İç Denetimin Değişen Odağı: OnRisk 2022 Raporu
Bu yazıda OnRisk 2022 raporu ele alınacaktır.
İç Denetçiler Enstitüsü’nün (IIA) hazırladığı rapor olan OnRisk 2022 yaklaşımı, kurumsal yönetişimdeki ana paydaşların- yönetim kurulu, üst düzey yönetim ve iç denetim yöneticileri- bakış açılarını benzersiz bir şekilde bir araya getiren yenilikçi bir metodolojiye dayanmaktadır.
COVID-19 pandemisi kuruluşların karşılaştıkları çok çeşitli riskleri ve belirsizlikleri anlama ihtiyacı konusunda büyük bir uyanma çağrısı yaptı. Risk etkilerinin kapsamı ve yoğunluğu arttıkça, iç denetim hizmetleri, karar verme için bağımsız ve nesnel güvence sunarak tehditleri belirleme ve azaltmaya yönelik devam eden çabalarda önemli bir ortak olabilir. Kuruluşlar bir sonraki adımlarını düşünürken OnRisk 2022, birçok şirketin başına bela olabilecek sorunlu alanlara bir yol haritası ve bir model sunuyor.
OnRisk 2022, yönetim kurulu, C-level ve iç denetim yöneticilerinin bakış açılarını yakalamak için 90 profesyonelle yapılan nitel görüşmelerden geliştirilmiştir. Sonuçlar, hem kuruluşlarda var olan riskler hem de bu kuruluşların tehditleri yönetmek için ne kadar donanımlı oldukları ile ilgili olarak üç rolün nasıl hizalandığına dair sonuçlar çıkarmak için analiz edildi.
Mülakatların bir parçası olarak, katılımcılardan 12 temel riski üç alanda değerlendirmeleri istendi: Her bir riske ilişkin kişisel bilgileri (personel knowledge), kuruluşlarının her bir riski yönetme kabiliyetine ilişkin algıları (organizational capability) ve her bir riskin kuruluşlarıyla alakası (risk relevance).
Çalışmalarda bireysel yanıtlayıcı grupları arasında bazı derecelendirme farklılıkları beklenirken, üç yanıtlayan grup için birleştirilmiş derecelendirmelerin bir analizi, ek içgörüler ortaya çıkardı. Buradaki analiz, çeşitli alanlarda daha yüksek risk alaka düzeyi ve daha düşük kurumsal yetenek arasında büyük boşluklar belirledi. Bu Uygunluk Kapasitesi Boşluğu, potansiyel olarak önemli risk yönetimi içerisindeki güvenlik açıklarını yansıtıyor.
Sibergüvenlik, yetenek yönetimi ve kültürün yanı sıra, yıkıcı inovasyon, ekonomik (economic) ve siyasi istikrarsızlık (political volatility), katılımcıların önümüzdeki üç ila beş yıl içinde şirketlerde riskin etki düzeyinin artmasını bekliyorlar.
Bunların başında, büyük ve küçük, kamu ve özel, kâr amaçlı ve kâr amacı gütmeyen kuruluşları zorlamaya devam eden Siber Güvenlik var.
Siber Güvenlik
Artan karmaşıklık ve siber saldırıların çeşitliliği, kuruluşların markalarına zarar vermeye devam ediyor ve itibarlar, genellikle feci finansal etkilerle sonuçlanabiliyor. Bu risk organizasyonların kesinti ya da itibar zedelenmesine neden olabilecek siber tehditlerin yönetiminde yerince hazırlıklı olup olmadığını inceliyor.
Siber risklerin gelişen ve can sıkıcı doğasına ayak uydurmak için neredeyse sürekli mücadeleyi yansıtıyor. Siber korsanlar, sürekli olarak istismar edilecek yeni zayıflıklar ve suç davranışlarından para kazanmanın yeni yollarını arıyorlar.
