ç - Türkiye İç Denetim Enstitüsü
Transkript
ç - Türkiye İç Denetim Enstitüsü
3 Z aman geri al›nmaz bir flekilde uçup gidiyor, bir y›l› daha geride b›rak›rken yeni bir y›l› karfl›l›yoruz. Asl›nda yaflam›m›zdan bir y›l› daha u¤urluyoruz. Ünlü bir düflünürün "Silgi kullanmadan resim çizme sanat›" olarak tan›mlad›¤› yaflam, soluk ald›¤›m›z her saniyesini özenle tüketmemiz gereken bir de¤er olarak bizi içine al›yor. fiair Goethe’nin "Herkes her gün en az›ndan küçük bir flark› duymal›, iyi bir fliir okumal›, hofl bir resim görmeli ve e¤er mümkünse birkaç mant›kl› kelime söyleyebilmeli" sözleri yaflad›¤›m›z zaman›n mutlaka bir anlam› olmas›n› ifade ediyor. Bu duygu ve düflüncelerle siz de¤erli okurlar›m›z›n yeni y›l›n› kutluyor, sevgi ve güzelliklerin, baflar› ve mutlulu¤un yaflam›n›zdan hiç eksilmemesini diliyoruz. Birlikte oldu¤umuz 10. say›m›zla, mesle¤imizle ilgili araflt›rma ve makalelerle farkl› bak›fl aç›lar›n› ilgi ve dikkatinize sunuyoruz. Özen, özveri ve sab›r isteyen bir haz›rl›k süreci sonras› gerçeklefltirilen "Avrupa ‹ç Denetim Konferans›"na dergimizde genifl yer ay›rd›k. 10 y›l önce, ülkemizde uluslararas› standartlarda mesleki geliflim ve paylafl›m platformu oluflturmak, mesle¤imizle ilgili de¤iflimi ve gelece¤i yönetmek için ulusal ve uluslararas› düzeyde mesleki örgütlenme konusunda bafllat›lan çal›flmalar›n sonucu, "Türkiye ‹ç Denetim Enstitüsü olarak "Avrupa ‹ç Denetim Konferans›"na ev sahipli¤i yapt›k. Konferans; organizasyon, kat›l›m ve içerik kalitesiyle be¤eni kazand›. Dünden bugüne, T‹DE ile birlikte ülkemizde gerçeklefltirilen mesleki örgütlenme, meslek standartlar›, sertifikasyon, mesleki düzenlemeler konusunda uluslararas› standartlarda örnek al›nacak uygulamalara, dünyan›n dört k›tas›ndan meslektafl›m›z›n bulufltu¤u, mesle¤in gelece¤inin tasarland›¤› baflar›l› konferans organizasyonu da eklendi. ABD, Avrupa, Afrika ve Asya’dan kat›lan 30 ülkenin enstitü baflkanlar› ve temsilcileriyle çok de¤erli konferans konuflmac›lar›m›zla iç denetim alan›nda yeni yaklafl›m, kuram ve uygulamalar hakk›nda bilgi, görüfl ve deneyimlerimizi paylaflt›k. Mesle¤in profesyonelleri olarak aram›zda güçlü iletiflim köprüleri oluflturma, mesle¤imizin ça¤dafl dünya vizyonunu birlikte gelifltirme olana¤›n› bulduk. 21. yüzy›lda sürdürebilir kurumsall›k için Kurumsal Yönetim ve iflleyifl sürecini kolaylaflt›rmak üzere denetim, tüm olas› risk kaynaklar›n› araflt›ran bir ifllev üstlenmifltir. Sürdürebilir Kurumsall›k için efl-merkezli üç kavram: "Risk, Denetim, Kurumsal Yönetim" ‹stanbul’da yap›lan Avrupa ‹ç Denetim Konferans›n›n ana temas›n› oluflturdu. Dünyam›zda ve ülkemizde yaflanan kurumsal skandallardan ç›kar›lan derslere bak›ld›¤›nda; denetimin kurumlar› koruyabilmesi için, risk odakl›, bilgi teknolojisi destekli ve proaktif çal›flan, yetkinlikleri sertikasyonla, ba¤›ms›zl›¤› ve performans etkinli¤i kalite güvence programlar›yla akredite edilen, denetim komitesiyle etkin iletiflim içinde bulunan, meslek eti¤i ve uluslararas› meslek standartlar›na uygun yönetilen bir kurum içi fonksiyon olmas› öngörülmektedir. "Yans›ma" sayfalar›nda yer alan konferans bildiri özetlerinde, sözünü etti¤imiz konularda bilgi, deneyim ve en iyi uygulama örneklerini okuyacaks›n›z. Mesle¤in uluslararas› isimlerinin "Aysberg"de "‹ç Denetimin Gelece¤ini fiekillendiren F›rsatlar›" de¤erlendiren görüfllerini ilgiyle izleyece¤inizi düflünüyoruz. Dergimizin "Yeflil Kalem" sayfalar›nda yönetim kurulu üyeleri ve yöneticiler için rehber niteli¤inde say›labilecek bir araflt›rman›n sonuçlar›n› bulacaks›n›z. Siber suç ve kriz yönetimi üzerine vak’a çal›flmas› ile risk yönetimi üzerine makalemiz "Yeflil Kalem" sayfalar›nda yer al›yor. Proje yönetimi ve veri güvenli¤inin kontrolüne iliflkin deneyimlerin paylafl›ld›¤› makaleler "Parmak ‹zi"nde sunuluyor. ‹ç Denetim departmanlar›n›n etkin yönetimiyle ilgili makaleyi "Perçin", mentorluk üzerine, insan kaynaklar› yönetimi ve de¤iflime iliflkin makaleleri ise "Mühür", "Ayraç" ve "Çizgi Ötesi" sayfalar›nda okuyabilirsiniz. Sözü daha fazla uzatmadan siz de¤erli okurlar›m›z› dergimizle baflbafla b›rak›yor, keyifli okumalar diliyoruz. Bir sonraki say›m›zda tekrar buluflmak üzere... Sevgi ve sayg›lar›m›zla, Yay›n Kurulu [email protected] ‹Ç DENET‹M / K›fl 2004 Merhaba 4 Türkiye ‹ç Denetim Enstitüsü Derne¤i ‹çindekiler Aysberg . . . . . . . . . . . . . . . . . . . . . . .6 ‹ç Denetimin Gelece¤ini fiekillendiren F›rsatlar Yeflil Kalem . . . . . . . . . . . . . . . . . . .12 Yönetim Kurullar› ve Yöneticilerin Bilmedikleri... Albert J. Marcella Siber Suç: fiirketiniz Potansiyel Hedef mi? Haz›rl›kl› m›s›n›z? Gülsen Özten ‹ç Kontrol Sistemi Yönetimi ve Operasyonel Risk Yönetimi ile Entegrasyonu Perçin . . . . . . . . . . . . . . . . . . . . . . .32 Ali R›za Eflkazan ‹ç Denetim Departman Yönetiminde Etkinlik 2 Parmak ‹zi . . . . . . . . . . . . . . . . . . . .34 Serdar Güzel Veri Güvenli¤i ve Kontrolü 2 Tanol Türko¤lu Üvey Evlat: Proje Yönetimi Mühür . . . . . . . . . . . . . . . . . . . . . . .45 Hande Yaflargil ‹yi Bir Mentor Olmak Çizgi Ötesi . . . . . . . . . . . . . . . . . . . .46 Ali Kamil Uzun De¤iflim ve Güvence Ayraç . . . . . . . . . . . . . . . . . . . . . . . .48 Ahmet Ery›lmaz ‹nsan Kayna¤› Yönetiminde Anarfli Trendi Yak›n Plan . . . . . . . . . . . . . . . . . . . .49 Avrupa Birli¤i Denetçiler Mahkemesi Genç Yönetici ve ‹fladamlar› Derne¤i (GY‹AD) ADINA ‹MT‹YAZ SAH‹B‹ Ali Kamil UZUN Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul GENEL YAYIN YÖNETMEN‹ Mehtap NUMANO⁄LU SORUMLU YAZI ‹fiLER‹ MÜDÜRÜ Filiz YÜCESOY Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul YAYIN KURULU Ali Kamil UZUN Cüneyt SEZG‹N Filiz YÜCESOY Günseli ÖZEN OCAKO⁄LU Mehtap NUMANO⁄LU Tanol TÜRKO⁄LU Özlem AYKAÇ YAYIN DANIfiMA KURULU Adnan NAS, Ahmet EROL Ahmet ERYILMAZ, Ayflen TOPAY Beflir ÖZMEN, Bülent TARHAN Bülent fiENVER, Bülent ÜSTÜNEL Cansen BAfiARAN, Prof. Dr.Ersin GÜRED‹N Fatih DURAL, Giovanni GROSSI Hüseyin ÖZER, Jean-Pierre GARITTE Kaya TURHANO⁄LU, Mehmet MAÇ Prof. Dr. Melih ERDO⁄AN Doç. Dr. Metin ERCAN, Mustafa ÖZYÜREK Prof. Dr. Nejat BOZKURT, Neil COWAN Dr. Semra AfiÇIG‹L, Doç. Dr. Suat TEKER Dr. U¤ur TANDO⁄AN, Veysi SEV‹⁄ Zafer KARAKULAK KATKIDA BULUNANLAR N. Burak ÜNLÜ, Mustafa Kamil BULUT Banu KARAÇOBAN, Ramazan IfiIK Ahmet ALBAYRAK, Elif ARKAN, Meriç Gökhan KOCAO⁄LU, Ahmet Tu¤rul ÖZ Tolga TANRIKORUR, Süleyman BAfi Coflkun ÖZKAN ‹LET‹fi‹M ADRES‹ Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul Tel: 0 212 212 55 25 Faks: 0 212 212 55 26 E-posta: [email protected] http://www.tide.org.tr Reklam: Filiz YÜCESOY Abonelik: Sevilay ÇALIfiKAN Y›ll›k Abone Bedeli: 20.000.00 TL’dir. (20 YTL) KDV dahildir. YAPIM Rota Yay›n Yap›m Tan›t›m Ticaret Ltd. fiti. Prof. N. Mazhar Ökten Sk. No: 1 Rota Binas› 34360 fiiflli‹stanbul Tel: 0 212 224 01 44 Faks: 0 212 233 72 43 E-Posta: [email protected] http://www.rotaline.com YAYIN TÜRÜ Yayg›n Yay›n BASKI TAR‹H‹ Aral›k 2004 BASKI TOR Ofset San.ve Tic. Ltd. fiti. ‹mam Çeflme Cad. No: 26/2 Ayaza¤a fiiflli-‹stanbul Tel: (0212) 332 08 38 (Pbx) Faks: (0212) 332 08 39 E-Posta: [email protected] Türkiye ‹ç Denetim Enstitüsü Derne¤i taraf›ndan üç ayda bir yay›mlan›r. Yaz›lar›n fikri sorumlulu¤u yazarlar›na aittir. Yans›ma . . . . . . . . . . . . . . . . . . . . . .52 ‹Ç DENET‹M / K›fl 2004 Avrupa ‹ç Denetim Konferans› Bildiri Özetleri Ümit Türkkan ‹ç Denetimdeki Son Geliflmeler Bayram Akyüz ‹nternetten Pratik Bilgiler (The Institute of Internal Auditors Chairman’s Special Recognition Award) (The Institute of Internal Auditors Publication Contest Newsletter Category) Pano . . . . . . . . . . . . . . . . . . . . . . . .64 Özet/Summary . . . . . . . . . . . . . . . .66 Dikkenar . . . . . . . . . . . . . . . . . . . . .67 (The Institute of Internal Auditors Membership Competition) 6 7 AYSBERG AYSBERG ‹ç Denetimin Gelece¤ini Bu say›m›zdaki Aysbergimizi Avrupa ‹ç Denetim Konferans› kapsam›nda ülkemizi ziyaret eden yabanc› konuklar›m›za ay›rd›k. Konuklar›m›z›n, iç denetim mesle¤inin bugünü ile ilgili önemli de¤erlendirmeleri yan› s›ra, gerek zengin kiflisel mesleki birikimleri, gerekse bugün bulunduklar› konumlar itibariyle üyelerimize iç denetim mesle¤inin gelece¤i konusunda dikkate de¤er bir perspektif çizerek katk›da bulunduklar›na inan›yoruz. Betty McPhilimy ‹Ç DENET‹M / K›fl 2004 IIA-Inc. Uluslararas› ‹ç Denetçiler Enstitüsü Baflkan› Yönetiflime arac› olarak iç denetimin rolünü nas›l de¤erlendirirsiniz? ‹ç denetçiler, bir kurumun yönetim yap›s› ve etik kültürünün iyilefltirilmesinin kuvvetli taraftarlar› olmalar› aç›s›ndan benzersiz bir pozisyondad›rlar. Bir organizasyonun yönetim organlar› ve üst düzey yönetimi genellikle yönetim sürecinin etkinli¤i konusunda sorumlu tutulurlar. Organizasyonun resmi ve gayriresmi iletiflim yöntemleri, de¤erlerin ifade edilmesinin yollar›, amaçlar, beklentiler, ahlak kurallar› ve uyumu sa¤lamaya zorlayan yöntemleri genellikle organizasyon kültürünün özelliklerini ve yönetim süreçlerinin gücünü belirler. ‹ç denetçiler bir yandan Standart’larca gerekli olan ba¤›ms›zl›k ve tarafs›zl›¤› sürdürürken di¤er yandan organizasyonda yüksek seviyede bir güven ve bütünlü¤e sahiptirler. ‹ç denetçiler denetim komitesi için çal›flmakta ve yönetimin ortaklar› olarak flirketin üst kademelerindeki yüksek bir de¤erler bütününü desteklemektedirler. Bu nedenle afla¤›daki konular› de¤erlendirirler; 1) Yasal ve düzenleyici kurallara uyum 2) Genel kabul görmüfl ifl kurallar›na, etik de¤erlere ve toplumun sosyal beklentilerine uyum 3) Hissedarlar›n ç›karlar›n›n korunmas› 4) fiirket sahiplerine, kontrol eden yetkili kurumlara, yönetim kuruluna, düzenleyicilere, di¤er hissedarlara ve genel kamuya do¤ru ve bütünsel bir raporlama yap›lmas› Basel II de çizilen çerçevenin iç denetim ifllevine bafll›ca ne gibi etkileri olaca¤›n› düflünüyorsunuz? Yeni Basel II çerçevesi riske daha duyarl› minimum sermaye gereksinimi için bir çerçeve uyarlamaktad›r. Bankac›l›k sektöründeki iç denetçiler kurum bütününde risk yönetim de¤erleme stratejisi için görüflleriyle yönetime yard›mc› olduklar› gibi yeni gereksinimleri de gündeme tafl›yarak arac› bir rol üstelenebilirler. Basel II’ye az say›da bankan›n uyumu zorunludur. Ancak büyük ve uluslararas› aktif bankalar bu çerçevenin tümünü olmasa da baz› bölümlerini uygulamaya koymay› düflünebilirler. Basel II çerçevesi, riske daha duyarl› sermaye gereksinimi konusunda finansal kurumlara bir tak›m prensipleri ayr›nt›l› olarak sunmaktad›r. Bu çerçeve arac›l›¤›yla finansal kurumlar sermayelerinin yeterlili¤inin de¤erlendirirken, düzenleyici otoriteler ise bu kurumlar›n tafl›d›klar› riskleri destekleyecek uygunlukta sermayeye sahip olup olmad›klar›n› de¤erlendirirler. Üye ülke bankalar›nda 2006 sonunda yeni çerçevenin uygulanmas› beklenmektedir. En ileri yöntemleri uygulayacak bankalar için bu sürenin bir y›l uzat›lmas› kararlaflt›r›lm›flt›r. Böylelikle uzat›m süresi boyunca bankalar ve düzenle- Yar›n›n iç denetimine ve iç denetim mesle¤ine flekil verecek olan önemli ak›m, yeni standart ve beklentileri yorumlar m›s›n›z? Tüm dünya genelinde önemli bir potansiyel görmekteyiz. Özellikle mesle¤in henüz geliflmekte oldu¤u ülke ve alanlarda geliflim yönünde katedilecek çok yol vard›r. Mesle¤in çoktand›r muteber bir flekilde de¤erlendirildi¤i yerlerde ise konsolidasyon anlam›nda geliflim potansiyeli mevcuttur. Uluslararas› ‹ç Denetçiler Enstitüsü (the IIA), mesle¤in standartlar›n› oluflturan bir kurum olarak flu anda 150’den fazla ülkede 95.000’den fazla üyeye hizmet vermektedir. Bu kurum, iç denetçilere kitaplar, yay›nlar, e¤itimler, gelifltirmeler ve sertifikasyon programlar› arac›l›¤›yla hedeflerine ulaflmalar› için yard›mc› olmaktad›r. Yak›n zaman için IIA kendisine afla¤›daki hedefleri belirlemifltir; 1. ‹ç denetçiler aras›ndaki profesyonellik seviyesini yükseltmek ve kapasiteyi konsolide etmek • Alanlar için ihtiyaçlar› ve konular› tan›mlamak • ‹ç denetçiler için uygun e¤itim sa¤lamak • En iyi uygulamalar konusunda üyelerin e¤itimi için kütüphane ve kaynak materyal sa¤lamak • Sertifikasyonu özendirmek 2. Meslek ve kurum hakk›ndaki fark›ndal›¤› art›rmak • ‹fl dünyas›na ve kamuya iç denetimin pazarlanmas› (tan›t›lmas›) • ‹htiyaç oldu¤u durumlarda pazarlama materyalleri sa¤lamak 3. Üye kurulufllarla kuvvetli iliflkiler gelifltirmek ve/veya konsolide etmek • Her üye kurum ve ülkedeki liderler için liderlik geliflimini temin etmek • Üye kurumlara idari ve hizmet anlam›nda iyilefltirmeler için sürekli destek sa¤lamak 4. Di¤er global kaynaklar ve özellikle iyi idare edilen üye kurumlar için sürekli ve uzun dönemli destek program› ve birliktelik sa¤lamak Enstitü, iç denetçilere bir çok de¤erli ürün ve hizmetler sunmaktad›r. Böylelikle iç denetçilerin çal›flt›klar› kurumlarda hedeflere ulafl›lmas› yönünde risk yönetimi, kontrol ve yönetimin iyilefltirmesi ve de¤erlendirilmesi için sistematik disiplinli bir yaklafl›m getirerek bu organizasyonlara yard›mc› olmalar› yönünde önemli bir hizmette bulunmaktad›r. Giovanni Grossi IIA- Inc. - Uluslararas› Denetim Standartlar› Komitesi Üyesi Yönetiflime arac› olarak iç denetimin rolünü nas›l de¤erlendirirsiniz? ‹ç denetimi bir araçtan ziyade kurumsal yönetimin bir bilefleni olarak kullanmay› tercih ederim. San›r›m yap›lan sunum konuyu güzel bir flekilde aç›kl›¤a kavuflturdu. Geçmiflte kurumsal yönetimde iç denetimin rolü, yönetim sisteminin esas›n› temsil eden iç kontrol sisteminin mimar› olmak üzere tasarlanm›flt›. fiimdi kontrolün yan›na yeni bir fley ekliyoruz ki bu da firman›n etik sistemidir. Etik sistem 2 farkl› sahnededir. Birincisi önleyici bir tarzda, firman›n ahlaki de¤erlerinin bozulmas›n›n, kontrol d›fl›na ç›kmas›n›n önlenmesi; ikincisi denetim anlam›nda, organizasyonun operasyon sürecinin denetlenmesinden ziyade etik ruhunun denetlenmesi. Bu büyük bir de¤iflimdir. Basel II de çizilen çerçevenin iç denetim ifllevine bafll›ca ne gibi etkileri olaca¤›n› düflünüyorsunuz? Her fleyden önce Basel II özellikle finansal sektör içindir. Ancak Basel Komitesi yetkili bir organ oldu¤undan finans sektörü d›fl›ndaki orga- ‹Ç DENET‹M / K›fl 2004 fiekillendiren F›rsatlar yici otoritelerin eski ve yeni kurallar do¤rultusunda parallel hesaplamalarda bulunmalar› sa¤lanacakt›r. 8 9 AYSBERG nizasyonlar› da etkileyecektir. Bence bu önemli ve ayn› zamanda da s›n›rl› bir durum. S›n›rl› çünkü daha önceki misyonu ile karfl›laflt›r›ld›¤›nda iç denetimden özel bir fley beklenmiyor. S›n›rl› ancak tam tersine önemli Basel II’nin bize getirdikleri. E¤er düzenleyici otorite mesela TCMB iç denetim foknsiyonuna güvenebilirse, bu güven organizasyonun üzerindeki yükün hafifletilmesinde kullan›labilir. Böylelikle iç denetim, d›fl denetim ve 3. seviye olan denetleyici otoriteden gelen denetleyicilerin olmas› yerine sistemi basit hale getirebilirsiniz. Bu noktadan bak›ld›¤›nda oldukça önemli. Yani düzenleyici otoritenin iç denetçinin söylediklerini dikkate almas› için sadece "profesyonel yetkinlik" yeterli de¤ildir. ‹lave olarak kiflili¤e dayanan belli bir seviyede güvene ihtiyac vard›r. Bu ba¤lamda ben Basel II’nin iç denetime katk›s›n› görmekteyim. Yar›n›n iç denetimine ve iç denetim mesle¤ine flekil verecek olan önemli ak›m, yeni standart ve beklentileri yorumlar m›s›n›z? Bana göre iki tane trend var.Birincisi ilk soruda bahsettim konudur. Çünkü bunlar tamamen yeni konulard›r. ‹kinci olarak flimdiye kadar standartlar ka¤›t üzerinde kalan kelimelerdi, onlar yaflam tarz› haline gelmeli. Ancak bu seviyeye ulaflabilmemiz için yapmam›z gereken hala çok fley var. Konferansta "Kaç›n›z Kalite Güvence Gözden Geçirme Program› (QAR) uygulad›?" sorusunu yönelttim. Benim ülkemde bunu yapan 2 firma biliyorum. Sözkonusu olan yeni bir fley icat etme de¤il, standartlar›n günlük yaflam›n bir parças› haline getirilmesine karar verilmesidir. Larry Hubbard Basel II de çizilen çerçevenin iç denetim ifllevine bafll›ca ne gibi etkileri olaca¤›n› düflünüyorsunuz? Bu soruya cevab›m Basel’e özel olmamakla birlikte, iç denetim departman›n›n Basel ve benzeri çerçevelerle ilgili rolü, organizasyonun kontrollerle ilgili bir yap›y› oluflturdu¤undan emin olmak ve organizasyonun çerçeveye ne seviyede uyum sa¤lad›¤› konusunda bilgilendirmektir. Yar›n›n iç denetimine ve iç denetim mesle¤ine flekil verecek olan önemli ak›m, yeni standart ve beklentileri yorumlar m›s›n›z? A.B.D.’de COSO’nun yeni ERM (enterprisewide risk management) çerçevesi ve Sarbanes-Oxley düzenlemesi önemli geliflmelerdir. ‹ç denetçiler olarak gelecekte mutabakatlar ve sistem ak›fllar› gibi "sert" kontroller yerine "yumuflak" kontroller üzerine daha çok odaklanmam›z gerekece¤ini düflünüyorum. Hubbard and Associates Kurucu Orta¤› ‹Ç DENET‹M / K›fl 2004 Arthur Konings Yönetiflime arac› olarak iç denetimin rolünü nas›l de¤erlendirirsiniz? ‹ç denetçiler olarak kurumsal yönetimdeki rolümüzü, herkesin risk ve kontroller konusunda e¤itildi¤inden ve sorumluluklar›n› yerine getirip getirmediklerinin temini aç›s›ndan "kolaylaflt›r›c›" (facilitator), risk ve kontrollerle ilgili tüm organizasyon genelinde afla¤› ve yukar› yönlü iletiflimin mevcudiyetinden emin olmak aç›s›ndan "bilgi sa¤lay›c›" olarak görüyorum. ECIIA Avrupa ‹ç Denetim Enstitüleri Konfederasyonu Genel Sekreteri Yönetiflime arac› olarak iç denetimin rolünü nas›l de¤erlendirirsiniz? ‹ç denetim departman› içinde bulundu¤u organizasyonun kurumsal yönetim ilkelerinin gelifltirilmesine ve bu ilkelerin uygulanmas›na yard›mc› olmal›d›r. ‹ç denetiö departman› bu afla- malarda ‹ç Denetçiler Enstitüsü (IIA) ile ülke ve ifl ortam›n›n resmi talimatlar› ile içinde bulundu¤u organizasyonun çal›flma koflullar›n› gözönünde bulundurmal›d›r. ‹ç denetim departman›, bütünlü¤ün temel prensipleri, iyi vatandafll›k ve iyi muhasebe prensiplerine sayg› gösterildi¤i ve kurumsal yönetim politikalar› içerisine yerlefltirildi¤inden emin olmal›d›r. ‹ç denetim departman› ayr›ca flirket personelinin kurumsal yönetim ilkerlerinin uygulanmas› sürecinde yer ald›¤›n›, tüm personele yeterli bilginin verildi¤ini ve bu bilginin uygun ve fleffaf oldu¤unu gözlemelidir. ‹ç denetim departman›, kurumsal yönetimin tüm yönetim seviyelerine öneminin anlat›labilmesi için flirket içi e¤itimlerde yard›mc› olmal›d›r. fiirketin etik kurallar› ‹nsan Kaynaklar› Departman› ve ‹ç Denetim Departman› birlikteli¤inde haz›rlanmal›d›r. ‹ç denetim departman› bu konudaki uygulamalar› da test ederek do¤rulamal›d›r. Yar›n›n iç denetimine ve iç denetim mesle¤ine flekil verecek olan önemli ak›m, yeni standart ve beklentileri yorumlar m›s›n›z? ‹ç denetim departman› gelecekte daha çok kurallar ve flirketin etik yönleriyle ilgilenmek zorunda kalacakt›r. Bu da iç denetçiler için daha temel ve sürekli bir e¤itimi zorunlu k›lacakt›r. fiirketlerin iç denetim departmanlar› aras›nda yap›lacak tecrübe ve bilgi paylafl›m› kurumsal yönetim konusundaki mevcut bilgi birikiminin optimize edilmesi ve pratik kurumsal yönetim prensiplerinin tan›t›m› konusunda güvence vermesi yönünde yard›mc› olabilir. Michel Herve EU-Avrupa Birli¤i Denetçiler Mahkemesi Genel Sekreteri Yönetiflime arac› olarak iç denetimin rolünü nas›l de¤erlendirirsiniz? 1 Mart 2000 tarihli White Paper (COM (2000) 200)’›n yay›mlanmas›yla 11 Nisan 2000 tarihinde AB kurulufllar›nda bir reform gerçekleflmifl ve finansal yönetim ve konrol ölçütlerinde bir tak›m yeni kriterler benimsenmifltir. Bu reformun temel amaçlar›ndan biri de, eskiden müfettifllik sonra iç denetim fonksiyonu ve finansal kontrolorlük olan, ‹ç Denetim Hizmeti (‹DH)’nin tan›t›lmas›d›r. ‹DH’nin tan›t›lmas›yla tüm AB kurulufllar›nda gerçekleflen bu reform aç›kça kontrol yöntemlerinde bir tak›m de¤iflikliklere gidilmesini gündeme getirmifltir. Finansal Kontrolorlü¤ün geleneksel "Watchdog" ifllevindeki gibi özellikle uygunluk ve kontrol konular›na odaklanma yerine, bugün ‹DH’nden verimlilik ile birlikte katma de¤er yaratan kapsaml› risk de¤erlendirmelerinin yap›lmas› beklenmektedir. Bu ba¤lamda, yönetiflim arac› olarak iç denetimin organizasyona üç önemli katk›s› bulunmaktad›r: a) Risk: Hedeflere ulaflma yolunda Avrupa Denetçiler Mahkemesi’nin karfl›laflt›¤› riskler di¤er organizasyonlar›n maruz kald›¤› riskler ile benzerdir. Yönetiflim ad›na bu risklerin yönetilme biçimi hayati unsur tafl›r. ‹ç denetim, genifl kapsaml› bir risk çerçevesi ve plan ile öncelikli riskleri aç›kça betimler. Böyle bir risk çerçevesi olmadan, denetim program›n›n içeri¤ini ve derinli¤ini tam olarak anlamak Yönetim için güçleflir. ‹ç denetim, iç kontrollerin yeterlili¤ine ve etkinli¤ine iliflkin makul seviyede kabul edilebilirlik durumunu ve geliflme amaçl› uygun önerileri raporlar. ‹ç Denetim, Yönetimlerin sorumlu oldu¤u sistemler için güvence sa¤lamakla beraber Yönetimlerin bu sistemlerini gelifltirmesine de yard›m eder. Bu nedenle ‹ç Denetim risk yönetiminin bir parças›d›r. b) Ba¤›ms›zl›k: ‹ç denetim inceledi¤i faaliyetlerden ba¤›ms›zd›r. ‹ç denetçi, ne bir muhasebeci ne de bir onay merciidir. ‹Ç DENET‹M / K›fl 2004 AYSBERG 10 11 AYSBERG AYSBERG Basel II de çizilen çerçevenin iç denetim ifllevine bafll›ca ne gibi etkileri olaca¤›n› düflünüyorsunuz? Haziran 2004’te Basel Bankac›l›k Gözetim Komitesi, Basel II olarak bilinen " International Convergence of Capital Measurement and Capital Standards, a Revised Framework" vesikas›n› yay›mlam›flt›r. Basel II ile; ihtiyatl› sermaye düzenlemeleri, gözetim ve piyasa disiplininin oluflturulmas›yla birlikte finansal istikrar ve risk yönetiminin daha ileriye götürülmesi amaçlanm›flt›r. Basel II, ‹sviçre bankac›l›k sistemi do¤rultusunda getirilen yeni düzenlemelerin faydalar›n›n dikkate almas› için iç denetim ifllevini teflvik etmektedir. Müteakiben iç denetim, Basel II’yi uygulamayan bankalar›n daha ihtiyatl› sermaye nifl bilgi ile çal›flmal›d›r. Finansal sistemlerin güçlendirilmesine yönelik strateji ile iç denetim, bir tak›m standartlar›n ve en iyi finansal sistem uygulamalar›n›n ortaya ç›kmas›n› sa¤lamal›d›r. ‹ç denetim aç›s›ndan finansal sektör, her elementin di¤er bir elemente ba¤l› oldu¤u bir eko-sistem olarak görünmektedir. Dolay›s›yla, bankac›l›k piyasas›ndaki gidiflat, finansal raporlaman›n yeterlili¤i, likidite, hukuk sistemine olan güven ve yönetiflimin etkinli¤i göz önünde tutulmadan sa¤lam bir bankac›l›k sistemi oluflturmak ve bundan bahsetmek mümkün görünmemektedir. düzenlemelerine ve etkin muhasebe politikalar›na tabi olmalar›n› da temin etme pozisyonunda olacakt›r. ‹ç denetimin, Basel II uygulamas› ve di¤er öncelikli denetim alanlar› aras›nda bir denge oluflturmas› önem tafl›maktad›r. Esas›nda Basel II’nin basitçe amac› yeni bir tak›m sermaye kurallar›na göre uygunluk sa¤lamakla birlikte, sa¤lam bir altyap› oluflturarak risk yönetimi, sermaye yeterlili¤i, piyasa disiplini ve finansal istikrar gibi de¤erlerin de yükseltilmesidir. Basel II uygulamas›yla, iç denetim birimleri artan bir oranda bilgi girdilerinin bütünlü¤ünün ve do¤rulu¤unun temini, kredi departmanlar›n›n performanslar›n›n incelemesi ve banka sermayelerinin de¤erlendirilmesi gibi çeflitli görevleri üstlenecektir. Basel II’ nin iç denetim fonksiyonlar›na afla¤›daki etkileri olacakt›r: - iç denetimin çal›flmalar›na artan bir güven - iç denetim tavsiyelerinin yürürlü¤e konulmas› - iç denetimde geleneksel teftifl yaklafl›m› yerine risk bazl› denetimin kullan›lmas› - iç denetim çal›flmalar›nda artan bir ba¤›ms›zl›k - Basel II’nin üç dayanak noktas›na daha fazla önem verilmesi; özellikle sermaye yeterlili¤i, etkin gözetim ve piyasa disiplini konular›na Basel II’nin tam yürürlü¤e girmesi; risk azalt›c› çeflitli teminat türevlerinin de yolunu açmaktad›r. Daha fazla durumla karfl›lafl›p daha fazla risk azalt›c› tedbirler önerebilmek için, iç denetim mümkün oldu¤unca hep daha kapsaml› ve ge- Yar›n›n iç denetimine ve iç denetim mesle¤ine flekil verecek olan önemli ak›m, yeni standart ve beklentileri yorumlar m›s›n›z? Aral›k 2001 deki Enron Corporation’daki çökme gibi son y›llarda ABD’de meydana gelen flirket iflaslar› dikkat çekmifltir. Bu gidiflattan son y›llarda Avrupa da pay›n› alm›flt›r, ‹talyan g›da grubu Parmalat’›n milyarlarca dolara mal olan skandal› Enron olay› ile karfl›laflt›r›lacak önemdedir. fiirket varl›k ve gelirlerinin çarp›t›lm›fl olarak raporlanmas›; ba¤›ms›zl›k, objektiflik ve mesleki yetkinlik gibi denetim ilkelerinin yeterli olarak uygulanmad›¤› genel flüphesini do¤urmufltur. Dolay›s›yla; yönetiflim ve finansal raporlamada fleffafl›¤a olan talep bu gibi geliflmelerin sonucu olarak ortaya ç›km›flt›r. Örne¤in; 2002 A¤ustos’undan itibaren New York Borsas›, ifllem gören tüm flirketler için iç denetim fonksiyonunu zorunlu tutmufltur. ‹ç denetçiler operasyonel, uygunluk hatta marka yönetimi denetimleri ile zaten yönetimlere katk› sa¤l›yorlar. Ayr›ca iç denetçiler, çal›flanlar›n organizasyona bak›fl aç›s›n›n izlenmesi, misyon ve de¤erlere ulaflma süreci gibi konularda da de¤er katabilirler. ‹ç denetçinin en önemli görevi gelece¤i görmek isteyen Yönetim’e önyarg›s›z, objektif ve ba¤›ms›z bilgi sa¤lamas›d›r. ‹ç denetçiler dinamik bir sürecin ortas›nda risklerin do¤ru olarak anlafl›lmas›n› ve yönetilmesini sa¤lamal›d›rlar. Günümüz ifl dünyas›nda organizasyonlar›n baflar›s›nda iç denetçilerin önemi gittikçe artmaktad›r. ‹ç denetçilerin organizasyonlar› için yapmalar› gerekli görülen veya gelifltirmeleri gerekenler konusunda karfl›m›za üç ak›m ç›kmaktad›r: a) "Watchdog": ‹ç denetim fonksiyonu gözetlemek ve uyarmakt›r. Watchdog, hayati hatalar›n yap›lmas›n› önlemenin yan›nda sistemi güçlendirecek yeniliklerin tatbik edilmesini temin eder. b) Dan›flman: ‹ç denetim fonksiyonu gelifltirmek ve öneride bulunmakt›r. Dan›flman iflin devaml› büyümesini, varl›klar›n ziyan edilmemesini, ve yöneticilerin etkin ve verimli olmalar›n› temin eder. c) Katalist: ‹ç denetim fonksiyonu çal›flanlar› lider otoritenin koymufl oldu¤u stratejilere yöneltmek ve hareketlendirmektir. ‹ç denetim hem de¤iflimi, hem de bu de¤iflimin süreklili¤ini sa¤lar. ‹ç denetim fonksiyonu, organizasyonun içinde bulundu¤u canl›l›k sürecinde her zaman de¤erlerine ve amac›na sad›k kalmas›n› temin eder. ‹ç denetim; sistem sahiplerine kendi sistemlerini oluflturma, test etme ve gözetlemede k›lavuzluk eder. Organizasyonel hedeflere ulaflmada sistemin etkinli¤ini ve verimlili¤ini temin etmek iç denetçilere bu anlamda, iç strateji planlamac›l›¤› görevini de vermifl olmaktad›r. Nihayetinde iç denetim, muhasebe kökeninden ayr›lm›fl ve yönetime de¤er katan bir ifllev haline gelmifltir. ‹ç denetim organizasyonel yarat›c›l›k ve yönetsel s›n›rlara kadar bilgilenmede yol gösterici olacakt›r. ‹ç denetçiler organizasyon de¤erlerini de denetlemek durumunda olacaklard›r. ‹ç denetim, yönetiflim çerçevesinde organizasyona etkin bir flekilde entegrasyon ve iç - d›fl ortamda meydana gelecek de¤ifliklikleri en iyi flekilde karfl›layacak risk bazl› yaklafl›mlar›n da benimsenmesiyle; ba¤›ms›z, güvenilir ve güvence sa¤layan bir kaynak olarak evrimine devam edecektir. Genel De¤erlendirme Görüldü¤ü gibi tüm dünyada iç denetimin rolü ile ilgili fark›ndal›k ve beklentiler h›zla artma e¤ilimde. Bir tarafta kurumsal yönetiflim alan›ndaki geliflmeler, di¤er tarafta da Basel II'nin getirmekte oldu¤u düzenlemeler bu e¤ilimin itici gücü olma özelli¤ine sahip. Tabii iç denetimin kurumsal, hatta bunun da ötesinde, tüm sistem boyutunda katma de¤eriyle ilgili beklentiler artt›kça iç denetçinin özellikleri ve donan›m› ile ilgili beklentiler de art›yor. Önümüzde zorlu ama bir o kadar da yeniliklere ve h›zl› geliflmelere aç›k, heyecan verici bir dönem var. Çeviriler N. Burak Ünlü, Süleyman Bafl ve Coflkun Özkan taraf›ndan gerçeklefltirildi, genel de¤erlendirme Cüneyt Sezgin taraf›ndan yap›ld›. ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 Finansal Düzenlemeler’in 86. Maddesi’nde öngörüldü¤ü üzere; iç denetim içinde bulundu¤u organizasyona, yönetim kalitesi ve kontrol sistemleri üzerine verece¤i ba¤›ms›z görüfller ve operasyonlar›n uygulama flartlar›n›n gelifltirilmesine ve sa¤l›kl› bir finans yönetiminin oluflturulmas›na iliflkin verece¤i önerilerle dan›flmanl›k yapm›fl olacakt›r. c) ‹ç Denetimin Mesleki Uygulamas›: Mesleki Uygulama temel olarak; iç denetimin Sorumluluklar› ifadesi, Etik de¤erleri ve iç denetim Standartlar› alt›nda yer alan prensipler, en iyi uygulamalar ve aç›klamalar üzerine kurulmufltur. Asl›nda iyi bir yönetiflim; Avrupa Denetçiler Mahkemesi Yönetimi, d›fl denetçiler ve iç denetçiler aras›nda etkin bir etkileflimi gerektirmektedir, bu durum hesap verebilirlik için son derece önemlidir. Avrupa Denetçiler Mahkemesi bu üç dayanak noktas› ile iyi yönetiflime katk›da bulunmaktad›r. Ayr›ca iç denetim komitesi iç denetim ifllevine ba¤›ms›zl›k ve profesyonellik etkinli¤i sa¤lamakla birlikte üst yönetime objektif raporlamalar yap›lmas›n› da temin eder. 2004 – 2006 için, Ayrupa Denetçiler Mahkemesinin ‹DH genifl kapsaml› güvenceler sa¤lanmas› amac›yla daha çok risk bazl› denetimler yapmay› görev edinmifltir. Akabinde, Mahkeme’nin ‹DH iç kontrol ve risk de¤erlendirme kültürlerini tan›tmay› düflünmektedir. 12 13 YEfi‹L KALEM YEfi‹L KALEM Yönetim Kurullar› ve Anketin Geçmifli ‹Ç DENET‹M / K›fl 2004 Dünyan›n birçok yerinde yaflanan yak›n tarihli kurumsal krizler, zay›f denetimin yol açabilece¤i felaketlerden, yetersiz yönetiflim yap›lar›n›n beraberinde getirdi¤i risklere kadar birçok farkl› alanda dersler tafl›maktad›rlar. Bu derslerin ortak noktas›, finansal raporlamalar›n bir flirketin sa¤laml›¤›na iliflkin ‘bütün resmi’ yans›tmad›klar›d›r. Hatta, baz› durumlarda, finansal hedefleri tutturmaya yönelik afl›r› vurgu, müdürleri, yöneticileri, yat›r›mc›lar› ve di¤erlerini flirketin altta yatan problemlerine karfl› körlefltirmekte ve bu problemlerin fliddetlenmesine neden olmaktad›r. Geleneksel finansal ölçüler birçok alanda yetersiz kalmaktad›r. fiirketin, en önemli bileflenleri olan müflterileriyle, çal›flanlar›yla ve tedarikçileriyle iliflkilerinin kalitesini ölçmeye yönelik olarak tasarlanmam›fllard›r. Finansal ölçüler, flirketin gelecekteki gelirlerinin ve kârl›l›¤›n›n anahtar kayna¤› olan ürün yarat›m› durumunu çok az ayd›nlatmakta ve yönetim kurulu ile üst yönetimin efektifli¤ine, yani yönetiflim ve yönetim süreçlerine iliflkin çok az ipucu sa¤lamaktad›rlar. Yönetim kurullar›n›n, üst yöneticilerin ve yat›r›mc› toplulu¤unun para ile ölçülebilen de¤erlerin ötesinde finansal olmayan ölçüler fleklinde isimlendirebilece¤imiz hayati iflaretleri anlamalar›na yönelik ihtiyaç zirvededir. Hükümetler ve düzenleyiciler devlet flirketlerinde aç›kl›¤› ve gözetimi art›rmak için kurallar› s›k›laflt›rarak bu ihtiyaca k›smen de olsa cevap vermifllerdir. Amerika Birleflik Devletleri’nde Yönetim kurullar›n›n, üst yöneticilerin ve yat›r›mc›lar›n parayla ölçülebilen de¤erlerin ötesinde finansal olmayan ölçüleri de anlamalar›na yönelik ihtiyaç çok artm›flt›r. flirketler Sarbanes Oxley Kanunu’na (2002) uymak zorundad›rlar. Avrupa, Kanada ve Asya K›tas›’n›n güneydo¤usundaki adalarda flirket davran›fllar›n› belirleyen kanunlar yürürlü¤e girmifl ya da girmek üzeredirler. Fakat, bu s›k›laflt›r›lm›fl kurallar, öncelikli olarak, görevi kötüye kullanmaya iliflkin doland›r›c›l›k veya hesaplarda sahtecilik gibi uç noktadaki problemleri hedef almaktad›r. Daha genel kapsaml› soru, yani, ‘Yönetim kurulu üyeleri, k›demli müdürler ve yat›r›mc›lar uzun süreli kurum sa¤l›¤›n›n göstergelerini izliyorlar m›?‘ sorusu ise büyük ölçüde cevaps›z kalmaktad›r. Bu konuyu ayd›nlatmak için, Deloitte, 2004 y›l›nda yöneticileri ve yönetim kurullar›n› incelemek üzere Economist Intelligence Unit ile çal›flm›flt›r: Finansal ve finansal olmayan hayati iflaretleri – yani baflar›y› beraberinde getiren faktörleri ne kadar iyi izleyebiliyorlar ? Bu bilgiyi, geliflimlerini izlemek ve organizasyonlar›n› yeniden yönlendirmek üzere nas›l kullan›yorlar? ‹lgili faktörlerin izlenmesinde ve flirket yarar›na kullan›lmas›nda engeller nelerdir? Mart ve Nisan aylar›nda, Kuzey Amerika, Avrupa, Asya – Pasifik ve di¤er bölgelerdeki büyük flirketlerin 250 yöneticisini ve kurul üyelerini inceledik. Yöneticiler ve direktörler “online” bir ankete ve telefon röportajlar›na kat›ld›. Anket sonuçlar› çok dikkat çekicidir: Kurul üyelerinin büyük ço¤unlu¤u ve k›demli yöneticiler, flirketlerinin baflar›s›nda anahtar rol oynayan finansal olmayan itici güçlere iliflkin net ve kesin verilere ihtiyaç duyduklar›n› ifade etmifllerdir. Bununla birlikte, s›kl›kla konu verilere ulafl›lamamakta, ulafl›lan durumlarda ise, verilerin genellikle orta ya da zay›f ölçüde de¤erlili¤e sahip oldu¤u görülmektedir. Bu araflt›rma, ilgili konulara ›fl›k tutmakta ve iflletmelerin hala çok büyük ölçüde finansal göstergelere odakland›¤›n› belirtmektedir. Finansal ve finansal olmayan gözetimde daha iyi bir dengeye ulaflmak, finansal gözetime daha az dikkat etmek anlam›na gelmemektedir. Her iki konuya da gereken önemin verilmesi ve dikkatin gösterilmesi gerekmektedir. Anket, Deloitte’›n, yönetim kurulu üyelerinin ve k›demli yöneticilerin büyük devlet flirketlerinin performans›n› nas›l izledikleri ve yönettikleri Araflt›rman›n Dikkat Çekici Noktalar› 1. Firmalar›n yönetim kurullar› ve üst düzey yöneticileri için, kurum performans›n›n finansal olmayan yönlerinin izini sürmek oldukça önemli olmaya bafllam›flt›r. • Yöneticilerin ve yönetim kurulu baflkanlar›n›n yaklafl›k dörtte üçü (%73) firmalar›n›n artan biçimde, finansal olmayan performans göstergelerini ölçme bask›s› alt›nda oldu¤unu ifade etmifllerdir. • Kat›l›mc›lar›n %90’›ndan fazlas›, s›hhatleri parasal olarak ölçülemeyen, iflleriyle ilgili birtak›m alanlar›n, baflar›n›n "kritik" ve "önemli" yönlendiricileri oldu¤unu ifade etmifllerdir: müflteri memnuniyeti, ürün/hizmet kalitesi, operasyonel performans (örn. önemli ifl süreçlerinde etkinlik ve verimlilik), çal›flan ba¤l›l›¤›, yönetiflim ve yönetim süreçleri. Belirgin bir ço¤unluk da, marka gücü (%78), yenilik/bulufl (yeni ürün ve hizmet gelifltirmedeki baflar›, (%81), ve d›fl paydafllarla kurulan iliflkilerin kalitesi (%76) için ayn› fleyleri söylemifllerdir. • Kat›l›mc›lar›n büyük ço¤unlu¤u, firmalar›n›n yönetiflim ve yönetim süreçlerinin kalitesine (%90), çal›flan ba¤l›l›¤›na (%82), müflteri memnuniyetine (%84), operasyonel performansa (%87), ürün/hizmet kalitesine (%80), yenilik ve bulufla (%70) ve marka gücüne (%73) önemli derecede veya en üst seviyede ilgi göstermifllerdir. • Neredeyse bütün firmalar (%92) yönetim kurullar›n›n hem finansal hem de finansal olmayan performans ölçütlerini izlemekten sorumlu olduklar›n› düflünmektedirler. 2. Yönetim kurullar›n› ve üst düzey yöneticileri, kilit konumdaki finansal olmayan performans göstergelerini izlemeye, dört etmen yöneltmektedir: artan küresel rekabet, geliflen müflteri etkisi, kurum imaj› ile ilgili riskler konusunda artan bilinç, ve ürünlerdeki yenilikler konusunda kaydedilen ivme. • Kat›l›mc›lar›n ço¤u, di¤er baz› kritik ve önemli yönlendirici etmenlerden de bahsetmifllerdir: düzenleyici otoritenin finansal olmayan ölçütler konusunda artarak vurgu yapmas›, internet vas›tas›yla eriflilen bilginin h›z› ve yayg›nl›¤›, artan çal›flan etkisi, medyan›n firmalar›n finansal performans›ndan baflka konular› da s›k› biçimde araflt›rmas›. • Firmalar›n›n performanslar›n› nas›l ölçtü¤ü ve izledi¤inin yeniden de¤erlendirilmesine neyin neden olaca¤› soruldu¤unda, ço¤unluk (%55) müflteri memnuniyetinde veya müflteri ba¤l›l›¤›nda keskin bir azalman›n buna neden olaca¤›n› ifade etmifltir. Kat›l›mc›lar›n yaklafl›k yar›s› (%47) bunun, yönetim kurulu üyelerinin veya genel müdürün daha fazla fleffafl›k ve sorumluluk talep etti¤i zaman gerçekleflece¤ini ifade et- ‹Ç DENET‹M / K›fl 2004 Yöneticilerin Bilmedikleri... üzerine yapt›¤› daha genifl çapl› bir anketin parças›d›r. Bu alanda mükemmelleflmek için ne gerekti¤i konusunda daha derin bir alg›lama sa¤lamak için, Deloitte, yönetmenleri ve yöneticileri performans ölçümü ve yönetiminde lider olan flirketlerle röportajlar gerçeklefltirmektedir. Bu bölümün çal›flmalar› tamamlan›nca aç›klanacakt›r. 14 15 YEfi‹L KALEM YEfi‹L KALEM ‹Ç DENET‹M / K›fl 2004 3. ‹flleri ile ilgili finansal olmayan önemli göstergeleri takip etmenin gereklili¤i gittikçe artmas›na karfl›n, yönetim kurullar›n›n ve üst düzey yöneticilerin ço¤u bu gereklili¤i takip etmek konusunda ayak diremektedirler. Yöneticilerin, iflleriyle ilgili finansal olmayan bu önemli iflaretleri izlemeleri, çoklukla zorlu bir süreç olmaktad›r. • Kat›lanlar›n %86’s›, firmalar›n›n, finansal performans göstergelerini ölçme ve izlemede "iyi" veya "mükemmel" oldu¤unu ifade etmesine karfl›n, sadece üçte biri (%34) finansal olmayan performans ölçütleri ile ilgili ayn› yorumu yapm›flt›r. Bir k›sm› (%40) kendilerini, finansal olmayan göstergelerin ölçülmesi ve izlenmesinde "ortalama" olarak s›n›fland›r›rken, %23’ü kendilerinin bu konuda "vasat" veya "zay›f" olduklar›n› ifade etmifllerdir. • Kat›l›mc›lar›n yaklafl›k yar›s› (%48), firman›n finansal olmayan göstergelerinin, yönetim kurulunun ve genel müdürün uzun vadeli kararlar (örn. 12 aydan daha uzun vadeli) almas›nda et- kisiz oldu¤unu ifade etmifltir. Yaklafl›k üçte biri (%34) yöneticilere ve genel müdüre kontrol ve uyum konular›nda yard›mc› olmas› konusunda, finansal olmayan göstergelerin tamamen etkisiz oldu¤unu ifade etmifltir. Sadece küçük bir oranda kat›l›mc›, finansal olmayan göstergelerin önemli noktalar›n tespitinde oldukça etkili oldu¤unu söylemifltir: strateji oluflturma (%17), kontrol ve uyum (%13), k›sa ve uzun vadeli kararlar alma (%12), ve sermaye piyasalar›nda uygun de¤erlendirmeler yapabilme (%9). • Sadece firmalar›n az›nl›k bir k›sm›nda afla¤›da listelenen finansal olmayan kurumsal göstergelerle ilgili olarak yönetim kurulunun ald›¤› bilginin kalitesi iyi veya mükemmel olarak de¤erlendirilmifltir: yenilik/bulufl (firmalar›n %41’i bunun iyi veya mükemmel oldu¤unu ifade etmifltir), d›fl paydafllar ile iliflkiler (%44), çal›flan ba¤l›l›¤› (%41) ve firman›n toplum ve çevreye olan etkisi (%25). Sadece küçük bir ço¤unluk, flirketteki yönetiflim ve yönetim süreçlerinin kalitesi (%65), müflteri memnuniyeti (%50), ürün/hizmet kalitesi (%49) ve marka gücü (%51) ile ilintili olarak yönetim kurullar›na sunulan bilginin iyi veya mükemmel oldu¤unu ifade etmifltir. En kaliteli bilgi, finansal sonuçlardan (%92, sadece %59’u mükemmel oldu¤unu ifade etmesine ra¤men) ve operayonel performanstan (%58, sadece %21’i mükemmel oldu¤unu ifade etmesine ra¤men) oluflmaktad›r. • Az say›da firma, yönetim kurullar›na verilen performans kriterlerinin, firmalar›n önemli alan- Kurumsal Performans›n Daha ‹yi ‹zlenmesinin Artan Önemi Kimse finansal performans›n gücünü ya da finansal verilerin önemini inkar edemez. Geliflmek isteyen bir firma için iyi bir finansal performans bir ön gerekliliktir. Bu rapor için görüflme yap›lan hiç kimse finansal performans›n kurumsal sa¤l›¤› ölçmekteki de¤erini yads›mam›flt›r. Ancak uzun vadede bir firman›n iflleyiflinde karzarar de¤erlendirmelerinde yer almayan di¤er Bu çal›flmaya kat›lanlar›n %92’si, finansal göstergelerin tek bafllar›na firmalar›n güçlü ve zay›f yönlerini bütünüyle ortaya koyamad›¤›n› belirtmifltir. birtak›m etkenlerin de dikkate al›nmas› gerekti¤i konusunda güçlenen bir görüfl söz konusudur. Bu çal›flmaya kat›lanlar›n %92’si finansal göstergelerin tek bafllar›na firmalar›n güçlü ve zay›f yönlerini bütünüyle ortaya koyamad›¤› konusunda hemfikirdirler. Finansal ölçülerin, yönetim kurulu ve genel müdür aç›s›ndan, k›sa vadeli karar alma ve strateji oluflturma sürecinde önemli bir de¤ere sahip oldu¤u çal›flmaya kat›lanlar taraf›ndan büyük ölçüde kabul görmüfl olmakla birlikte, orta ve uzun vadeli karar alma aflamas›nda ve para piyasalar›nda do¤ru bir de¤erleme elde edilebilmesinde daha az ifle yarad›¤› düflünülmektedir. Kat›l›mc›lar, kurumsal baflar› için finansal etkenler kadar finansal olmayan etkenlerin de önemli oldu¤u konusunda görüfl birli¤ine varm›fllard›r. Baflar› için kritik ya da önemli olarak nitelenen faktörler s›raland›¤›nda; müflteri memnuniyeti %97’lik bir oranla en baflta gelmifl, ürün/hizmet kalitesi %96 ile ikinci s›ray› alm›fl ve finansal veriler %95’lik bir oranla üçüncü s›rada yer alm›flt›r. Bunun daha da ötesinde, araflt›rmaya kat›lanlar›n %73’ü kendilerini finansal olmayan faktörleri ölçmek konusunda artan bir bask› alt›nda hissettiklerini belirtmifllerdir. Gazetelerin kurumsal skandal ve kötü iflleyifle iliflkin haberlerle dolu oldu¤u düflünüldü¤ünde, bunun nedenini anlamak zor de¤ildir. Yöneticileri kurumsal performans›n finansal olmayan alanlar›n› izlemeye iten sebep nedir? Üst düzey yöneticilerin, hangi piyasa güçlerinin finansal olmayan performans göstergeleri üzerinde artan bir vurguyla durdu¤u konusunda verdi¤i cevaplarda, dört faktörün devaml› olarak dile getirildi¤i görülmüfltür: • Artan evrensel rekabet (kat›l›mc›lar›n %91’i taraf›ndan belirtilmifltir). ‹Ç DENET‹M / K›fl 2004 mifltir. Neyin, performans ölçütlerinin gözden geçirilmesine " kesin" veya "olas›" surette neden oldu¤una bak›ld›¤›nda, firmalar›n %80’i rekabetin önemli derecede artmas›n›n, %78’i finansal olmayan performans etmenlerinin nas›l ölçülece¤ine dair geliflen anlay›fl›n, %78’i çal›flan memnuniyeti ve ba¤l›l›¤›ndaki keskin düflüflün, %73’ü bir halkla iliflkiler krizinin, %72’si müflteri etkisindeki önemli art›fl›n, %71’i ise rakiplerin yeni bir ürün veya hizmeti takdim etmesinin oldu¤unu ifade etmifllerdir. lardaki performans› ile ilgili do¤ru ve güvenilir bir tablo çizmesini sa¤lamak yönünde oldukça etkili oldu¤unu ifade etmifltir: gelecekteki beklentiler (%17), mevcut ortaklar›n, tedarikçilerin vb. s›hhati (%6), rakipleri ile k›yasland›¤›nda firman›n finansal olmayan alanlarda nas›l oldu¤u (%8), ve rakipleri ile k›yasland›¤›nda firman›n finansal performans› (%25). • Yönetim kurulu üyelerinin kendi performanslar› ile ilgili olarak ald›¤› bilgiler bile çok fazla itibar görmemektedir. Kat›l›mc›lar›n üçte birinden fazlas› (%36) yönetim süreci ve kurumsal yönetiflim kalitesi konusunda elde edilen bilgiyi sadece ortalama, vasat veya zay›f olarak de¤erlendirmifltir. Sadece %23’ü bunu mükemmel olarak ifade etmifltir. 4. Yönetim kurulu ve üst düzey yönetimin, iflin finansal olmayan önemli iflaretlerini takip etmelerini engelleyen iki en önemli engel, komplike ölçütlerin azl›¤› ve ifle yararl›l›klar› konusundaki flüphelerdir. • ‹ki büyük engel bulunmaktad›r: finansal olmayan konular›n de¤erlendirilmesinde kullan›lan araçlar›n azl›¤› (firmalar›n %59’u taraf›nda ifade edilmifltir) ve bu ölçütlerin alt s›n›rla direkt ba¤lant›l› oldu¤u yönündeki flüphecilik (firmalar›n %40’› taraf›ndan ifade edilmifltir). • Bu engellerin üstesinden gelmek, kurumsal yönetiflimde muhtelif say›da önemli de¤iflimi gerektirmektedir. Hem finansal hem de finansal olmayan performanslar›n›n takip edilmesinde çok iyi olan firmalar›n ("lider" olarak nitelendirdi¤imiz firmalard›r) genel olarak, a) finansal olmayan ölçütlerin karl›l›¤› etkiledi¤ine inand›klar›, b) finansal olmayan ölçütler konusunda bilgi sahibi olan yöneticilere ve yönetim kurulu üyelerine sahip olduklar›, c) iyi ölçütlerle ödülleri birlefltirdikleri, düflünülmektedir. 16 17 YEfi‹L KALEM • Tan›nm›fll›k riski konusunda artan bilinç (%97) • Artan müflteri etkisi (%97) • Yeni ürün ve hizmetlerde ivme kazanan geliflme (%97) Söz konusu dört etken, bir firman›n pazarda rekabet edebilme yetene¤iyle ba¤lant›l›d›r. Firmalar›n %60’› kritik ya da önemli gördükleri üç faktör daha s›ralam›fllard›r: • Finansal olmayan etkenler konusunda artan yasal vurgu • ‹nternet vas›tas›yla h›zl› ve yayg›n bilgi • Çal›flanlar›n etkisinin artmas› Sivil toplum örgütlerinin ve lobicilerin artan güçleri, üst düzey yöneticilere göre, ivme kazanan kurumsal sosyal sorumluluk düflüncesine ra¤men, finansal olmayan göstergeleri irdelemek konusunda daha az itici bir faktördür. Kat›l›mc›lar›n yaln›zca %32’si bu tür gruplar›n finansal olmayan göstergelere yönelim konusunda kritik ya da önemli oldu¤unu belirtmifltir. Bu noktada, üst düzey yöneticilerin ve kurullar›n finansal olmayan göstergeleri incelemeyi özverili bir çaba olarak de¤il firmalar›n rekebet gücünü koruyacak bir eylem olarak gördükleri anlafl›lmaktad›r. Üst düzey yöneticileri ve kurullar› finansal olmayan göstergeleri incelemeye yönelten faktörlere ek olarak, taraf›m›zca kat›l›mc›lara hangi olaylar›n performans› ölçmenin ve izlemenin yöntemleri konusunda yeniden bir de¤erlendirme yapmay› tetikleyebilece¤i sorulmufltur. Kat›l›mc›lar›n büyük bir ço¤unlu¤u (%88) müflteri memnuniyetindeki keskin bir düflüflün bu tür yeniden de¤erlendirmeye yol açabilece¤ini söylemifltir. ‹kinci olarak belirtilen olay ise yönetim kurulu üyelerinin ya da genel müdürün daha fazla fleffafl›k ve nesnellik talep etmesidir. (%82) Finansal olmayan faktörlerin önemi, do¤al olarak, firmadan firmaya ve bölgeden bölgeye göre de¤ifliklik göstermektedir. Computer Associates International firmas›nda yönetici ve Harvard Business School’da profesör olan Jay Lorsch, yat›r›mc›lar›n mali beklentilerini karfl›lama amac›n›n ve bu do¤rultuda finansal verilerin artan öneminin, asl›nda bir Amerikan ol- Finansal olmayan ölçüler gözden kaç›r›labilecek risklerin erken habercileridir, tehlikeleri önceden haber verirler. gusu oldu¤una inan›yor. Jay Lorsch, ‘’K›sa vadeli hisse fiyat›ndan ziyade firman›n uzun vadeli sa¤l›¤› ile ilgilenmek isteyen birçok Amerikal› yönetici mevcut olmakla birlikte bask›lar bu noktadad›r. Avrupa piyasalar› Amerikal›laflmaya bafllam›flt›r ancak umar›m Avrupal›lar bizi flu an oldu¤u gibi kör bir biçimde takip etmeye devam etmezler.’’ demektedir. Lorsch, finansal olmayan göstergeleri ciddi bir biçimde ele alan Amerikan firmalar›n›n Medtronic, Gillette ve Coca-Cola oldu¤unu belirtmifltir. Birtak›m finansal olmayan etkenler firmaya ve sektöre ba¤l›d›r. British Petroleum ve di¤er enerji flirketleri için çevresel faktörler en önemli konuyu oluflturmaktad›r. Bir güvenlik flirketi olan Brinks ve bir kamu hizmeti flirketi olan Scottish Power’a göre ise güvenlik gerek k›sa gerekse uzun vadede en hayati faktördür. Scottish Power’dan kurumsal iletiflim grup yönetmeni Dominic Fry, ‘’Güvenlik k›sa vadede kendinizi tehlikeye atarak görmezden gelebilece¤iniz bir olgudur’’ demekte ve devam etmektedir: ‘’Çok tehlikeli bir ürünle u¤rafl›yoruz, göstergeleri umursamaz ve birçok kazaya neden olursan›z, bu ifli yap›fl biçiminizde sistemsel bir hata yapt›¤›n›z› gösterir ki bu durum kurum içinde çok say›da kifliye istemeden zarar verir. Güvenlik, k›sa vadede finansal olmayan göstergeler konusunda ne kadar dikkatli olunmas› gerekti¤i konusunda klasik bir örnektir.’’ Bazen finansal olmayan ölçüler yat›r›m öyküsünün bir parças›n› oluflturur. ‹ngiltere ve Kuzey Amerika’da gaz, elektrik, telekomünikasyon ve araç kurtarma hizmetleri veren Centrica firmas›nda, finansal olmayan göstergeleri kullanmak, yat›r›mc›lara ifli ne kadar iyi yapt›¤›n›z› göstermek için gereklidir. Centrica/Avrupa’da yönetici olan Simon Lewis, ‘’Model ne kadar yenilikçi olursa, insanlara firma performans›n› nas›l de¤erlendirmeleri gerekti¤i konusunda en do¤ru bilgiyi vermenin önemi de o denli artmaktad›r. Müflterilerle birebir iliflkide olan flirketler, insanlara müflteri odakl› strateji kavram›n› ve bu flekilde nas›l katma de¤er yarat›labilece¤ini aç›klamak zorundad›rlar’’ demektedir. General Growth Properties flirketinin genel müdürü John Bucksbaum kendi hissedarlar›n›n bak›fl aç›s›na ve neredeyse bütün bak›fl aç›lar›na göre, finansal sonuçlar›n her zaman en öncelikli faktörler oldu¤unu belirtmifltir. Bucksbaum, ‘’Ancak bu sonuçlara nas›l ulaflt›¤›n›z ve bir firmay› nas›l gelifltirdi¤iniz de en az finansal sonuçlar kadar önemlidir. Finansal olmayan olgular›n ortaya ç›kard›¤› iyi ipuçlar› olmazsa sürdürülebilir ve sa¤lam finansal sonuçlar›n›z da olamaz’’ demektedir. Finansal sonuçlar›n, finansal olmayan faktörlerin ürünü oldu¤unu anlayabilmek için bir firman›n genel müdürü olmak gerekmemektedir. Bu çal›flmada dokuz adet etkenin alt› çizilmifltir. Bunlardan befl adedi d›fl performans etkenleridir: Müflteri memnuniyeti, ürün ve hizmet kalitesi, marka gücü, d›fl paydafllarla iliflkiler, toplumun ve çevrenin etkisi. Dört iç etken ise yönetim ve yönetiflim kalitesi, firma geliflimi, operasyonel performans ve çal›flanlar›n ba¤l›l›¤›d›r. Finansal olmayan etkenleri ölçmek ve izlemek, yüzeyin alt›na inip asl›nda firmada ne olup bitti¤ini anlamak için bir araçt›r. Finansal göstergeler sonradan elde edilmekle birlikte finansal olmayanlar kurumsal sa¤l›¤›n ilk ortaya ç›kan göstergeleridir. Finansal olmayan göstergeler, b›rak›n üçer ayl›k dönemleri, bir y›ldan di¤erine çok fazla de¤iflmeyebilir. Ancak befl y›ll›k bir süreç sonunda firman›n uzun vadeli yönü hakk›nda çok fley aç›klayabilir. Finansal olmayan ölçüler gözden kaç›r›labilecek risklerin erken habercileridir, tehlikeleri önceden haber verirler. Bombardier firmas› yöneticisi Laurent Beaudoin, ‘’Bugün karfl›laflt›¤›m›z durum firmalar›n finansal piyasalarda çok k›sa vadeler baz›nda de¤erlendirilmesidir’’ demekte ve devam etmektedir: ‘’Bu, finansal konular›n neden öncelikli oldu¤unu anlat›yor. Ancak finansal olanlar ve finansal olmayanlar aras›ndaki dengenin de¤iflmek zorunda oldu¤unu söylemeliyim. Çünkü finansal olmayan konular bir firman›n uzun dönemdeki performans› için belirleyicidir ve bu finansal piyasalar taraf›ndan dikkate al›nmal›d›r.’’ Finansal Olmayan Performans Göstergelerinin fiirketler Taraf›ndan Yeterince ‹zlenmemesi Pek çok firma kendi üst düzey yöneticilerinin ve yönetim kurullar›n›n, firman›n finansal göstergelerini yeterince izledi¤ini düflünmektedir. Ankete kat›lan flirketlerin %86’s› yönetim kurullar›n›n finansal göstergeleri izlemekte mükemmel veya iyi oldu¤unu düflündüklerini ifade etmifllerdir. Buna karfl›n ankete kat›lanlar›n sadece %34’ü flirketlerinin yönetim kurullar›n›n finansal olmayan performans göstergelerini izlemekte mükemmel veya iyi oldu¤unu söylemifllerdir. Yönetim kurullar›n›n, flirketlerin finansal ve finansal olmayan gelifliminini takip etmekte ne derece yeterli oldu¤unu ölçmek amac›yla ankete kat›lan flirketlere kendi flirketlerinin yönetim kurullar›n›n sahip oldu¤u bilginin kalitesini 5 puan üzerinden de¤erlendirmeleri istenmifltir. Kat›l›mc›lar›n %92’si kendi flirketlerinde finansal göstergelerin mükemmel veya iyi derecede izlendi¤ini belirtmifllerdir. Bu oran finansal olmayan göstergelere verilen cevaplarla k›yasland›¤›nda aç›k ara önde gözükmektedir. Finansal olmayan göstergelere bak›ld›¤›nda, kat›l›mc›lar›n %58’i yönetim kurullar›n›n flirketlerinin operasyonel performans› (flirketin ana ifl süreçlerinin durumu) hakk›nda mükemmel veya ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 YEfi‹L KALEM 18 19 YEfi‹L KALEM YEfi‹L KALEM ‹Ç DENET‹M / K›fl 2004 Yönetim Kurullar›n›n Mükemmel veya ‹yi Düzeyde Bilgi Sahibi Oldu¤unu Belirten Kat›l›mc›lar›n Konulara Göre Yüzdesel Da¤›l›m› Ankete kat›lan flirketlerin sadece %41’i kendi yönetim kurullar›n›n çal›flan memnuniyetine iliflkin bilgilerinin mükemmel veya iyi olarak nitelendirilebilece¤ini ifade etmifltir. Ankete cevap veren flirketlerin bir k›sm› ise çal›flan memnuniyetini ölçebilmenin oldukça zor oldu¤u fleklinde görüfl belirtmifllerdir. Buna karfl›n çal›flan memnuniyetini ölçmenin çok önemli oldu¤unu düflünenler de mevcuttur. 