View
5
Download
0
Category
Preview:
Citation preview
6. Sayı
GLOBAL PERSPEKTİFLER VE İÇGÖRÜLER:
İç Denetimin Stratejik Etkisini Arttırmak
3 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
İçindekiler Tablosu
Giriş ..................................................................................... 4
Stratejik Misyonunuzu Anlamak ................................................. 5
İç Denetimin Stratejik Değerini Arttırmak ................................... 6
Zorluklar ............................................................................. 10
Özet ................................................................................... 11
Katkıda Bulunanlar
Luz Dary Bedoya Bedoya,
CIA, CISA, Üst Düzey
Yönetici, Audilimited,
Organización Corona –
Kolombiya
John Bendermacher,
CIA, RA, İç Denetim
Yöneticisi, ABN AMRO Bankası
– Hollanda
Maria Craig,
CIA, QIAL, CMIIA,
İç Denetim Başkanı,
Homes and Communities
Agency– Birleşik Krallık
Oliver Dieterle,
CIA, CGAP, CRMA, İç Denetim
Yöneticisi, Bundesagentur für
Arbeit – Almanya
Giovanni Grossi,
CIA, CCSA, CFSA, CGAP, CRMA,
Onursal Başkan,
IIA-İtalya – İtalya
4 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
Giriş İç denetimin etkili risk yönetiminde ve kontrolünde üçüncü savunma hattı
olarak rolünün giderek önem kazanması onun hem kurum içindeki hem de
kurum dışındaki görünürlüğünü arttırmıştır. Sonuç olarak, iç denetim
yöneticileri (CAEs)1 ve iç denetim departmanları genel kurumsal misyona
kattıkları değeri arttırmak amacıyla özgün uzmanlıklarını kullanmanın yollarını
aramaktadır. Bu da finans, insan kaynakları, BT ve hukuk gibi standardın
üstünde performans gösteren tüm destek alanları tarafından şu sorunun
sorulmasına yol açmaktadır — kurumu stratejik açıdan nasıl etkileyebiliriz?
İç denetim, stratejik bir ortak olarak özgün bir konuma sahiptir. Genel
Müdüre (CEO) veya icra görevi üstlenen diğer üst düzey yöneticilere rapor
veren denetim komitesi, yönetim kurulu ve yüksek performans gösteren
CAE’ler zekâyı, uzmanlığı, özen ve dikkati ve merakı iç denetimi kritik bir
stratejik role konumlandıracak şekilde bir araya getirir. Buna rağmen,
genellikle CAE’lerin kurumlar üzerindeki stratejik etki potansiyelleri bilinmez. İç
denetimin stratejik rolünü geliştirmek isteyen CAE’ler için, makul ve arzulanan
bu sonraki adımı atmak için önce birtakım soruların yanıtlanması
gerekmektedir. CAE kurumun stratejik misyonunu derinlemesine anlıyor mu?
CAE, CEO’nun ve kurulun perspektiflerini anlıyor ve anahtar önemdeki sorunlara
çözüm getirecek tavsiye ve çözüm yolları önererek güvenilir bir ortak olma
yönünde gereken çabayı gösteriyor mu? İç denetim kurumun stratejik
misyonuyla uyumlu mudur? İç denetim (tepkisellikten ziyade) öngörülü ve
pro-aktif midir? CAE risk yönetimi hakkında güvence sunuyor mu?
Maalesef, iç denetime ilişkin geleneksel anlayışlar iç denetimi stratejik bir ortak
olarak benimsemeyi kabul edecek diğer kişilerin cephesinde ihtiyatlı
davranmaya yol açabilir. Ayrıca iç denetimin rolünü yerine getirmek için
gereken bağımsızlık seviyesi ile kurumun hedeflerine ulaşmasını sağlamak için
gereken taktiksel görevlerde yer alma seviyesi arasında bir denge kurmalıdır.
Neticede bu taktikleri incelemek iç denetimin görevidir. Fakat bu zorlukların
pro-aktif bir biçimde ele alınması iç denetimin stratejik bir ortak ve katkı
sağlayıcı olarak tanınması için gerçek bir fırsat yaratabilir.
1 CAE iç denetim yöneticisini, iç denetim başkanını veya iç denetim faaliyetini yürütmekten sorumlu başka bir üst düzey pozisyonu ifade eder.
Danışma Kurulu
Nur Hayati Baharuddin, CIA,
CCSA, CFSA, CGAP, CRMA –
IIA–Malezya
Lesedi Lesetedi, CIA, QIAL –
IIA Afrika Federasyonu
Hans Nieuwlands, CIA, CCSA,
CGAP – IIA–Hollanda
Karem Obeid, CIA, CCSA, CRMA –
Member of IIA–Birleşik Arap
Emirlikleri
Carolyn Saint, CIA, CRMA, CPA –
IIA–Kuzey Amerika
Ana Cristina Zambrano Preciado,
CIA, CCSA, CRMA – IIA–
Kolombiya
Okuyucu Geri Bildirimi Soru veya yorumlarınızı
globalperspectives@theiia.org adresine
gönderiniz.
Telif Hakkı © 2016 The Institute of Internal Auditors, Inc.,
(“The IIA”) şirketine aittir ve her hakkı kesinlikle mahfuzdur.
The IIA’nın adının veya logosunun kullanıldığı her yerde
A.B.D. federal ticari tescil sembolü kullanılacaktır. Bu
materyalin hiçbir bölümü The IIA’nın yazılı izni olmaksızın
herhangi bir şekilde çoğaltılamaz.