Ayrıca önemli bir konu da OnRisk katılımcıları, üçüncü taraf sağlayıcılar ve ortaklarla uyum konusundaki endişelerini de dile getirdi. Üçüncü tarafların, özellikle siber güvenlik gibi risklerle ilgili olarak, hedefler ve raporlama konusunda uyumlu değiller. Bu sebeple kuruluşlar, üçüncü taraf anlaşmalarını, sözleşme yönetimini, ilişki kurmayı nasıl izlediklerini geliştirmelidir.
Yetenek Yönetimi
Evden çalışma da dahil olmak üzere uzaktan operasyonlara yönelik artan ihtiyaç ve kabulün yanı sıra devam eden dinamik çalışma koşulları, işin nasıl yapıldığını yeniden tanımlıyor. Bu risk, kuruluşların hedeflerine ulaşmak için doğru yetenekleri belirleme, edinme, geliştirme ve elde tutma konusunda karşılaştıkları zorlukları inceler. “Yetenek yönetimi, artık işgücünde vurgulanan farklı kuşak farkları ile daha zorlu hale gelebilir. En iyi yeteneği nereden bulacağız?” gibi kaygılar çok duyulur oldu.
Evden çalışma olgusu, kuruluşların yetenekleri işe alma ve yönetme şeklini temelden değiştirdi. İş gücünün çoğunluğunun uzak ortamlarda faaliyet göstermesi, teknoloji, siber güvenlik ve lojistikte önemli acil zorluklar ortaya çıkarırken, bu durum, coğrafi kaygıların sınırlandırılmasını neredeyse tamamen ortadan kaldırdı.
Yetenek Yönetiminin öngörülebilir gelecek için en büyük risk olmaya devam etmesi bekleniyor. 46 noktada, bu risk, bu yıl incelenen tüm riskler arasında en büyük Uygunluk-Yetenek Boşluğuna sahipti ve Siber Güvenlik’i geride bıraktı. Pandeminin işgücü piyasası üzerindeki etkilerine ve geleneksel işveren/çalışan sosyal sözleşmesine ilişkin endişeler, bu riski risk yöneticilerinin zihninde ön planda ve merkezde tutmaya devam ediyor.
OnRisk 2021'de belirtildiği gibi, “Yetenek yönetimindeki bu önemli bozulmanın yanı sıra moral, üretkenlik ve işyeri kültürü üzerindeki etkisinin kuruluşlar için hem kısa hem de uzun vadeli etkileri olacaktır.”
Organizasyonel Yönetim
Yönetişim, bir organizasyonun nasıl yönetildiğinin ve yönetildiğinin tüm yönlerini — faaliyet gösterdiği kurallar, uygulamalar, süreçler ve kontroller sistemini — kapsar. Bu risk, kuruluşların yönetişiminin hedeflere ulaşılmasına yardımcı olup olmadığını veya engelleyip engellemediğini inceler.
Yönetim kurulu üyelerinin kişisel risk bilgilerini finansal ve uyum konularının ötesine taşıyan bilgeliği hiç bu kadar belirgin olmamıştı. Hızlı teknolojik değişiklikler, yıkıcı inovasyon, kurumsal yönetişim dinamikleri, pandemi ve bunun sonucunda ortaya çıkan ekonomik ve politik şoklar, yönetim kurulu üyelerinin risk yönetimi rollerini nasıl gördüklerini genişletmeleri için yeterli ivme sağlıyor.
Veri Gizliliği
Dünyanın dört bir yanındaki yargı alanlarından giderek artan düzenlemeler, veri gizliliğini giderek daha karmaşık ve dinamik hale getiriyor. Bu risk, kuruluşların hassas verileri nasıl koruduklarını ve geçerli tüm yasa ve düzenlemelere uyumu nasıl sağladığını inceler.
Giderek daha fazla düzenlenen bu riske ilişkin daha düşük kişisel bilgiye ve daha düşük kurumsal uygunluk algılarına sahip olmalarına rağmen, C-suite üyeleri, yönetim kurulu üyelerinden veya CAE’lerden daha yüksek bir kurumsal yetenek algısına sahiptir.