200’den fazla çal›flan› ile Londra’da hizmet veren sigorta flirketi SVB Holding’ten Oliver Corbett, finansal olmayan göstergelerden en önemlisinin çal›flan memnuniyetine iliflkin ölçümler oldu¤unu düflündü¤ünü söylemifltir. Ankete cevap veren flirketlerin birço¤u personel memnuniyetini ölçmek için sürekli anket yapt›rd›klar›n› fakat anketlerden net bir resim ç›karman›n o kadar kolay olmad›¤›n› belirtmifllerdir. Brinks firmas› personel memnuniyetinine özen gösteren firmalardan biridir. ABD’deki 15 flubesinde her ay "speakout" ad›n› verdi¤i toplant›lar düzenlemektedir. Bu toplant›larda çal›flanlar her türlü s›k›nt›, flikayet, istek ve dileklerini dile getirebilmektedirler. Toplant› tutanaklar› ve toplant›da dile getirilenler çal›flanlar› isimleri olmadan patrona iletilmekte ve onun taraf›ndan de¤erlen- Dikkat Eksikli¤i dirilerek söz konusu flikayet ve istekler do¤rultusunda personel memnuniyeti sa¤lanmaya çal›fl›lmaktad›r. Brinks firmas›n›n eski mali ifller koordinatörü Chris Corrini "speakout" ad›n› verdikleri toplant›lara çok önem verdiklerini, toplant›lar› adeta bir "din" gibi gördüklerini belirtmifltir. fiirketin çevreye etkisi gibi di¤er göstergelerin ölçülmesi ise daha da zordur. Ankete kat›lan flirketlerin sadece %25’i flirketlerinin çevreye ve topluma etkisinin yönetim kurullar› taraf›ndan mükemmel veya iyi ölçüde izlendi¤i fleklinde yan›t vermifllerdir. McDonald’s, Motorola, BP ve Bank of America’da yöneticilik yapm›fl olan Walter Massey flirketlerin çevreye ve topluma etkilerini ölçmenin oldukça zor oldu¤u ve elde edilecek verilerin finansal veriler kadar kesin olamayaca¤›n› söylemifltir. Elbette, baz› finansal olmayan göstergelerin ölçülmesi di¤erlerine göre daha kolayd›r. Brinks firmas› iflyeri güvenli¤i ve çal›flan memnuniyetini izlemekte zorluk yaflamad›¤›n› söylemektedir. Brinks’ten Chris Corrini, iflyeri emniyeti ve güvenli¤ini ölçerken her 200.000 çal›flma saatinde kaç adet kaza oldu¤u verisini kulland›klar›n› ve bu ölçümün kendi endüsti dallar› için ortak bir mukayese ölçüsü oluflturabilece¤ini ifade etmifltir. Brinks firmas› nakliyat sektöründe, tafl›mac›l›k yap›lan her bir milyon milde kaç adet kaza fiirket yönetim kurullar›n›n ve tepe yöneticilerinin, finansal olmayan göstergelerin önemini kavramaya bafllad›klar› görülmektedir. Fakat önemini kavrad›klar› halde bu göstergeleri hangi düzeyde dikkate almaktad›rlar? Finansal olmayan göstergelere dikkat eden flirketler oldu¤u bilinmektedir. Kanada’da bulunan SunLife firmas›nda tepe yöneticiler müflterilerden gelen flikayet mektuplar›n› okumakta ve ayr›ca müflterilerin telefonla olan flikayetlerine ait ses kay›tlar›n› dinlemektedirler. Böylece flirketin risk yönetim komitesi müflteri flikayetlerine daha iyi odaklanabilmektedir. Ancak yine de flirketlerin büyük k›sm› finansal olmayan ölçütlere yeterince önem vermemektedir. Anket sonuçlar›n› de¤erlendirdi¤imizde flirketlerin söyledikleri ile yapt›klar› aras›ndaki farkl›l›klar göze çarpmaktad›r. Ankete kat›lan flirketlerin %74’ü en yüksek seviyede dikkate ald›klar› ölçütlerden birinin flirketin finansal gös- Finansal verilerin orta ve uzun vadeli kararlar› al›rken yüksek derece etkili veya etkili oldu¤unu söyleyen flirketlerin oran› ise %66’d›r. tergeleri oldu¤unu söylemifllerdir. Bu oran, finansal olmayan göstergelerin elde etti¤i oranlar›n oldukça üzerindedir. Ankete kat›lanlar›n %52’si ise müflteri memnuniyetinin en yüksek düzeyde dikkat ettikleri ölçütlerden biri oldu¤unu belirtmifllerdir. (Bu soruda kat›l›mc›lar birden çok ölçütü seçebiliyorlard›.) Anketin bulgular›n› en iyi flekilde de¤erlendirmenin bir yolu çeflitli hususlara atfedilen önem ile bu hususlara gerçekte ne kadar dikkat edildi¤ini k›yaslamakt›r. Söz konusu k›yaslama yap›ld›¤›nda flirketlerin söyledikleri ile yapt›klar› aras›ndaki farkl›l›klar göze çarpmaktad›r. Finansal göstergeler, yönetiflim, marka gücü, sosyal etki ve operasyonel verimlilik; bu 5 faktörü inceledi¤imizde kendilerine atfedilen önem ile gerçekte dikkat edilme düzeyleri aras›ndaki fark›n oldukça küçük oldu¤u anlafl›lmaktad›r. K›saca flirketler bu 5 hususa ne kadar önem verdiklerini söylüyorlarsa bu hususlar› yaklafl›k o düzeyde de gözönünde bulundurmaktad›rlar. Ürün / servis kalitesi, müflteri memnuniyeti, ürün gelifltirme, paydafllarla iliflkiler ve çal›flan memnuniyeti: bahsedilen 5 faktörde ise fark›n daha belirgin oldu¤u görülmektedir. Fark›n daha belirginleflti¤i bu 5 faktörün flirket performans›n›n hayati parçalar› oldu¤unu kimse inkar edemez. Ankete kat›lan flirketlerde bu görüflte birleflmifllerdir. Kat›l›mc›lar›n %97’si müflteri memnuniyetinin flirketin baflar›s›n› etkileyen en önemli faktörlerden biri oldu¤unu söylemifllerdir. Tüm faktörler içinde en yüksek yüzdeyi müflteri memnuniyeti elde etmifltir. Ancak kat›l›mc›lar›n sadece %84’ü müflteri memnuniyetine iliflkin ölçütleri en yüksek veya önemli düzeyde dikkate ald›klar›n› belirtmifllerdir. Söz konusu hususa atfedilen önem ve dikkate al›nma düzeyi aras›nda %13’lük bir fark bulunmaktad›r. Bu fark ürün / servis kalitesinde %16, ürün gelifltirmede %11 ve çal›flan memnuniyetinde %10 olarak gerçekleflmifltir. Performans›n Daha ‹yi ‹zlenmesi Yönündeki Ana Engeller E¤er flirket yöneticileri finansal olmayan etmenleri bu derece önemli buluyorlarsa, o zaman bu etmenler neden daha fazla dikkat çekmiyor? Bunun pek çok sebebi var. Ancak en önemli iki neden kesin verilerin olmamas› ve finansal olmayan ölçülerin etkilerinin anlafl›lmas›ndaki zorluk. ‹Ç DENET‹M / K›fl 2004 yap›ld›¤› verisinin ifl güvenli¤inin ölçülmesinde kullan›labilece¤ini ve bu ölçünün büyük nakliyat ve sigorta flirketleri taraf›ndan önemli bir veri olarak kabul edildi¤ini belirtmifltir. Finansal olmayan verilerin yetersizli¤i, flirketlerin orta ve uzun vadeli (12 aydan daha uzun) kararlar› al›rken bu verilerden fazlaca yararlanmamas›n›n en büyük nedenidir. Ankete kat›lanlar›n %48’i finansal olmayan verilerin flirketlerinin orta ve uzun vadeli kararlar› al›rken yüksek derecede etkili veya etkili oldu¤unu söylemifllerdir. Finansal verilerin orta ve uzun vadeli kararlar› al›rken yüksek derece etkili veya etkili oldu¤unu söyleyen flirketlerin oran› ise %66’d›r. Centrica firmas›ndan Mr. Levis güncel performans kültüründe nicel ölçütlere nitel ölçütlerden her zaman daha fazla önem verilece¤i görüflünde oldu¤unu beyan etmifltir. iyi düzeyde bilgi sahibi oldu¤unu söylemektedir. Yönetim ve yönetiflim süreçlerinin kalitesine iliflkin bilgilerin yönetim kurullar› taraf›ndan mükemmel veya iyi derecede bilindi¤ini söyleyen kat›l›mc›lar›n oran› %65’dir. Bu oran ürün ve servis kalitesi hakk›ndaki bilgide %49, marka gücüne iliflkin bilgide ise %51 olarak gerçekleflmifltir. Ankete cevap verenlerin tam %50’si yönetim kurullar›n›n müflteri memnuniyeti hakk›nda mükemmel veya iyi derecede bilgi sahibi oldu¤unu düflünmektedir. Çal›flan memnuniyeti, flirketin toplum ve çevre üzerindeki etkisi, tedarikçiler ve d›fl paydafllarla iliflkiler, ürün gelifltirme gibi konularda yönetim kurullar›n›n mükemmel veya iyi seviyede bilgi sahibi oldu¤unu söyleyen kat›l›mc›lar›n oran› oldukça düflüktür. 20 21 YEfi‹L KALEM YEfi‹L KALEM Ankete kat›lanlardan, finansal olmayan performans ölçülerinin etkin bir biçimde kullan›lmas› önündeki 8 engelin önemini göreceli olarak de¤erlendirmeleri istendi. Aç›k ara en fazla bahsedilen engel, en az›ndan finansal araçlar ile karfl›laflt›r›ld›¤›nda, söz konusu ölçüleri analiz etmek için gerekli araçlar›n geliflmemifl oldu¤u gerçe¤idir. Kan›t Nerede? ‹Ç DENET‹M / K›fl 2004 Finansal olmayan performans›n analizi için gerekli olan araçlar›n yetersiz olmas› konusunda bir fikir birli¤i olsa bile, finansal olmayan ölçülerin kullan›lmas› yönündeki di¤er engeller konusunda daha az uzlaflma bulunmakta. Kat›l›mc›lar›n %40’›, ikinci önemli engel olarak bu ölçülerin sonuca do¤rudan etkileri konusundaki flüphecili¤i gösterdiler. Verilerin kalitesi yüksek de olsa ve yönetim kurulu ile idare taraf›ndan gözetim alt›nda bile olsa, finansal olmayan etmen ne kadar önemli olursa olsun, bu, flirketin mutlaka daha iyi performans göstermesini sa¤lamaz. Önemli bir de¤iflken oldu¤u genel olarak kabul edilen müflteri memnuniyeti örne¤ini ele al›n. New York Yaflam Sigortas› flirketinin baflkan yard›mc›s› Gary Benanav: "En üst düzeyde müfl- teri memnuniyeti sa¤lamak harikad›r ve bunun karl›l›¤a yans›mas› gerekti¤ini düflünüyoruz, ancak aradaki ba¤lant›y› hiç kimse tam olarak gösteremedi" diyor. "Müflteri memnuniyetini ölçmek için kullan›lacak araçlar gelifltirildi fakat denklemin di¤er taraf› hala nesnel olarak gösterilemiyor. Biz, düflük müflteri memnuniyetine sahip olmas›na ra¤men hâlâ para kazanan yaflam sigortas› flirketleri oldu¤unu biliyoruz." Bunun karfl›t görüflü ise söz konusu flirketlerin daha memnun müflterilere sahip olmalar› durumunda daha fazla para kazanacaklar›d›r. Yine de, müflteri memnuniyetini art›rmak için yap›lacak yat›r›mlar›n maliyetinin, elde edilecek müflteri memnuniyetinin getirece¤i fayday› aflaca¤› bir nokta bulunmaktad›r. Bu noktan›n tespit edilmesi, finansal olmayan etmenlerin daha etkin biçimde kullan›lmas› yönündeki önemli bir engeldir. Sorumluluk ve Ödül ‹lginç bir flekilde üst düzey yöneticiler (%45) finansal olmayan faktörler ile finansal performans aras›ndaki iliflki konusunda icrac› yöneticilerden (%34) ve idari yöneticilerden (%32) daha flüpheci bir e¤ilim sergilediler. Bu yöneticilerin konuya daha fazla önem vermeleri için önce kendilerine finansal olan ve finansal olmayan performanslar aras›ndaki nedensel ba¤›n gösterilmesi gerekmektedir. "Bizim bütün üst düzey yöneticilerimiz finansal olmayan ölçüler üzerine odaklanm›flt›rlar, ancak finansal olmayan ölçülerle finansal getiriler aras›nda do¤rudan bir ba¤lant› bulunmamaktad›r" diyor Benenav. "E¤er finansal ölçülere ba¤l› de¤illerse, size bunun için para ödemezler. Finansal olmayan ölçülerden herhangi birini seçip ona ulaflabilirsiniz. Soru fludur ki, ne olmufl yani?" E¤er bu konuda ödüllendirilseydiler, flirketler finansal olmayan verilerin gözlenmesinin gelifltirilmesi için daha fazla çaba gösterebilirlerdi, ancak ço¤u zaman durum bunun tam tersidir. Yat›r›mc›lar a¤›rl›kl› olarak iyi finansal performans gösteren firmalar› ödüllendirirler, finansal olmayan performans› ise hemen hemen hiç ödüllendirmezler. Kat›l›mc›lar›n %86’s›, firmalar›n yat›r›mc›lar taraf›ndan a¤›rl›kl› olarak finansal performansa göre ödüllendirdi¤ini belirttiler. Kat›l›mc›lardan, ikinci derece önemli olarak ödüllendirilen kategorileri belirtenler oldu¤unda ise bir kaç finansal olmayan ölçüde küçük ilerleme oldu¤u görünüyor: %25’le yönetiflim ve %24’le çal›flanlar›n ba¤l›l›¤›. Performans›n de¤iflik mukayese standartlar›n›n ortalama de¤erlerinin bir özeti durumu daha aç›k gösteriyor. Yat›r›mc›larca en fazla ödüllendirilen iyi performans›n 1.0’a denk geldi¤i skalada finansal sonuçlar 1.5 puan al›rken finansal olmayan ölçüler 5.1’den (çal›flanlar›n ba¤›ml›l›¤›) 8.0’a (marka gücü) uzanan aral›kta yer alm›flt›r. Araflt›rma sonuçlar› genel gözlemi güçlü bir flekilde desteklemektedir: Yat›r›mc›lar sonuca odaklan›rlar. Bu aç›dan bak›ld›¤›nda finansal olmayan etmenlere daha fazla öncelik verilmesi cesaret k›r›c› bir görev olarak görünmektedir. Lorsch: "Neden finansal olmayan göstergelere dikkat etmiyoruz? Çünkü Amerikan ekonomisi k›sa vadedeki performansa odakl›d›r" diyor. "Gerçek bu. Odaklanma çok fazla bu yönde. Bütün bu skandallar› yaflamam›z›n nedenlerinden biri k›sa vadedeki performansa çok fazla önem verilmesidir. Yönetim kurullar› da, idareciler de bu konuda endifle ediyorlar. Hiç kimsenin finansal olmayan performansa önem vermedi¤ini iddia etmiyorum, ama bunu yaparsan›z sokaktaki adamdan gelen bask›lara ra¤men yapars›n›z." New York Yaflam Sigortas› flirketinden Benenav: "Finansal olmayan ölçüler üzerinde bu kadar “Piyasan›n finansal performansa verdi¤i afl›r› önem firmalar›n güdülenme yap›lar›nda yans›mas›n› bulmaktad›r.” önem verenler icrac› yöneticiler" diyor. "Di¤er kaynaklardan çok az bask› var. Ben iki tane halka aç›k flirketin yönetim kurulunda çal›fl›yorum ve bu konuda yat›r›mc›lardan gelen ciddi bir bask› yok. Yat›r›mc›lardan gelen bask› daha çok finansal performans üzerinde. Enron’dan sonra bile bu de¤iflmedi." Piyasan›n finansal performansa verdi¤i bu afl›r› önem firmalar›n güdülenme yap›lar›nda yans›mas›n› bulmaktad›r. Kat›l›mc›lara hangi performans alanlar›nda yönetim kurullar›n›n iyi performans› ödüllendirerek yönetimi sorumlu tuttu¤u soruldu. Kat›l›mc›lar›n %78’i yönetimin a¤›rl›kl› olarak finansal sonuçlar›n baflar›s›na göre ödüllendirildi¤ini söyledi. Operasyonel performans %43 ile uzak ara ikinci s›rada yer ald›. Soru sorulanlar›n büyük k›sm› flirketin toplum ve çevre üzerindeki etkisi, d›fl paydafllarla olan iliflkisinin kalitesi ya da çal›flanlar›n ba¤›ml›l›¤› konular›nda yönetimin hemen hemen hiç ödüllendirilmedi¤ini belirtti. Yeni bulufllar bile fazla ödüllendirilmiyordu. Bir çok finansal olmayan ölçünün net olmamas›, kesin ve adil bir tazmin yönteminin formüle edilmesini zorlaflt›r›yor. Benenav: "Yöneticilerin finansal olmayan ölçüleri tazmin arac› olarak genifl çapl› kullanmaya isteksiz olmalar›n›n nedeni tüm organizasyon için kullan›labilecek bir ortak ölçüm çubu¤unun bulunamamas›d›r" diyor. Yine de de¤iflim çok yak›nda. Görüflülen hemen hemen tüm flirket yetkilileri tazminat paketlerinde finansal olmayan ölçülerin öneminin artt›¤›n› belirttiler. Scottish Power gibi baz› firmalar y›ll›k primin %30’unun, ö¤retici bir çevrenin tesis edilmesi gibi davran›flsal göstergelerde yöneticilerin gösterdi¤i performansa ba¤l› oldu¤unu ifade etti. Alliant Energy firmas›nda CEO’nun tazminat›n›n %85’i finansal sonuçlar, %5’i çevre performans›, %5’i güvenlik ve %5’i ifl gücü çeflitlili¤ine göre belirleniyor. ‹Ç DENET‹M / K›fl 2004 Geliflmemifl Ölçüm Araçlar› 22 23 YEfi‹L KALEM YEfi‹L KALEM ‹yi Yönet ‹Ç DENET‹M / K›fl 2004 Bu rapor idarecilerin finansal olmayan faktörlere, neden daha az önem verdiklerinin, güdülenmenin yap›s›ndan iyi finansal olmayan verilerin olmamas›na kadar baz› belli bafll› nedenlerini özetledi. Ancak de¤erlendirilmesi gereken daha derin bir sebep daha bulunmakta, o da flirketin yönetimi. Sa¤lam etik standartlar ve güçlü bir sorumluluk sistemi-k›saca iyi bir yönetim sistemi- olmadan bir flirket hurdal›kta son bulabilir. Veriler mükemmel de olsa, güdüler uzun dönemli hedefler ile daha uygun bile olsa, yine de flirket yanl›fl yolda olabilir. Sa¤lam etik standartlar ve güçlü bir sorumluluk sistemi-k›saca iyi bir yönetim sistemi- olmadan bir flirket hurdal›kta son bulabilir. Yönetim kurulu ve yönetimin firman›n tüm çal›flanlar›n›n uymas› beklenen parametreleri belirlemeleri gerekir. Alliant Industries CEO’su ve BP ile PPG Industries idari yöneticisi Errol Davis: "Finansal olan ve olmayan etmenlere farkl› bak›l›yor. Pek çok aç›dan, finansal göstergelere amaçlara ulafl›p ulaflmad›¤›n›z› görmek için bakars›n›z ve ondan sonra ifl yapt›¤›n›z ortama bakars›n›z." diyor. "O zaman s›n›rdaki soru bizim amaçlar›m›za nas›l ulaflt›¤›m›zd›r. Ve biz bu flekilde etik ifl uygulamalar› tart›flmas›na gireriz. Benim içinde bulundu¤um tüm yönetim kurullar› belirli bir çevresel ve etik ortamda çal›fl›lmas›na dikkat eder ve finansal amaçlar›m›za ulafl›rken ortam›n zarar görmedi¤ini garanti etmeyi isteriz." Bir flirketin faaliyetlerin yürütmek için kurallar seti oluflturmas› kolayd›r: dürüstlük, do¤ruluk, güven, onur vs. Ancak zor olan yat›r›mc›lar›n her zaman var olan yüksek getiri talepleri ile karfl›lafl›ld›¤›nda bu kurallara göre yaflamakt›r. Sa¤lam yönetim süreçleri ile desteklenen iyi bir yönetim yap›s› bu ikisini uzlaflt›rman›n temel bir yoludur. Hindistan’›n önemli yaz›l›m firmalar›ndan Infosys güçlü bir yönetim sistemi oluflturmak için kararl› bir flekilde efor sarf eden bir flirkettir. Firman›n mali ifllerden sorumlu idarecisi ve yönetim kurulu üyesi T.V. Mohandas Pai’ye göre yönetim kurulu zaman›n›n %60’›n› özellikle yönetiflim ve yönetim süreçleri ile ilgili finansal olmayan konulara harcamaktad›r. ‹dari yöneticilerce sadece icrac› yöneticilerin performans› de¤erlendirilmemekte, ayr›ca ba¤›ms›z yöneticiler de de¤erlendirmeye tabi tutulmaktad›r. Ba¤›ms›z idareciler Infosys’in bir idarecisi gibi y›ll›k hedeflerini yönetim kuruluna sunmak zorundad›r. Y›l sonunda kendi performanslar›n›n de¤erlendirdikleri baflka bir sunum daha yap›l›r ve yönetim kurulunun sorular› cevaplan›r. De¤erlendirme süreci y›lda dört kez buluflan ve dört ba¤›ms›z yöneticiden oluflan bir adaylar komitesi taraf›ndan yönetilir. Pai: "‹crac› yöneticilerin sorumlu tutulacaklar› konular vard›r ve idari yöneticiler de kendilerinden beklenen görevleri yerine getirmek zorundad›rlar. Ve tüm bunlar için fleffaf bir süreç olmal›." diyor. Bununla birlikte araflt›rma bir çok firman›n yönetim konular›na hak ettikleri önemi vermedi¤ini gösteriyor. ‹dari yöneticilerin %77’si en detayl› incelemelerini finansal sonuçlar üzerinde yapt›klar›n› söylerken sadece %55’i en çok dikkati yönetiflim ve yönetim süreçlerine verdiklerini ifade etmifl Baflka bir yerde, tüm kat›l›mc›lara flirketlerinin performans›n›n ölçülmesi ve izlenmesi yönünde yeni bir de¤erlendirme yap›lmas›n› neyin kesinlikle ya da muhtemelen tetikleyece¤i soruldu. Cevap olarak %82’si e¤er yönetim kurulu üyelerinden ya da CEO’dan daha fazla aç›kl›k ve sorumluluk talebi gelirse konuyu yeniden de¤erlendirece¤ini söyledi. Bu yan›t firmalar›n finansal olmayan etmenlere daha fazla önem vermemesinin bir nedeninin de yönetim kurullar›n›n bu yönde taleplerinin olmamas›ndan kaynakland›¤› izlenimini güçlendiriyor. Yönetim kurullar›ndan gelen bir bask›n›n olmad›¤› araflt›rman›n içinde baflka yerde de bulunabilir: ‹dari yöneticilerin %77’si yöneticilerin iyi finansal sonuçlara ulaflarak yüksek bir flekilde ödüllendirildi¤ini söyledi. Finansal olmayan göstergelerin çok önemli olarak de¤erlendirilmesine ra¤men hiçbir performans göstergesi %36’dan yüksek bir oran alamad›. Di¤er aç›klay›c› iflaretler icrac› ve idari yöneticilerin alg›lar› aras›ndaki yar›kta bulunabilir. Örne¤in; icrac› yöneticilerin %47’si, idari yöneticilerin ise sadece %18’i çal›flanlar›n ba¤l›l›¤› konusundaki bilginin kalitesi hakk›nda iyi ya da mükemmel dediler. ‹dari yöneticilerin bilginin kalitesini art›rmak için ça¤r›da bulunmalar› gerekmez mi? Daha aç›klay›c› olarak, idari yöneticilerin %82’si finansal bilginin kalitesinin iyi ya da mükemmel oldu¤unu söylerken, sadece %41’i yö- netiflim ve yönetim süreçleri hakk›ndaki bilginin kalitesi için ayn› fleyi söyledi. ‹dari yöneticiler aras›nda yönetiflim ve yönetim süreçleri konusunda hat›r› say›l›r bir hayal k›r›kl›¤› olmal› ya da daha kötüsü zarar veren bir ilgisizlik. Araflt›rman›n gösterdi¤i üzere, kat›l›mc›lar›n büyük k›sm›nda finansal olmayan performans etmenlerinin yeniden de¤erlendirilmesinin yönetim kurullar›nca ya da CEO’larca tetiklenebilece¤i alg›s› mevcut. E¤er öyleyse, flirket yöneticileri sadece finansal etmenler için de¤il, kurumsal baflar›n›n tüm etmenleri için yönetimi sorumlu tutma gücüne sahiptirler. Liderlerle Arkadan Gelenlerin Karfl›laflt›rmas› Neden baz› flirketlerin yönetim kurullar› ve üst düzey yöneticileri finansal olan ve olmayan göstergelerin ölçülmesinde ve takip edilmesinde daha baflar›l›lar? Onlar farkl› olarak ne yap›yorlar? Hangi uygulamalar›n bu alanda baflar›ya götürdü¤ünü anlamaya bafllamak için araflt›rmam›z› daha fazla analiz ettik. Finansal olan ve olmayan performanslar›n ölçülmesi ve takip edilmesinde iyi ya da mükemmel diye cevap veren firmalara liderler, normal ya da zay›f diye yan›tlayanlara uyufluklar diyerek bu iki grubu karfl›laflt›rd›k. Toplamda 85 adet lider ve 61 adet arkadan gelen firma vard›. Bu iki grubun baz› araflt›rma sorular›na verdikleri cevaplar aras›ndaki fark çarp›c›yd›. Bunlar kurumsal performans›n daha iyi takip edilmesi ve gelifltirilmesi için yönetim kurullar›na ve üst düzey yöneticilere aç›l›mlar sunmaktayd›. • "Liderler" finansal olmayan ölçülerin verimlili¤i etkiledi¤ine inanmaya daha yatk›nlar. Lider flirketlerin sadece %36’s› finansal olmayan öl- ‹Ç DENET‹M / K›fl 2004 Ödüller ve güdüler konunun sadece bir k›sm›. Araflt›rmaya kat›lanlara göre finansal olmayan performans ölçülerinin yetersiz kullan›lmas›n›n di¤er önemli nedeni performans›n finansal olmayan yönleri için sorumluluk seviyesinin düflük olmas›. Bu durumu düzeltmenin bir yolu her y›l üst düzey yöneticiler için finansal olmayan hedefler belirlemek ve farkl› hedefler için kesin sorumluluk çizgileri çizmek. Örne¤in Scottish Power firmas›nda, CEO grup yönetim kurulunda güvenlik ve çevreden sorumlu olan kiflidir. Fry: "Güvenlik, yönetim kurulu gündeminin en üstünde düzenli olarak tart›fl›l›r ve CEO bundan sorumludur. Güvenlik önemlidir çünkü biz güvenli bir ortamda çal›flan insanlar›n daha iyi ifl ç›karmalar›n›n daha muhtemel oldu¤una inan›r›z. CEO ayn› zamanda çevre konular›nda da grup yönetim kuruluna karfl› sorumludur. Öncelikler yönetim tak›m› düzeyinde belirlenir, ama biz bir enerji flirketi oldu¤umuz için yönetim kurulu seviyesinde düzenli olarak tart›fl›l›r. Hedef olmad›¤› zaman yönetim kurulu finansal olmayan göstergelerin izlenmesi konusunda yönetime güvenmek zorundad›r. General Growth Properties firmas›n›n CEO’su Bucksbaum: "E¤er finansal olmayan bir göstergede bozulma varsa bu konuyu idari yöneticilerin dikkatine getirmek biz icrac› yöneticilere düfler. Ba¤›ms›z yöneticiler bu gibi fleylerle u¤raflman›n üst düzey yönetimin görevi oldu¤unu söylüyorlar" diyor. 24 25 YEfi‹L KALEM YEfi‹L KALEM çülerin sonuca do¤rudan etkileri konusundaki flüphecili¤i bu ölçülerin etkin kullan›lmas›nda yönündeki ana engellerden biri olarak gösterdiler. Arkadan gelenlerin %46’s› flüphecilikten engel olarak bahsetti. l Lider flirketlerin yönetim kurullar› ve yöneticileri finansal olmayan ölçülerle muhtemelen daha aflinalar. Lider flirketlerin sadece %11’inde, finansal olmayan ölçülere aflina olmayan yöneticiler engel olarak bahsedildi (%15’i yönetim kurulu üyelerinin ölçülerle aflina olmamas›n› ana engel olarak söyledi). Tam tersine, arkadan gelen flirketlerin %28’inde finansal olmayan ölçülere aflina olmayan yöneticiler engel olarak söylendi. Di¤er bir %28 de yönetim kurulu üyelerinin ölçülerle aflina olmamas›n› temel engel olarak ifade etti. l Sadece ölçüler de¤il ödüller de meydanda. Liderlerin ve arkadan gelenlerin, yönetim kurullar›n›n finansal performans için yöneticileri ödüllendirmelerinde aralar›ndaki fark çok az. (Liderlerdeki yöneticilerin %78’i yüksek bir flekilde ödüllendirilmifl, bu oran arkadan gelenlerde %75). Ancak liderlerin yönetim kurullar› yöneticileri finansal olmayan ölçülerdeki iyi performanslar› için ödüllendirmeye ve bu nedenle de performanslar› için sorumlu tutmaya arkadan gelenlerden daha yatk›nlar. Burada liderler ve arkadan gelenler aras›ndaki en büyük fark yönetiflim ve yönetim süreçlerinin kalitesi. Liderlerin yönetim kurullar› bu alandaki iyi performanslar› için yöneticileri ödüllendirmeye, arkadan gelenlerin yönetim kurullar›ndan yaklafl›k 4 kat daha yatk›n (Liderlerde %26, arkadan gelenlerde sadece %7). Benzer flekilde, liderler yeni ürün ya da hizmet gelifltirmedeki baflar›lar› için yöneticileri yüksek flekilde ödüllendirmeye arkadan gelenlerden yaklafl›k olarak 3 kat daha fazla meyilliler (%34’e %13). ‹lave olarak liderler müflteri memnuniyeti için yöneticileri yüksek flekilde ödüllendirmeye arkadan gelenlerin 2 kat›ndan daha fazla yatk›n (%35’e %15) ve parlak operasyonel performans için yöneticilere yüksek ödüller vermeye yaklafl›k 2 kat daha meyilli (%55’e %33). Kiflilerin performans› geliflecekse, kurumsal baflar›lar ölçüldü¤ünde bu kifliler ödüllendirilmeli ya da cezaland›r›lmal›lar. Sonuçlar Anket sonuçlar›, söylem ile gerçek aras›nda kritik bir fay hatt› bulundu¤unu göstermektedir. Finan- sal olmayan faktörler baflar›y› getiren itici güçler olarak de¤erlendirilmekle birlikte yönetim kurulu ve k›demli müdürler taraf›ndan finansal verilerden çok daha az dikkate al›nmaktad›r. Bu rapor, finansal sonuçlarla finansal olmayan performanslar›n, bir çok flirkette do¤ru bir biçimde birbirlerine ba¤lanmad›¤› gerçe¤ini göstermektedir. Güdüsel olarak, bilançonun, kar zarar cetvelinin, nakit ak›m tablosunun finansal olmayan etmenlerin bir sonucu oldu¤u aç›kt›r. Fakat, çok az flirkette, finansal olmayan etmenler finansal raporlara yans›t›lmaktad›r. Bir çok firmada k›demli yöneticiler, iki ya da üç finansal olmayan gösterge üzerinde yo¤unlaflmakta, sadece çok az bir bölümü finansal olmayan göstergelerin hepsinin ya da büyük bir bölümünün sistematik olarak izlenmesine çal›flmaktad›r. Finansal göstergeler ile finansal olmayan göstergeler aras›ndaki uyuflmazl›k; finansal olmayan göstergelerin daha az güvenilir olmas›, bu göstergelerin ölçümünün daha zor olmas›, kapital piyasalar›n finansal sonuçlar› sürekli, finansal olmayan sonuçlar› ise nadiren ödüllendirecek flekilde yap›land›r›lm›fl olmas› dolay›s› ile ço¤u zaman ihmal edilmektedir. Anket, baz› de¤iflikliklerin yolda oldu¤unun sinyallerini vermektedir. Örne¤in, ücret yap›lar› finansal olmayan hedeflere do¤ru kaymakta ve kurul üyeleri finansal olmayan verilere karfl› keskin bir fark›ndal›k göstermektedirler. Bununla birlikte anket, fark›ndal›k ile aksiyon ve söylem ile gerçek aras›ndaki uçurumun büyüklü¤ünü de göstermektedir. Bu uçurum daral›ncaya kadar kurul direktörleri, müdürleri ve yat›r›mc›lar flirketlerin gerçek durumu konusunda baflka türlü olabileceklerinden daha az bilgi sahibi olacaklard›r. Ahlaki ve idari kurulufllar sa¤lam bir flekilde kuruldu¤unda, müflteri memnuniyeti, marka gücü, çal›flan ba¤l›l›¤› gibi finansal olmayan ölçüler yönetim kurulunu ve yönetimini uzun süreli baflar›ya götürecek hayati bir rehber olacakt›r. Fakat, bir çok firma hala dikkatini finansal veriler üzerinde odaklamakta ve çok az› tamam›yla di¤er performans ölçülerini izlemektedir. Deloitte ve Economist Intelligence Unit iflbirli¤iyle haz›rlanan “In the dark. What boards and executives don’t know about the healt of their business” adl› araflt›rman›n çevirisidir. Mustafa Kamil Bulut, Banu Karaçoban, Ramazan Ifl›k, Ahmet Albayrak, Elif Arkan, Meriç Gökhan Kocao¤lu, Ahmet Tu¤rul Öz taraf›ndan çevrilmifl, Tolga Tanr›korur ve Mehtap Do¤an editörlü¤ünde birlefltirilmifltir. Potansiyel Hedef mi? Haz›rl›kl› m›s›n›z? Albert J. Marcella Southern California Üniversitesi Marshall School of Business’ta ‹flletme Politikas› Profesörü olan Ian I. Mitroff, son mülakatlar›ndan birinde; " ‹flletmeler ya da Bilgi Teknolojileri (BT) Departmanlar›, tan›d›klar› krizlere odaklanma e¤ilimindeler. Kendileri için iyi olmayan bir yaklafl›m. Sizi öldürecek olan tan›d›¤›n›z kriz de¤il bilmedi¤iniz bir fleydir. Günümüzde ekonomik kriz, itibar krizi, insan kaynaklar› krizi gibi çeflitli krizler mevcuttur. Organizasyonlar, 30 y›l öncesine k›yasla daha genifl bir kriz kümesi ile karfl› karfl›yad›r, ve bunlardan biri di¤erinin sebebi veya sonucu olarak ortaya ç›kabilir. BT’de bir kriz baflka yerlerdeki bir krizi tetikleyebilir veya tersi de olabilir. Krizler karfl›s›nda infla etti¤imiz silolar, duvarlar birfley ifade etmez." (Melymuka 2003) Maalesef; e¤er üst yönetimler gereken dikkati ve- remezse, Profesör Mitroff’un uyar›lar› kolayl›kla göz ard› edilebilir. E¤er kurumsal denetimin ifllevi; özellikle bugünün Dünya’s›nda yönetimin gözü, kula¤› olmak suretiyle yönetimi temsil etmek ve ona hizmet etmek ise, çevrenizdekiler Dünya görüflünüze dudak bükseler bile, bu Dünya’ya de¤iflik merceklerle bakabilmeli, kimsenin sormay› ak›l edemeyece¤i sorular› sorabilmelisiniz. E¤er organizasyon içindeki güvenlik ve kontrolleri de¤erlemekle görevlendirilmifl olan bizler bu sorular› sormayacaksak, bu bak›fl aç›s›na sahip olmayacaksak, baflka kimler olsun ? Bilgi teknolojileri ve bu teknolojiler taraf›ndan desteklenen altyap›lara olan talep art›fl› dikkate al›nd›¤›nda, organizasyonun çeflitli krizlere etkin