Baş Yazar
Stephen K. Henn, Esq. –
Birleşik Devlet
5 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
Stratejik Misyonunuzu Anlamak Audilimited, Kolombiya’daki Organización Corona’dan Luz Dary Bedoya Bedoya,”süreç hedeflerini, kurumsal yönetim kurallarını ve sektör bağlamını bilmeden bir süreci
denetlemek imkânsızdır. Bu durum iş için de geçerlidir: İş stratejisini derinlemesine bilmeden uygun bir denetim planı geliştirmek mümkün değildir.” Sonuç olarak, stratejik
bir ortak konumuna gelmenin anahtar niteliğindeki ilk adımı kurumun stratejik
misyonunu, bu misyonu gerçekleştirmek için belirlenen amaçları ve başarının ölçülmesinde parametre görevi görecek ölçütleri anlamaktır.
Bu yüzden CAE kurumun stratejik misyonunun yanı sıra bu misyonun altında yatan
stratejik amacı da analiz etmelidir. Basit bir görev gibi görünse de, anlaşılması önem arz
etmektedir. İç denetim birimi kurumun stratejik misyonunu ve stratejik amacını anlamadığı takdirde, stratejik bir ortak olarak görülmesini sağlayacak adımları atamaz.
Dahası, stratejik misyonu anlamak için söz konusu stratejik misyonu uygulamaya yönelik operasyonel plana ve onunla ilişkili her şeye dair kapsamlı ve derin bir bilgiye sahip
olmak gerekir. Stratejik plan genellikle bu planı gerçekleştirme adımları olarak tasarlanan stratejik amaçlardan ve başarı seviyesini belirlemek için kullanılacak bir dizi
ölçüm kıstasından oluşur. Değerlendirmeye dönük ölçümlerle birleştirildiğinde, bu
stratejik amaçlar ve taktiksel girişimler önemlidir, çünkü kurumun tamamının ve her bir iş biriminin davranışına yön verirler. İcra görevini üstlenen üst düzey bir yöneticiye ve
bir iş birimine bazı destekleyici amaçları gerçekleştirme görevi verildiyse ve bu amaçlara ulaşma temelinde değerlendirileceklerse, bahse konu bu amaçlar CAE’nin ve iç
denetimin stratejik planın risklerini tespit ederken odaklanmaları gereken noktaları
gösterecektir. Bu analiz, önemli sorular sorulmasını da içermektedir. Altta yatan amaçlar veya ölçümler stratejik planı destekliyor mu? Ölçüm kriterleri amaçlarla ve stratejik
planla uyumlu mu ve bunları destekler nitelikte mi? Bu amaçlar ve ölçütler riski arttırabilecek teşvikler yaratıyor mu, özellikle de söz konusu amaçların
gerçekleştirilmeme tehlikesiyle karşı karşıya olması söz konusuysa? Her bir amacın gerçekleştirilmesinden kimler sorumlu ve onlar stratejiyi uygulamaya yetkili mi?
Görülebileceği gibi, CAE ve iç denetim, kurumun stratejik misyonuyla ne kadar uyumlu hareket ederse, bu misyonla, amaçlarla ve ölçümlerle ilişkilendirilen risklerin tespit
edilmesi ve değerlendirilmesi olasılığı da o oranda artar. Dahası, stratejik planı daha
derinlemesine anlamak iç denetimin kuruma yönetim kurulunun ve idari yönetimin en önem verdiği şekilde hizmet etmesi için iç denetime daha fazla bilgi sağlayacaktır. İç
denetim birimi, kurumsal birimlerin görevlerini ve bu birimlerin başarılarının nasıl ölçüleceğini detaylı olarak anlayıp kavramadığı takdirde, daha az ilgili ve anlamlı tavsiye,
yardım veya destek sunan bir birim olarak görülecektir. Bu stratejik bağlam olmadığında, iç denetimin istişare çabaları kurumsal birimlerce ya kibarca reddedilecek
ya da geri çevrilecektir, zira iç denetim biriminin sunmayı istediği destek, stratejik veya
diğer yönlerden herhangi bir değer taşımayan bir destek çabası olarak algılanacaktır. Stratejik planı iyi anlamak ve bu planla uyumlu davranmak, iç denetimin kurumun işle
ilgili zorluklar konusunda daha iyi çözümler geliştirmesine yardım edecek anlamlı ve ilgili güvenceyi sunmasını sağlar.
Stratejik bir ortak
konumuna yükselmenin
ilk adımlarından biri
kurumun stratejik
misyonunu, bu misyonu
gerçekleştirmek için
belirlenen amaçları ve
başarı düzeyinin
ölçmede temel alınacak
ölçütleri anlamaktır.
