TOP ® TONE at the Sayı 69 | Ağustos/Eylül 2014 Üst yönetim, yönetim kurulları ve denetim komitelerine yönetişim ile ilgili konularda özet bilgiler Uygunluk Aşırı Yüklemesİ: Canavarı Terbİye Etmenİn 5 Adımı Eğer denetim komiteniz ve yönetim kurulu toplantılarınız uygunlukla ilgili konulara boğulmuşsa, muhtemeldir ki yalnız değilsiniz. Mevcut mevzuat ortamı nedeniyle, özellikle belirli sektörlerde etkili uygunluk gözetimi için ihtiyaç duyulan zaman artmaktadır. Çalışmayı ölçen bir ölçü sistemi olmaksızın, uygunlukla ilgili konular zaten meşgul olan yönetim kurulu ve denetim komitesinin gündemini boğabilir. Uyumla ilgili konular bir zamanlar yönetim kurulu gündeminin planlayıcıları için dönemsel bir konu iken, günümüzdeki toplantılar artık aşağıdaki gibi uygunlukla ilgili çeşitli faaliyetleri içermektedir: ■■ Kapsamlı kurumsal uygunluk programını daha proaktif şekilde gözetim altında bulundurma ■■ Uygun yasal, düzenleyici ve etik gerekliliklere riayeti başarabilmek amacıyla tasarlanan uygunlukla ilgili anahtar politikaları ve uygulamaları gözden geçirme ■■ Etik veya davranış kurallarını yürürlüğe koyma, güçlendirme ve her türlü ilgili ihbar hattının etkililiğini ölçüp biçme ■■ Yönetimin cevapları ve eylem planlarını da içerecek şekilde tamamlanan uygunluk faaliyetlerin ve denetimlerin bulgu ve önerilerini (iç denetim sonuçlarının ötesinde) gözden geçirme ve güçlendirme ■■ Üst düzey uyum yetkilisi (chief compliance officer) (veya eşdeğeri) ile düzenli (veya daha sıklıkla), mümkünse yılda en az bir defa bir icrai oturumda toplanma ■■ Mümkünse yıllık uyum planını gözden geçirme ve onaylama ve gidişatın bu plana uygunluğunun izlenmesi ■■ Yeterli kaynakların ve uygun yetkinliklerin uygunluğa riayet edildiğinin tayin edilmesi ■■ Şikayetleri inceleme protokolleri, yardım hattı istatistikleri ve iç raporlama mekanizmalarını da içerecek şekilde öndegelen uygulamaları birleştirmek için yönetimle birlikte çalışma Yönetim kurulu üyeleri risklerin büyüdüğünün iyice farkındadırlar. BDO Amerika LLP tarafından son dönemde yapılan bir ankete göre kurumlardaki direktörlerin üçte ikisinden fazlası bugün işyerlerinin karşılaştığı en büyük riskin uygunluk aşırı yüklemesi olduğu ortaya çıkmıştır. Ancak hemen hemen tüm dünyada denetim komiteleri ve yönetim kurulları riskleri anlıyorken iş takvimleri birbiriyle çelişen önceliklerle tıklım tıklım dolu durumdadır. Ankete katılan direktörlerin hemen hemen yarısı halefiyet planlaması gibi konulara yönetim kurulunun 1 TONE AT THE TOP | Ağustos/Eylül 2014 zaman harcamasını tercih etmekte (% 47) ve sektördeki rakipleri hakkında çalışmayı tercih etmektedir (% 45). Bazıları risk yönetimine (% 38) ve yönetimin performansını değerlendirmeye (% 32) daha fazla zaman harcamayı arzu etmektedir. Ancak sadece altıda biri veya yüzde 16’sı uygunluğa daha fazla zaman harcamak istemektedir. Şansımız var ki, uyum sorumluluğunu kontrol altında tutmaya yardımcı olacak bir kaç etkili yol vardır. Eğer denetim