6. sayı global perspektİfler ve İÇgÖrÜler...stratejik amacı da analiz etmelidir. basit bir...

6. Sayı

GLOBAL PERSPEKTİFLER VE İÇGÖRÜLER:

İç Denetimin Stratejik Etkisini Arttırmak

3 globaliia.org

Global Perspectives: Elevating Internal Audit’s Strategic Impact

İçindekiler Tablosu

Giriş ..................................................................................... 4

Stratejik Misyonunuzu Anlamak ................................................. 5

İç Denetimin Stratejik Değerini Arttırmak ................................... 6

Zorluklar ............................................................................. 10

Özet ................................................................................... 11

Katkıda Bulunanlar

Luz Dary Bedoya Bedoya,

CIA, CISA, Üst Düzey

Yönetici, Audilimited,

Organización Corona –

Kolombiya

John Bendermacher,

CIA, RA, İç Denetim

Yöneticisi, ABN AMRO Bankası

– Hollanda

Maria Craig,

CIA, QIAL, CMIIA,

İç Denetim Başkanı,

Homes and Communities

Agency– Birleşik Krallık

Oliver Dieterle,

CIA, CGAP, CRMA, İç Denetim

Yöneticisi, Bundesagentur für

Arbeit – Almanya

Giovanni Grossi,

CIA, CCSA, CFSA, CGAP, CRMA,

Onursal Başkan,

IIA-İtalya – İtalya

4 globaliia.org


Giriş İç denetimin etkili risk yönetiminde ve kontrolünde üçüncü savunma hattı

olarak rolünün giderek önem kazanması onun hem kurum içindeki hem de

kurum dışındaki görünürlüğünü arttırmıştır. Sonuç olarak, iç denetim

yöneticileri (CAEs)1 ve iç denetim departmanları genel kurumsal misyona

kattıkları değeri arttırmak amacıyla özgün uzmanlıklarını kullanmanın yollarını

aramaktadır. Bu da finans, insan kaynakları, BT ve hukuk gibi standardın

üstünde performans gösteren tüm destek alanları tarafından şu sorunun

sorulmasına yol açmaktadır — kurumu stratejik açıdan nasıl etkileyebiliriz?

İç denetim, stratejik bir ortak olarak özgün bir konuma sahiptir. Genel

Müdüre (CEO) veya icra görevi üstlenen diğer üst düzey yöneticilere rapor

veren denetim komitesi, yönetim kurulu ve yüksek performans gösteren

CAE’ler zekâyı, uzmanlığı, özen ve dikkati ve merakı iç denetimi kritik bir

stratejik role konumlandıracak şekilde bir araya getirir. Buna rağmen,

genellikle CAE’lerin kurumlar üzerindeki stratejik etki potansiyelleri bilinmez. İç

denetimin stratejik rolünü geliştirmek isteyen CAE’ler için, makul ve arzulanan

bu sonraki adımı atmak için önce birtakım soruların yanıtlanması

gerekmektedir. CAE kurumun stratejik misyonunu derinlemesine anlıyor mu?

CAE, CEO’nun ve kurulun perspektiflerini anlıyor ve anahtar önemdeki sorunlara

çözüm getirecek tavsiye ve çözüm yolları önererek güvenilir bir ortak olma

yönünde gereken çabayı gösteriyor mu? İç denetim kurumun stratejik

misyonuyla uyumlu mudur? İç denetim (tepkisellikten ziyade) öngörülü ve

pro-aktif midir? CAE risk yönetimi hakkında güvence sunuyor mu?

Maalesef, iç denetime ilişkin geleneksel anlayışlar iç denetimi stratejik bir ortak

olarak benimsemeyi kabul edecek diğer kişilerin cephesinde ihtiyatlı

davranmaya yol açabilir. Ayrıca iç denetimin rolünü yerine getirmek için

gereken bağımsızlık seviyesi ile kurumun hedeflerine ulaşmasını sağlamak için

gereken taktiksel görevlerde yer alma seviyesi arasında bir denge kurmalıdır.

Neticede bu taktikleri incelemek iç denetimin görevidir. Fakat bu zorlukların

pro-aktif bir biçimde ele alınması iç denetimin stratejik bir ortak ve katkı

sağlayıcı olarak tanınması için gerçek bir fırsat yaratabilir.

1 CAE iç denetim yöneticisini, iç denetim başkanını veya iç denetim faaliyetini yürütmekten sorumlu başka bir üst düzey pozisyonu ifade eder.

Danışma Kurulu

Nur Hayati Baharuddin, CIA,

CCSA, CFSA, CGAP, CRMA –

IIA–Malezya

Lesedi Lesetedi, CIA, QIAL –

IIA Afrika Federasyonu

Hans Nieuwlands, CIA, CCSA,

CGAP – IIA–Hollanda

Karem Obeid, CIA, CCSA, CRMA –

Member of IIA–Birleşik Arap

Emirlikleri

Carolyn Saint, CIA, CRMA, CPA –

IIA–Kuzey Amerika

Ana Cristina Zambrano Preciado,

CIA, CCSA, CRMA – IIA–

Kolombiya

Okuyucu Geri Bildirimi Soru veya yorumlarınızı

[email protected] adresine

gönderiniz.

Telif Hakkı © 2016 The Institute of Internal Auditors, Inc.,

(“The IIA”) şirketine aittir ve her hakkı kesinlikle mahfuzdur.

