ç - Türkiye İç Denetim Enstitüsü

Transkript

3
Z
aman geri al›nmaz bir flekilde uçup gidiyor, bir y›l› daha geride b›rak›rken
yeni bir y›l› karfl›l›yoruz. Asl›nda yaflam›m›zdan
bir y›l› daha u¤urluyoruz. Ünlü bir düflünürün
"Silgi kullanmadan resim çizme sanat›" olarak
tan›mlad›¤› yaflam, soluk ald›¤›m›z her saniyesini özenle tüketmemiz gereken bir de¤er olarak
bizi içine al›yor.
fiair Goethe’nin "Herkes her gün en az›ndan küçük bir flark› duymal›, iyi bir fliir okumal›, hofl
bir resim görmeli ve e¤er mümkünse birkaç
mant›kl› kelime söyleyebilmeli" sözleri yaflad›¤›m›z zaman›n mutlaka bir anlam› olmas›n› ifade ediyor.
Bu duygu ve düflüncelerle siz de¤erli okurlar›m›z›n yeni y›l›n› kutluyor, sevgi ve güzelliklerin, baflar› ve mutlulu¤un yaflam›n›zdan hiç eksilmemesini diliyoruz.
Birlikte oldu¤umuz 10. say›m›zla, mesle¤imizle
ilgili araflt›rma ve makalelerle farkl› bak›fl aç›lar›n› ilgi ve dikkatinize sunuyoruz.
Özen, özveri ve sab›r isteyen bir haz›rl›k süreci
sonras› gerçeklefltirilen "Avrupa ‹ç Denetim
Konferans›"na dergimizde genifl yer ay›rd›k.
10 y›l önce, ülkemizde uluslararas› standartlarda mesleki geliflim ve paylafl›m platformu oluflturmak, mesle¤imizle ilgili de¤iflimi ve gelece¤i
yönetmek için ulusal ve uluslararas› düzeyde
mesleki örgütlenme konusunda bafllat›lan çal›flmalar›n sonucu, "Türkiye ‹ç Denetim Enstitüsü
olarak "Avrupa ‹ç Denetim Konferans›"na ev sahipli¤i yapt›k. Konferans; organizasyon, kat›l›m
ve içerik kalitesiyle be¤eni kazand›.
Dünden bugüne, T‹DE ile birlikte ülkemizde gerçeklefltirilen mesleki örgütlenme, meslek standartlar›, sertifikasyon, mesleki düzenlemeler konusunda uluslararas› standartlarda örnek al›nacak uygulamalara, dünyan›n dört k›tas›ndan
meslektafl›m›z›n bulufltu¤u, mesle¤in gelece¤inin
tasarland›¤› baflar›l› konferans organizasyonu da
eklendi.
ABD, Avrupa, Afrika ve Asya’dan kat›lan 30 ülkenin enstitü baflkanlar› ve temsilcileriyle çok
de¤erli konferans konuflmac›lar›m›zla iç denetim alan›nda yeni yaklafl›m, kuram ve uygulamalar hakk›nda bilgi, görüfl ve deneyimlerimizi
paylaflt›k. Mesle¤in profesyonelleri olarak aram›zda güçlü iletiflim köprüleri oluflturma, mesle¤imizin ça¤dafl dünya vizyonunu birlikte gelifltirme olana¤›n› bulduk.
21. yüzy›lda sürdürebilir kurumsall›k için Kurumsal Yönetim ve iflleyifl sürecini kolaylaflt›rmak üzere denetim, tüm olas› risk kaynaklar›n›
araflt›ran bir ifllev üstlenmifltir.
Sürdürebilir Kurumsall›k için efl-merkezli üç
kavram: "Risk, Denetim, Kurumsal Yönetim"
‹stanbul’da yap›lan Avrupa ‹ç Denetim Konferans›n›n ana temas›n› oluflturdu.
Dünyam›zda ve ülkemizde yaflanan kurumsal
skandallardan ç›kar›lan derslere bak›ld›¤›nda;
denetimin kurumlar› koruyabilmesi için, risk
odakl›, bilgi teknolojisi destekli ve proaktif çal›flan, yetkinlikleri sertikasyonla, ba¤›ms›zl›¤› ve
performans etkinli¤i kalite güvence programlar›yla akredite edilen, denetim komitesiyle etkin
iletiflim içinde bulunan, meslek eti¤i ve uluslararas› meslek standartlar›na uygun yönetilen bir
kurum içi fonksiyon olmas› öngörülmektedir.
"Yans›ma" sayfalar›nda yer alan konferans bildiri özetlerinde, sözünü etti¤imiz konularda bilgi,
deneyim ve en iyi uygulama örneklerini okuyacaks›n›z.
Mesle¤in uluslararas› isimlerinin "Aysberg"de
"‹ç Denetimin Gelece¤ini fiekillendiren F›rsatlar›" de¤erlendiren görüfllerini ilgiyle izleyece¤inizi düflünüyoruz.
Dergimizin "Yeflil Kalem" sayfalar›nda yönetim
kurulu üyeleri ve yöneticiler için rehber niteli¤inde say›labilecek bir araflt›rman›n sonuçlar›n›
bulacaks›n›z.
Siber suç ve kriz yönetimi üzerine vak’a çal›flmas› ile risk yönetimi üzerine makalemiz "Yeflil
Kalem" sayfalar›nda yer al›yor.
Proje yönetimi ve veri güvenli¤inin kontrolüne
iliflkin deneyimlerin paylafl›ld›¤› makaleler
"Parmak ‹zi"nde sunuluyor.
‹ç Denetim departmanlar›n›n etkin yönetimiyle
ilgili makaleyi "Perçin", mentorluk üzerine, insan kaynaklar› yönetimi ve de¤iflime iliflkin makaleleri ise "Mühür", "Ayraç" ve "Çizgi Ötesi"
sayfalar›nda okuyabilirsiniz.
Sözü daha fazla uzatmadan siz de¤erli okurlar›m›z› dergimizle baflbafla b›rak›yor, keyifli okumalar diliyoruz.
Bir sonraki say›m›zda tekrar buluflmak üzere...
Sevgi ve sayg›lar›m›zla,
Yay›n Kurulu
[email protected]
‹Ç DENET‹M / K›fl 2004
Merhaba
4
Türkiye ‹ç Denetim Enstitüsü Derne¤i
‹çindekiler
Aysberg . . . . . . . . . . . . . . . . . . . . . . .6
‹ç Denetimin Gelece¤ini fiekillendiren F›rsatlar
Yeflil Kalem . . . . . . . . . . . . . . . . . . .12
Yönetim Kurullar› ve Yöneticilerin Bilmedikleri...
Albert J. Marcella
Siber Suç: fiirketiniz Potansiyel Hedef mi?
Haz›rl›kl› m›s›n›z?
Gülsen Özten
‹ç Kontrol Sistemi Yönetimi ve Operasyonel
Risk Yönetimi ile Entegrasyonu
Perçin . . . . . . . . . . . . . . . . . . . . . . .32
Ali R›za Eflkazan
‹ç Denetim Departman Yönetiminde Etkinlik 2
Parmak ‹zi . . . . . . . . . . . . . . . . . . . .34
Serdar Güzel
Veri Güvenli¤i ve Kontrolü 2
Tanol Türko¤lu
Üvey Evlat: Proje Yönetimi
Mühür . . . . . . . . . . . . . . . . . . . . . . .45
Hande Yaflargil
‹yi Bir Mentor Olmak
Çizgi Ötesi . . . . . . . . . . . . . . . . . . . .46
Ali Kamil Uzun
De¤iflim ve Güvence
Ayraç . . . . . . . . . . . . . . . . . . . . . . . .48
Ahmet Ery›lmaz
‹nsan Kayna¤› Yönetiminde Anarfli Trendi
Yak›n Plan . . . . . . . . . . . . . . . . . . . .49
Avrupa Birli¤i Denetçiler Mahkemesi
Genç Yönetici ve ‹fladamlar› Derne¤i (GY‹AD)
ADINA ‹MT‹YAZ SAH‹B‹
Ali Kamil UZUN
Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1.
Blok No: 6 D: 16 Esentepe / ‹stanbul
GENEL YAYIN YÖNETMEN‹
Mehtap NUMANO⁄LU
SORUMLU YAZI ‹fiLER‹ MÜDÜRÜ
Filiz YÜCESOY
YAYIN KURULU
Ali Kamil UZUN
Cüneyt SEZG‹N
Filiz YÜCESOY
Günseli ÖZEN OCAKO⁄LU
Mehtap NUMANO⁄LU
Tanol TÜRKO⁄LU
Özlem AYKAÇ
YAYIN DANIfiMA KURULU
Adnan NAS, Ahmet EROL
Ahmet ERYILMAZ, Ayflen TOPAY
Beflir ÖZMEN, Bülent TARHAN
Bülent fiENVER, Bülent ÜSTÜNEL
Cansen BAfiARAN, Prof. Dr.Ersin GÜRED‹N
Fatih DURAL, Giovanni GROSSI
Hüseyin ÖZER, Jean-Pierre GARITTE
Kaya TURHANO⁄LU, Mehmet MAÇ
Prof. Dr. Melih ERDO⁄AN
Doç. Dr. Metin ERCAN, Mustafa ÖZYÜREK
Prof. Dr. Nejat BOZKURT, Neil COWAN
Dr. Semra AfiÇIG‹L, Doç. Dr. Suat TEKER
Dr. U¤ur TANDO⁄AN, Veysi SEV‹⁄
Zafer KARAKULAK
KATKIDA BULUNANLAR
N. Burak ÜNLÜ, Mustafa Kamil BULUT
Banu
KARAÇOBAN, Ramazan IfiIK
Ahmet
ALBAYRAK, Elif ARKAN, Meriç Gökhan
KOCAO⁄LU, Ahmet Tu¤rul ÖZ Tolga TANRIKORUR, Süleyman BAfi
Coflkun ÖZKAN
‹LET‹fi‹M ADRES‹
Tel: 0 212 212 55 25 Faks: 0 212 212 55 26
E-posta: [email protected]
http://www.tide.org.tr
Reklam: Filiz YÜCESOY
Abonelik: Sevilay ÇALIfiKAN
Y›ll›k Abone Bedeli: 20.000.00 TL’dir.
(20 YTL) KDV dahildir.
YAPIM
Rota Yay›n Yap›m Tan›t›m Ticaret Ltd. fiti. Prof. N.
Mazhar Ökten Sk. No: 1 Rota Binas› 34360 fiiflli‹stanbul
Tel: 0 212 224 01 44 Faks: 0 212 233 72 43
E-Posta: [email protected]
http://www.rotaline.com
YAYIN TÜRÜ
Yayg›n Yay›n
BASKI TAR‹H‹
Aral›k 2004
BASKI
TOR Ofset San.ve Tic. Ltd. fiti.
‹mam Çeflme Cad. No: 26/2 Ayaza¤a
fiiflli-‹stanbul
Tel: (0212) 332 08 38 (Pbx)
Faks: (0212) 332 08 39
E-Posta: [email protected]
Türkiye ‹ç Denetim Enstitüsü Derne¤i taraf›ndan üç
ayda bir yay›mlan›r.
Yaz›lar›n fikri sorumlulu¤u yazarlar›na aittir.
Yans›ma . . . . . . . . . . . . . . . . . . . . . .52
Avrupa ‹ç Denetim Konferans› Bildiri Özetleri
Ümit Türkkan
‹ç Denetimdeki Son Geliflmeler
Bayram Akyüz
‹nternetten Pratik Bilgiler
(The Institute of
Internal Auditors
Chairman’s Special
Recognition Award)
(The Institute of
Internal Auditors
Publication Contest
Newsletter Category)
Pano . . . . . . . . . . . . . . . . . . . . . . . .64
Özet/Summary . . . . . . . . . . . . . . . .66
Dikkenar . . . . . . . . . . . . . . . . . . . . .67
(The Institute of
Internal
Auditors
Membership
Competition)
6
7
AYSBERG
AYSBERG
‹ç Denetimin Gelece¤ini
Bu say›m›zdaki Aysbergimizi Avrupa ‹ç Denetim
Konferans› kapsam›nda ülkemizi ziyaret eden yabanc› konuklar›m›za ay›rd›k. Konuklar›m›z›n, iç
denetim mesle¤inin bugünü ile ilgili önemli de¤erlendirmeleri yan› s›ra, gerek zengin kiflisel
mesleki birikimleri, gerekse bugün bulunduklar›
konumlar itibariyle üyelerimize iç denetim mesle¤inin gelece¤i konusunda dikkate de¤er bir perspektif çizerek katk›da bulunduklar›na inan›yoruz.
Betty McPhilimy
IIA-Inc. Uluslararas› ‹ç Denetçiler
Enstitüsü Baflkan›
Yönetiflime arac› olarak iç denetimin rolünü
nas›l de¤erlendirirsiniz?
‹ç denetçiler, bir kurumun yönetim yap›s› ve
etik kültürünün iyilefltirilmesinin kuvvetli taraftarlar› olmalar› aç›s›ndan benzersiz bir pozisyondad›rlar. Bir organizasyonun yönetim organlar› ve üst düzey yönetimi genellikle yönetim sürecinin etkinli¤i konusunda sorumlu tutulurlar. Organizasyonun resmi ve gayriresmi iletiflim yöntemleri, de¤erlerin ifade edilmesinin
yollar›, amaçlar, beklentiler, ahlak kurallar› ve
uyumu sa¤lamaya zorlayan yöntemleri genellikle organizasyon kültürünün özelliklerini ve
yönetim süreçlerinin gücünü belirler.
‹ç denetçiler bir yandan Standart’larca gerekli
olan ba¤›ms›zl›k ve tarafs›zl›¤› sürdürürken di¤er yandan organizasyonda yüksek seviyede bir
güven ve bütünlü¤e sahiptirler. ‹ç denetçiler denetim komitesi için çal›flmakta ve yönetimin ortaklar› olarak flirketin üst kademelerindeki yüksek bir de¤erler bütününü desteklemektedirler.
Bu nedenle afla¤›daki konular› de¤erlendirirler;
1) Yasal ve düzenleyici kurallara uyum
2) Genel kabul görmüfl ifl kurallar›na, etik de¤erlere ve toplumun sosyal beklentilerine uyum
3) Hissedarlar›n ç›karlar›n›n korunmas›
4) fiirket sahiplerine, kontrol eden yetkili kurumlara, yönetim kuruluna, düzenleyicilere, di¤er hissedarlara ve genel kamuya do¤ru ve bütünsel bir raporlama yap›lmas›
Basel II de çizilen çerçevenin iç denetim ifllevine bafll›ca ne gibi etkileri olaca¤›n› düflünüyorsunuz?
Yeni Basel II çerçevesi riske daha duyarl› minimum sermaye gereksinimi için bir çerçeve uyarlamaktad›r. Bankac›l›k sektöründeki iç denetçiler
kurum bütününde risk yönetim de¤erleme stratejisi için görüflleriyle yönetime yard›mc› olduklar›
gibi yeni gereksinimleri de gündeme tafl›yarak
arac› bir rol üstelenebilirler. Basel II’ye az say›da
bankan›n uyumu zorunludur. Ancak büyük ve
uluslararas› aktif bankalar bu çerçevenin tümünü
olmasa da baz› bölümlerini uygulamaya koymay› düflünebilirler.
Basel II çerçevesi, riske daha duyarl› sermaye gereksinimi konusunda finansal kurumlara bir tak›m prensipleri ayr›nt›l› olarak sunmaktad›r. Bu
çerçeve arac›l›¤›yla finansal kurumlar sermayelerinin yeterlili¤inin de¤erlendirirken, düzenleyici
otoriteler ise bu kurumlar›n tafl›d›klar› riskleri
destekleyecek uygunlukta sermayeye sahip olup
olmad›klar›n› de¤erlendirirler.
Üye ülke bankalar›nda 2006 sonunda yeni çerçevenin uygulanmas› beklenmektedir. En ileri
yöntemleri uygulayacak bankalar için bu sürenin bir y›l uzat›lmas› kararlaflt›r›lm›flt›r. Böylelikle uzat›m süresi boyunca bankalar ve düzenle-
Yar›n›n iç denetimine ve iç denetim mesle¤ine
flekil verecek olan önemli ak›m, yeni standart
ve beklentileri yorumlar m›s›n›z?
Tüm dünya genelinde önemli bir potansiyel
görmekteyiz. Özellikle mesle¤in henüz geliflmekte oldu¤u ülke ve alanlarda geliflim yönünde katedilecek çok yol vard›r. Mesle¤in çoktand›r muteber bir flekilde de¤erlendirildi¤i yerlerde ise konsolidasyon anlam›nda geliflim potansiyeli mevcuttur.
Uluslararas› ‹ç Denetçiler Enstitüsü (the IIA),
mesle¤in standartlar›n› oluflturan bir kurum olarak flu anda 150’den fazla ülkede 95.000’den
fazla üyeye hizmet vermektedir. Bu kurum, iç
denetçilere kitaplar, yay›nlar, e¤itimler, gelifltirmeler ve sertifikasyon programlar› arac›l›¤›yla
hedeflerine ulaflmalar› için yard›mc› olmaktad›r.
Yak›n zaman için IIA kendisine afla¤›daki hedefleri belirlemifltir;
1. ‹ç denetçiler aras›ndaki profesyonellik seviyesini yükseltmek ve kapasiteyi konsolide etmek
• Alanlar için ihtiyaçlar› ve konular› tan›mlamak
• ‹ç denetçiler için uygun e¤itim sa¤lamak
• En iyi uygulamalar konusunda üyelerin e¤itimi için kütüphane ve kaynak materyal sa¤lamak
• Sertifikasyonu özendirmek
2. Meslek ve kurum hakk›ndaki fark›ndal›¤› art›rmak
• ‹fl dünyas›na ve kamuya iç denetimin pazarlanmas› (tan›t›lmas›)
• ‹htiyaç oldu¤u durumlarda pazarlama materyalleri sa¤lamak
3. Üye kurulufllarla kuvvetli iliflkiler gelifltirmek
ve/veya konsolide etmek
• Her üye kurum ve ülkedeki liderler için liderlik geliflimini temin etmek
• Üye kurumlara idari ve hizmet anlam›nda
iyilefltirmeler için sürekli destek sa¤lamak
4. Di¤er global kaynaklar ve özellikle iyi idare
edilen üye kurumlar için sürekli ve uzun dönemli destek program› ve birliktelik sa¤lamak
Enstitü, iç denetçilere bir çok de¤erli ürün ve
hizmetler sunmaktad›r. Böylelikle iç denetçilerin çal›flt›klar› kurumlarda hedeflere ulafl›lmas›
yönünde risk yönetimi, kontrol ve yönetimin
iyilefltirmesi ve de¤erlendirilmesi için sistematik
disiplinli bir yaklafl›m getirerek bu organizasyonlara yard›mc› olmalar› yönünde önemli bir
hizmette bulunmaktad›r.
Giovanni Grossi
IIA- Inc. - Uluslararas› Denetim
Standartlar› Komitesi Üyesi
‹ç denetimi bir araçtan ziyade kurumsal yönetimin bir bilefleni olarak kullanmay› tercih ederim. San›r›m yap›lan sunum konuyu güzel bir
flekilde aç›kl›¤a kavuflturdu. Geçmiflte kurumsal
yönetimde iç denetimin rolü, yönetim sisteminin esas›n› temsil eden iç kontrol sisteminin mimar› olmak üzere tasarlanm›flt›. fiimdi kontrolün
yan›na yeni bir fley ekliyoruz ki bu da firman›n
etik sistemidir. Etik sistem 2 farkl› sahnededir.
Birincisi önleyici bir tarzda, firman›n ahlaki de¤erlerinin bozulmas›n›n, kontrol d›fl›na ç›kmas›n›n önlenmesi; ikincisi denetim anlam›nda, organizasyonun operasyon sürecinin denetlenmesinden ziyade etik ruhunun denetlenmesi. Bu
büyük bir de¤iflimdir.
Her fleyden önce Basel II özellikle finansal sektör içindir. Ancak Basel Komitesi yetkili bir organ oldu¤undan finans sektörü d›fl›ndaki orga-
fiekillendiren F›rsatlar
yici otoritelerin eski ve yeni kurallar do¤rultusunda parallel hesaplamalarda bulunmalar› sa¤lanacakt›r.
8
9
AYSBERG
nizasyonlar› da etkileyecektir. Bence bu önemli ve ayn› zamanda da s›n›rl› bir durum. S›n›rl›
çünkü daha önceki misyonu ile karfl›laflt›r›ld›¤›nda iç denetimden özel bir fley beklenmiyor. S›n›rl› ancak tam tersine önemli Basel II’nin bize getirdikleri. E¤er düzenleyici otorite mesela TCMB
iç denetim foknsiyonuna güvenebilirse, bu güven organizasyonun üzerindeki yükün hafifletilmesinde kullan›labilir. Böylelikle iç denetim, d›fl
denetim ve 3. seviye olan denetleyici otoriteden
gelen denetleyicilerin olmas› yerine sistemi basit
hale getirebilirsiniz. Bu noktadan bak›ld›¤›nda
oldukça önemli. Yani düzenleyici otoritenin iç
denetçinin söylediklerini dikkate almas› için sadece "profesyonel yetkinlik" yeterli de¤ildir. ‹lave
olarak kiflili¤e dayanan belli bir seviyede güvene
ihtiyac vard›r. Bu ba¤lamda ben Basel II’nin iç
denetime katk›s›n› görmekteyim.
Bana göre iki tane trend var.Birincisi ilk soruda
bahsettim konudur. Çünkü bunlar tamamen yeni konulard›r. ‹kinci olarak flimdiye kadar standartlar ka¤›t üzerinde kalan kelimelerdi, onlar
yaflam tarz› haline gelmeli. Ancak bu seviyeye
ulaflabilmemiz için yapmam›z gereken hala
çok fley var. Konferansta "Kaç›n›z Kalite Güvence Gözden Geçirme Program› (QAR) uygulad›?"
sorusunu yönelttim. Benim ülkemde bunu
yapan 2 firma biliyorum. Sözkonusu olan yeni
bir fley icat etme de¤il, standartlar›n günlük
yaflam›n bir parças› haline getirilmesine karar
verilmesidir.
Larry Hubbard
Bu soruya cevab›m Basel’e özel olmamakla birlikte, iç denetim departman›n›n Basel ve benzeri çerçevelerle ilgili rolü, organizasyonun kontrollerle ilgili bir yap›y› oluflturdu¤undan emin
olmak ve organizasyonun çerçeveye ne seviyede uyum sa¤lad›¤› konusunda bilgilendirmektir.
A.B.D.’de COSO’nun yeni ERM (enterprisewide
risk management) çerçevesi ve Sarbanes-Oxley
düzenlemesi önemli geliflmelerdir. ‹ç denetçiler
olarak gelecekte mutabakatlar ve sistem ak›fllar›
gibi "sert" kontroller yerine "yumuflak" kontroller
üzerine daha çok odaklanmam›z gerekece¤ini
düflünüyorum.
