Bu Help Net Security röportajında, AuditBoard Kıdemli İç Denetim Danışmanı Richard Chambers, iç denetim fonksiyonunun ve risk yönetiminin, kuruluşların riske maruz kalma konusundaki boşluğu kapatmasına yardımcı olmadaki dönüştürücü rolünü tartışıyor.
Bir kurumun iç denetim fonksiyonuna yönelik iyi belgelenmiş bir stratejik planın tüm cevapları sağlamak anlamına gelmediğini, ancak soruların belirlenmesine ve ele alınmasına yardımcı olabileceğini anlatıyor. Böyle bir plan, iç denetimin etkili bir şekilde yanıt vermek için gereken araçları tanımasını destekler.
Chambers ayrıca iç denetim liderleri için stratejik planlamaya öncelik verilmesi, yapay zeka teknolojisi ve yönetişimin kullanılması, işlevler arası işbirliğinin teşvik edilmesi, yüksek etkili iletişimlerin iyileştirilmesi ve ortaya çıkan risklerin belirlenmesine yönelik yeteneklerin geliştirilmesi dahil olmak üzere dönüşüm fırsatlarının altını çiziyor.
Risklerin, risk yönetimi kapasitesinden daha hızlı geliştiği bir ortamda, büyüyen bu ‘riske maruz kalma açığını’ kapatmak için hangi stratejileri önerirsiniz?
Artan riske maruz kalma açığı, her organizasyonun uyum sağlamasını, stratejiye eleştirel bir gözle bakmasını ve ayakta kalabilmek ve ihtiyaca uygun kalabilmek için ihtiyaç duyulan dönüşümlere yönelik bilinçli bir yol sunmasını gerektirmektedir. Kuruluşlarımızın boşluğu kapatmasına yardımcı olmak için risk ve denetim profesyonellerinin de dönüşümsel olması gerekir.
Öncelikle gerçek dönüşümün zihniyetle başladığını anlayın. Geçmişteki alışkanlıklarınız ne olursa olsun, belirsizliği ve karmaşıklığı benimseyerek, bir deneme, yenilik ve öğrenme kültürü oluşturarak ve yaklaşımınızı yeniden tasarlayarak ilerleyin. İkinci olarak, ortaya çıkan riskleri belirleme yeteneklerinizi geliştirin. Günümüzün riskleri belirsiz zaman ufuklarına sahip olma ve kaotik, karmaşık, değişken, belirsiz ve yönetilmesi zor olma eğilimindedir. Üç hattaki profesyoneller arasında IRM teknolojileri, yönetim ve yönetim kurulu ile sürekli iletişim ve içgörülerin toplanması ve belgelenmesine yönelik sistematik süreçler (örn. PESTLE) ile eşleştirilen gelişmiş işbirliği, ortaya çıkan risklere ilişkin anlayışınızı geliştirmede kritik öneme sahip olabilir. En önemlisi, daha stratejik düşünmeye ve yönetmeye odaklanın. Stratejik planlar, risk ve denetim yöneticilerinin fonksiyonlarını proaktif bir şekilde yönetmek ve dönüştürmek için kullanabileceği kilit bir mekanizmadır.
İç denetim fonksiyonlarının yalnızca beşte birinin kapsamlı bir stratejik planı varken, bu stratejik planlama eksikliğinin sonuçları nelerdir ve bu sorunu çözmek için hangi adımlar atılmalıdır?
Güçlü yönlerin, zayıf yönlerin, fırsatların, tehditlerin, önceliklerin ve sızıntı alanlarının net bir şekilde değerlendirilmesi de dahil olmak üzere geleceğe yönelik stratejik bir bakış açısı olmadan, iç denetimin başarıyı sağlamak için gereken eylemleri fark etmesi pek olası değildir. Organizasyonel başarıya yönelik, katlanarak artan riskler ile vizyon, kaynak veya inisiyatif eksikliği nedeniyle yanıt verememe arasındaki yanlış hizalamadan daha büyük bir tehdit yoktur.
İç denetim fonksiyonunuz için iyi, iyi belgelenmiş bir stratejik plan oluşturun ve sürdürün. Bu, düşüncenizi düzenlemenize, tanımlarda disiplini zorlamanıza, uygulamayı kolaylaştırmanıza ve doğru soruları sormaya devam etmenize yardımcı olabilir. Kimse ileride ne olacağını kesin olarak bilmiyor ve iyi geliştirilmiş bir stratejik plan, kaos ve belirsizliğe hazırlanmak için önemli bir araçtır. Stratejik plan tüm cevapları sağlamaz ancak soruların belirlenmesine ve yanıtlanmasına yardımcı olabilir ve iç denetimin etkili bir şekilde yanıt vermek için ihtiyaç duyduğu araçları tanıma becerisini destekleyebilir.
Rapor, yapay zeka ve otomasyon da dahil olmak üzere kritik teknoloji yatırımlarındaki gecikmeye dikkat çekiyor. Bu teknolojilerin iç denetim süreçlerinin dönüştürülmesindeki rolü nedir ve benimsenme konusunda neden tereddüt yaşanıyor?
İç denetimin iki temel alanda önemli fırsatları vardır: İç denetimde yapay zekayı kullanmak ve hizmet verdiğimiz kuruluşlara rehberlik ve güvence sağlamak. İç denetimde yapay zeka araçları, muazzam bir bilgi birikimine erişim sağlayan bir kapasite çarpanıdır; iç denetçilerin becerilerine ve uzmanlığına (örneğin, planlamayı, risk değerlendirmelerini ve raporlamayı artırmak için) harika bir destektir. Ayrıca üst düzey yetenekler, kuruluşunuzun kesinlikle yeni nesil yapay zeka teknolojilerinden yararlanmasını bekleyecektir; çünkü bu, becerilerini tamamlayıp geliştirebilmelerinin önemli bir yoludur.