The IIA’nın adının veya logosunun kullanıldığı her yerde

A.B.D. federal ticari tescil sembolü kullanılacaktır. Bu

materyalin hiçbir bölümü The IIA’nın yazılı izni olmaksızın

herhangi bir şekilde çoğaltılamaz.

Baş Yazar

Stephen K. Henn, Esq. –

Birleşik Devlet

mailto:[email protected]%20%20adresine%20gönderiniz.

mailto:[email protected]%20%20adresine%20gönderiniz.

5 globaliia.org


Stratejik Misyonunuzu Anlamak Audilimited, Kolombiya’daki Organización Corona’dan Luz Dary Bedoya Bedoya,”süreç hedeflerini, kurumsal yönetim kurallarını ve sektör bağlamını bilmeden bir süreci

denetlemek imkânsızdır. Bu durum iş için de geçerlidir: İş stratejisini derinlemesine bilmeden uygun bir denetim planı geliştirmek mümkün değildir.” Sonuç olarak, stratejik

bir ortak konumuna gelmenin anahtar niteliğindeki ilk adımı kurumun stratejik

misyonunu, bu misyonu gerçekleştirmek için belirlenen amaçları ve başarının ölçülmesinde parametre görevi görecek ölçütleri anlamaktır.

Bu yüzden CAE kurumun stratejik misyonunun yanı sıra bu misyonun altında yatan

stratejik amacı da analiz etmelidir. Basit bir görev gibi görünse de, anlaşılması önem arz

etmektedir. İç denetim birimi kurumun stratejik misyonunu ve stratejik amacını anlamadığı takdirde, stratejik bir ortak olarak görülmesini sağlayacak adımları atamaz.

Dahası, stratejik misyonu anlamak için söz konusu stratejik misyonu uygulamaya yönelik operasyonel plana ve onunla ilişkili her şeye dair kapsamlı ve derin bir bilgiye sahip

olmak gerekir. Stratejik plan genellikle bu planı gerçekleştirme adımları olarak tasarlanan stratejik amaçlardan ve başarı seviyesini belirlemek için kullanılacak bir dizi

ölçüm kıstasından oluşur. Değerlendirmeye dönük ölçümlerle birleştirildiğinde, bu

stratejik amaçlar ve taktiksel girişimler önemlidir, çünkü kurumun tamamının ve her bir iş biriminin davranışına yön verirler. İcra görevini üstlenen üst düzey bir yöneticiye ve

bir iş birimine bazı destekleyici amaçları gerçekleştirme görevi verildiyse ve bu amaçlara ulaşma temelinde değerlendirileceklerse, bahse konu bu amaçlar CAE’nin ve iç

denetimin stratejik planın risklerini tespit ederken odaklanmaları gereken noktaları

gösterecektir. Bu analiz, önemli sorular sorulmasını da içermektedir. Altta yatan amaçlar veya ölçümler stratejik planı destekliyor mu? Ölçüm kriterleri amaçlarla ve stratejik

planla uyumlu mu ve bunları destekler nitelikte mi? Bu amaçlar ve ölçütler riski arttırabilecek teşvikler yaratıyor mu, özellikle de söz konusu amaçların

gerçekleştirilmeme tehlikesiyle karşı karşıya olması söz konusuysa? Her bir amacın gerçekleştirilmesinden kimler sorumlu ve onlar stratejiyi uygulamaya yetkili mi?

Görülebileceği gibi, CAE ve iç denetim, kurumun stratejik misyonuyla ne kadar uyumlu hareket ederse, bu misyonla, amaçlarla ve ölçümlerle ilişkilendirilen risklerin tespit

edilmesi ve değerlendirilmesi olasılığı da o oranda artar. Dahası, stratejik planı daha

derinlemesine anlamak iç denetimin kuruma yönetim kurulunun ve idari yönetimin en önem verdiği şekilde hizmet etmesi için iç denetime daha fazla bilgi sağlayacaktır. İç

denetim birimi, kurumsal birimlerin görevlerini ve bu birimlerin başarılarının nasıl ölçüleceğini detaylı olarak anlayıp kavramadığı takdirde, daha az ilgili ve anlamlı tavsiye,

yardım veya destek sunan bir birim olarak görülecektir. Bu stratejik bağlam olmadığında, iç denetimin istişare çabaları kurumsal birimlerce ya kibarca reddedilecek

ya da geri çevrilecektir, zira iç denetim biriminin sunmayı istediği destek, stratejik veya

diğer yönlerden herhangi bir değer taşımayan bir destek çabası olarak algılanacaktır. Stratejik planı iyi anlamak ve bu planla uyumlu davranmak, iç denetimin kurumun işle

ilgili zorluklar konusunda daha iyi çözümler geliştirmesine yardım edecek anlamlı ve ilgili güvenceyi sunmasını sağlar.

Stratejik bir ortak

konumuna yükselmenin

ilk adımlarından biri

kurumun stratejik

misyonunu, bu misyonu

gerçekleştirmek için

belirlenen amaçları ve

başarı düzeyinin

ölçmede temel alınacak

ölçütleri anlamaktır.