Hubbard and Associates
Kurucu Orta¤›
Arthur Konings
‹ç denetçiler olarak kurumsal yönetimdeki rolümüzü, herkesin risk ve kontroller konusunda
e¤itildi¤inden ve sorumluluklar›n› yerine getirip
getirmediklerinin temini aç›s›ndan "kolaylaflt›r›c›" (facilitator), risk ve kontrollerle ilgili tüm organizasyon genelinde afla¤› ve yukar› yönlü iletiflimin mevcudiyetinden emin olmak aç›s›ndan
"bilgi sa¤lay›c›" olarak görüyorum.
ECIIA Avrupa ‹ç Denetim Enstitüleri
Konfederasyonu Genel Sekreteri
‹ç denetim departman› içinde bulundu¤u organizasyonun kurumsal yönetim ilkelerinin gelifltirilmesine ve bu ilkelerin uygulanmas›na yard›mc› olmal›d›r. ‹ç denetiö departman› bu afla-
malarda ‹ç Denetçiler Enstitüsü (IIA) ile ülke ve
ifl ortam›n›n resmi talimatlar› ile içinde bulundu¤u organizasyonun çal›flma koflullar›n› gözönünde bulundurmal›d›r.
‹ç denetim departman›, bütünlü¤ün temel prensipleri, iyi vatandafll›k ve iyi muhasebe prensiplerine sayg› gösterildi¤i ve kurumsal yönetim
politikalar› içerisine yerlefltirildi¤inden emin olmal›d›r.
‹ç denetim departman› ayr›ca flirket personelinin kurumsal yönetim ilkerlerinin uygulanmas›
sürecinde yer ald›¤›n›, tüm personele yeterli bilginin verildi¤ini ve bu bilginin uygun ve fleffaf
oldu¤unu gözlemelidir.
‹ç denetim departman›, kurumsal yönetimin
tüm yönetim seviyelerine öneminin anlat›labilmesi için flirket içi e¤itimlerde yard›mc› olmal›d›r. fiirketin etik kurallar› ‹nsan Kaynaklar› Departman› ve ‹ç Denetim Departman› birlikteli¤inde haz›rlanmal›d›r. ‹ç denetim departman›
bu konudaki uygulamalar› da test ederek do¤rulamal›d›r.
‹ç denetim departman› gelecekte daha çok kurallar ve flirketin etik yönleriyle ilgilenmek zorunda kalacakt›r. Bu da iç denetçiler için daha
temel ve sürekli bir e¤itimi zorunlu k›lacakt›r.
fiirketlerin iç denetim departmanlar› aras›nda
yap›lacak tecrübe ve bilgi paylafl›m› kurumsal
yönetim konusundaki mevcut bilgi birikiminin
optimize edilmesi ve pratik kurumsal yönetim
prensiplerinin tan›t›m› konusunda güvence vermesi yönünde yard›mc› olabilir.
Michel Herve
EU-Avrupa Birli¤i Denetçiler
Mahkemesi Genel Sekreteri
1 Mart 2000 tarihli White Paper (COM (2000)
200)’›n yay›mlanmas›yla 11 Nisan 2000 tarihinde AB kurulufllar›nda bir reform gerçekleflmifl ve
finansal yönetim ve konrol ölçütlerinde bir tak›m yeni kriterler benimsenmifltir.
Bu reformun temel amaçlar›ndan biri de, eskiden müfettifllik sonra iç denetim fonksiyonu ve
finansal kontrolorlük olan, ‹ç Denetim Hizmeti
(‹DH)’nin tan›t›lmas›d›r.
‹DH’nin tan›t›lmas›yla tüm AB kurulufllar›nda
gerçekleflen bu reform aç›kça kontrol yöntemlerinde bir tak›m de¤iflikliklere gidilmesini gündeme getirmifltir. Finansal Kontrolorlü¤ün geleneksel "Watchdog" ifllevindeki gibi özellikle uygunluk ve kontrol konular›na odaklanma yerine, bugün ‹DH’nden verimlilik ile birlikte katma de¤er yaratan kapsaml› risk de¤erlendirmelerinin yap›lmas› beklenmektedir.
Bu ba¤lamda, yönetiflim arac› olarak iç denetimin organizasyona üç önemli katk›s› bulunmaktad›r:
a) Risk: Hedeflere ulaflma yolunda Avrupa Denetçiler Mahkemesi’nin karfl›laflt›¤› riskler di¤er organizasyonlar›n maruz kald›¤› riskler ile benzerdir.
Yönetiflim ad›na bu risklerin yönetilme biçimi hayati unsur tafl›r. ‹ç denetim, genifl kapsaml› bir risk
çerçevesi ve plan ile öncelikli riskleri aç›kça betimler. Böyle bir risk çerçevesi olmadan, denetim
program›n›n içeri¤ini ve derinli¤ini tam olarak anlamak Yönetim için güçleflir.
‹ç denetim, iç kontrollerin yeterlili¤ine ve etkinli¤ine iliflkin makul seviyede kabul edilebilirlik durumunu ve geliflme amaçl› uygun önerileri raporlar.
‹ç Denetim, Yönetimlerin sorumlu oldu¤u sistemler için güvence sa¤lamakla beraber Yönetimlerin bu sistemlerini gelifltirmesine de yard›m
eder. Bu nedenle ‹ç Denetim risk yönetiminin
bir parças›d›r.
b) Ba¤›ms›zl›k: ‹ç denetim inceledi¤i faaliyetlerden ba¤›ms›zd›r. ‹ç denetçi, ne bir muhasebeci
ne de bir onay merciidir.
AYSBERG
10
11
AYSBERG
AYSBERG
Haziran 2004’te Basel Bankac›l›k Gözetim Komitesi, Basel II olarak bilinen " International
Convergence of Capital Measurement and Capital Standards, a Revised Framework" vesikas›n› yay›mlam›flt›r.
Basel II ile; ihtiyatl› sermaye düzenlemeleri, gözetim ve piyasa disiplininin oluflturulmas›yla
birlikte finansal istikrar ve risk yönetiminin daha ileriye götürülmesi amaçlanm›flt›r.
Basel II, ‹sviçre bankac›l›k sistemi do¤rultusunda getirilen yeni düzenlemelerin faydalar›n›n
dikkate almas› için iç denetim ifllevini teflvik etmektedir. Müteakiben iç denetim, Basel II’yi
uygulamayan bankalar›n daha ihtiyatl› sermaye
nifl bilgi ile çal›flmal›d›r.
Finansal sistemlerin güçlendirilmesine yönelik
strateji ile iç denetim, bir tak›m standartlar›n ve
en iyi finansal sistem uygulamalar›n›n ortaya
ç›kmas›n› sa¤lamal›d›r. ‹ç denetim aç›s›ndan finansal sektör, her elementin di¤er bir elemente
ba¤l› oldu¤u bir eko-sistem olarak görünmektedir. Dolay›s›yla, bankac›l›k piyasas›ndaki gidiflat, finansal raporlaman›n yeterlili¤i, likidite,
hukuk sistemine olan güven ve yönetiflimin etkinli¤i göz önünde tutulmadan sa¤lam bir bankac›l›k sistemi oluflturmak ve bundan bahsetmek mümkün görünmemektedir.
düzenlemelerine ve etkin muhasebe politikalar›na tabi olmalar›n› da temin etme pozisyonunda olacakt›r.
‹ç denetimin, Basel II uygulamas› ve di¤er öncelikli denetim alanlar› aras›nda bir denge oluflturmas› önem tafl›maktad›r. Esas›nda Basel II’nin
basitçe amac› yeni bir tak›m sermaye kurallar›na göre uygunluk sa¤lamakla birlikte, sa¤lam
bir altyap› oluflturarak risk yönetimi, sermaye
yeterlili¤i, piyasa disiplini ve finansal istikrar gibi de¤erlerin de yükseltilmesidir.
Basel II uygulamas›yla, iç denetim birimleri artan bir oranda bilgi girdilerinin bütünlü¤ünün
ve do¤rulu¤unun temini, kredi departmanlar›n›n performanslar›n›n incelemesi ve banka sermayelerinin de¤erlendirilmesi gibi çeflitli görevleri üstlenecektir. Basel II’ nin iç denetim
fonksiyonlar›na afla¤›daki etkileri olacakt›r:
- iç denetimin çal›flmalar›na artan bir güven
- iç denetim tavsiyelerinin yürürlü¤e konulmas›
- iç denetimde geleneksel teftifl yaklafl›m› yerine
risk bazl› denetimin kullan›lmas›
- iç denetim çal›flmalar›nda artan bir ba¤›ms›zl›k
- Basel II’nin üç dayanak noktas›na daha fazla
önem verilmesi; özellikle sermaye yeterlili¤i, etkin gözetim ve piyasa disiplini konular›na
Basel II’nin tam yürürlü¤e girmesi; risk azalt›c›
çeflitli teminat türevlerinin de yolunu açmaktad›r.
Daha fazla durumla karfl›lafl›p daha fazla risk
azalt›c› tedbirler önerebilmek için, iç denetim
mümkün oldu¤unca hep daha kapsaml› ve ge-
Aral›k 2001 deki Enron Corporation’daki çökme
gibi son y›llarda ABD’de meydana gelen flirket
iflaslar› dikkat çekmifltir. Bu gidiflattan son y›llarda Avrupa da pay›n› alm›flt›r, ‹talyan g›da grubu
Parmalat’›n milyarlarca dolara mal olan skandal› Enron olay› ile karfl›laflt›r›lacak önemdedir.
fiirket varl›k ve gelirlerinin çarp›t›lm›fl olarak raporlanmas›; ba¤›ms›zl›k, objektiflik ve mesleki
yetkinlik gibi denetim ilkelerinin yeterli olarak
uygulanmad›¤› genel flüphesini do¤urmufltur.
Dolay›s›yla; yönetiflim ve finansal raporlamada
fleffafl›¤a olan talep bu gibi geliflmelerin sonucu
olarak ortaya ç›km›flt›r. Örne¤in; 2002 A¤ustos’undan itibaren New York Borsas›, ifllem gören tüm flirketler için iç denetim fonksiyonunu
zorunlu tutmufltur.
‹ç denetçiler operasyonel, uygunluk hatta marka yönetimi denetimleri ile zaten yönetimlere
katk› sa¤l›yorlar. Ayr›ca iç denetçiler, çal›flanlar›n organizasyona bak›fl aç›s›n›n izlenmesi, misyon ve de¤erlere ulaflma süreci gibi konularda
da de¤er katabilirler. ‹ç denetçinin en önemli
görevi gelece¤i görmek isteyen Yönetim’e önyarg›s›z, objektif ve ba¤›ms›z bilgi sa¤lamas›d›r.
‹ç denetçiler dinamik bir sürecin ortas›nda risklerin do¤ru olarak anlafl›lmas›n› ve yönetilmesini sa¤lamal›d›rlar.
Günümüz ifl dünyas›nda organizasyonlar›n baflar›s›nda iç denetçilerin önemi gittikçe artmaktad›r.
‹ç denetçilerin organizasyonlar› için yapmalar›
gerekli görülen veya gelifltirmeleri gerekenler
konusunda karfl›m›za üç ak›m ç›kmaktad›r:
a) "Watchdog": ‹ç denetim fonksiyonu gözetlemek ve uyarmakt›r. Watchdog, hayati hatalar›n
yap›lmas›n› önlemenin yan›nda sistemi güçlendirecek yeniliklerin tatbik edilmesini temin eder.
b) Dan›flman: ‹ç denetim fonksiyonu gelifltirmek
ve öneride bulunmakt›r. Dan›flman iflin devaml› büyümesini, varl›klar›n ziyan edilmemesini,
ve yöneticilerin etkin ve verimli olmalar›n› temin eder.
c) Katalist: ‹ç denetim fonksiyonu çal›flanlar› lider otoritenin koymufl oldu¤u stratejilere yöneltmek ve hareketlendirmektir. ‹ç denetim
hem de¤iflimi, hem de bu de¤iflimin süreklili¤ini sa¤lar. ‹ç denetim fonksiyonu, organizasyonun içinde bulundu¤u canl›l›k sürecinde her
zaman de¤erlerine ve amac›na sad›k kalmas›n›
temin eder.
‹ç denetim; sistem sahiplerine kendi sistemlerini oluflturma, test etme ve gözetlemede k›lavuzluk eder. Organizasyonel hedeflere ulaflmada
sistemin etkinli¤ini ve verimlili¤ini temin etmek
iç denetçilere bu anlamda, iç strateji planlamac›l›¤› görevini de vermifl olmaktad›r. Nihayetinde iç denetim, muhasebe kökeninden ayr›lm›fl
ve yönetime de¤er katan bir ifllev haline gelmifltir. ‹ç denetim organizasyonel yarat›c›l›k ve
yönetsel s›n›rlara kadar bilgilenmede yol gösterici olacakt›r. ‹ç denetçiler organizasyon de¤erlerini de denetlemek durumunda olacaklard›r.
‹ç denetim, yönetiflim çerçevesinde organizasyona etkin bir flekilde entegrasyon ve iç - d›fl ortamda meydana gelecek de¤ifliklikleri en iyi
flekilde karfl›layacak risk bazl› yaklafl›mlar›n da
benimsenmesiyle; ba¤›ms›z, güvenilir ve
güvence sa¤layan bir kaynak olarak evrimine
devam edecektir.
Genel De¤erlendirme
Görüldü¤ü gibi tüm dünyada iç denetimin rolü ile ilgili fark›ndal›k ve beklentiler h›zla artma e¤ilimde. Bir tarafta kurumsal yönetiflim
alan›ndaki geliflmeler, di¤er tarafta da Basel
II'nin getirmekte oldu¤u düzenlemeler bu e¤ilimin itici gücü olma özelli¤ine sahip. Tabii iç
denetimin kurumsal, hatta bunun da ötesinde,
tüm sistem boyutunda katma de¤eriyle ilgili
beklentiler artt›kça iç denetçinin özellikleri ve
donan›m› ile ilgili beklentiler de art›yor. Önümüzde zorlu ama bir o kadar da yeniliklere ve
h›zl› geliflmelere aç›k, heyecan verici bir
dönem var.
Çeviriler N. Burak Ünlü, Süleyman Bafl ve Coflkun Özkan
taraf›ndan gerçeklefltirildi, genel de¤erlendirme Cüneyt
Sezgin taraf›ndan yap›ld›.
Finansal Düzenlemeler’in 86. Maddesi’nde öngörüldü¤ü üzere; iç denetim içinde bulundu¤u organizasyona, yönetim kalitesi ve kontrol sistemleri üzerine verece¤i ba¤›ms›z
görüfller ve operasyonlar›n uygulama
flartlar›n›n gelifltirilmesine ve sa¤l›kl›
bir finans yönetiminin oluflturulmas›na iliflkin verece¤i önerilerle dan›flmanl›k yapm›fl olacakt›r.
c) ‹ç Denetimin Mesleki Uygulamas›: Mesleki Uygulama temel olarak;
iç denetimin Sorumluluklar› ifadesi,
Etik de¤erleri ve iç denetim Standartlar› alt›nda yer alan prensipler, en iyi
uygulamalar ve aç›klamalar üzerine
kurulmufltur.
Asl›nda iyi bir yönetiflim; Avrupa Denetçiler Mahkemesi Yönetimi, d›fl denetçiler ve iç denetçiler aras›nda etkin
bir etkileflimi gerektirmektedir, bu durum hesap verebilirlik için son derece önemlidir.
Avrupa Denetçiler Mahkemesi bu üç dayanak
noktas› ile iyi yönetiflime katk›da bulunmaktad›r. Ayr›ca iç denetim komitesi iç denetim ifllevine ba¤›ms›zl›k ve profesyonellik etkinli¤i sa¤lamakla birlikte üst yönetime objektif raporlamalar yap›lmas›n› da temin eder.
2004 – 2006 için, Ayrupa Denetçiler Mahkemesinin ‹DH genifl kapsaml› güvenceler sa¤lanmas› amac›yla daha çok risk bazl› denetimler
yapmay› görev edinmifltir. Akabinde, Mahkeme’nin ‹DH iç kontrol ve risk de¤erlendirme
kültürlerini tan›tmay› düflünmektedir.
12
13
YEfi‹L KALEM
YEfi‹L KALEM
Yönetim Kurullar› ve
Anketin Geçmifli
Dünyan›n birçok yerinde yaflanan yak›n tarihli
kurumsal krizler, zay›f denetimin yol açabilece¤i felaketlerden, yetersiz yönetiflim yap›lar›n›n
beraberinde getirdi¤i risklere kadar birçok farkl›
alanda dersler tafl›maktad›rlar. Bu derslerin ortak noktas›, finansal raporlamalar›n bir flirketin
sa¤laml›¤›na iliflkin ‘bütün resmi’ yans›tmad›klar›d›r. Hatta, baz› durumlarda, finansal hedefleri tutturmaya yönelik afl›r› vurgu, müdürleri,
yöneticileri, yat›r›mc›lar› ve di¤erlerini flirketin
altta yatan problemlerine karfl› körlefltirmekte ve
bu problemlerin fliddetlenmesine neden olmaktad›r.
Geleneksel finansal ölçüler birçok alanda yetersiz kalmaktad›r. fiirketin, en önemli bileflenleri
olan müflterileriyle, çal›flanlar›yla ve tedarikçileriyle iliflkilerinin kalitesini ölçmeye yönelik olarak tasarlanmam›fllard›r. Finansal ölçüler, flirketin gelecekteki gelirlerinin ve kârl›l›¤›n›n anahtar
kayna¤› olan ürün yarat›m› durumunu çok az
ayd›nlatmakta ve yönetim kurulu ile üst yönetimin efektifli¤ine, yani yönetiflim ve yönetim süreçlerine iliflkin çok az ipucu sa¤lamaktad›rlar.
Yönetim kurullar›n›n, üst yöneticilerin ve yat›r›mc› toplulu¤unun para ile ölçülebilen de¤erlerin ötesinde finansal olmayan ölçüler fleklinde
isimlendirebilece¤imiz hayati iflaretleri anlamalar›na yönelik ihtiyaç zirvededir.
Hükümetler ve düzenleyiciler devlet flirketlerinde aç›kl›¤› ve gözetimi art›rmak için kurallar› s›k›laflt›rarak bu ihtiyaca k›smen de olsa cevap
vermifllerdir. Amerika Birleflik Devletleri’nde
Yönetim kurullar›n›n, üst
yöneticilerin ve
yat›r›mc›lar›n parayla
ölçülebilen de¤erlerin
ötesinde finansal olmayan
ölçüleri de anlamalar›na
yönelik ihtiyaç çok
artm›flt›r.
flirketler Sarbanes Oxley Kanunu’na (2002) uymak zorundad›rlar. Avrupa, Kanada ve Asya K›tas›’n›n güneydo¤usundaki adalarda flirket davran›fllar›n› belirleyen kanunlar yürürlü¤e girmifl
ya da girmek üzeredirler.
Fakat, bu s›k›laflt›r›lm›fl kurallar, öncelikli olarak, görevi kötüye kullanmaya iliflkin doland›r›c›l›k veya hesaplarda sahtecilik gibi uç noktadaki problemleri hedef almaktad›r. Daha genel
kapsaml› soru, yani, ‘Yönetim kurulu üyeleri,
k›demli müdürler ve yat›r›mc›lar uzun süreli kurum sa¤l›¤›n›n göstergelerini izliyorlar m›?‘ sorusu ise büyük ölçüde cevaps›z kalmaktad›r.
Bu konuyu ayd›nlatmak için, Deloitte, 2004 y›l›nda yöneticileri ve yönetim kurullar›n› incelemek üzere Economist Intelligence Unit ile çal›flm›flt›r: Finansal ve finansal olmayan hayati iflaretleri – yani baflar›y› beraberinde getiren faktörleri ne kadar iyi izleyebiliyorlar ? Bu bilgiyi, geliflimlerini izlemek ve organizasyonlar›n› yeniden yönlendirmek üzere nas›l kullan›yorlar? ‹lgili faktörlerin izlenmesinde ve flirket yarar›na
kullan›lmas›nda engeller nelerdir?
Mart ve Nisan aylar›nda, Kuzey Amerika, Avrupa, Asya – Pasifik ve di¤er bölgelerdeki büyük
flirketlerin 250 yöneticisini ve kurul üyelerini inceledik. Yöneticiler ve direktörler “online” bir
ankete ve telefon röportajlar›na kat›ld›.
Anket sonuçlar› çok dikkat çekicidir: Kurul üyelerinin büyük ço¤unlu¤u ve k›demli yöneticiler,
flirketlerinin baflar›s›nda anahtar rol oynayan finansal olmayan itici güçlere iliflkin net ve kesin
verilere ihtiyaç duyduklar›n› ifade etmifllerdir.
Bununla birlikte, s›kl›kla konu verilere ulafl›lamamakta, ulafl›lan durumlarda ise, verilerin genellikle orta ya da zay›f ölçüde de¤erlili¤e sahip
oldu¤u görülmektedir.
Bu araflt›rma, ilgili konulara ›fl›k tutmakta ve iflletmelerin hala çok büyük ölçüde finansal göstergelere odakland›¤›n› belirtmektedir. Finansal
ve finansal olmayan gözetimde daha iyi bir
dengeye ulaflmak, finansal gözetime daha az
dikkat etmek anlam›na gelmemektedir. Her iki
konuya da gereken önemin verilmesi ve dikkatin gösterilmesi gerekmektedir.
Anket, Deloitte’›n, yönetim kurulu üyelerinin ve
k›demli yöneticilerin büyük devlet flirketlerinin
performans›n› nas›l izledikleri ve yönettikleri
Araflt›rman›n Dikkat
Çekici Noktalar›
1. Firmalar›n yönetim kurullar›
ve üst düzey yöneticileri için, kurum performans›n›n finansal olmayan yönlerinin izini sürmek
oldukça önemli olmaya bafllam›flt›r.
• Yöneticilerin ve yönetim kurulu baflkanlar›n›n yaklafl›k dörtte
üçü (%73) firmalar›n›n artan biçimde, finansal olmayan performans göstergelerini ölçme bask›s› alt›nda oldu¤unu ifade etmifllerdir.
• Kat›l›mc›lar›n %90’›ndan fazlas›, s›hhatleri parasal olarak ölçülemeyen, iflleriyle ilgili birtak›m
alanlar›n, baflar›n›n "kritik" ve "önemli" yönlendiricileri oldu¤unu ifade etmifllerdir: müflteri
memnuniyeti, ürün/hizmet kalitesi, operasyonel
performans (örn. önemli ifl süreçlerinde etkinlik
ve verimlilik), çal›flan ba¤l›l›¤›, yönetiflim ve yönetim süreçleri. Belirgin bir ço¤unluk da, marka
gücü (%78), yenilik/bulufl (yeni ürün ve hizmet
gelifltirmedeki baflar›, (%81), ve d›fl paydafllarla
kurulan iliflkilerin kalitesi (%76) için ayn› fleyleri söylemifllerdir.
• Kat›l›mc›lar›n büyük ço¤unlu¤u, firmalar›n›n
yönetiflim ve yönetim süreçlerinin kalitesine
(%90), çal›flan ba¤l›l›¤›na (%82), müflteri memnuniyetine (%84), operasyonel performansa
(%87), ürün/hizmet kalitesine (%80), yenilik ve
bulufla (%70) ve marka gücüne (%73) önemli derecede veya en üst seviyede ilgi göstermifllerdir.
