Tüm diğer iş fonksiyonları gibi denetim aktivitelerinin de salgın sonrası dönemde zorlaşmış olması bir sır değil. Tabi, denetimin bu süreçte diğer fonksiyonlara göre daha da zor olmasının bence iki sebebi var. Bunlardan bir tanesi, denetimin fıtratı itibariyle yakın iletişim ve yoğun bilgi-belge taraması gibi çalışmaları içermesi. Bir diğeri ise -bu fark Türkiye’de daha belirgin ama, dünyanın geri kalanı için de aynı şeyi söylemek mümkün- dijitalleşme söz konusu olduğunda denetim fonksiyonunun tedarik zinciri, finans, insan kaynakları gibi merkez fonksiyonların çok gerisinde kalmış olması.
Tabi uzaktan denetimin zorlaşması konusu beraberinde suistimal teşebbüslerinin artması gibi çok önemli bir yan etki daha getiriyor ki zaten tüm denetim çalışmalar gitgide daha da zorlu hale gelmeye başlıyor. Bu konuda, yani pandemi sonrası iş dünyasında suistimal vakalarının artmasına yönelik ACFE’nin yazısını inceleyebilirsiniz.
Organizasyonlardaki denetime ilişkin tüm paydaşlarının bir şeyler yapması gerek. Zira bu zafiyetler katlanarak artmaya çok müsait. Başarılı suistimal girişimlerinin sayısı ve bilinirliği arttıkça, yöntemler gelişecek ve konu çok daha zorlaşacak.
Peki uzaktan denetim mümkün mü? Zaten uluslararası faaliyet gösteren ve denetim aktivitelerini merkezileştiren SAP ya da Delivery Hero gibi şirketler uzun zamandır uzaktan denetim pratiklerini uyguluyorlar. Tabi uzaktan denetimin mümkün olabilmesi için;
- Dijitalleşen denetim uygulamaları ve
- Kontrollerin otomasyonu için yeni nesil teknolojilerden faydalanmak şart. Tabi burada ben işim gereği bu konuya teknoloji perspektifinden bakıyorum. Pek tabi konunun dijtal olmayan bir çok boyutu var.
Bu yazımın konusu ilk adımı içerecek. Yani uzaktan denetimi mümkün hale getirebilmek için atılması gereken ilk adımı: denetim faaliyetlerinin tamamen dijitale taşınması. Sonraki yazımda ise daha trend bir konuya değineceğim, yani kontrollerin otomasyonu.
Yazının başında da bahsettiğim üzere uzaktan denetim zaten yapılan ve bazı durumlarda yapılması kaçınılmaz olan bir konu. Tabi buradan Delivery Hero’nun ya da SAP’ın bu süreçte hiç bir zorluk yaşamadığını çıkarsamamak gerek. Zira uzaktan denetim yapabilmek kadar verinin büyüklüğü ve denetim aktivitelerinin hacmi de bir o kadar önemli ki, bu süreçte bu iki konu da muazzam artış gösteren iki konu.
Denetimde dijitalleşmeye adapte olabilmek için iç denetim birimlerinin dijitalleşme hedeflerini iyi koyması gerekiyor. Bu konuda PEMPAL’in hazırladığı ”Key Performance Indicators for Internal Audit Function” raporu harika bir kaynak. Dokümanı incelediğinizde çok önemli ancak bir o kadar da üzerinde az çalışılmış bir konuya odaklandığını görüyorsunuz. Yaptığımız çalışmalarda müşterilerimiz genelde kontrol otomasyonuna o kadar çok yoğunlaşıyorlar ki, kontrolün ve denetimin verimliliğine ya da organizasyona kattığı değeri gözden kaçırabiliyorlar. İşte bu dokümanın tam olarak iç denetim etkinliğine odaklanmış olması bu konuda harika bir kaynak olmasına sebep.
Denetim çalışmalarında başarı için öncelikle paydaşlarımızı belirlememiz ve sonrasında da buna uygun performans kriterleri ve hedefleri belirlemek gerek.
Sonrasında ise denetimin şirkete kattığı değeri ölçümlemek için anahtar performans göstergelerini belirlemek.