Kültür
Uzaktan tam veya yarı zamanlı çalışan profesyonel çalışanların yüzdesinin artmasıyla birlikte, kuruluşlar, kuruluş kültürlerini sürdürmek, geliştirmek veya kontrol etmek zorunda kalıyor. Bu risk, kuruluşların istenen davranışı yönlendiren tonu, teşvikleri ve eylemleri anlayıp anlamadığını, izleyip yönetmediğini inceler.
Pandemi tarafından yaratılan dağıtılmış işgücü, işyeri kültürü hakkında önemli endişeleri besliyor. Bir şirket kültürü oluşturmak veya sürdürmek, neredeyse önemli zorluklar doğuruyor ve kuruluşlar artık pandemi öncesi çalışma düzenlemelerine geri dönüp dönmemek veya daha fazla şirket dışı çalışan yüzdesine uyum sağlamanın yollarını bulmakla karşı karşıya. Evden çalışma deneyimi, artan güvene, hiyerarşilerin düzleşmesine ve daha hızlı ve çevik karar alma sürecine tanık olan kuruluşlar dahil olmak üzere olumlu değişikliklere yol açtı.
Ekonomik ve Siyasi Volatilite
Pandeminin devam eden etkileri, makroekonomik döngülerin normal dinamikleri ile birleştiğinde, kuruluşların faaliyet gösterdiği piyasalarda oynaklık oluşturma potansiyeline sahiptir.
Bu risk, kuruluşların dinamik ve potansiyel olarak değişken bir ekonomik ve politik ortamda karşılaştıkları zorlukları ve belirsizlikleri incelemektedir.
Temmuz 2021 ABD Kongre Araştırma Servisi raporuna göre, pandemiden çıkış küresel olarak eşit olmayacak, bu da özellikle gelişmekte olan ülkelerde devam eden ekonomik oynaklık anlamına geliyor.
Düzenleyici Ortamda Değişikliği
Hükümetin düzenlemeye yönelik iştahındaki temel değişikliklerin, yoğun bir şekilde düzenlendiği düşünülmeyenler de dahil olmak üzere kuruluşlar üzerinde önemli bir etkisi olabilir. Bu risk, kuruluşların dinamik ve belirsiz bir düzenleyici ortamda karşılaştıkları zorlukları incelemektedir.
Değişen bir düzenleyici ortamın artan risk uygunluğu konusunda genel uyum sağlanmasına rağmen, özellikle iç denetim yöneticileri ve C-suite için bu riskle ilgili kişisel bilgi düşüktür. Yönetim kurulu üyeleri arasında bu risk için kişisel bilgi daha yüksek olsa da, diğer birçok riskten daha düşüktür. Yönetim kurulu üyeleri biraz kuruluşlarının bu önemli riski yönetme becerisine daha fazla güveniyorlar.
Tedarikçi ve Satıcı Yönetimi
Bir kuruluşun başarılı olması için dış iş ortakları ve satıcıları ile sağlıklı ve verimli ilişkiler sürdürmesi gerekir. Bu risk, kuruluşların üçüncü taraf ilişkilerini seçme ve izleme yeteneklerini inceler.
Giderek daha fazla birbirine bağlanan iş ortamında bu kritik risk hakkında daha fazla sayıda CAE yüksek kişisel bilgiye sahipken, kuruluşlarını bu riski yönetme konusunda yüksek kapasiteye sahip olarak algılayanların sayısı daha azdır. İDY’ler ve paydaşları arasındaki bu uçurum, İDY’lerin daha yüksek bir yüzdesinin, bu riski büyük olasılıkla kamuya açık olarak bildirilen siber tehditlerden, uyumla ilgili sorunlardan ve üçüncü taraf ilişkilerinden kaynaklanan diğer yıkıcı olaylardan kaynaklandığını düşünen ve kuruluşlarıyla son derece ilgili olduğunu düşünenlerden kaynaklanıyor olabilir.