komiteniz ve yönetim kurulunuz artakalan zamanları içerisinde artan taleplerle karşılaşıyorlarsa, aşağıdaki ipuçları yardımcı olabilir: 1 Uygunluğu görüş alanı içinde tutun CEO Learning Network’ün kurucusu ve başkanı olan Martin Coyne, diğer ana risklerle birlikte- bir ana gündemdeki iş yoğunluğunun yönetilmesinin anahtarı, bunun önemini kendisine uygun çerçeve içinde tutmaktır demektedir. Bir dizi kurulda ve denetim komitesinde hizmet vermiş olan Eastman Kodak’ın eski bir üst düzey çalışanı olan Coyne, iç denetimden elde ettiği bilgileri esas riskleri zihnin üst tarafında tutmak için hazır referans olarak kullandığını söylüyor. “Dört ila altı arasındaki büyük risklerin başlıklarını alıp -başkanı veya üyesi olayım- her denetim komitesi toplantısında önümde hazır bulunduruyorum.” demektedir Bay Coyne. “Sürekli bunlar hakkında düşündüğümüzden, düşük seviyedeki değil esas risklere odaklandığımızdan en azından kendi aklımda emin olmalıyım.” Coyne, bir şablonun denetim komitesine aciliyetin zorbalığının kurbanı olmaktan kaçınmasına yardım edebileceğini belirtmektedir. Bir şablon, diğer önceliklerin dikkate alınması gereğini sürekli olarak hatırlatır. “Aksi takdirde, hızlı bir şekilde raydan çıkabilirsiniz.“ demektedir. “Birdenbire farkedersiniz ki, iki saatlik bir toplantının birbuçuk saati geçmiştir ve siz hala birinci konudasınızdır.” Coyne, denetim komitesi toplantıları için ihtiyaç duyulan bilgilerin üyelere oldukça önceden dağıtılmasını da tavsiye etmektedir. 2 TONE AT THE TOP | Ağustos/Eylül 2014 2 Diğer komiteleri listeye alın KPMG’nin dünya çapındaki denetim komitesi anketine cevap verenlerin yüzde kırk üçü kendi “uzmanlıklarının ve yüklü gündemlerinin” uygunluk gibi ana bir riski gözetmelerini artan derecede zor hale getirdiğini ifade etmişlerdir. Bazı yönetim kurulları bu zorluğa bazı riskler için gözetim sorumluluklarını diğer komitelere devrederek karşılık vermektedirler. Gerçekten de, ankete cevap verenlerin dörtte biri, son dönemde risk gözetim sorunluluklarını devrettiklerini veya dengelediklerini ifade etmişler ve çoğu da uygunluk gibi riske veya spesifik bir risk alanına odaklanması için yeni komiteler oluşturmuşlardır. Fakat denetim komitelerinin her yeni komiteyle bağlantılarını sürdürmeleri ve bunların faaliyetlerini gözetim altında tutmaları mecburidir. 3 Bir Uygunluk Yöneticisi atayın St. John’s Üniversitesi’nden ERM Mükemmellik Merkezi direktörü Ph.D. Paul Walker’e göre kurumlara bir uygunluk yöneticisi atamak denetim komitesi seviyesinde uygunluk aşırı yüklemesin önlemek ve iç denetim kaynaklarının stratejik risklerin her yönünde dengeli dağılmasını sağlamak için mükemmel bir yoldur. Uygun konumlandırılan ve güçlendirilen bir uygunluk yöneticisi kurumların en önemli uyum risklerinin hak ettiği dikkati çekmesine yardımcı olabilir. Aynı önemdeki bir başka konu da yönetim kuruluna veya diğer uygun bir kurula erişimi olan bir uygunluk yöneticisinin uygunluk raporlamasını ve artan protokolleri anlamlı