faktörlerden bir tanesi, üçlü hat unsurları arasında etkin iletişim, işbirliği ve koordinasyondur. Ayrıca, iç denetim kurumun tüm alanlarında denetim yetkisine sahip birim olarak kuruma yukarıdan bakabilen, yani süreçler/birimler arasındaki kopuklukları görebilecek bir birimdir. İç denetçiler olarak bizlerin, denetim planı önceliklendirmelerimiz ve denetim çalışmalarımız sırasında; üçlü hat birimleri arasındaki uyum; iletişim, işbirliği ve koordinasyona dikkat etmemiz gerekmektedir. Bu uyum arttıkça; gereksiz çalışmalar yapılarak kaynak israfına ve güvence yorgunluğuna (assurance fatigue) neden olunmayacak, atlanılmadan tüm ana risklerin adreslenmesi sağlanacak, departmanlar arasında iletişim, iş birliği ve koordinasyonun yokluğuna işaret eden “silo” yönetim tarzlarını ortaya çıkaracak, proaktif, risk odaklı, kurumlarımıza değer katan çalışmalar yapma şansımız artacaktır.
Yetkinlik seviyeleri açısından bakıldığında ise, katılımcılar yönetişimle ilgili olarak en yetkin oldukları alanın, “iç denetim stratejik vizyonu” olduğunu (5 üzerinden 3.3), bunu takiben; organizasyonel yapı (3.2), kaynak&yetenek yönetimi (3.1) ve uyumlu güvence (2.8) olduğunu ifade etmişlerdir.
Araştırmada “iç denetimin stratejik vizyonu”; innovasyonu kolaylaştıran strateji ve yeni düşünceleri kucaklayan kültür olarak ifade edilmiştir. Bu alan en yüksek yetkinlik seviyesi olarak çıkmış. Bu sonuç iç denetçilerin; innovasyonu destekleyen ve yeni düşünceleri kucaklayan net bir stratejik vizyona odaklandıklarını göstermesi açısından güzel bir durum. İç denetçiler olarak gerek, kendi iç denetim süreçlerimiz, gerekse denetlediğimiz süreçleri iyileştirecek, etkinliğimiz artıracak, innovasyon ve yeni düşüncelere kucak açan bir vizyonla çalışmamız kurumlarımıza maximum değer katabilmemiz açısından önemli.
Araştırmada, yönetişim alanları içerisinde “organizasyonel yapı”, iyileştirme ihtiyacı yönünden dördüncü sırada çıkmıştır. İç denetimin başarısında kritik faktörlerden bir tanesi de, iç denetimin bağımsızlığını sağlayacak bir organizasyonel yapılanmalıdır. Bu çerçevede, üst yönetim ve yönetişim organlarının iç denetime destekleri ve iç denetimle iletişimlerinin kalitesi de kritik önemlidir. Katılımcılar bu alanda kendilerini diğer alanlara göre daha iyi bir durumda görmektedirler. Ayrıca kaynak&yetenek yönetimiyle ilgili olarak da, kendilerini çok yetersiz görmemişlerdir. Araştırmada kaynak&yetenek yönetimi öncelikli sıralarda (3. sırada) çıkmamış olmakla birlikte, bu günlerde en büyük ihtiyaçlarımızdan bir tanesinin de yetkin insan kaynağı bulmak olduğu düşüncesindeyim.
2) METODOLOJİ: Bu alanda “çevik denetim yaklaşımı”, “dinamik risk değerlendirme”, “yüksek etkili raporlama” ve “sürekli izleme” unusurları değerlendirilmiştir.
| İyileştirme İhtiyacı | Değerlendirme Yapılan Konu | Yetkinlik seviyesi |
| 1 | Çevik denetim yaklaşımı | (2.7) |
| 2 | Dinamik risk değerlendirme | (2.8) |
| 3 | Yüksek etkili raporlama | (2.8) |
| 4 | Sürekli izleme | (3.1) |
Metodolojik anlamda bakıldığında, iç denetim fonksiyonlarının en fazla geliştirmek istedikleri yeteneğin çevik denetim yaklaşımı olduğu, sonra sırasıyla; dinamik risk değerlendirme, yüksek etkili raporlama ve sürekli izleme geldiği görülmektedir. Metodolojik anlamda belirtilen alanların her biri de çok önemli, ancak iç denetçiler, en çok çevik denetim yaklaşımına ihtiyaç duyduklarını işaret etmişlerdir. Yetkinlik açısında bakıldığında da; çevik denetim yaklaşımı en az yetkin olunan alan olarak ifade edilmiştir. Çevik denetim yaklaşımı, yeni nesil iç denetim için olmazsa olmaz gözüküyor. Bugünlerde her alanda çevik yaklaşımın ön plana çıktığını görüyoruz. Bizim de iç denetim olarak; günümüzün hızla değişen iş ortamı ve müşterilerimizin ihtiyaç ve beklentilerine istenen seviyede cevap verebilmemiz için metodolojilerimizi çevik (agile) hale getirmemiz şart gözüküyor.
