Yıkıcı riskler ve dijital dönüşüm denetimin gündemini de değiştiriyor

Denetim gündeminde dijital dönüşüm

KPMG Türkiye Denetim Komitesi Gündemi anketini açıkladı, anketten yola çıkarak hazırladığı Denetim Komitesi 2020 Vizyonu raporunu yayımladı. Çoğu denetim komitesi üyesi bin 300’den fazla katılımcıyla gerçekleştirilen anket, teknolojik yeniliklerin ve dijital dönüşümün yarattığı baskının arttığını ortaya koyuyor

1000

‘2020 Denetim Komitesi Gündemi - Yıkıcı Riskler ile Dijital Dönüşümün Hızına Ayak Uydurmak’ başlıklı rapora göre, ankete katılanların yaklaşık üçte ikisi, komitelerinin, şirketlerinin finans organizasyonu içindeki nitelikli iş gücünün, becerilerinin ve yönetiminin şirketin analitik ve stratejik olanaklarını desteklemek üzere nasıl gelişmesi gerektiğini tartıştıklarını ve bu konunun gündemlerinin üst sırasında olduğunu belirtiyor. Anketten yansıyan bazı başlıklar şöyle;

Mevzuata uyum, iç denetim ve siber güvenlik en önemli öncelikler arasında başı çekiyor. Temel gözetim görevlerinin yanında siber güvenlik, denetim komitelerinin gündeminde diğer öncelikler bakımından üst sıralarda yer alıyor. Ankete katılanlar arasında şirketlerinin mevcut kurumsal risk yönetimi süreçlerinin ‘yıkıcı riskleri’ tespit edebildiğinden emin olanların oranı oldukça düşük. Ankete katılan denetim komitesi üyelerinin yalnızca beşte biri, şirketlerinin Kurumsal Risk Yönetimi (ERM) süreçlerinin güçlü olduğundan ve dijital riskler ve teknoloji riskleri gibi yıkıcı riskleri tespit edebildiğinden emin durumda.

İç denetimin değerini en üst düzeye çıkarmak, en önemli önceliklerden biri olarak görülmeye devam ediyor. Bünyesinde bir iç denetim birimi bulundurduğunu belirten şirketler için denetim planını siber güvenlik, bilgi teknolojileri ve diğer operasyonel riskler gibi finansal raporlama riskinin ötesindeki önemli risk alanları üzerinde yoğunlaştırmak ve değişen iş ve risk koşullarına karşı denetim planını uyarlamak üzere esnekliği korumak, iç denetimin değerini en üst düzeye çıkarmak için en önemli yöntemler olarak sıralanıyor. 

Çevresel riskler

Şirketlerin ve denetim komitelerinin çevresel, sosyal ve yönetişime (ESG) ilişkin konuları nasıl değerlendirdiği de öne çıkan başlıklardan biri. Dünya Ekonomik Forumu’nun her yıl küresel ekonominin karşılaştığı gerçekleşmesi muhtemel en büyük risklere ilişkin raporunda bu yıl ilk kez en büyük beş risk aynı kategoriden geliyor: Küresel iklim ve biyolojik çeşitlilik krizlerine bağlı çevresel riskler. Araştırma sonuçları da buna paralel olarak hem Türkiye’de hem de küresel tarafta ESG riskleri konusunda farkındalığın arttığını gösteriyor. Türkiye’de katılımcıların yüzde 42’si uzun vadeli performans ve değer oluşturma açısından ESG’nin önemine vurgu yapıyor.

En büyük zorluk

Denetim komitelerine en büyük zorlukları oluşturan temel gözetim alanlarının hangileri olduğu sorulduğunda; küresel denetim komitesi üyelerinin yüzde 50’si finansal raporlama ve açıklamaya ilişkin kontrolleri ve prosedürleri üzerinde iç kontrollerin sağlanmasını, yüzde 49’u şirket içindeki finans organizasyonunun kaliteli finansal raporlama yapabilecek nitelikte bir işgücü ve kaynaklara sahip olmasını sağlamaya yardımcı olmanın en büyük temel gözetim zorlukları olduğunu belirtti. Bunları yüzde 30 ile suistimal riskinin izlenmesi takip ediyor. Türkiye‘de de bu sonuca paralel olarak en büyük risk yüzde 56 ile iç kontrollerin sağlanması oldu. Bunu sırasıyla yüzde 44 ve yüzde 42 ile suistimal riskinin izlenmesi ve finans organizasyonunun kaliteli finansal raporlama yapabilecek nitelikte bir işgücü ve kaynaklara sahip olmasını sağlamak izliyor.