bir biçimde denetleyebileceğidir. Fazla sayıda mevzuata tabi endüstrilerdeki büyük şirketler için tam zamanlı bir uygunluk yöneticisi bir gerekliliktir, ancak daha küçük ve daha az mevzuata tabi olan şirketlerin uygunluğu etkili bir şekilde yürütebilmeleri için sorumluluklarını ve kaynaklarını tahsis etmeleri gerekmektedir. Bazı kurumlar iç denetim ve uygunluk fonksiyonlarını başarılı bir şekilde biraraya getirirken, diğerleri risk ve uygunluk yöneticisi kadroları oluşturmakta veya uygunluk hem yeterlilik hem de tecrübe açısından ölçme ihtiyacı var mı? sorumluluklarını hukuk veya araştırma fonksiyonlarıyla biraraya getirmektedir. 4 Birleştirilmiş, koordine edilmiş bir yaklaşım oluşturduğunuzdan emin olun Kurumsal Uygunluk Anlayışları için son yazdığı bir makalede Protiviti’de icrai başkan yardımcısı ve iç denetim küresel lideri olan Brian Christensen, “yönetimin sıklıkla esas faaliyet süreçlerine nasıl yaklaşıyorsa uygunluğu yönetmeye de aynı şekilde yaklaşması ve kalite odaklı bir taahhütte bulunması” taraftarı olduğunu savunmaktadır. Christensen etkili risk yönetimi ve kontrol için faaliyet yönetimi, risk ve uyum ile iç denetimin net bir şekilde tanımlanmış rollerinin olduğu Üçlü Savunma Hattı modelini desteklemektedir. Üçlü Savunma Hattı modelinde olduğu gibi birleştirilmiş, koordineli bir yaklaşım kullanarak, kurumlar kişisel sorumlulukların net bir şekilde tanımlandığından ve uygunluk kapsamıyla gereksiz hizmet tekrarı arasında bir boşluk bulunmadığından emin olmalarına yardım edebilirler. 5 Doğru soruları sorun Eğer doğru soruları sorarak başlamazsanız doğru konularda değerli komite zamanına odaklanmak imkansızlaşır. Kurumunuzun büyüklüğüne, bulunduğu endüstriye ve diğer faktörlere göre “doğru” sorular çeşitlilik gösterecektir, ancak aşağıdaki soruları sormayı düşünebilirsiniz: ■■ ■■ ■■ ■■ Uygunluk riskleri doğru bir şekilde önceliklendirildi mi ve anahtar risklere odaklanıyor muyuz? Uygunlukla ilgili olması nedeniyle ve en zayıf bir anahtar nokta olması nedeniyle “itibar riskini” (bir şeylerin yanlış gitmesi halinde şirketin markasına yönelik risk) değerlendirmeye alıyor muyuz? Yönetim kurulu komitelerinde nelerin tamamen tartışılması gerektiğine ve nelerin en iyi şekilde ele alınabileceğine karar verme amacıyla yönetim komitelerinin yapısından etkili şekilde yararlanıyor muyuz? Ve son dönemde komitelerin yapılarına ve sorumluluklarına tekrar baktık mı? Kurumun uygunluk konularına vakfettiği kaynakları ■■ Gereksiz uygunluk çalışmaları var mı ve eğer varsa zaman ve para tasarrufu için daha verimli hale getirilebilirler mi? ■■ İkinci savunma hattı fonksiyonlarının (örneğin uygunluk) ve üçüncü savunma hattı fonksiyonlarının (iç denetim) ne kadar iyi işbirliği yaptıklarını ölçtük mü? Uygunluk zorlukları büyüyor, uygunluk faaliyetlerinin verimli ve etkili gözetimini gözardı edemeyecek kadar çok önemli hale getiriyor. Eğer kurumunuzun uygunluk ve diğer stratejik riskleri etkili bir şekilde dengelediğinden