bir yan›t verebilmesi konusunda haz›rl›kl› olup olmad›¤›n›n araflt›r›lmas›, denetim ifllevi berat›na ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 Siber Suç: fiirketiniz 26 27 YEfi‹L KALEM YEfi‹L KALEM flekilde ortaya ç›kmaktad›r. Bu senaryo ya da bunun bir benzeri, reaktif bir organizasyona direkt etki (farkl› seviyelerde olabilen ama ikincil bir zarar veren) edebilir. Böyle bir senaryonun henüz gerçekleflmedi¤ini belli bir kesinlikle ifade etmek mümkün de¤ildir. Bir çok organizasyon iç kontrol sisteminde ve organizasyonel altyap›s›ndaki ihlalleri ve maruz kald›¤› zararlar›, halka aç›klamak konusunda isteksizdir. ‹Ç DENET‹M / K›fl 2004 Kriz Yönetimi, Vaka Çal›flmas› Bu vaka çal›flmas›, yazar›n siber terörizm hakk›ndaki bir seminer sunumunda ilk defa kullan›lm›flt›r. Olay›n vakadaki parametreler do¤rultusunda, kat›l›mc›lar›n kendi organizasyonunda meydana geldi¤i varsay›larak, kat›l›mc›lardan bir çözüm gelifltirmeleri istendi¤inde, ço¤u makul bir aksiyon plan› gelifltirememifltir. Kat›l›mc›lar›n ço¤unlu¤u böyle bir vakan›n kendi organizasyonlar›nda meydana gelebilece¤ine inanmam›fllard›r. Halbuki böyle bir olay meydana gelebilir, ilginç olan henüz meydana gelmemifl olmas›d›r. Yoksa meydana gelmifl midir? Sistem k›s›tlar› ve çevresel faktörlerin daha derinlemesine incelenmesinde; krizlerin ortaya ç›k›fl›n›n asl›nda ne kadar muhtemel oldu¤u kritik bir rilmeden sicil araflt›rmalar› yap›lmakta m›d›r? Neden? Çal›flanlar için bu tür araflt›rmalar›n varl›¤› ifl akdinin devam› için bir zorunluluk haline getirilmeli midir? Çok hassas kabul edilen kurumsal bilgilere eriflim hakk› olan bir çal›flan bu bilgileri yetkisiz kiflilere iffla ederse, bunun yarataca¤› etki nedir? Periyodik sicil yoklamalar›, potansiyel olarak kiflilerin geçmiflindeki "yükümlülükleri" veya maruz kald›klar› durumlar›, -ki bu bilgiler belirsiz kald›¤› müddetçe organizasyon veya personel için bir tehdide dönüflebilirortaya ç›karabilir mi? Profesör Mitroff, kriz yönetimi ile ilgili daha detayl› bir müzakerede, en geç fark edilebilecek ve en büyük zarar› verecek senaryoyu yazabilecek BT personeli, "iç suikastçiler" istihdam etmeyi telkin etmifltir. Bu kifliler ayn› zamanda lise mezunundan doktoras›n› vermifline kadar belli kiflilerin organizasyonu nas›l sabote edebileceklerine bakabilirler. Sonra, siz sözkonusu sabotaj ihtimallerini köreltmek için ne yapabilirsiniz? Böyle bir fleyi bafllang›ç aflamas›nda nas›l fark edebilirsiniz? Organizasyonunuzdaki, kültürünüzdeki, cezaland›rma-ödüllendirme sisteminizdeki hangi unsur böyle bir ifli kabul edecek derecede s›k›lm›fl insanlar yarat›r? (Melymuka 2003) Denetçiler ve birleflik güvenlik uzmanlar› bu öneriyi güvenlik önlemlerini uç noktalara tafl›mak olarak görebilirler. Ama bu takti¤in kendine özgü faziletleri vard›r. Belirli bir çevrede zay›fl›klar›n de¤erlendirilebilmesi, de¤erleyen kiflinin s›rad›fl› ölçüler kullanmas›n›, de¤erlendirmenin farkl› perspektiflere ve bak›fl aç›lar›na göre yap›lmas›n› ve suçlu/teröristin düflünürken sahip oldu¤u zihin kümesiyle düflünmeyi gerektirebilir. Bir suçlu gibi düflünüyor musunuz? E¤er cevab›n›z "hay›r"sa bafllasan›z iyi olur. Siber Zorlama Kurum personeline veya altyap›s›na yönelik suç niteli¤i tafl›yan bask› hafife al›nmamal›, ihmal edilmemelidir. Bu türden bir bask› do¤ru bir ifadeyle kriz durumu olarak de¤erlendirilmeli ve ona göre ele al›nmal›d›r. Personel bask›s›na yol açan durumlar çok çeflitli olabilir. Organizasyonlarda, çal›flanlar›n, özellikle de kritik ve hassas kabul edilen bilgi teknolojileri ve teknoloji altyap›lar›na eriflim hakk› olan çal›flanlar›n geçmiflinin rutin olarak araflt›r›lmas› ve bu konuda prosedürlerin uygulamada olmas› çok önemlidir. Sizin organizasyonunuzda, bilgi teknolojilerine ve altyap›lar›na eriflim hakk› olan çal›flanlardan tesadüfi seçilmifl kifliler üzerinde önceden bildi- Periyodik sicil yoklamalar›, potansiyel olarak kiflilerin geçmiflindeki “yükümlülükleri” veya maruz kald›klar› durumlar› ortaya ç›karabilir mi? Tehditin De¤erlemesi Bask›; zor kullanarak, bir insan› normal koflullarda bir kural olarak alg›lad›¤› için yapmayaca¤› fleyleri yapmaya mecbur etmektir. Bask›, tan›m› itibariyle fiziksel olmak ya da fiziksel veya co¤rafi k›s›tlarla s›n›rlanm›fl olmak zorunda de¤ildir. Bask›, mu¤lak bir kelime olup her türlü kötü imge ve psikolojik imalar›n zihinde bir fikir veya hayal oluflturmas›d›r. Bu vaka çal›flmas›nda faili motive eden faktörler yeterince aç›k de¤ildir. Bu faktörler; normal flirket operasyonlar› ve müflteri hizmetlerini karfl›kl›k içine itmek, basitce gözda¤› vermek, müflterinin güvenini kaybetmesini teflvik etmek, genel finansal dengesizlik yaratmak gibi suça motive eden genel faktörlerin yan› s›ra bir kifliye veya organizasyona karfl› güdülen intikam davas› gibi kiflisel faktörler de olabilir. Afla¤›daki vaka çal›flmas›n›n, cevaplayabilece¤inden çok daha fazla soru üretmesi hedeflenmifltir. Amac› okuyucunun fark›ndal›k seviyesini yükseltmek ve yarat›c› düflünmeyi uyarmakt›r. Bu vaka çal›flmas› tek bir kifliyi bile; organizasyonun krizlerle bafl edebilme gücünü yeniden de¤erlemek, organizasyonun kriz yönetimine haz›rl›k seviyesini yeniden de¤erlemek, reaktif davran›fl tarz›ndan proaktif tarza geçmek, konular›nda motive etmifl olursa amac›na ulaflm›fl say›l›r. Burada sunulan kriz, say›s›z kriz vakas›ndan bir tanesi olup herhangi bir organizasyonun kaderi olabilir. Sizin organizasyonunuz haz›rl›kl› m›? Organizasyonunuz bafl edebilecek midir? Karfl›l›k verebilecek midir? Süregelen operasyonlar›n› devam ettirebilecek midir? Personeline, yurtiçinde veya küresel ölçekte organizasyonunuza güvenen ve dayananlara gerekli güvenceyi sa¤layabilecek midir? Sizin organizasyonunuz reaktif mi? Yoksa proaktif midir? Ek olarak, bu vakada sunulan krizler; cevaplar› aç›k, bilgilendirici, kesin ve çabuk olan sorular sorar. Proaktif tav›rl› olmamak ve krizlere karfl› önceden test edilmifl çözümlerin mevcut olmamas›, organizasyonun finansal olarak çökmesi, ya da daha kötüsü personelin yaralanmas› veya ölümüyle sonuçlanabilir. Bunlar›n hepsini gördü¤ünüzü düflünün? Haz›rl›kl› oldu¤unuzu düflünün? Tekrar düflünün... S‹BER SUÇ: Bir Vaka Çal›flmas› Organzisayonunuzun a¤ yöneticisi ö¤le yeme¤inden döndü¤ünde, masas›n›n üstünde adresli bir manila zarf› buldu. Zarf› açt›¤›nda afla¤›daki içerikle karfl›laflt›. ‹Ç DENET‹M / K›fl 2004 mutlaka dahil edilmifl olmas› gereken bir amaçt›r. Organizasyonunuzda, kriz yönetme kapasitesini de¤erlendirmek sorumlulu¤u kimde ? Organizasyonunuzun, kriz yönetme çabas›, bölümü ya da ekibi var m›? Bu kritik ifllevi kim yönetir? Yoksa bu kritik ifllevin sorumlulu¤u, zaten afl›r› yük alm›fl olan Güvenlik Bölümü’nde mi? Bilgi Teknolojileri Bölümünde mi? ya da ‹flletme Devaml›l›¤› Planlama Ekibinde mi? Kim de? Proaktif organizasyonlar, vizyon sahibidir, her an ortaya ç›kabilecek krizlere karfl› haz›rl›kl›d›rlar. Reaktif organizasyonlar ise maalesef ancak krizler iflleyifle zarar verdikten ya da daha kötüsü organizasyonun ölümüne yol açt›ktan sonra haz›rl›k yaparlar. Sizin organizasyonunuz proaktif mi? Reaktif mi? Teknisyenler güzel, zarif kutularla düflünme e¤ilimindedirler. Proaktif bir flirkette, krizlerin nas›l ortaya ç›kt›¤›na göz att›¤›n›zda, teknolojinin insan taraf›ndan yönetildi¤ini farkedersiniz. ‹nsanlar›n nas›l hata yapt›¤›na, iyi konuflland›r›lm›fl güvenlik planlar›n›n hatayla, ihmallerle, komisyonlarla nas›l ihlal edildi¤ine bakars›n›z. Bilgi teknolojilerinin nas›l ba¤lant›lar, iletiflim olanaklar› yaratt›¤›n›, en iyi güvenlik koflullar›nda dahi sisteme nas›l girilebildi¤ini görmek için flirketin di¤er bölümleri ile dialog kurars›n›z. fiirket ‹çi Kriz Ekibi (‹ç Kriz Ekibi) kurmak istedi¤inizde, ekibi sadece bilgi teknolojileri personelinden de¤il farkl› bölümlerden gelen insanlardan oluflturursunuz. Kar›fl›k bir grup daha zengin senaryolar üretir. Bu senaryolar› de¤erlendirirken ifle bu gerçekleflemez diye bafllamazs›n›z. Siz; "bu gerçekleflti," bunun arka plan›nda olay›n nas›l olufltu¤unu anlamaya çal›fl›n dersiniz (Melymuka 2003). 28 29 YEfi‹L KALEM 1. Bir CD 2. Üzerinde, "Bu CD içeri¤ini saat 15:00’te organizasyonun merkez sunucusuna yükle" yaz›l› bir not. 3. A¤ yöneticisinin aile üyelerinin son bir haftada neler yapt›¤›n› kronolojik olarak listeleyen daktilo edilmifl bir döküman 4. Her bir aile üyesinin kronolojik aktivite listelerine refere edilmifl foto¤raflar› 5. A¤ yöneticisinin baflka bir eyalette yaflayan babas›n›n bugün tarihli ve evi d›fl›nda çekilmifl bir foto¤raf› Saat flimdi 13:30 1. A¤ yöneticiniz nas›l bir karfl›l›k verecek? A¤ yöneticiniz ne yapabilir? 2. Organizasyonunuzda bu tür bir siber terörizme karfl› koyabilmek üzere, önceden haz›rlanm›fl planlar var m›? Organizasyonunuzun Acil Durum Plan›nda ve ‹fllerin Devaml›l›¤› Plan›nda bu durum gerçekçi bir senaryo olarak ele al›nm›fl m›d›r? Neden yan›t›n›z olumsuz? 3. A¤ yöneticiniz ilk olarak kimi aramas› gerekti¤ini biliyor mu? Ailesini mi? Ebeveynlerini mi? Yerel polisi mi? Federal savc›y› m›? fiirket güvenlik personelini mi? Kimi? Dahas› mutlaka birini aramal› m›? 4. Yerel yetkililer, bu olaya dahil olan kiflileri tehlikeye atmadan, böyle bir BT krizine nas›l karfl›l›k verilmesi gerekti¤ini biliyorlar m›? Saat flimdi 14:00 5. Söz konusu taraflar›n olaya dahil edilmesi, durumun siber suçlulara ihbar edilmesine ve baz› insanlar›n ölmesine yol açar m›? Kurumun varl›klar›n›n (binalar, stoklar, d›fl ifllemler lokasyonlar›) tahrip edilmesine yol açar m›? Organizasyonun üretim tesisine veya personeline bir zarar verilmesine yol açar m›? Yerel çapta bir zarar? Bölgesel çapta bir zarar? D›fl ülkelerde bir zarar? 6. Organizasyonunuzun kendi a¤›n›n kopyas›n› (replikas›n›) oluflturma yetene¤i var m›? Böylelikle sözkonusu CD’yi mektupta tarif edildi¤i gibi kopya sisteme yükledikten sonra gerçek bir zarara yol açmadan neler olabilece¤ini görme olana¤› var m›? 7. Organizasyonunuzun, teröristlerin siber hedeflerini tehlike alt›na atmadan, replika a¤› d›fl eriflimler için gerçek a¤ gibi göstererek teröristlere isteklerinin yerine getirildi¤ini göstermek imkan› var m›? Bu bile ak›ll›ca ve mant›kl› bir kumar m›? Neyin kumar›? 8. Organizasyonunuzun yerel a¤›nda, merkezi sunucuya do¤rudan yüklenmifl bir zararl› kodun ‹ddial› ve yarat›c› kriz/tehdit senaryolar› üretmek keyfe keder bir çal›flma de¤il, tüm organizasyonlar›n sald›rgan ve proaktif iflletme devaml›l›¤› planlama stratejilerinin bir parças› olmal›d›r. etkisini bofla ç›karabilecek iç kontroller mevcut mu? 9. Organizasyonunuzun, sistemin genelini etkileyen bir kriz durumunda, kritik bilgileri kompartmanlara ay›rabilme ve bu sayede de kritik bilgilerin güvenli¤ini temin etme yetene¤i var m›? Saat flimdi 14:20 10. Organizasyonunuz, destek olmak üzere ça¤r›lan üçüncü kiflilere, kazara flirket çok gizli bilgilerinin teslim edilmeyece¤ini garanti edebiliyor mu? Yani d›flar›dan sisteme eriflim imkan› verilen üçüncü kiflilere. Ya da bir CD’yi yüklemenin a¤ üzerindeki sonuçlar›n› görmek için eriflim talep eden kiflilere 11. Suçlu, taleplerine uyulmad›¤› gerekçesiyle, üretim tesislerini fiziki hedef olarak belirlerse, bunu savuflturabilmek üzere hangi prosedürler mevcuttur? Suçluya içerden bir bilgi ulaflmas›na mani olmak ve personeli pani¤e sevketmemek kofluluyla bu nas›l baflar›labilir. (Suçlu, iflleyifli kendisi için güvenli bir lokasyondan gözlemliyor olabilir)? Saat flimdi 14:45 12. Böyle bir durumla karfl›lafl›ld›¤›nda; organizasyonunuzda, liderlik, koordinasyon, komuta ve kontrolden kim sorumlu olacakt›r. 13. Arad›¤›nda ailesine ulaflamayan, periflan (muhtemelen) haldeki a¤ yöneticisi ile ilgilenmek kimin sorumlulu¤undad›r? A¤ yöneticisinin, ailesini aramak fleklinde bir bafllang›ç yapmas›na kim müsaade etmifltir? Böyle bir davran›fl durumu daha da riskli bir hale getirmez mi? 14. A¤’›n›za ba¤l› önemli müflterilerinizi ve son kullan›c›lar› (siviller, askeriye, kurumlar v.s.) a¤›n çökmek üzere oldu¤u konusunda uyarmak üzere, organizasyonunuzun önceden haz›rlanm›fl bir plan› var m›? A¤ kapat›lmal› m›? Yoksa kullan›m d›fl› m› b›rak›lmal›? Böyle bir ifl, (a) söz konusu kullan›c›lar› panikletmeden, (b) hassas bilgileri iffla etmeden, (c) organizasyonu öngörülemez yükümlülükler alt›na sokmadan nas›l baflar›labilir. 15. Organizasyonunuzun; kanunen, a¤’›n kapanma problemi ile yüz yüze oldu¤unu üçüncü kiflilere (örne¤in: SEC, Merkez Bankas›, FCC, FTC, vs.) duyurma yükümlülü¤ü var m›d›r? 16. A¤›n veya ilgili BT faaliyetlerinin bir bütün olarak çökmesinin organizasyonunuza nas›l bir finansal etkisi olacakt›r? Do¤uraca¤› yasal yükümlülükler? Yarataca¤› müflteri güveni problemleri? Pazar problemleri? 17. Organizasyonunuzun, bu krizin uygun flekilde kapsanmas› konusundaki plan› nedir? (Yani, herhangi bir kiflinin mevcut kriz durumunu d›fl medyaya tafl›mas›n›n önlenmesi) 18. Söz konusu tehdidin hakiki mi, yoksa sahte mi oldu¤unu nas›l bilebilirsiniz? Saat flimdi 14:55 19. A¤’a ba¤›ml› kritik uygulamalar› ve servisler› alternatif bir sunucu/tedarikçi/site’ye ne kadar h›zl› tafl›yabilirsiniz? Hangi uygulama ve servislerin kritik oldu¤unu nas›l belirlersiniz? Ya da nas›l belirlediniz? Siber suçlunun; hangi operasyonlar›n›za yönelik afet yönetim plan›n›z oldu¤unu bilmedi¤inden, ya da siber suçlunun bu plan› ifllemez hale getirmedi¤inden (mesela tedarikçilerle olan operasyonlar) nas›l emin olabilirsiniz? 20. A¤ yöneticisi, baflka birini CD’den ve nottan bahsetmek üzere arar m›? Ailesinin güvenli¤i için duydu¤u korku, geçmiflte böyle bir fleye maruz kalmam›fl olmas› ve bu konuda hiçbir e¤itim almam›fl olmas› gibi faktörler kifliyi notta yaz›lan direktifler do¤rultusunda hareket etmeye sevk eder, ve sonras›nda kifli binay› terk eder? B A N G – Saat 15:00 Vakit geldi. fiimdi ne yapacaks›n›z? Sonuç Son 24 ayda dünya kimsenin tahmin edemeyece¤i flekilde de¤iflti. Art›k, iddial› ve yarat›c› kriz/tehdit senaryolar› üretmek keyfe keder bir çal›flma de¤il tüm organizasyonlar›n sald›rgan ve proaktif iflletme devaml›l›¤› planlama stratejilerinin bir parças› olmak durumundad›r. Sizin organizasyonunuzda yukar›da söz konusu edilen türden bir kriz durumu ortaya ç›kma ihtimali nedir? Düflük mü? Gerçekçi de¤il mi? ‹nand›r›c› m›? Bilmiyor musunuz? Belli bir fliddette krizin ortaya ç›kmas› kesindir. Yaln›z, ne zaman ve nas›l ortaya ç›kaca¤› sorulmal›d›r. • Bu tür çok kritik opersyonel sorulara verecek somut yan›tlar›n›z var m›? Organizasyonunuzun gerçekçi ve inand›r›c› cevaplar gelifltirmesi ne kadar sürer? • Benzer bir kriz durumuna karfl› organizasyonunuz haz›rl›kl› m›d›r? • Bu türden bir krizi yönetme konusunda, organizasyonunuz kendi haz›rl›k seviyesini test etti mi? Bunu yapmak için herhangi bir plan› var m›? Bunu periodik olarak tekrarlama konusunda bir plan› var m›? • Organizasyonunuzun iflletme devaml›l›¤›n› sa¤lama planlamas› sürecinde; sözü edilen kriz durumlar› ve tehditler sürekli olarak ele al›n›yor mu? Neden al›nm›yor? • Bu vaka çal›flmas› tüm sorumlu kurtarma ve güvenlik tak›m› personeli taraf›ndan paylafl›lm›fl m›d›r? ‹htimal tablolar›nda, organizasyonunuzun finansal güvenli¤ini, gelece¤ini ve personelin güvenli¤ini bahse konu etmek ister misiniz? E¤er yan›t›n›z hay›rsa, akla gelmeyen fleyin gözlerinizin önünde meyana gelebilece¤i gerçe¤iyle yüzleflmenin zaman›d›r. Haz›rl›kl› m›s›n›z? ‹lgili Çal›flmalar Melymuka, K (Nisan 21, 2003) "Facing The Unthinkable" (Akla gelmeyenle yüzleflmek), Computer World, Page 40, www.computerworld.com/managementtopics/management/story/0,108080430,00.html. Albert J. Marcella Jr., BT denetimi ve güvenlik de¤erlemesi çal›flmalar› yürüten ve kimlik h›rs›zl›¤›, gizlilik ve siber terörizm konular›nda e¤itimler veren bir global bilgi teknolojileri ve yönetim dan›flmanl›¤› flirketinde ‹flletme Otomasyon Dan›flmanl›¤› bölümünün baflkan›d›r. Dr. Marcella’n›n son kitab› "Business Continuity, Disaster Recovery and Incident Management Planning : A resource for Ensuring Ongoing Enterprise Operations," 21. yüzy›l organizasyonlar›n›n yaflama kabiliyetini güvenli ve sürekli k›lmak için devaml›l›k planlama prosedürlerini, yöntemlerini ve denetim yaklafl›mlar›n› de¤erler ve derinlemesine analiz eder. Sorular›n›z ve yorumlar›n›z için Dr. Marcella’ya [email protected] adresinden ulaflabilirsiniz. Albert J. Marcella, Ph. D., CDP, CFSA, CISA Çeviri: Süleyman Bafl, CSA Zorlu Grubu ‹ç denetim Md. Yrd., ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 YEfi‹L KALEM 30 31 YEfi‹L KALEM YEfi‹L KALEM ‹ç Kontrol Sistemi Yönetimi ve Operasyonel Risk Yönetimi ile Entegrasyonu Birimlerin risk bazl› kontrolleri iç kontrol mant›¤› ile izlemelerini sa¤lamak ‹ç kontrol merkezi bulgular›n›n hayata geçirilmesini sa¤lamak, izleme ve takip sistemini oluflturmak ‹ç kontrol sisteminin yerlefltirilmesinde yaflanan zorluklar ‹ç kontrol merkezinin yaratt›¤› katma de¤erin ölçülmesi konusunda yöntem belirlemek Gülsen Özten ‹ç Kontrol Merkezi’nin Banka Organizasyonuna Entegrasyonu Türk bankac›l›k sisteminin mevcut yap›s› içinde bankalar iç kontrol süreçlerinde standart uygulamalar yapmad›klar› iki farkl› model uygulamaktad›rlar: Yeni bir yap›lanma olmas› nedeniyle ‹ç Kontrol Merkezinin bankaya entegrasyonu belirli bir süreç dahilinde gerçekleflecektir. Öncelikli olarak günlük faaliyetlerin kontrolü olgusu yerleflmelidir. Organizasyonel olarak ba¤›ms›zl›¤›n›n sa¤lanmas› sonras›nda ifl süreçlerinin analiz edilmesi ve analizler neticesinde kontrol noktalar›n›n tan›mlanarak kontrol periyodunun belirlenmesi önemlidir. ‹lgili süreç tesis edilirken bankada baz› güçlük- B‹R‹NC‹ MODEL ‹K‹NC‹ MODEL Bankac›l›k Sistemimizdeki ‹ç Kontrol Fonksiyonu Yap›lanmas› ‹Ç DENET‹M / K›fl 2004 Yönetmelikte aç›kça tan›mlanan seçilmifl personel uygulamas› risk alanlar›n›n belirlenmesi, süreçteki aksakl›klar›n tespiti ve iyilefltirmelerin k›sa süreli geliflimi aç›s›ndan fayda sa¤lamaktad›r. Bulgular›n üzerine gidilerek düzeltim sa¤lama ile iç kontrolün kalitesi yükselmekte ve eflanl› bulgulara eriflilmektedir. Ayn› zamanda uzaktan ve yerinden iç kontrol merkezi elemanlar›n›n yapt›¤› kontroller ve paylafl›lan bulgular ile birim-flube yönetimi iç kontrol sürecine dahil olmakta, uygunsuzluk seviyesi ve risk bereberce belirlenmektedir. • Risk içeren kontrol noktalar› belirlenir. • Bunlara ba¤l› olarak flubelere ve birimlere iç kontrol elemanlar› yerlefltirilir. • Yerinden kontroller ile proaktif kontrol sistemi sa¤lan›r. • Yerinden kontroller ile daha fazla iflgücü istihdam edilir. • Riskler süreç analizi yap›larak belirlenir. • Riski düflük flube ve birimlere uzaktan kontrol yöntemleri uygulan›r. • Kontrol faaliyetleri ile iliflkili sorunlar anket ve raporlamalar ile üst yönetimden al›n›r. • Kontrollerde harcanan zaman ve maliyetler birinci modelden daha düflük olabilir. ‹ç kontrol merkezi görev tan›m›n› teftifl kurulu ve risk yönetimi ile ortak çal›flma prensiplerini belirtmek ler oluflabilmektedir.Bu güçlüklerin üstesinden gelmek iç kontrol yöneticisinin ve denetçilerin yap›c› ve iyi iletiflim sa¤layarak , iflin amac›n› net ortaya koymas› ile mümkündür. ‹ç Kontrol ile Operasyonel Risk Yönetimi Entegrasyonu ‹ç kontrol ve risk yönetimi faaliyetlere de¤er katmak ve bu faaliyetleri gelifltirmek üzere tasarlanm›fl, ba¤›ms›z ve nesnel bir sa¤lamlama ve dan›flmanl›k organlar›d›r. Süreçlerinin de¤erlendirilmesi ve etkinli¤inin gelifltirilmesinde sistematik ve disiplinli bir yaklafl›m sunarak İş Akışlarını Anlamak Kontrol Mekanizmalarını Geliştirmek Eylem Planı Operasyonel Risk Yönetimi Süreci Mevcut Kontrol Mekanizmalarını Değerlendirmek İş Akışlarını Anlamak kuruluflun hedeflerinin gerçeklefltirilmesine katk› sa¤lamaktad›rlar. Hedeflere ulaflabilmek için do¤ru ve etkin iletiflim son derece önemlidir. ‹ç Kontrol'de amaç, operasyonlar›n etkin olup olmad›¤›n›n, kay›tl› ifllemlerin kanun, ve düzenlemelere, iç politika ve prosedürlere uygun olup olmad›¤›n›n tespitidir. ‹ç Kontrol sadece uygunsuzluklar›n bulunup ortaya ç›kar›lmas› de¤il, uygunsuzlu¤un daha bafl›ndan tespit edilip bertaraf edilmesi demektir. Di¤er bir deyiflle uygunsuzluklar› yaratan durumlar›n oluflumunu engellemek, kontrol mekanizmas›n›n ifllemin yap›ld›¤› anda devreye girip uygunsuzluklara yer vermemesini temin etmeye çal›flmakt›r. Bu aç›dan bak›ld›¤›nda, risklerin azalt›lmas› sürecine sa¤lad›¤› katk› nedeniyle iç kontrol fonksiyonu İş Akışlarını operasyonel riskin Risklilik Açısından Değerlendirmek yönetiminin do¤al bir parças› olarak ortaya ç›kmaktad›r. Gülsen Özten, Finansbank A.fi. ‹ç Kontrol Merkezi Baflkan› Bu makale Risk Yöneticileri Derne¤i’nin bülteninde yay›mlanm›flt›r. ‹Ç DENET‹M / K›fl 2004 Türkiye’de 08/02/2001 tarihli Bankalar›n ‹ç Denetim ve Risk Yönetimi yönetmeli¤inin yay›nlanmas› ile iç kontrol sisteminin yeniden yap›land›r›lmas› ihtiyac› do¤mufltur. Bu yeniden yap›lanma süreci ile risk almay› engelleyici nitelikte olmayan, riski tan›mlayan, yöneten, izleyen ve yol gösterici bir kimlik tafl›yan, kontrollerin dönemsel mant›kla yap›lmad›¤›, risk odakl› ve k›sa süreli yap›ld›¤› yap›c› bir sistemin yerlefltirilmesi hedeflenmektedir. ‹ç Kontrol kültürünün yayg›nlaflt›r›lmas› ve iç kontrol bulgular›n›n yap›c› ve iyilefltirici rol oynamas› ile iç kontrol kuruma katma de¤er sa¤layan bir yap›ya ulaflacakt›r. K›sa süreli yap›lan kontrol faaliyetleri sonucunda ulafl›lan bulgulara olumlu yaklafl›m ve genele yay›lan sorunlara düzeltici faaliyet uygulanmas› ile sistem etkin hale gelmektedir. 32 33 PERÇ‹N PERÇ‹N ‹ç Denetim Departman Yönetiminde Etkinlik 2 Ali R›za Eflkazan ‹ç Denetim Departman Yönetiminde Etkinlik – I bafll›kl› yaz›m›zda departman›n organizasyonel statüsü ve operasyonel gereklilikleri; organizasyonel statünün gelifltirilmesi, uzun dönemli planlama ve risk de¤erlemesi, denetim el kitaplar›n›n gelifltirilmesi, faaliyet raporlar› ile yönetimin talep etti¤i ürünün önemi alt bafll›klar›nda detayl› olarak ele al›nm›flt›r. ‹ç denetim departman yönetiminin etkinli¤ine katk› sa¤layan di¤er önemli faktörler ise operasyonel gerekliliklerinin tamamlay›c› unsurlar› olan insan kayna¤› yönetimi ve iletiflim becerileridir. ‹ç Denetim departman yöneticisi (CAE), departman›n›n insan kaynaklar›n› seçme ve yetifltirme sürecinde oluflturaca¤› program›n afla¤›daki unsurlar› içermesine dikkat etmelidir. l Denetim personelinin her seviyesi için yaz›l› ifl tan›mlar› gelifltirmek. l Kalifiye ve yeterli kiflileri seçmek. l Her iç denetçi için sürekli e¤itim f›rsatlar› sa¤lamak. l Her iç denetçinin performans›n› en az›ndan senelik olarak de¤erlendirmek. l ‹ç denetçilere, performanslar› ve mesleki geliflimleri ile ilgili yard›m sa¤lamak. ‹Ç DENET‹M / K›fl 2004 ‹ç Denetim Görev Tan›mlar› Mesleki uygulama standartlar›nda iç denetim departman› insan kayna¤› yönetimi "‹ç denetim yöneticisi onaylanm›fl plan› uygularken iç denetim kaynaklar›n›n uygun, yeterli ve etkin kullan›lmas›n› sa¤lamal›d›r" fleklinde tan›mlanm›flt›r. Bu çerçevede iç denetim departman› çal›flanlar› için görev tan›m ve sorumluluklar› yaz›l› olarak oluflturulmal›d›r. Yaz›l› görev tan›mlar›n›n oluflturulmas›; l Denetçilerin görev ve sorumluluklar›n›n tan›mlanmas›n› sa¤lar. Firman›n çal›flanlardan beklentilerini belirler. ‹ç denetim faaliyetini personel planlamas› yapmaya zorlar. l ‹fl ihtiyaçlar›n› aç›kça ifade ederek yeni personel teminini kolaylaflt›r›r. l Objektif terfi kriteri sa¤lar. l Ücret ayarlamalar› için kullan›l›r. Görev tan›mlar› dikkatlice yap›lmal›, en iyi iç denetçi seviyesi göz önüne al›nmal›d›r. Genifl organizasyonlarda iç denetim departman› hiyerarflik yap›s› afla¤›daki gibi oluflturulabilir. l Denetim Yöneticisi (Cheif Audit Exceutive) l Denetim Müdürü (Audit Manager) l l l Personel Seçimi ve E¤itimi ‹ç denetim üst düzey bir fonksiyondur ve üstün nitelikli personele ihtiyaç duyar. Denetim Yöneticisinin (CAE) vizyonu ve yönetimin yüksek beklentileri, ifli yapmak için gereken do¤ru personel olmaks›z›n sadece arzudan ibaret kal›r. Üst yönetim, iç denetim ihtiyac›n›n artan önemine paralel denetim yöneticisinden (CAE) daha derin denetim yaklafl›mlar› bekler. ‹ç denetimin statik bir fonksiyon olmamas› ve sürekli geliflim göstermesine ba¤l› olarak yönetim modern iç denetim hizmetleri için taleplerini artt›rd›¤›nda her denetçi yeteneklerinin kapasitesini geniflletebilmelidir. Denetim için do¤ru personelin seçimi, oryantasyonu, geliflimi ve de¤erlendirilmesi denetim yöneticisinin (CAE) sorumlulu¤undad›r. ‹ç denetim yöneticisi personel seçiminde profesyonel yetenek ile karakter kalitesini göz önüne almal›d›r. ‹ç denetçinin muhakeme gücü, anlama gücü ve analitik düflünme yetisi yüksek olmal›d›r. ‹ç denetçiler iç denetimin uygulanmas› için hayati önem tafl›yan bilgi, beceri ve gerekli di¤er unsurlara sahip olmal›d›rlar. E¤itim profesyonel yetene¤in gelifliminin ilk basama¤›d›r. Bunu deneyim takip eder. ‹ç denetçiler teknik yeterliliklerini devaml› e¤itim yoluyla korumal›d›rlar ve mesleki yeterliliklerini korumak ve e¤itimlerini devam ettirmekten sorumludurlar. ‹ç Denetim departman yöneticisi, iç denetçilerin iç denetim standartlar›, prosedürler ve tekniklerle ilgili en son geliflme ve de¤ifliklikler konusunda bilgilenmelerini sa¤lamal›d›rlar. Personel e¤itiminin amaçlar›; l Daha iyi ifl yapmak için iç denetime destek sa¤lamak. l ‹ç denetim departman›na çok yönlülük eklemek. l Denetim becerisinin geliflimine yard›mc› olmak. l Terfi için denetçiyi haz›rlamak. l Denetçinin ifl memnuniyetini gelifltirmek, firmaya sadakatini ve verimlili¤ini artt›rmakt›r. Sürekli e¤itim meslekle ilgili kurulufllara üyelikler, konferanslara, seminerlere, kurslara, araflt›rma ve projelere kat›lmakla sa¤lanabilir. Yeterli bir iç denetçi oryantasyon program›, ye- Denetçi-Denetlenen iliflkilerinin gelifltirilmesi için; iç denetçiler görevlerini yerine getirirken geleneksel denetim anlay›fl› yerine dan›flman nitelikli kat›l›mc› yaklafl›m› tercih etmelidirler. ni çal›flanlar›n öncelikle verimli hale getirilmesini sa¤lar. Oryantasyon program› iyi tasarlanmal› ve uygulama sonuçlar› de¤erlendirilmelidir. Tasarlanan programlar çal›flanlar›n flirket politikas› ile yak›nlaflmas›na destek olmal›d›r. ‹letiflim Kanallar›n›n Etkin Yönetimi ‹ç denetçiler uygulamalar›nda teknik yetenek ve firman›n her seviyesindeki çal›flanlar ile iliflki kurabilmek gibi yüksek standartlara sahip olmal›d›r. Yönetim uyumlu iç denetçiler esas olarak çal›flanlar ile temas halindedir. ‹htiyaç duyulan bilgilerin elde edilmesi ve denetim bulgular›na