Sorumlu | Anahtar Performans Göstergesi | Açıklama |
İç Paydaşlar | Bulgu sayısı | Bulgu ile sonuçlanan denetim sayısını verir. Bu bilgi organizasyonun kontrol olgunluğunu ölçmede kullanılabilir. |
İç Paydaşlar | Yıllık planlı denetim oranı | Buradaki düşük oran, iç denetim departmanının plan dışı çok fazla denetim yaptığına dair bir gösterge olabilir. |
İç Paydaşlar | Denetim bulgularınının gerçekliği | Yöneticilerin iç denetimin ciddi sorunları belirleyip belirleyemediğini anlamalarına yardımcı olur. |
İç Paydaşlar | Uygulanan düzeltici eylem yüzdesi | Denetim raporlarına ilişkin takip operasyonlarının anlamlı ve değer yaratan öneriler olup olmadığının anlaşılması için bir kriter olabilir. |
İç Paydaşlar | Yıllık yüksek riskli denetim kalemlerinin denetlenme yüzdesi | Denetimin yüksek riskli alanlarda yaptığı denetim sayısını ve yüksek riskli işlerin denetim oranının izlenmesine olanak tanır. |
Dış Paydaşlar | İş birimleri tarafından kabul edilen öneri oranı | Denetim birimi tarafından verilen önerilerin yüksek oranda onaylanması denetim faaliyetlerinin verimli olduğunu göstermektedir. |
İç Denetim | Süreç ya da risk bazında ortalama denetim süresi | İç denetimin etkinliği konusunda genel bir kriter olarak kabul edilebilir. |
İç Denetim | Son denetim aktivitesi ile raporun yayınlanması arasındaki süre | Rapor yazma sürecini takip eden bir kriter. Denetimin gerekli kanıtları üretmek için iyi bir şekilde planlandığını belirtir. |
İç Denetim | Yıllık bütçeye karşın yıllık denetim maliyetlerinin yüzdesi | İç denetim departmanının maliyet planlamasındaki etkinliği göstermektedir. |
İç Denetim Ortakları | Tekrar eden bulguların sayısı | Kronik zafiyetlerin ele alınmadığını gösterebilir. |
İç Denetim Ortakları | Zamanı geçmiş bulguların süreç, risk ve bölge bazlı oranları | Kabul edilen önerilere ait iş birimlerindeki aksiyon zaafiyetini göstermektedir. |
Tabi ki her organizasyonun metrikleri farklı olabilir ve iş performansı ölçmeye geldiğinde yukarıdaki örnekler belki de yüzlercesiyle çoğaltılabilir. Örneğin planlı denetim oranının düşük olması bir şirkette başarısızlık olarak görülebilirken farklı bir şirkette çevik denetimin işareti olabilir.
Önemli olan konu bu ölçümleri yapmaya müsait bir altyapı kurmak. Bunun için de kontrol otomasyonu, robotik, pyhton kodlarından önce yapılması gereken bir adım var. Veriyi oluşturacak dönüşümü sağlamak.
Bu bağlamda yukarıdaki metrikleri özellikle seçtim. Zira bu metrikler özellikle bir iç denetim yazılımına ihtiyaç duyduğunuzun resmi olan kriterler.
SAP’nin Audit Management ürünü de esasında iç denetimde planlamadan rapora tüm süreçleri kapsayan ve her yıl farklı yazılım teknolojileri ile entegre olabilen çok güçlü bir denetim yazılımı. Özellikle bu pandemi sonrası dönemde farklı lokasyonlardaki, farklı zaman dilimindeki denetçileri, iş birimlerini ve dış denetim uzmanlarını bir araya getiren bir iş birliği aracı.
SAP Audit Management, aynı zamanda denetim işlemlerinin belki de en vakit alıcı ve sevilmeyen işlerinden biri olan denetim raporunu otomatikleştiren, iç kontrol, risk yönetimi ve suistimal yazılımları ile gerçek zamanlı olarak iletişim kurarak muazzam bir zaman kazanımı sağlayan bir araç.