• Neredeyse bütün firmalar (%92) yönetim kurullar›n›n hem finansal hem de finansal olmayan performans ölçütlerini izlemekten sorumlu
olduklar›n› düflünmektedirler.
2. Yönetim kurullar›n› ve üst düzey yöneticileri,
kilit konumdaki finansal olmayan performans
göstergelerini izlemeye, dört etmen yöneltmektedir: artan küresel rekabet, geliflen müflteri etkisi, kurum imaj› ile ilgili riskler konusunda artan
bilinç, ve ürünlerdeki yenilikler konusunda kaydedilen ivme.
• Kat›l›mc›lar›n ço¤u, di¤er baz› kritik ve önemli yönlendirici etmenlerden de bahsetmifllerdir:
düzenleyici otoritenin finansal olmayan ölçütler
konusunda artarak vurgu yapmas›, internet vas›tas›yla eriflilen bilginin h›z› ve yayg›nl›¤›, artan
çal›flan etkisi, medyan›n firmalar›n finansal performans›ndan baflka konular› da s›k› biçimde
araflt›rmas›.
• Firmalar›n›n performanslar›n› nas›l ölçtü¤ü ve
izledi¤inin yeniden de¤erlendirilmesine neyin
neden olaca¤› soruldu¤unda, ço¤unluk (%55)
müflteri memnuniyetinde veya müflteri ba¤l›l›¤›nda keskin bir azalman›n buna neden olaca¤›n› ifade etmifltir. Kat›l›mc›lar›n yaklafl›k yar›s›
(%47) bunun, yönetim kurulu üyelerinin veya
genel müdürün daha fazla fleffafl›k ve sorumluluk talep etti¤i zaman gerçekleflece¤ini ifade et-
Yöneticilerin Bilmedikleri...
üzerine yapt›¤› daha genifl çapl›
bir anketin parças›d›r. Bu alanda
mükemmelleflmek için ne gerekti¤i konusunda daha derin bir alg›lama sa¤lamak için, Deloitte,
yönetmenleri ve yöneticileri performans ölçümü ve yönetiminde
lider olan flirketlerle röportajlar
gerçeklefltirmektedir. Bu bölümün çal›flmalar› tamamlan›nca
aç›klanacakt›r.
14
15
YEfi‹L KALEM
YEfi‹L KALEM
3. ‹flleri ile ilgili finansal olmayan önemli göstergeleri takip etmenin gereklili¤i gittikçe artmas›na karfl›n, yönetim kurullar›n›n ve üst düzey yöneticilerin ço¤u bu gereklili¤i takip etmek konusunda ayak diremektedirler. Yöneticilerin, iflleriyle ilgili finansal olmayan bu önemli iflaretleri
izlemeleri, çoklukla zorlu bir süreç olmaktad›r.
• Kat›lanlar›n %86’s›, firmalar›n›n, finansal performans göstergelerini ölçme ve izlemede "iyi"
veya "mükemmel" oldu¤unu ifade etmesine karfl›n, sadece üçte biri (%34) finansal olmayan
performans ölçütleri ile ilgili ayn› yorumu yapm›flt›r. Bir k›sm› (%40) kendilerini, finansal olmayan göstergelerin ölçülmesi ve izlenmesinde
"ortalama" olarak s›n›fland›r›rken, %23’ü kendilerinin bu konuda "vasat" veya "zay›f" olduklar›n› ifade etmifllerdir.
• Kat›l›mc›lar›n yaklafl›k yar›s› (%48), firman›n
finansal olmayan göstergelerinin, yönetim kurulunun ve genel müdürün uzun vadeli kararlar
(örn. 12 aydan daha uzun vadeli) almas›nda et-
kisiz oldu¤unu ifade etmifltir. Yaklafl›k üçte biri
(%34) yöneticilere ve genel müdüre kontrol ve
uyum konular›nda yard›mc› olmas› konusunda,
finansal olmayan göstergelerin tamamen etkisiz
oldu¤unu ifade etmifltir. Sadece küçük bir oranda kat›l›mc›, finansal olmayan göstergelerin
önemli noktalar›n tespitinde oldukça etkili oldu¤unu söylemifltir: strateji oluflturma (%17),
kontrol ve uyum (%13), k›sa ve uzun vadeli kararlar alma (%12), ve sermaye piyasalar›nda uygun de¤erlendirmeler yapabilme (%9).
• Sadece firmalar›n az›nl›k bir k›sm›nda afla¤›da
listelenen finansal olmayan kurumsal göstergelerle ilgili olarak yönetim kurulunun ald›¤› bilginin kalitesi iyi veya mükemmel olarak de¤erlendirilmifltir: yenilik/bulufl (firmalar›n %41’i bunun iyi veya mükemmel oldu¤unu ifade etmifltir), d›fl paydafllar ile iliflkiler (%44), çal›flan ba¤l›l›¤› (%41) ve firman›n toplum ve çevreye olan
etkisi (%25). Sadece küçük bir ço¤unluk, flirketteki yönetiflim ve yönetim süreçlerinin kalitesi
(%65), müflteri memnuniyeti (%50), ürün/hizmet kalitesi (%49) ve marka gücü (%51) ile ilintili olarak yönetim kurullar›na sunulan bilginin
iyi veya mükemmel oldu¤unu ifade etmifltir. En
kaliteli bilgi, finansal sonuçlardan (%92, sadece
%59’u mükemmel oldu¤unu ifade etmesine
ra¤men) ve operayonel performanstan (%58, sadece %21’i mükemmel oldu¤unu ifade etmesine ra¤men) oluflmaktad›r.
• Az say›da firma, yönetim kurullar›na verilen
performans kriterlerinin, firmalar›n önemli alan-
Kurumsal Performans›n Daha ‹yi
‹zlenmesinin Artan Önemi
Kimse finansal performans›n gücünü ya da finansal verilerin önemini inkar edemez. Geliflmek isteyen bir firma için iyi bir finansal performans bir ön gerekliliktir. Bu rapor için görüflme
yap›lan hiç kimse finansal performans›n kurumsal sa¤l›¤› ölçmekteki de¤erini yads›mam›flt›r.
Ancak uzun vadede bir firman›n iflleyiflinde karzarar de¤erlendirmelerinde yer almayan di¤er
Bu çal›flmaya kat›lanlar›n
%92’si, finansal
göstergelerin tek bafllar›na
firmalar›n güçlü ve zay›f
yönlerini bütünüyle
ortaya koyamad›¤›n›
belirtmifltir.
birtak›m etkenlerin de dikkate al›nmas› gerekti¤i
konusunda güçlenen bir görüfl söz konusudur.
Bu çal›flmaya kat›lanlar›n %92’si finansal göstergelerin tek bafllar›na firmalar›n güçlü ve zay›f
yönlerini bütünüyle ortaya koyamad›¤› konusunda hemfikirdirler. Finansal ölçülerin, yönetim kurulu ve genel müdür aç›s›ndan, k›sa vadeli karar alma ve strateji oluflturma sürecinde
önemli bir de¤ere sahip oldu¤u çal›flmaya kat›lanlar taraf›ndan büyük ölçüde kabul görmüfl
olmakla birlikte, orta ve uzun vadeli karar alma
aflamas›nda ve para piyasalar›nda do¤ru bir de¤erleme elde edilebilmesinde daha az ifle yarad›¤› düflünülmektedir.
Kat›l›mc›lar, kurumsal baflar› için finansal etkenler kadar finansal olmayan etkenlerin de
önemli oldu¤u konusunda görüfl birli¤ine varm›fllard›r. Baflar› için kritik ya da önemli olarak
nitelenen faktörler s›raland›¤›nda; müflteri
memnuniyeti %97’lik bir oranla en baflta gelmifl, ürün/hizmet kalitesi %96 ile ikinci s›ray›
alm›fl ve finansal veriler %95’lik bir oranla
üçüncü s›rada yer alm›flt›r.
Bunun daha da ötesinde, araflt›rmaya kat›lanlar›n
%73’ü kendilerini finansal olmayan faktörleri
ölçmek konusunda artan bir bask› alt›nda hissettiklerini belirtmifllerdir. Gazetelerin kurumsal
skandal ve kötü iflleyifle iliflkin haberlerle dolu oldu¤u düflünüldü¤ünde, bunun nedenini anlamak
zor de¤ildir.
Yöneticileri kurumsal performans›n finansal olmayan alanlar›n› izlemeye iten sebep nedir?
Üst düzey yöneticilerin, hangi piyasa güçlerinin
finansal olmayan performans göstergeleri üzerinde artan bir vurguyla durdu¤u konusunda
verdi¤i cevaplarda, dört faktörün devaml› olarak dile getirildi¤i görülmüfltür:
• Artan evrensel rekabet (kat›l›mc›lar›n %91’i
taraf›ndan belirtilmifltir).
mifltir. Neyin, performans ölçütlerinin gözden
geçirilmesine " kesin" veya "olas›" surette neden
oldu¤una bak›ld›¤›nda, firmalar›n %80’i rekabetin önemli derecede artmas›n›n, %78’i finansal olmayan performans etmenlerinin nas›l ölçülece¤ine dair geliflen anlay›fl›n, %78’i çal›flan
memnuniyeti ve ba¤l›l›¤›ndaki keskin düflüflün,
%73’ü bir halkla iliflkiler krizinin, %72’si müflteri etkisindeki önemli art›fl›n, %71’i ise rakiplerin yeni bir ürün veya hizmeti takdim etmesinin
oldu¤unu ifade etmifllerdir.
lardaki performans› ile ilgili do¤ru ve güvenilir
bir tablo çizmesini sa¤lamak yönünde oldukça
etkili oldu¤unu ifade etmifltir: gelecekteki beklentiler (%17), mevcut ortaklar›n, tedarikçilerin
vb. s›hhati (%6), rakipleri ile k›yasland›¤›nda firman›n finansal olmayan alanlarda nas›l oldu¤u
(%8), ve rakipleri ile k›yasland›¤›nda firman›n
finansal performans› (%25).
• Yönetim kurulu üyelerinin kendi performanslar› ile ilgili olarak ald›¤› bilgiler bile çok fazla
itibar görmemektedir. Kat›l›mc›lar›n üçte birinden fazlas› (%36) yönetim süreci ve kurumsal
yönetiflim kalitesi konusunda elde edilen bilgiyi
sadece ortalama, vasat veya zay›f olarak de¤erlendirmifltir. Sadece %23’ü bunu mükemmel
olarak ifade etmifltir.
4. Yönetim kurulu ve üst düzey yönetimin, iflin
finansal olmayan önemli iflaretlerini takip etmelerini engelleyen iki en önemli engel, komplike
ölçütlerin azl›¤› ve ifle yararl›l›klar› konusundaki flüphelerdir.
• ‹ki büyük engel bulunmaktad›r: finansal olmayan konular›n de¤erlendirilmesinde kullan›lan
araçlar›n azl›¤› (firmalar›n %59’u taraf›nda ifade
edilmifltir) ve bu ölçütlerin alt s›n›rla direkt ba¤lant›l› oldu¤u yönündeki flüphecilik (firmalar›n
%40’› taraf›ndan ifade edilmifltir).
• Bu engellerin üstesinden gelmek, kurumsal
yönetiflimde muhtelif say›da önemli de¤iflimi
gerektirmektedir. Hem finansal hem de finansal
olmayan performanslar›n›n takip edilmesinde
çok iyi olan firmalar›n ("lider" olarak nitelendirdi¤imiz firmalard›r) genel olarak,
a) finansal olmayan ölçütlerin karl›l›¤› etkiledi¤ine inand›klar›,
b) finansal olmayan ölçütler konusunda bilgi sahibi olan yöneticilere ve yönetim kurulu üyelerine sahip olduklar›,
c) iyi ölçütlerle ödülleri birlefltirdikleri,
düflünülmektedir.
16
17
YEfi‹L KALEM
• Tan›nm›fll›k riski konusunda artan
bilinç (%97)
• Artan müflteri etkisi (%97)
• Yeni ürün ve hizmetlerde ivme kazanan geliflme (%97)
Söz konusu dört etken, bir firman›n
pazarda rekabet edebilme yetene¤iyle ba¤lant›l›d›r. Firmalar›n %60’› kritik ya da önemli gördükleri üç faktör
daha s›ralam›fllard›r:
• Finansal olmayan etkenler konusunda artan yasal vurgu
• ‹nternet vas›tas›yla h›zl› ve yayg›n
bilgi
• Çal›flanlar›n etkisinin artmas›
Sivil toplum örgütlerinin ve lobicilerin artan güçleri, üst düzey yöneticilere göre, ivme kazanan kurumsal
sosyal sorumluluk düflüncesine ra¤men, finansal olmayan göstergeleri
irdelemek konusunda daha az itici
bir faktördür. Kat›l›mc›lar›n yaln›zca
%32’si bu tür gruplar›n finansal olmayan göstergelere yönelim konusunda kritik ya da önemli oldu¤unu
belirtmifltir. Bu noktada, üst düzey
yöneticilerin ve kurullar›n finansal
olmayan göstergeleri incelemeyi özverili bir çaba olarak de¤il firmalar›n rekebet
gücünü koruyacak bir eylem olarak gördükleri
anlafl›lmaktad›r.
Üst düzey yöneticileri ve kurullar› finansal olmayan göstergeleri incelemeye yönelten faktörlere ek olarak, taraf›m›zca kat›l›mc›lara hangi olaylar›n performans› ölçmenin ve izlemenin yöntemleri konusunda yeniden bir de¤erlendirme yapmay› tetikleyebilece¤i sorulmufltur. Kat›l›mc›lar›n büyük bir ço¤unlu¤u (%88)
müflteri memnuniyetindeki keskin bir düflüflün
bu tür yeniden de¤erlendirmeye yol açabilece¤ini söylemifltir. ‹kinci olarak belirtilen olay ise
yönetim kurulu üyelerinin ya da genel müdürün daha fazla fleffafl›k ve nesnellik talep etmesidir. (%82)
Finansal olmayan faktörlerin önemi, do¤al olarak, firmadan firmaya ve bölgeden bölgeye göre de¤ifliklik göstermektedir. Computer Associates International firmas›nda yönetici ve Harvard Business School’da profesör olan Jay
Lorsch, yat›r›mc›lar›n mali beklentilerini karfl›lama amac›n›n ve bu do¤rultuda finansal verilerin artan öneminin, asl›nda bir Amerikan ol-
Finansal olmayan ölçüler
gözden kaç›r›labilecek
risklerin erken
habercileridir, tehlikeleri
önceden haber verirler.
gusu oldu¤una inan›yor.
Jay Lorsch, ‘’K›sa vadeli hisse fiyat›ndan ziyade
firman›n uzun vadeli sa¤l›¤› ile ilgilenmek isteyen birçok Amerikal› yönetici mevcut olmakla
birlikte bask›lar bu noktadad›r. Avrupa piyasalar› Amerikal›laflmaya bafllam›flt›r ancak umar›m
Avrupal›lar bizi flu an oldu¤u gibi kör bir biçimde takip etmeye devam etmezler.’’ demektedir.
Lorsch, finansal olmayan göstergeleri ciddi bir
biçimde ele alan Amerikan firmalar›n›n Medtronic, Gillette ve Coca-Cola oldu¤unu belirtmifltir.
Birtak›m finansal olmayan etkenler firmaya ve
sektöre ba¤l›d›r. British Petroleum ve di¤er
enerji flirketleri için çevresel faktörler en önemli konuyu oluflturmaktad›r. Bir güvenlik flirketi
olan Brinks ve bir kamu hizmeti flirketi olan
Scottish Power’a göre ise güvenlik gerek k›sa
gerekse uzun vadede en hayati faktördür.
Scottish Power’dan kurumsal iletiflim grup yönetmeni Dominic Fry, ‘’Güvenlik k›sa vadede
kendinizi tehlikeye atarak görmezden gelebilece¤iniz bir olgudur’’ demekte ve devam etmektedir: ‘’Çok tehlikeli bir ürünle u¤rafl›yoruz, göstergeleri umursamaz ve birçok kazaya neden
olursan›z, bu ifli yap›fl biçiminizde sistemsel bir
hata yapt›¤›n›z› gösterir ki bu durum kurum
içinde çok say›da kifliye istemeden zarar verir.
Güvenlik, k›sa vadede finansal olmayan göstergeler konusunda ne kadar dikkatli olunmas› gerekti¤i konusunda klasik bir örnektir.’’
Bazen finansal olmayan ölçüler yat›r›m öyküsünün bir parças›n› oluflturur. ‹ngiltere ve Kuzey
Amerika’da gaz, elektrik, telekomünikasyon ve
araç kurtarma hizmetleri veren Centrica firmas›nda, finansal olmayan göstergeleri kullanmak,
yat›r›mc›lara ifli ne kadar iyi yapt›¤›n›z› göstermek için gereklidir. Centrica/Avrupa’da yönetici olan Simon Lewis, ‘’Model ne kadar yenilikçi olursa, insanlara firma performans›n› nas›l
de¤erlendirmeleri gerekti¤i konusunda en do¤ru bilgiyi vermenin önemi de o denli artmaktad›r. Müflterilerle birebir iliflkide olan flirketler,
insanlara müflteri odakl› strateji kavram›n› ve bu
flekilde nas›l katma de¤er yarat›labilece¤ini
aç›klamak zorundad›rlar’’ demektedir.
General Growth Properties flirketinin genel müdürü John Bucksbaum kendi hissedarlar›n›n bak›fl aç›s›na ve neredeyse bütün bak›fl aç›lar›na
göre, finansal sonuçlar›n her zaman en öncelikli faktörler oldu¤unu belirtmifltir. Bucksbaum,
‘’Ancak bu sonuçlara nas›l ulaflt›¤›n›z ve bir firmay› nas›l gelifltirdi¤iniz de en az finansal sonuçlar kadar önemlidir. Finansal olmayan olgular›n ortaya ç›kard›¤› iyi ipuçlar› olmazsa sürdürülebilir ve sa¤lam finansal sonuçlar›n›z da olamaz’’ demektedir.
Finansal sonuçlar›n, finansal olmayan faktörlerin ürünü oldu¤unu anlayabilmek için bir firman›n genel müdürü olmak gerekmemektedir. Bu
çal›flmada dokuz adet etkenin alt› çizilmifltir.
Bunlardan befl adedi d›fl performans etkenleridir: Müflteri memnuniyeti, ürün ve hizmet kalitesi, marka gücü, d›fl paydafllarla iliflkiler, toplumun ve çevrenin etkisi. Dört iç etken ise yönetim ve yönetiflim kalitesi, firma geliflimi, operasyonel performans ve çal›flanlar›n ba¤l›l›¤›d›r.
Finansal olmayan etkenleri ölçmek ve izlemek,
yüzeyin alt›na inip asl›nda firmada ne olup bitti¤ini anlamak için bir araçt›r. Finansal göstergeler
sonradan elde edilmekle birlikte finansal olmayanlar kurumsal sa¤l›¤›n ilk ortaya ç›kan göstergeleridir. Finansal olmayan göstergeler, b›rak›n
üçer ayl›k dönemleri, bir y›ldan di¤erine çok
fazla de¤iflmeyebilir. Ancak befl y›ll›k bir süreç
sonunda firman›n uzun vadeli yönü hakk›nda
çok fley aç›klayabilir. Finansal olmayan ölçüler
gözden kaç›r›labilecek risklerin erken habercileridir, tehlikeleri önceden haber verirler.
Bombardier firmas› yöneticisi Laurent Beaudoin,
‘’Bugün karfl›laflt›¤›m›z durum firmalar›n finansal
piyasalarda çok k›sa vadeler baz›nda de¤erlendirilmesidir’’ demekte ve devam etmektedir:
‘’Bu, finansal konular›n neden öncelikli oldu¤unu anlat›yor. Ancak finansal olanlar ve finansal
olmayanlar aras›ndaki dengenin de¤iflmek zorunda oldu¤unu söylemeliyim. Çünkü finansal
olmayan konular bir firman›n uzun dönemdeki
performans› için belirleyicidir ve bu finansal piyasalar taraf›ndan dikkate al›nmal›d›r.’’
Finansal Olmayan Performans
Göstergelerinin fiirketler Taraf›ndan
Yeterince ‹zlenmemesi
Pek çok firma kendi üst düzey yöneticilerinin ve
yönetim kurullar›n›n, firman›n finansal göstergelerini yeterince izledi¤ini düflünmektedir. Ankete kat›lan flirketlerin %86’s› yönetim kurullar›n›n finansal göstergeleri izlemekte mükemmel
veya iyi oldu¤unu düflündüklerini ifade etmifllerdir. Buna karfl›n ankete kat›lanlar›n sadece
%34’ü flirketlerinin yönetim kurullar›n›n finansal olmayan performans göstergelerini izlemekte mükemmel veya iyi oldu¤unu söylemifllerdir.
Yönetim kurullar›n›n, flirketlerin finansal ve finansal olmayan gelifliminini takip etmekte ne
derece yeterli oldu¤unu ölçmek amac›yla ankete kat›lan flirketlere kendi flirketlerinin yönetim
kurullar›n›n sahip oldu¤u bilginin kalitesini 5
puan üzerinden de¤erlendirmeleri istenmifltir.
Kat›l›mc›lar›n %92’si kendi flirketlerinde finansal göstergelerin mükemmel veya iyi derecede
izlendi¤ini belirtmifllerdir. Bu oran finansal olmayan göstergelere verilen cevaplarla k›yasland›¤›nda aç›k ara önde gözükmektedir.
Finansal olmayan göstergelere bak›ld›¤›nda, kat›l›mc›lar›n %58’i yönetim kurullar›n›n flirketlerinin operasyonel performans› (flirketin ana ifl
süreçlerinin durumu) hakk›nda mükemmel veya
YEfi‹L KALEM
18
19
YEfi‹L KALEM
YEfi‹L KALEM
Yönetim Kurullar›n›n
Mükemmel veya ‹yi Düzeyde
Bilgi Sahibi Oldu¤unu Belirten
Kat›l›mc›lar›n Konulara Göre
Yüzdesel Da¤›l›m›
Ankete kat›lan flirketlerin sadece %41’i kendi
yönetim kurullar›n›n çal›flan memnuniyetine
iliflkin bilgilerinin mükemmel veya iyi olarak nitelendirilebilece¤ini ifade etmifltir. Ankete cevap veren flirketlerin bir k›sm› ise çal›flan memnuniyetini ölçebilmenin oldukça zor oldu¤u
fleklinde görüfl belirtmifllerdir. Buna karfl›n çal›flan memnuniyetini ölçmenin çok önemli oldu¤unu düflünenler de mevcuttur. 200’den fazla
çal›flan› ile Londra’da hizmet veren sigorta flirketi SVB Holding’ten Oliver Corbett, finansal
olmayan göstergelerden en önemlisinin çal›flan
memnuniyetine iliflkin ölçümler oldu¤unu düflündü¤ünü söylemifltir. Ankete cevap veren flirketlerin birço¤u personel memnuniyetini ölçmek için sürekli anket yapt›rd›klar›n› fakat anketlerden net bir resim ç›karman›n o kadar kolay olmad›¤›n› belirtmifllerdir.