iliflkin düzeltici faaliyetlerin uygulanmas›ndan emin olmak için iç denetçiler denetlenenler ile iyi iliflkiler gelifltirmek ve sürdürmek zorundad›rlar. Bir yanda denetlenen iflbirli¤inden yararlanmak, di¤er yanda yolsuzluk olas›l›¤›n› uyarmak ve bulgulara ulafl›ld›¤›nda konuyu araflt›rmak, bir yanda uygulama yöneticilerinin güvenini kazanmak, di¤er yanda üst yönetime eksiklik bulgular›n› raporlamak ve bir yanda bordro yükünün üst yönetimin üzerinde olmas› (CEO), di¤er yanda üst yönetimin sorumlulu¤undaki faaliyetlerin yönetim kuruluna raporlanmas› gibi hususlar denetçi ve denetlenen aras›ndaki iliflkiyi karmafl›k bir hale getirmektedir. Bu durumda iç denetçinin çeflitli dengeleri bir arada gözeten iletiflim yetene¤ine ihtiyaç duyulur. Denetçi-Denetlenen iliflkilerinin gelifltirilmesi için; iç denetçiler görevlerini yerine getirirken geleneksel denetim anlay›fl› yerine dan›flman nitelikli kat›l›mc› yaklafl›m› tercih etmelidirler. Ali R›za Eflkazan, DOSA Denetim & Organizasyon & Sistem Analizi Kurucu Orta¤›d›r. ‹Ç DENET‹M / K›fl 2004 Denetim Süpervizörü (Audit Supervisor) Denetim Uzman› (Senior Auditor) l K›demli Uzman Yard›mc›s› (Semi-Senior Auditor) l Uzman Yard›mc›s› (Junior Auditor) l 34 35 PARMAK ‹Z‹ PARMAK ‹Z‹ Veri Güvenli¤i ve Kontrolü 2 ‹Ç DENET‹M / K›fl 2004 Serdar Güzel Veritaban›ndaki kay›tlar›n düzeninin bozuldu¤unun saptanmas› için baz› yöntemler belirlenmelidir. ‹fllem kontrolleri afla¤›dakileri sa¤layan kontrolleri içermelidir. • Önceki döngü sonu dengesi, mevcut döngü bafllang›ç dengesine eflit olmal›. • Döngü bafllang›ç dengesi ve döngü periyodu toplam› sürecindeki ifllemler mevcut döngü sonu dengesine eflit olmal›. • ‹lk aflamadan sonraki ana dosya dengesi aç›l›fl dengesi ile ilk ifl ad›m›ndaki ifllemlere eflit olmal›. Bu kontroller bazen run-to-run kontroller, döngü kontrolleri veya step-to-step olarak adland›r›l›r. Terimler standartlaflmam›fl oldu¤undan, bu bölümde bu tür bütün kontrollere dengeleyeci kontroller denecektir. Bu dengeleyici kontrolleri hayata geçirmenin en iyi yöntemi, denetimin bilgisayar program› taraf›ndan yap›lmas›n› sa¤lamakt›r. Kontrol toplamlar›, ayr› bir kay›t tipine veri dosyalar›nda eklenebilir ve program ifllemlerin ve ana dosyalar›n düzgün biçimde ifllenip ifllenmedi¤ini belirleyecek ifllemler yapabilir. Bilgisayar istenildi¤i flekil- de programland›¤›nda, kullan›c› yöntemleri kontrol toplamlar› dengede olmad›¤› zaman at›lacak ad›mlar› tan›mlamal›d›r. (Ör, operatör ifle devam etmekten veya veriyi de¤ifltirmekten al›konulmal›d›r.) Bu yöntem operatörlerin etkin e¤itimiyle veya bilgisayar› denge-düzen-d›fl› bir durum olufltu¤unda ifllemi iptal etmeye programlamakla gerçeklefltirilebilir. Bunlar›n d›fl›nda ana dosyalar› kontrol toplamlar›yla eflitleyecek bir yöntem de olmal›d›r. Kullan›c› departman› bu dengeleme yöntemiyle ilgilenmelidir. (ör- bir alacaklar hesab› dengesi ana dosyas› oluflturulabilir. Düzenli aral›klarla dosya toparlan›p miktar ve hesap say›s› ana kütükle ve di¤er uygun kontrol toplamlar›yla dengelenebilir.) Dengelemeler yeteri s›kl›kta yap›lmal›d›r ki saptanan sorunlar kolayca düzeltilebilsin. Çoklu mant›ksal görüfllerin, bütün bir fiziksel dosya için tek bir kontrol ile en eksiksiz kontrolü sa¤lamak için her eriflim yoluna ayr› bir kontrol kayd› aras›nda bir seçim gerektiren tek bir fiziksel dosyaya yerlefltirildi¤i bir DBMS’de dosya dengeleme tekniklerini göz önüne almak çok Reddedilen ‹fllem Kontrolleri Birçok sistem ana dosyalar› güncellemeden önce hatal› mesajlar› reddedecek biçimde tasarlanm›flt›r. Kontroller reddedilen ifllemlerin kaybolmad›¤›n› ve sonradan uygun düzenleme/geçerlilik ifl aflamalar›yla iflleme sokulmas›n› sa¤lamal›d›r. Reddedilen ifllemlerin kontrole tabi olabilmesinin iki yolu vard›r. Geliflmifl bir sistemde kontrol temelde bilgisayar uygulamas›n›n içinde olabilir. Bilgisayar sistemi reddedilen ifllemlerin bir bilgisayar kaynakl› (suspense) ask› dosyas›n› bulundurur ve ifllemler yeniden girilene dek düzenli bildirimlerde bulunur. Daha az geliflmifl bir sistemde kullan›c› reddedilen ifllemler üzerindeki kontrolleri izler ve bunlar›n tekrar iflleme girmelerini sa¤lar. Kullan›c› yanl›fl girdiyi düzeltecek yeterince bilgiyi içerecek reddedilen ifllemlerin bir yaz›c› ç›kt›s›n› elinde bulundurmal›d›r. Kullan›c›, reddedilen ifllem listelerinin h›zl›ca incelenmesini ve hatalar›n zaman›nda düzeltimini sa¤layacak bir özel yönteme sahip olmal›d›r. Bu kontroller ifl görmüyorsa, reddedilen ifllemlerin uygun biçimde düzeltilmedi¤i, ve tekrardan reddedilece¤i sonucuna varabiliriz. Daha da önemlisi reddedilen ifllemler sistem taraf›ndan tümden göz ard› edilerek iflleme sokulmayabilir. Bilgisayar kaynakl› bir ask› dosyas› kullan›m› reddedilen ifllemleri izleyebilmek ad›na önem arz etmektedir. Bütün reddedilen ifllemler ayr› bir dosyaya yaz›l›r ve bu dosya bir ana dosya gibi muamele görür, reddedilen ifllemlerle ilgili rapor düzenli aral›klarla haz›rlan›r. Raporlar kullan›c›ya düzeltmeleri yapmada ve ifllemleri sistem yoluyla tekrar girmede yard›mc› olacak flekilde tasarlanmal›d›r. Tekrar girilen ifllemler bütün veri geçerlilik denetimi prosedürlerini de içeren bü- Dengeleyici kontrolleri hayata geçirmenin en iyi yöntemi, denetimin bilgisayar program› taraf›ndan yap›lmas›n› sa¤lamakt›r. tün sistem boyunca ifllenmelidir. Kurulu prosedürlerden sapmalar tekrar girilen ifllemlerde kabul edilmemelidir çünkü bu ifllemler yine yanl›fl girilebilir. Bu ifllem düzeltilen ifllemin reddedilen dosyadan ç›kar›lmas›n› sa¤layacak flekilde tasarlanmal›d›r. Ç›kt› Kontrolleri Ç›kt›lar›n da¤›t›mlar›, bunlara sadece yetkili personelin ulaflaca¤› flekilde tasarlanmal›d›r. ‹flleme giren verilerin bir k›sm› gizli nitelikte olabilir. Bu tür ç›kt›lar›n düzgün da¤›t›ld›¤›ndan emin olmak için, IS fonksiyon kontrol grubunun, (veya da¤›t›mdan kim sorumluysa, departman taraf›ndan ifllenecek bütün verilerin zaman çizelgesini, sonuç raporlar› veya dosyalar›n›, haz›rlanacak kopya say›s›n› ve bunlar›n da¤›t›m›n› düzenlemesi gerekir. ‹fllemler tamamland›ktan sonra ç›kt› raporlar›, (girdi ifllemlerinin listeleri) ve girdi dokümanlar› ifllemi bafllatana geri döndürülmelidir. Bu kontroller kullan›c›ya girdinin do¤ru oldu¤u yönünde güvence vermek üzere tasarlan›rlar. Kullan›c› girdi ve ç›kt› toplamlar›n› bütün sunulan veriler için uyumlaflt›rmal›d›r. Toplu bir kontrol prosedürü varsa, girdi kümeleri ç›kt› raporu üzerine bas›l› toplamlarla denklefltirmelidir. Ç›kt› makul olup olmad›¤› aç›s›ndan, kullan›c› departman›n yönetimi taraf›ndan da incelenmelidir. Ç›kt› ehil biri taraf›ndan incelenmezse ifllem hatalar› tespit edilemeyebilir. K›ymetli Evraklar Bilgisayar ç›kt›lar› k›ymetli evraklarsa özel kontroller gereklidir .(Ör. K›ymetli evraklar bafllang›ç numaralar› yazd›rma program›na bir parametre sa¤layacak flekilde kontrol edilmedir, geçifllerde güvenli¤i sa¤lanmal› ve dikkatlice gözden geçirilmelidir.) Çekler IS fonksiyonuyla imzalanmamal›d›r; kullan›c› bölümünde gerekli yetkideki biri taraf›ndan, imzalanmal› veya onaylanmal›d›rlar. On-line Kontroller Bu bölüm toplu ve online sistemler aras›nda farklar›, online ifllemlere özgü baz› sorunlar ve online ifllemlerin gerektirdi¤i özel yöntemleri anlat›r. Online sistemler üç gruba ayr›labilir: • Online sorgulama, toplu veri girifliyle, toplu dosya güncellemesi. • Online sorgulama online veri girifliyle, veri sorgulama, veri geçerlilik sorgulamas›, veri toplamas›; toplu veri güncellemesi. • Online sorgulama online veri girifliyle; online dosya güncellemesi ‹Ç DENET‹M / K›fl 2004 önemlidir. Her iki seçimde de, toplamlar› kontrol kay›tlar›yla dengelemek için mant›k dosyas›n› veya fiziksel dosyay› periodik olarak elden geçirecek ayr› bir rutin gerekecektir. 36 37 PARMAK ‹Z‹ Afla¤›daki kontroller, her üç tip online ifllemi de ilgilendirir. • Dosyalara eriflim ve ifllemlere girifl flifre kullan›m›yla kontrol edilmelidir. Girifl terminalinde flifreler gösterilmemelidir ve yetkisiz personelin bunlar› ö¤renememesi için, düzenli aral›klarla de¤ifltirilmelidir • Sisteme girmek için yap›lan baflar›s›z giriflimler izlenmeli böylece güvenlik önlemleri "denemeyan›lma" yöntemiyle afl›lamamal›d›r. Afla¤›daki kontroller de yukar›da sözü geçen son iki online sistemi ilgilendirir. • Terminal operatörleri sadece verileri girip ö¤renme hakk›na sahip olmal›d›rlar. Programlar› ve sistem yaz›l›mlar›n› de¤ifltirebilmelerinin önüne geçilmelidir. Ayn› flekilde, programc›lar üretim dosyalar›na ulaflamamal›d›r veya izinsiz üretim programlar›n›n üzerinde de¤ifliklik yapamamal›d›rlar. • Programlar kullan›c›n›n kimlik bilgilerini denetlemelidir ve girilen bir ifllemin o yerdeki terminalden ve/ya o kullan›c› ad›yla girifle yetkisi var m›d›r s›namal›d›r. • Programlar ifllem say›lar›n›n ve kümülatif de¤erlerinin kontrol toplamlar›n› saklamal›d›rlar her gün her terminalden girilen her ifllemin izini sürerek bu gerçeklefltirilebilir. Afla¤›da her grup online sistemin ayr›nt›l› tan›mlar› bulunmaktad›r: • Online sorgulama; toplu veri girifliyle; toplu dosya güncellemesi; Bu yaklafl›mda bir terminaldeki operatör bilgisayara eriflebilir ve en son güncellenmesinden sonraki bir hesab›n durumunu ö¤renebilir, ama ana dosyadaki kay›tlar› de¤ifltiremez. Kay›tlar›n de¤ifltirilmesi için, toplu veriler ifllemlerin yap›ld›¤› bilgisayar tesisat›na gider.(ör. Bir kredi yetkilendirme sisteminde, kredi müdürü, baz› hesaplara eriflebilir ve hesaplar›n mevcut durumunu bulabilir, ama bilgisayar dosyalar› toplu ifllem yoluyla güncellenir. Bu durumda uluslararas› muhasebe kontrolleri her türlü ifllemlerin toplu ifllenmeleri üzerindeki kontrolleri vurgulamal›d›r. Benzeri bir durum da uzak ifl girifli kullan›m›nda ortaya ç›kar. Burada uzak birimlerden gelen veriler bir terminal yoluyla y›¤›nlar halinde girilir. Örne¤in, operatör bir teslimatla ilgili toplu kontrol bilgisiyle toplu veri girifli yapar. Program toplu kontrol bilgisini uyumlulaflt›r›r ve y›¤›n›n dengeli olup olmad›¤›n› belirten bir mesaj atar. Sonradan, dosya dengelenen y›¤›ndan veriler kullan›larak güncellenir. Online Sorgulama, Online Veri Girifliyle, Veri Geçerlilik Denetlemesi, Veri Toplanmas› ve Toplu Dosya Güncellenmesi Online veri girifli ve toplanmas›nda veriler bir terminal vas›tas›yla girilir veya bir kasede ya da disk dosyas›na aktar›l›r. Sonra, veya girifl zaman›, ifllemler düzenlenir ve ana kay›tlar›n bir sonraki toplu dosya güncellemesi için bir kay›t veya not dosyas›nda saklan›r. Terminaldeki kullan›c› bilgisayardaki ana dosyalar› do¤rudan de¤ifltirme yetkisine sahip de¤ildir. Bu sistemler toplu sistemlerdekine benzer biçimde kontrol edilmelidirler. Toplu kontroller kullan›c› bölümü taraf›ndan biriktirilip, bilgisayar program› taraf›ndan gelifltirilen ifllem toplamlar›yla uyumlaflt›r›l›r. Online Sorgulama, Online Veri Girifli, Online Dosya Güncellemesi Kontrolde en karmafl›k sistem, bir on-line dosya güncelleme sistemidir ki burada operatör terminali bilgisayar dosyalar›n› birim zamanda tek bir ifllem girifliyle günceller. Bu tür bir sistemde, toplu kontroller olmayabilir. Bu tip sistemler, bilgisayar dosyalar›n› hatal› ve/veya yetkisiz ifllemlerden koruyacak yo¤un programlama ifllemleri kontrolleri gerektirir. Etkin olabilmek için bu kontroller kullan›c› bölümündeki bilgisayar yaz›c›s› ç›kt›s›yla ciddi bir incelemesiyle birlikte gerçeklefltirilmelidir. Online Kontrolde Önemli Noktalar gösterilmelidir. Bu kritik iletiflim kontrol ifllevleri flunlar› kapsayacak biçimde düzenlenmelidir: • Güvenlik kimlik bilgisi kodu ve mesaj bafll›¤› geçerlilik denetimi. • Mesaj kay›tlar› • Mesaj s›ras› düzeni üzerindeki kontroller. • Düzgün uygulama program/modüllerinin devreye sokulmas›. • Veri yönetimi eriflim arayüzü. Bu hedeflere ulaflabilmek için, veri güvenli¤i yaz›l›m yordamlar› gelifltirilip ifllem ve ana dosya verilerinin yanl›fll›kla ya da kas›tl› biçimde yetkisiz kiflilerce görülmesi veya yetkisizce de¤ifltirilmesi ve/ya yok edilmesi önlenmelidir. Veri güvenli¤i yaz›l›m›, her veri grubunun, içeri¤indeki bütün de¤ifliklikleri kontrol eden yaln›zca bir tan›ml› sahibi veya grubu olmas›n› sa¤lamal›, ve bireysel veri gruplar›n›n içeriklerini kimlerin inceleyebilecek ve görebilece¤ini saptayan kullan›c› tan›mlar›n› içeren bir yetki tablosunu bar›nd›rmal›d›r. Her üç tip kontrol grubu için de, kurumsal bilgilerin gizlili¤in tehlikeye girmemesi aç›s›ndan sorgulama süreci yeterince kontrol edilmelidir. Sözü geçen son iki tip online sisteme özgü baz› sorunlar flunlard›r: • Kullan›c› terminalinden bilgisayara ifllemlerin iletimlerinde, veriler kaybolabilir veya de¤ifltirilebilir. • Çal›flanlar terminallerden ifllem giriflleri yapabilirler, böylelikle hatal› ve/ya yetkisiz ifllem faaliyetlerinin oluflmas› riskini art›rabilirler. • Online güncelleme kullan›l›rken, kullan›c› ifllemlerin, bir ifllem hatas› ol‹fiLEMC‹ A ‹fiLEMC‹ B ‹fiLEMC‹ C du¤unda yeniden iflleme sokulabilmesini sa¤layacak ‹fllemler Borçlar Hesab› Alacaklar Hesab› Siparifl ‹fllemleri Faturaland›rma özel yordamlar gereklidir. Yeterli düzeyde donan›m Veriler Müflteri Verisi Müflteri Verisi Müflteri Verisi ve/ya yaz›l›m veri iletimi deÜrün Verisi Ürün Verisi Ürün Verisi Konum Verisi Konum Verisi Konum Verisi netimi yordamlar› uygulamaya konulmad›¤› takdirde, Müflteri De¤ifltir Sipariflleri De¤ifltir Müflterileri De¤ifltir iletiflim hatlar›ndaki veri ‹fllevler Müflteri Sorgula Ürün Tan›m›n› De¤ifltir Müflterileri Sorgula gönderimi verilerin bozulÜrün De¤ifltir Müflterileri Sorgula Sipariflleri De¤ifltir mas› veya saptanmadan kayÜrünü Düzelt Fiyatlar bedilmesi gibi riskler içerir. Ayr›ca bir toplu ifllem sisteminde, dosyalar›n hangi s›rayla aç›laca¤›n› ve Kullan›c› Tan›m› Geçerlilik Denetimi hangi ifllerin dosya paylaflabilme yetkisi oldu¤unu Terminallerden veri girifllerini onaylamak için belirleyen önceden tan›ml› ifl kontrol komutlar› olçokça kullan›lan bir yordam her veri girifli iflleminmas› yayg›n bir durumdur. Bir online ifllem sistede kaynak terminal ve/ya özel kullan›c›n›n o tür minde, dosyalar›n kullan›ld›¤› ve ifllem görevleribir ifllemi girmeye yetkili olup olmad›¤›n› do¤rulanin uyguland›¤› s›ralama düzeni, uzak terminalyan bir güvenlik program› kullanmakt›r. lerden gelen ifllemlerin tahmin edilemeyen var›fl Kullan›c› girifli sürecinde ilk ad›mda kullan›c›, tas›ralamalar›na bir yan›t biçimde gerçekleflir. Bu n›mlama kodunu girmelidir. Bu tan›mlama kodu, yüzden online sistemlerde dosya eriflimleri üzeterminale atanan bir dizi geçerli kullan›c› kodlarinde art›r›lm›fl kontroller gereklidir. r›yla karfl›laflt›r›l›r. Ayn› zamanda sistem kullan›lan Online sisteme do¤rudan girifl için daha da çok terminali, terminal konumu tan›mlamada kullan›kiflinin veri girebiliyor ve onaylayabiliyor olmac› tipi bulundurarak veya terminalin merkezi ifls› baz› verilerin yanl›fl girilebilmesi riskini bülemciye mesaj gönderdi¤i her zaman kendi özgün yük ölçüde art›r›r. Bu da art›r›lm›fl veri girifl tan›mlay›c› kodunu oluflturarak tan›mlayabilir. kontrollerine öncelik verme zorunlulu¤unu geKullan›c› tan›mlay›c› kodlar› yetkisiz kiflilerce tirir. Programlara yeterli kontrol bulunan veri gikolayca oluflturulamayacak düzeyde özgün olrifl yordamlar›n›n dahil edilmesi için özel çaba mal›d›r. Kullan›c›n›n tan›mlanmas›n›n geçerlilik ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 PARMAK ‹Z‹ 38 39 PARMAK ‹Z‹ PARMAK ‹Z‹ Güvenilir ve sa¤lam bir online ifllem sistemi gelifltirmek için yararl› bir teknik de belirli terminallerin ve/ya kullan›c›lar›n, sadece seçili ifllemleri veya ifllem kümeleriyle s›n›rlamakt›r. Uzak Veri Girifli ‹fllemleri ‹çin Yetkilendirme Toplu ifllemlerde, kullan›c› bölümleri kaynak veri yetkilendirmesi, kaynak doküman›n girifl yapan kayna¤›n ilk harflerinin girilmesini zorunlu k›lacak bir flekilde haz›rlanmas›yla sa¤lanabilir. Kaynak veri onay› bütün kaynak dokuman› y›¤›n› iletiminden veya ifllenmesinden önce süpervizör taraf›ndan verilebilir. Uzak konumlardan gelen kaynak veri online ifllem sistemlerinde, bilgisayar kaynak veri yetkilendirmesini ifllemlerin ayn› ekranlarda onay›n› sa¤layacak biçimde programlanmal›d›r. Genelde kullan›c›lar tan›mlama flifrelerinde bulunan kategori kodlar›yla tan›mlan›rlar. Kullan›c›n›n çeflitli uygulama programlar›na ve /veya dosyalar›na eriflim yetene¤i, ya giriflte kullan›lan tan›mlamalara ya da ikinci düzey yetkilendirme gereklerine ba¤l›d›r. (ör.bireysel programlar ve/ya dosyalara eriflilmesinden önce, ayr› ayr› flifreler girilir) Bu tan›m kodu,her kullan›c›y› listeleyen ve her kullan›c›n›n kullanmaya yetkili oldu¤u program› veya ifllemi tan›mlayan dahili olarak muhafaza edilen bir yetki tablosuyla do¤rulan›r. Bir veri dosyas›na eriflimi k›s›tlamaya yarayan özel bir flifrenin kullan›m› merkezi kontrol sistemi aç›s›ndan hayli etkilidir. Bu düzen çerçevesinde, sistem güvenlik idarecisi, her kullan›c›n›n her biri flifreyle korunan veri dosyas›yla ilgili kullan›c›n›n oluflturma, eriflme, güncelleme, veya silme yetki s›n›rlar›n› kodlu biçimde niteleyen yetki tablolar›ndaki flifreleri kontrol eder. Birçok sistemde bütün dosyalar›n veya veri dosyalar›n›n flifre korumas› yeterlidir. Hassas verilerin ayr›flmas›n›n mümkün olmad›¤› öbür durumlardaysa, kullan›c› yetki tablolar›na ba¤l› flifreler afla¤›dakilerin üzerinde kontrol sa¤lamak için geniflletilebilir. • Veri dosyalar›ndaki bireysel kay›tlar • Bir veri dosyas› içindeki bireysel kay›t veya kay›t türü gruplar› • Seçili kay›t türleri içindeki bireysel veri unsurlar› Online Veri Geçerlilik Denetimi ‹fllem geçerlilik denetimi her ifllem tipinin geçerlili¤inde kullan›lan rutinler ve parametreler için ayr› ayr› kay›tlar, ve geçerlilik denetimi için gereken fazladan ifllemler yüzünden yan›t süresinde hafif bir art›fl gerektirir. Ancak, online veri dosyalar›n›n bütünlü¤ünün yeterli düzeyde korundu¤u güvenilir bir sistemin tasar›m› yo¤un bir veri geçerlilik denetimine ihtiyaç duyar. Saptanamam›fl hatalar› bulunan ifllemlerin iletilmesi yüzünden sistem dosyalar›nda birikebilecek hatalar›n düzeltilmesi için gereken zamanla karfl›laflt›r›ld›¤›nda yan›t zaman›ndaki art›fl çok küçüktür. Bir online sistemce iflleme sokulacak bir ifllem afla¤›daki geçerlilik denetimi testlerinden geçirilmelidir: • Her bir operatör ve/ya süpervizör için uygun yetki ve/ya onay kodlar›n›n denetimi • Bütün tan›m anahtarlar›ndaki hanelerin denetimi • Dengelemeye tabi tutulmayan bir rakamsal veri dizisinin sonundaki hanelerin denetimi • Girdi veri de¤erlerinin istatistiksel analizlerine dayal› kapsam ve/ya limit testleri • Rakamsal veya sadece-alfa veri alan› testleri • Veri de¤erlerinin ya öbür girdi veri alanlar›yla ya da ana dosya içerikleriyle tutarl› olup olmad›¤›n› belirleyen kapsaml› iliflki testleri Önemli bir veri geçerlilik denetimi türü de ana dosya verisi online oldu¤u için hesap numaralar›n› veya öteki tan›mlama kodlar›n› as›l ana dosya kayd›yla karfl›laflt›rmakt›r. Ayr›ca ifllem alan› içeriklerinin de de¤erlerini kontrol etmek mümkündür. Böylece haftal›k çal›ma saatlerinin 40 saat +/25%olarak belirlendi¤i bir durumda, haftal›k çal›fl›lan saat say›s› olarak 60 saatin girilmesi reddedilebilir, çünkü bu de¤er kabul edilebilir de¤er s›n›r›n› aflmaktad›r. ‹fllem reddedilebilir ve kaynak terminale; ifllemin haftal›k çal›flma süresi olarak girilen 60 saatin geçerli bir veri de¤eri olmad›¤› için reddedildi¤i mesaj› gönderilebilir. Reddedilen ‹fllemler ‹çin Ask› Kay›tlar›n›n Düzenlenmesi Toplu sistemlerdeki reddedilen ifllemler üzerindeki kontrolü sürdürebilmek için tasarlanan sistem özelli¤indeki gibi, hatal› ifllemler de bir memo veya ask› hesab›na kaydedilebilir. Hata kayd› hata türünü, tarihini, saatini, ifllem türünü, terminal ta- n›m›n› ve ifllemin içeri¤ini bildirecek bir kod bulundurmal›d›r. Bu memo veya ask› kay›d› yetkili terminalden girilen bir düzeltme ifllemiyle ifllem düzeltilene dek ayr›ca korunmal›d›r. Bir hata mesaj›n›n kaynak terminale saptanan hata türünün ve bildirimi ve düzeltme istemiyle geri gönderilmesi çok büyük önem tafl›r. Düzenli aral›klarla, düzeltme bekleyen bir eski hatalar listesi, ç›kt› olarak elde bulundurulmal› ve her veri girifl alan›ndan sorumlu süpervizöre gönderilmelidir. Bu yordam düzeltilmemifl hatalar› asgari düzeyde tutmaya yarar. Veri girifl operatörlerinin etkin e¤itimiyle ve belirtilen s›k› kurallara ba¤l› kal›narak, online sistemlerde net hata oran› toplu ifllemdekilerden düflük tutulabilir, ancak ifllem parçalar› do¤rulanmadan önce iki veya üç defa girilmek zorunda kal›nabilir. ‹fllem Kayd› Eriflimi Terminal operatörleri, o terminalden daha önce girilen bireysel ifllemlerin kopyalar›na her mesaj için ifllem türü ve s›ralama numaras› bildirir bir kütük kayd› tutarak eriflebilir. ‹fllemler sistem kütü¤üne girildikleri haliyle numaraland›r›l›p tarihlendirilirse, terminal operatörü bireysel ifllemin tarih, numara ve ifllem türüne baflvurabilir. Bu durumda, sistem, mesaj kütük dosyas›n› düzenlenifl s›ras›na göre araflt›rarak, terminal operatörünün diledi¤i kayd› konumland›r›p gösterebilir. Parça-Parça Kontroller Bir online sistemin içindeki programl› kontrollerin, bir gün veya bir ifllem vardiyas› boyunca her terminalden al›nan bütün ifllemlerin kontrol toplamlar›n› içeren bir parça-bazl› kontrol toplam› sa¤lamas› çok önemlidir. Toplamlar›n parça-parça tutulmas› bir uzak veri girifli ve güncelleme online ifllem ortam›ndaki denetim izi sa¤laman›n bir yoludur. Bireysel ifllem türleri için ayr› ayr› toplamlar tutulmal›d›r. Belirli ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 denetiminde ilave bilgi gerekiyorsa, soru cevap tekni¤i, bilgisayarlar›n sadece kullan›c›lar›n bildi¤i bir dizi soru yöneltmesini sa¤layacak biçimde güvenlik kod ve flifreleriyle birlikte kullan›labilir. Cevaplar bilgisayara kullan›c› taraf›ndan güvenlik profili oluflturulma aflamas›nda kay›t edilmelidir. Terminaller, kullan›c› tan›m kodlar›n›n girifllerini gerekli biçimde gizleyecek olanaklarla donat›lmal›d›r. Bu kodlar sisteme girmeye çal›flabilecek olanlar›n denetimi fark etmemeleri için periyodik olmayan aral›klarla de¤ifltirilmelidir. Belirli say›daki deneme tekrar›ndan sonra, üst üste girilen geçersiz kullan›c› tan›mlar›, kullan›c› girifli kütüklerinde kaydedilmelidir ve sebebin belirlenmesi için araflt›r›lmal›d›r. Genelde girifl denemesi çabalar›n›n kaydedilmesi sisteme girmeye niyeti olanlar aç›s›ndan cayd›r›c› olmaktad›r. Güvenilir ve sa¤lam bir online ifllem sistemi gelifltirmek için yararl› bir teknik de belirli terminallerin ve/ya kullan›c›lar›n, sadece seçili ifllemleri veya ifllem kümeleriyle s›n›rlamakt›r. Bu görev da¤›l›m›, manuel sistemdeki görev da¤›l›m›yla benzerlik gösterir. Böylelikle, baz› kullan›c›lar, veya terminallerin giriflleri sorgulamalarla, ötekilerininki ise sat›fl verileri veya kredi verileriyle s›n›rlanabilir. Veri güvenlik program›n›n; • Kullan›c› tan›mlar›n›n geçerli oldu¤unu • Kullan›c›n›n ifllemleri girmeye yetkili oldu¤unu • Mevcut tan›ml› kullan›c›n›n mesaj bafll›¤›nda tan›ml› belirli ifllem tipini girmeye yetkili olup olmad›¤›n›denetlemesi gerekir. ‹deal olarak sistem merkezi ifllemciden ayr›labilen terminaller kullanmal›d›r veya terminallerin yetkisiz kiflilerin onlara tekrar eriflebilmesini önleyebilmek için fiziksel kilitleri olmas› gerekir. 