Bazı iç denetçiler üretken yapay zekaya ilgi duyuyor ve onunla ilgileniyor ancak çoğu, kararlı adımlar atmaya hazır değil. Tehlikeli bir rahatlık duygusunun (ve bütçe, zaman ve bilgi kısıtlamalarının) ötesinde, yapay zekanın henüz “güvenli” olmadığına dair yaygın bir algı var gibi görünüyor. Üretken yapay zekanın gelişen doğası göz önüne alındığında, iç denetimin bu konuya ihtiyatlı yaklaşması doğaldır. Ancak ne iç denetçiler ne de kuruluşlar yapay zekayı kullanmaya, yönetmeye ve güvence altına almaya yönelik yatırımları ertelemeyi göze alamaz. İç denetim, yapay zekanın yeteneklerini ve korumalarını araştırmak ve doğrulamak için adım atmalı, bu süreçte kendimizi, yöneticilerimizi ve kurullarımızı eğitmelidir.
Özellikle siber güvenlik ve veri gizliliği alanlarındaki dinamik düzenleme ortamı göz önüne alındığında, iç denetim ekipleri nasıl önde kalmalı ve uyumluluğu sağlamalıdır?
Siber ve veri güvenliği riskinin önemi geçtiğimiz yıl arttı. Tehdit ve saldırılar artmaya devam ederken 2023, ilgili düzenleme ve yasama faaliyetleri açısından dönüştürücü bir yıl oldu.
Şirketlerin mevzuat uyumluluğuna hazırlanmak için düşündüklerinden daha az zamanları olabilir ve iç denetçiler, doğru etkinleştirme süreçlerini ve teknolojilerini mümkün olan en kısa sürede devreye alma konusunda kuruluşlarına destek vermelidir. Bu, siloları ortadan kaldırmaya ve iç denetimin risk ve uyum meslektaşlarıyla işbirliği yapma biçimini geliştirmeye sürekli odaklanmayı gerektirecektir. Ufukta ortaya çıkan uyum risklerinin belirlenmesi, dürbünü tutan herkesin gördüklerine ilişkin bilgileri paylaşmasını gerektirir.
Son olarak, her iç denetim fonksiyonu, tüm paydaşların zamanında analiz, karar alma ve eylemi desteklemek için gereken bilgilere sahip olmasını sağlayarak daha dinamik ve gerçekten etkili raporlama oluşturmaktan yararlanabilir. Mevzuat ve uyumluluk riski hakkında nasıl iletişim kurduğunuza yeniden bakın ve daha zamanlı, ilgili, risk bilgisine dayalı, özlü ve anlayışlı iletişimler sağlamak için bir plan yapın.
Yetenekleri çekme ve elde tutma konusunda süregelen zorluklar göz önüne alındığında, iç denetim fonksiyonlarının dayanıklı ve yetenekli bir ekip oluşturmasına yönelik hangi yenilikçi yaklaşımları önerirsiniz?
İç denetimin güncel kalabilmesi için gelişmesi gerekir. Bu, gerçek inovasyonu teşvik etmek ve becerilerimizi ve ekiplerimizi dönüştürmeye devam etmek anlamına gelir. Son araştırmalar, iç denetim liderlerinin yarısından azının, iç denetimin, fonksiyonun önümüzdeki birkaç yıl içinde ihtiyaç duyacağı yetenek ve becerilere sahip olduğundan çok emin olduğunu ortaya çıkardı. Dahası, daha yenilikçi iç denetim fonksiyonlarının üst düzey yetenekleri çekme ve elde tutma olasılıkları daha yüksektir.
Temelleri optimize etmeyi bırakmayın, ancak yeni düşünce ve yeni teknolojilerden yararlanarak iyileştirmeleri keşfetme, deneme ve uygulama konusunda ilerlemeye devam edin. Ayrıca iç denetimin stratejik planının, önümüzdeki bilinmeyenlere uyum sağlamanıza yardımcı olacak kapsamlı bir yetenek yönetimi stratejisi içerdiğinden emin olun. Bu sadece yaratıcı kaynak bulma ve işe alım değil, aynı zamanda geliştirme ve mentorluk, beceri geliştirme, elde tutma ve yedekleme planlamasını da içermelidir. Beceri boşluklarını (mevcut ve gelecekteki durum) ve iç denetim yeteneklerinin ve stratejisinin kurumun genel stratejisi, vizyonu ve gelişen risk profiliyle nasıl daha iyi uyumlu hale getirilebileceğini belirleyin.
Bu çeşitli ve karmaşık riskler karşısında iç denetimin rolünün nasıl geliştiğini ve 2024’te denetçiler için hangi becerilerin en değerli olacağını düşünüyorsunuz?
Risklerin arttığı bu ortamda, iç denetimin oynadığı rol her zamankinden daha önemli. Değerli içgörü ve öngörü sunma konusundaki benzersiz yeteneğiyle iç denetim, kuruluşların bu benzeri görülmemiş zorluklarla doğrudan başa çıkmalarına yardımcı olmak için iyi bir konuma sahiptir. İç denetim liderleri için temel dönüşüm fırsatları arasında stratejik planlamaya öncelik verilmesi, yapay zeka teknolojisi kullanımı ve yönetimi, işlevler arası işbirliği, yüksek etkili iletişimler ve ortaya çıkan riskleri belirlemeye yönelik yeteneklerin geliştirilmesi yer alıyor.