6 globaliia.org


İç Denetimin Stratejik Değerini Arttırmak Yüksek performans gösteren kurumlarda, ister satış departmanı ister operasyon

departmanı ister idari destek birimi olsun, kurumun her birimi daha yüksek

düzeyde katkıda bulunmak ister. Uzmanlığını stratejik düzeyde sunma arzusu sadece iç

denetim birimine özgü değildir. Diğer geleneksel kurumsal ve idari birimler de

benzer zorluklarla karşılaşmışlardır ve arzu ettikleri başarıyı kendilerine biçilen

tarihi rollerin ötesine geçmekte bulmuşlardır. Finanstan sorumlu genel müdür

yardımcısı (CFO) finansal sonuçlarla ilgili özgün bir içgörü sunarak dar bir

raporlama rolünden daha geniş bir stratejik iş rolüne geçiş yapmıştır. İnsan

kaynakları departmanı doğru personeli seçmek ile başarı arasında bir köprü

kurarak personel alımı rolünden stratejik personel yönetimine geçmiştir. Bilgi

teknolojilerinden sorumlu genel müdür yardımcısı (CIO) ve baş hukuk müşaviri

de stratejik profillerini ve etkilerini arttırmaktadır. Bu nedenle, iç denetimin

konumunu yükseltmeye ve rolünü arttırmaya giden yol diğer alanların rollerini

geliştirme süreçlerine dair başarılı örnekleri üzerinden görülebilir. Ve geniş

kurumsal bakış açısı ve raporlama ilişkileriyle iç denetim giderek zorlaşan ve daha

fazla gayret gerektiren bugünün iş ortamında bunu avantaja çevirebilecek çok

özel bir konuma sahiptir.

CEO’yu Anlamak

Kurumların misyonlarından, girişimlerinden ve planlarından bahsederken, bir

kurumun stratejisinin aslında CEO, yönetim ekibi ve kurul arasındaki fikir

alışverişi ile başladığını unutmamamız gerekir. Bu fikirler CEO’nun ve yönetim

kurulunun kuruma ilişkin deneyimleri ve perspektiflerinden, kurumun

kapasitesinden ve karşılaştığı zorluklardan, müşteri gereksinimlerinden, genel

pazar ortamından ve hatta dünyada yaşanan olaylardan elde edilmektedir. Bu

faktörlerin tümü ağırlıklı olarak CEO’nun ve yönetim kurulunun düşüncelerinden

beslenmekte ve gelecekteki stratejik misyon değerlendirmesinin altında yatan

perspektifi oluşturmaktadır. CAE kurum içindeki değerini arttırmak için bu perspektifi

anlamalıdır.

CEO’yu anlamak kurumun yüksek yönetim kademelerinde kurulan ilişkilerin

anlaşılmasına dayanırken, iç denetim birimi ve kurum arasındaki genel ilişki

CAE’nin CEO, denetim komitesi ve kurul ile kurduğu etkileşimi yansıtır.

Almanya merkezli Bundesagentur für Arbeit firmasından Oliver Dieterle CAE’nin

kurulla etkileşiminin önemine vurgu yapmaktadır: “CAE işi kapsamlı ve geniş bir

perspektiften anlamak zorundadır. Bunu yapmadığı takdirde kurumun ortaklarından

biri haline gelemez. CAE ayrıca CEO’yu da anlamalıdır.” Bedoya “Beklenen kaliteyi ve

standartları yükseltmek için atılacak başka bir adım da iş stratejisini ve risklerini

anlamak ve bunu yönetimle ele almaktır. CAE’ler işi CEO’nun işten anladığı gibi

anlamalıdırlar. Daha sonra CEO ve kurulun neye önem verdiğine odaklanıp bu öncelikleri

desteklemeye yönelik kendi stratejilerini benimseyebilirler” diye eklemektedir.

Birleşik Krallık’taki Homes and Communities Agency’den Maria Craig “stratejik ortaklığın” “ortaklık” boyutunun “kurumun en yüksek kademelerinde kurum için en

iyi olanı yapmak amacıyla eşit ve paylaşılan/ortak birlikte çalışma arzusu” anlamına geldiğine dikkat çekiyor.

7 globaliia.org


8 globaliia.org


Burada örtük bir şekilde ifade edilen şey ortaklık kurmaya gönüllü iki tarafın

bulunması ve taraflardan her birinin karşı tarafın masaya getirdiklerine değer vermesidir.

Bununla birlikte, ortaklık tüm sorumluluklarda eşit ortaklığı ifade etmez. Craig’in de

işaret ettiği gibi, nihayetinde stratejik yönetimi belirleyen yönetim kurulu ve üst

yönetimdir ve “İç denetimin süreç bakımından anahtar niteliğindeki kurum-içi rolleri

tanıması ve işin hem halihazırdaki durumunu hem de nereye gittiğini kapsamlı

olarak anlaması gerekir.” Fakat iç denetimin stratejik olması istenmesine karşın,

bu birimin rolü denetlemek, değerlendirmek ve danışmanlık yapmaktır. İç

denetimin rolü strateji belirleme sırasında etkin bir katılımcı olarak stratejiye katkıda

bulunmak değildir. Bilakis, iç denetimin rolü, stratejinin hayata geçirilmesi sırasında

iç denetimi karşılaşılabilecek içsel riskleri en iyi tespit edebilecek konuma

getirmek amacıyla stratejiyi derinlemesine anlamak ve bahse konu risklerin

uygun yönetilip yönetilmediğini de belirlemektir. Masada bir sandalye sahibi

olmak, strateji geliştirme sırasında hazır bulunmak sadece arka tarafta oturup

strateji planını okumaktan daha iyi bir bağlam sunacaktır.

Güvenilir Bir Ortak Haline Gelmek

CAE, CEO’nun ve kurulun perspektiflerini anladıktan sonra kurumun

tamamında profesyonel bir ilişki kurmalı ve güven inşa etmelidir. Bu, daha

geniş bir alanda karşılaşılan sorunların çözümü için CAE’nin uzmanlığını bu

alanlara taşımasını gerektirir. Burada amacın sadece sorunlara işaret etmek

olmadığını, aksine çözüm önerilerinde bulunmak olduğuna dikkat edilmelidir.

