İç Denetim Faaliyetlerinde Veri Odaklı Dinamik Analizin Gücü
Cerebra20. yüzyılın özellikle son on yılında, veri miktarındaki hızlı artış, veri depolama maliyetlerinin azalması, kullanılan veri analiz araçlarının ve tekniklerinin iyileştirilmesi, kurumların işleyişlerinde önemli değişikliklere neden oldu.
Bu değişiklikler karşısında etkili bir yönetim ve başarılı bir uyum süreci ancak mevcut BT yapısının teknik kapasitesinin geliştirilmesiyle mümkün olabilirdi. Bu noktada, senkronize veri raporlama ve otomasyon aracı olan “Kurumsal Kaynak Planlama (KKP) Sistemleri”ne geçiş kaçınılmaz bir zorunluluk haline geldi.
KKP sistemlerinin kurumlarda yaygınlaşarak; veri toplama, saklama ve kullanma gibi veri yönetimi yaklaşımlarının karmaşık ve çok boyutlu veri tabloları üzerinden yürütülmeye başlanması, iç denetimin güvence faaliyetlerinde de etkisini göstererek köklü değişimlerin yaşanmasına sebep oldu. İşte bu noktada, büyük hacimli verileri barındıran karmaşık kontrol sistemlerinin, veri odaklı ve analitik yaklaşımlardan uzak geleneksel denetim yöntemleriyle güvence altına alınabilmesinin mümkün olmadığı anlaşıldı. Yönetim zafiyetlerinin ve suistimallerin zamanında ve bütün işlem populasyonunu kapsayacak şekilde uygulanabilmesinin ancak “sürekli denetim” ve “sürekli izleme” gibi veri odaklı ve otomatize edilebilen yaklaşımlar ile mümkün olabileceği benimsendi.
Veriye Dayalı Dinamik Ortamlarda Geleneksel İç Denetim Yaklaşımı Neden Yetersiz Kalmaktadır?
Geleneksel iç denetim yaklaşımında veri toplama, işleme ve raporlama süreçlerinin manuel olması, denetim projelerinde yüksek maliyetlere ve zaman aşımlarına sebep olmaktadır. Öte yandan süreçler temsili bir örnekleme metoduna göre denetlenebildiğinden, denetim bulgularının tamamının tespiti garanti edilememektedir.
Bir an için temsili bir örnekleme metoduyla denetim bulgularının tamamının tespit edilebileceğini düşünsek bile, geleneksel iç denetim faaliyetleri, belirli dönemlerde satış, satın alma vb. gibi belirli iş süreçlerine ilişkin yapılabilmektedir. Bu durum, kritik öneme sahip bir denetim riskinin gerçekleşmesiyle tespit edilmesi arasındaki sürenin uzamasına ve buna bağlı olarak olası hasar veya kaybın artmasına sebep olmaktadır.
Veriye dayalı dinamik denetim yaklaşımında, veri toplama, işleme ve raporlama süreçleri etkin bir zaman yönetimi ve iyileştirilmiş maliyetlerle veri popülasyonunun tamamı için yapılabilmektedir.
İç Denetimde Veri Odaklı Dinamik Analizin Gücü
Veriye dayalı dinamik analiz teknikleri, iç denetim faaliyetlerinde sürekli denetim ve izleme tekniklerinin yürütülebilmesine olanak sağlamaktadır.
Denetim senaryolarına uygun olarak dinamik veri setine uygulanmak üzere oluşturulacak denetim sorguları, “sürekli denetim” ve “sürekli izleme” ile manuel yürütülen denetim faaliyetlerinin otomatik hale getirilmesine olanak sağlar. Analitik araçlar, içgörüleri ve korelasyonları ortaya çıkarmak amacıyla verileri otomatik olarak dahili ve harici kaynaklardan alabilir ve sınırlı kaynaklara sahip denetim ekibine, insan kararının gerekli olduğu istisna raporlarına / kırmızı bayraklara odaklanmasına imkân sağlar. Bu yaklaşım, minimum maliyetlerle gerçek zamanlı olarak kontrol eksikliklerini tespit etmek için belirli bir sıklıkta sürekli olarak tekrarlanabilir.
“Sürekli izleme” yönteminde, yönetimin veya diğer rapor kullanıcılarının sorgu sonuçlarını görmek için bir rapor talebinde bulunmasına gerek yoktur. İstenen bilgi ve analiz sonuçları, tasarlanan dinamik denetim sorgularına göre, gösterge panelleri (dashboards) formatında gerçek zamanlı olarak raporlanmaktadır.
Veriye Dayalı İç Denetim İçin Dikkate Alınması Gereken Adımlar
Değişime karşı direnç evrensel bir olgudur. Veriye dayalı yaklaşımın birçok potansiyel faydasına rağmen, son yıllarda yapılan araştırmalar şirketlerin yaklaşık yüzde 75’inin henüz veriye dayalı sistematik bir analitik yaklaşıma sahip olmadığını göstermektedir. Şirketlerin sadece yüzde 5’inin kontrol izleme araçlarını sürekli olarak kullandığı ve bu doğrultuda analitik süreç ve prosedürlerini sürekli olarak geliştirdikleri belirlenmiştir.
Büyük veri analitiğinin uygulanmasındaki en büyük engel büyük veri analitiği için yetersiz personel veya kaynak eksikliğidir (Kaynak: Veri Ambarı Enstitüsü (TDWI)). Hiç şüphesiz, değişim bir gecede olmayacaktır. Değişim süreci yoğun ve sürekli gelişim felsefesi ile devam ederek ilerlemelidir İç denetçilerin öncelikle analitik yazılımları kullanma ve analiz yapma konusunda yetkin olmaları gerekir ve ancak bundan sonra iç denetim projelerini gerçekleştirmek için veri analitiği yöntemlerini uygulayabilirler.
İç denetimde veri analitiğinin uygulanabilmesi, doğru tanımlanmış hedefler ve bu hedeflerle uyumlu şirket stratejisi ve yönetişimi ile başlar. Değişim yönetimi, onay, veri erişimi, veri güvenliği, araç seçimi, maliyet ve bütçe ile birlikte veri ile ilgili bütün diğer hususların (kullanılabilirlik, erişilebilirlik, kalite, biçim, depolama, vb.) strateji ve yönetişim kapsamında değerlendirilmesi gerekmektedir.
Veri analitiğinin iç denetime entegre edilmesi, şirket kültürü ve iç denetim yaklaşımında kapsamlı ve keskin bir değişiklik gerektirir. Bu değişimi doğru yönetebilen şirketler, sürekli izleme ile mevcut risklerini etkin ve proaktif bir şekilde izleyebilecek, iç kontrol ve güvence alanındaki yetkinliklerini en üst seviyeye çıkarabileceklerdir.
Bu makalenin başlığı, bıçak bileme eyleminden gelen bir metafora gönderme yapıyor. Bir bıçak köreldiğinde daha iyi performans göstermesi için keskinleştirirsiniz. Bu metafordan hareketle, geleneksel iç denetim fonksiyonunuzu yeniden yapılandırabilir ve veri analitiğini uygulayarak risklere daha iyi yanıt verebilirsiniz.
Peki ya siz şirketinizde etkili bir güvence ortamı için değişime ayak uydurma zamanının geldiğini düşünmüyor musunuz?