emin değilseniz, harekete geçmenin zamanı gelmiştir. Risk ve Uygunluk Kapsamının Dengelenmesi Üçlü Savunma Hattı modeli üst yönetimin ve yönetim kurulunun riski ortaya çıkarmada ve işaret etmede itimat edebileceği üç grubu tasvir etmektedir: ■■ Faaliyetlerin yönetimi ■■ Risk ve uygunluk fonksiyonları ■■ İç denetim Üçlü Savunma Hattı hakkında daha fazla öğrenmek için Tone at the Top’un Şubat 2013 sayısını okuyunuz. Hızlı Anket Soruları 1. Kurumunuzun uygunluk talepleriyle diğer stratejik riskleri etkili bir şekilde dengelediğinden ne kadar eminsiniz? 2. Gelecek 3 yılda, iç denetimin uyum taleplerine cevap vermek için ihtiyaç duyacağı kaynakların artacağını mı, azalacağını mı yoksa aynı seviyede kalacağını mı bekliyorsunuz? Cevaplamak için aşağıdaki sayfayı ziyaret ediniz ve diğerlerinin cevaplarını görünüz. www.theiia.org/goto/quickpoll 3 TONE AT THE TOP | Ağustos/Eylül 2014 IIA Hakkında Okuyucu Görüşleri Institute of Internal Auditors (Uluslararası İç Denetçiler Enstitüsü) 190 ülkede 180.000 üyesi bulunan küresel bir mesleki birliktir. IIA, iç denetim mesleğinin savunucusu, uluslar arası standartların düzenleyicisi, baş araştırmacı ve eğiticisidir. www.globaliia.org [email protected] adresine görüş ve yorumlarınızı gönderiniz. Ücretsiz Abonelik Ücretsiz abonelik için; www.globaliia.org/Tone-at-the-Top sitesini ziyaret ediniz ya da +1-407-937-1111 numarasını arayınız. İçerik Danışma Kurulu Üst yönetim ve yönetim kurullarındaki deneyimleriyle birlikte, aşağıda belirtiler saygıdeğer uzmanlar, bu yayının içeriğine doğrudan katkı sağlamaktadırlar. Martin M. Coyne IINancy A. Eckl Michele J. Hooper Kenton J. Sicchitano TOP ® TONE at the 247 Maitland Ave. Altamonte Springs, FL 32701-4201 USA Hızlı Anket Sonuçları: Kurumunuz etik kararlarının nasıl verilmesi gerektiği hususunda eğitim veriyor mu? HAYIR EVET % % 57 38 BİLMİYORUM % 5 *676 cevap verene göredir. Kaynak: İç Denetçiler Enstitüsü Tone at the Top Haziran 2014 anketi Uluslararası İç Denetçiler Enstitüsünün (Institute of Internal Auditors Inc., ‘’ IIA ‘’ ) Telif Hakkı © 2013 kesinlikle saklıdır. IIA isminin veya logosunun çoğaltılmasında ABD federal ticari marka tescil sembolü olan ® kullanılacaktır. Bu materyalin hiçbir kısmı IIA tarafından öncesinde yazılı izin verilmeksizin çoğaltılamaz. Değiştirildiği onaylanmadıkça tüm maddi yönlerden orijinali ile aynı olan bu çevirinin yayınlanması için telif hakkı sahibi olan Uluslararası İç Denetçiler Enstitüsü ( Institute of Internal Auditors Inc. , ‘’ IIA ‘’ ) 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, ABD isimli kurumdan izin alınmıştır. Bu belgenin hiçbir kısmı IIA tarafından öncesinde yazılı izin verilmeksizin çoğaltılamaz, bir geri alma sisteminde depolanamaz, veya hiçbir formda veya elektronik, mekanik, fotokopi, kaydetme veya başka bir şekilde hiçbir suretle aktarılamaz. İşbu belge Türkiye İç Denetim Enstitüsü tarafından 25/09/2014 tarihinde çevrilmiştir. 09/140490 TONE AT THE TOP | Ağustos/Eylül 2014