‘Komiteniz teknolojik dönüşümün şirket içindeki finans organizasyonunun geleceği üzerindeki etkisini nasıl değerlendiriyor’ diye sorulduğunda, küresel taraftaki denetim komiteleri öncelikli tartışma konusu olarak finans organizasyonunun nitelikli işgücünün, becerilerinin ve yönetiminin, şirketin analitik ve stratejik olanaklarını desteklemek üzere nasıl gelişmesi gerektiğini (yüzde 60) belirtti. Daha net tahminsel iç görüler geliştirmek için veri ve analitik ile yapay zeka’yı kullanmaya yönelik planlar yüzde 32 ile ikinci konu olup, üçüncü ise manuel faaliyetleri otomatikleştirmek için robotik ve bulut teknolojilerini geliştirmeye yönelik planlar (yüzde 27) oldu. Türkiye sonuçlarına baktığımızda ise küresel sonuçlardan oldukça farklı olarak manüel faaliyetlerin otomatikleştirilmesi yüzde 53 ile birinci öncelikli konu. İkinci ve üçüncü sırada ise organizasyon içi analitik ve stratejik kabiliyetlerinin desteklenmesi için yetenek, beceri ve liderliğin nasıl değişimden geçmesi gerektiğinin tartışılması (yüzde 47) ve iç görü geliştirilmesi için yapay zekanın kullanılma planlarının tartışılması (yüzde 42) geliyor. 

Türkiye’de öncelik yasal uyum

Katılımcılardan denetim komitesinin temel sorumlulukları (finansal raporlama, finansal raporlamaya ilişkin iç kontroller ve dış denetçi gözetimi) haricinde bağlı oldukları komitenin gündemindeki en öncelikli konuları değerlendirmeleri istendiğinde, denetim komitelerinin temel gözetim görevleri dışındaki bir numaralı önceliği yasal uyum/mevzuat uyumu ile ilgili olurken (yüzde 64), bunu sırasıyla iç denetimin değerinin en üst seviyeye çıkarılmasını sağlamak (yüzde 51) ve siber güvenlik (yüzde 50) takip ediyor. Kayda değer bir biçimde, ABD/Kanada ve Avrupa ile dünyanın geri kalanına ait sonuçlar arasında - ve dolayısıyla dünya ortalamasına kıyasla - birbirine zıt öncelikler olması dikkat çekiyor. Avrupa (yüzde 64) ve ABD/Kanada’daki (yüzde 59) katılımcılar siber güvenliği açıkça en önemli öncelikleri olarak belirtiyor. Asya-Pasifik (yüzde 80) ve Latin Amerika’daki (yüzde 70) katılımcılar ise en önemli denetim komitesi önceliğinin yasal uyum/mevzuata uyum olduğunu belirtiyor. Türkiye’deki durum Latin Amerika ve Asya-Pasifik ile benzerlik gösteriyor; yasal uyum/mevzuat uyumu önceliği yüzde 78 ile birinci sırada. Bunu sırasıyla verilerin gizliliğinin korunması (yüzde 58) iç denetimin doğru bir şekilde odaklanmasını ve değerini en üst seviyeye çıkarmayı sağlamak (yüzde 50) takip ediyor.

Siber risk yönetiminde yetenek açığı var

Şirketlerin siber risk yönetimiyle ilgili yanıtları değerlendirildiğinde küresel olarak siber riskin şirket genelindeki bir iş riski olarak görülmeyip, bir “BT” sorunu olarak silo haline getirilmiş olması ve kurumsal farkındalık/kültür yüzde 41 ile en üst sırada yer alıyor. Bunları takiben siber riskin yönetiminde yetenek/uzmanlık açığı geliyor.  Türkiye sonuçları da küresel sonuçlar ile paralel. Türkiye’de de kurumsal farkındalık/kültür yüzde 56 ile siber riskin “BT” sorunu olarak silo haline getirilmiş olmasının önünde yer alıyor (yüzde 44). Üçüncü sırada ise yüzde 44 ile “çalışan” riski geliyor. 