6 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
İç Denetimin Stratejik Değerini Arttırmak Yüksek performans gösteren kurumlarda, ister satış departmanı ister operasyon
departmanı ister idari destek birimi olsun, kurumun her birimi daha yüksek
düzeyde katkıda bulunmak ister. Uzmanlığını stratejik düzeyde sunma arzusu sadece iç
denetim birimine özgü değildir. Diğer geleneksel kurumsal ve idari birimler de
benzer zorluklarla karşılaşmışlardır ve arzu ettikleri başarıyı kendilerine biçilen
tarihi rollerin ötesine geçmekte bulmuşlardır. Finanstan sorumlu genel müdür
yardımcısı (CFO) finansal sonuçlarla ilgili özgün bir içgörü sunarak dar bir
raporlama rolünden daha geniş bir stratejik iş rolüne geçiş yapmıştır. İnsan
kaynakları departmanı doğru personeli seçmek ile başarı arasında bir köprü
kurarak personel alımı rolünden stratejik personel yönetimine geçmiştir. Bilgi
teknolojilerinden sorumlu genel müdür yardımcısı (CIO) ve baş hukuk müşaviri
de stratejik profillerini ve etkilerini arttırmaktadır. Bu nedenle, iç denetimin
konumunu yükseltmeye ve rolünü arttırmaya giden yol diğer alanların rollerini
geliştirme süreçlerine dair başarılı örnekleri üzerinden görülebilir. Ve geniş
kurumsal bakış açısı ve raporlama ilişkileriyle iç denetim giderek zorlaşan ve daha
fazla gayret gerektiren bugünün iş ortamında bunu avantaja çevirebilecek çok
özel bir konuma sahiptir.
CEO’yu Anlamak
Kurumların misyonlarından, girişimlerinden ve planlarından bahsederken, bir
kurumun stratejisinin aslında CEO, yönetim ekibi ve kurul arasındaki fikir
alışverişi ile başladığını unutmamamız gerekir. Bu fikirler CEO’nun ve yönetim
kurulunun kuruma ilişkin deneyimleri ve perspektiflerinden, kurumun
kapasitesinden ve karşılaştığı zorluklardan, müşteri gereksinimlerinden, genel
pazar ortamından ve hatta dünyada yaşanan olaylardan elde edilmektedir. Bu
faktörlerin tümü ağırlıklı olarak CEO’nun ve yönetim kurulunun düşüncelerinden
beslenmekte ve gelecekteki stratejik misyon değerlendirmesinin altında yatan
perspektifi oluşturmaktadır. CAE kurum içindeki değerini arttırmak için bu perspektifi
anlamalıdır.
CEO’yu anlamak kurumun yüksek yönetim kademelerinde kurulan ilişkilerin
anlaşılmasına dayanırken, iç denetim birimi ve kurum arasındaki genel ilişki
CAE’nin CEO, denetim komitesi ve kurul ile kurduğu etkileşimi yansıtır.
Almanya merkezli Bundesagentur für Arbeit firmasından Oliver Dieterle CAE’nin
kurulla etkileşiminin önemine vurgu yapmaktadır: “CAE işi kapsamlı ve geniş bir
perspektiften anlamak zorundadır. Bunu yapmadığı takdirde kurumun ortaklarından
biri haline gelemez. CAE ayrıca CEO’yu da anlamalıdır.” Bedoya “Beklenen kaliteyi ve
standartları yükseltmek için atılacak başka bir adım da iş stratejisini ve risklerini
anlamak ve bunu yönetimle ele almaktır. CAE’ler işi CEO’nun işten anladığı gibi
anlamalıdırlar. Daha sonra CEO ve kurulun neye önem verdiğine odaklanıp bu öncelikleri
desteklemeye yönelik kendi stratejilerini benimseyebilirler” diye eklemektedir.
Birleşik Krallık’taki Homes and Communities Agency’den Maria Craig “stratejik ortaklığın” “ortaklık” boyutunun “kurumun en yüksek kademelerinde kurum için en
iyi olanı yapmak amacıyla eşit ve paylaşılan/ortak birlikte çalışma arzusu” anlamına geldiğine dikkat çekiyor.
7 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
8 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
Burada örtük bir şekilde ifade edilen şey ortaklık kurmaya gönüllü iki tarafın
bulunması ve taraflardan her birinin karşı tarafın masaya getirdiklerine değer vermesidir.
Bununla birlikte, ortaklık tüm sorumluluklarda eşit ortaklığı ifade etmez. Craig’in de
işaret ettiği gibi, nihayetinde stratejik yönetimi belirleyen yönetim kurulu ve üst
yönetimdir ve “İç denetimin süreç bakımından anahtar niteliğindeki kurum-içi rolleri
tanıması ve işin hem halihazırdaki durumunu hem de nereye gittiğini kapsamlı
olarak anlaması gerekir.” Fakat iç denetimin stratejik olması istenmesine karşın,
bu birimin rolü denetlemek, değerlendirmek ve danışmanlık yapmaktır. İç
denetimin rolü strateji belirleme sırasında etkin bir katılımcı olarak stratejiye katkıda
bulunmak değildir. Bilakis, iç denetimin rolü, stratejinin hayata geçirilmesi sırasında
iç denetimi karşılaşılabilecek içsel riskleri en iyi tespit edebilecek konuma
getirmek amacıyla stratejiyi derinlemesine anlamak ve bahse konu risklerin
uygun yönetilip yönetilmediğini de belirlemektir. Masada bir sandalye sahibi
olmak, strateji geliştirme sırasında hazır bulunmak sadece arka tarafta oturup
strateji planını okumaktan daha iyi bir bağlam sunacaktır.
Güvenilir Bir Ortak Haline Gelmek
CAE, CEO’nun ve kurulun perspektiflerini anladıktan sonra kurumun
tamamında profesyonel bir ilişki kurmalı ve güven inşa etmelidir. Bu, daha
geniş bir alanda karşılaşılan sorunların çözümü için CAE’nin uzmanlığını bu
alanlara taşımasını gerektirir. Burada amacın sadece sorunlara işaret etmek
olmadığını, aksine çözüm önerilerinde bulunmak olduğuna dikkat edilmelidir.