Brinks firmas› personel memnuniyetinine özen
gösteren firmalardan biridir. ABD’deki 15 flubesinde her ay "speakout" ad›n› verdi¤i toplant›lar
düzenlemektedir. Bu toplant›larda çal›flanlar her
türlü s›k›nt›, flikayet, istek ve dileklerini dile getirebilmektedirler. Toplant› tutanaklar› ve toplant›da dile getirilenler çal›flanlar› isimleri olmadan
patrona iletilmekte ve onun taraf›ndan de¤erlen-
Dikkat Eksikli¤i
dirilerek söz konusu flikayet ve istekler do¤rultusunda personel memnuniyeti sa¤lanmaya çal›fl›lmaktad›r. Brinks firmas›n›n eski mali ifller koordinatörü Chris Corrini "speakout" ad›n› verdikleri
toplant›lara çok önem verdiklerini, toplant›lar›
adeta bir "din" gibi gördüklerini belirtmifltir.
fiirketin çevreye etkisi gibi di¤er göstergelerin
ölçülmesi ise daha da zordur. Ankete kat›lan
flirketlerin sadece %25’i flirketlerinin çevreye ve
topluma etkisinin yönetim kurullar› taraf›ndan
mükemmel veya iyi ölçüde izlendi¤i fleklinde
yan›t vermifllerdir. McDonald’s, Motorola, BP
ve Bank of America’da yöneticilik yapm›fl olan
Walter Massey flirketlerin çevreye ve topluma
etkilerini ölçmenin oldukça zor oldu¤u ve elde
edilecek verilerin finansal veriler kadar kesin
olamayaca¤›n› söylemifltir.
Elbette, baz› finansal olmayan göstergelerin ölçülmesi di¤erlerine göre daha kolayd›r. Brinks
firmas› iflyeri güvenli¤i ve çal›flan memnuniyetini izlemekte zorluk yaflamad›¤›n› söylemektedir.
Brinks’ten Chris Corrini, iflyeri emniyeti ve güvenli¤ini ölçerken her 200.000 çal›flma saatinde
kaç adet kaza oldu¤u verisini kulland›klar›n› ve
bu ölçümün kendi endüsti dallar› için ortak bir
mukayese ölçüsü oluflturabilece¤ini ifade etmifltir. Brinks firmas› nakliyat sektöründe, tafl›mac›l›k yap›lan her bir milyon milde kaç adet kaza
fiirket yönetim kurullar›n›n ve tepe yöneticilerinin, finansal olmayan göstergelerin önemini
kavramaya bafllad›klar› görülmektedir. Fakat
önemini kavrad›klar› halde bu göstergeleri hangi düzeyde dikkate almaktad›rlar? Finansal olmayan göstergelere dikkat eden flirketler oldu¤u
bilinmektedir. Kanada’da bulunan SunLife firmas›nda tepe yöneticiler müflterilerden gelen flikayet mektuplar›n› okumakta ve ayr›ca müflterilerin telefonla olan flikayetlerine ait ses kay›tlar›n› dinlemektedirler. Böylece flirketin risk yönetim komitesi müflteri flikayetlerine daha iyi
odaklanabilmektedir.
Ancak yine de flirketlerin büyük k›sm› finansal
olmayan ölçütlere yeterince önem vermemektedir. Anket sonuçlar›n› de¤erlendirdi¤imizde flirketlerin söyledikleri ile yapt›klar› aras›ndaki
farkl›l›klar göze çarpmaktad›r. Ankete kat›lan
flirketlerin %74’ü en yüksek seviyede dikkate ald›klar› ölçütlerden birinin flirketin finansal gös-
Finansal verilerin orta ve
uzun vadeli kararlar›
al›rken yüksek derece
etkili veya etkili oldu¤unu
söyleyen flirketlerin oran›
ise %66’d›r.
tergeleri oldu¤unu söylemifllerdir. Bu oran, finansal olmayan göstergelerin elde etti¤i oranlar›n oldukça üzerindedir. Ankete kat›lanlar›n
%52’si ise müflteri memnuniyetinin en yüksek
düzeyde dikkat ettikleri ölçütlerden biri oldu¤unu belirtmifllerdir. (Bu soruda kat›l›mc›lar birden çok ölçütü seçebiliyorlard›.)
Anketin bulgular›n› en iyi flekilde de¤erlendirmenin bir yolu çeflitli hususlara atfedilen önem
ile bu hususlara gerçekte ne kadar dikkat edildi¤ini k›yaslamakt›r. Söz konusu k›yaslama yap›ld›¤›nda flirketlerin söyledikleri ile yapt›klar› aras›ndaki farkl›l›klar göze çarpmaktad›r. Finansal
göstergeler, yönetiflim, marka gücü, sosyal etki
ve operasyonel verimlilik; bu 5 faktörü inceledi¤imizde kendilerine atfedilen önem ile gerçekte
dikkat edilme düzeyleri aras›ndaki fark›n oldukça küçük oldu¤u anlafl›lmaktad›r. K›saca flirketler bu 5 hususa ne kadar önem verdiklerini söylüyorlarsa bu hususlar› yaklafl›k o düzeyde de
gözönünde bulundurmaktad›rlar. Ürün / servis
kalitesi, müflteri memnuniyeti, ürün gelifltirme,
paydafllarla iliflkiler ve çal›flan memnuniyeti:
bahsedilen 5 faktörde ise fark›n daha belirgin
oldu¤u görülmektedir.
Fark›n daha belirginleflti¤i bu 5 faktörün flirket
performans›n›n hayati parçalar› oldu¤unu kimse
inkar edemez. Ankete kat›lan flirketlerde bu görüflte birleflmifllerdir. Kat›l›mc›lar›n %97’si müflteri memnuniyetinin flirketin baflar›s›n› etkileyen
en önemli faktörlerden biri oldu¤unu söylemifllerdir. Tüm faktörler içinde en yüksek yüzdeyi
müflteri memnuniyeti elde etmifltir. Ancak kat›l›mc›lar›n sadece %84’ü müflteri memnuniyetine iliflkin ölçütleri en yüksek veya önemli düzeyde dikkate ald›klar›n› belirtmifllerdir. Söz konusu hususa atfedilen önem ve dikkate al›nma
düzeyi aras›nda %13’lük bir fark bulunmaktad›r. Bu fark ürün / servis kalitesinde %16, ürün
gelifltirmede %11 ve çal›flan memnuniyetinde
%10 olarak gerçekleflmifltir.
Performans›n Daha ‹yi ‹zlenmesi
Yönündeki Ana Engeller
E¤er flirket yöneticileri finansal olmayan etmenleri bu derece önemli buluyorlarsa, o zaman bu
etmenler neden daha fazla dikkat çekmiyor?
Bunun pek çok sebebi var. Ancak en önemli iki
neden kesin verilerin olmamas› ve finansal olmayan ölçülerin etkilerinin anlafl›lmas›ndaki
zorluk.
yap›ld›¤› verisinin ifl güvenli¤inin ölçülmesinde
kullan›labilece¤ini ve bu ölçünün büyük nakliyat ve sigorta flirketleri taraf›ndan önemli bir veri olarak kabul edildi¤ini belirtmifltir.
Finansal olmayan verilerin yetersizli¤i, flirketlerin orta ve uzun vadeli (12 aydan daha uzun)
kararlar› al›rken bu verilerden fazlaca yararlanmamas›n›n en büyük nedenidir. Ankete kat›lanlar›n %48’i finansal olmayan verilerin flirketlerinin orta ve uzun vadeli kararlar› al›rken yüksek
derecede etkili veya etkili oldu¤unu söylemifllerdir. Finansal verilerin orta ve uzun vadeli kararlar› al›rken yüksek derece etkili veya etkili oldu¤unu söyleyen flirketlerin oran› ise %66’d›r.
Centrica firmas›ndan Mr. Levis güncel performans kültüründe nicel ölçütlere nitel ölçütlerden her zaman daha fazla önem verilece¤i görüflünde oldu¤unu beyan etmifltir.
iyi düzeyde bilgi sahibi oldu¤unu söylemektedir. Yönetim ve yönetiflim süreçlerinin kalitesine iliflkin bilgilerin yönetim
kurullar› taraf›ndan mükemmel veya iyi
derecede bilindi¤ini söyleyen kat›l›mc›lar›n oran› %65’dir. Bu oran ürün ve servis kalitesi hakk›ndaki bilgide %49, marka gücüne iliflkin bilgide ise %51 olarak
gerçekleflmifltir. Ankete cevap verenlerin
tam %50’si yönetim kurullar›n›n müflteri
memnuniyeti hakk›nda mükemmel veya
iyi derecede bilgi sahibi oldu¤unu düflünmektedir.
Çal›flan memnuniyeti, flirketin toplum ve
çevre üzerindeki etkisi, tedarikçiler ve
d›fl paydafllarla iliflkiler, ürün gelifltirme
gibi konularda yönetim kurullar›n›n mükemmel veya iyi seviyede bilgi sahibi oldu¤unu söyleyen kat›l›mc›lar›n oran› oldukça düflüktür.
20
21
YEfi‹L KALEM
YEfi‹L KALEM
Ankete kat›lanlardan, finansal olmayan performans ölçülerinin etkin bir biçimde kullan›lmas›
önündeki 8 engelin önemini göreceli olarak de¤erlendirmeleri istendi. Aç›k ara en fazla bahsedilen engel, en az›ndan finansal araçlar ile karfl›laflt›r›ld›¤›nda, söz konusu ölçüleri analiz etmek için gerekli araçlar›n geliflmemifl oldu¤u
gerçe¤idir.
Kan›t Nerede?
Finansal olmayan performans›n analizi için gerekli olan araçlar›n yetersiz olmas› konusunda
bir fikir birli¤i olsa bile, finansal olmayan ölçülerin kullan›lmas› yönündeki di¤er engeller konusunda daha az uzlaflma bulunmakta. Kat›l›mc›lar›n %40’›, ikinci önemli engel olarak bu ölçülerin sonuca do¤rudan etkileri konusundaki
flüphecili¤i gösterdiler. Verilerin kalitesi yüksek
de olsa ve yönetim kurulu ile idare taraf›ndan
gözetim alt›nda bile olsa, finansal olmayan etmen ne kadar önemli olursa olsun, bu, flirketin
mutlaka daha iyi performans göstermesini sa¤lamaz.
Önemli bir de¤iflken oldu¤u genel olarak kabul
edilen müflteri memnuniyeti örne¤ini ele al›n.
New York Yaflam Sigortas› flirketinin baflkan
yard›mc›s› Gary Benanav: "En üst düzeyde müfl-
teri memnuniyeti sa¤lamak harikad›r ve bunun
karl›l›¤a yans›mas› gerekti¤ini düflünüyoruz, ancak aradaki ba¤lant›y› hiç kimse tam olarak gösteremedi" diyor. "Müflteri memnuniyetini ölçmek için kullan›lacak araçlar gelifltirildi fakat
denklemin di¤er taraf› hala nesnel olarak gösterilemiyor. Biz, düflük müflteri memnuniyetine
sahip olmas›na ra¤men hâlâ para kazanan yaflam sigortas› flirketleri oldu¤unu biliyoruz."
Bunun karfl›t görüflü ise söz konusu flirketlerin
daha memnun müflterilere sahip olmalar› durumunda daha fazla para kazanacaklar›d›r. Yine
de, müflteri memnuniyetini art›rmak için yap›lacak yat›r›mlar›n maliyetinin, elde edilecek müflteri memnuniyetinin getirece¤i fayday› aflaca¤›
bir nokta bulunmaktad›r. Bu noktan›n tespit
edilmesi, finansal olmayan etmenlerin daha etkin biçimde kullan›lmas› yönündeki önemli bir
engeldir.
Sorumluluk ve Ödül
‹lginç bir flekilde üst düzey yöneticiler (%45) finansal olmayan faktörler ile finansal performans
aras›ndaki iliflki konusunda icrac› yöneticilerden (%34) ve idari yöneticilerden (%32) daha
flüpheci bir e¤ilim sergilediler. Bu yöneticilerin
konuya daha fazla önem vermeleri için önce
kendilerine finansal olan ve finansal olmayan
performanslar aras›ndaki nedensel ba¤›n gösterilmesi gerekmektedir.
"Bizim bütün üst düzey yöneticilerimiz finansal
olmayan ölçüler üzerine odaklanm›flt›rlar, ancak finansal olmayan ölçülerle finansal getiriler
aras›nda do¤rudan bir ba¤lant› bulunmamaktad›r" diyor Benenav. "E¤er finansal ölçülere ba¤l› de¤illerse, size bunun için para ödemezler.
Finansal olmayan ölçülerden herhangi birini seçip ona ulaflabilirsiniz. Soru fludur ki, ne olmufl
yani?"
E¤er bu konuda ödüllendirilseydiler, flirketler finansal olmayan verilerin gözlenmesinin gelifltirilmesi için daha fazla çaba gösterebilirlerdi,
ancak ço¤u zaman durum bunun tam tersidir.
Yat›r›mc›lar a¤›rl›kl› olarak iyi finansal performans gösteren firmalar› ödüllendirirler, finansal
olmayan performans› ise hemen hemen hiç
ödüllendirmezler. Kat›l›mc›lar›n %86’s›, firmalar›n yat›r›mc›lar taraf›ndan a¤›rl›kl› olarak finansal performansa göre ödüllendirdi¤ini belirttiler. Kat›l›mc›lardan, ikinci derece önemli olarak ödüllendirilen kategorileri belirtenler oldu¤unda ise bir kaç finansal olmayan ölçüde küçük ilerleme oldu¤u görünüyor: %25’le yönetiflim ve %24’le çal›flanlar›n ba¤l›l›¤›.
Performans›n de¤iflik mukayese standartlar›n›n
ortalama de¤erlerinin bir özeti durumu daha
aç›k gösteriyor. Yat›r›mc›larca en fazla ödüllendirilen iyi performans›n 1.0’a denk geldi¤i skalada finansal sonuçlar 1.5 puan al›rken finansal
olmayan ölçüler 5.1’den (çal›flanlar›n ba¤›ml›l›¤›) 8.0’a (marka gücü) uzanan aral›kta yer alm›flt›r. Araflt›rma sonuçlar› genel gözlemi güçlü
bir flekilde desteklemektedir: Yat›r›mc›lar sonuca odaklan›rlar. Bu aç›dan bak›ld›¤›nda finansal
olmayan etmenlere daha fazla öncelik verilmesi cesaret k›r›c› bir görev olarak görünmektedir.
Lorsch: "Neden finansal olmayan göstergelere
dikkat etmiyoruz? Çünkü Amerikan ekonomisi
k›sa vadedeki performansa odakl›d›r" diyor.
"Gerçek bu. Odaklanma çok fazla bu yönde.
Bütün bu skandallar› yaflamam›z›n nedenlerinden biri k›sa vadedeki performansa çok fazla
önem verilmesidir. Yönetim kurullar› da, idareciler de bu konuda endifle ediyorlar. Hiç kimsenin finansal olmayan performansa önem vermedi¤ini iddia etmiyorum, ama bunu yaparsan›z
sokaktaki adamdan gelen bask›lara ra¤men yapars›n›z."
New York Yaflam Sigortas› flirketinden Benenav:
"Finansal olmayan ölçüler üzerinde bu kadar
“Piyasan›n finansal
performansa verdi¤i afl›r›
önem firmalar›n
güdülenme yap›lar›nda
yans›mas›n›
bulmaktad›r.”
önem verenler icrac› yöneticiler" diyor. "Di¤er
kaynaklardan çok az bask› var. Ben iki tane halka aç›k flirketin yönetim kurulunda çal›fl›yorum
ve bu konuda yat›r›mc›lardan gelen ciddi bir
bask› yok. Yat›r›mc›lardan gelen bask› daha çok
finansal performans üzerinde. Enron’dan sonra
bile bu de¤iflmedi."
Piyasan›n finansal performansa verdi¤i bu afl›r›
önem firmalar›n güdülenme yap›lar›nda yans›mas›n› bulmaktad›r. Kat›l›mc›lara hangi performans alanlar›nda yönetim kurullar›n›n iyi performans› ödüllendirerek yönetimi sorumlu tuttu¤u soruldu. Kat›l›mc›lar›n %78’i yönetimin
a¤›rl›kl› olarak finansal sonuçlar›n baflar›s›na
göre ödüllendirildi¤ini söyledi. Operasyonel
performans %43 ile uzak ara ikinci s›rada yer
ald›. Soru sorulanlar›n büyük k›sm› flirketin toplum ve çevre üzerindeki etkisi, d›fl paydafllarla
olan iliflkisinin kalitesi ya da çal›flanlar›n ba¤›ml›l›¤› konular›nda yönetimin hemen hemen hiç
ödüllendirilmedi¤ini belirtti. Yeni bulufllar bile
fazla ödüllendirilmiyordu.
Bir çok finansal olmayan ölçünün net olmamas›, kesin ve adil bir tazmin yönteminin formüle
edilmesini zorlaflt›r›yor. Benenav: "Yöneticilerin
finansal olmayan ölçüleri tazmin arac› olarak genifl çapl› kullanmaya isteksiz olmalar›n›n nedeni
tüm organizasyon için kullan›labilecek bir ortak
ölçüm çubu¤unun bulunamamas›d›r" diyor.
Yine de de¤iflim çok yak›nda. Görüflülen hemen
hemen tüm flirket yetkilileri tazminat paketlerinde finansal olmayan ölçülerin öneminin artt›¤›n› belirttiler. Scottish Power gibi baz› firmalar
y›ll›k primin %30’unun, ö¤retici bir çevrenin tesis edilmesi gibi davran›flsal göstergelerde yöneticilerin gösterdi¤i performansa ba¤l› oldu¤unu
ifade etti. Alliant Energy firmas›nda CEO’nun
tazminat›n›n %85’i finansal sonuçlar, %5’i çevre performans›, %5’i güvenlik ve %5’i ifl gücü
çeflitlili¤ine göre belirleniyor.
Geliflmemifl Ölçüm Araçlar›
22
23
YEfi‹L KALEM
YEfi‹L KALEM
‹yi Yönet
Bu rapor idarecilerin finansal olmayan faktörlere, neden daha az önem verdiklerinin, güdülenmenin yap›s›ndan iyi finansal olmayan verilerin
olmamas›na kadar baz› belli bafll› nedenlerini
özetledi. Ancak de¤erlendirilmesi gereken daha
derin bir sebep daha bulunmakta, o da flirketin
yönetimi.
Sa¤lam etik standartlar
ve güçlü bir sorumluluk
sistemi-k›saca iyi bir
yönetim sistemi- olmadan
bir flirket hurdal›kta son
bulabilir.
Veriler mükemmel de olsa, güdüler uzun dönemli hedefler ile daha uygun bile olsa, yine de
flirket yanl›fl yolda olabilir. Sa¤lam etik standartlar ve güçlü bir sorumluluk sistemi-k›saca iyi bir
yönetim sistemi- olmadan bir flirket hurdal›kta
son bulabilir. Yönetim kurulu ve yönetimin firman›n tüm çal›flanlar›n›n uymas› beklenen parametreleri belirlemeleri gerekir.
Alliant Industries CEO’su ve BP ile PPG Industries idari yöneticisi Errol Davis: "Finansal olan
ve olmayan etmenlere farkl› bak›l›yor. Pek çok
aç›dan, finansal göstergelere amaçlara ulafl›p
ulaflmad›¤›n›z› görmek için bakars›n›z ve ondan
sonra ifl yapt›¤›n›z ortama bakars›n›z." diyor. "O
zaman s›n›rdaki soru bizim amaçlar›m›za nas›l
ulaflt›¤›m›zd›r. Ve biz bu flekilde etik ifl uygulamalar› tart›flmas›na gireriz. Benim içinde bulundu¤um tüm yönetim kurullar› belirli bir çevresel
ve etik ortamda çal›fl›lmas›na dikkat eder ve finansal amaçlar›m›za ulafl›rken ortam›n zarar
görmedi¤ini garanti etmeyi isteriz."
Bir flirketin faaliyetlerin yürütmek için kurallar
seti oluflturmas› kolayd›r: dürüstlük, do¤ruluk,
güven, onur vs. Ancak zor olan yat›r›mc›lar›n
her zaman var olan yüksek getiri talepleri ile
karfl›lafl›ld›¤›nda bu kurallara göre yaflamakt›r.
Sa¤lam yönetim süreçleri ile desteklenen iyi bir
yönetim yap›s› bu ikisini uzlaflt›rman›n temel
bir yoludur.
Hindistan’›n önemli yaz›l›m firmalar›ndan Infosys güçlü bir yönetim sistemi oluflturmak için
kararl› bir flekilde efor sarf eden bir flirkettir. Firman›n mali ifllerden sorumlu idarecisi ve yönetim kurulu üyesi T.V. Mohandas Pai’ye göre yönetim kurulu zaman›n›n %60’›n› özellikle yönetiflim ve yönetim süreçleri ile ilgili finansal olmayan konulara harcamaktad›r. ‹dari yöneticilerce sadece icrac› yöneticilerin performans›
de¤erlendirilmemekte, ayr›ca ba¤›ms›z yöneticiler de de¤erlendirmeye tabi tutulmaktad›r. Ba¤›ms›z idareciler Infosys’in bir idarecisi gibi y›ll›k hedeflerini yönetim kuruluna sunmak zorundad›r. Y›l sonunda kendi performanslar›n›n de¤erlendirdikleri baflka bir sunum daha yap›l›r ve
yönetim kurulunun sorular› cevaplan›r. De¤erlendirme süreci y›lda dört kez buluflan ve dört
ba¤›ms›z yöneticiden oluflan bir adaylar komitesi taraf›ndan yönetilir. Pai: "‹crac› yöneticilerin sorumlu tutulacaklar› konular vard›r ve idari
yöneticiler de kendilerinden beklenen görevleri
yerine getirmek zorundad›rlar. Ve tüm bunlar
için fleffaf bir süreç olmal›." diyor.
Bununla birlikte araflt›rma bir çok firman›n yönetim konular›na hak ettikleri önemi vermedi¤ini gösteriyor. ‹dari yöneticilerin %77’si en detayl› incelemelerini finansal sonuçlar üzerinde
yapt›klar›n› söylerken sadece %55’i en çok dikkati yönetiflim ve yönetim süreçlerine verdiklerini ifade etmifl
Baflka bir yerde, tüm kat›l›mc›lara flirketlerinin
performans›n›n ölçülmesi ve izlenmesi yönünde yeni bir de¤erlendirme yap›lmas›n› neyin kesinlikle ya da muhtemelen tetikleyece¤i soruldu. Cevap olarak %82’si e¤er yönetim kurulu
üyelerinden ya da CEO’dan daha fazla aç›kl›k
ve sorumluluk talebi gelirse konuyu yeniden
de¤erlendirece¤ini söyledi. Bu yan›t firmalar›n
finansal olmayan etmenlere daha fazla önem
vermemesinin bir nedeninin de yönetim kurullar›n›n bu yönde taleplerinin olmamas›ndan
kaynakland›¤› izlenimini güçlendiriyor.