40 41 PARMAK ‹Z‹ PARMAK ‹Z‹ ‹Ç DENET‹M / K›fl 2004 Ana Dosya Kontrolleri bir zaman›n veya bir günün sonunda, parça-parça toplamlar ana dosya kontrollerinin bir tamamlay›c›s› olarak veya ayr› bir kontrol dosyas› olarak kaydedilmelidir. Sistem içindeki ifllemlerin numara ve de¤erlerini özetleyen bireysel ifllem türü kontrollerinin kaydedilmesi, bunun yan›nda bütün ifllemlerin kütü¤e kayd› bütüncül bir denetim izi sa¤laman›n en iyi yoludur. Bu kontrol nitelikleri gereklidir çünkü; baz› ifllem giriflleri, online ortamda do¤rudan veri giriflinden belli bir süre sonraya kadar bas›l› kopya kaynakl› belgeler taraf›ndan desteklenmez. Bu tür bir sisteme örnek olarak, siparifllerin telefonla al›nd›¤› ve bir terminale do¤rudan girildi¤i ve sipariflin kabul edildi¤ini bildiren bir sat›fl teyidinin bilgisayar sistemince bas›l› biçimde ç›kar›lana kadar hiçbir ka¤›t kayd›n üretilmedi¤i bir online siparifl iflleme sistemi verilebilir. Online ifllem sistemlerinde, sistem tasar›m özellikleri her terminal konumunun manuel olarak günlük girdi ifllemleri kütüklerini türe göre haz›rlamas› gereklili¤ini içerse de, önceden belirli girdi toplamlar› ço¤u zaman eriflilebilir de¤ildir. Sistem tasar›m özellikleri her ifllem türü için bir ifllem kontrol kayd› içermelidir. Bu kontrol kayd› bir oturumun veya günün sonunda, hem ifllem kütük dosyas›na hem de ilave kontrol kayd› olarak ya ana dosyaya ya da sistem kontrol dosyas›na eklen- ‹fllemler rasgele olarak ana dosyalara uyguland›¤›nda, sadece de¤ifltirilmesi veya bildirilmesi gereken ana kay›tlara ulafl›labilir. Aktif olmayan kay›tlar iflleme girmedi¤inden, herhangi bir dengeleme yordam› faaliyet oluflumlar› aras›nda bu kay›tlar›n do¤ru kald›¤›n› varsaymal›d›r. Bu varsay›m›n do¤rulu¤u, bütün kay›tlar› düzenli olarak dosyalara geçirerek, toplam kay›t say›s›n› türe göre saklayarak, ve gerekirse, kontrol alan› tutarlar›n› saklayarak s›nan›r. Bu toplamlar sonradan sürekli ana dosya kontrol kay›tlar›nda tutulan benzer toplamlarla karfl›laflt›r›l›r. Bu dosya dengeleme ifllemi hala konumland›rma ve düzeltme imkan› varken, kay›tlara geçifl hatalar›n› saptamak için yeteri s›kl›kta gerçeklefltirilmelidir. Online Kontrol Kay›t Dengelemesi Sistem, gün içi ifllemler için aktive edildi¤inde, kontrol kayd› haf›zaya ça¤r›l›r ve gün içinde eriflilebilir olmal›d›r. Her ifllem girildi¤inde, hesaplar yeni toplamlar oluflturmak için karfl›l›k gelen alanlara eklenir. Düzenli ana dosya bütünlü¤ü sa¤lamak için, ifllem kontrol kayd›na da uygulan›r. ‹fllem gününün sonunda, ana dosyan›n dengelenmesi, gün sonu kontrol kayd›n›n gün bafl› kontrol kayd›yla karfl›laflt›r›larak, ikisini birbirinden ç›kararak ve fark›n ifllem dosyas› kontrol izcilerinde sa¤lanan toplamlara eflit olup olmad›¤›n›n belirlenmesiyle yap›labilir. Bu tür bir dengeleme yordam›, güncellenmifl dosyan›n, bir önceki versiyonuyla dengede olmas›n› sa¤lamas› aç›s›ndan gereklidir. Alttoplamlar, küçük kay›t gruplar›n› kontrol etmek için kullan›l›yorsa, en üstteki toplamlarda düzenli olarak uyumlaflt›r›lmal›d›rlar. Genelde, bir hata halinde geri dönüflü kolaylaflt›rmak için, son düzgün uyumlaflt›r›lm›fl toplamla birlikte bir günlük veya ifllem listesi bir kasette toplan›r. Bu tür bir dengeleme yordam›nda aktif olmayan bir hesap denge d›fl›ysa, bu durum hesap aktif olana kadar veya yukar›da tan›ml› tavsiye edilen dosya dengeleme uyumlaflt›rma süreci tamamlanana kadar, tespit edilemeyecektir. Soru Dilleri ve Rapor Yaz›c›lar› Soru dilleri ve rapor yaz›c›lar›, kullan›c›lar›n veritaban› üzerinde kendi sorgulamalar›n› gelifltirmelerini mümkün k›lar. Kullan›c›lar›n eriflim izinleri olmayan verileri sorgulamalar›n› engelleyecek yeterli güvenli¤in olmas› konusunda dikkatli hareket edilmelidir. Bu güvenlik ifllevsel düzeyden ziyade veri düzeyinde oluflturulmal›d›r. Veri ‹letimi Kontrolleri Veri iletimi üzerindeki kontroller; kaynak, ifllem s›ralama say›s›, mesaj bölümlerinin say›s›, ifllem türü kodu, ifllem yetki kodunu tan›mlayan bir mesaj bafll›¤›yla güçlendirilmelidir. Mesaj bafll›¤›, mesaj bütününün bafllang›c›n› belirten bir mesajbafll›k-sonuyla bitirilmelidir. Bir online ifllem sisteminin en önemli özelliklerinden biri de iflleme alma s›ras›n›n rasgele olmas› oldu¤u için, her terminal ayr› bir girdi veri kayna¤› veya ak›fl› olarak de¤erlendirilebilir. Bu yüzden, her terminalde girilen ifllemlerin bir s›ra numaras› olmas›n›n zorunlu k›l›nmas› hayata geçirilmelidir. Her ifllem al›nd›¤›nda, s›ra numaras› terminalin son s›ra numaras›n› içeren bir program sayac›yla test edilir. Bu hiçbir ifllemin kaybolmad›¤›n› teyit eder. Mesaj bafll›¤›ndaki veri iletim kontrolleri geçerlilik denetimi, çevirmeli ba¤lant›l› al›c› program, terminale iletimin tamamland›¤›na dair bir bildirim mesaj› göndermesiyle ya da seçimin hemen ard›ndan bafllat›lmal›d›r. Mesaj bafll›¤› bilgisinin bir ad›m sonraki geçerlilik denetimi ise, uygula- Da¤›t›ml› sistem, veri ve/ya ifllemlerin birden fazla bilgisayarda birden fazla konumda saklan›p faaliyete sokuldu¤u bir sistem olarak tan›mlanabilir. ma program› kendi özgün ifllem geçerlilik denetimini bitirdikten sonra yap›labilir. Daha çok çoklu mesaj bölümlerinin varl›¤›nda kullan›lan bu ilave mesaj bafll›¤› geçerlilik denetimi, her bölümün kontrol alan› de¤erlerinin mesaj bafll›¤›ndaki kontrol toplam bilgisiyle denk olup olmad›¤›n› sorgular. Mesaj bafll›¤› geçerlilik denetiminin tamamlanmas›ndan sonra, sistemin mesaj kütü¤üne bilgi kaydedilmesi gerekir. Bu bilgi mesaj›n kütü¤e girildi¤i günün zaman›n›, ve mesaj bafll›¤›n›n bir kopyas›n› içermelidir. Birçok durumda bütün bir ifllem kayd›n› kaydetmek uygun bir seçimdir. Bu özelli¤in sa¤lanmas›, terminal operatörlerinin verileri kurtarabilmesine, ve sistem çöktü¤ünde, aslen hangi mesajlar›n al›n›p sistemce iflleme sokuldu¤unu belirlemeye yarar. Rasgele s›ralama, kombinasyonlar, ve ifllemlerin var›fl biçimleri sistem mesaj kütü¤ünün kapsaml› incelenmesi olmadan sistemin iflleyiflinin izlenmesini zorlaflt›r›r. Bu tür bir inceleme olana¤› sa¤lanabilmesi için, iç denetimcinin kütü¤e dahil edilecek özel veri gerekliliklerini tan›mlamak için sistem gelifltirme sürecine kat›lmas› önerilir. Bu veriler afla¤›dakileri kapsayabilir: • Al›nan mesaj›n tarih ve saati • Mesaj›n kaynak ve/ya var›fl yeri • Güvenlik kodlar› ve öteki tan›mlama verileri • Mesaj s›ras›na girifl ve buradan ç›k›fl saati • Mesaj›n türü ve güvelik ile düzenleme geçerlilik denetimi sonuçlar› • Kullan›lan programlar ve eriflilen dosyalar • Sorunlu program taraf›ndan ortaya ç›k›fl saati • Ç›kt› s›ras›ndan ayr›lma, teslim saati ve geri dönüfllü teyit zamanlar› Veri Güvenli¤i ve Kontrolünde Önemli Noktalar Da¤›t›ml› ifllemlerin etkisi Da¤›t›ml› sistemler özellikle istemci/sunucu temelli yap›lara do¤ru kay›fl h›zland›¤› ölçüde gitgide yayg›nlafl›yor. Bu sistemler toplu veya online ifllemlerle ilgili olarak bahsi geçen ayn› tür kontrollere tabi olmal›d›r. Ancak bu sistemler, da¤›t›ml› sistemlerin tasar›m›yla do¤rudan ilgili olan veri bütünlü¤ünün korunmas›yla ilgili bir dizi ek kontrol grubu tart›flmalar›na da yol açm›flt›r. Genel olarak bir da¤›t›ml› sistem, veri ve/ya ifllemlerin birden fazla bilgisayarda birden fazla konumda saklan›p faaliyete sokuldu¤u bir sistem olarak tan›mlanabilir. Serdar Güzel, PWC, CISA ‹Ç DENET‹M / K›fl 2004 melidir. Belirli bir günde iflleme giren belli bir türdeki ifllemlerin hepsinin say›s› ve kontrol alan› de¤erlerini gösteren bu ifllem kontrol kayd›n›n sa¤lanmas› sürekli bir denetleme izinin elde edilmesindeki en uygun yoldur. 42 43 PARMAK ‹Z‹ PARMAK ‹Z‹ Üvey Evlat: Proje Yönetimi Soruyu acaba nas›l sorsam? Lütfen bana yard›mc› olun: a. fiimdiye dek dahil oldu¤unuz projelerin kaç› baflar›yla sonuçland›? b. fiimdiye dek dahil oldu¤unuz projelerin kaç› zaman›nda ve bütçesinde tamamland›? E¤er a fl›kk› tercih edilirse, baflar›yla sonuçlanan proje say›s›n›n baflar›s›zl›kla sonuçlananlara göre bariz bir üstünlü¤ü göze çarpacakt›r. 80/20 kural› burada geçerli olabilir mi? Yani projelerin %80’i baflar›yla tamamlanm›flt›r diye. Peki acaba ayn› yüz projeye b fl›kk› aç›s›ndan bakarsak durumda bir de¤ifliklik olur mu? Yani baflar› ile tamamland› diyece¤imiz o seksen projenin hepsi zaman›nda tamamland› m›? Bütçesinden sapmadan? ‹fl biraz çetrefillefliyor. Bu soru sorulduysa mutlaka ifller göründü¤ü gibi de¤il galiba diye bir kurt düfltü içinize de¤il mi? Bence de. Çünkü e¤er zaman›nda ve bütçesinde tamamlanan projeler diye bakt›¤›m›zda ayn› Pareto kural› bu kez 20/80 halini alacakt›r. Yani projelerin ancak %20’si baflar› ile (yani zaman›nda ve bütçesi dahilinde) tamamland› denilebilecektir. Kalan %80’e ne oluyor? Asl›nda onlar›n da büyük bir k›sm› tamamlan›yor. Ama önceden planlanan zamanda ya da bütçesinde belli bir sapma ile. Bu sapma orijinal zaman ya da bütçesinin büyüklü¤üne göre de¤iflebilir. Örne¤in yirmi takvim ayl›k, 25 kiflilik bir proje yirmi dört takvim ay›nda tamamlanabilir. Ya da on bin dolarl›k bir proje on iki bin dolara ç›karken yüz bin dolarl›k bir proje yüzyirmi befl bine patlayabilir. Peki neden? Cevap basit: Baflar›s›z proje yönetiminden. Neden Üvey? Haz›r söz buraya gelmiflken neden proje yönetimine üvey evlat dedi¤imi de belirteyim (en az›ndan iki sebepten ilkini burada belirteyim): Baksan›za bafll›¤›n› att›¤›m yaz›da bile proje yönetimi ifadesine ancak yar›m A4 sayfas› yazd›ktan sonra s›ra gelebildi. Yani ifl hayat›nda da durum farkl› de¤il. Proje (daha bildik ad›yla "ifl") gecikme ya da sapma gösterme aflamas›na gelene dek ortada ne bir proje yönetimi vard›r ne de bir proje yöneticisi (ne iflin idaresi vard›r ne de o iflten sorumlu bir kifli). Ne zaman ki ifl gecikmeye girer ve bu durum yukar›larda bir yerde "duyulur", o zaman projenin yönetimi de projenin yöneticisi de ortal›kta aranmaya bafllar: San›k mahalline ç›karmak için. Neden? Çünkü proje yönetimi sürecine organizasyon kültürü de¤er vermemektedir. E¤er organizasyonun kültürü bu sürece de¤er veriyor olsa organizasyon içinde proje yönetimi de bu yönetimden sorumlu olan kifliler de gerekli organizasyonel yapt›r›m gücüne sahip olacaklar ve iflleri buna göre yönetebileceklerdir. Peki nedir bir türlü öz evlat statüsüne geçemeyen bu proje yönetimi? Neden bu kadar önemlidir ve fakat neden bu kadar önemli oldu¤u halde üvey evlatt›r? Biter, Yok Olur, Gider E¤er organizasyon kültürü içinde bir iflten öteki ifle koflan insanlar olgusu yerlefltirilebilmiflse, ifllerin birer proje olarak ele al›nmas› çok daha h›zl› ve baflar›yla sa¤lanabilir. Bir baflka deyiflle projenin içindeki kifliler o proje yok olup gittikten sonra nerede ne yapacaklar›n› bilebilirlerse en büyük dert ortadan kalkacakt›r: Proje olgusu kültürün içine kabul edilir. Her fieyin Bafl› Proje Proje yönetimi öncelikle iflleri bir proje olarak ele almay› kabul eder. Eee bunda ne var demeyin. ‹flleri proje olarak ele almak, organizasyon Proje Olarak Denetim Denilebilir ki, her ifl baflla – gelifltir – bitir sürecinde ele al›nmayabilir. Süreklilik arz eden ifller söz konusudur. Asl›nda bu her sektör için geçerli olabilir. Örne¤in finans kurulufllar›n›n iç denetim sürecine bakal›m. Bu süreç hep vard› ve hep var olacak. O halde bu süreci proje olgusunun bak›fl aç›s›yla ele alabilir miyiz? Biraz irdeleyelim. Evet denetim süreci süreklilik arz eder. Ama bir birim ya da flubenin denetlenme ifline bakal›m. Bu periyodik denetim de olabilir “ad hoc” denilebilecek görülen lüzum üzerine yap›lan denetim de. Bir denetim ekibi atan›r. Belirlenen tarihte denetim bafllar. Belli bir tarihte de denetim tamamlan›r. Bu örne¤e konu olan birim ya da flube denetimi görüldü¤ü üzere bir projedir. Bafllang›c›, amac› ve bitifli vard›r. O halde tek bir birim ya da flubenin denetimi bir proje olarak ele al›nabilir. Bu süreci yöneten denetim personeli (örne¤in bir k›demli müfettifl) o projenin yöneticisi olarak alg›lanabilir. Denetim sürecinde yap›lacak ifller, bir proje plan› çerçevesinde haz›rlanabilir; tarihlendirilebilir. Bu ifllerin tamam› bitti¤inde de proje tamamlanm›fl olur. Yani o flubenin denetimi bitmifltir. Denetim organizasyonu (örne¤in bir Teftifl Kurulu Baflkanl›¤›) içinde çal›flanlar, yap›t›lar› denetimleri (projeleri) bitirmeme e¤ilimi içinde olmazlar. Bunun nedeni de hep ard›ndan bir baflka denetimin (projenin) gelece¤ini bilmeleridir. Fili Parçalara Ay›rmak Bir baflka örne¤i ele alal›m. Bir bankan›n ifl ak›fl uygulama altyap›s› kullan›larak bir yandan yeni uygulamalar elektronik ortama aktar›l›yor olsun di¤er yandan da daha önce aktar›m› yap›lm›fl uygulamalarla ilgili de¤ifliklik talepleri, problem talepleri gideriliyor. ‹flin ilk k›sm›, flimdiye dek tan›mlad›¤›m›z flekliyle bir proje anlay›fl› ile de¤erlendirilebilir. Peki ikinci k›sma ne olacak? Daha önce yap›lm›fl uygulamalar›n bak›m›, deste¤i? Bu tür süreklilik arz eden ifllerin proje mant›¤› ile ele al›nmas›n› sa¤layabilecek sihirli bir yaklafl›m modeli vard›r: Projeyi fazlara ay›rmak! Diyelim ki üç yaz›l›m personeliniz var ve bunlar bir yandan yeni uygulama kodlamakta di¤er yandan da mevcut uygulamalara bak›m deste¤i vermekte (yani ufak tefek düzeltmeler, gelen problemleri çözme vb). Gelifltirilecek her yeni uygulamay› bir proje olarak ele ald›¤›n›z gibi, mevcutlara bak›m yapma ifllerini de belli bir periyod için (örne¤in ayl›k ya da y›ll›k) "projelendirebilirsiniz". Proje bak›fl›nda önemli olan bir proje mensubunun o projeye ay›raca¤› zamand›r. Kifli bir gün bir saat ay›r›r di¤er gün dört saat. Ama bütün proje süresince bu üç gün olarak toplanabilir. Projeyi fazlar›na ay›rma imkan› bir baflka yerde daha kullan›labilir. Bu da nispeten büyük ya da kompleks bir projeyi küçük ve yutulabilir parçalara ay›rmakt›r. Yap›lacak ifl bütününde oldukça zahmetli, uzun, risk faktörleri yüksek bir proje olabilir. Bu tür bir projenin her bir kilometre tafl›n› ayr› birer proje olarak ele alman›n pek çok avantaj› vard›r. Bunlar›n bafl›nda flu iki fley gelir: Birincisi üst yönetim her zaman bir fleyler bitirmenizi bekler. ‹kincisi (ilginçtir) proje içindeki mensuplar da baflka sebeplerden üst yönetimle ayn› beklenti içinde olurlar – onlar da bir an önce ortaya bir ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 Tanol Türko¤lu içinde pek çok kiflinin ifline gelmeyebilir. ‹flleri proje olarak ele almak, ifllerin bugün var yar›n yok olarak alg›lanmas›n› gerektirir. Yeni bir olgu size: Biten ifller! Ve bunun yan›nda flöyle düflünen insanlar: Peki bu ifl biterse ben ne yapaca¤›m? E¤er organizasyonunuz fonksiyonel organizasyon modeline göre kurulu ise bu soru en temel sorudur. O nedenle de ifller hiçbir zaman tam manas›yla bitirilmez ki yap›lacak bir fley kalmad› durumuna düflülmesin. Çünkü fonskiyonel organizasyon, tan›m gere¤i, ifl var oldu¤u sürece vard›r. ‹fl yoksa o birim de yoktur (diye yanl›fl bir organizasyonel anlay›fl yayg›nd›r). Proje ise tam da ifllere bu gözle bakma e¤ilimindedir. Genel kabul görmüfl tan›m›nda bile bir özelli¤i çok öne ç›kar: Projeler "geçici" ifllerdir. Bir proje bir ifli yapmak, bir amaca ulaflmak üzere var olur ve o ifl yap›ld›¤›nda ya da o hedefe ulafl›ld›¤›nda o proje biter. 44 45 PARMAK ‹Z‹ MÜHÜR ‹Ç DENET‹M / K›fl 2004 Nas›l Yapmal›? fiimdiye dek projenin ve proje yönetimi olgusunun öneminden bahsetmeye çal›flt›m. Biraz da bu sürece girmek istenirse neler yap›lmal› ondan bahsedeyim. 1999 y›l›nda bir gün, çal›flt›¤›m organizasyonda bir e¤itime kat›lmam istendi. Do¤al olarak bana itici gelen bir e¤itim olacakt› bu. Çünkü cumartesi ve pazar günleri yap›lacakt› e¤itim. Cumartesi sabah› ofise gitti¤imde, e¤itime kat›lmak için gelen arkadafllar›m›n baz›lar›n›n elinde birkaç yüz sayfal›k ç›kt›lar oldu¤unu gördüm. Ne oldu¤unu soruflturdum. Ö¤rendim ki me¤erse biz bir proje yönetimi e¤itimi alacakm›fl›z ve bu e¤itimden sonra da bir sertifikasyon s›nav›na girecekmifliz. O ç›kt›lar da bu sertifikasyon s›nav›n› yapan ve baflar›l› olanlara o sertifikay› veren Amerika merkezli bir enstitünün proje yönetimi konusunda haz›rlam›fl oldu¤u temel kitapm›fl. Me¤er arkadafllar›m›n pek ço¤u o enstitünün üyesi olarak birkaç y›ld›r bu kavramlar›n içindeymifl. Birkaç ayl›k haz›rl›k dönemi sonucunda girdi¤im san›r›m dört saatlik bir s›nav neticesinde flu an tüm dünyada geçerlilik gören proje yönetim uzman› (project management professional – PMP) oldum. Bu sürecin bende çok ayr› bir yeri vard›r. Neden mi? Bu s›nava haz›rlan›rken kendime "madik" atmam›fl olmak için o zamana dek deneyimlerimin böyle bir s›nav› geçmek için ne kadar yeterli oldu¤unu ölçmeye çal›fl- ‹yi Bir Mentor Olmak Hande Yaflargil t›m. Bilmedi¤im fleyi ö¤renmek yerine bildi¤im fleyi bu enstitünün normlar›na göre yeniden flekillendirdim. Proje yönetimi konusunu kariyerinizin bir parças› olarak görüyorsan›z benim size tavsiyem yukar›da belirtti¤im türden bir uluslararas› organizasyon bünyesinde sertifika program›ndan geçmek ve proje yönetim ehliyetinizi almakt›r. Giderek zamans›zlaflan dünyam›zda kendinizi anlatmak yerine ç›kar›p s›fat›n›z› göstermek ilk ad›m olarak çok önemli çünkü. Ülkemizde son y›llarda özellikle finans ve telekom sektöründeki bilgi teknolojileri yönetimleri bu konuya a¤›rl›k verdi. 1999 y›l›nda ben Türkiye’deki ilk PMP’lerden birisiydim. Bugün ise say› bildi¤im kadar›yla düzinelerce. Bu geliflimde bu alanda e¤itim hizmeti veren firmalar›n da katk›s› büyüktür. E¤itimler iki aflamal› olarak ele al›nabilir. Proje yönetimi dünyas›na girifl niteli¤inde e¤itimler ve sertifikasyona haz›rl›k e¤itimleri. Bu kapsam giderek bilgi teknolojileri alan›ndan di¤er alanlara do¤ru aç›lmaya bafll›yor. E¤er ifllerinizi bir proje yaklafl›m› ile gerçeklefltiriyorsan›z ya da ona proje ad›n› vermedi¤iniz halde yukar›daki k›sa aç›klamalardan siz de yapt›¤›n›z ifllerin birer proje oldu¤unu (olabilece¤ini) tespit etmiflseniz, bu alana yat›r›m yap›n. ‹fllerinizi bu metodolojiye göre gerçeklefltirmek için gerekli dönüflümü sa¤lamak, bilgi a盤›n› kapatmak, deneyimi tescillemek ilk etapta de¤erlendirebilece¤iniz yat›r›m alanlar› olabilir. Asl›nda, flöyle bir hayat›m›za bakt›¤›m›zda herfleyin birer proje oldu¤unu aç›k de¤il mi? Yaflam›n kendisi bile! Tanol Türko¤lu, fiekerbank Genel Müdür Yard›mc›s›d›r. [email protected] Geçen say›da, ikinci yaz›m›n konusunun iyi bir Mentor’un karakteristikleri olaca¤›n› duyurmufltum ancak tek bir sayfada anlat›lamayacak kadar çok özellik gerekti¤i için birkaç seferde tamamlamay› deneyece¤im. Ama gözünüz korkmas›n çokluk, nicelikten de¤il nitelikten kaynaklan›yor amac›m›z sadece konuyu derinlemesine kapsayabilmek. Dört alanda kapsayaca¤›m›z karakteristiklerin ilki, ifl bilgisi ve tecrübesi. Mentorun yeterli bir ifl bilgisi ve tecrübesinin olmas› öncelikle mentorluk etti¤i kiflinin gözünde sayg› ve güvenilirlik uyand›rmas› aç›s›ndan kaç›n›lmazd›r. Ancak tecrübe ve bilgi ça¤›m›zda o kadar farkl› alanda ve derinlikte olabilir ki bunu her Mentor için tek bir flekilde tan›mlamak mümkün de¤ildir, sadece mentorluk etti¤i kiflinin ihtiyac› burada belirleyici olabilir. Örne¤in özel sektörde ve yabanc› sermayeli flirketlerin hukukunu bilen ve bu alanda denetim tecrübesi olan bir Mentor her ne kadar alan›nda uzman da olsa bilgi ve tecrübesi kamu sektöründe denetim alan›nda çal›flan birine mentorluk etmek için yeterli yada faydal› olmayabilir. Dolay›s›yla bilgi ve tecrübeden bahsederken kilit nokta ö¤renenin ihtiyac› ile olan ba¤lant›s›d›r. Ancak burada bahsedilen iliflki birebir ayn›l›ktan ziyade ba¤lant›l›l›kt›r çünkü Mentor asla tüm cevaplar› alt›n bir tepside vermez sadece mentorluk etti¤i kiflinin ihtiyaç duydu¤u cevaplar› bulmas›na yard›m eder. Tecrübeyi yeterli yapan özellikler aras›nda ise süre ve çeflitlilik vard›r ve ikisinin karfl›m› tecrübeyi çok daha etkili hale getirir. Uzun y›llar ayn› kurumda çal›flm›fl birini de düflünsek örnek olarak, daha k›sa sürelerle farkl› kurumlarda çal›flm›fl birini de düflünsek çeflitlilikten gerçek kast›m›z iyi “Mentorun yeterli bir ifl bilgisi ve tecrübesinin olmas› öncelikle mentorluk etti¤i kiflinin gözünde sayg› ve güvenilirlik uyand›rmas› aç›s›ndan kaç›n›lmazd›r.” tecrübeler kadar kötü tecrübelere de sahip olmak olacakt›r. Mentorun kariyer hayat›n›n her zaman flimdiki kadar dingin ve tutarl› olmad›¤›n› bilmek, onun da gerçek ve önemli hatalar yapm›fl ama hatalar›ndan ö¤renmifl oldu¤unu bilmek, ö¤renen kifli için büyük bir ihtiyaçt›r. Bu bilgi ö¤renen kiflinin hata yapmaktan duydu¤u korkuyu azaltacakt›r ki bu özellikle denetim alan›nda yayg›n görüflün aksine iyi bir fleydir. Denetim yapan kifliler de hata yapabilirler ve e¤er ö¤renmeye devam etmek istiyorlarsa yapmal›d›rlar zira kendi hatalar›ndan ö¤renmek kadar olgunlaflt›ran ve etkin bir yöntem yoktur. "Hata yapmamal›y›m" yada "hata yapmaya hakk›m yok" diyerek yaflayan insanlar›n hata yapt›klar›nda – ki mutlaka yapacaklard›r herkes gibi- bununla bafl etmeleri ve yeniden kendilerine olan güvenlerini kazanmalar› çok daha güç olacakt›r. ‹yi bir Mentor kendi hatalar›n› ve bunlarla kendi bafl etme yöntemlerini mentorluk yapt›¤› kifliyle paylaflmal› ve onu hata yapmaktan korkmamaya ama hatalar›ndan ö¤renmeye cesaretlendirmeli ve bunu yapmak için kendi yöntemini bulmas› konusunda örnek olmal›d›r. Mentorun bilgi ve tecrübesi ne olursa olsun bu; l Ö¤renenin geliflmesi, kendine yeterli hale gelmesi ve amaçlar›n› belirlemesi l Ö¤renene etkin sorular sorarak onun kendisini görmesini ve kendi çözümlerini üretmesini sa¤lamak l Ö¤renene kendisini gelifltirmesi için ihtiyaç duydu¤u do¤ru kaynaklar› göstermesi l Kendi tecrübelerini ve bafl etme yöntemlerini paylaflarak onun kendisininkileri keflfetmesi için kullan›lmal›d›r. Özet olarak kullan›lmayan bilgi ve içindeki hatalardan ö¤renilmemifl bir tecrübe hiçbir zaman mentorluk yapmak için yeterli olmayacakt›r. ‹yi bir Mentor kendi hatalar›ndan onlardan ö¤renebilmesi sebebiyle gurur duyan, ö¤reneni hata yapmaktan korkmamas› için cesaretlendiren ama ö¤renmek için di¤er tüm kaynaklar› da kullanmaya yönlendiren biridir. Mentorlu¤un esas s›rr› belki de mentorun kendi bilgi ve tecrübesinden mentorluk etti¤i kifliyi yararland›rabilme becerisidir. Bunun için gerekli teknikleri ve özellikleri tart›flmaya devam edece¤iz. Hande Yaflargil, Mentor Executive Coaching flirketinin kurucusudur. ‹Ç DENET‹M / K›fl 2004 fleylerin ç›kmas›n› isterler. Zaman geçtikçe ve ortaya bir fley ç›kmad›kça, proje elemanlar›n›n motivasyonunda azalma gözlenebilir. Örne¤in teknoloji projelerini fazlamak çok kritiktir. Bafllang›çta teknolojistler akademik bir vizyonla koskoca iflin tamam›n› bitirmeden kendilerini baflar›l› addetmeme gibi bir psikoz içine girebilir. Bundan kaç›nmak gerekir. Sokaktaki pazar o denli dinamiktir ki pazarlama ve sat›fl ekiplerinin eline sürekli yeni silahlar verebilmek gerekir. Belki bir atom bombas› atmak her fleyi bitirecek ve mutlak galibiyet anlam›na gelecektir ama bugün hiçbir pazar, bir oyuncunun oturup da bir nükleer bomba yapmak için ona yeterli kaynaklar› sunmamaktad›r. En iyi ihtimalle elinize bir nükleer bomba ald›¤›n›zda pazarda ondan korunmayla ilgili elli tane nükleer bombasavar›n dolaflt›¤›n› da flaflk›nl›kla fark edersiniz. 46 47 Ç‹ZG‹ ÖTES‹ Ç‹ZG‹ ÖTES‹ Ali Kamil Uzun "Varolan, türlerin en güçlüsü de¤ildir, en zekisi de de¤ildir. Hayatta kalan, de¤iflime en çok ayak uydurabilendir." Charles Darwin ‹Ç DENET‹M / K›fl 2004 "Kollu, fleritli hesap makineleri, mekanik, elektrikli daktilolar, kalamozalardan oluflan büro ve kay›t malzemeleri, telgraf ve teleks ile iletiflim, PTT santrallar› arac›l›¤›yla yap›lan flehirleraras› ve uluslararas› görüflmeler... ", benim yafl›tlar›m›n an›msad›¤›, zaman›nda kulland›¤›m›z bilgi ve iletiflim teknolojisinin ürünleri idi. Geçmifl zaman›n teknolojisi ile geçmiflin çal›flma ortam› ve ifl yap›fl biçimleri de do¤al olarak bugünden çok farkl› idi. Reel ortam›n elle tutulur, dokunulur iliflkileri içinde süreçler yaflan›yordu. Bugünün sanal ortam›nda ise her fley o kadar h›zl› yaflan›yor ve de¤ifliyor ki, geçmifl za- man›n teknolojisini yaflayanlar bile haf›zalar›nda canland›rmakta güçlük çekiyorlar. Sanki hiç yaflamam›fl gibiler. Son kullanma tarihi geçen mal gibi geçmifl teknoloji ve ifl tecrübelerini haf›za raflar›ndan indirmifller. Geriye dönüp bakt›¤›n›zda, geçmifli haf›za ve gözlerinizde canland›rd›¤›n›zda, bir zamanlar hayranl›kla izledi¤iniz makine ile göz temas› olmadan kollu ve fleritli hesap makinesi kullanma becerileri, kaligrafik özenle kay›t düflülen kalamoza ve yaz›c›lar› bugün nostaljik bir de¤erden öte anlam tafl›m›yor. Bu tür beceriler size ifl ve çal›flma imkan› sa¤lam›yor. Hatta becerinizi “De¤iflim süreci yaflan›rken, geliflim ve ilerleme kaydetmek için mesleki standartlar›m›z›n temeli olan ‘ba¤›ms›zl›k’ ve ‘tarafs›zl›k’ güvencemiz olacakt›r.” kullanma imkan› bulsan›z bile bu becerinizi kullanaca¤›n›z araçlar ortada yok. Yaz›m›z›n bu bölümüne kadar okudu¤unuz sat›rlarda yaz›lanlar bile sizi "eee...?", "bunun tersini söyleyen mi var ?..." diye düflündürebilir. Bugünden geçmifle bakt›¤›n›zda do¤al karfl›lad›¤›m›z de¤iflim, yaflan›rken ve ucu kendimize dokunurken kolay benimsenebiliyor mu? Baflkalar›na çok rahatl›kla "De¤iflim, de¤iflmeyen tek fleydir." diyebilen bizler, de¤iflime ne kadar a盤›z? Konu de¤iflim oldukca, bu tür sorulara yan›tlar aran›r, paradigmalar›n›zla yüzleflir, ya de¤iflir, ya da geride kal›rs›n›z. De¤iflim, geliflim ve ilerlemektir. Ancak iyi yönetilemedi¤i takdirde farkl› sonuçlarla karfl›lafl›rs›n›z. E-Posta ile h›zl›, ekonomik çözümlerin yan›s›ra yüzyüze iletiflimden, befleri iliflkiden uzaklafl›yorsunuz. Internet ile bilgi kaynaklar›na h›zl› erifliyor, ancak bilgi kaynaklar›n›n güvenilirli¤ini sorgulamad›¤›n›z takdirde do¤ru bilgiye, objektif veriye ulaflam›yorsunuz. Mekanik daktilo yerine note-book kullan›m› ile ka¤›ts›z ortam›n katma de¤erinden faydalan›rken, kes, kopyala, yap›flt›r tuzaklar›na karfl› dikkatli olunmad›¤› takdirde iletiflim ve raporlama kazalar› kaç›n›lmaz olmaktad›r. Bilgi ve iletiflim teknolojileri, ifl yap›fl biçimini, ifl ve yönetim süreçlerini de de¤ifltiriyor. De¤iflimle ilgili bu saptamalar›m›zla birlikte "‹ç Denetim" tan›m›n› de¤erlendirdi¤imizde; iç denetçinin de¤iflim ve de¤iflimin yönetiminde kurum içinde aktif rolü ve stratejik önemi oldu¤unu görüyoruz. ‹ç Denetim, bir kurumun faaliyetlerini gelifltirmek ve onlara de¤er katmak amac›n› güden ba¤›ms›z ve objektif bir güvence ve dan›flmanl›k faaliyetidir. ‹ç Denetim, kurumun risk yönetim, kontrol ve yönetiflim süreçlerinin etkinli¤ini de- ¤erlendirmek ve gelifltirmek amac›na yönelik sistemli ve disiplinli bir yaklafl›m getirerek kurumun amaçlar›na ulaflmas›na yard›mc› olur. Bu tan›m› ile iç denetçi, sadece de¤iflen, de¤iflime ayak uyduran de¤il, de¤iflime öncülük, liderlik eden olmal›d›r. Bilgi ve iletiflim teknolojisinde devrim say›labilecek de¤iflim ve geliflim dünyam›z› küresel bir a¤a dönüfltürmüfltür. Bizi geçmiflten koparan, dünyam›z› küresel a¤a dönüfltüren teknolojinin karfl›l›kl› etkileflim gücü mümkün olan›n en iyisini yapmay› kaç›n›lmaz k›lmaktad›r. Böyle bir dünyada sürdürülebilir varolufl için de¤iflim, geliflim ve ilerleme ancak yeni yetkinliklerle kazan›lacak, yeni deneyimlerle sa¤lanabilecektir. De¤iflimin yeni dünyas›nda iç denetim ve iç denetçiden yüksek beklentiler, yeni dünyan›n koflullar› karfl›s›nda varolufl güvencemiz nedir? De¤iflim süreci yaflan›rken, geliflim ve ilerleme kaydetmek için mesleki standartlar›m›z›n temeli olan "ba¤›ms›zl›k" ve "tarafs›zl›k" güvencemiz olacakt›r. Sözkonusu standartlar›m›z ayn› zamanda organizasyonun de¤iflim ve gelifliminin yasal ve düzenleyici kurallara, genel kabul görmüfl ifl kurallar›na, etik de¤erlere, sosyal sorumluluk ve kurumsal yönetim ilkelerine uygun olmas›n›n da sigortas› olarak de¤erlendirilmelidir. Çünkü, organizasyonlarda güvenilirlik ve yüksek katma de¤er tarafs›zl›k ve ba¤›ms›zl›kla mümkündür. O halde, meslek standartlar›m›z› çal›flma yaflam›m›z›n vazgeçilmez bir parças› haline getirmeliyiz. Meslek standartlar›m›z›n iflimizin hayati bir parças› haline gelmesi için de yap›lmas› gereken iki temel fley bulunmaktad›r. Birincisi, iç denetçi olarak sertifika sahibi olmak, ikincisi ise iç denetim birimi olarak (QAR) Kalite Güvence Gözden Geçirme program›n›n uygulanmas›d›r. Bir düflünürün "Ustalaflt›¤›n›z fleyin ötesinde bir fleylere yönelmedikçe asla büyüyemezsiniz" sözleri de bizlere sürekli de¤iflimi ve geliflimi iflaret etmektedir. Yaz›m›z› Hayyam’dan bir dörtlükle bitirelim. "Bir s›r daha var, çözdüklerinden baflka Bir ›fl›k daha var, bu ›fl›klardan baflka Hiçbir yapt›¤›nla yetinme, geç öteye Bir fley daha var, bütün yap›tlardan baflka." Ali Kamil Uzun, OYAK Mali Kontrolör [email protected] ‹Ç DENET‹M / K›fl 2004 De¤iflim ve Güvence 49 48 YAKIN PLAN AYRAÇ ‹nsan Kayna¤› Yönetiminde Anarfli Trendi Denetçiler Mahkemesi ‹Ç DENET‹M / K›fl 2004 daki "ifl/business" kavram› da kaçamazd›. Onun de¤iflimden bu kadar nasibini almas› demek, yönetimin asla geleneksel sürdürülememesi demektir. Her fleyin tüketim mant›¤›yla görüldü¤ü bir alg› dünyas›nda, yönetim anlay›fllar› da tüketilir! Bu yaz›n›n bafll›¤› da bunu söylüyor iflte. Refleks olarak art›k her davran›fl›m›z›n arka plan gerekçesi "hayatta kalmak". Koflmak, sadece bir reklam mottosu de¤il, bugünün bir de¤eri. Geleneksel yönetim yaklafl›m› ise koflmuyor, geziniyor, sallan›yor. Bugüne yak›flan, yar› duyars›z, ifl bitirici, enerji dolu, çok h›zl› düflünen ve davranan bir yönetim modeli. Onun için ifl tan›mlar›yla oyalanamay›z. O, t›¤ örmek gibi bir fley. Ortaya ç›kan nak›fl ifli gereksiz bir süs eflyas›ndan baflka bir fley olmaz bugün. Kapal› kap›lar›n ard›nda organizasyon yap›lar›yla oynamak, en hafif deyimiyle, iyiniyetli