Bilindiği üzere dünyada iç denetim her 10 yılda bir ciddi değişim gösteriyor. Bunun sebebi iş dünyasının da değişiyor olması. Artan kürselleşme, teknolojik yenilik hızı, yeni örgütsel teoriler, ülke ve şirketlerin gittikçe daha entegre hale gelmeleri, iç denetimin her yeni on yılda önemli ölçüde değişmesine neden oluyor. Örneğin 2000′ li yılların iç denetim paradigması olan “risk odaklı iç denetim” yerini “risk yönetimi odaklı iç denetim” e bırakmak üzere. Elbette, bu değişim iç denetimin mesleki altyapısını da ciddi olarak değiştiriyor. Uluslararası Mesleki Uygulama Çerçevesi kapsamındaki Standartlar, Uygulama Önerileri, Uygulama Rehberleri, Pozisyon Raporları, Sertifikasyon konu içerikleri de bu değişimle paralel değişmek durumunda kalıyor.

Dünya genelinde iş, ekonomi, siyaset, ekonomi, yasal düzenlemeler alanlarında yaşanan bu değişimler, şirketlerin yönetim kurulları ve üst yönetimlerinin iç denetimden beklentilerini de değilştiriyor. Makro çevre ve yönetsel beklentilerdeki bu sürekli ve hızlı değişim de iç denetçilerin sahip olmaları gereken yetkinlik setini bir hayli etkiliyor. Bundan 10 sene önce temel risk/kontrol bilgilerine ihtiyaç duyan iç denetçiler, günümüzde risk yönetim çerçeveleri, modelleri ve uygulamaları konusunda uzmanlaşmış olmak durumundalar. Ya da bundan 10 sene öncesinde Stratejik Yönetim kavramı ile pek de alakadar olmayan iç denetçiler, bugün iç denetim planlarını stratejik planlar ile uyumlu hale getirmek durumundalar.

Bu denli ciddi değişimler yaşanırken, iç denetim mesleğinin ne noktada olduğu ve nereye doğru gittiği konusu önem kazanıyor. Daha doğru bir ifade ile mevcut durum tespiti ve geleceğe dönük yönelimlerin ortaya çıkartılması gerekiyor. Bu amaçla, dünya genelinde başta meslek örgütü Uluslararası İç Denetçiler Enstitüsü olmak üzere, uluslararası danışmanlık şirketleri her yıl, o yılın durum tespiti ve geleceğe yönelik sinyalleri algılamak için bazı anket çalışmaları düzenliyorlar. Bu anketler ile,  binlerce şirket ve kuruluştan geri bildirim alınmış olunuyor. Şirket ve kuruluşların yönetim kurulları, üst yönetimleri, iç denetim birim başkanları (CAE) ve iç denetçilerine yönelik düzenlenen bu mesleki anketleri takip etmek, hangi ülkede çalışıyor olursa olsun bir iç denetçi için büyük önem arz ediyor.

Ülkemizde, iç denetim alanında çalışan ya da çalışmak isteyen meslektaşarımıza katkı sağlamak adına 2013 senesinde dünya genelinde gerçekleştirilmiş tüm iç denetim anketlerini inceledim. Bu anketleri sizler için aşağıda özetleyeceğim. Yani anketlerden elde ettiğim ana fikri sizle paylaşmaya çalışacağım. Bu anketlere ve raporlarına ulaşmak isteyenler için de bilgileri aşağıda paylaşıyorum:

• Control Solutions International/ Internal Audit Survey 2013 (şirket içi kullanım içindir)
• IIA Audit Excellence Center/ Pulse of the Profession 2013
• Protiviti Internal Audit Capabilities and Needs Survey Report 2013
• Ernst & Young Matching Audit Talent to Organizational Needs 2013
• PWC State of The Internal Audit Profession 2013
• Grant Thornton CAE Survey 2013
• Thomson Reuters The State of Internal Audit 2013
• KPMG IT Internal Audit Survey 2013

Bu ve benzeri anketler her yıl yayınlanıyor ve bu anket çalışmaları son derece özet ve kolay okunur raporlara dönüştürülüyor. İç denetim mesleğinin içind olan ya da olmayı düşünen herkesin bu tür anket çalışmalarını yakından takip etmesinde fayda var. Bu çalışmalar, yukarıda behsetmiş olduğumuz değişimin, mesleğe yansımalarını çok net görebildiğimiz çalışmalar.

Bu anketler kapsamında yapılmış çalışmaların ana fikirlerini ve önemli noktalarını sizler için özetlemeye çalıştım. 2013 yılında ve sonrasında iç denetim mesleği ile ilgili tespitlere bir bakalım.