Yönetim kurullar›ndan gelen bir bask›n›n olmad›¤› araflt›rman›n içinde baflka yerde de bulunabilir: ‹dari yöneticilerin %77’si yöneticilerin iyi
finansal sonuçlara ulaflarak yüksek bir flekilde
ödüllendirildi¤ini söyledi. Finansal olmayan
göstergelerin çok önemli olarak de¤erlendirilmesine ra¤men hiçbir performans göstergesi
%36’dan yüksek bir oran alamad›.
Di¤er aç›klay›c› iflaretler icrac› ve idari yöneticilerin alg›lar› aras›ndaki yar›kta bulunabilir. Örne¤in; icrac› yöneticilerin %47’si, idari yöneticilerin ise sadece %18’i çal›flanlar›n ba¤l›l›¤›
konusundaki bilginin kalitesi hakk›nda iyi ya da
mükemmel dediler. ‹dari yöneticilerin bilginin
kalitesini art›rmak için ça¤r›da bulunmalar› gerekmez mi?
Daha aç›klay›c› olarak, idari yöneticilerin
%82’si finansal bilginin kalitesinin iyi ya da mükemmel oldu¤unu söylerken, sadece %41’i yö-
netiflim ve yönetim süreçleri hakk›ndaki bilginin
kalitesi için ayn› fleyi söyledi. ‹dari yöneticiler
aras›nda yönetiflim ve yönetim süreçleri konusunda hat›r› say›l›r bir hayal k›r›kl›¤› olmal› ya
da daha kötüsü zarar veren bir ilgisizlik.
Araflt›rman›n gösterdi¤i üzere, kat›l›mc›lar›n büyük k›sm›nda finansal olmayan performans etmenlerinin yeniden de¤erlendirilmesinin yönetim kurullar›nca ya da CEO’larca tetiklenebilece¤i alg›s› mevcut. E¤er öyleyse, flirket yöneticileri sadece finansal etmenler için de¤il, kurumsal baflar›n›n tüm etmenleri için yönetimi sorumlu tutma gücüne sahiptirler.
Liderlerle Arkadan Gelenlerin
Karfl›laflt›rmas›
Neden baz› flirketlerin yönetim kurullar› ve üst
düzey yöneticileri finansal olan ve olmayan
göstergelerin ölçülmesinde ve takip edilmesinde daha baflar›l›lar? Onlar farkl› olarak ne yap›yorlar? Hangi uygulamalar›n bu alanda baflar›ya
götürdü¤ünü anlamaya bafllamak için araflt›rmam›z› daha fazla analiz ettik. Finansal olan ve
olmayan performanslar›n ölçülmesi ve takip
edilmesinde iyi ya da mükemmel diye cevap
veren firmalara liderler, normal ya da zay›f diye
yan›tlayanlara uyufluklar diyerek bu iki grubu
karfl›laflt›rd›k.
Toplamda 85 adet lider ve 61 adet arkadan
gelen firma vard›. Bu iki grubun baz› araflt›rma
sorular›na verdikleri cevaplar aras›ndaki fark
çarp›c›yd›. Bunlar kurumsal performans›n daha
iyi takip edilmesi ve gelifltirilmesi için yönetim
kurullar›na ve üst düzey yöneticilere aç›l›mlar
sunmaktayd›.
• "Liderler" finansal olmayan ölçülerin verimlili¤i etkiledi¤ine inanmaya daha yatk›nlar. Lider
flirketlerin sadece %36’s› finansal olmayan öl-
Ödüller ve güdüler konunun sadece bir k›sm›.
Araflt›rmaya kat›lanlara göre finansal olmayan
performans ölçülerinin yetersiz kullan›lmas›n›n
di¤er önemli nedeni performans›n finansal olmayan yönleri için sorumluluk seviyesinin düflük olmas›. Bu durumu düzeltmenin bir yolu
her y›l üst düzey yöneticiler için finansal olmayan hedefler belirlemek ve farkl› hedefler için
kesin sorumluluk çizgileri çizmek.
Örne¤in Scottish Power firmas›nda, CEO grup
yönetim kurulunda güvenlik ve çevreden sorumlu olan kiflidir. Fry: "Güvenlik, yönetim kurulu gündeminin en üstünde düzenli olarak tart›fl›l›r ve CEO bundan sorumludur. Güvenlik
önemlidir çünkü biz güvenli bir ortamda çal›flan insanlar›n daha iyi ifl ç›karmalar›n›n daha
muhtemel oldu¤una inan›r›z. CEO ayn› zamanda çevre konular›nda da grup yönetim kuruluna
karfl› sorumludur. Öncelikler yönetim tak›m›
düzeyinde belirlenir, ama biz bir enerji flirketi
oldu¤umuz için yönetim kurulu seviyesinde düzenli olarak tart›fl›l›r.
Hedef olmad›¤› zaman yönetim kurulu finansal
olmayan göstergelerin izlenmesi konusunda yönetime güvenmek zorundad›r. General Growth
Properties firmas›n›n CEO’su Bucksbaum: "E¤er
finansal olmayan bir göstergede bozulma varsa
bu konuyu idari yöneticilerin dikkatine getirmek biz icrac› yöneticilere düfler. Ba¤›ms›z yöneticiler bu gibi fleylerle u¤raflman›n üst düzey
yönetimin görevi oldu¤unu söylüyorlar" diyor.
24
25
YEfi‹L KALEM
YEfi‹L KALEM
çülerin sonuca do¤rudan etkileri konusundaki
flüphecili¤i bu ölçülerin etkin kullan›lmas›nda
yönündeki ana engellerden biri olarak gösterdiler. Arkadan gelenlerin %46’s› flüphecilikten
engel olarak bahsetti.
l Lider flirketlerin yönetim kurullar› ve yöneticileri finansal olmayan ölçülerle muhtemelen daha aflinalar. Lider flirketlerin sadece %11’inde,
finansal olmayan ölçülere aflina olmayan yöneticiler engel olarak bahsedildi (%15’i yönetim
kurulu üyelerinin ölçülerle aflina olmamas›n›
ana engel olarak söyledi). Tam tersine, arkadan
gelen flirketlerin %28’inde finansal olmayan ölçülere aflina olmayan yöneticiler engel olarak
söylendi. Di¤er bir %28 de yönetim kurulu üyelerinin ölçülerle aflina olmamas›n› temel engel
olarak ifade etti.
l Sadece ölçüler de¤il ödüller de meydanda. Liderlerin ve arkadan gelenlerin, yönetim kurullar›n›n finansal performans için yöneticileri ödüllendirmelerinde aralar›ndaki fark çok az. (Liderlerdeki yöneticilerin %78’i yüksek bir flekilde
ödüllendirilmifl, bu oran arkadan gelenlerde
%75). Ancak liderlerin yönetim kurullar› yöneticileri finansal olmayan ölçülerdeki iyi performanslar› için ödüllendirmeye ve bu nedenle de
performanslar› için sorumlu tutmaya arkadan
gelenlerden daha yatk›nlar. Burada liderler ve
arkadan gelenler aras›ndaki en büyük fark yönetiflim ve yönetim süreçlerinin kalitesi. Liderlerin yönetim kurullar› bu alandaki iyi performanslar› için yöneticileri ödüllendirmeye,
arkadan gelenlerin yönetim kurullar›ndan yaklafl›k 4 kat daha yatk›n (Liderlerde %26,
arkadan gelenlerde sadece %7). Benzer flekilde,
liderler yeni ürün ya da hizmet gelifltirmedeki
baflar›lar› için yöneticileri yüksek flekilde ödüllendirmeye arkadan gelenlerden yaklafl›k olarak
3 kat daha fazla meyilliler (%34’e %13). ‹lave
olarak liderler müflteri memnuniyeti için yöneticileri yüksek flekilde ödüllendirmeye arkadan
gelenlerin 2 kat›ndan daha fazla yatk›n (%35’e
%15) ve parlak operasyonel performans için yöneticilere yüksek ödüller vermeye yaklafl›k 2 kat
daha meyilli (%55’e %33). Kiflilerin performans› geliflecekse, kurumsal baflar›lar ölçüldü¤ünde
bu kifliler ödüllendirilmeli ya da cezaland›r›lmal›lar.
Sonuçlar
Anket sonuçlar›, söylem ile gerçek aras›nda kritik
bir fay hatt› bulundu¤unu göstermektedir. Finan-
sal olmayan faktörler baflar›y› getiren itici güçler
olarak de¤erlendirilmekle birlikte yönetim kurulu
ve k›demli müdürler taraf›ndan finansal verilerden çok daha az dikkate al›nmaktad›r.
Bu rapor, finansal sonuçlarla finansal olmayan
performanslar›n, bir çok flirkette do¤ru bir biçimde birbirlerine ba¤lanmad›¤› gerçe¤ini göstermektedir. Güdüsel olarak, bilançonun, kar zarar
cetvelinin, nakit ak›m tablosunun finansal olmayan etmenlerin bir sonucu oldu¤u aç›kt›r. Fakat,
çok az flirkette, finansal olmayan etmenler finansal raporlara yans›t›lmaktad›r. Bir çok firmada k›demli yöneticiler, iki ya da üç finansal olmayan
gösterge üzerinde yo¤unlaflmakta, sadece çok
az bir bölümü finansal olmayan göstergelerin
hepsinin ya da büyük bir bölümünün sistematik
olarak izlenmesine çal›flmaktad›r.
Finansal göstergeler ile finansal olmayan göstergeler aras›ndaki uyuflmazl›k; finansal olmayan
göstergelerin daha az güvenilir olmas›, bu göstergelerin ölçümünün daha zor olmas›, kapital
piyasalar›n finansal sonuçlar› sürekli, finansal
olmayan sonuçlar› ise nadiren ödüllendirecek
flekilde yap›land›r›lm›fl olmas› dolay›s› ile ço¤u
zaman ihmal edilmektedir.
Anket, baz› de¤iflikliklerin yolda oldu¤unun sinyallerini vermektedir. Örne¤in, ücret yap›lar› finansal olmayan hedeflere do¤ru kaymakta ve kurul üyeleri finansal olmayan verilere karfl› keskin
bir fark›ndal›k göstermektedirler. Bununla birlikte anket, fark›ndal›k ile aksiyon ve söylem ile gerçek aras›ndaki uçurumun büyüklü¤ünü de göstermektedir. Bu uçurum daral›ncaya kadar kurul
direktörleri, müdürleri ve yat›r›mc›lar flirketlerin
gerçek durumu konusunda baflka türlü olabileceklerinden daha az bilgi sahibi olacaklard›r.
Ahlaki ve idari kurulufllar sa¤lam bir flekilde kuruldu¤unda, müflteri memnuniyeti, marka gücü,
çal›flan ba¤l›l›¤› gibi finansal olmayan ölçüler
yönetim kurulunu ve yönetimini uzun süreli baflar›ya götürecek hayati bir rehber olacakt›r. Fakat, bir çok firma hala dikkatini finansal veriler
üzerinde odaklamakta ve çok az› tamam›yla di¤er performans ölçülerini izlemektedir.
Deloitte ve Economist Intelligence Unit iflbirli¤iyle
haz›rlanan “In the dark. What boards and executives don’t
know about the healt of their business” adl› araflt›rman›n
çevirisidir. Mustafa Kamil Bulut, Banu Karaçoban, Ramazan
Ifl›k, Ahmet Albayrak, Elif Arkan, Meriç Gökhan Kocao¤lu,
Ahmet Tu¤rul Öz taraf›ndan çevrilmifl, Tolga Tanr›korur ve
Mehtap Do¤an editörlü¤ünde birlefltirilmifltir.
Potansiyel Hedef mi?
Haz›rl›kl› m›s›n›z?
Albert J. Marcella
Southern California Üniversitesi Marshall School
of Business’ta ‹flletme Politikas› Profesörü olan Ian
I. Mitroff, son mülakatlar›ndan birinde; " ‹flletmeler ya da Bilgi Teknolojileri (BT) Departmanlar›,
tan›d›klar› krizlere odaklanma e¤ilimindeler.
Kendileri için iyi olmayan bir yaklafl›m. Sizi öldürecek olan tan›d›¤›n›z kriz de¤il bilmedi¤iniz bir
fleydir. Günümüzde ekonomik kriz, itibar krizi,
insan kaynaklar› krizi gibi çeflitli krizler mevcuttur. Organizasyonlar, 30 y›l öncesine k›yasla daha genifl bir kriz kümesi ile karfl› karfl›yad›r, ve
bunlardan biri di¤erinin sebebi veya sonucu olarak ortaya ç›kabilir. BT’de bir kriz baflka yerlerdeki bir krizi tetikleyebilir veya tersi de olabilir. Krizler karfl›s›nda infla etti¤imiz silolar, duvarlar birfley
ifade etmez." (Melymuka 2003)
Maalesef; e¤er üst yönetimler gereken dikkati ve-
remezse, Profesör Mitroff’un uyar›lar› kolayl›kla
göz ard› edilebilir. E¤er kurumsal denetimin ifllevi; özellikle bugünün Dünya’s›nda yönetimin gözü, kula¤› olmak suretiyle yönetimi temsil etmek
ve ona hizmet etmek ise, çevrenizdekiler Dünya
görüflünüze dudak bükseler bile, bu Dünya’ya
de¤iflik merceklerle bakabilmeli, kimsenin sormay› ak›l edemeyece¤i sorular› sorabilmelisiniz.
E¤er organizasyon içindeki güvenlik ve kontrolleri de¤erlemekle görevlendirilmifl olan bizler bu
sorular› sormayacaksak, bu bak›fl aç›s›na sahip olmayacaksak, baflka kimler olsun ?
Bilgi teknolojileri ve bu teknolojiler taraf›ndan
desteklenen altyap›lara olan talep art›fl› dikkate
al›nd›¤›nda, organizasyonun çeflitli krizlere etkin
bir yan›t verebilmesi konusunda haz›rl›kl› olup
olmad›¤›n›n araflt›r›lmas›, denetim ifllevi berat›na
Siber Suç: fiirketiniz
26
27
YEfi‹L KALEM
YEfi‹L KALEM
flekilde ortaya ç›kmaktad›r. Bu senaryo ya da bunun bir benzeri, reaktif bir organizasyona direkt
etki (farkl› seviyelerde olabilen ama ikincil bir zarar veren) edebilir.
Böyle bir senaryonun henüz gerçekleflmedi¤ini
belli bir kesinlikle ifade etmek mümkün de¤ildir.
Bir çok organizasyon iç kontrol sisteminde ve
organizasyonel altyap›s›ndaki ihlalleri ve maruz
kald›¤› zararlar›, halka aç›klamak konusunda isteksizdir.
Kriz Yönetimi, Vaka Çal›flmas›
Bu vaka çal›flmas›, yazar›n siber terörizm hakk›ndaki bir seminer sunumunda ilk defa kullan›lm›flt›r. Olay›n vakadaki parametreler do¤rultusunda,
kat›l›mc›lar›n kendi organizasyonunda meydana
geldi¤i varsay›larak, kat›l›mc›lardan bir çözüm
gelifltirmeleri istendi¤inde, ço¤u makul bir aksiyon plan› gelifltirememifltir. Kat›l›mc›lar›n ço¤unlu¤u böyle bir vakan›n kendi organizasyonlar›nda
meydana gelebilece¤ine inanmam›fllard›r. Halbuki böyle bir olay meydana gelebilir, ilginç olan
henüz meydana gelmemifl olmas›d›r. Yoksa meydana gelmifl midir?
Sistem k›s›tlar› ve çevresel faktörlerin daha derinlemesine incelenmesinde; krizlerin ortaya ç›k›fl›n›n asl›nda ne kadar muhtemel oldu¤u kritik bir
rilmeden sicil araflt›rmalar› yap›lmakta m›d›r?
Neden? Çal›flanlar için bu tür araflt›rmalar›n varl›¤› ifl akdinin devam› için bir zorunluluk haline
getirilmeli midir? Çok hassas kabul edilen kurumsal bilgilere eriflim hakk› olan bir çal›flan bu
bilgileri yetkisiz kiflilere iffla ederse, bunun yarataca¤› etki nedir? Periyodik sicil yoklamalar›,
potansiyel olarak kiflilerin geçmiflindeki "yükümlülükleri" veya maruz kald›klar› durumlar›, -ki
bu bilgiler belirsiz kald›¤› müddetçe organizasyon veya personel için bir tehdide dönüflebilirortaya ç›karabilir mi?
Profesör Mitroff, kriz yönetimi ile ilgili daha detayl› bir müzakerede, en geç fark edilebilecek ve
en büyük zarar› verecek senaryoyu yazabilecek
BT personeli, "iç suikastçiler" istihdam etmeyi
telkin etmifltir. Bu kifliler ayn› zamanda lise mezunundan doktoras›n› vermifline kadar belli kiflilerin organizasyonu nas›l sabote edebileceklerine bakabilirler. Sonra, siz sözkonusu sabotaj ihtimallerini köreltmek için ne yapabilirsiniz? Böyle bir fleyi bafllang›ç aflamas›nda nas›l fark edebilirsiniz? Organizasyonunuzdaki, kültürünüzdeki,
cezaland›rma-ödüllendirme sisteminizdeki hangi
unsur böyle bir ifli kabul edecek derecede s›k›lm›fl insanlar yarat›r? (Melymuka 2003)
Denetçiler ve birleflik güvenlik uzmanlar› bu öneriyi güvenlik önlemlerini uç noktalara tafl›mak
olarak görebilirler. Ama bu takti¤in kendine özgü
faziletleri vard›r. Belirli bir çevrede zay›fl›klar›n
de¤erlendirilebilmesi, de¤erleyen kiflinin s›rad›fl›
ölçüler kullanmas›n›, de¤erlendirmenin farkl›
perspektiflere ve bak›fl aç›lar›na göre yap›lmas›n›
ve suçlu/teröristin düflünürken sahip oldu¤u zihin
kümesiyle düflünmeyi gerektirebilir. Bir suçlu gibi
düflünüyor musunuz? E¤er cevab›n›z "hay›r"sa
bafllasan›z iyi olur.
Siber Zorlama
Kurum personeline veya altyap›s›na yönelik suç
niteli¤i tafl›yan bask› hafife al›nmamal›, ihmal
edilmemelidir. Bu türden bir bask› do¤ru bir ifadeyle kriz durumu olarak de¤erlendirilmeli ve
ona göre ele al›nmal›d›r. Personel bask›s›na yol
açan durumlar çok çeflitli olabilir. Organizasyonlarda, çal›flanlar›n, özellikle de kritik ve hassas kabul edilen bilgi teknolojileri ve teknoloji altyap›lar›na eriflim hakk› olan çal›flanlar›n geçmiflinin
rutin olarak araflt›r›lmas› ve bu konuda prosedürlerin uygulamada olmas› çok önemlidir.
Sizin organizasyonunuzda, bilgi teknolojilerine
ve altyap›lar›na eriflim hakk› olan çal›flanlardan
tesadüfi seçilmifl kifliler üzerinde önceden bildi-
Periyodik sicil
yoklamalar›, potansiyel
olarak kiflilerin
geçmiflindeki
“yükümlülükleri” veya
maruz kald›klar›
durumlar› ortaya
ç›karabilir mi?
Tehditin De¤erlemesi
Bask›; zor kullanarak, bir insan› normal koflullarda bir kural olarak alg›lad›¤› için yapmayaca¤›
fleyleri yapmaya mecbur etmektir. Bask›, tan›m›
itibariyle fiziksel olmak ya da fiziksel veya co¤rafi k›s›tlarla s›n›rlanm›fl olmak zorunda de¤ildir.
Bask›, mu¤lak bir kelime olup her türlü kötü imge ve psikolojik imalar›n zihinde bir fikir veya hayal oluflturmas›d›r. Bu vaka çal›flmas›nda faili motive eden faktörler yeterince aç›k de¤ildir. Bu faktörler; normal flirket operasyonlar› ve müflteri hizmetlerini karfl›kl›k içine itmek, basitce gözda¤›
vermek, müflterinin güvenini kaybetmesini teflvik
etmek, genel finansal dengesizlik yaratmak gibi
suça motive eden genel faktörlerin yan› s›ra bir kifliye veya organizasyona karfl› güdülen intikam
davas› gibi kiflisel faktörler de olabilir.
Afla¤›daki vaka çal›flmas›n›n, cevaplayabilece¤inden çok daha fazla soru üretmesi hedeflenmifltir.
Amac› okuyucunun fark›ndal›k seviyesini yükseltmek ve yarat›c› düflünmeyi uyarmakt›r. Bu vaka
çal›flmas› tek bir kifliyi bile; organizasyonun krizlerle bafl edebilme gücünü yeniden de¤erlemek,
organizasyonun kriz yönetimine haz›rl›k seviyesini yeniden de¤erlemek, reaktif davran›fl tarz›ndan
proaktif tarza geçmek, konular›nda motive etmifl
olursa amac›na ulaflm›fl say›l›r.
Burada sunulan kriz, say›s›z kriz vakas›ndan bir
tanesi olup herhangi bir organizasyonun kaderi
olabilir. Sizin organizasyonunuz haz›rl›kl› m›?
Organizasyonunuz bafl edebilecek midir? Karfl›l›k
verebilecek midir? Süregelen operasyonlar›n› devam ettirebilecek midir? Personeline, yurtiçinde
veya küresel ölçekte organizasyonunuza güvenen ve dayananlara gerekli güvenceyi sa¤layabilecek midir? Sizin organizasyonunuz reaktif mi?
Yoksa proaktif midir?
Ek olarak, bu vakada sunulan krizler; cevaplar›
aç›k, bilgilendirici, kesin ve çabuk olan sorular
sorar. Proaktif tav›rl› olmamak ve krizlere karfl›
önceden test edilmifl çözümlerin mevcut olmamas›, organizasyonun finansal olarak çökmesi, ya
da daha kötüsü personelin yaralanmas› veya ölümüyle sonuçlanabilir.
Bunlar›n hepsini gördü¤ünüzü düflünün? Haz›rl›kl› oldu¤unuzu düflünün? Tekrar düflünün...
S‹BER SUÇ: Bir Vaka Çal›flmas›
Organzisayonunuzun a¤ yöneticisi ö¤le yeme¤inden döndü¤ünde, masas›n›n üstünde adresli
bir manila zarf› buldu. Zarf› açt›¤›nda afla¤›daki
içerikle karfl›laflt›.
mutlaka dahil edilmifl olmas› gereken bir amaçt›r.
Organizasyonunuzda, kriz yönetme kapasitesini
de¤erlendirmek sorumlulu¤u kimde ? Organizasyonunuzun, kriz yönetme çabas›, bölümü ya da
ekibi var m›? Bu kritik ifllevi kim yönetir? Yoksa
bu kritik ifllevin sorumlulu¤u, zaten afl›r› yük alm›fl olan Güvenlik Bölümü’nde mi? Bilgi Teknolojileri Bölümünde mi? ya da ‹flletme Devaml›l›¤›
Planlama Ekibinde mi? Kim de?