entelektüel bir kendini tatmindir; çünkü yap›ld›¤› anda bir yerlerde bir fleyler ona ters düflmüfl ya da de¤iflmifltir bile. Ünvanlar, geliflmifl bir silaha karfl› z›rh gibidir; mutlaka ya bir yerleriniz aç›kta kalm›flt›r ya da hangi silah›n o z›rh› kolayca delece¤ini bilemezsiniz. Geleneksel performans sistemlerini ise Ortaça¤ ekonomisinde vergi sonras› halk›n elinde kalan tohumlu¤a benzetiyorum; ölmemeleri ve bir dahaki y›l yeniden vergi verebilmeleri için! Onun için "bunlar› yap›n": ‹fl kolu çok standart ve rekabetçi üretim/hizmet gerektiriyorsa aç›kça ve suland›rmadan 1900'lerin ifl düzenini uygulay›n. ‹liflkilerden de¤il, sistemden kaynaklanan bir ac›mas›zl›¤› insanlar da anlayacak ve kendi menfaat› için boyun e¤ecek kadar ak›ll›. Ancak girift ve öngörülemez bir ürün yarat›yorsak, süreç mükemmelli¤i d›fl›nda hiçbir fley için zaman kaybetmeyin, insanla ilgili kararlar› çok h›zl› al›n, h›zl› ödüllendirin, h›zl› uzaklaflt›r›n, h›zl› ö¤renmelerini talep edin, h›zl› organizasyon de¤ifltirin. Koflun, koflun, koflun. Buna da al›fl›r›z. Ahmet Ery›lmaz, AE E¤itim & Dan›flmanl›k’›n kurucusudur. Michel Herve Avrupa Denetçiler Mahkemesi, Avrupa Birli¤i’nin ba¤›ms›z denetim kurumudur. Lüksemburg’taki merkezinde Ekim 1977 de faaliyete geçmifltir. AB antlaflmas›n›n 246. ve 248. maddelerinde Avrupa Denetçiler Mahkemesi’nin buyruk ve özellikleri düzenlenmifltir. Avrupa Denetçiler Mahkemesi’nin amac› AB fonlar›n›n kaynak ve kullan›mlar›n› ba¤›ms›z olarak denetlemek, fonlar› yaratma ve kullanma ifllemlerini ifa eden Avrupa’daki kurulufllara dan›flmanl›k yapmakt›r. Mahkeme, finansal operasyonlar› ekonomiklik, etkinlik ve verimlilik güvencesinde; hukuka uygun ve muntazaman yap›l›p yap›lmad›¤›n› ve kay›tlar›n›n do¤ru olup olmad›¤›n› denetler. Mahkeme, AB genel bütçesinden ve Avrupa Kalk›nma Fonlar› taraf›ndan finanse edilen faaliyetler için y›ll›k bir rapor ve buna ilaveten hesaplar›n güvenilirli¤i, ilgili operasyonlar›n hukuka uygunlu¤u ve muntazaml›¤›na iliflkin bir Güvence Beyanat’› haz›rlamaktad›r. Ayr›ca, Topluluk taraf›ndan kurulmufl olan kurumlar için de özel y›ll›k raporlar haz›rlanmaktad›r. Mahkeme; özel raporlar›n haz›rland›¤›, kendi ifl program›na özgü denetim konular›n› da incelemeye alm›flt›r. Nihayetinde, Mahkeme düzenli olarak finansal düzenlemelerin kabul edilmesinden önce ve yap›lan de¤iflikliklere iliflkin görüfl bildirmektedir. Avrupa Denetçiler Mahkemesi, Üye Ülkeler’in atad›¤› ve 6 y›l görev zorunlulu¤u olan üyelerden oluflmaktad›r. Üyelik yenilenebilir özelliktedir. Bu üyelerden oluflan heyet ayn› zamanda kuruluflun temel karar alma organ›d›r. Üyeler kendi içlerinden 3 y›l görev zorunlulu¤u bulunan bir Baflkan seçerler. Baflkan, "primus inter pares" - eflitler aras›nda birinci rolü tafl›maktad›r. Her üye, Mahkeme’nin y›ll›k ifl program›nda belirtilen denetim görevlerinin uygulanmas›ndan sorumludur. Bu görevlerin yerine getirilmesinde uzmanlaflm›fl denetim ekiplerinden faydalan›lmaktad›r. Mahkeme’nin; denetçiler, çevirmenler ve idari destek personelinden oluflan yaklafl›k 760 çal›flan› bulunmaktad›r. Mahkeme personeli ileri profesyonel yetkinlikte, kamu ve özel sektör muhasebe, iç ve d›fl denetim, hukuk ve ekonomi tecrübelerine sahiptir. Mahkeme’nin her Üye Ülke’den çal›flan› bulunmaktad›r. Mahkeme; Avrupa Birli¤i’nin genel bütçesinden finanse edilmektedir; bu finansman› Avrupa Parlementosu’nun, Avrupa Konseyi’ne dan›flmanl›¤› sonras›ndaki onay› geçerli k›lmaktad›r. Mahkeme’nin 2004 bütçesi 95 Milyon Euro dolay›ndad›r, bu AB’nin toplam harcamalar›n›n yaklafl›k %0,1’ni, üye kurulufllar›n›n da toplam genel yönetim harcamalar›n›n yaklafl›k %1,6’s›n› temsil etmektedir. Kurumda Genel Sekreter, Kurulufl’un en k›demli resmi görevlisi olup Mahkeme taraf›ndan atanmaktad›r. Genel Sekreter, Mahkeme’nin personeli ve yönetiminden sorumludur. Daha detayl› bilgi www.eca.eu.int adresinde mevcuttur. Çeviri: Coflkun Özkan, CIA, Zorlu Holding, ‹ç Denetim Müdürü ‹Ç DENET‹M / K›fl 2004 Ahmet Ery›lmaz Gazetelerin o pek sevilen eklerinde "Bunlar› Yap›n" sayfalar› var. ‹lgimizi çekiyor de¤il mi? Sayg› duyuyorum o fikirleri bulup pazarlayanlara. Buyrun yönetim versiyonunu sunuyorum! Üstelik okuyucular›ma bafltan sözüm olsun, çok üzerime gelip hala "neden" diyen olursa özel olarak örneklendirip gerekçelendiririm. Öyle bir evreye girdik ki, bilimsel denilen yönetim anlay›fl› bazen can simidi, bazen ayak ba¤›. Konvansiyonel, flablon yönetim araçlar›ndan söz ediyorum. ‹fl tan›mlar›, (yass›laflt›r›lm›fl bile olsa sonunda birer flema olan) organizasyon yap›lar›, ince ayar kelime oyunlar› ile dolu ünvanlar, her biri birer kara delik olan performans ölçme-de¤erleme yöntemleri... Bugün onlar› art›k 5 y›ld›zl› otel mönülerine benzetiyorum; çekici ama ruhsuz. Bir defa yaflam›m›z›n tam ortas›nda sanki bir fay hatt› fark ettik. 2001 fiubat'›ndan sonra gördük ki fena sars›yor! Üstelik art›k o tehditle yaflamak zorunday›z. Bu yüzy›l bence insanl›¤›n yaflam evriminde sert bir köfle. Bildi¤imiz bir sürü kavram hoyratça sorgulan›yorsa, hepsinin ortas›n- Avrupa Birli¤i rupa Denetçiler 50 51 YAKIN PLAN YAKIN PLAN Genç Yönetici ve ‹fladamlar› Derne¤i (GY‹AD) Filiz Yücesoy Genç Yönetici ve ‹fladamlar› Derne¤i (GY‹AD) Baflkan›, Ömer ‹svan ile gerçeklefltirdi¤imiz söylefliyi aktar›yoruz. ‹Ç DENET‹M / K›fl 2004 Kendinizi ve yapt›¤›n›z ifli tan›t›r m›s›n›z? A¤›rl›kl› olarak otel turizm kompleksleri, resortlar, kulüpler ve konut komplekslerinin geliflimleri ki fizibilitesinden bafllayarak, kompleks kurgusu, tasar›m aflamas›n›n koordinasyonu ve pazarlama sistemlerinin kurulmas›, bunlar›n denetimi ve hayata geçirilmesi ve sonraki süreci kapsayan gelifltirme dan›flmanl›¤› yapmaktay›m. Denetimi zor sektörlerden biri san›r›m Otelin gidiflat›nda çok fazla kalemle u¤rafl›yoruz. Özel bir sistem ve training gerektiriyor. Finansal kontrol mekanizmalar›n›n ve MIS sistemlerinin oturtulmas› çok önemli. Biz sektör olarak 70’lerin sonundan itibaren bunun fark›ndal›¤›yla bir hayli profesyonel hareket ediyoruz. Uluslararas› standartta çal›flan, audit edilebilir bir hale gelmifl bir sistemdir American Association’›n ortaya koydu¤u uniform sistem bu sektör için yap›lm›fl bir fley. Hatta birtak›m eksiklikleri, zaman› yakalayamam›fll›klar› olmas›na ra¤men çok yayg›n kullan›l›yor, avantajlar›ndan biri de otellerdeki zincirleflme. Uniform oldu¤u için dünyaya bir anda o da¤›ld›, herkes onlardan kopya etti¤i için de ortak bir lisan› oluflturdu. Bizim yapt›¤›- “GY‹AD, Türkiye’nin ilk genç ifladamlar› platformu.“ m›z audit bu otel nas›l performans sergiliyor’un auditi. Bunu yaparken de ayn› lisan› konuflabiliyoruz. Bunun d›fl›ndaki otellerde verileri toplay›p, uniform sisteme tercüme edip ondan sonra okey diyoruz. Genç Yönetici ve ‹fladamlar› Derne¤i’ni (GY‹AD) Baflkan› olarak sizden tan›yabilir miyiz? 1986’da ‹stanbul’da kurulan GY‹AD, Türkiye’nin ilk genç ifladamlar› platformu. Bütün Türkiye’ye sahip ç›kan genç ifladamlar› için cazibe merkezi haline geldi bu süre içinde. Birinci misyonu birtak›m de¤erleri gençler aras›nda ortak hale getirmek. Burada Türkiye’nin nüfusuyla orant›l› bir hedef kitleden söz ediyoruz asl›nda. GY‹AD, Türk toplumunun aynas›n› oluflturan yafl grubunu hedefliyor. O hedef içinde de birtak›m ortak de¤erlere sahip ç›kacak insanlar› bir araya getiriyor. Laik demokratik ve Avrupa misyonunu özümsemifl bir platform. Bu vizyona sahip ç›kan ifladamlar›n›n ortak paydas›. Asl›nda bu insanlar› bir araya getirmek bir çeflit network ve benchmark ortaya ç›kart›yor. ‹fl hayat›nda bunu elde etmek o kadar da kolay de¤il. Bunlar›n bir araya getirdi¤i güç ki, as›l dinamik bu. Bunu gerek lobi faaliyeti gerek bask› gücü, gerekse yol gösterici olarak sürdürmek, araflt›rma ve gelifltirmeyle ilerlemeye katk›da bulunacak bir platform olarak kullanmak, Türkiye’ye olan getirilerini düflünerek hareket etmek gerek. Bir de üyelerin e¤itimi ve geliflimini sa¤lamak gibi bir misyonlar› var. Geliflen dünyaya ayak uydurmak, hangi statüde olursa olsun dünya vatandafl› olabilmenin araçlar›ndan biri haline gelmifltir. Bunu sosyal e¤itim, araflt›rma ve lobi faaliyetleriyle yap›yoruz. E¤itim dedi¤imiz de teknolojik de¤il, sektörel anlamda genel bilgiyi ve ifl hayat›na fayda sa¤layacak bilgileri vermeye çal›fl›yoruz. Bu üyelerimizin kiflisel geliflimine yapt›¤›m›z katk›lar, çok de¤iflik mecra ve konularda, kolayl›kla bulunmayacak bilgileri sa¤l›yoruz. ‹stanbul d›fl›nda da flubemiz var. Ayr›ca bütün Türkiye’ye aç›lmay› öngören bir projemiz de var. GY‹AD’›n benzer kurulufllarla ortak çal›flmalar› var m›? TÜG‹AD’la ortak projelerimiz var hatta bir tanesi yabanc› yat›r›m›n Türkiye’ye çekilmesiyle ilgili. Ar› grubuyla yapt›¤›m›z Genç Net projesinde ortak bir vizyonla hareket ediyoruz. Bazen proje “Geliflen dünyaya ayak uydurmak, hangi statüde olursa olsun dünya vatandafl› olabilmenin araçlar›ndan biri haline gelmifltir.” GY‹AD’la T‹DE ortak projeler oluflturabilir mi? Olabilir, çünkü bizim üyelerimizin hepsinin iç denetim fonksiyonlar›n›n oldu¤unu ve bunun da kendi hayatlar›n› kolaylaflt›rd›¤›n›n fark›nda olduklar›n› tahmin ediyorum. Bugünkü sistemimize bakt›¤›m›zda Avrupa müktesebat›na uyan, sadece hukuk de¤il, bat›l›laflm›fl ifl yapma biçimine uymak da ikinci bir ad›m ve biz bunu çok önemsiyoruz, çünkü bunun kanunla gelmeyen bir taraf› da var. Geçenlerde yabanc› yat›r›mc›n›n neden gelmek istemedi¤ine dair yapt›¤›m›z bir de¤erlendirmede ‘Corporate Business‘ ya da ‘Corporate Structure’in anlafl›lamamas›n›n önemli oldu¤unu gördük. Yabanc› yat›r›mc› Türkiye’de biriyle ifl yapmak durumunda, çok büyük yüzdeyle ifl yapacak yabanc› yat›r›mc› hangi ad alt›nda olursa olsun bir Türk ile el tutuflmak zorunda. Ne yaz›k ki flu anda hala Corporate Corporate ile konuflam›yor. Çünkü lisan farkl›l›¤› var, bu ‹ngilizceyi konuflamamakla alakal› de¤il. Örne¤in; yabanc› ortak diyor ki, temel konularda anlaflt›k, gerisini executive tak›m›ndan ilgililer konuflsun diyerek geri çekiliyor ancak ‹ç Denetime gelinceye kadar bir sürü eksik var. Bu yüzden uluslararas› iflbirliklerine girmek istiyorsak compliance taraf›nda çok yol almam›z laz›m. Bu konseptin bir parças› olarak, iç denetimin buradaki rolü ne olabilir sorusunu bir flekilde ortaya ç›karabilecek bir fonksiyonda beraber olabiliriz. Çünkü bu bizim amaçlar›m›zdan biri. fiirketlerin hem compliance taraf›nda hem kay›t d›fl›ndan kay›t içine kaymalar› hem de kendini prezante edebilecek, bir üçüncü flirketle ayn› lisan› ayn› paralelde kullanabilecek hale gelmesi bizim misyonlar›m›zdan biri. Bunun teflvik edilmesi, desteklenmesi boyutunda ortak bir nokta yakalayabiliriz san›r›m. Söylefli için ‹ç Denetim Dergisi olarak teflekkür ederiz. Filiz Yücesoy, SMMM ‹ç Denetim Dergisi Yaz› ‹flleri Müdürü [email protected] ‹Ç DENET‹M / K›fl 2004 baz›nda TÜS‹AD araflt›rma grup ve komisyonlar›yla çal›fl›yoruz. Yine proje baz›nda Türk Amerikan iflbirli¤ini art›rmak gibi birtak›m hedeflerde güçbirli¤i yapma gere¤ini hissediyoruz. 52 53 YANSIMA YANSIMA Avrupa ‹ç Denetim Konferans› Bildiri Özetleri ‹Ç DENET‹M / K›fl 2004 Kurumsal ve Kiflisel Etik De¤erlendirmesi Assessing Organisational and Individual Ethics Albert J. Marcella Ph.D., COAP, CQA, CCP, CDP, CFSA, CISA Webster Üniversitesi Etik; beceri ve bilgi seti oldu¤u gibi ayn› zamanda bir tutumdur. Genellikle ahlaki normlara uygun davran›fllar etik davran›fllar olarak yorumlan›r. ‹fl dünyas›nda etik davranmak için çal›flanlar içinde bulunduklar› etik çerçeveyi gözönünde bulundurarak etik normlara uygun hareket etmelidirler. ‹ç denetçilerin karfl›laflt›¤› etik konular afla¤›dad›r; - Ç›kar çat›flmalar› - Çevre konular› - Müflterilerle iliflkiler - Çal›flanlarla ilgili kay›tlar›n gizlili¤i - ‹çten ö¤renenlerin ticareti (insider trading) - Alkol ve uyuflturucu madde kullan›m› - Kurumsal yönetim konular› - fiirket varl›klar›n›n kötüye kullan›m› - ‹flyerinin güvenli¤i ve sa¤l›k konular› - Birleflme ve sat›nalmalar - ‹flten ç›karmalar - Sat›fl ve pazarlama konular› ‹fl dünyas›nda bir davran›fl›n etik olup olmad›¤›n› anlamak için 6 tane kritik sorunun sorulmas› gereklidir; 1- Davran›fl yasal m›d›r? 2- Fayda-maliyet durumu nedir? 3- Davran›fl›n evrensel bir standart olmas› istenir mi? 4- Davran›fl tv veya gazetede yer alsa gurur duyar m›s›n›z? Denetim Komitesi, Yönetiflim ve ‹ç Denetimin Rolü Audit Committee, Governance & Role of Internal Audit Andrew Raftis Grup Denetim Direktörü, AXA Kurumsal yönetimin standart bir tan›m› olmamakla birlikte en çok kullan›lan› Cadbury Report’unda oldu¤u üzere ifl- ‹Ç DENET‹M / K›fl 2004 Avrupa ‹ç Denetim Enstitüleri Konfederasyonu’nun (ECIIA) 7-8 Ekim tarihlerinde ‹stanbul’da Türkiye ‹ç Denetim Enstitüsü’nün ev sahipli¤inde gerçeklefltirdi¤i 2004 y›l› konferans› çok de¤erli konuflmac›lara ve iç denetim mesle¤indeki önemli güncel konulara sahne oldu. Sunum ve bildiriler, konferans›n ana konsepti "efl-merkezlilik" çerçevesinde a¤›rl›kl› olarak kurumsal yönetim, risk yönetimi ve iç denetim temalar› üzerine oldu. Afla¤›da konuflmac› isimlerinin alfabetik s›ras›na göre sunum özetlerine yer verildi. 5- Ayn› davran›fl›n size yap›lmas›n› ister misiniz? 6- Arkadafllar›n›z›n davran›flla ilgili yorumu nedir? Albert Marcella sunumunda, TEDMER ve ERC kurumlar› arac›l›¤›yla Türk ifl dünyas›nda etik konulara yönelik 2002 y›l›nda gerçeklefltirilen anketin sonuçlar›na da yer vermifltir. Kurumlarda etik programlar› kapsam›nda tüm çal›flanlara etik davran›fllar›n önemi anlat›lmal›, bu konuda e¤itimler düzenlenmeli, direktif ve politikalarda etik konular›na de¤inilmeli, yönetim kurulu ve üst düzey yönetim davran›fllar› ile etik culture sahip olduklar›n› göstermelidirler. Etik konular›n denetiminde dikkate al›nacak konulara de¤inen sunumda ayr›ca etik davran›fl›n ö¤retilebilir oldu¤u ancak kiflinin yafl›n›n e¤itilebilirlik aç›s›ndan önemli bir de¤iflken oldu¤u ifade edilmifltir. Küçük yafllarda al›nan etik e¤itimi daha olumlu sonuçlar vermektedir. lerin yürütüldü¤ü ve kontrol edildi¤i system fleklindeki tan›md›r. Yak›n tarihteki dev flirketlerde ortaya ç›kan skandallar sonucunda kurumsal yönetim konusuna her zamankinden daha fazla önem verilmeye bafllan›lm›fl ve bu konuda Sarbanes Oxley ve benzeri birçok yasa yürürlü¤e konulmufltur. Kurumsal yönetim konusunda geçti¤imiz iki y›l boyunca afla¤›daki konular global bir trend halinde önem kazanmaktad›r; - Finansal tablolar ve finansal piyasalara aç›klanan di¤er bilgiler üzerinde kuvvetli iç kontrollerin tesis edilmesi ve sürdürülmesi - CEO ve CFO’nun finansal tablolar üzerinde flahsi sorumluluklar›yla birlikte yönetimin hesap verilebilirlik sorumluluklar›ndaki art›fl - Denetim komitelerinin artan sorumluluk ve ba¤›ms›zl›klar›n› da içeren geliflmifl yönetiflim mekanizmalar› - D›fl denetçiler için daha kat› ba¤›ms›zl›k gereksinimleri ‹ngiltere’deki Smith Report’a gore denetim komitesinin rolü, afla¤›daki sorumluluklar› izleyerek yönetim kurulunun ifllevini yerine getirmesine yard›mc› olmakt›r; - Finansal tablolar›n bütünlü¤ü - Finansal kontrol ve risk yönetim sistemi - ‹ç denetimin etkinli¤i - D›fl denetimin ba¤›ms›zl›¤›, objektivitesi ve etkinli¤i - Denetim d›fl› hizmetler ve d›fl denetçilerin onaylanmas› 54 55 YANSIMA YANSIMA Nas›l Büyük Düflünülür? Kamu Kesiminde Kurumsal Yönetim Maximizing Audit Resources Corporate Governance in the Public Sector David Woodward NATO Uluslararas› Denetleme Kurulu Baflkan› ‹Ç DENET‹M / K›fl 2004 Denetim kaynaklar›n›n art›r›labilmesi için izlenmesi gereken ad›mlara yer verilmifltir. 1- Öncelikle denetim fonksiyonun de¤erinin anlat›lmas› ve fark›ndal›k yarat›lmas› amaçl› web sayfas›, broflür vb. materyaller haz›rlanmal›d›r. 2- Organizasyon içindeki tüm üniteleri kapsayan ve risk de¤erlemesine dayanan bir planlama yap›lmal›d›r. 3- Mesleki standartlara uyum sa¤lanmal›d›r. 4- Dan›flmanl›k, risk yönetimi, güvence hizmetleri, kurumsal yönetim, kontrol süreçleri vb. konularda denetim departman›n›n rolü ve fonksiyonu ne olmal›d›r sorusuna cevap aranmal›d›r. 5- ‹ç denetçilerin mesleki tatmin ve motivasyonlar› art›r›lmal›d›r. 6- ‹nternet sitelerinin kullan›m›ndan, di¤er iç denetçilerle biraraya gelmeye ve e¤itim programlar›na kat›l›ma kadar çok çeflitli aktivitelerle meslek hakk›nda sürekli iletiflimde bulunulmal›d›r. 7- Verimlilik üzerine odaklanmak, hat›rlanabilir kaliteli raporlar üretmek vas›tas›yla etkin bir çal›flma gösterilmelidir. 8- Maliyet-fayda kavramlar› gözönünde bulundurularak katma de¤er üreten sonuçlar üzerine odaklan›lmal›d›r. 9- Plan ve çal›flmalar d›fl denetçilerin çal›flmalar›yla koordine edilmelidir. 10- Performans ölçümleri, müflteri anketleri vb. yöntemlerle baflar› sürekli izlenmelidir. ‹ç Denetim Mesle¤inin Durumu Orijini özel sektörde flekil bulan kurumsal yönetim kavram› birtak›m de¤iflikliklerle kamu sektöründe de uygulanmaktad›r. Uygulamadaki farkl›l›klar yönetim kurulu, kurumun hissedarlar› vb. kavramlarda ortaya ç›kmaktad›r. David Woodvard sunumunda bu farkl›l›klar› dikkate alarak kurumsal yönetimin kamu sektöründe nas›l uygulanabilece¤ini irdelemifltir. State of Internal Auditing David Richards, CIA IIA ‹cra Kurulu Baflkan› David Richards sunumunda; iç denetim mesle¤inin güvence hizmetleri, nitelikler, denetim konular› vb. çok çeflitli konulardaki güncel durumunu, ‹ç Denetçiler Enstitüsünün (IIA) gelece¤ini analiz etmifl ve meslekteki güncel trendlere de¤inmifltir. Bu trendlerden baz›lar› ana bafll›klar halinde afla¤›da yer almaktad›r; - Kurum bütününde risk yönetiminin (ERM-Enterpriswide Risk Management) tesis edilmesine iç denetim departman›n›n kat›l›m› - Adli denetim - Yolsuzlu¤un önlenmesi ve tespiti - Etik olmayan davran›fllar›n ihbar› için özel hatlar - Kontrol de¤erlemesi - Uyum programlar› - Sürekli denetim - ‹ç denetim departman› kalite güvence kontrol sertifikasyonu - Sürdürülebilir geliflme - De¤iflen sorumluluklar›na paralel denetim komitelerine yard›m - Denetimlerde risk planlamas› - Üçüncü kiflilerden hizmet sa¤lama - Uzun vadeli denetim planlar› - ‹ç denetim departman› kalite güvence incelemeleri - Müflteri odakl›l›k - ‹ç denetçilerin artan kalifikasyonlar› - Teknolojinin departman üzerindeki etkileri Kamu Kesiminde Risk Yönetimi ve ‹ç Denetimde En ‹yi Uygulamalar Best Practices Risk Management & Internal Audit in Public Sector Gerry Cox Güney Someset Konseyi, UK Risk yönetimi fonksiyonundan yönetim sorumlu iken iç denetçiler risk yönetimi uygulamalar›n› izler, de¤erlendirir ve raporlama yaparlar. Gerçeklefltirilecek risk de¤erlemesinde hedefler belirlenir, tüm riskler, kontroller ve art›k riskler tan›mlan›r. Risk yönetiminde ise riskler tan›mlan›r, yönetilir, risk azalt›c› tedbirler al›n›r. Kahramanlara Gerçekten ‹htiyac›m›z Var m›? Sustainable Development & Internal Audit Hans Nieuwlands Denetim Müdürü, Nuon Aktif Yönetimi ‹ç denetçiler sürdürülebilir geliflim ve ilgili standartlar konusunda genifl bir anlay›fl ve bilgiye sahip olmal›d›rlar. Bu konudaki standartlar› kurum için de¤erlendirerek yönetimi bu konuda bilgilendirmeli, d›fl güvence incelemelerini koordine etmeli ve iç denetimlerini gerçeklefltirirken gerekli durumlarda uzman kiflilere denetimde yer vermeyi de düflünmelidirler. Sarbanes-Oxley Kanununun ‹ç Denetim Fonksiyonuna Etkileri Implications of the Sarbanes-Oxley Act on the Internal Audit Function Hubertus Buderath Daimler Chrysler Kurumsal Denetim Baflkan› Daimler Chrysler flirketindeki Sarbanes Oxley uyum çal›flmalar›na yer verilen bu sunumda, yasaya uymakla yükümlü flirketlerde yap›lmas› gerekenlere yer verilerek iç kontrol sistemlerinin tasarlanmas› ve yürütülmesinden yönetimin sorumlu oldu¤u, iç denetçilerin ise iç kontrol süreç ve sistemlerini de¤erlendirmeleri gerekti¤i ifade edilmifltir. Do We Really Need Heros? Giovanni Grossi CIA, CFE, CCSA, CGAP Enron, Worldcom vb. flirketlerdeki yolsuzluklar› ö¤renerek ihbar eden kiflilere ihtiyac› bulunan bir flirket asl›nda büyük bir problem yaflamaktad›r. Yolsuzluk durumunu ö¤renip ihbar edenler kahraman olarak karfl›lanmakla birlikte bu türde kahramanl›klardan ziyade önceden kontroller vas›tas›yla önlemlerin al›narak yolsuzlu¤a prim tan›mayan bir kurum yap›s›na kavuflmak daha az maliyetli ve daha faydal›d›r. ‹Ç DENET‹M / K›fl 2004 Betty McPhilimy IAA Yönetim Kurulu Baflkan› Sürdürülebilir Geliflim ve ‹ç Denetim 56 57 YANSIMA YANSIMA Risk De¤erlendirmesinin Denetim Planlamas›ndaki Yeri Assessing Risk in Audit Planning What’s Culture Got to Do with CSA lur ve ifllemler çeflitli kriterler alt›nda sürekli test edilir. Richard Chambers ‹ç Denetim Direktörü, PWC Larry Hubbard CPA, CIA, CISA, CCSA, CSA Hubbard and Associates Kurucu Orta¤› Devlet Kurumlar›nda Geniflleyen Denetim Bak›fl Aç›s› ‹ç denetçiler, afla¤›daki durumlarda risk de¤erlemesinde bulunurlar; - Y›ll›k denetim planlamas›nda - Denetimleri planlamas› ve uygulamas›nda - Dan›flmanl›k hizmetinde - Yönetime yap›lan önerilerde Risk odakl› denetim planlamas›; organizasyonu de¤erlendirirken disiplinli analitik bir yaklafl›m sa¤lar, riskleri ortaya koyar, yüksek riskli alanlara odaklan›lmas›n› sa¤lar, denetim kaynaklar›n› en verimli olabilece¤i alana yönlendirir ve üst düzey yönetimin kurumun risk profilini de¤er- Kültürün Bununla Ne ‹lgisi Var? Broadening Audit Perspective in Government Kontrol içsel de¤erlemesi (CSA-Control Self Assessment) faydalar› üzerine de¤erlendirme yap›lan sunumda, COSO ve CoCo iç control modellerine de yer verilmifltir. Kontrol çerçevesi, kurumun etik kültürü, bütünlü¤ü gibi de¤erlerin denetiminde önceden yap›land›r›lm›fl görüflmeler, çal›flanlara da¤›t›lacak anketler ve çal›fltaylar faydal› yöntemlerdir. Hangi yöntem seçilirse seçilsin çal›flanlarla yüzyüze gelinip soru sorulmas› flartt›r. Sürekli Gözetim Continous Monitoring ‹Ç DENET‹M / K›fl 2004 Martin Catellier Bölge Drektörü, ACL Kurumsal yönetim ve kontrol ortam›n›n çeflitli etkenler alt›nda de¤iflmesi sebebiyle kontrollerin de daha etkin olmas› gerekmektedir. Maliyet-fayda analizleri, ifl yükünün art›yor ve karmafl›klafl›yor olmas›, manuel kontrollerdeki problemler ve veri problemleri nedeniyle kontroller daha verimli ve maliyet-etkin bir yap›da oluflturulmal›d›r. Sürekli gözetimde ifllemler eflanl› olarak kontrol edilir, kritik durumlarda alarm sinyali üretilir, farkl›l›klar ortaya konulur, kontrollerin yeterli olup olmad›¤› ortaya konu- Peter Pennekamp ‹ç Denetim Direktörü, Hollanda Merkezi Hükümeti Peter Pennekamp sunumunda; kamu sektöründe denetimin kalite iyilefltirmesi kapsam›nda merkezi hükümet içinde ve d›fl›ndaki en iyi uygulamalar›n incelendi¤ini, bakanl›ktaki üst düzey yönetimin bu projeden sorumlu oldu¤unu, periyodik raporlamalar ve konferanslar vas›tas›yla sürekli bilgilendirme yap›ld›¤›n›, kamu denetçileri ile özel sektör denetçilerinin biraraya geldiklerini, IIA ile koordinasyon sa¤land›¤›n›, insan kaynaklar› ve iletiflime özel önem verildi¤ini, denetim aktivitelerinin tekrar gözden geçirildi¤ini, Hollanda’da her bakanl›k için y›ll›k risk odakl› denetim plan› haz›rland›¤›n› belirtmifltir. Devlet Kurumlar›nda Modern ‹ç Denetim Modern Internal Auditing in Goverment Richard Chambers ‹ç Denetim Direktörü, PWC Kamu sektöründe denetimin özel sektördeki denetimden belirgin faklar›; raporlama iliflkilerinin lendirmesi için bir araç görevini görür. Y›ll›k denetim planlamas› için risk de¤erlemesinde öncelikle denetim çerçevesi belirlenmeli, risk faktörleri tan›mlanmal› ve a¤›rl›kland›r›lmal›, denetlenebilir üniteler için risk faktörlerini skorlayacak bir model dizayn edilmeli, model arac›l›¤›yla bulunan risk skorlar› s›raya konularak bu s›ralamaya göre denetim plan› yarat›lmal›d›r. Avrupa’da ‹ç Denetimin Gelece¤i The Future of Internal Auditing in a Europe Richard Nelson Dan›flmanl›k Hizmetleri Direktorü, Numerica Kurumsal yönetim ilkeleri do¤rultusunda iç denetimin kurum bütününde risk yönetimi, iç kontrol çerçevesi konular›nda etkin olmas› gerekmektedir. ‹ç denetimin gelece¤i aç›s›ndan iç denetçilerin mesleki aç›dan kendilerini gelifltirmeleri, meslekle ilgili geliflmeleri yak›ndan takip etmeleri, denetim komitelerine dan›flmanl›k yapmalar› gereklidir. Kurumsal yönetim, bilgi ve iletiflim teknolojisi, e-ticaret, yönetim kuruluyla iletiflim, iç denetime ihtiyac›n artmas›, ifl riskleri vb. hususlar Avrupa’da iç denetim mesle¤inin gelece¤ini flekillendirecektir. Yeni Standartlar ve Mesleki Uygulamalar Çerçevesi New Professional Practices Framework Ronald de Meulder Uluslararas› Denetim Standartlar› Kurulu Baflkan› Mesleki Uygulamalar Çerçevesi, yeni standartlar› da içermek üzere revize edilmifltir. Bu çerçevede, modern iç denetimin tan›m›, etik ve standartlar, uygulama tavsiyeleri, geliflim ve uygulama yorumlar› yer almaktad›r. Standartlar; nitelik, performan ve uygulama standartlar› olmak üzere üçe ayr›lmaktad›r. Uygulama tavsiyeleri ise standartlar›n yorumlanmas› ve uygulanmas›na yarar sa¤lar ve uyum zorunlu de¤ildir. Son dönemde standartlarda baz› de¤ifliklikler meydana gelmifl olup bunlar Ronald De Meulder taraf›ndan detayl› olarak dile getirilmifltir. Konuflmac›lar›n sunumlar› N. Burak Ünlü taraf›ndan dilimize çevrilmifltir. ‹Ç DENET‹M / K›fl 2004 genellikle statü ile belirlenmesi, yönetmeliklerde rol ve sorumluluklar›n daha net bir flekilde belirlenmesi, bilgi erifliminin genellikle s›n›rland›r›lmam›fl olmas›, politik bir çevrede faaliyet göstermesi ve nihai raporlar›n genelde kamuya aç›k olmas›d›r. 21 yy.daki kamu denetçisinin tipik özellikleri afla¤›dakilerdir; - Profesyonel - Objektif - Gerçeklere odakl› - Teknolojiye adapte olmufl - Stratejik - Bilgili 58 59 YANSIMA YANSIMA ‹ç Denetimdeki Son Geliflmeler Ümit Türkkan 15 Kas›m 2004, birçok halka arz edilmifl Amerika Birleflik Devletleri ("ABD") flirketi için Temmuz 2002’de ABD de yürürlü¤e giren SarbanesOxley kurumsal yönetim kanunun yükümlülüklerinden biri olan iç yönetim kontrollerinin dokümantasyon ve raporlanmas› için son tarih. Söz konusu kanunun 404. Bölümü (Section 404) gere¤i halka arz edilmifl flirket yönetimleri ve bu flirketlerin ba¤›ms›z denetçileri 15 Kas›m 2004 tarihine kadar iç denetim sistemlerinin islerlili¤ini ve varsa sistemlerdeki önemli aksakl›klar› (material weakness) belirlemek ve raporlamakla yükümlü k›l›n›yorlar. Financial Times gazetesinde yer alan bir habere göre halka arz edilmifl flirketlerin büyük ço¤unlu¤u bu yükümlülüklerini yerine getirebilecek gibi gözükürken %10 ile %25`i 15 Kas›m tarihine kadar bu yükümlülüklerini yerine getiremeyecekler. Gazetedeki ayn› habere göre