CAE’nin özgün değeri iki katmanlıdır. Bunlardan biri geniş bir vizyon ve

kurumun tamamını anlamaktır. Diğeri ise, risk yönetimi, kontrol ve kurumsal

yönetim süreçleri konusunda son derece iyi bir uzmanlıktır. Bu iki katman bir

araya geldiğinde, stratejik başarının önündeki en büyük engellerden olan iş

zorluklarıyla ilgili risk kontrolü sorunlarını tespit etmeyi ve çözmeyi sağlayacak

özgün perspektifler sunar.

Dieterle “Güvenilir bir danışman olmak CEO’nun CAE’yi ‘yönetim ekibinden biri”

olarak kabul etmesini sağlayacak bir tarzda iletişim kurmak anlamına

gelmektedir.’ Buna ek olarak, kurumunuzdaki yönetim ekibiyle ve üst yönetimle

konuşmanız gerekir. Onların perspektiflerini ve işlerini anlamanız gerekir. Bu,

değişiklik yapmayı ve bir dereceye kadar da perspektifini kendi alanının dışına

doğru genişletmeyi gerektirir. CAE’nin önünde duran zorluk iş-odaklılık olsa da, iç

denetçi olarak kendi ana rolü konusunda açık ve net olma zorunluluğudur.”

İyi bir ortaklıkla, son derece olumlu sonuçlar elde edilebilir. Hollanda merkezli ABN

AMRO Bankası’ndan John Bendermacher bu konudaki kişisel deneyimini şöyle

anlatıyor: “CAE olarak, yönetim kurulu başkanıyla çok düzenli bir biçimde karşılıklı toplantılarım oluyor. Bu toplantılarda bulguların ve sorunların stratejik

etkilerini de gündeme getirebiliyorum. Bu toplantıların yanı sıra, başkana danışmanlık da yapıyorum. Bunun için illa bir toplantı tutanağı veya rapor yazmam

gerekmiyor, aslında bunların sözlü yapılması daha etkili bile olabilir.” Yakın tarihli bir

strateji ve kurum değerlendirmesi sırasında Bendermacher stratejik değerlendirmeyle entegre edilmiş halde birtakım görüşler ve gözlemler elde

etmiştir ve bu yolla da bu değerlendirmeye erişimini değer katmaya yönelik bir fırsat olarak kullanmıştır.

“Güvenilir bir danışman

olmak CEO’nun CAE’nin

“yönetim ekibinden biri”

olduğunu kabul etmesini

sağlayacak tarzda iletişim

kurulması anlamına

gelmektedir... Onların

perspektiflerini anlamanız

gerekir...” Oliver Dieterle, CAE, Bundesagentur für Arbeit

9 globaliia.org


Stratejik Misyonu Bir Ekip Olarak Desteklemek

CAE, CEO ve kurul arasındaki ilişkinin rolü ne kadar önemli ise, iç denetim

personeli ile kurumun geri kalanı arasında güçlü bir ilişkinin kurulması da

aynı derecede önem taşımaktadır. Personel stratejik bir CAE olmadan

stratejik olmaya gayret ederken, iç denetim ekibinde de stratejik bir rol

üstlenerek onları desteklemek için gereken istek ve hazırlık mevcut olmalıdır.

Kurumlarda karşılaşılan pek çok zorlukta olduğu gibi, başarı da teknik ve

beşeri becerilerin doğru bir birleşimine dayanır.

İlk adım iç denetimin öncelik verdiği her konuda farklı ve daha yukarıdan

aşağıya bir yaklaşımın kabul görmesini sağlamaktır. Craig “Neyi neden

gerçekleştirmek istediğiniz konusunda açık olun. ‘Bu bir ekip işidir’, bu nedenle,

herkesin üzerine düşeni yapması gerektiğini kabul edin. Kurumun geri kalanını

halletmeden önce kendi ekibinizin içinde kabul görmelisiniz. Kurula, denetim

komitesine ve icra görevlerini üstlenen yöneticilere hedeflerinizi açıkça bildirin

ve en yüksek yönetim kademesinden onay ve destek alın.” şeklinde tavsiyelerde

bulunuyor. CAE, başta kurul ve icradan sorumlu yönetim ekibi olmak üzere, paydaşlar

için bir iletişim planı geliştirerek bu çabaya yardımcı olabilir. Bendermacher “Kurula

stratejinin işletme tarafından nasıl ele alındığını gösterin. Yukarıdan aşağıya bir

risk değerlendirmesi yapın ve kontrol, izleme ve stratejinin ilerleme durumu

hakkında rapor verme sürecine dair güvence verin (veya değer katın).” Tüm

denetim ekibini detaylı denetim çalışmasına nasıl yaklaşacağı konusunda

stratejik misyonu dikkate almaya yönlendirmek zaman, beceri ve yetenek

isteyen bir iştir.