Yıkıcı Yenilik
Yıkıcı teknolojilerle beslenen yenilikçi iş modelleri çağındayız. Bu risk, kuruluşların aksamalara uyum sağlamaya ve/veya bundan yararlanmaya hazır olup olmadığını inceler.
Üç katılımcı gruptan alınan genel derecelendirmeler genel uyumu yansıtıyor gibi görünse de, her bir grup için kurumsal yetenek ve risk alaka düzeyi derecelendirmelerinin daha derin analizi, başta Yıkıcı İnovasyon olmak üzere çeşitli risk alanlarında dikkate değer farklılıklar bulmaktadır.
Yıkıcı İnovasyon, organizasyonlar için en büyük risk yönetimi zorluklarından birini sunar ve bu, risk alaka düzeyi ve organizasyonel yetenekle ilgili olduğu için yönetim kurulları ve C-suite arasındaki önemli yanlış hizalamaya yansır.
Sosyal Sürdürülebilirlik
Kurumların istihdam ettikleri, değer zincirlerinde çalışanlar, ürün ve hizmetlerini tüketen ve toplumlarında yaşayan bireyler üzerinde önemli etkileri olduğu giderek daha fazla kabul görmektedir. Bu risk, kuruluşların eylemlerinin bireyler ve topluluklar üzerindeki doğrudan ve dolaylı etkilerini anlama ve yönetme yeteneğini inceler.
Kurumsal sürdürülebilirliğin savunucuları, sosyal ve çevresel sürdürülebilirlik, genel olarak sağlam kurumsal yönetişimin kritik bileşenleridir. Ancak, OnRisk katılımcılarının risk alaka düzeyi sıralamaları, bu tür açık ilişkileri yansıtmadı. Gerçekten de, Sosyal Sürdürülebilirlik ve Çevresel Sürdürülebilirlik, risk alaka düzeyi açısından en alt çeyrekte yer aldı. İklim değişikliği konusundaki yaygın endişeye rağmen, ankete katılanların yarısından azı, Çevresel Sürdürülebilirliği kuruluşlarında oldukça alakalı bir risk olarak tanımladı. Elbette, bazı katılımcıların yorumları çevresel sürdürülebilirlikle ilgili bağlamın dar bir kapsamını yansıtıyordu.
Tedarik Zinciri Kesintisi
Kökleri küresel pandemiden kaynaklanan küresel çapta olağan iş operasyonlarının kesintiye uğraması, kuruluşların stratejik hedeflere ulaşmasını desteklemek için tedarik zincirlerinde esnekliğe duyulan ihtiyacın altını çizdi. Bu risk, kuruluşların mevcut ve gelecekteki tedarik zinciri kesintilerine uyum sağlama esnekliğini oluşturup oluşturmadığını inceler.
Yönetim Kurulu üyeleri ve üst düzey yöneticiler arasında Tedarik Zinciri Bozulması’nın risk ilişkisi konusunda güçlü bir uyum vardır ve bu paydaşların yarısından biraz fazlası bunu kuruluşları için oldukça önemli bir risk olarak görmektedir. CAE grubu, küresel ekonomide giderek daha önemli hale gelen bu riske ilişkin kişisel bilgi açısından geride kalıyor; bu, daha az CAE’nin bu riski kuruluşlarıyla oldukça alakalı olarak görmelerinin bir sonucu olabilir.
Çevresel Sürdürülebilirlik
Kuruluşlar, faaliyet gösterdikleri çevreyi nasıl etkilediklerini değerlendirmek ve açıklamak için hissedarlar, düzenleyiciler, müşteriler ve çalışanlar dahil olmak üzere paydaşlardan artan baskıyla karşı karşıyadır. Bu risk, kuruluşların çevresel etkilerini güvenilir bir şekilde ölçme, değerlendirme ve doğru bir şekilde raporlama yeteneğini inceler.