Sarbanes-Oxley ile uyum içinde olman›n ve gereklerini yerine getirmenin büyük bir ABD flirketi için ortalama maliyeti 2004 sonu itibariyle 5.1 milyon ABD dolar›n› (_4m) ve devam eden y›llarda ayni kanun ile ilgili yerine getirilmesi gerekli uyumluluk çal›flmalar›n›n maliyeti ise 3.7 milyon ABD dolar›n› buluyor. Bu harcamalar›n çok büyük bir böluümü iç yönetim kontrollerinin dokümantasyon çal›flmalar›ndan kaynaklanmakta ve General Electric gibi çok büyük boyutlu flirketlerin ayn› kanun ile ilgili uyumluluk çal›flmalar› için maliyetleri 30 milyon ABD dolar›na ulaflmaktad›r. Korn Ferry insan kaynaklar› ve araflt›rma flirketinin ABD`nin en büyük 1000 (Fortune 1000) flirketi aras›nda yapt›¤› anket sonuçlar›na göre halka arz edilmifl flirketlerin Sarbanes-Oxley kanunu çerçevesinde bu güne kadar yapt›klar› harcamalar 5 milyar ABD dolar›na ulaflmaktad›r. (Financial Times, "Sarbanes-Oxley compliance costs average $5m", 12 Kas›m 2004) ABD menkul k›ymet borsalar›na kote olmufl yabanc› flirketler ve küçük boyutlu ABD flirketlerinin kanunun iç kontroller ile ilgili olan bölümü (Bölüm 404) ile uyumlu olma zorunlulu¤u 2005 y›l›nda bafllamakta. Di¤er taraftan The Wall Street Journal gazetesinde yer alan bir habere göre halka arz edilmifl flirketlerin %10 ile %20`sinin iç denetim sistemlerinde aksakl›klar›n ortaya ç›kmas› beklenmekte. Büyük boyutlu flirketler aras›nda Temmuz 2004`te yap›lan anket sonuçlar›na göre ankete kat›lan flirketlerin %7.7si Sarbanes-Oxley kanunu çerçevesinde yerine getirmeleri gerekli çal›flmalar›n %20`sinden daha az›n› tamamlad›klar›n› belirtmektedirler. Benzer flekilde %13.3`u %20 ile %40`ini, %27.4`u %41 ile %60`ini, %31.9`u %61 ile %80`ini ve sadece %15.3`u %81 ile %100`unu tamamlad›klar›n› belirtmektedirler. (The Wall Street Journal, "Tracking the Numbers, Street Sleuth: Grasping Internal Controls", 3 Kas›m 2004) The Washington Post gazetesinin 2 Kas›m 2004 tarihli haberine göre ise ba¤›ms›z denetim flirketleri de ayn› flekilde üzerlerinde zaman bask›s›n› hissetmekte, kaynak s›k›nt›s› yaflamakta ve piyasalardan gelen talebi karfl›lamakta zorluklar çekmektedirler. Tüm bunlar› dikkate alan Securities and Exchange Commission ("SEC") flirketlere ve ba¤›ms›z denetimcilere zaman kazand›rmak amac›yla halka arz edilmifl flirketlerin bu y›l yerine getirmeleri gerekli di¤er baz› yükümlülüklerini erteleme karar› ald›. SEC bafl muhasebecisi Donald T. Nicolaisen`e göre son y›llarda uygulanmaya bafllanan yeni kanun ve yükümlülükler aras›nda iç kontrollerle ilgili olanlar finansal raporlamay› gelifltirmek yönünde en büyük potansiyele sahipler ve bu nedenle iç kontrol alan›ndaki kanun yükümlülüklerinin gerekti¤i flekilde yerine getirilmesi çok önemli. Benzer flekilde ABD`de ba¤›ms›z denetim flirketlerinin yasal düzenleyici ve denetçi kurumu olan Public Company Accounting Oversight Board ("PCAOB") baflkan› William J. McDonough`a göre yeni düzenlemeler sonucunda büyük bir muhasebe skandal› önlenebilirse Sarbanes-Oxley ile ilgili piyasalarda katlan›lmas› gerekli maliyetlerin ve ek yükümlülüklerin gerek- lili¤i daha iyi anlafl›lacakt›r. Bununla birlikte henüz tüm flirketler buna ikna olmufl görünmemekteler. Intel Corporation sözcüsü Chuck Mulloy`a göre bu yorumu yapabilmek için daha çok erken. Mulloy Intel`in Sarbanes-Oxley ile ilgili yükümlülüklerini yerine getirebilmek için gerekli tüm kaynaklar› temin etti¤ini ve kulland›¤›n› ve tüm bu ek maliyet ve çal›flmalar›n kendilerine getirece¤i fayda ve kazançlar›n›n ne olabilece¤ini görmek için bundan sonra bekleyeceklerini ifade etmekte. (The Washington Post, "Crunch Time: Companies Hurry to Comply With Internal Controls Rule", 2 Kas›m 2004) Cleveland flehrinde faaliyet gösteren National City Private Client Group`tan James Halloran’da ayn› flüphecilikle Sarbanes-Oxley`in kazançlar›n›n marjinal oldu¤u, piyasalarda yat›r›mc›lar için biraz daha iyi bir ortam›n oluflturuldu¤unu ancak piyasalar›n bu kanunla uyumlu olabilmek için katlanmak zorunda b›rak›ld›klar› zaman ve maliyetler dikkate al›nd›¤›nda finansal raporlama alan›nda elde edilecek kazançlara de¤meyece¤i görüflünde. Ayn› flekilde ABD’nin en büyük kara tafl›mac›l›k flirketi olan Yellow Roadway Corporation`in hukuk dan›flman› Dan Schuray flirketin denetim ve dan›flmanl›k masraflar›n›n 2004 y›l›nda 4 milyon ABD dolar›na ç›kt›¤›n› ve bunun geçen y›l 1.8 milyon ABD oldu¤unu ifade etmekte ve elde edilebilecek olas› kazançlar›n harcanan emek ve maliyetlerle karfl›laflt›r›ld›¤›nda sarf edilen ek harcamalara ve çal›flmalara de¤meyece¤i görüflünü paylaflmakta. (National Post, "Someone`s Pain is Another`s Gain", 5 Kas›m 2004) COSO Yeni Bir Risk Yönetim Çerçevesi Yay›nlad› Üç y›ll›k bir çal›flma sonras›nda COSO (Committee of Sponsoring Organizations of the Tra- deway Commision) yeni bir risk yönetimi çerçevesi (Enterprise Risk Management Integrated Framework) yay›nlad›. COSO baflkan› John J. Flaherty`ye göre risk yönetimi çerçevesi oluflturma projesi Enron skandal›ndan önce kurumsal ifl dünyas›nda genel kabul gören bir risk yönetimi çerçevesi eksikli¤ini dikkate alarak bafllad›. Flaherty`ye göre risk yönetimi çerçevesi var olan iç kontrol çerçevesi esas al›narak flirketlere operasyonel hedeflerine ulaflmalar›nda katk›da bulunmak amac›yla oluflturuldu. Yeni risk yönetimi çerçevesi var olan iç kontrol çerçevesinin yerini almamakta aksine iç kontrol çerçevesini ve çal›flmalar›n› gelifltirmekte ve daha da detayland›rmakta. (Accounting Today, "COSO Releases A New Risk Management Framework", 25 Ekim – Kas›m 7 2004) ‹ç Kontrol Raporlama K›lavuzlar› SEC ve PCAOB finansal raporlamaya iliflkin iç kontrol yükümlülükleri ile ilgili ikinci tur k›lavuzlar yay›nlad›lar. SEC Muhasebe Bölümü taraf›ndan Haziran 2004’te yay›nlanan k›lavuz flirket yönetiminin finansal raporlamaya iliflkin iç kontrol raporlama yükümlülükleri ile ilgili aç›klamalar ve yorumlar getirmekte. (Management`s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports) PCAOB taraf›ndan yay›nlanan k›lavuz ise Auditing Standard No: 2’nin uygulamas› ile ilgili yorumlar› içermekte. (An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements) (Auditwire Volume 26, Number 6, Kas›m/Aral›k 2004) Ümit Türkkan, CIA, MBA Deloitte & Touche LLP Manager, Enterprise Risk Services ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 Üç Y›ll›k Maratonun Sonu 60 61 YANSIMA YANSIMA ‹nternetten Pratik Bilgiler Genel görüfl olarak bilgiye ulaflman›n en iyi yolu kitaplar olmas›na karfl›n en k›sa yolu ise günümüzde internettir. Bilgiyi bulmadaki zorluklar organizasyonlar taraf›ndan bilgi bankalar› oluflturulmas›na neden olmaktad›r. Bu aflamada, organizasyonlar bilgileri biriktirmekte, çal›flanlar da zamanlar›n› bu bilgilerin bulunmas›, organize edilmesi ve yönetilmesi için harcamaktad›rlar. Çal›flanlar internet ortam›nda bir dosya arad›klar›nda karfl›lar›na uzun listeler veya birçok internet adresi ç›kmaktad›r. Dolay›s›yla bu listelere ve/veya sitelere göz atmak uzun zaman almaktad›r. Alain’nin dedi¤i gibi "ahmaklar zaman› nas›l öldürece¤ini, ak›ll›lar ise nas›l kazanaca¤›n› düflünür". Bu aç›dan, zaman› nas›l kazanaca¤›n› düflünen denetçiler için, bilgiye daha k›sa sürede nas›l ve nereden ulafl›labilece¤ine yönelik olarak yararl› olaca¤›n› düflündü¤ümüz de¤iflik internet sitelerine sizin için göz att›k. Nakit Ak›m› Yaklafl›m›yla Kredi De¤erlemesi (E-Book) (fiubat 2004) Nakit Ak›m› Yaklafl›m›yla Kredi De¤erlemesi (E-Book) (fiubat 2004) Anasaya Mahkemesi Kararlar› (Temmuz 2004) BDDK Kurul Kararlar› (Temmuz 2004) Yat›r›m Teflvik Mevzuat› (Temmuz 2004) SPK Mevzuat› (fiubat 2004) Sorularla D›fl Ticaret Mevzuat› (Temmuz 2004) Kararlar ve Özelgeler (Eylül 2004) Döviz Kurlar› Arflivi(1 Ekim 2004) Mali Makaleler Arflivi(Eylül 2004) konular›nda güncellenen yaz›l›mlar bulunmakta. Ayn› zamanda, "herkesin bilgiyi ücretsiz temin etme hakk› vard›r" prensibinden hareket ederek yaz›l›mlar›n kullan›c›lara ücretsiz olarak sunuldu¤u belirtilmekte. Türkçe ‹nternet Siteleri ‹Ç DENET‹M / K›fl 2004 http://www.vergiturk.com Mali konularda en kapsaml› ve öncü mevzuat yaz›l›m› oldu¤unu belirtilen sitede, her denetçinin notebook’unda bulunmas› gerekti¤ini düflündü¤ümüz download edilebilecek güzel programlar mevcut. Sitede, Türk Vergi Kanunlar› 2004 (6 Ekim 2004) Denetim ‹lke ve Esaslar› (fiubat 2004) Fire ve Rand›man Oranlar› (fiubat 2004) http://www.vergiportali.com Pricewaterhouse Coopers taraf›ndan düzenlenmifl olan sitede, sirküler, pratik bilgiler, maafl, k›dem tazminat› v.b. hesaplama programlar›, bülten sayfas›nda vergi bülteni, hukuk, sigorta v.b. bültenler yer almakta, gündemde olan YTL ve enflasyon muhasebesi konular›nda özel sayfalar mevcut. Yine bu siteden mali takvim bilgilerine ulafl›labilir. Yay›nlar Bölümünde, Muhasebe ve Vergisel Yönleriyle Yeni Türk Liras›na Geçifl, Vergide Yap›lan 100 Önemli Hata, Vergi Konusunda Avantaj Sa¤layabilece¤iniz 117 Madde, Ücret Geliri Elde Edenler ‹çin Getirilen 'Özel Gider ‹ndirimi' Yat›r›m Teflvik Uygulamalar›, D›fl Ticaret ve Gümrük K›lavuzu, fiirket Birleflmelerinin Vergisel Boyutu, fiirket Yönetici ve Ortaklar›n›n fiahsi Zorunluluklar› konular›nda yararl› yay›nlar mevcut. Bu yay›nlar›n pdf format›ndaki elektronik kopyas›n› http://www.vergiportali.com/yayinlar.asp adresinden ücretsiz olarak indirilebilir. Enflasyon muhasebesi ile ilgili mevzuat bilgilerine ve yay›nlanan bültenlere http://www.vergiportali.com/enflasyon_muhasebesi.asp sayfas›ndan ulaflabilir. http://www.vergidegundem.com Ernst & Young taraf›ndan düzenlenmifl bir site, sitede, ayn› flirket taraf›ndan haz›rlanan sirküler, vergi rehberi, e-makale, vergide gündem dergisi, pratik bilgiler bulunmakta. http://www.imkb.gov.tr Bu siteden, halka aç›k flirketlere iliflkin gereken tüm bilgilere ulafl›labilir. Hisse Senedi, TahvilBono ve Vadeli ifllemler piyasalar›na iliflkin günlük bültenler, halka aç›k flirketlerin mali tablolar›, haberleri, piyasa verileri, endeks bilgileri, piyasa hacimleri ve imkb yay›nlar›na iliflkin kapsaml› verilere bu siteden ulaflabilir. Sitede, http://www.imkb.gov.tr/icerik.htm adresine girerek ‹MKB içinden al›nabilecek bütün bilgiler "‹çindekiler" sayfas› fleklinde görülebilir. http://www.turmob.org.tr Genel olarak muhasebe uygulamalar›na yer verilen siteden, mali müflavirlik hakk›nda mevzuat bilgilerine, s›nav programlar›na ve sonuçlar›na, yay›nlanan yeni kitaplar›n tan›t›m›na, vergi ve muhasebe konular›nda pratik bilgilere, yine vergi ve muhasebe konular›nda yay›nlanan güncel makalelere ulafl›labilir. Konu ismi veya yazar ismi verilerek arama yap›labilen bu sitede istenilen konudaki makalelere http://www.turmob.org.tr/basin_yeni_arsiv/ adresinden ulafl›labilir. http://www.gelirler.gov.tr Gelirler Genel Müdürlü¤ü taraf›ndan düzenlenen bu sitede, vergi takvimi, kanunlar, tüzükler, tebli¤ler, yönetmeliklerden oluflan mevzuat, beyanname düzenleme rehberleri ve örnek beyannameler, vergi mevzuat›nda son ç›kan tebli¤, tebli¤ taslaklar› ve sirkülerler ile YTL ve e-beyannameye iliflkin bilgiler ve uygulamalar yer almaktad›r. Bu siteden vergi mevzuat› ile ilgili de¤ifliklikler güncel olarak takip edilebilir. http://www.alomaliye.com Genifl bir mevzuat bilgisini içeren bu site, yönetmeliklerden tutun da kanunlar, tüzükler, tebli¤ler, muktezalar, Dan›fltay kararlar› ve Anayasa Mahkemesi kararlar›na kadar oldukça detay bazda haz›rlanm›fl güzel bir sitedir. Pratik bilgiler, püf noktalar›, mesleki yay›nlar ile ilgili kitaplar, mesle¤inde uzmanlaflm›fl kiflilerin yazd›¤› makalelere yine bu siteden ulaflabilirsiniz. Ayr›ca, Enflasyon Düzeltmesi Program›, ‹fl Kanunu Program›, K›dem ve ‹hbar Tazminat› Hesaplama Program›, TL’den YTL’ye Çeviri Program›, Net’ten Brüt’e Maafl Hesaplamas› gibi programlar bu siteden ücretsiz olarak download edilebilir. Bu sitenin mail listesine kayd›n›z› yapt›rd›¤›n›zda, otomatik olarak vergi ve di¤er kanunlarda yap›lan de¤ifliklik bilgileri mail adresinize ücretsiz olarak gönderilmektedir. http://www.sayistay.gov.tr/yayin/ yayinicerik/intosai1.htm#soz Devlet denetimine yönelik olarak, Yüksek Denetim Kurumlar› Uluslararas› Kuruluflu olan ve Türk Say›fltay›n›n da üyesi bulundu¤u INTOSAI, üye ülke Say›fltaylar› aras›nda denetim usul, metod ve teknikleri yönünden bir birliktelik sa¤lamak amac›yla 1984 y›l›nda kurdu¤u Denetim Standartlar› Komitesi taraf›ndan Ekim 1991 tarihinde onayla- ‹Ç DENET‹M / K›fl 2004 Bayram Akyüz 62 63 YANSIMA YANSIMA nan Intosai Denetim Standartlar›na (1Devlet Denetiminde Temel Önermeler Paragraf 1- 49, 2- Devlet Denetiminde Genel Standartlar Paragraf 50-128 3Devlet Denetiminde Çal›flma Standartlar› Paragraf 129-162) bu adresten ulaflabilirsiniz. Yurtd›fl›ndaki ‹nternet Siteleri http://www.auditnet.org/ Bu site tüm denetçilerin faydalanabilece¤i temel bilgi ve yönlendirmeleri içermekte. Sitede çeflitli denetim yöntemlerine iliflkin haz›rlanm›fl denetim prog- ‹Ç DENET‹M / K›fl 2004 Denetim Programlar› Association of College&University www.acua.org Auditors Audit Exchange Library Association of Healthcare Internal www.ahia.org Auditors Electronic Audit Library Audit Guides - Treasury www.tbs-sct.gc.ca Board of Canada Audit Manuals,Guides&Programs www.tbs-sct.gc.ca Treasury Board of Canada www.ci.tampa.f1.us Audit Program Guides www.utsystem.edu Audit Programs Auditing the Human www.auxillium.com Resources Function AuditNet Auditors Sharing www.auditnet.org Audit Programs www.auditnet.org AuditNet Supplemental List of Audit Programs Computer Security Institute www.all.net Mini -Checklist Construction Audit Programs 150.176.41.12/cig Defense Contract Audit Agency web.deskbook.osd.mil File System Checklists www.all.net www.fpc.com Florida Power Corporation www.fpc.com Florida Power Corporation Audit Services Internal Control GASSP FirewallChecklist www.all.net Information Systems Audit& www.gallaudet.edu Security Review Kits LAN Administration www.jhuniverse.hcf.jhu.edu Self Assessment Questionnaire www.all.net Management Analytics Firewall Checklist Novell Network Security www.stanford.edu Self Assessment Operating Unit Compliance Audits www.stanford.edu www.all.net PBX Audit Checklist PCCIP Risk Management www.all.net Best Practices Audit www.all.net Process Audit Checklist QS - 9000 Auditor's Checklist www.isogroup.iserv.net ram ve metodolojileri, denetim ile ilgili sitelerin bulundu¤u genifl bir link arflivi, denetime iliflkin çal›flma program›, denetim raporlar›, risk bazl› denetim esaslar›n›n anlat›ld›¤› çal›flmalar›n bulundu¤u kütüphane sayfas›, denetim ile ilgili son geliflme ve yaklafl›mlar ile uluslararas› alanda denetçi taleplerinin yap›ld›¤› bir ilan tahtas› yer ald›¤› sayfa bulunmaktad›r. Yine sitede, programlar sayfas›nda, yönetim ve finansal denetime yönelik programlar›n indirilebilece¤i bir sayfa ile 800’e yak›n hem IT denetimi hem de operasyonel ve risk bazl› denetimlere konu olacak program, el kitab› ve çal›flmalara uflaflabilece¤iniz linkler mevcuttur. http://www.tbs-sct.gc.ca/ia-vi/home-accueil_e.asp Kanada Hazine Müsteflarl›¤›na ait olan bu sitede, risk bazl› denetimin nas›l yap›laca¤› ile risk noktalar›n›n tespitine iliflkin bilgileri içeren ve denetim çal›flmalar›n›n ad›mlar›n› gösteren bir el kitab› bulunmaktad›r. Sitede Risk De¤erlemesi, Risk Bazl› Denetim Çerçevesi, Risk’lerin çeflit seviye ve kalitesine göre ayr›flt›r›lmalar›, Risk Yönetimi konular›nda bir el kitab› mevcuttur. http://www.abrema.net/interactive/ approach/ap_form.html Aktivite esasl› risk noktalar› tespiti ve denetim modeli gelifltirilmesi için basit bir yaklafl›m ve ölçümleme gösteren bir site, denetim yaklafl›m›n› tan›mak için göz at›lmas› ilginç olabilecek bir site. Muhasebesel aç›dan denetimin risk yap›s› için yönlendirme yap›lmaktad›r. Yine site içerisinden detayl› rasyo hesaplamalar› ve yorumlar›na iliflkin sitelere link ile gitmekte mümkündür. Bayram Akyüz, Yaflar Holding A.fi., ‹ç Denetim Birimi Advanced Technology Program www.atp.nist.gov Audit Guidelines Application Review Questionnaire www.umanitoba.ca Appraising Your Auditors www.icas.org.uk Audit Manual www.utsystem.edu Audit Methodology Manual www.sao.state.tx.us Audit Process Handbook www.hhs.gov Audit Report writing Guide www.psc-cpf-gc.ca Audit Survival Guide www.stanford.edu Audit Techniques Guide www.irs.ustreas.gov Benchmark Project Guide www.dtic.mil Best Practices Procurement Manual www.fta.dot.gov Better Practice Guides www.anao.gov.au Building & Auditing a developer.novell.com Trusted Network Environment Business on the Web www.butlergroup.co.uk Management Guide Business Tools www.toolkit.cch.com Check Fraud:Guide to www.oc.treas.gov avoiding Losses Client Satisfaction www.psc-cpf-gc.ca Measurement Questionaire COBIT www.isaca.org Computer Control and Audit Guide arts.unwaterloo.ca Conference Audit Guide www-tradoc.monroe.army.mil Corporate Credit Card www.audit.nsw.gov.au Best Practise Guide Corporate world ourworld.compuserve.com wide Web Strategy Cost Estimating Handbook www.jsc.nasa.gov Cost Performance www.ctg.albany.edu Model for Assessing Cost Principles-Procedures for www.hhs.gov Develop Cost Allocation Plans www.curtin.edu.au Curtin Control Assessment Consumer Service Audit Guide www.tbs-sct.gc.ca Data Collection & Analysis Site www.deakin.edu.au Economics, Essential Principles www.drexel.edu EDI Implementation Guide www.pa.gov.au Environmental Audit Guide www.tbs-sct.gc.ca Environmental Auditing Program www.pca.state.mn.us Ethical Business Guide nt1.ids.ac.uk FDIC Bank Examination Manual www.fd›c.gov www.fd›c.gov FDIC Information Systems Handbook Federal Financial Accounting www.gao.gov Concepts and Standards Federal Information Processing Standards www.nist.gov www.ussc.gov Federal Sentencing Guidelines Manual Fraud Control Policy www.law.gov.au Full cost Initiative Implementation Guide ifmp.nasa.gov GAO Federal Information System www.gao.gov Control Audit Manual www.gao.gov GAO Financial Audit Manual GAO General Policies/Procedures & www.gao.gov Communications Manual GNA Internal Controls & www.gnacademy.org Procedures www.sao.state.tx.us Guide to Cost-Based Decision-Making Guide to Minimizing www.rcmp-grc.gc.ca Computer theft Guide to Performance Measurement www.fpm.com Handbook for Audit Committee Memebers www.gt.com Hiring Policies and Procedures Manual www.uwplatt.edu Housing & Urban Development www.hud.gov Audit Guide Human Resource Management www.hr.state.tx.us Self-Assessment Guide Internal Control & Financial www.state.ct.us Management Manual Internal Control Guide www.jhu.edu Internal Control Guide www.state.ma.us Internal Review Guide www.asafm.army.mil Internet Administration www.elronsoftware.com Policy Guide Internet Security Policy Guide www.csrc.nist.gov Investigations Manual www.ig.navy.mil Investigator's Guide to www.gao.gov Sources of Information IS Audit & Security Review Kits www.gallaudet.edu Keeping Your Site Comfortably Secure csrc.nist.gov Kelley Blue Book www.kbb.com LAN Security Guidelines www.utoronto.ca Legal Services Corporation Audit Guide oig.1sc.gov Managerial Cost Accounting Guide www.va.gov Micro-Computer Security Checklist www.fis.nesu.edu Network Risk Assessment Users Manual wwwoirm.nih.gov www.dtic.mil Perfofmance Assessment Guide Performance-Based www.itpolicy.gsa.gov Management Guide www.hr.ucsd.edu Performance Management Guide Performance Management www.qao.qld.gov.au System Audit Guide Performance Planning Guide www.ospl.state.nc.us Practical Guide to www.icac.nsw.gov.au Corruption Prevention Procurement Policies and www.state.ma.us Procedures Handbook Research Methods www.trochim.human.cornell.edu Knowledge Base www.tbs-sct.gc.ca Review Information Network www.tbs-sct.gc.ca Risk Management Audit Guide Sales System Control Objectives www.umanitoba.ca www.au.af.mil Sampling and Surveying Handbook Security Checklist spider.osfl.disa.mil Sick Leave Management Audit Guide www.tbs-sct.gc.ca Site Security Handbook www.net.ohio-state.edu Software Management Guide microsoft.com Software Management Policy Manual www.state.ct.us Sub-Recipent Audit Guide www.phila.gov www.umanitoba.ca System Implementation Review Checklist Training Function Audit Guide www.tbs-sct.gc.ca www.ffied.gov Users Guide for the Uniform Bank Performance Report www.oag.bvg.gc.ca Value for Money Audit Manual Windows NT www.trustedsystems.com Security Guidelines ‹Ç DENET‹M / K›fl 2004 Denetim El Kitaplar› ve Check-Listler ‹le ‹lgili Web Siteleri 64 65 PANO PANO ECIIA Yönetim Kurulu ve Genel Kurul Toplant›lar› ‹stanbul’da Yap›ld› 8 Ekim 2004 tarihinde ‹stanbul’da yap›lan ECIIA Yönetim Kurulu toplant›s›nda Avrupa Konfederasyonunun 2004 y›l› faaliyet raporu, 2005 y›l› stratejik ifl plan› ve bütçesi görüflüldü. 9 Ekim 2004 tarihinde yap›lan ECIIA Genel Kurulu’nda ise, ECIIA 2005 Y›l› Stratejik ‹fl Plan› ve bütçesi onayland›. ECIIA yeni dönem baflkanl›¤›na Yves CHANDELON seçildi. Azerbaycan ve Litvanya ‹ç Denetim Enstitüleri Konfederasyonun yeni üyeleri olarak kabul edildi. Konferans organizasyonunu baflar› ile gerçeklefltiren ev sahibi Türkiye ‹ç Denetim Enstitüsü’ne teflekkür edildi. ‹ç Denetim Mesle¤inin Uluslararas› Liderleri ‹stanbul’da Bulufltu ‹ç Denetim mesle¤inin önde gelen isimleri, uluslararas› mesleki liderleri Avrupa ‹ç Denetim Konferans› için ‹stanbul’da bulufltular. Uluslararas› ‹ç Denetçiler Enstitüsü (IIA-Inc) Yönetim Kurulu Baflkan› Betty McPhilimy, ‹cra Kurulu Baflkan› David Richards, IIA Uluslararas› Standartlar Kurulu Baflkan› Roland de Mulder, Avrupa ‹ç Denetim Ensti- tüleri Konfederasyonu Yönetim Kurulu Üyeleri, Avrupa Birli¤i Denetim Mahkemesi Genel Sekreteri Michel Herve ile üniversite ve uluslararas› kurulufllar›n temsilcileri Avrupa ‹ç Denetim Konferans›nda bir araya gelerek bilgi ve deneyimlerini paylaflman›n yan› s›ra Ülkemizde iç denetim mesle¤inin geliflimi ve dinamizmine tan›k oldular. Yves Chandelon ECIIA Baflkan› Seçildi Türkiye ‹ç Denetim Enstitüsü’nün ev sahipli¤i yapt›¤›, 7- 8 Ekim 2004 tarihlerinde ‹stanbul’da gerçeklefltirilen Avrupa ‹ç Denetim Konferans›na, ABD, Avrupa, Afrika ve Asya ülkelerinden çok say›da iç denetim uzman› kat›ld›. Büyük ilgi gören "Risk, Denetim ve Kurumsal Yönetim" konulu konferansa kat›lan konuflmac› ve kat›l›mc›lar, sunulan bildirilerle uluslararas› mesleki bilgi ve deneyimleri paylaflma f›rsat› buldular. Konferans›n aç›l›fl oturumunda ECIIA Baflkan› Philippe Christelle, Konferans Baflkan› Ali Kamil Uzun ve T‹DE Baflkan› Özlem Aykaç; "Dört k›tadan gelen meslektafllar›m›zla dünyan›n eflmerkezi ‹stanbul’da sürdürülebilir kurumsall›k için iç denetimin ça¤dafl dünya vizyonuna köprüler kurmak" üzere ‹stanbul’da yap›lan Avrupa ‹ç Denetim Konferans›’n›n uluslararas› bir paylafl›m platformu oldu¤unu ifade ettiler. Türkiye ‹ç Denetim Enstitüsü taraf›ndan gerçeklefltirilen Avrupa ‹ç Denetim Konferans›; konferans organizasyonu, kat›l›m yayg›nl›¤›, konu ve içerik kalitesiyle IIA-Inc, ECIIA ve üye ülkelerin büyük övgüsünü kazand›. Konferans›n kapan›fl oturumunda, sertifika s›nav›nda baflar›l› olarak sertifika almaya hak kazanan meslektafllar›m›za sertifikalar› törenle verildi. Konferansla ilgili ayr›nt›l› bilgileri "Yans›ma" sayfalar›nda okuyabilirsiniz. Uluslararas› ‹ç denetim standartlar› Türkçe çevirisi yay›nland› IIA-Inc Standartlar Kurulu’nun haz›rlad›¤› "Uluslararas› ‹ç Denetim Standartlar›" Türkiye ‹ç Denetim Enstitüsü taraf›ndan Deloitte’un katk›lar›yla dilimize çevrilerek Türkçe olarak yay›nland›. ‹ç Denetim standartlar›, uygulama önerileri, davran›fl ve etik kurallar›yla mesleki terimler sözlü¤ünü içeren kitapla ilgili ayr›nt›l› bilgi (www.tide.org.tr) ve kitab› temin etmek için ([email protected]) web ve mail adresleri arac›l›¤›yla Türkiye ‹ç Denetim Enstitüsü ile iletiflime geçebilirsiniz. Baflsa¤l›¤› Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan› Ali Kamil Uzun’un annesi Memnune Uzun vefat etmifltir. Türkiye ‹ç Denetim Enstitüsü Yönetim Kurulu ve ‹ç Denetim Dergisi Yay›n Kurulu olarak merhumeye Tanr›’dan rahmet, aile yak›nlar›na baflsa¤l›¤› dileriz. ‹Ç DENET‹M / K›fl 2004 ‹Ç DENET‹M / K›fl 2004 ECIIA Avrupa ‹ç Denetim Konferans› Yap›ld› Luksemburg ‹ç Denetim Enstitüsü’nden Yves Chandelon, ‹stanbul’da yap›lan ECIIA Genel Kurulu’nda yeni dönem konfederasyon baflkanl›¤›na seçildi. NATO ‹ç Denetim Direktörü olarak görev yapan Yves Chandelon, Kamu Kurulufllar›nda ‹ç Denetim ve NATO’da ‹ç Denetim Uygulamalar› konular›nda 2002/May›s ay›nda ‹stanbul’da yap›lan Türkiye ‹ç Denetim Kongresi ile 2004/Ekim ay›nda ‹stanbul’da yap›lan Avrupa ‹ç Denetim Konferans›’nda bildiriler sundu. Yves Chandelon’u yeni görevinden ötürü kutluyor, çal›flmalar›nda baflar›lar diliyoruz. 66 ÖZET/SUMMARY English Summary • In the "Iceberg" section of this issue, under the general title "Opportunities Forming the Future of Internal Audit", the guest speakers that had visited Turkey during the European Internal Audit Conference respond to our questions relating to the present status of internal audit and draw a perspective for the future of the profession, adding their rich professional experience. • This issue of "‹ç Denetim" also includes the study done by Deloitte and Economist Intelligence Unit called "In the Dark. What Boards and Executives Do Not Know About the Health of Their Business". The research mentions about the increasing used to understand and follow up the non-financial indicators in addition to the financial indicators for the Board of Directors and senior management. ‹Ç DENET‹M / K›fl 2004 • In his article, Albert J. Marcella, explains a case study about cyber crimes. Gülsen Özden shares her views in relation to the integration of internal control system and operational risk management. Ali R›za Eflkazan continues with his views with regard to the efficiency of the internal audit functions. Serdar Gürel explains the online controls and computer based audit and control techniques in his article. • In the article called "Step Son: Project Management" the writer explains the importance and different phases of project management. Essays with titles "Transformation" by Ali Kamil Uzun and "Anarchical Trend in Human Resources Management" by Ahmet Ery›lmaz take their places in that issue as well. • Following the interview with the President of the Association of Young Managers and businessmen (G‹YAD) summaries of the presentations given during European Internal Audit Conference can be seen.