CAE’nin özgün değeri iki katmanlıdır. Bunlardan biri geniş bir vizyon ve
kurumun tamamını anlamaktır. Diğeri ise, risk yönetimi, kontrol ve kurumsal
yönetim süreçleri konusunda son derece iyi bir uzmanlıktır. Bu iki katman bir
araya geldiğinde, stratejik başarının önündeki en büyük engellerden olan iş
zorluklarıyla ilgili risk kontrolü sorunlarını tespit etmeyi ve çözmeyi sağlayacak
özgün perspektifler sunar.
Dieterle “Güvenilir bir danışman olmak CEO’nun CAE’yi ‘yönetim ekibinden biri”
olarak kabul etmesini sağlayacak bir tarzda iletişim kurmak anlamına
gelmektedir.’ Buna ek olarak, kurumunuzdaki yönetim ekibiyle ve üst yönetimle
konuşmanız gerekir. Onların perspektiflerini ve işlerini anlamanız gerekir. Bu,
değişiklik yapmayı ve bir dereceye kadar da perspektifini kendi alanının dışına
doğru genişletmeyi gerektirir. CAE’nin önünde duran zorluk iş-odaklılık olsa da, iç
denetçi olarak kendi ana rolü konusunda açık ve net olma zorunluluğudur.”
İyi bir ortaklıkla, son derece olumlu sonuçlar elde edilebilir. Hollanda merkezli ABN
AMRO Bankası’ndan John Bendermacher bu konudaki kişisel deneyimini şöyle
anlatıyor: “CAE olarak, yönetim kurulu başkanıyla çok düzenli bir biçimde karşılıklı toplantılarım oluyor. Bu toplantılarda bulguların ve sorunların stratejik
etkilerini de gündeme getirebiliyorum. Bu toplantıların yanı sıra, başkana danışmanlık da yapıyorum. Bunun için illa bir toplantı tutanağı veya rapor yazmam
gerekmiyor, aslında bunların sözlü yapılması daha etkili bile olabilir.” Yakın tarihli bir
strateji ve kurum değerlendirmesi sırasında Bendermacher stratejik değerlendirmeyle entegre edilmiş halde birtakım görüşler ve gözlemler elde
etmiştir ve bu yolla da bu değerlendirmeye erişimini değer katmaya yönelik bir fırsat olarak kullanmıştır.
“Güvenilir bir danışman
olmak CEO’nun CAE’nin
“yönetim ekibinden biri”
olduğunu kabul etmesini
sağlayacak tarzda iletişim
kurulması anlamına
gelmektedir... Onların
perspektiflerini anlamanız
gerekir...” Oliver Dieterle, CAE, Bundesagentur für Arbeit
9 globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
Stratejik Misyonu Bir Ekip Olarak Desteklemek
CAE, CEO ve kurul arasındaki ilişkinin rolü ne kadar önemli ise, iç denetim
personeli ile kurumun geri kalanı arasında güçlü bir ilişkinin kurulması da
aynı derecede önem taşımaktadır. Personel stratejik bir CAE olmadan
stratejik olmaya gayret ederken, iç denetim ekibinde de stratejik bir rol
üstlenerek onları desteklemek için gereken istek ve hazırlık mevcut olmalıdır.
Kurumlarda karşılaşılan pek çok zorlukta olduğu gibi, başarı da teknik ve
beşeri becerilerin doğru bir birleşimine dayanır.
İlk adım iç denetimin öncelik verdiği her konuda farklı ve daha yukarıdan
aşağıya bir yaklaşımın kabul görmesini sağlamaktır. Craig “Neyi neden
gerçekleştirmek istediğiniz konusunda açık olun. ‘Bu bir ekip işidir’, bu nedenle,
herkesin üzerine düşeni yapması gerektiğini kabul edin. Kurumun geri kalanını
halletmeden önce kendi ekibinizin içinde kabul görmelisiniz. Kurula, denetim
komitesine ve icra görevlerini üstlenen yöneticilere hedeflerinizi açıkça bildirin
ve en yüksek yönetim kademesinden onay ve destek alın.” şeklinde tavsiyelerde
bulunuyor. CAE, başta kurul ve icradan sorumlu yönetim ekibi olmak üzere, paydaşlar
için bir iletişim planı geliştirerek bu çabaya yardımcı olabilir. Bendermacher “Kurula
stratejinin işletme tarafından nasıl ele alındığını gösterin. Yukarıdan aşağıya bir
risk değerlendirmesi yapın ve kontrol, izleme ve stratejinin ilerleme durumu
hakkında rapor verme sürecine dair güvence verin (veya değer katın).” Tüm
denetim ekibini detaylı denetim çalışmasına nasıl yaklaşacağı konusunda
stratejik misyonu dikkate almaya yönlendirmek zaman, beceri ve yetenek
isteyen bir iştir.