• Bilindiği üzere, 2002 yılından bu yana yasal düzenlemelere uyum özellikle ABD’ de büyük önem kazanmıştı. SOX Kanunu sonrası, iç denetçilerin çalışma usul ve esasları da bundan etkilenmişti. Anket çalışmalarından bazılarında İç denetimin yasal düzenlemelere uyum amacı ile gösterdiği çabalar, halen toplam faaliyetler içinde en önemli alan olarak gözüküyor (ör: SOX 404). Ancak bu durumun değişmeye başladığı görülüyor. Özellikle risk yönetimi konusu ve risk yönetimi güvencesinin öne çıkmaya başladığını görüyoruz. Özellikle 2008 krizi sonrası bu konu büyük önem kazanmış ve geleceğe de yön verecek gibi gözüküyor.
• İç Denetim faaliyetleri, Stratejik Yönetim ile gittikçe daha entegre olmaya çalışıyor. Stratejik planlar, şirketlerin ve kuruluşların en önemli hareket noktaları olarak görüldüğünden, iç denetçilerin bu hareket noktası ile uyumlu hareket etmeleri ihtiyacının son dönemde arttığı düşünülüyor. İç denetim planları artık sadece risk odaklı değil, strateji odaklı bir bakış açısı ile ve stratejik riskler daha fazla ağırlıklandırılarak oluşturuluyor. 2013 sonrası dönemde iç denetim- stratejik yönetim ittifakını daha fazla konuşuyor olacağız.
• İç denetim fonksiyonlarının önemli bir kısmı güvence faaliyetlerini artık bir çerçeveye göre (COSO, COBIT, ISO 31000, 27000 gibi) yapılandırmaya çalışıyor. İç kontrolde COSO, CoCo ve diğer çerçeveler, risk yönetiminde COSO ERM ve ISO 31000, BT yönetişimi, kontrolü ve denetiminde COBIT gibi iyi uygulama modelleri artık gittikçe fazla sayıda iç denetim birimi tarafından kabul görüyor. Buna ek olarak, şirketlerin yönetim kurulları ve denetim komiteleri de bu tür çerçevelerin kullanılmasını ve iç denetçilerin bu noktada şirket ve kuruluşlarının icrai fonksiyonlarını bu yöne yönlendirmelerini gittikçe daha fazla talep ediyorlar.
• Yönetim kurulu ve üst yöneticilere göre iç denetime ilişkin 3 konuda sorun var: 1- YK ve Üst Yönetimin iç denetime bakışındaki ve beklentilerindeki farklılıklar, 2- İç denetimin gelişen iş dinamiklerine uyum sağlayamaması (teknoloji kullanımı, caatts), 3- İç denetimde geleneksel bakışın dışında çıkılamaması ve kurumların en öncelikli konularına odaklanılmaması (değişim programları, M & A, inovasyon süreçleri, vb.).
• Her şeyin teknoloji ile iç içe olduğu, manuel iş ve işlemler ile insan müdahalesinin giderek azaldığı “veri” çağında, iç denetçilerin bilgi teknolojilerden çok daha fazla faydalanmaları kaçınılmaz gözüküyor. İç denetçilerin özellikle bilgisayar destekli denetim araç ve teknikleri (CAATTs), veri analitiği ve GRC (governance, risk, compliance) yazılımları konularında kendilerini geliştirmeleri ve şirketlerine değer katmaları bekleniyor.
• İç Denetim Yöneticilerinin (CAE) % 85’i veri analitiği konusunun önemli olduğunu kabul ederken, sadece %31’ i değerlendirmelerinde veri analitiği kullanıyor. Ancak bu oran gittikçe artıyor. Şirket ve kuruluşlarda iç denetimde veri analitiği ve CATTTs kullanımı denetim etkinliği ve verimliliğini ciddi ölçülerde etkiliyor. Veri üzerine çalışan iş dünyasında, veri analitiği konusunun denetimin merkez konularından bir tanesi olması gelecek 3 yıl içinde kaçınılmaz olacak.
• İç Denetim Yöneticilerin gelecek 18 ayda en fazla geliştirmeyi planladığı alanlar, şirketlerinde GRC yazılımlarını kullanıma almak ve risk yönetimi-uyum-iç denetim faaliyetlerinde entegrasyona gitmek, veri analitiği, sürekli denetim ve BT Denetimi alanları olarak dikkat çekiyor.
• Yönetim Kurulları, Denetim Komiteleri ve Üst Yöneticiler iç denetçilerden öncelikle şunları bekleniyor:
  –KRY ile entegrasyon
  –Kurumun önem verdiği alanlar ile ilgili çalışmak
  –Kendilerini değişen koşullar ve yeni iş ortamlarına uyumlu hale getirmek