Proaktif organizasyonlar, vizyon sahibidir, her an
ortaya ç›kabilecek krizlere karfl› haz›rl›kl›d›rlar.
Reaktif organizasyonlar ise maalesef ancak krizler
iflleyifle zarar verdikten ya da daha kötüsü organizasyonun ölümüne yol açt›ktan sonra haz›rl›k yaparlar. Sizin organizasyonunuz proaktif mi? Reaktif mi?
Teknisyenler güzel, zarif kutularla düflünme e¤ilimindedirler. Proaktif bir flirkette, krizlerin nas›l ortaya ç›kt›¤›na göz att›¤›n›zda, teknolojinin insan
taraf›ndan yönetildi¤ini farkedersiniz. ‹nsanlar›n
nas›l hata yapt›¤›na, iyi konuflland›r›lm›fl güvenlik
planlar›n›n hatayla, ihmallerle, komisyonlarla nas›l ihlal edildi¤ine bakars›n›z. Bilgi teknolojilerinin nas›l ba¤lant›lar, iletiflim olanaklar› yaratt›¤›n›, en iyi güvenlik koflullar›nda dahi sisteme nas›l
girilebildi¤ini görmek için flirketin di¤er bölümleri ile dialog kurars›n›z. fiirket ‹çi Kriz Ekibi (‹ç Kriz
Ekibi) kurmak istedi¤inizde, ekibi sadece bilgi
teknolojileri personelinden de¤il farkl› bölümlerden gelen insanlardan oluflturursunuz. Kar›fl›k bir
grup daha zengin senaryolar üretir. Bu senaryolar› de¤erlendirirken ifle bu gerçekleflemez diye
bafllamazs›n›z. Siz; "bu gerçekleflti," bunun arka
plan›nda olay›n nas›l olufltu¤unu anlamaya çal›fl›n dersiniz (Melymuka 2003).
28
29
YEfi‹L KALEM
1. Bir CD
2. Üzerinde, "Bu CD içeri¤ini saat 15:00’te organizasyonun merkez sunucusuna yükle" yaz›l› bir
not.
3. A¤ yöneticisinin aile üyelerinin son bir haftada
neler yapt›¤›n› kronolojik olarak listeleyen daktilo
edilmifl bir döküman
4. Her bir aile üyesinin kronolojik aktivite listelerine refere edilmifl foto¤raflar›
5. A¤ yöneticisinin baflka bir eyalette yaflayan babas›n›n bugün tarihli ve evi d›fl›nda çekilmifl bir
foto¤raf›
Saat flimdi 13:30
1. A¤ yöneticiniz nas›l bir karfl›l›k verecek? A¤ yöneticiniz ne yapabilir?
2. Organizasyonunuzda bu tür bir siber terörizme
karfl› koyabilmek üzere, önceden haz›rlanm›fl
planlar var m›? Organizasyonunuzun Acil Durum
Plan›nda ve ‹fllerin Devaml›l›¤› Plan›nda bu durum gerçekçi bir senaryo olarak ele al›nm›fl m›d›r?
Neden yan›t›n›z olumsuz?
3. A¤ yöneticiniz ilk olarak kimi aramas› gerekti¤ini biliyor mu? Ailesini mi? Ebeveynlerini mi?
Yerel polisi mi? Federal savc›y› m›? fiirket güvenlik personelini mi? Kimi? Dahas› mutlaka birini
aramal› m›?
4. Yerel yetkililer, bu olaya dahil olan kiflileri tehlikeye atmadan, böyle bir BT krizine nas›l karfl›l›k
verilmesi gerekti¤ini biliyorlar m›?
Saat flimdi 14:00
5. Söz konusu taraflar›n olaya dahil edilmesi, durumun siber suçlulara ihbar edilmesine ve baz›
insanlar›n ölmesine yol açar m›? Kurumun varl›klar›n›n (binalar, stoklar, d›fl ifllemler lokasyonlar›)
tahrip edilmesine yol açar m›? Organizasyonun
üretim tesisine veya personeline bir zarar verilmesine yol açar m›? Yerel çapta bir zarar? Bölgesel çapta bir zarar? D›fl ülkelerde bir zarar?
6. Organizasyonunuzun kendi a¤›n›n kopyas›n›
(replikas›n›) oluflturma yetene¤i var m›? Böylelikle sözkonusu CD’yi mektupta tarif edildi¤i gibi
kopya sisteme yükledikten sonra gerçek bir zarara yol açmadan neler olabilece¤ini görme olana¤› var m›?
7. Organizasyonunuzun, teröristlerin siber hedeflerini tehlike alt›na atmadan, replika a¤› d›fl eriflimler için gerçek a¤ gibi göstererek teröristlere isteklerinin yerine getirildi¤ini göstermek imkan›
var m›? Bu bile ak›ll›ca ve mant›kl› bir kumar m›?
Neyin kumar›?
8. Organizasyonunuzun yerel a¤›nda, merkezi
sunucuya do¤rudan yüklenmifl bir zararl› kodun
‹ddial› ve yarat›c›
kriz/tehdit senaryolar›
üretmek keyfe keder bir
çal›flma de¤il, tüm
organizasyonlar›n
sald›rgan ve proaktif
iflletme devaml›l›¤›
planlama stratejilerinin
bir parças› olmal›d›r.
etkisini bofla ç›karabilecek iç kontroller mevcut
mu?
9. Organizasyonunuzun, sistemin genelini etkileyen bir kriz durumunda, kritik bilgileri kompartmanlara ay›rabilme ve bu sayede de kritik bilgilerin güvenli¤ini temin etme yetene¤i var m›?
Saat flimdi 14:20
10. Organizasyonunuz, destek olmak üzere ça¤r›lan üçüncü kiflilere, kazara flirket çok gizli bilgilerinin teslim edilmeyece¤ini garanti edebiliyor
mu? Yani d›flar›dan sisteme eriflim imkan› verilen
üçüncü kiflilere. Ya da bir CD’yi yüklemenin a¤
üzerindeki sonuçlar›n› görmek için eriflim talep
eden kiflilere
11. Suçlu, taleplerine uyulmad›¤› gerekçesiyle,
üretim tesislerini fiziki hedef olarak belirlerse, bunu savuflturabilmek üzere hangi prosedürler mevcuttur? Suçluya içerden bir bilgi ulaflmas›na mani
olmak ve personeli pani¤e sevketmemek kofluluyla bu nas›l baflar›labilir. (Suçlu, iflleyifli kendisi
için güvenli bir lokasyondan gözlemliyor olabilir)?
Saat flimdi 14:45
12. Böyle bir durumla karfl›lafl›ld›¤›nda; organizasyonunuzda, liderlik, koordinasyon, komuta ve
kontrolden kim sorumlu olacakt›r.
13. Arad›¤›nda ailesine ulaflamayan, periflan
(muhtemelen) haldeki a¤ yöneticisi ile ilgilenmek
kimin sorumlulu¤undad›r? A¤ yöneticisinin, ailesini aramak fleklinde bir bafllang›ç yapmas›na kim
müsaade etmifltir? Böyle bir davran›fl durumu daha da riskli bir hale getirmez mi?
14. A¤’›n›za ba¤l› önemli müflterilerinizi ve son
kullan›c›lar› (siviller, askeriye, kurumlar v.s.) a¤›n
çökmek üzere oldu¤u konusunda uyarmak üzere,
organizasyonunuzun önceden haz›rlanm›fl bir
plan› var m›? A¤ kapat›lmal› m›? Yoksa kullan›m
d›fl› m› b›rak›lmal›? Böyle bir ifl, (a) söz konusu
kullan›c›lar› panikletmeden, (b) hassas bilgileri iffla etmeden, (c) organizasyonu öngörülemez yükümlülükler alt›na sokmadan nas›l baflar›labilir.
15. Organizasyonunuzun; kanunen, a¤’›n kapanma problemi ile yüz yüze oldu¤unu üçüncü kiflilere (örne¤in: SEC, Merkez Bankas›, FCC, FTC,
vs.) duyurma yükümlülü¤ü var m›d›r?
16. A¤›n veya ilgili BT faaliyetlerinin bir bütün
olarak çökmesinin organizasyonunuza nas›l bir
finansal etkisi olacakt›r? Do¤uraca¤› yasal yükümlülükler? Yarataca¤› müflteri güveni problemleri? Pazar problemleri?
17. Organizasyonunuzun, bu krizin uygun flekilde kapsanmas› konusundaki plan› nedir? (Yani,
herhangi bir kiflinin mevcut kriz durumunu d›fl
medyaya tafl›mas›n›n önlenmesi)
18. Söz konusu tehdidin hakiki mi, yoksa sahte
mi oldu¤unu nas›l bilebilirsiniz?
Saat flimdi 14:55
19. A¤’a ba¤›ml› kritik uygulamalar› ve servisler›
alternatif bir sunucu/tedarikçi/site’ye ne kadar
h›zl› tafl›yabilirsiniz? Hangi uygulama ve servislerin kritik oldu¤unu nas›l belirlersiniz? Ya da nas›l
belirlediniz? Siber suçlunun; hangi operasyonlar›n›za yönelik afet yönetim plan›n›z oldu¤unu bilmedi¤inden, ya da siber suçlunun bu plan› ifllemez hale getirmedi¤inden (mesela tedarikçilerle
olan operasyonlar) nas›l emin olabilirsiniz?
20. A¤ yöneticisi, baflka birini CD’den ve nottan
bahsetmek üzere arar m›? Ailesinin güvenli¤i için
duydu¤u korku, geçmiflte böyle bir fleye maruz
kalmam›fl olmas› ve bu konuda hiçbir e¤itim almam›fl olmas› gibi faktörler kifliyi notta yaz›lan direktifler do¤rultusunda hareket etmeye sevk eder,
ve sonras›nda kifli binay› terk eder?
B A N G – Saat 15:00
Vakit geldi. fiimdi ne yapacaks›n›z?
Sonuç
Son 24 ayda dünya kimsenin tahmin edemeyece¤i flekilde de¤iflti. Art›k, iddial› ve yarat›c› kriz/tehdit senaryolar› üretmek keyfe keder bir çal›flma
de¤il tüm organizasyonlar›n sald›rgan ve proaktif
iflletme devaml›l›¤› planlama stratejilerinin bir
parças› olmak durumundad›r.
Sizin organizasyonunuzda yukar›da söz konusu
edilen türden bir kriz durumu ortaya ç›kma ihtimali nedir? Düflük mü? Gerçekçi de¤il mi? ‹nand›r›c› m›? Bilmiyor musunuz? Belli bir fliddette
krizin ortaya ç›kmas› kesindir. Yaln›z, ne zaman
ve nas›l ortaya ç›kaca¤› sorulmal›d›r.
• Bu tür çok kritik opersyonel sorulara verecek
somut yan›tlar›n›z var m›? Organizasyonunuzun
gerçekçi ve inand›r›c› cevaplar gelifltirmesi ne kadar sürer?
• Benzer bir kriz durumuna karfl› organizasyonunuz haz›rl›kl› m›d›r?
• Bu türden bir krizi yönetme konusunda, organizasyonunuz kendi haz›rl›k seviyesini test etti mi?
Bunu yapmak için herhangi bir plan› var m›? Bunu periodik olarak tekrarlama konusunda bir plan› var m›?
• Organizasyonunuzun iflletme devaml›l›¤›n›
sa¤lama planlamas› sürecinde; sözü edilen kriz
durumlar› ve tehditler sürekli olarak ele al›n›yor
mu? Neden al›nm›yor?
• Bu vaka çal›flmas› tüm sorumlu kurtarma ve güvenlik tak›m› personeli taraf›ndan paylafl›lm›fl m›d›r?
‹htimal tablolar›nda, organizasyonunuzun finansal güvenli¤ini, gelece¤ini ve personelin güvenli¤ini bahse konu etmek ister misiniz?
E¤er yan›t›n›z hay›rsa, akla gelmeyen fleyin gözlerinizin önünde meyana gelebilece¤i gerçe¤iyle
yüzleflmenin zaman›d›r. Haz›rl›kl› m›s›n›z?
‹lgili Çal›flmalar
Melymuka, K (Nisan 21, 2003) "Facing The Unthinkable" (Akla gelmeyenle yüzleflmek), Computer World, Page 40,
www.computerworld.com/managementtopics/management/story/0,108080430,00.html.
Albert J. Marcella Jr., BT denetimi ve güvenlik de¤erlemesi çal›flmalar› yürüten ve kimlik h›rs›zl›¤›,
gizlilik ve siber terörizm konular›nda e¤itimler
veren bir global bilgi teknolojileri ve yönetim dan›flmanl›¤› flirketinde ‹flletme Otomasyon Dan›flmanl›¤› bölümünün baflkan›d›r. Dr. Marcella’n›n
son kitab› "Business Continuity, Disaster Recovery and Incident Management Planning : A resource for Ensuring Ongoing Enterprise Operations," 21. yüzy›l organizasyonlar›n›n yaflama
kabiliyetini güvenli ve sürekli k›lmak için devaml›l›k planlama prosedürlerini, yöntemlerini ve
denetim yaklafl›mlar›n› de¤erler ve derinlemesine
analiz eder. Sorular›n›z ve yorumlar›n›z için Dr.
Marcella’ya [email protected] adresinden ulaflabilirsiniz.
Albert J. Marcella, Ph. D., CDP, CFSA, CISA
Çeviri: Süleyman Bafl, CSA
Zorlu Grubu ‹ç denetim Md. Yrd.,
YEfi‹L KALEM
30
31
YEfi‹L KALEM
YEfi‹L KALEM
‹ç Kontrol Sistemi
Yönetimi ve Operasyonel
Risk Yönetimi ile
Entegrasyonu
Birimlerin risk bazl› kontrolleri iç kontrol
mant›¤› ile izlemelerini sa¤lamak
‹ç kontrol merkezi
bulgular›n›n hayata
geçirilmesini sa¤lamak,
izleme ve takip
sistemini oluflturmak
‹ç kontrol
sisteminin
yerlefltirilmesinde
yaflanan zorluklar
‹ç kontrol merkezinin
yaratt›¤› katma de¤erin
ölçülmesi konusunda
yöntem belirlemek
Gülsen Özten
‹ç Kontrol Merkezi’nin Banka
Organizasyonuna Entegrasyonu
Türk bankac›l›k sisteminin mevcut yap›s› içinde
bankalar iç kontrol süreçlerinde standart uygulamalar yapmad›klar› iki farkl› model uygulamaktad›rlar:
Yeni bir yap›lanma olmas› nedeniyle ‹ç Kontrol
Merkezinin bankaya entegrasyonu belirli bir
süreç dahilinde gerçekleflecektir. Öncelikli olarak günlük faaliyetlerin kontrolü olgusu yerleflmelidir. Organizasyonel olarak ba¤›ms›zl›¤›n›n
sa¤lanmas› sonras›nda ifl süreçlerinin analiz
edilmesi ve analizler neticesinde kontrol noktalar›n›n tan›mlanarak kontrol periyodunun belirlenmesi önemlidir.
‹lgili süreç tesis edilirken bankada baz› güçlük-
B‹R‹NC‹ MODEL
‹K‹NC‹ MODEL
Bankac›l›k Sistemimizdeki ‹ç Kontrol
Fonksiyonu Yap›lanmas›
Yönetmelikte aç›kça tan›mlanan seçilmifl personel uygulamas› risk alanlar›n›n belirlenmesi, süreçteki aksakl›klar›n tespiti ve iyilefltirmelerin
k›sa süreli geliflimi aç›s›ndan fayda sa¤lamaktad›r. Bulgular›n üzerine gidilerek düzeltim sa¤lama ile iç kontrolün kalitesi yükselmekte ve
eflanl› bulgulara eriflilmektedir. Ayn› zamanda
uzaktan ve yerinden iç kontrol merkezi elemanlar›n›n yapt›¤› kontroller ve paylafl›lan bulgular
ile birim-flube yönetimi iç kontrol sürecine dahil olmakta, uygunsuzluk seviyesi ve risk bereberce belirlenmektedir.
• Risk içeren kontrol noktalar› belirlenir.
• Bunlara ba¤l› olarak flubelere ve
birimlere iç kontrol elemanlar› yerlefltirilir.
• Yerinden kontroller ile proaktif kontrol
sistemi sa¤lan›r.
• Yerinden kontroller ile daha fazla iflgücü
istihdam edilir.
• Riskler süreç analizi yap›larak belirlenir.
• Riski düflük flube ve birimlere uzaktan
kontrol yöntemleri uygulan›r.
• Kontrol faaliyetleri ile iliflkili sorunlar anket
ve raporlamalar ile üst yönetimden al›n›r.
• Kontrollerde harcanan zaman ve
maliyetler birinci modelden daha düflük
olabilir.
‹ç kontrol merkezi görev tan›m›n› teftifl kurulu ve
risk yönetimi ile ortak çal›flma prensiplerini belirtmek
ler oluflabilmektedir.Bu güçlüklerin üstesinden
gelmek iç kontrol yöneticisinin ve denetçilerin
yap›c› ve iyi iletiflim sa¤layarak , iflin amac›n›
net ortaya koymas› ile mümkündür.
‹ç Kontrol ile Operasyonel Risk
Yönetimi Entegrasyonu
‹ç kontrol ve risk yönetimi faaliyetlere de¤er
katmak ve bu faaliyetleri gelifltirmek üzere tasarlanm›fl, ba¤›ms›z ve nesnel bir sa¤lamlama
ve dan›flmanl›k organlar›d›r. Süreçlerinin de¤erlendirilmesi ve etkinli¤inin gelifltirilmesinde
sistematik ve disiplinli bir yaklafl›m sunarak
İş Akışlarını
Anlamak
Kontrol
Mekanizmalarını
Geliştirmek
Eylem
Planı
Operasyonel
Risk Yönetimi
Süreci
Mevcut Kontrol
Mekanizmalarını
Değerlendirmek
İş Akışlarını
Anlamak
kuruluflun hedeflerinin gerçeklefltirilmesine katk› sa¤lamaktad›rlar. Hedeflere ulaflabilmek için
do¤ru ve etkin iletiflim son derece önemlidir.
‹ç Kontrol'de amaç, operasyonlar›n etkin olup
olmad›¤›n›n, kay›tl› ifllemlerin kanun, ve düzenlemelere, iç politika ve prosedürlere uygun
olup olmad›¤›n›n tespitidir. ‹ç Kontrol sadece
uygunsuzluklar›n bulunup ortaya ç›kar›lmas›
de¤il, uygunsuzlu¤un daha bafl›ndan tespit
edilip bertaraf edilmesi demektir. Di¤er bir
deyiflle uygunsuzluklar› yaratan durumlar›n
oluflumunu engellemek, kontrol mekanizmas›n›n ifllemin yap›ld›¤› anda devreye girip
uygunsuzluklara
yer vermemesini
temin etmeye çal›flmakt›r. Bu aç›dan
bak›ld›¤›nda, risklerin azalt›lmas›
sürecine sa¤lad›¤›
katk› nedeniyle iç
kontrol fonksiyonu
İş Akışlarını
operasyonel riskin
Risklilik Açısından
Değerlendirmek
yönetiminin do¤al
bir parças› olarak
ortaya ç›kmaktad›r.
Gülsen Özten,
Finansbank A.fi.
‹ç Kontrol Merkezi
Baflkan›
Bu makale Risk
Yöneticileri Derne¤i’nin
bülteninde
yay›mlanm›flt›r.
Türkiye’de 08/02/2001 tarihli Bankalar›n ‹ç Denetim ve Risk Yönetimi yönetmeli¤inin yay›nlanmas› ile iç kontrol sisteminin yeniden yap›land›r›lmas› ihtiyac› do¤mufltur. Bu yeniden yap›lanma süreci ile risk almay› engelleyici nitelikte olmayan, riski tan›mlayan, yöneten, izleyen ve yol gösterici bir kimlik tafl›yan, kontrollerin dönemsel mant›kla yap›lmad›¤›, risk odakl› ve k›sa süreli yap›ld›¤› yap›c› bir sistemin yerlefltirilmesi hedeflenmektedir.
‹ç Kontrol kültürünün yayg›nlaflt›r›lmas› ve iç
kontrol bulgular›n›n yap›c› ve iyilefltirici rol oynamas› ile iç kontrol kuruma katma de¤er sa¤layan bir yap›ya ulaflacakt›r. K›sa süreli yap›lan
kontrol faaliyetleri sonucunda ulafl›lan bulgulara olumlu yaklafl›m ve genele yay›lan sorunlara
düzeltici faaliyet uygulanmas› ile sistem etkin
hale gelmektedir.
32
33
PERÇ‹N
PERÇ‹N
‹ç Denetim Departman
Yönetiminde Etkinlik 2
Ali R›za Eflkazan
‹ç Denetim Departman Yönetiminde Etkinlik – I
bafll›kl› yaz›m›zda departman›n organizasyonel
statüsü ve operasyonel gereklilikleri; organizasyonel statünün gelifltirilmesi, uzun dönemli
planlama ve risk de¤erlemesi, denetim el kitaplar›n›n gelifltirilmesi, faaliyet raporlar› ile yönetimin talep etti¤i ürünün önemi alt bafll›klar›nda
detayl› olarak ele al›nm›flt›r.
‹ç denetim departman yönetiminin etkinli¤ine katk› sa¤layan di¤er önemli faktörler ise operasyonel
gerekliliklerinin tamamlay›c› unsurlar› olan insan
kayna¤› yönetimi ve iletiflim becerileridir.
‹ç Denetim departman yöneticisi (CAE), departman›n›n insan kaynaklar›n› seçme
ve yetifltirme sürecinde oluflturaca¤›
program›n afla¤›daki unsurlar› içermesine dikkat etmelidir.
l Denetim personelinin her seviyesi için yaz›l› ifl tan›mlar› gelifltirmek.
l Kalifiye ve yeterli kiflileri seçmek.
l Her iç denetçi için sürekli e¤itim
f›rsatlar› sa¤lamak.
l Her iç denetçinin performans›n›
en az›ndan senelik olarak de¤erlendirmek.
l ‹ç denetçilere, performanslar› ve
mesleki geliflimleri ile ilgili yard›m
sa¤lamak.
‹ç Denetim Görev Tan›mlar›
Mesleki uygulama standartlar›nda
iç denetim departman› insan kayna¤› yönetimi "‹ç denetim yöneticisi onaylanm›fl plan› uygularken iç
denetim kaynaklar›n›n uygun, yeterli ve etkin kullan›lmas›n› sa¤lamal›d›r" fleklinde tan›mlanm›flt›r.
Bu çerçevede iç denetim departman› çal›flanlar› için görev tan›m
ve sorumluluklar› yaz›l› olarak
oluflturulmal›d›r.
Yaz›l› görev tan›mlar›n›n oluflturulmas›;
l Denetçilerin görev ve sorumluluklar›n›n tan›mlanmas›n› sa¤lar.
Firman›n çal›flanlardan beklentilerini belirler.
‹ç denetim faaliyetini personel planlamas›
yapmaya zorlar.
l ‹fl ihtiyaçlar›n› aç›kça ifade ederek yeni personel teminini kolaylaflt›r›r.
l Objektif terfi kriteri sa¤lar.
l Ücret ayarlamalar› için kullan›l›r.