Farklı bir yaklaşım muhakkak yeni yetenekler gerektirecektir, dolayısıyla CAE
teknik becerilerin ötesinde daha geniş bir alanı kapsayan iş ve sosyal beceriler
konusunda denetim ekibini eğitimlerle desteklemelidir. IIA Italya’nın onursal
başkanı Giovanni Grossi kişisel etkileşimi iç denetim açısından son derece
önemli bir beceri olarak tanımlamaktadır. “Bu yeni stratejik rol için kişilerarası
zor etkileşimlerle başa çıkma konusunda daha yüksek bir yeteneğe ve yepyeni
bir rolü son derece sınırlı tarihsel referanslara dayanarak açıklama riskinin
üstesinden gelebilecek cesareti de barındıran bir tavır geliştirmeye ihtiyaç
vardır.” Bedoya daha ileriye gidiyor ve iç denetimin rolünün nasıl kurumda
bulunan diğer kişiler ve birimler arasında çetin tartışmalara yol alçabileceğine
dikkat çekiyor. “İç denetim yönetimle farklılıkları istişare ederken işbirliğine açık
bir tavır sergilemelidir. Yönetimin yaptığı herşey doğru veya yanlış değildir ve
denetçiler sorunları ele alırken sert, fakat kişilere hitap ederken hassas
davranarak onlara ellerindeki fırsatların taşıdığı riskler hakkında tavsiyelerde
bulunmakla yükümlüdürler.”
Grossi bunun için kurum içinde bir hayli iç tanıtım ve bilgilendirmenin
gerekebileceğini ima etmektedir. İç denetim yeni yaklaşımı savunmalı ve
kazanacağı yeni rolün değerine vurgu yapmalıdır ki böylece kurum bunun
sonuçlarına hazırlansın ve söz konusu sonuçları takdir etsin. “Onlara ne
olduğunu anlamadıkları bir hediye vermek hiçbir işe yaramaz, bu yüzden
onları iç denetim mesleğinden sadece geleneksel çıktıları değil, bunun
ötesinde yeni çıktılar beklemenin değerine ikna etmemiz gerekir.”
COSO ERM Güncellemesi:
COSO Risk Yönetimi – Riski Strateji ve
Performansla Uyumlu Hale Getirmek
başlıklı 2004 Kurumsal Risk Yönetimi-
Bütünleşik Çerçevesini güncelleme
aşamasındadır. Bu güncelleme
stratejiye rehberlik etme konusunda
CAE’nin ve iç denetimin rolünün artan
önemini kabul etmektedir. Özellikle,
bu taslak strateji belirlemede ve
uygulamada ERM’nin üstleneceği
uygun role ilişkin ilave içgörüler
sunmaya çalışmaktadır. Dahası, bu
taslak ticari karmaşıklığın gittikçe
arttığı bir dünyada hedef belirleme ve
hedeflere ulaşma süreçlerinde
karşılaşılabilecek riskleri
değerlendirme yollarına dair farklı bir
perspektif sunmaktadır.
COSO güncellemesi, kurulları
“strateji belirleme ve iyileştirme”
sürecinde ERM’yi daha fazla
kullanmaya teşvik etmektedir.
Yazarlar zaten belirlenmiş
stratejilere karşı risk
değerlendirmesi yapma
anlayışından strateji belirleme
sürecinde ERM kullanımına doğru
bir geçiş olması gerektiğini
savunmaktadırlar. Bunu da şöyle
açıklıyorlar: “Kurumsal risk
yönetimi, üst yönetimin
kararlarına dayanan strateji
değerlendirmesini daha açık ve
anlaşılır kılmaya yardım eder.
Strateji seçiminin nasıl
iyileştirilebileceğini açıklar. Strateji
belirleme, riskleri analiz eden ve
bütçeleri ve faaliyetleri kurumun
misyonu ve vizyonuyla uyumlu
hale getiren yapılandırılmış bir
karar alma sürecini gerekli kılar.”
10
globaliia.org
Global Perspectives: Elevating Internal Audit’s Strategic Impact
Risk Yönetimini Geliştirmek
Risk tartışması olmaksızın herhangi bir stratejik tartışma meydana gelemez.
“Risk” “risk ve ödül” arasındaki dengenin yarısını oluşturur. Basitçe ifade
edersek, kurumlar için bir miktar risk içermeyen stratejik bir hamle veya
girişim yoktur. Ve nasıl ki kişi bir uçaktan atladıktan sonra aşağıya düşerken
paraşütünü toplamıyorsa, bir kurum da belirli bir stratejide karar kılmadan
önce söz konusu stratejiyle ilgili risklerin derinlemesine anlaşıldığından emin
olmalı ve risklerin iyi anlaşılmadığı bir stratejiyi kabul etmemelidir. CAE’nin
stratejik olarak etkin olabileceği konum da budur. CAE sadece bir inisiyatifin
içerdiği riskleri değil, aynı zamanda bu tür risklerin nasıl kontrol
edilebileceğini veya edileceğini ve kontrol sürecinin mevcut kontrol
çerçevesinin bir parçası olup olmadığını veya farklı kaynaklar gerektirip
gerektirmediğini kurula aktarmalıdır. Grossi şöyle bir yorumda bulunmaktadır:
“Meydana gelmiş olaylara tepki vermekten ziyade olayları öngörerek
müşterilerimizi mesleğimizin sunabileceği katkılardan haberdar etmemiz
hayati önemdedir.”
Bir kurumun stratejik misyonu geliştirilirken bir dizi stratejik girişimin taktiksel
risklerinin ele alındığı açıktır, ancak sadece CAE risk yönetim stratejisine dair
pro-aktif, tam ve entegre bir tablo sunabilir. CEO gibi düşünen ve yönetim
kurulunun güvendiği bir CAE bir yandan kurumun karşı karşıya olduğu riskleri
yönetirken diğer yandan operasyonel planların uygulanacağı konusunda kurulu
rahatlatabilir. Kurumsal Risk Yönetimi-Riski Strateji ve Performansla Uyumlu
Hale Getirmek başlıklı COSO taslak metninde de belirtildiği gibi, stratejik bir
ERM “kurulun kurumsal stratejiyi etkileyebilecek risklerin kurum tarafından
dikkate aldığını ve iyi yönetildiğini bilerek gözetim rolünü etkin bir tarzda
gerçekleştirmesini sağlar.”2
Pek çok kurumda iç denetim stratejik bir rol üstlenecek bir konuma
yükseltilmediğinden dolayı, bu etkileşim seviyesi yaygın değildir ve CAE
gerçekten özgün bir düzeyde risk yönetimi, kontrol ve kurumsal yönetim
içgörüsü sunarak kurumsal değeri arttırabileceğini gösterme imkanına sahiptir.