Dinamik risk değerlendirme ve yüksek etkili raporlama da ihtiyaç duyulan diğer iki metodoloji. Yeni gelişen risklerin zamanında, eksiksiz ve doğru bir şekilde değerlendirilmesi açısından dinamik risk değerlendirmesi yaklaşımının ve paydaşlarımızın beklentilerini karşılayan etkin raporlamanın da önemi tartışılamaz.
Metodolojik anlamda en yetkin olunan alanın sürekli izleme olduğu belirtilmiş. Sürekli izlemeyi yönetimin yaptığı izlemelerle karıştırmamak gerekiyor. İzleme esas olarak yönetimin sorumluluğunda olduğu için sürekli izleme (continues monitoring) yerine sürekli denetim (continues auditing) ifadesinin kullanılmasının daha uygun olacağı düşüncesindeyim. Sürekli denetim; teknoloji temelli denetim tekniklerini kullanmak süretiyle riskleri ve kontrolleri, klasik geriye dönük dönemsel değerlendirmeler yerine, sürekli olarak proaktif bir şekilde değerlendirmek ve risklerin ve kontrol eksikliklerinin zamanında ve gecikmeden tespit edilerek, raporlanması anlamında kullanılmaktadır. Sürekli denetim uzun süredir gündemizde olan ve genellikle iç denetim birimleri tarafından belli seviyede mesafe katedilen bir konu olması nediyle katılımcıların bu alanda diğer alanlara göre, en iyi olduklarını ifade etttikleri düşüncesindeyim. Bununla birlikte, sürekli denetim alanında da daha katetmemiz gereken çok yol olduğu kanısındayım.
3) TEKNOLOJİNİN KULLANIMI: Bu alanda “robotik süreç otomasyonu”, “makine öğrenimi/yapay zeka”, “süreç madenciliği” ve “ileri analitik” konuları değerlendirilmiştir.
| İyileştirme İhtiyacı | Değerlendirme Yapılan Konu | Yetkinlik seviyesi |
| 1 | Robotik süreç otomasyonu | (2.1) |
| 2 | Makine öğrenimi/yapay zeka | (2.0) |
| 3 | Süreç madenciliği | (2.2) |
| 4 | İleri analitik | (2.6) |
Teknolojinin kullanımı anlamında, iç denetim fonksiyonlarının en fazla iyileştirme ihtiyacı olan alanın “robotik süreç otomasyonu” olduğu, bundan sonra sırayla “makine öğrenimi/yapay zeka”, “süreç madenciliği” ve “ileri analitik” geldiği görülmektedir. Yetkinlik olarak bakıldığında ise, en yetkin olunan alanın “ileri analitik” olduğu, en az yetkin olunan alanın ise “robotik süreç otomasyonu” olduğu ifade edilmiştir.
Teknolojinin kullanımıyla ilgili bu alanlardaki ortalama yetkinlik seviyesinin (2.175) , yönetişim (3.1) ve metodoloji (2.95) ile ilgili alanların ortalama yetkinlik seviyelerinin çok altında olduğu görülmektedir. Bu sonuçlar, iç denetim fonksiyonlarının en zayıf oldukları alanın, teknolojik araçların kullanımının yetersizliği olduğu göstermektedir.
Aşağıdaki tabloda, iç denetim fonksiyonlarının yeni nesil teknolojileri halen kullanım oranları, 2019 ve 2020 yılları itibarıyle karşılaştırmalı olarak verilmiştir.
| Teknoloji | 2019 (%) | 2020 (%) |
| Makine öğrenimi/yapay zeka | 17 | 7 |
| Süreç madenciliği | 20 | 10 |
| Robotik süreç otomasyonu | 19 | 12 |
| İleri analitik | 23 | 25 |
Yukarıdaki tabloda da görüleceği üzere; ilgili teknojiyi halen kullanmakta olanların oranlarına baktığımızda; makine öğrenimi/yapay zekanın %7, süreç madenciliğinin %10, robotik süreç otomasyonunun %12, ileri analitiğin de ise %25 olduğu görülmektedir. İlgili teknolojileri kullanım oranlarının oldukça düşük seviyelede olduğu görülmektedir. İşin daha kötü tarafı ise, bu teknolojileri kullanım durumları, ileri analitik kullanımı hariç, 2020 yılında, 2019’a göre üç alanda da önemli derecede geriye gitmiştir. Örneğin makina öğrenimi/yapay zeka kullanımı % 17’den % 7’ye süreç madenciliği %20’den %10’a robotik süreç otomasyonu ise %19’dan %12’ye düşmüştür. Sadece ileri analitik kullanımında küçük bir iyileşme (%2) görülmektedir.