Bununla birlikte, bu tür düşüncelerin diğer risklerle rekabet etmesi gerektiğinden yakınan bir sağlık sektörü yönetim kurulu üyesi de dahil olmak üzere, diğerleri çevresel etkileri yönetmenin değerini anlıyor. “Çoğu kuruluş, iyi çevresel sürdürülebilirlik politikalarına, prosedürlerine ve programlarına sahip olmak ister, ancak tüm bu diğer risklerle uğraşırken her zaman önde ve merkezde değildir.”
Yukarıda sayılan risklerin her birinde risk alakası (risk relevance) ile organizasyonel kabiliyet (organizational capability) arasında büyük boşlukların olduğu dikkat çekiyor. Başka bir deyişle, üst düzey yöneticiler kuruluşlarının bu riskleri yönetme yeteneklerinin çok gerisinde kaldıklarını ifade ediyor.
OnRisk’ten bir başka sonuç, aynı zamanda sürdürülebilirlik raporlaması olarak da adlandırılan Çevresel, Sosyal ve Yönetişim (ESG) raporlaması riskleriyle ilgili. Hızlanan iklim değişikliği, güçlü sosyal adalet talepleri, düzenleyici kurumların artan ilgisi ve daha fazla sürdürülebilirlik raporu için artan yatırımcı iştahı, bu risk kategorisini risk yönetimi liderleri için birinci sıraya yerleştirdi. Yatırımcılar ve düzenleyiciler arasındaki bu risk alanına artan ilgi göz önüne alındığında, yönetim kurulları, tüm konuların kendi kuruluşlarında anlaşıldığından ve yeterince ele alındığından emin olmak için ESG risk yönetiminin bir iç denetim incelemesini talep etmek isteyebilir.
OnRisk 2022 raporundan diğer önemli gözlemler ise şu şekildedir:
Pandemi, kurumsal risk yönetimini iyileştirme fırsatlarını ortaya çıkardı. COVID-19, riskleri tahmin etme yeteneğini geliştirmemiş olabilir, ancak birçok kişinin risklere tepki verme konusundaki güvenini artırdı.
Üst düzey yöneticiler ve kurullar, iç denetim hizmetleri için daha geniş bir kapsam istiyor. Ankete katılanlar mevcut güvence hizmetlerinin yeterli olduğunu düşünüyorlar ancak güvence hizmetlerinde bazı iyileştirmeler talep ediyorlar.
Pandemi, finansal ve uyum risklerinin ötesindeki alanlarda güvence ihtiyacı konusunda farkındalık oluşturdu. İç denetim, yönetim kurulu ve üst düzey yönetimin desteğiyle jeopolitik, operasyonlar, finans, uyumluluk ve yasal ve kültürel riskler de dahil olmak üzere çok çeşitli riskler hakkında daha fazla güvence sağlama fırsatlarına erişebilir ve riskleri proaktif olarak ele alma ihtiyacına yönelik bir fonksiyon haline dönüşebilir.
Şüphesiz, rapor, özellikle yetenek yönetimi gibi pek çok İDY’nin aşina olmadığı riskler olmak üzere, iç denetimin zorlandığı alanları vurguluyor. İç denetimin üst düzey yöneticiler ve yönetim kurulu üyeleriyle risk uygunluğu konusunda “yanlış hizalanması” ve ayrıca bu riskleri azaltmak için algılanan yetenek eksikliği de gerçek bir endişe kaynağı olabilir. Ancak İDY’lerin bu sorunların iyi taraflarından bakarak, iç denetimin daha fazlasını başarma, daha geniş yelpazedeki konularda daha iyi güvence sağlama, hem yönetim ve hem de yönetim kurulu ile daha derin etkileşim kurarak bu olumsuzlukları kolayca fırsata çevirebilir.
- Bu çalışma DataBulls Fuat Kanmaz ve Mervi Benli tarafından hazırlanmıştır. Fuat Kanmaz DataBulls risk yönetim çalışmalarını yönetmektedir.