Dolayısıyla, kurumun risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin ticari
rekabet avantajı sağladığını veya neden sağlamadığını gösterdiğinde ancak CAE
gerçek bir stratejik değer oluşturmuş olacaktır.
2 Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO), Kurumsal Risk Yönetimi — Riski Strateji ve
Performansla Uyumlu Hale Getirmek (Genel Erişime Açık Taslak Metin), Yönetici Özeti, Haziran 2016, 2.
COSO ERM Güncellemesi: (devamı)
Ayrıca, COSO taslağında
stratejik bir ERM birimi,
değişen ticari koşullardan
ötürü strateji değişikliğine
gidilmesi gerektiğinde kritik
analizler sunarak bir
kurumun değişiklikleri
öngörme ve onlara gereken
yanıtı verme kabiliyeti olarak
tanımlanan “kurumsal
direncini” geliştirici bir faktör
olarak değerlendirilmektedir.
Buna göre, COSO taslağı
CAE ve iç denetimin daha
stratejik bir rol üstlenmesine
yönelik bir hamleyi kesinlikle
desteklemektedir.
Kaynak: Treadway Komisyonu
Sponsorluk Kuruluşları Komitesi
(COSO), Kurumsal Risk Yönetimi—
Riski Strateji ve Performansla
Uyumlu Hale Getirmek (Genel
Erişime Açık Taslak Metin),
Yönetici Özeti, Haziran 2016, 5,
3.
Global Perspectives: Elevating Internal Audit’s Strategic Impact
11 globaliia.org
Zorluklar
İç Denetim Hakkındaki Geleneksel Görüşler
Temel olarak, iç denetimin misyonu kurumlara risk-temelli ve nesnel güvence,
tavsiyeler ve içgörüler sunmak suretiyle kurumsal değeri arttırmak ve korumaktır.
Bu, risk yönetimi, kontrol ve kurumsal yönetim yaklaşımlarının yanı sıra kurumun
karşı karşıya olduğu en önemli stratejik ve operasyonel risklerin yelpazesi ve bu
risklerin iyi yönetilip yönetilmediği konusunda CEO’nun, yönetim kurulunun ve
yönetimin bilgilendirildiğini temin eden süreçler yoluyla gerçekleştirilmektedir.
Stratejik bir tartışmada kurumun önündeki çok sayıda seçeneğin ölçülüp
biçilmesi gerektiğinden dolayı, altta yatan riskler kritik önemdedir ve CAE hazır
bulunsa da bulunmasa da ele alınacaktır. Lakin risk konusu çok önemliyse ve
tartışılacaksa, CAE neden orada bulunmasın?
Kimi zaman, iç denetim birimi bir kurumda sorunları arayıp bulan ve raporlayan
“polis gücü” olarak görülür ve bir stratejinin uygulanmasının önündeki
potansiyel kısıtlama veya zorluk olarak değerlendirilir. İç denetim ile kurum
arasındaki bu geleneksel ilişkiyi ortadan kaldırmak iç denetimi daha stratejik bir
konuma getirmede aşılması gereken ilk zorluktur. Kurumun değerini korumak
tarihsel olarak iç denetimin birincil görevi olduğundan dolayı, iç denetim bu
görüşün her zaman yanlış bir kanı olmadığını kabul etmelidir, ancak bu iç
denetim birimine çok dar bir bakıştır. CAE ve iç denetim ekibi burada anlatılan
tedbirleri aldıkça, iç denetimin değer koruyucu olmanın yanında bir değer
yaratıcısı olması fikri de her yeni değişiklikte olduğu gibi giderek daha fazla
yaygınlaşacak ve kabul görecektir. Bir kurumdaki algıyı bir gecede değiştirecek
sihirli bir formül yoktur, ancak CEO ve kurul CAE’nin kuruma stratejik düzeyde
katkıda bulunduğunu ve mesleki ve kurumsal değerini arttırdığını görmeye
başladıkça, bu geleneksel – ve aşırı derecede basite indirgenmiş – görüş
değişecektir.
Nesnellik ve Bağımsızlık
Bahsedilen zorluklar iç denetim biriminin CEO ve kurulun stratejik ortağı olarak
kabul edilmesiyle sona ermiyor. CAE ve iç denetim ekibinin stratejik bir ortak
olarak kabul görüldüğünü varsayarsak, CAE’nin ve iç denetim ekibinin karşı
karşıya kalacağı belki de en büyük doğal zorluk nesnelliği ve daha iyi bir
danışmanlık rolünü birbiriyle dengelemektir. İç denetçinin daha etkili olmak için
kurumla etkileşimde bulunması tek kelimeyle su götürmez bir gerçektir, ancak
bu etkileşim çok ileriye götürüldüğünde, iç denetimin nesnelliğini etkileyebilecek
menfaat çatışması yaratma noktasına varabilir. Bu noktada, Bedoya, işbirliğinin
önemini kabul etmekte, fakat nesnelliği korumayı daima odakta tutmanın
gerekliliğine vurgu yapmaktadır. “En önemlisi kişisel olarak nesnelliğini korumak
ve iç denetim biriminin bağımsızlığını sürdürmektir.”