Görev tan›mlar› dikkatlice yap›lmal›, en iyi iç
denetçi seviyesi göz önüne al›nmal›d›r. Genifl
organizasyonlarda iç denetim departman› hiyerarflik yap›s› afla¤›daki gibi oluflturulabilir.
l Denetim Yöneticisi (Cheif Audit Exceutive)
l Denetim Müdürü (Audit Manager)
l
l
l
Personel Seçimi ve E¤itimi
‹ç denetim üst düzey bir fonksiyondur ve üstün
nitelikli personele ihtiyaç duyar. Denetim Yöneticisinin (CAE) vizyonu ve yönetimin yüksek
beklentileri, ifli yapmak için gereken do¤ru personel olmaks›z›n sadece arzudan ibaret kal›r.
Üst yönetim, iç denetim ihtiyac›n›n artan önemine paralel denetim yöneticisinden (CAE) daha derin denetim yaklafl›mlar› bekler. ‹ç denetimin statik bir fonksiyon olmamas› ve sürekli geliflim göstermesine ba¤l› olarak yönetim modern
iç denetim hizmetleri için taleplerini artt›rd›¤›nda her denetçi yeteneklerinin kapasitesini geniflletebilmelidir.
Denetim için do¤ru personelin seçimi, oryantasyonu, geliflimi ve de¤erlendirilmesi denetim yöneticisinin (CAE) sorumlulu¤undad›r. ‹ç denetim
yöneticisi personel seçiminde profesyonel yetenek ile karakter kalitesini göz önüne almal›d›r. ‹ç
denetçinin muhakeme gücü, anlama gücü ve
analitik düflünme yetisi yüksek olmal›d›r.
‹ç denetçiler iç denetimin uygulanmas› için hayati önem tafl›yan bilgi, beceri ve gerekli di¤er
unsurlara sahip olmal›d›rlar. E¤itim profesyonel
yetene¤in gelifliminin ilk basama¤›d›r. Bunu deneyim takip eder.
‹ç denetçiler teknik yeterliliklerini devaml› e¤itim yoluyla korumal›d›rlar ve mesleki yeterliliklerini korumak ve e¤itimlerini devam ettirmekten sorumludurlar. ‹ç Denetim departman yöneticisi, iç denetçilerin iç denetim standartlar›,
prosedürler ve tekniklerle ilgili en son geliflme
ve de¤ifliklikler konusunda bilgilenmelerini sa¤lamal›d›rlar.
Personel e¤itiminin amaçlar›;
l Daha iyi ifl yapmak için iç denetime destek
sa¤lamak.
l ‹ç denetim departman›na çok yönlülük eklemek.
l Denetim becerisinin geliflimine yard›mc› olmak.
l Terfi için denetçiyi haz›rlamak.
l Denetçinin ifl memnuniyetini gelifltirmek, firmaya sadakatini ve verimlili¤ini artt›rmakt›r.
Sürekli e¤itim meslekle ilgili kurulufllara üyelikler, konferanslara, seminerlere, kurslara, araflt›rma ve projelere kat›lmakla sa¤lanabilir.
Yeterli bir iç denetçi oryantasyon program›, ye-
Denetçi-Denetlenen
iliflkilerinin gelifltirilmesi
için; iç denetçiler
görevlerini yerine
getirirken geleneksel
denetim anlay›fl› yerine
dan›flman nitelikli
kat›l›mc› yaklafl›m› tercih
etmelidirler.
ni çal›flanlar›n öncelikle verimli hale getirilmesini sa¤lar. Oryantasyon program› iyi tasarlanmal› ve uygulama sonuçlar› de¤erlendirilmelidir. Tasarlanan programlar çal›flanlar›n flirket
politikas› ile yak›nlaflmas›na destek olmal›d›r.
‹letiflim Kanallar›n›n Etkin Yönetimi
‹ç denetçiler uygulamalar›nda teknik yetenek ve
firman›n her seviyesindeki çal›flanlar ile iliflki kurabilmek gibi yüksek standartlara sahip olmal›d›r.
Yönetim uyumlu iç denetçiler esas olarak çal›flanlar ile temas halindedir. ‹htiyaç duyulan bilgilerin elde edilmesi ve denetim bulgular›na iliflkin
düzeltici faaliyetlerin uygulanmas›ndan emin olmak için iç denetçiler denetlenenler ile iyi iliflkiler gelifltirmek ve sürdürmek zorundad›rlar.
Bir yanda denetlenen iflbirli¤inden yararlanmak, di¤er yanda yolsuzluk olas›l›¤›n› uyarmak
ve bulgulara ulafl›ld›¤›nda konuyu araflt›rmak,
bir yanda uygulama yöneticilerinin güvenini kazanmak, di¤er yanda üst yönetime eksiklik bulgular›n› raporlamak ve bir yanda bordro yükünün üst yönetimin üzerinde olmas› (CEO), di¤er
yanda üst yönetimin sorumlulu¤undaki faaliyetlerin yönetim kuruluna raporlanmas› gibi hususlar denetçi ve denetlenen aras›ndaki iliflkiyi karmafl›k bir hale getirmektedir. Bu durumda iç denetçinin çeflitli dengeleri bir arada gözeten iletiflim yetene¤ine ihtiyaç duyulur.
Denetçi-Denetlenen iliflkilerinin gelifltirilmesi
için; iç denetçiler görevlerini yerine getirirken
geleneksel denetim anlay›fl› yerine dan›flman nitelikli kat›l›mc› yaklafl›m› tercih etmelidirler.
Ali R›za Eflkazan, DOSA Denetim & Organizasyon &
Sistem Analizi Kurucu Orta¤›d›r.
Denetim Süpervizörü (Audit Supervisor)
Denetim Uzman› (Senior Auditor)
l K›demli Uzman Yard›mc›s› (Semi-Senior Auditor)
l Uzman Yard›mc›s› (Junior Auditor)
l
34
35
PARMAK ‹Z‹
PARMAK ‹Z‹
Veri Güvenli¤i ve
Kontrolü 2
Serdar Güzel
Veritaban›ndaki kay›tlar›n düzeninin bozuldu¤unun saptanmas› için baz› yöntemler belirlenmelidir. ‹fllem kontrolleri afla¤›dakileri sa¤layan
kontrolleri içermelidir.
• Önceki döngü sonu dengesi, mevcut döngü
bafllang›ç dengesine eflit olmal›.
• Döngü bafllang›ç dengesi ve döngü periyodu
toplam› sürecindeki ifllemler mevcut döngü sonu
dengesine eflit olmal›.
• ‹lk aflamadan sonraki ana dosya dengesi aç›l›fl
dengesi ile ilk ifl ad›m›ndaki ifllemlere eflit olmal›.
Bu kontroller bazen run-to-run kontroller, döngü
kontrolleri veya step-to-step olarak adland›r›l›r.
Terimler standartlaflmam›fl oldu¤undan, bu bölümde bu tür bütün kontrollere dengeleyeci
kontroller denecektir.
Bu dengeleyici kontrolleri hayata geçirmenin en
iyi yöntemi, denetimin bilgisayar program› taraf›ndan yap›lmas›n› sa¤lamakt›r. Kontrol toplamlar›, ayr› bir kay›t tipine veri dosyalar›nda eklenebilir ve program ifllemlerin ve ana dosyalar›n
düzgün biçimde ifllenip ifllenmedi¤ini belirleyecek ifllemler yapabilir. Bilgisayar istenildi¤i flekil-
de programland›¤›nda, kullan›c› yöntemleri
kontrol toplamlar› dengede olmad›¤› zaman at›lacak ad›mlar› tan›mlamal›d›r. (Ör, operatör ifle
devam etmekten veya veriyi de¤ifltirmekten al›konulmal›d›r.) Bu yöntem operatörlerin etkin
e¤itimiyle veya bilgisayar› denge-düzen-d›fl› bir
durum olufltu¤unda ifllemi iptal etmeye programlamakla gerçeklefltirilebilir.
Bunlar›n d›fl›nda ana dosyalar› kontrol toplamlar›yla eflitleyecek bir yöntem de olmal›d›r. Kullan›c› departman› bu dengeleme yöntemiyle ilgilenmelidir. (ör- bir alacaklar hesab› dengesi ana
dosyas› oluflturulabilir. Düzenli aral›klarla dosya
toparlan›p miktar ve hesap say›s› ana kütükle ve
di¤er uygun kontrol toplamlar›yla dengelenebilir.) Dengelemeler yeteri s›kl›kta yap›lmal›d›r ki
saptanan sorunlar kolayca düzeltilebilsin.
Çoklu mant›ksal görüfllerin, bütün bir fiziksel
dosya için tek bir kontrol ile en eksiksiz kontrolü
sa¤lamak için her eriflim yoluna ayr› bir kontrol
kayd› aras›nda bir seçim gerektiren tek bir fiziksel dosyaya yerlefltirildi¤i bir DBMS’de dosya
dengeleme tekniklerini göz önüne almak çok
Reddedilen ‹fllem Kontrolleri
Birçok sistem ana dosyalar› güncellemeden önce
hatal› mesajlar› reddedecek biçimde tasarlanm›flt›r. Kontroller reddedilen ifllemlerin kaybolmad›¤›n› ve sonradan uygun düzenleme/geçerlilik ifl
aflamalar›yla iflleme sokulmas›n› sa¤lamal›d›r.
Reddedilen ifllemlerin kontrole tabi olabilmesinin iki yolu vard›r. Geliflmifl bir sistemde kontrol
temelde bilgisayar uygulamas›n›n içinde olabilir.
Bilgisayar sistemi reddedilen ifllemlerin bir bilgisayar kaynakl› (suspense) ask› dosyas›n› bulundurur ve ifllemler yeniden girilene dek düzenli
bildirimlerde bulunur. Daha az geliflmifl bir sistemde kullan›c› reddedilen ifllemler üzerindeki
kontrolleri izler ve bunlar›n tekrar iflleme girmelerini sa¤lar. Kullan›c› yanl›fl girdiyi düzeltecek
yeterince bilgiyi içerecek reddedilen ifllemlerin
bir yaz›c› ç›kt›s›n› elinde bulundurmal›d›r. Kullan›c›, reddedilen ifllem listelerinin h›zl›ca incelenmesini ve hatalar›n zaman›nda düzeltimini sa¤layacak bir özel yönteme sahip olmal›d›r. Bu
kontroller ifl görmüyorsa, reddedilen ifllemlerin
uygun biçimde düzeltilmedi¤i, ve tekrardan reddedilece¤i sonucuna varabiliriz. Daha da önemlisi reddedilen ifllemler sistem taraf›ndan tümden
göz ard› edilerek iflleme sokulmayabilir. Bilgisayar kaynakl› bir ask› dosyas› kullan›m› reddedilen ifllemleri izleyebilmek ad›na önem arz etmektedir. Bütün reddedilen ifllemler ayr› bir dosyaya yaz›l›r ve bu dosya bir ana dosya gibi muamele görür, reddedilen ifllemlerle ilgili rapor
düzenli aral›klarla haz›rlan›r. Raporlar kullan›c›ya düzeltmeleri yapmada ve ifllemleri sistem yoluyla tekrar girmede yard›mc› olacak flekilde tasarlanmal›d›r. Tekrar girilen ifllemler bütün veri
geçerlilik denetimi prosedürlerini de içeren bü-
Dengeleyici kontrolleri
hayata geçirmenin en iyi
yöntemi, denetimin
bilgisayar program›
taraf›ndan yap›lmas›n›
sa¤lamakt›r.
tün sistem boyunca ifllenmelidir. Kurulu prosedürlerden sapmalar tekrar girilen ifllemlerde kabul edilmemelidir çünkü bu ifllemler yine yanl›fl
girilebilir. Bu ifllem düzeltilen ifllemin reddedilen
dosyadan ç›kar›lmas›n› sa¤layacak flekilde tasarlanmal›d›r.
Ç›kt› Kontrolleri
Ç›kt›lar›n da¤›t›mlar›, bunlara sadece yetkili personelin ulaflaca¤› flekilde tasarlanmal›d›r. ‹flleme
giren verilerin bir k›sm› gizli nitelikte olabilir. Bu
tür ç›kt›lar›n düzgün da¤›t›ld›¤›ndan emin olmak
için, IS fonksiyon kontrol grubunun, (veya da¤›t›mdan kim sorumluysa, departman taraf›ndan
ifllenecek bütün verilerin zaman çizelgesini, sonuç raporlar› veya dosyalar›n›, haz›rlanacak
kopya say›s›n› ve bunlar›n da¤›t›m›n› düzenlemesi gerekir. ‹fllemler tamamland›ktan sonra ç›kt› raporlar›, (girdi ifllemlerinin listeleri) ve girdi
dokümanlar› ifllemi bafllatana geri döndürülmelidir. Bu kontroller kullan›c›ya girdinin do¤ru oldu¤u yönünde güvence vermek üzere tasarlan›rlar. Kullan›c› girdi ve ç›kt› toplamlar›n› bütün sunulan veriler için uyumlaflt›rmal›d›r. Toplu bir
kontrol prosedürü varsa, girdi kümeleri ç›kt› raporu üzerine bas›l› toplamlarla denklefltirmelidir.
Ç›kt› makul olup olmad›¤› aç›s›ndan, kullan›c›
departman›n yönetimi taraf›ndan da incelenmelidir. Ç›kt› ehil biri taraf›ndan incelenmezse ifllem hatalar› tespit edilemeyebilir.
K›ymetli Evraklar
Bilgisayar ç›kt›lar› k›ymetli evraklarsa özel kontroller gereklidir .(Ör. K›ymetli evraklar bafllang›ç
numaralar› yazd›rma program›na bir parametre
sa¤layacak flekilde kontrol edilmedir, geçifllerde
güvenli¤i sa¤lanmal› ve dikkatlice gözden geçirilmelidir.) Çekler IS fonksiyonuyla imzalanmamal›d›r; kullan›c› bölümünde gerekli yetkideki biri taraf›ndan, imzalanmal› veya onaylanmal›d›rlar.
On-line Kontroller
Bu bölüm toplu ve online sistemler aras›nda farklar›, online ifllemlere özgü baz› sorunlar ve online ifllemlerin gerektirdi¤i özel yöntemleri anlat›r.
Online sistemler üç gruba ayr›labilir:
• Online sorgulama, toplu veri girifliyle, toplu
dosya güncellemesi.
• Online sorgulama online veri girifliyle, veri sorgulama, veri geçerlilik sorgulamas›, veri toplamas›; toplu veri güncellemesi.
• Online sorgulama online veri girifliyle; online
dosya güncellemesi
önemlidir. Her iki seçimde de, toplamlar› kontrol
kay›tlar›yla dengelemek için mant›k dosyas›n›
veya fiziksel dosyay› periodik olarak elden geçirecek ayr› bir rutin gerekecektir.
36
37
PARMAK ‹Z‹
Afla¤›daki kontroller, her üç tip online ifllemi de
ilgilendirir.
• Dosyalara eriflim ve ifllemlere girifl flifre kullan›m›yla kontrol edilmelidir. Girifl terminalinde
flifreler gösterilmemelidir ve yetkisiz personelin
bunlar› ö¤renememesi için, düzenli aral›klarla
de¤ifltirilmelidir
• Sisteme girmek için yap›lan baflar›s›z giriflimler
izlenmeli böylece güvenlik önlemleri "denemeyan›lma" yöntemiyle afl›lamamal›d›r.
Afla¤›daki kontroller de yukar›da sözü geçen son
iki online sistemi ilgilendirir.
• Terminal operatörleri sadece verileri girip ö¤renme hakk›na sahip olmal›d›rlar. Programlar› ve
sistem yaz›l›mlar›n› de¤ifltirebilmelerinin önüne
geçilmelidir. Ayn› flekilde, programc›lar üretim
dosyalar›na ulaflamamal›d›r veya izinsiz üretim
programlar›n›n üzerinde de¤ifliklik yapamamal›d›rlar.
• Programlar kullan›c›n›n kimlik bilgilerini denetlemelidir ve girilen bir ifllemin o yerdeki terminalden ve/ya o kullan›c› ad›yla girifle yetkisi
var m›d›r s›namal›d›r.
• Programlar ifllem say›lar›n›n ve kümülatif de¤erlerinin kontrol toplamlar›n› saklamal›d›rlar
her gün her terminalden girilen her ifllemin izini
sürerek bu gerçeklefltirilebilir.
Afla¤›da her grup online sistemin ayr›nt›l› tan›mlar› bulunmaktad›r:
• Online sorgulama; toplu veri girifliyle; toplu
dosya güncellemesi;
Bu yaklafl›mda bir terminaldeki
operatör bilgisayara eriflebilir ve
en son güncellenmesinden sonraki bir hesab›n durumunu ö¤renebilir, ama ana dosyadaki kay›tlar› de¤ifltiremez. Kay›tlar›n
de¤ifltirilmesi için, toplu veriler
ifllemlerin yap›ld›¤› bilgisayar
tesisat›na gider.(ör. Bir kredi yetkilendirme sisteminde, kredi
müdürü, baz› hesaplara eriflebilir ve hesaplar›n mevcut durumunu bulabilir, ama bilgisayar
dosyalar› toplu ifllem yoluyla
güncellenir. Bu durumda uluslararas› muhasebe kontrolleri her
türlü ifllemlerin toplu ifllenmeleri üzerindeki kontrolleri vurgulamal›d›r.
Benzeri bir durum da uzak ifl girifli kullan›m›nda ortaya ç›kar.
Burada uzak birimlerden gelen
veriler bir terminal yoluyla y›¤›nlar halinde girilir. Örne¤in, operatör bir teslimatla ilgili toplu
kontrol bilgisiyle toplu veri girifli yapar. Program
toplu kontrol bilgisini uyumlulaflt›r›r ve y›¤›n›n
dengeli olup olmad›¤›n› belirten bir mesaj atar.
Sonradan, dosya dengelenen y›¤›ndan veriler
kullan›larak güncellenir.
Online Sorgulama, Online Veri
Girifliyle, Veri Geçerlilik Denetlemesi,
Veri Toplanmas› ve Toplu Dosya
Güncellenmesi
Online veri girifli ve toplanmas›nda veriler bir
terminal vas›tas›yla girilir veya bir kasede ya da
disk dosyas›na aktar›l›r. Sonra, veya girifl zaman›,
ifllemler düzenlenir ve ana kay›tlar›n bir sonraki
toplu dosya güncellemesi için bir kay›t veya not
dosyas›nda saklan›r. Terminaldeki kullan›c› bilgisayardaki ana dosyalar› do¤rudan de¤ifltirme
yetkisine sahip de¤ildir. Bu sistemler toplu sistemlerdekine benzer biçimde kontrol edilmelidirler. Toplu kontroller kullan›c› bölümü taraf›ndan biriktirilip, bilgisayar program› taraf›ndan
gelifltirilen ifllem toplamlar›yla uyumlaflt›r›l›r.
Online Sorgulama, Online Veri Girifli,
Online Dosya Güncellemesi
Kontrolde en karmafl›k sistem, bir on-line dosya
güncelleme sistemidir ki burada operatör terminali bilgisayar dosyalar›n› birim zamanda tek bir
ifllem girifliyle günceller. Bu tür bir sistemde, toplu kontroller olmayabilir. Bu tip sistemler, bilgisayar dosyalar›n› hatal› ve/veya yetkisiz ifllemlerden koruyacak yo¤un programlama ifllemleri
kontrolleri gerektirir. Etkin olabilmek için bu
kontroller kullan›c› bölümündeki bilgisayar yaz›c›s› ç›kt›s›yla ciddi bir incelemesiyle birlikte gerçeklefltirilmelidir.
Online Kontrolde Önemli Noktalar
gösterilmelidir. Bu kritik iletiflim kontrol ifllevleri flunlar› kapsayacak biçimde düzenlenmelidir:
• Güvenlik kimlik bilgisi kodu ve mesaj bafll›¤›
geçerlilik denetimi.
• Mesaj kay›tlar›
• Mesaj s›ras› düzeni üzerindeki kontroller.
• Düzgün uygulama program/modüllerinin
devreye sokulmas›.
• Veri yönetimi eriflim arayüzü.
Bu hedeflere ulaflabilmek için, veri güvenli¤i
yaz›l›m yordamlar› gelifltirilip ifllem ve ana dosya verilerinin yanl›fll›kla ya da kas›tl› biçimde
yetkisiz kiflilerce görülmesi veya yetkisizce de¤ifltirilmesi ve/ya yok edilmesi önlenmelidir.
Veri güvenli¤i yaz›l›m›, her veri grubunun, içeri¤indeki bütün de¤ifliklikleri kontrol eden yaln›zca bir tan›ml› sahibi veya grubu olmas›n›
sa¤lamal›, ve bireysel veri gruplar›n›n içeriklerini kimlerin inceleyebilecek ve görebilece¤ini
saptayan kullan›c› tan›mlar›n› içeren bir yetki
tablosunu bar›nd›rmal›d›r.
Her üç tip kontrol grubu için de, kurumsal bilgilerin gizlili¤in tehlikeye girmemesi aç›s›ndan sorgulama süreci yeterince kontrol edilmelidir. Sözü
geçen son iki tip online sisteme özgü baz› sorunlar flunlard›r:
• Kullan›c› terminalinden bilgisayara ifllemlerin
iletimlerinde, veriler kaybolabilir veya de¤ifltirilebilir.
• Çal›flanlar terminallerden ifllem giriflleri yapabilirler, böylelikle hatal› ve/ya yetkisiz ifllem faaliyetlerinin oluflmas› riskini art›rabilirler.
• Online güncelleme kullan›l›rken, kullan›c› ifllemlerin, bir ifllem hatas› ol‹fiLEMC‹ A
‹fiLEMC‹ B
‹fiLEMC‹ C
du¤unda yeniden iflleme sokulabilmesini sa¤layacak ‹fllemler
Borçlar Hesab›
Alacaklar Hesab›
Siparifl ‹fllemleri
Faturaland›rma
özel yordamlar gereklidir.
Yeterli düzeyde donan›m
Veriler
Müflteri Verisi
Müflteri Verisi
Müflteri Verisi
ve/ya yaz›l›m veri iletimi deÜrün Verisi
Ürün Verisi
Ürün Verisi
Konum Verisi
Konum Verisi
Konum Verisi
netimi yordamlar› uygulamaya konulmad›¤› takdirde,
Müflteri De¤ifltir
Sipariflleri De¤ifltir
Müflterileri De¤ifltir
iletiflim hatlar›ndaki veri ‹fllevler
Müflteri Sorgula
Ürün Tan›m›n› De¤ifltir
Müflterileri Sorgula
gönderimi verilerin bozulÜrün De¤ifltir
Müflterileri Sorgula
Sipariflleri De¤ifltir
mas› veya saptanmadan kayÜrünü Düzelt
Fiyatlar
bedilmesi gibi riskler içerir.