Farklı bir yaklaşım muhakkak yeni yetenekler gerektirecektir, dolayısıyla CAE

teknik becerilerin ötesinde daha geniş bir alanı kapsayan iş ve sosyal beceriler

konusunda denetim ekibini eğitimlerle desteklemelidir. IIA Italya’nın onursal

başkanı Giovanni Grossi kişisel etkileşimi iç denetim açısından son derece

önemli bir beceri olarak tanımlamaktadır. “Bu yeni stratejik rol için kişilerarası

zor etkileşimlerle başa çıkma konusunda daha yüksek bir yeteneğe ve yepyeni

bir rolü son derece sınırlı tarihsel referanslara dayanarak açıklama riskinin

üstesinden gelebilecek cesareti de barındıran bir tavır geliştirmeye ihtiyaç

vardır.” Bedoya daha ileriye gidiyor ve iç denetimin rolünün nasıl kurumda

bulunan diğer kişiler ve birimler arasında çetin tartışmalara yol alçabileceğine

dikkat çekiyor. “İç denetim yönetimle farklılıkları istişare ederken işbirliğine açık

bir tavır sergilemelidir. Yönetimin yaptığı herşey doğru veya yanlış değildir ve

denetçiler sorunları ele alırken sert, fakat kişilere hitap ederken hassas

davranarak onlara ellerindeki fırsatların taşıdığı riskler hakkında tavsiyelerde

bulunmakla yükümlüdürler.”

Grossi bunun için kurum içinde bir hayli iç tanıtım ve bilgilendirmenin

gerekebileceğini ima etmektedir. İç denetim yeni yaklaşımı savunmalı ve

kazanacağı yeni rolün değerine vurgu yapmalıdır ki böylece kurum bunun

sonuçlarına hazırlansın ve söz konusu sonuçları takdir etsin. “Onlara ne

olduğunu anlamadıkları bir hediye vermek hiçbir işe yaramaz, bu yüzden

onları iç denetim mesleğinden sadece geleneksel çıktıları değil, bunun

ötesinde yeni çıktılar beklemenin değerine ikna etmemiz gerekir.”

COSO ERM Güncellemesi:

COSO Risk Yönetimi – Riski Strateji ve

Performansla Uyumlu Hale Getirmek

başlıklı 2004 Kurumsal Risk Yönetimi-

Bütünleşik Çerçevesini güncelleme

aşamasındadır. Bu güncelleme

stratejiye rehberlik etme konusunda

CAE’nin ve iç denetimin rolünün artan

önemini kabul etmektedir. Özellikle,

bu taslak strateji belirlemede ve

uygulamada ERM’nin üstleneceği

uygun role ilişkin ilave içgörüler

sunmaya çalışmaktadır. Dahası, bu

taslak ticari karmaşıklığın gittikçe

arttığı bir dünyada hedef belirleme ve

hedeflere ulaşma süreçlerinde

karşılaşılabilecek riskleri

değerlendirme yollarına dair farklı bir

perspektif sunmaktadır.

COSO güncellemesi, kurulları

“strateji belirleme ve iyileştirme”

sürecinde ERM’yi daha fazla

kullanmaya teşvik etmektedir.

Yazarlar zaten belirlenmiş

stratejilere karşı risk

değerlendirmesi yapma

anlayışından strateji belirleme

sürecinde ERM kullanımına doğru

bir geçiş olması gerektiğini

savunmaktadırlar. Bunu da şöyle

açıklıyorlar: “Kurumsal risk

yönetimi, üst yönetimin

kararlarına dayanan strateji

değerlendirmesini daha açık ve

anlaşılır kılmaya yardım eder.

Strateji seçiminin nasıl

iyileştirilebileceğini açıklar. Strateji

belirleme, riskleri analiz eden ve

bütçeleri ve faaliyetleri kurumun

misyonu ve vizyonuyla uyumlu

hale getiren yapılandırılmış bir

karar alma sürecini gerekli kılar.”

10

globaliia.org


Risk Yönetimini Geliştirmek

Risk tartışması olmaksızın herhangi bir stratejik tartışma meydana gelemez.

“Risk” “risk ve ödül” arasındaki dengenin yarısını oluşturur. Basitçe ifade

edersek, kurumlar için bir miktar risk içermeyen stratejik bir hamle veya

girişim yoktur. Ve nasıl ki kişi bir uçaktan atladıktan sonra aşağıya düşerken

paraşütünü toplamıyorsa, bir kurum da belirli bir stratejide karar kılmadan

önce söz konusu stratejiyle ilgili risklerin derinlemesine anlaşıldığından emin

olmalı ve risklerin iyi anlaşılmadığı bir stratejiyi kabul etmemelidir. CAE’nin

stratejik olarak etkin olabileceği konum da budur. CAE sadece bir inisiyatifin

içerdiği riskleri değil, aynı zamanda bu tür risklerin nasıl kontrol

edilebileceğini veya edileceğini ve kontrol sürecinin mevcut kontrol

çerçevesinin bir parçası olup olmadığını veya farklı kaynaklar gerektirip

gerektirmediğini kurula aktarmalıdır. Grossi şöyle bir yorumda bulunmaktadır:

“Meydana gelmiş olaylara tepki vermekten ziyade olayları öngörerek

müşterilerimizi mesleğimizin sunabileceği katkılardan haberdar etmemiz

hayati önemdedir.”