ISO 31000 Bakış Açısı:
ISO 31000 spesifik süreçler
üzerinde daha az durarak riski
kurumsal yapıya entegre etme
konusunda bütüncül bir bakışa
sahiptir. ISO 31000 ERM
fonksiyonunu kurumun
büyüklüğüne, türüne ve
karmaşıklık düzeyine dayanan
orantısallık, kurumsal
misyonun kapsamıyla uyum,
kurum kültürüne entegrasyon
ve kurumu etkileyen
değişiklere duyarlılık ve cevap
verme yeteneği gibi faktörleri
entegre edici ve doğası
itibariyle kapsamlı olarak
değerlendirmektedir.
Risk yönetim politikası kurumsal
risk iştahının ne düzeyde olduğu
ve riskin kurumsal kültürde nasıl
ifade edildiği de dâhil riskleri
doğrudan ve samimi bir şekilde
ele almalıdır. Kurumun işle ilgili
amaçları anahtar varsayımlar ve
bağımlılıkların anlaşılmasıyla
birlikte risk bakımından açıkça
değerlendirilmelidir. ISO 31000,
iş planının uygulanması
sırasında risk tespit edilmesi
halinde açıkça tanımlanmış ve
uygulanmaya hazır iyileştirme
süreçlerinin bulunduğu anahtar
risk göstergelerini geliştirici
olarak kurumu ele almaktadır.
Kurumsal yapının tamamında
sirayet etmiş risk yönetimiyle,
ISO 31000 kurumsal risklerin
tespit edilmesinde,
önlenmesinde ve yönetilmesinde
tüm kurumun sorumluluğuna
vurgu yapmaktadır.
Global Perspectives: Elevating Internal Audit’s Strategic Impact
10 globaliia.org
Nesnellik başka şekillerde de etkilenebilir. Grossi CAE’nin nesnelliğini etkileyen bazı
maaş trendlerini CAE’nin nesnelliğini etkileyen bir faktör olarak görmekte ve şu
soruyu sormaktadır: “CAE’ye ne tür parasal ve kariyerle ilgili teşvikler
sunulmaktadır?” İkramiyeler ve hisse senedi teşvikleri performans açısından güçlü
bir motivasyon kaynağı olabilir, fakat aynı zamanda CAE’nin ana misyonuyla
uyumlu olmayan motive edici faktörler de ortaya çıkarabilir. Üst düzey yetenekleri
cezbetmek ve kurumda tutmak için uygun bir maaş paketi gerektiği açıktır, ancak bunun,
CAE’nin ana görevine ters düşen davranışları teşvik etmeyecek veya teşvik ediyor
izlenimi vermeyecek şekilde yapılandırılmasına özen gösterilmelidir. Bu hassas bir
dengedir.
Özet CAE’ler, kurumun karşı karşıya olduğu riskleri tespit ederek, risklerin nasıl yönetilmekte
olduğunu değerlendirerek ve kurula ve idari yönetime stratejik misyonu etkileyen risklerin
yönetimini iyileştiren çözümler sunarak stratejik değerlerinin tanınmasını sağlayacaktır. CAE
akıllı risk almayı bir rekabet avantajı olarak kullanmaya yönelik fırsatlar konusunda kuruma
tavsiyelerde de bulunabilir.
İç denetim; kurumun stratejik misyonunu daha derinlemesine anlayarak, CEO ve kurul gibi
düşünmeyi öğrenerek, sorunları çözüme kavuşturan çözümler önerip güvenilir bir ortak
haline gelerek, iç denetim ekibinin yeni stratejik misyonunu benimsemesini sağlayarak ve
uyumsuzlukları ortadan kaldırarak ve risk yönetimini rekabet avantajı kaynağına
dönüştürerek stratejik ve kurumsal amaçlarla daha uyumlu hale gelebilir. Bu, iç denetimin bir
yandan genel kurumsal yönetime, risk yönetimine ve iç kontrollere anlamlı katkılarda bulunurken,
diğer yandan maliyet ve değer dengeleme alanındaki anlamlılığını ve geçerliliğini korumasına ve haklı
rolünü desteklemesine yardımcı olacaktır.
Bendermacher sabırlı olmayı ve gerçekçi beklentilere sahip olmayı öğütlemektedir. “Strateji
belirleme süreci son derece gizli bir süreç olarak değerlendirilmektedir, zira pazarlarda,
ürünlerde ve/veya kurumun kendisinde önemli ve anlamlı değişikliklere yol açar. Bu
nedenle, iç denetimi en başından sürece katma konusundaki gönülsüzlüğün bu kadar
yaygın olması ve henüz kırılamamış olması yadırganmamalıdır. İç denetim kurumun
stratejisini, bu stratejiyi destekleyen amaçları, kurumun amaçlarına ulaşma kabiliyetini
etkileyen riskleri ve yönetimin tanımladığı risk yanıtlarını derinlemesine anlamalıdır. Bu
anlama kabiliyeti işi, ilgili sektörü ve paydaş beklentilerini tam kavramakla
desteklenmelidir.”
