Gelişen teknoloji, küresel krizler ve doğal afetler gibi faktörler nedeniyle işletmeler, çeşitli risklerle karşı karşıya kalmaktadır. Olumsuz sonuçları önceden tahmin edip, bu risklere karşı uygun önlemleri almak ve etkin bir şekilde yönetmek, işletmelerin sürdürülebilirliği ve başarısı için son derece kritik bir öneme sahiptir. Bu durum, işletmeleri kurumsal risk kültürü kavramını geliştirmeye zorlamıştır. Böylelikle işletmeler risklerini daha kolay yönetebilmiş hatta öngörülen risklerden fayda sağlayabilir bir konuma gelmişlerdir. Riskleri yönetemeyen işletmeler ise ömürlerini tamamlamak zorunda kalmışlardır. Bu gerçeği görebilen işletmeler, kurumsal risk kültürünü oluşturmakta ve bu süreçte iç denetim birimi ile ortak faaliyet yürütmektedirler. Ancak kurumsal risk yönetimi faaliyetlerinin işletme kültürüne dönüştürülmesi günümüzde oldukça az sayıda işletme tarafından uygulanmakta ve sürecin oluşturulma aşamaları tam olarak bilinmemektedir. Benzer şekilde, iç denetimin kurumsal risk kültürünün oluşturulmasında ne şekilde rol oynayacağı tam olarak belirlenmemiştir. Bu nedenle, bu çalışmada kurumsal risk kültürünün oluşturulmasında iç denetimin rolünü belirlemeyi amaçlamaktadır. Bu amaç doğrultusunda, BIST 100 işletmelerinden 15 İşletmeyle yarı yapılandırılmış görüşme tekniği kullanılarak veriler elde edilmiştir. Yapılan görüşmeler sonucunda, kurumsal risk yönetimi faaliyetlerinin tüm işletmede bir kültüre dönüşüm sürecinde iç denetim biriminin önemli faaliyetleri olduğu tespit edilmiştir. İç denetim birimi, risk yöneticisine risklerin belirlenmesinde yardımcı olmakta, risk değerlendirmesi yapmakta ve özellikle riskin işletme çapında tanıtılması için eğitimler vermektedir. Ayrıca, bu dönüşüm sürecinde risk kararlarının uygulanmasında da iç denetim aktif bir rol üstlenmektedir. Bu bağlamda, kurumsal risk kültürü oluşturulmadan önce, kurumsal risk kültürünün fiilen oluşturulma sürecinde ve kurumsal risk kültürü oluşturulduktan sonra iç denetim birimi risk yöneticisiyle birlikte iş birliği yapmaktadır. Sonuç olarak, kurumsal risk kültürü oluşturmak isteyen işletmeler, bu süreç için ön hazırlık yapmalı ve işletmenin içinde bulunduğu piyasa ve kurumsal yapıyı değerlendirerek riskleri belirlemeli ve tüm çalışanlara iç denetim tarafından eğitim verilmelidir. Eğitimler zaman zaman tekrarlanmalı ve çalışanların risk yönetimi konusundaki bilinci arttırılmalıdır. Risk kültürünün fiilen oluşturulma sürecinde iç denetim, sistemin hatalarını en aza indirmek için sürekli danışmanlık faaliyeti yürütmelidir. Dönüşüm süreci tamamlandıktan sonra ise sürecin düzgün ilerlediğine ve gerekli düzeltmelerin yapıldığına dair güvence hizmeti vermelidir.
Businesses are faced with various risks due to developing technology, global crises and natural disasters. Anticipating potential risks, taking preventive measures and effectively managing risks have become crucial for the survival of businesses. This reality has forced businesses to develop the concept of corporate risk culture, to manage risks more effectively and even to take advantage of foreseen risks. By contrast, businesses that failed to manage risks often faced closure. Realizing this, some businesses adopted the idea of creating a corporate risk culture and engaged in joint activities with the internal audit unit in this process. However, the transformation of enterprise risk management activities into a corporate culture is relatively rare, and the exact steps for implementing this process remain unclear. Similarly, the role of internal audit in establishing the corporate risk culture has not been fully determined. Therefore, this study aims to determine the role of internal audit in creating an enterprise risk culture. In order to achieve this aim, data were collected from 15 companies traded in BIST 100 through semi-structured interviews. Interviews revealed that the internal audit function plays an important role in the cultural transformation of risk management activities across the organization. The internal audit unit assists risk managers in identifying risks, conducts risk assessments and provides training to increase risk awareness throughout the organization. In this direction, the internal audit unit carries out preparatory work together with risk managers before establishing a corporate risk culture, identifies risks by evaluating market conditions and corporate structure, and provides risk management training to all employees. Periodic trainings should be organized to increase the risk management awareness of the employees. During the actual establishment of the risk culture, internal audit should provide ongoing consulting activities to minimize system errors. Once the transformation process is complete, internal audit should provide assurance services to keep the process running smoothly and implement any necessary fixes.