Bir kurumun stratejik misyonu geliştirilirken bir dizi stratejik girişimin taktiksel

risklerinin ele alındığı açıktır, ancak sadece CAE risk yönetim stratejisine dair

pro-aktif, tam ve entegre bir tablo sunabilir. CEO gibi düşünen ve yönetim

kurulunun güvendiği bir CAE bir yandan kurumun karşı karşıya olduğu riskleri

yönetirken diğer yandan operasyonel planların uygulanacağı konusunda kurulu

rahatlatabilir. Kurumsal Risk Yönetimi-Riski Strateji ve Performansla Uyumlu

Hale Getirmek başlıklı COSO taslak metninde de belirtildiği gibi, stratejik bir

ERM “kurulun kurumsal stratejiyi etkileyebilecek risklerin kurum tarafından

dikkate aldığını ve iyi yönetildiğini bilerek gözetim rolünü etkin bir tarzda

gerçekleştirmesini sağlar.”2

Pek çok kurumda iç denetim stratejik bir rol üstlenecek bir konuma

yükseltilmediğinden dolayı, bu etkileşim seviyesi yaygın değildir ve CAE

gerçekten özgün bir düzeyde risk yönetimi, kontrol ve kurumsal yönetim

içgörüsü sunarak kurumsal değeri arttırabileceğini gösterme imkanına sahiptir.

Dolayısıyla, kurumun risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin ticari

rekabet avantajı sağladığını veya neden sağlamadığını gösterdiğinde ancak CAE

gerçek bir stratejik değer oluşturmuş olacaktır.

2 Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (COSO), Kurumsal Risk Yönetimi — Riski Strateji ve

Performansla Uyumlu Hale Getirmek (Genel Erişime Açık Taslak Metin), Yönetici Özeti, Haziran 2016, 2.

COSO ERM Güncellemesi: (devamı)

Ayrıca, COSO taslağında

stratejik bir ERM birimi,

değişen ticari koşullardan

ötürü strateji değişikliğine

gidilmesi gerektiğinde kritik

analizler sunarak bir

kurumun değişiklikleri

öngörme ve onlara gereken

yanıtı verme kabiliyeti olarak

tanımlanan “kurumsal

direncini” geliştirici bir faktör

olarak değerlendirilmektedir.

Buna göre, COSO taslağı

CAE ve iç denetimin daha

stratejik bir rol üstlenmesine

yönelik bir hamleyi kesinlikle

desteklemektedir.

Kaynak: Treadway Komisyonu

Sponsorluk Kuruluşları Komitesi

(COSO), Kurumsal Risk Yönetimi—

Riski Strateji ve Performansla

Uyumlu Hale Getirmek (Genel

Erişime Açık Taslak Metin),

Yönetici Özeti, Haziran 2016, 5,

3.


11 globaliia.org

Zorluklar

İç Denetim Hakkındaki Geleneksel Görüşler

Temel olarak, iç denetimin misyonu kurumlara risk-temelli ve nesnel güvence,

tavsiyeler ve içgörüler sunmak suretiyle kurumsal değeri arttırmak ve korumaktır.

Bu, risk yönetimi, kontrol ve kurumsal yönetim yaklaşımlarının yanı sıra kurumun

karşı karşıya olduğu en önemli stratejik ve operasyonel risklerin yelpazesi ve bu

risklerin iyi yönetilip yönetilmediği konusunda CEO’nun, yönetim kurulunun ve

yönetimin bilgilendirildiğini temin eden süreçler yoluyla gerçekleştirilmektedir.

Stratejik bir tartışmada kurumun önündeki çok sayıda seçeneğin ölçülüp

biçilmesi gerektiğinden dolayı, altta yatan riskler kritik önemdedir ve CAE hazır

bulunsa da bulunmasa da ele alınacaktır. Lakin risk konusu çok önemliyse ve

tartışılacaksa, CAE neden orada bulunmasın?

Kimi zaman, iç denetim birimi bir kurumda sorunları arayıp bulan ve raporlayan

“polis gücü” olarak görülür ve bir stratejinin uygulanmasının önündeki

potansiyel kısıtlama veya zorluk olarak değerlendirilir. İç denetim ile kurum

arasındaki bu geleneksel ilişkiyi ortadan kaldırmak iç denetimi daha stratejik bir

konuma getirmede aşılması gereken ilk zorluktur. Kurumun değerini korumak

tarihsel olarak iç denetimin birincil görevi olduğundan dolayı, iç denetim bu

görüşün her zaman yanlış bir kanı olmadığını kabul etmelidir, ancak bu iç

denetim birimine çok dar bir bakıştır. CAE ve iç denetim ekibi burada anlatılan

tedbirleri aldıkça, iç denetimin değer koruyucu olmanın yanında bir değer

yaratıcısı olması fikri de her yeni değişiklikte olduğu gibi giderek daha fazla

yaygınlaşacak ve kabul görecektir. Bir kurumdaki algıyı bir gecede değiştirecek

sihirli bir formül yoktur, ancak CEO ve kurul CAE’nin kuruma stratejik düzeyde

katkıda bulunduğunu ve mesleki ve kurumsal değerini arttırdığını görmeye

başladıkça, bu geleneksel – ve aşırı derecede basite indirgenmiş – görüş

değişecektir.

Nesnellik ve Bağımsızlık

Bahsedilen zorluklar iç denetim biriminin CEO ve kurulun stratejik ortağı olarak

kabul edilmesiyle sona ermiyor. CAE ve iç denetim ekibinin stratejik bir ortak

olarak kabul görüldüğünü varsayarsak, CAE’nin ve iç denetim ekibinin karşı

karşıya kalacağı belki de en büyük doğal zorluk nesnelliği ve daha iyi bir

danışmanlık rolünü birbiriyle dengelemektir. İç denetçinin daha etkili olmak için

kurumla etkileşimde bulunması tek kelimeyle su götürmez bir gerçektir, ancak

bu etkileşim çok ileriye götürüldüğünde, iç denetimin nesnelliğini etkileyebilecek

menfaat çatışması yaratma noktasına varabilir. Bu noktada, Bedoya, işbirliğinin

önemini kabul etmekte, fakat nesnelliği korumayı daima odakta tutmanın

gerekliliğine vurgu yapmaktadır. “En önemlisi kişisel olarak nesnelliğini korumak

ve iç denetim biriminin bağımsızlığını sürdürmektir.”