Ele alınan tüm adımlar iç denetimin stratejik inisiyatifleri ve anahtar kilometre taşlarını
desteklemek için yapması gereken faaliyetleri ayrıntılı olarak belirten bir iç denetim çalışma
stratejisi yaratmak için kullanılmalıdır. Craig bu adımın önemine şöyle dikkat çekmektedir:
“Kurumun gelecekteki faaliyetinin ve stratejik planın gerçekleştirilmesinin önündeki anahtar
stratejik riskleri dikkate almak iç denetim işinin odağının da buna uygun hale getirilmesini
sağlar. Benzer bir şekilde, iç denetimin kurumun anahtar stratejik riskleri hakkında güvence
sağlama konusundaki katkısını gösterme şartı kurumun hedeflerinin ve amaçlarının iç
denetimin tüm çalışmalarını desteklemesini sağlayacaktır.” Ayrıca, bugünkü iş dünyasının dinamik
ortamı dikkate alındığında, CAE iç denetimin kurumun değişen önceliklerine ayak uydurma kabiliyetini
kolaylaştıracak yaklaşımlar geliştirmelidir.
Odak Noktaları:
İç denetim birimini daha
yüksek bir konuma getirmek
için yapılması gerekenler:
■ Kurumun stratejik
misyonunu anlayın.
■ İcra görevlerini üstlenen
yönetim ekibinin, CEO’nun ve
yönetim kurulunun
perspektifini anlayın.
■ Stratejik sorunları çözmeye
yardım eden stratejik
çözümler önererek güvenilir
bir ortak haline gelin.
■ İç denetim ekibinin
tamamını stratejik misyonla
uyumlu hale getirin.
■ Kurumun risk yönetimini bir
stratejik avantaj kaynağı
olarak kabul etmesini
sağlayın.
■ Denetim planını stratejik
planla uyumlu hale getirin.
■ Stratejiyi etkileyen faktörler
hakkında icra görevleri
üstlenen yönetim ekibi, CEO
ve kurul ile konuşun.
Global Perspectives: Elevating Internal Audit’s Strategic Impact
11 globaliia.org
Bedoya’nın açıkladığı gibi, “Bu işin anahtarı öğrenmeye istekli olmak, doğru
olanı yapmak ve güçlü liderliğe sahip olmaktır. CAE’ler stratejik ortak ve
güvenilir danışman konumuna yükselmek ve iç denetimin stratejisini iş
stratejisiyle uyumlu hale getirmek için bu niteliklerin tümüne ihtiyaç duyarlar.”
Ve tabii ki bu uğurda çıkılan yol her zaman tümseksiz ve sorunsuz olmayacaktır,
ancak Grossi ortaya konan çabada sebat edilmesini ve sürekliliği teşvik
etmektedir. Ona göre, iç denetim ve stratejiyi birleştirmek iki olumsuz
durumdan kaçınmayı sağlar: “birincisi iç denetçilerle ilgili olumsuz bir durumdur,
çünkü stratejinin dışında kalmak onları daha iyi bir profil ve mesleki imaj
kazanmaktan mahrum bırakır; ikinci olumsuz durum ise kurumları
etkilemektedir, zira pek çok stratejik girişim iç denetimin sunabileceği
profesyonel bir denetim ve denge sisteminin olmamasından dolayı başarısız
olmaktadır.”
İç denetimin stratejik perspektifinin kurum tarafından kabul edilmesi bir gecede
olacak bir iş değildir. Fakat Craig bu çabanın nasıl ileriye taşınacağı konusunda
birtakım genel tavsiyelerde bulunmaktadır. “Hedeflerinizi ekibinizin kolektif ve
bireysel hedeflerinin arasına yerleştirin. Şimdiki konumunuzu daima dürüstçe
değerlendirin ve değişikliğin önündeki riskleri ve engellere dikkat ederken bu
engellerin kurum içinde, iç denetimin kendi içinde veya dış kaynaklı
olabileceğini unutmayın. Denetim hizmetlerini iyileştirmeye yönelik planlar
uygulayın – yönetilebilir adımlar halinde değişiklik yapın – ve bu sürecin
tamamı boyunca üstün bir hizmet sunmaya devam edin.” En önemli noktanın,
“ayinesi iştir kişinin lafa bakılmaz” eski deyişinde de olduğu gibi eylemlerin
sözlerden daha önemli olduğunu vurgulamaktadır. “Yeni stratejik perspektifi
sadece “pazarlamakla” yetinmeyin. “Yapın!”
Daha Fazla Bilgi İçin
Chartered Institute of
Internal Auditors, “Strateji,”
Mayıs 25, 2016
(www.iia.org.uk)
Treadway Komisyonu Sponsorluk
Kuruluşları Komitesi (COSO),
Kurumsal Risk Yönetimi —Riski
Strateji ve Performansla
Uyumlu Hale Getirmek,
(Kamuya Açık Taslak),
Haziran 2016
(www.coso.org)
IIA–Hollanda, “Stratejiyle İlişkili
Denetim,” IIA-Hollanda ve KPMG,
Haziran 2015 (www.iia.nl)
Uluslararası Standartlar Örgütü
(ISO), “ISO 31000 Risk
Yönetimi,” 2009 (www.iso.org)
Önceki sayılara
www.theiia.org/gpi
adresinden erişebilirsiniz.
■ Emerging Trends – Powered
by the Global Pulse of
Internal Audit
■ Internal Audit as Trusted
Cyber Adviser
■ Auditing Culture – A Hard Look
at the Soft Stuff
■ Beyond the Numbers – Internal
Audit’s Role in Nonfinancial
Reporting
■ Grappling with Geopolitics
globa liia.org
Recommended