SAP Audit Management ürününü merkeze alarak dijitaleşştirmenizi önereceğim iç denetim pratiğini kısaca özetlemek gerekirse;
1.Planlama: Bu aşama risk ve kontrol evrenlerinin iç denetim dünyasına tanıtılmasıyla başlıyor. Peki tabi risk merkezli denetim pratiği hala en efektif denetim yönetimi. Bu noktada holistik bir bakış açısının da faydası olacağı kanaatindeyim. Kontrol ve risk iç denetiminin birincil konusu olmayan mevzular. Dolayısıyla bir çok organizasyonda bu objeler ayrı bir platformda ayrı kişiler tarafından takip ediliyor. Burada SAP Audit Management’ın sağladığı faydalardan bir tanesi de size risk ve kontrol evrenlerini SAP Process Control ve SAP Risk Management üzerinden aktarıp senkronize edebiliyorsunuz. Yine bu 3 bileşenin ortak olarak kullandığı süreç ve organizasyon hiyerarşisi de kendi aralarında senkron olabiliyor. Ki bu da hem verinin tek yerden takibine hem de üçlü hatın senkron kalmasına müthiş yardımcı oluyor.
2. Hazırlık: Bu aşamada denetim ekibinden denetim evrenini, risk, kontrol, süreç ve denetim ilişkilerini kurmalarını, denetim kaynaklarının takvimlerini, maliyetlerini ve kualifikasyonlarını oluşturmalarını bekliyoruz. Ayrıca hangi sürecin, organizasyonun ya da yatırımın nasıl denetleneceği ile ilgili iş paketlerinin hazırlanmasını da bu aşamada sayabiliriz. Zira denetimin standardizasyonu şirketin etkinliğine müthiş katkı sağlayabilecek bir adım.
3. Yürütme: Artık iç denetimin diğer paydaşlarla çok da muhatap olmadan kendi işini yaptığı kısım burası. Denetim ekiplerinin daha önce belirlenen iş paketleri dahilinde bilgi ve belge toplama çalışmaları esnasında zaman girişleri yaptıkları; bulguları ve önerileri belirledikleri denetim raporunun yayınlanmasına kadar tüm süreci yürütme başlığı altında toplayabiliriz.
4. Raporlama: Bence SAP Audit Management’ın sihirli anına geldik. Denetim bulgularının ve önerilerinin belirlenmesinin ardından denetim liderinin ya da denetçilerin içinde bulunduğu bir iş akışı var. Bu süreci SAP Audit Management’ta takip edebiliyorsunuz. Buna ek olarak tüm denetim raporunu isterseniz PDF isterseniz Microsoft Word formatında otomatik olarak almanızı sağlayan bir altyapı da oluşturabiliyorsunuz. Raporun içeriği ve nasıl gözükeceği tamamen sizin kabullerinize kalmış.
5. Takip: Raporlamanın ardından aktif ve pasif takip süreçleri devreye giriyor. Aktif takip sürecinde bulgulara ilişkin önerilerin onaylanması ve bunu takiben uygun zaman kısıtları dahilinde süreç, bölge, risk vb. boyutlarda aksiyon takibinin yapılması var. Pasif takip süreçlerinde ise şu ana kadar anlattığım bütün hikayeye ait metrikleri takip edebilirsiniz. Hatta diğer üçlü hat bileşenleri ile entegre bir rapor oluşturabilirsiniz. Tabi SAP Audit Management’ın ingilizce tabirle built-in raporları var. Ama veri o kadar güzel bir şey ki ben her zaman verinin en iyi platformlarda işlenmesini savunmuşumdur. Dolayısıyla burada SAP Analytics Cloud ya da hali hazırda kullandığınız başka bir majör analitik çözümü varsa raporlamanın burada yapılmasını şiddetle öneririm.
Özetle, denetim dijitalleşmesi dendiğinde her zaman kontrol otomasyonu, RPA, makine öğrenmesi ya da büyük veri gibi konular arasında kayboluyoruz. Bu konular müthiş önemli ve kısmet olursa bu yazımın ikinci kısmında bunlara değineceğim. Ancak az önce saydığım bu konuların ikinci adım olduğunu unutmamak gerekir. Denetimin performansını, yarattığı değeri ve etkisini ölçmeden yapılan çalışmayı daha iyi hale getirmeden onu otomatikleştirmek dijital dönüşümün mantığına ve prensiplerine aykırı olacaktır diye düşünüyorum. Tüm bu kuralların çalışabileceği bir platform yaratmaktan başlamak ayakları daha yere basan bir strateji olacaktır.