ISO 31000 Bakış Açısı:

ISO 31000 spesifik süreçler

üzerinde daha az durarak riski

kurumsal yapıya entegre etme

konusunda bütüncül bir bakışa

sahiptir. ISO 31000 ERM

fonksiyonunu kurumun

büyüklüğüne, türüne ve

karmaşıklık düzeyine dayanan

orantısallık, kurumsal

misyonun kapsamıyla uyum,

kurum kültürüne entegrasyon

ve kurumu etkileyen

değişiklere duyarlılık ve cevap

verme yeteneği gibi faktörleri

entegre edici ve doğası

itibariyle kapsamlı olarak

değerlendirmektedir.

Risk yönetim politikası kurumsal

risk iştahının ne düzeyde olduğu

ve riskin kurumsal kültürde nasıl

ifade edildiği de dâhil riskleri

doğrudan ve samimi bir şekilde

ele almalıdır. Kurumun işle ilgili

amaçları anahtar varsayımlar ve

bağımlılıkların anlaşılmasıyla

birlikte risk bakımından açıkça

değerlendirilmelidir. ISO 31000,

iş planının uygulanması

sırasında risk tespit edilmesi

halinde açıkça tanımlanmış ve

uygulanmaya hazır iyileştirme

süreçlerinin bulunduğu anahtar

risk göstergelerini geliştirici

olarak kurumu ele almaktadır.

Kurumsal yapının tamamında

sirayet etmiş risk yönetimiyle,

ISO 31000 kurumsal risklerin

tespit edilmesinde,

önlenmesinde ve yönetilmesinde

tüm kurumun sorumluluğuna

vurgu yapmaktadır.


10 globaliia.org

Nesnellik başka şekillerde de etkilenebilir. Grossi CAE’nin nesnelliğini etkileyen bazı

maaş trendlerini CAE’nin nesnelliğini etkileyen bir faktör olarak görmekte ve şu

soruyu sormaktadır: “CAE’ye ne tür parasal ve kariyerle ilgili teşvikler

sunulmaktadır?” İkramiyeler ve hisse senedi teşvikleri performans açısından güçlü

bir motivasyon kaynağı olabilir, fakat aynı zamanda CAE’nin ana misyonuyla

uyumlu olmayan motive edici faktörler de ortaya çıkarabilir. Üst düzey yetenekleri

cezbetmek ve kurumda tutmak için uygun bir maaş paketi gerektiği açıktır, ancak bunun,

CAE’nin ana görevine ters düşen davranışları teşvik etmeyecek veya teşvik ediyor

izlenimi vermeyecek şekilde yapılandırılmasına özen gösterilmelidir. Bu hassas bir

dengedir.

Özet CAE’ler, kurumun karşı karşıya olduğu riskleri tespit ederek, risklerin nasıl yönetilmekte

olduğunu değerlendirerek ve kurula ve idari yönetime stratejik misyonu etkileyen risklerin

yönetimini iyileştiren çözümler sunarak stratejik değerlerinin tanınmasını sağlayacaktır. CAE

akıllı risk almayı bir rekabet avantajı olarak kullanmaya yönelik fırsatlar konusunda kuruma

tavsiyelerde de bulunabilir.

İç denetim; kurumun stratejik misyonunu daha derinlemesine anlayarak, CEO ve kurul gibi

düşünmeyi öğrenerek, sorunları çözüme kavuşturan çözümler önerip güvenilir bir ortak

haline gelerek, iç denetim ekibinin yeni stratejik misyonunu benimsemesini sağlayarak ve

uyumsuzlukları ortadan kaldırarak ve risk yönetimini rekabet avantajı kaynağına

dönüştürerek stratejik ve kurumsal amaçlarla daha uyumlu hale gelebilir. Bu, iç denetimin bir

yandan genel kurumsal yönetime, risk yönetimine ve iç kontrollere anlamlı katkılarda bulunurken,

diğer yandan maliyet ve değer dengeleme alanındaki anlamlılığını ve geçerliliğini korumasına ve haklı

rolünü desteklemesine yardımcı olacaktır.

Bendermacher sabırlı olmayı ve gerçekçi beklentilere sahip olmayı öğütlemektedir. “Strateji

belirleme süreci son derece gizli bir süreç olarak değerlendirilmektedir, zira pazarlarda,

ürünlerde ve/veya kurumun kendisinde önemli ve anlamlı değişikliklere yol açar. Bu

nedenle, iç denetimi en başından sürece katma konusundaki gönülsüzlüğün bu kadar

yaygın olması ve henüz kırılamamış olması yadırganmamalıdır. İç denetim kurumun

stratejisini, bu stratejiyi destekleyen amaçları, kurumun amaçlarına ulaşma kabiliyetini

etkileyen riskleri ve yönetimin tanımladığı risk yanıtlarını derinlemesine anlamalıdır. Bu

anlama kabiliyeti işi, ilgili sektörü ve paydaş beklentilerini tam kavramakla

desteklenmelidir.”