Bu teknolojileri kullanmayı planlayıp planlamadıkları sorulduğunda ise, detayları aşağıdaki tabloda görüleceği üzere, çok büyük bir oranda, henüz bu teknolojileri kullanımını planlamadıklarını ifade etmişlerdir.
| Teknoloji | Bir Planı Olmayan (%) |
| Makine öğrenimi/yapay zeka | 53 |
| Süreç madenciliği | 41 |
| Robotik süreç otomasyonu | 47 |
| İleri analitik | 18 |
Bu teknolojilerin kullanımının, iç denetçiler için; büyük dataların sınıflandırılması, yapılandırılması, analizi, daha kaliteli risk analizleri yapılabilmesi, verilere dayalı daha iyi süreç analizi, kontrol testlerinin otomasyonu, örnekleme yerine tüm popülasyonun analizi, denetim yönetim süreçlerinin otomasyonu gibi bir çok faydaları bulunmaktadır. Kurumlarımızın diğer süreçlerinde bu teknolojilerin kullanım oranları artarken, iç denetçiler olarak bizlerin geri kalmaması gerekmekte, bu yeni teknolojilerin kullanımına kendimizi adapte etmemiz gerekmektedir. Aksi halde, iç denetim olarak paydaşlarımızın beklentilerini arzu edilen seviyede karşılayamaz durumu düşme riskimiz vardır.
İç denetim fonksiyonlarının, kendi süreçlerinde transformasyon ve innovasyon insiyatifi alma durumları sorulduğunda, aşağıda görüleceği üzere, 2019’a göre (%76) 2020’de azalma (%60) görülmektedir.
| 2020 (%) | 2019 (%) | |
| Evet | 60 | 76 |
| Hayır | 30 | 19 |
| Kararsız | 10 | 5 |
İç denetim fonksiyonlarının transformasyon ve innovasyon olgunluk seviyeleriyle ilgili değerlendirme sonuçlarına bakıldığında, aşağıda görüleceği üzere, olgunluk seviyelerinde 2020’de 2019’a göre nispeten artma olduğu görülmektedir.
| 2020 (%) | 2019 (%) | |
| İç denetimde resmi bir inovasyon gündemi yoktur ve inovatif düşünce ve arayışlarını başka şekilde yönlendirecek veya teşvik edecek programlar yoktur. | 4 | 18 |
| Bir inovasyon gündemi olmasa bile, fikirler teşvik edilir ve sıklıkla değerlendirilir/araştırılır. | 32 | 23 |
| Resmi bir inovasyon yapısı bulunmamakla birlikte, iç denetim; fikirler üretmek ve önerilen çözümleri takip etmek için inovasyon çalışmaları yürüttü. | 17 | 27 |
| Tüm iç denetim fonksiyonu, inovasyonun önemini anlar ve inovasyon katkıları, performans değerlendirmelerinin bir parçası olarak ölçülür. | 31 | 28 |
| Uzun vadeli başarı için, sürekli gözden geçirme ve idrak ile; inovasyon, iç denetim fonksiyonu için çekirdek değer olarak tanımlanır. | 16 | 4 |
Özetle, araştırma sonuçları; yönetişim alanlarında nispeten daha iyi durumda olsak da, çevik denetim, dinamik risk değerlendirmesi gibi metodolojiler ve robotik süreç otomasyonu, yapay zeka gibi teknolojik araçların kullanımında oldukça fazla yol katetmemiz gerektiği, transformasyon ve innovasyon yetkinlik seviyelerimizin de iyi olmadığı görülmektedir.
Hızla değişen risk ortamlarına adabte olabilmemiz ve paydaş beklentilerini arzu edilen seviyede karşılayabilmemiz için, yeni nesil iç denetim bakış açına sahip olmanın gerekliği açıkça görülmektedir.
İç denetçiler olarak daha fazla gecikmeden, kendi süreçlerimizi gözden geçirerek, iç denetim süreçlerimizde daha fazla innovasyon ve transformasyon projelerini gündemize almamız gerekmektedir.
Dr. Nazif Burca 
Teşekkürler üstat.. bilhassa güvence birimleri/kurumları arasındaki iletişim ve boylelikle güvence yorgunluğunun giderilmesi kamuda çözülmesi gereken bir sorun.. bu belirttiginiz hususların uygulanmasıyla ortaya cikacak bir sonuç tabii ki..
BeğenBeğen
Yorum ve katkınız için teşekkür ederim Cem bey.
BeğenBeğen