• Tüm anketlerin ortak noktası iç denetimin değişen koşullara uyum sağlamasının önemi olarak gözüküyor. İç denetçiler artık sadece muhasebe, finans, risk, kontrol ve iletişim konularında değil, risk yönetim modelleri, bilgi sistemleri, veri madenciliği, veri yönetimi, veri analitiği, iş zekası ve inovasyon konularında da kendilerini geliştirmek durumundalar.
• Anketlerde öne çıkan diğer bir konu “Sosyal Medya ve Elektronik Pazarlama” faaliyetlerine ilişkin güvence sağlanması. Şirket ve kuruluşlarının sosyal medya varlığı, kimliği ve stratejilerinin değerlendirilmesi ve iyileştirilmesi önemli bir katma değer kabul ediliyor.
• Dünya genelinde iç denetim mesleğini ilgilendiren otoritelerin yayınladığı düzenlemelere ve rehberlere uyum konusu önemli bulunuyor. Başta IIA ve COSO olmak üzere, mesleğin nabzının attığı tüm düzenlemelerin yakından takip edilmesi gerekiyor.
• Fraud tespit ve önleme faaliyetlerinde veri analizi, sürekli denetim ve bilgisayar destekli denetim çözümlerinden faydalanılması hız kazanmış durumda. Artık şirketler, fraud riskine karşı sürekli denetim silahını devreye almış durumdalar. Sürekli denetim yazılımları ile ilgili pazarın gelecek 5 yılda büyüyeceği tahmin ediliyor.
• İç denetimin Kurumsal Risk Yönetimi ile uyumu ve entegrasyonu en çok önem verilen konular arasında. Bu aşamada GRC çözümleri vazgeçilmez araçlar olarak yerini alıyor. Önümüzdeki 5 yılda, GRC yazılım pazarının neredeyse üçe katlanacağı öngörülüyor.
• Yönetim Kurulu ve Denetim Komitesi’ ne raporlama yapan iç denetim birimlerinin  sayısı ve yüzdesi artıyor.
• 2008 krizinde küçülmeye giden iç denetim harcamaları, 2013’ te oldukça artırılmış durumda. İç denetim bütçeleri ve kaynakları artırılıyor. Bu iç denetim fonksiyonlarına olan güveni ve beklentilerin büyüklüğünü gösteriyor.
• Beklentiler haricinde, olaya iç denetim tarafından bakılırsa iç denetçilerin en çok önem verdikleri 5 konu: stratejik yönetim, risk yönetimi etkinliği, bilgi teknolojileri, düzenlemelere uyum ve operasyonel etkinlik/verimlilik olarak sıralanmış.
• Kurumsal değişim yönetimi ve inovasyon konuları iç denetçilerin radarına girmeye başlamış. İşin sadece gider tarafı değil, gelir tarafının da iyileştirilmesi gerektiği düşüncesi seslendirilmeye başlamış. Yakın dönemde iç denetçilerin satış, pazarlama ve inovasyon gibi süreçlerde sadece risklerin değil, fırsatların da yakalanmasını ve realize edilmesini sağlayacak öneriler geliştirmeleri bekleniyor.
• İç denetçilerde aranan yetkinlikler arasında ilk 5 konu şu şekilde belirlenmiş: 1- Analitik /Eleştirel Düşünme Becerileri, 2- İletişim Becerileri, 3- Risk Yönetimi Güvencesine Dönük Yetkinlikler, 4- Genel Bilgi Teknolojisi Yetkinlikleri, 5- Veri Madenciliği ve Analitiği Yetkinlikleri. Mali konulara ilişkin yetkinliklere olan ihtiyaçta önemli düzeyde düşüş var.

Çağdaş iç denetim fonksiyonları günümüzde, risk odaklı ve süreç bazlı çalışan, tüm denetim türlerine ilişkin yetkinlikleri bünyesinde barındıran, uluslararası standart ve iyi uygulama modellerini benimsemiş, YK, DK ve Üst Yönetim tarafından desteklenen ve bu unsurlar ile işbirliği içinde birimler olmak durumundalar.

Anketlerin genelinde iç denetçilerin kendilerini mümkün olduğu kadar farklı alanlarda geliştirmeleri ve disiplinlerarası bir gelişimi benimsemeleri gerektiği görülüyor. İç denetçilerin, yeni dönem koşullarına hızlı uyum sağlayabilmeleri ve kurumları için vazgeçilmez olabilmeleri açısından, mesleki gelişim büyük önem taşıyor. Bu noktada, yerel meslek örgütlerinin de (Örneğin TİDE), bu değişimi iyi anlayıp, iyi analiz edip, meslek mensuplarını bu gelişmeler doğrultusunda yönlendirmesi gerekiyor. İç denetimin gittiği yön ne kadar iyi anlaşılabilir ise, iç denetçilerin de bu değişime uyum sağlamaları da o kadar mümkün olacaktır.