Ele alınan tüm adımlar iç denetimin stratejik inisiyatifleri ve anahtar kilometre taşlarını

desteklemek için yapması gereken faaliyetleri ayrıntılı olarak belirten bir iç denetim çalışma

stratejisi yaratmak için kullanılmalıdır. Craig bu adımın önemine şöyle dikkat çekmektedir:

“Kurumun gelecekteki faaliyetinin ve stratejik planın gerçekleştirilmesinin önündeki anahtar

stratejik riskleri dikkate almak iç denetim işinin odağının da buna uygun hale getirilmesini

sağlar. Benzer bir şekilde, iç denetimin kurumun anahtar stratejik riskleri hakkında güvence

sağlama konusundaki katkısını gösterme şartı kurumun hedeflerinin ve amaçlarının iç

denetimin tüm çalışmalarını desteklemesini sağlayacaktır.” Ayrıca, bugünkü iş dünyasının dinamik

ortamı dikkate alındığında, CAE iç denetimin kurumun değişen önceliklerine ayak uydurma kabiliyetini

kolaylaştıracak yaklaşımlar geliştirmelidir.

Odak Noktaları:

İç denetim birimini daha

yüksek bir konuma getirmek

için yapılması gerekenler:

■ Kurumun stratejik

misyonunu anlayın.

■ İcra görevlerini üstlenen

yönetim ekibinin, CEO’nun ve

yönetim kurulunun

perspektifini anlayın.

■ Stratejik sorunları çözmeye

yardım eden stratejik

çözümler önererek güvenilir

bir ortak haline gelin.

■ İç denetim ekibinin

tamamını stratejik misyonla

uyumlu hale getirin.

■ Kurumun risk yönetimini bir

stratejik avantaj kaynağı

olarak kabul etmesini

sağlayın.

■ Denetim planını stratejik

planla uyumlu hale getirin.

■ Stratejiyi etkileyen faktörler

hakkında icra görevleri

üstlenen yönetim ekibi, CEO

ve kurul ile konuşun.


11 globaliia.org

Bedoya’nın açıkladığı gibi, “Bu işin anahtarı öğrenmeye istekli olmak, doğru

olanı yapmak ve güçlü liderliğe sahip olmaktır. CAE’ler stratejik ortak ve

güvenilir danışman konumuna yükselmek ve iç denetimin stratejisini iş

stratejisiyle uyumlu hale getirmek için bu niteliklerin tümüne ihtiyaç duyarlar.”

Ve tabii ki bu uğurda çıkılan yol her zaman tümseksiz ve sorunsuz olmayacaktır,

ancak Grossi ortaya konan çabada sebat edilmesini ve sürekliliği teşvik

etmektedir. Ona göre, iç denetim ve stratejiyi birleştirmek iki olumsuz

durumdan kaçınmayı sağlar: “birincisi iç denetçilerle ilgili olumsuz bir durumdur,

çünkü stratejinin dışında kalmak onları daha iyi bir profil ve mesleki imaj

kazanmaktan mahrum bırakır; ikinci olumsuz durum ise kurumları

etkilemektedir, zira pek çok stratejik girişim iç denetimin sunabileceği

profesyonel bir denetim ve denge sisteminin olmamasından dolayı başarısız

olmaktadır.”

İç denetimin stratejik perspektifinin kurum tarafından kabul edilmesi bir gecede

olacak bir iş değildir. Fakat Craig bu çabanın nasıl ileriye taşınacağı konusunda

birtakım genel tavsiyelerde bulunmaktadır. “Hedeflerinizi ekibinizin kolektif ve

bireysel hedeflerinin arasına yerleştirin. Şimdiki konumunuzu daima dürüstçe

değerlendirin ve değişikliğin önündeki riskleri ve engellere dikkat ederken bu

engellerin kurum içinde, iç denetimin kendi içinde veya dış kaynaklı

olabileceğini unutmayın. Denetim hizmetlerini iyileştirmeye yönelik planlar

uygulayın – yönetilebilir adımlar halinde değişiklik yapın – ve bu sürecin

tamamı boyunca üstün bir hizmet sunmaya devam edin.” En önemli noktanın,

“ayinesi iştir kişinin lafa bakılmaz” eski deyişinde de olduğu gibi eylemlerin

sözlerden daha önemli olduğunu vurgulamaktadır. “Yeni stratejik perspektifi

sadece “pazarlamakla” yetinmeyin. “Yapın!”

Daha Fazla Bilgi İçin

Chartered Institute of

Internal Auditors, “Strateji,”

Mayıs 25, 2016

(www.iia.org.uk)

Treadway Komisyonu Sponsorluk

Kuruluşları Komitesi (COSO),

Kurumsal Risk Yönetimi —Riski

Strateji ve Performansla

Uyumlu Hale Getirmek,

(Kamuya Açık Taslak),

Haziran 2016

(www.coso.org)

IIA–Hollanda, “Stratejiyle İlişkili

Denetim,” IIA-Hollanda ve KPMG,

Haziran 2015 (www.iia.nl)

Uluslararası Standartlar Örgütü

(ISO), “ISO 31000 Risk

Yönetimi,” 2009 (www.iso.org)

Önceki sayılara

www.theiia.org/gpi

adresinden erişebilirsiniz.

■ Emerging Trends – Powered

by the Global Pulse of

Internal Audit

■ Internal Audit as Trusted

Cyber Adviser

■ Auditing Culture – A Hard Look

at the Soft Stuff

■ Beyond the Numbers – Internal

Audit’s Role in Nonfinancial

Reporting

■ Grappling with Geopolitics

http://www.theiia.org/gpi

globa liia.org

6. sayı global perspektİfler ve İÇgÖrÜler...stratejik amacı da analiz etmelidir. basit bir...

Documents