Yıkıcı riski tespit zorluğu

Denetim komitesi üyeleri, şirketlerinin risk yönetimi programlarının/süreçlerinin mevcut durumuyla ilgili soruları da yanıtladı. Küresel çıkarımlar, şirketlerin yüzde 35’inin güçlü programlar uyguladıklarını fakat süreçlerinin yıkıcı riskleri tespit edemediklerini, yüzde 26’sının risk yönetimi programlarını uyguladıklarını ancak bunların ciddi anlamda geliştirilmesi gerektiğini, yüzde 21’inin yıkıcı risklerin tespit edilebildiği süreçleri de içeren güçlü programlar uyguladığını gösteriyor. Türkiye sonuçlarına göre şirketlerin yüzde 31’i risk yönetimi programları kullanıyor ancak bu programların geliştirilmesi gerekiyor. Yüzde 22’si programlarının planlama/geliştirme aşamasında olduğunu belirtiyor. Yüzde 19’u ise güçlü bir risk yönetimi programı uyguluyor fakat süreçler, dijital riskler ve teknoloji riskleri gibi yıkıcı riskleri tespit edemiyor. Türkiye’deki katılımcılardan yalnızca yüzde 14’ü risk yönetimi programlarının yıkıcı riskleri tespit edebildiğini belirtiyor. 

İş yüküyle baş etmek

Denetim komitesi üyeleri, artan iş yükü ile nasıl baş ettiklerini anlattı. Küresel sonuçlara göre, denetim komitesi üyeleri, komite toplantıları dışında daha fazla çalışma yapıyor (yüzde 48); toplantılar ekliyor veya mevcut toplantıları uzatıyorlar (yüzde 45); yeni beceriler/perspektifler kazandırıyorlar (yüzde 35). Türkiye’de ise iş yüküyle baş etme yolları sırasıyla her bir yöneticiye belirli konularda sorumluluk yükleme (yüzde 54), komite toplantıları dışında daha fazla çalışma yapma (yüzde 46) ve toplantılar ekleme (yüzde 40) olarak şekillendi.

KPMG Türkiye Denetim ve Güvence Hizmetleri Şirket Ortağı, Denetim Komitesi Enstitüsü Başkanı Şirin Soysal, anketi ve hazırlanan raporu şöyle değerlendirdi:

“Görüyoruz ki yasal düzenlemelere uyum konusunda artan riskler ve dönüştürücü teknolojiler (veri analitiği, yapay zeka, otomasyon ve blokzincir); şirketlerin finans organizasyonlarına, iç denetim ekiplerine ve kurumsal risk yönetimi (ERM) sistemlerine olan taleplerini artırıyor. Şirketler ve yönetim kurulları hızla değişen bir dünyada risk yönetimi süreçlerinin ve iç kontrollerin değerlendirmesinde önemli bir rol oynamaya devam ediyor. Anketimiz, birçok denetim komitesinin halen finansal risk, yasal uyum/ mevzuat uyumu, siber güvenlik, bilgi teknolojileri ve üçüncü taraf riskleri gibi ağır risk gündemleri taşıdığını gösteriyor.  Denetim komitesi üyeleri, komitenin etkinliğini maksimum seviyeye çıkarmanın, yapılan iş hakkında ve iş riskleri konusunda daha derinlemesine bilgi sahibi olmaktan ve şirket içinde açık diyalog ortamından geçtiğini söylemeye devam ediyor. Bu durum etkili gündem yönetiminin değerini açıkça artırıyor.”

Daha detaylı bilgi için:

Altay Alpagut

Stratejik Pazarlama Müdürü
Tel: +90 212 316 60 00
aalpagut@kpmg.com

© 2023 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır. 

Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.

Bize ulaşın