AuditBoard’a göre denetim komiteleri, şirket yönetim kurulları ve mali işler müdürleri de dahil olmak üzere kilit paydaşların yarısından fazlası, iç denetim ekiplerinin daha fazla riskle ilgili işleri üstlenmesini bekliyor.
Çalışma, bu genişleyen beklentilerin, iç denetimin danışmanlık hizmetlerine ayırdığı bant genişliğinin sınırlı olduğu ve artan risk talebi ile yetersiz risk yönetim kapasitesinin işletme için bir risk kapsam boşluğu yarattığı bir zamanda ortaya çıktığını ortaya koydu.
Ekonomik, jeopolitik, düzenleyici ve siber risklerden kaynaklanan değişim ve öngörülemezlik amansızdır ve güçlü ve hazırlıklı bir konumdan yönetilmezlerse, işletmeler için zararlı mali ve itibar etkileri, düzenlemelere uyulmaması nedeniyle cezalar (uyumsuzluk olayı başına ortalama 14 milyon dolar), üçüncü taraf risk olaylarından kaynaklanan gelir veya pazar payı kaybı (üçüncü taraf olayı başına ortalama 1 milyar dolar) ve piyasa değerinde ve yatırımcı güveninde kayıplara yol açabilecek önemli zayıflıklar dahil olmak üzere önemli olumsuz sonuçlara yol açabilirler.
Ancak en kritik etki aynı zamanda en yaygın olanıdır: Çoğu organizasyonda, yönetim riske duyarlı kararlar almak ve iş değerini artırmak için ihtiyaç duyduğu bilgilere sahip değildir.
Raporda, iç denetim ekiplerinin şu anda zamanlarının çoğunu nerede harcadıkları ve katma değerli, riskle ilgili faaliyetlere odaklanmayı sağlamak için hangi ayarlamaların yapılabileceği ele alınıyor.
Dahili denetimin sorumlulukları genişletildi
İç denetimin yetki alanı, kuruluşların günümüzün oldukça değişken risk ortamına yanıt vermek için bu fonksiyonun risk ve kontrol uzmanlığından giderek daha fazla yararlanmaya çalışmasıyla genişliyor.
Bilgi güvenliği kontrol testlerinin uygulamada arttığı görülüyor; baş denetim yöneticilerinin (CAE) %82’si bir şekilde teste dahil olurken, %44’ü testin sahibi veya yoğun olarak teste dahil oluyor.
Sürekli izleme daha fazla iç denetim odağını hak ediyor. CAE’lerin yalnızca %28’i önemli bir sürecin sürekli izlenmesine sahip veya bununla yoğun bir şekilde ilgileniyor, ancak ankete katılan denetçilerin %60’ının ERM’de bir miktar katılımı var ve %40’ının hiçbir katılımı yok.
İç denetim aynı zamanda pek çok kilit paydaşının değişen beklentileriyle de karşı karşıyadır.
İç Denetim Yöneticilerinin %55’i, idari raporlama yöneticilerinin (genellikle CFO’lar ve CEO’lar) son iki yılda iç denetim ekiplerinden ERM, ESG, yönetişim, operasyonel girişimler ve kalite güvencesi dahil olmak üzere daha fazla faaliyete katılmalarını istediğini belirtiyor.
Çoğu organizasyonda risk yönetimi olgunluğu eksiktir
Ankete katılan CAE’ler, sorumluluklarını artırmak için en önemli alanın entegre risk yönetimi (ERM) olduğunu belirlemiş olsa da, çoğu kuruluşun IRM olgunluğuna ulaşması için hâlâ kat etmesi gereken uzun bir yol var.
IRM, CAE’lerin daha fazla dahil olmaları gereken yerler için en iyi yanıtıydı. Ancak, dikkat çekici bir şekilde, IRM, bir yanıt seçeneği olmasına rağmen, denetçilerin en önemli mevcut sorumluluklarına bile yansıtılmıyor. Ayrıca, kurumsal risk yönetimi (ERM), CAE’lerin daha fazla dahil olmaları gerektiğine inandıkları yerler için ikinci en iyi yanıttı.
Kuruluşların %96’sında olgunlaşmış IRM programları bulunmuyor. Kuruluşların %11’i herhangi bir IRM stratejisine sahip olmadığını, denetim, risk ve uyumluluk fonksiyonlarının bağımsız olarak çalıştığını bildirirken, kuruluşların %51’i IRM’nin gerekli olduğunu biliyor ancak bunun için tutarlı bir stratejiye sahip değil gibi görünüyor.
Başka bir %24’ün resmi bir stratejisi yok, ancak denetim, risk ve uyumluluk işlevlerini birbirine bağlamak için aktif olarak çalıştıklarını söylüyorlar. Bu bulgu umut verici, henüz belirli terimi kullanmasalar bile IRM’ye olan ihtiyacın kabul edildiğini yansıtıyor.
AuditBoard Saha Baş Denetçisi ve Bağlantılı Risk Danışmanı Tom O’Reilly, “Kuruluşlar, kurum genelinde riski yönetmeye yönelik modern, işlevler arası bir yaklaşım olan bağlantılı bir risk stratejisi benimseyerek riski daha iyi yönetebilirler” dedi.
O’Reilly, “Bağlantılı risk konusunda öncülük etmek, iç denetimin rolünün doğal bir evrimidir; çünkü bu kurumun geniş kapsamlı yönetişim, risk ve uyumluluk uzmanlığı ile derin işlevler arası ilişkileri göz önüne alındığında bu durum geçerlidir” dedi.