Ayr›ca bir toplu ifllem sisteminde, dosyalar›n hangi s›rayla aç›laca¤›n› ve
Kullan›c› Tan›m› Geçerlilik Denetimi
hangi ifllerin dosya paylaflabilme yetkisi oldu¤unu
Terminallerden veri girifllerini onaylamak için
belirleyen önceden tan›ml› ifl kontrol komutlar› olçokça kullan›lan bir yordam her veri girifli iflleminmas› yayg›n bir durumdur. Bir online ifllem sistede kaynak terminal ve/ya özel kullan›c›n›n o tür
minde, dosyalar›n kullan›ld›¤› ve ifllem görevleribir ifllemi girmeye yetkili olup olmad›¤›n› do¤rulanin uyguland›¤› s›ralama düzeni, uzak terminalyan bir güvenlik program› kullanmakt›r.
lerden gelen ifllemlerin tahmin edilemeyen var›fl
Kullan›c› girifli sürecinde ilk ad›mda kullan›c›, tas›ralamalar›na bir yan›t biçimde gerçekleflir. Bu
n›mlama kodunu girmelidir. Bu tan›mlama kodu,
yüzden online sistemlerde dosya eriflimleri üzeterminale atanan bir dizi geçerli kullan›c› kodlarinde art›r›lm›fl kontroller gereklidir.
r›yla karfl›laflt›r›l›r. Ayn› zamanda sistem kullan›lan
Online sisteme do¤rudan girifl için daha da çok
terminali, terminal konumu tan›mlamada kullan›kiflinin veri girebiliyor ve onaylayabiliyor olmac› tipi bulundurarak veya terminalin merkezi ifls› baz› verilerin yanl›fl girilebilmesi riskini bülemciye mesaj gönderdi¤i her zaman kendi özgün
yük ölçüde art›r›r. Bu da art›r›lm›fl veri girifl
tan›mlay›c› kodunu oluflturarak tan›mlayabilir.
kontrollerine öncelik verme zorunlulu¤unu geKullan›c› tan›mlay›c› kodlar› yetkisiz kiflilerce
tirir. Programlara yeterli kontrol bulunan veri gikolayca oluflturulamayacak düzeyde özgün olrifl yordamlar›n›n dahil edilmesi için özel çaba
mal›d›r. Kullan›c›n›n tan›mlanmas›n›n geçerlilik
PARMAK ‹Z‹
38
39
PARMAK ‹Z‹
PARMAK ‹Z‹
Güvenilir ve sa¤lam bir
online ifllem sistemi
gelifltirmek için yararl› bir
teknik de belirli
terminallerin ve/ya
kullan›c›lar›n, sadece
seçili ifllemleri veya ifllem
kümeleriyle s›n›rlamakt›r.
Uzak Veri Girifli ‹fllemleri ‹çin
Yetkilendirme
Toplu ifllemlerde, kullan›c› bölümleri kaynak veri
yetkilendirmesi, kaynak doküman›n girifl yapan
kayna¤›n ilk harflerinin girilmesini zorunlu k›lacak bir flekilde haz›rlanmas›yla sa¤lanabilir. Kaynak veri onay› bütün kaynak dokuman› y›¤›n› iletiminden veya ifllenmesinden önce süpervizör taraf›ndan verilebilir.
Uzak konumlardan gelen kaynak veri online ifllem sistemlerinde, bilgisayar kaynak veri yetkilendirmesini ifllemlerin ayn› ekranlarda onay›n› sa¤layacak biçimde programlanmal›d›r. Genelde kullan›c›lar tan›mlama flifrelerinde bulunan kategori
kodlar›yla tan›mlan›rlar. Kullan›c›n›n çeflitli uygulama programlar›na ve /veya dosyalar›na eriflim
yetene¤i, ya giriflte kullan›lan tan›mlamalara ya da
ikinci düzey yetkilendirme gereklerine ba¤l›d›r.
(ör.bireysel programlar ve/ya dosyalara eriflilmesinden önce, ayr› ayr› flifreler girilir) Bu tan›m kodu,her kullan›c›y› listeleyen ve her kullan›c›n›n
kullanmaya yetkili oldu¤u program› veya ifllemi
tan›mlayan dahili olarak muhafaza edilen bir yetki tablosuyla do¤rulan›r. Bir veri dosyas›na eriflimi
k›s›tlamaya yarayan özel bir flifrenin kullan›m›
merkezi kontrol sistemi aç›s›ndan hayli etkilidir.
Bu düzen çerçevesinde, sistem güvenlik idarecisi,
her kullan›c›n›n her biri flifreyle korunan veri dosyas›yla ilgili kullan›c›n›n oluflturma, eriflme, güncelleme, veya silme yetki s›n›rlar›n› kodlu biçimde niteleyen yetki tablolar›ndaki flifreleri kontrol
eder. Birçok sistemde bütün dosyalar›n veya veri
dosyalar›n›n flifre korumas› yeterlidir. Hassas verilerin ayr›flmas›n›n mümkün olmad›¤› öbür durumlardaysa, kullan›c› yetki tablolar›na ba¤l› flifreler
afla¤›dakilerin üzerinde kontrol sa¤lamak için geniflletilebilir.
• Veri dosyalar›ndaki bireysel kay›tlar
• Bir veri dosyas› içindeki bireysel kay›t veya kay›t türü gruplar›
• Seçili kay›t türleri içindeki bireysel veri unsurlar›
Online Veri Geçerlilik Denetimi
‹fllem geçerlilik denetimi her ifllem tipinin geçerlili¤inde kullan›lan rutinler ve parametreler için ayr› ayr› kay›tlar, ve geçerlilik denetimi için gereken
fazladan ifllemler yüzünden yan›t süresinde hafif
bir art›fl gerektirir. Ancak, online veri dosyalar›n›n
bütünlü¤ünün yeterli düzeyde korundu¤u güvenilir bir sistemin tasar›m› yo¤un bir veri geçerlilik
denetimine ihtiyaç duyar. Saptanamam›fl hatalar›
bulunan ifllemlerin iletilmesi yüzünden sistem
dosyalar›nda birikebilecek hatalar›n düzeltilmesi
için gereken zamanla karfl›laflt›r›ld›¤›nda yan›t zaman›ndaki art›fl çok küçüktür.
Bir online sistemce iflleme sokulacak bir ifllem
afla¤›daki geçerlilik denetimi testlerinden geçirilmelidir:
• Her bir operatör ve/ya süpervizör için uygun
yetki ve/ya onay kodlar›n›n denetimi
• Bütün tan›m anahtarlar›ndaki hanelerin denetimi
• Dengelemeye tabi tutulmayan bir rakamsal veri
dizisinin sonundaki hanelerin denetimi
• Girdi veri de¤erlerinin istatistiksel analizlerine
dayal› kapsam ve/ya limit testleri
• Rakamsal veya sadece-alfa veri alan› testleri
• Veri de¤erlerinin ya öbür girdi veri alanlar›yla ya da ana dosya içerikleriyle tutarl› olup olmad›¤›n› belirleyen kapsaml› iliflki
testleri
Önemli bir veri geçerlilik
denetimi türü de ana
dosya verisi online oldu¤u için hesap numaralar›n› veya öteki tan›mlama kodlar›n› as›l ana
dosya kayd›yla karfl›laflt›rmakt›r.
Ayr›ca ifllem alan› içeriklerinin de de¤erlerini
kontrol etmek mümkündür. Böylece haftal›k çal›ma saatlerinin 40 saat +/25%olarak belirlendi¤i bir
durumda, haftal›k çal›fl›lan
saat say›s› olarak 60 saatin girilmesi reddedilebilir, çünkü bu de¤er kabul edilebilir de¤er s›n›r›n› aflmaktad›r. ‹fllem reddedilebilir ve kaynak terminale; ifllemin haftal›k çal›flma süresi olarak girilen 60 saatin geçerli bir veri de¤eri olmad›¤› için reddedildi¤i mesaj› gönderilebilir.
Reddedilen ‹fllemler ‹çin Ask›
Kay›tlar›n›n Düzenlenmesi
Toplu sistemlerdeki reddedilen ifllemler üzerindeki kontrolü sürdürebilmek için tasarlanan sistem
özelli¤indeki gibi, hatal› ifllemler de bir memo veya ask› hesab›na kaydedilebilir. Hata kayd› hata
türünü, tarihini, saatini, ifllem türünü, terminal ta-
n›m›n› ve ifllemin içeri¤ini bildirecek bir kod bulundurmal›d›r. Bu memo veya ask› kay›d› yetkili
terminalden girilen bir düzeltme ifllemiyle ifllem
düzeltilene dek ayr›ca korunmal›d›r. Bir hata mesaj›n›n kaynak terminale saptanan hata türünün
ve bildirimi ve düzeltme istemiyle geri gönderilmesi çok büyük önem tafl›r. Düzenli aral›klarla,
düzeltme bekleyen bir eski hatalar listesi, ç›kt›
olarak elde bulundurulmal› ve her veri girifl alan›ndan sorumlu süpervizöre gönderilmelidir. Bu
yordam düzeltilmemifl hatalar› asgari düzeyde tutmaya yarar. Veri girifl operatörlerinin etkin e¤itimiyle ve belirtilen s›k› kurallara ba¤l› kal›narak,
online sistemlerde net hata oran› toplu ifllemdekilerden düflük tutulabilir, ancak ifllem parçalar›
do¤rulanmadan önce iki veya üç defa
girilmek zorunda kal›nabilir.
‹fllem Kayd› Eriflimi
Terminal operatörleri, o
terminalden daha önce
girilen bireysel ifllemlerin kopyalar›na her
mesaj için ifllem türü
ve s›ralama numaras› bildirir bir kütük
kayd› tutarak eriflebilir. ‹fllemler sistem kütü¤üne girildikleri haliyle numaraland›r›l›p tarihlendirilirse, terminal operatörü bireysel ifllemin tarih,
numara ve ifllem türüne baflvurabilir. Bu durumda, sistem, mesaj kütük dosyas›n› düzenlenifl
s›ras›na göre araflt›rarak, terminal operatörünün diledi¤i
kayd› konumland›r›p gösterebilir.
Parça-Parça Kontroller
Bir online sistemin içindeki programl› kontrollerin, bir gün veya bir ifllem vardiyas› boyunca her
terminalden al›nan bütün ifllemlerin kontrol toplamlar›n› içeren bir parça-bazl› kontrol toplam›
sa¤lamas› çok önemlidir.
Toplamlar›n parça-parça tutulmas› bir uzak veri
girifli ve güncelleme online ifllem ortam›ndaki denetim izi sa¤laman›n bir yoludur. Bireysel ifllem
türleri için ayr› ayr› toplamlar tutulmal›d›r. Belirli
denetiminde ilave bilgi gerekiyorsa, soru cevap
tekni¤i, bilgisayarlar›n sadece kullan›c›lar›n bildi¤i bir dizi soru yöneltmesini sa¤layacak biçimde güvenlik kod ve flifreleriyle birlikte kullan›labilir. Cevaplar bilgisayara kullan›c› taraf›ndan
güvenlik profili oluflturulma aflamas›nda kay›t
edilmelidir. Terminaller, kullan›c› tan›m kodlar›n›n girifllerini gerekli biçimde gizleyecek olanaklarla donat›lmal›d›r. Bu kodlar sisteme girmeye
çal›flabilecek olanlar›n denetimi fark etmemeleri
için periyodik olmayan aral›klarla de¤ifltirilmelidir. Belirli say›daki deneme tekrar›ndan sonra,
üst üste girilen geçersiz kullan›c› tan›mlar›, kullan›c› girifli kütüklerinde kaydedilmelidir ve sebebin belirlenmesi için araflt›r›lmal›d›r. Genelde girifl denemesi çabalar›n›n kaydedilmesi sisteme
girmeye niyeti olanlar aç›s›ndan cayd›r›c› olmaktad›r.
Güvenilir ve sa¤lam bir online ifllem sistemi gelifltirmek için yararl› bir teknik de belirli terminallerin ve/ya kullan›c›lar›n, sadece seçili ifllemleri
veya ifllem kümeleriyle s›n›rlamakt›r. Bu görev
da¤›l›m›, manuel sistemdeki görev da¤›l›m›yla
benzerlik gösterir. Böylelikle, baz› kullan›c›lar,
veya terminallerin giriflleri sorgulamalarla, ötekilerininki ise sat›fl verileri veya kredi verileriyle s›n›rlanabilir. Veri güvenlik program›n›n;
• Kullan›c› tan›mlar›n›n geçerli oldu¤unu
• Kullan›c›n›n ifllemleri girmeye yetkili oldu¤unu
• Mevcut tan›ml› kullan›c›n›n mesaj bafll›¤›nda
tan›ml› belirli ifllem tipini girmeye yetkili olup olmad›¤›n›denetlemesi gerekir.
‹deal olarak sistem merkezi ifllemciden ayr›labilen terminaller kullanmal›d›r veya terminallerin
yetkisiz kiflilerin onlara tekrar eriflebilmesini önleyebilmek için fiziksel kilitleri olmas› gerekir.
40
41
PARMAK ‹Z‹
PARMAK ‹Z‹
Ana Dosya Kontrolleri
bir zaman›n veya bir günün sonunda, parça-parça
toplamlar ana dosya kontrollerinin bir tamamlay›c›s› olarak veya ayr› bir kontrol dosyas› olarak
kaydedilmelidir.
Sistem içindeki ifllemlerin numara ve de¤erlerini
özetleyen bireysel ifllem türü kontrollerinin kaydedilmesi, bunun yan›nda bütün ifllemlerin kütü¤e
kayd› bütüncül bir denetim izi sa¤laman›n en iyi
yoludur. Bu kontrol nitelikleri gereklidir çünkü;
baz› ifllem giriflleri, online ortamda do¤rudan veri
giriflinden belli bir süre sonraya kadar bas›l› kopya kaynakl› belgeler taraf›ndan desteklenmez. Bu
tür bir sisteme örnek olarak, siparifllerin telefonla
al›nd›¤› ve bir terminale do¤rudan girildi¤i ve sipariflin kabul edildi¤ini bildiren bir sat›fl teyidinin
bilgisayar sistemince bas›l› biçimde ç›kar›lana kadar hiçbir ka¤›t kayd›n üretilmedi¤i bir online siparifl iflleme sistemi verilebilir. Online ifllem sistemlerinde, sistem tasar›m özellikleri her terminal
konumunun manuel olarak günlük girdi ifllemleri
kütüklerini türe göre haz›rlamas› gereklili¤ini içerse de, önceden belirli girdi toplamlar› ço¤u zaman
eriflilebilir de¤ildir.
Sistem tasar›m özellikleri her ifllem türü için bir ifllem kontrol kayd› içermelidir. Bu kontrol kayd› bir
oturumun veya günün sonunda, hem ifllem kütük
dosyas›na hem de ilave kontrol kayd› olarak ya
ana dosyaya ya da sistem kontrol dosyas›na eklen-
‹fllemler rasgele olarak ana
dosyalara uyguland›¤›nda,
sadece de¤ifltirilmesi veya
bildirilmesi gereken ana kay›tlara ulafl›labilir. Aktif olmayan kay›tlar iflleme girmedi¤inden, herhangi bir dengeleme yordam› faaliyet oluflumlar› aras›nda bu kay›tlar›n do¤ru kald›¤›n› varsaymal›d›r. Bu varsay›m›n do¤rulu¤u, bütün kay›tlar› düzenli
olarak dosyalara geçirerek,
toplam kay›t say›s›n› türe göre saklayarak, ve gerekirse, kontrol alan› tutarlar›n› saklayarak s›nan›r. Bu toplamlar sonradan sürekli ana dosya kontrol kay›tlar›nda tutulan benzer
toplamlarla karfl›laflt›r›l›r. Bu dosya dengeleme ifllemi hala konumland›rma ve düzeltme imkan›
varken, kay›tlara geçifl hatalar›n› saptamak için
yeteri s›kl›kta gerçeklefltirilmelidir.
Online Kontrol Kay›t Dengelemesi
Sistem, gün içi ifllemler için aktive edildi¤inde,
kontrol kayd› haf›zaya ça¤r›l›r ve gün içinde eriflilebilir olmal›d›r. Her ifllem girildi¤inde, hesaplar
yeni toplamlar oluflturmak için karfl›l›k gelen alanlara eklenir. Düzenli ana dosya bütünlü¤ü sa¤lamak için, ifllem kontrol kayd›na da uygulan›r.
‹fllem gününün sonunda, ana dosyan›n dengelenmesi, gün sonu kontrol kayd›n›n gün bafl› kontrol
kayd›yla karfl›laflt›r›larak, ikisini birbirinden ç›kararak ve fark›n ifllem dosyas› kontrol izcilerinde
sa¤lanan toplamlara eflit olup olmad›¤›n›n belirlenmesiyle yap›labilir. Bu tür bir dengeleme yordam›, güncellenmifl dosyan›n, bir önceki versiyonuyla dengede olmas›n› sa¤lamas› aç›s›ndan gereklidir. Alttoplamlar, küçük kay›t gruplar›n› kontrol etmek için kullan›l›yorsa, en üstteki toplamlarda düzenli olarak uyumlaflt›r›lmal›d›rlar. Genelde,
bir hata halinde geri dönüflü kolaylaflt›rmak için,
son düzgün uyumlaflt›r›lm›fl toplamla birlikte bir
günlük veya ifllem listesi bir kasette toplan›r. Bu
tür bir dengeleme yordam›nda aktif olmayan bir
hesap denge d›fl›ysa, bu durum hesap aktif olana
kadar veya yukar›da tan›ml› tavsiye edilen dosya
dengeleme uyumlaflt›rma süreci tamamlanana kadar, tespit edilemeyecektir.
Soru Dilleri ve Rapor Yaz›c›lar›
Soru dilleri ve rapor yaz›c›lar›, kullan›c›lar›n veritaban› üzerinde kendi sorgulamalar›n› gelifltirmelerini mümkün k›lar. Kullan›c›lar›n eriflim izinleri
olmayan verileri sorgulamalar›n› engelleyecek yeterli güvenli¤in olmas› konusunda dikkatli hareket
edilmelidir. Bu güvenlik ifllevsel düzeyden ziyade
veri düzeyinde oluflturulmal›d›r.
Veri ‹letimi Kontrolleri
Veri iletimi üzerindeki kontroller; kaynak, ifllem
s›ralama say›s›, mesaj bölümlerinin say›s›, ifllem
türü kodu, ifllem yetki kodunu tan›mlayan bir mesaj bafll›¤›yla güçlendirilmelidir. Mesaj bafll›¤›,
mesaj bütününün bafllang›c›n› belirten bir mesajbafll›k-sonuyla bitirilmelidir.
Bir online ifllem sisteminin en önemli özelliklerinden biri de iflleme alma s›ras›n›n rasgele olmas› oldu¤u için, her terminal ayr› bir girdi veri kayna¤› veya ak›fl› olarak de¤erlendirilebilir. Bu yüzden, her terminalde girilen ifllemlerin bir s›ra numaras› olmas›n›n zorunlu k›l›nmas› hayata geçirilmelidir. Her ifllem al›nd›¤›nda, s›ra numaras›
terminalin son s›ra numaras›n› içeren bir program sayac›yla test edilir. Bu hiçbir ifllemin kaybolmad›¤›n› teyit eder.
Mesaj bafll›¤›ndaki veri iletim kontrolleri geçerlilik denetimi, çevirmeli ba¤lant›l› al›c› program,
terminale iletimin tamamland›¤›na dair bir bildirim mesaj› göndermesiyle ya da seçimin hemen
ard›ndan bafllat›lmal›d›r. Mesaj bafll›¤› bilgisinin
bir ad›m sonraki geçerlilik denetimi ise, uygula-
Da¤›t›ml› sistem, veri
ve/ya ifllemlerin birden
fazla bilgisayarda birden
fazla konumda saklan›p
faaliyete sokuldu¤u bir
sistem olarak
tan›mlanabilir.
ma program› kendi özgün ifllem geçerlilik denetimini bitirdikten sonra yap›labilir. Daha çok
çoklu mesaj bölümlerinin varl›¤›nda kullan›lan
bu ilave mesaj bafll›¤› geçerlilik denetimi, her
bölümün kontrol alan› de¤erlerinin mesaj bafll›¤›ndaki kontrol toplam bilgisiyle denk olup olmad›¤›n› sorgular.
Mesaj bafll›¤› geçerlilik denetiminin tamamlanmas›ndan sonra, sistemin mesaj kütü¤üne bilgi kaydedilmesi gerekir. Bu bilgi mesaj›n kütü¤e girildi¤i günün zaman›n›, ve mesaj bafll›¤›n›n bir kopyas›n› içermelidir. Birçok durumda bütün bir ifllem
kayd›n› kaydetmek uygun bir seçimdir. Bu özelli¤in sa¤lanmas›, terminal operatörlerinin verileri
kurtarabilmesine, ve sistem çöktü¤ünde, aslen
hangi mesajlar›n al›n›p sistemce iflleme sokuldu¤unu belirlemeye yarar.
Rasgele s›ralama, kombinasyonlar, ve ifllemlerin
var›fl biçimleri sistem mesaj kütü¤ünün kapsaml›
incelenmesi olmadan sistemin iflleyiflinin izlenmesini zorlaflt›r›r. Bu tür bir inceleme olana¤› sa¤lanabilmesi için, iç denetimcinin kütü¤e dahil edilecek özel veri gerekliliklerini tan›mlamak için sistem gelifltirme sürecine kat›lmas› önerilir. Bu veriler afla¤›dakileri kapsayabilir:
• Al›nan mesaj›n tarih ve saati
• Mesaj›n kaynak ve/ya var›fl yeri
• Güvenlik kodlar› ve öteki tan›mlama verileri
• Mesaj s›ras›na girifl ve buradan ç›k›fl saati
• Mesaj›n türü ve güvelik ile düzenleme geçerlilik
denetimi sonuçlar›
• Kullan›lan programlar ve eriflilen dosyalar
• Sorunlu program taraf›ndan ortaya ç›k›fl saati
• Ç›kt› s›ras›ndan ayr›lma, teslim saati ve geri dönüfllü teyit zamanlar›
Veri Güvenli¤i ve Kontrolünde
Önemli Noktalar
Da¤›t›ml› ifllemlerin etkisi
Da¤›t›ml› sistemler özellikle istemci/sunucu temelli yap›lara do¤ru kay›fl h›zland›¤› ölçüde gitgide yayg›nlafl›yor. Bu sistemler toplu veya online
ifllemlerle ilgili olarak bahsi geçen ayn› tür kontrollere tabi olmal›d›r. Ancak bu sistemler, da¤›t›ml› sistemlerin tasar›m›yla do¤rudan ilgili olan
veri bütünlü¤ünün korunmas›yla ilgili bir dizi ek
kontrol grubu tart›flmalar›na da yol açm›flt›r.
Genel olarak bir da¤›t›ml› sistem, veri ve/ya ifllemlerin birden fazla bilgisayarda birden fazla
konumda saklan›p faaliyete sokuldu¤u bir sistem
olarak tan›mlanabilir.
Serdar Güzel, PWC, CISA
melidir. Belirli bir günde iflleme giren belli bir türdeki ifllemlerin hepsinin say›s› ve
kontrol alan› de¤erlerini gösteren bu ifllem kontrol kayd›n›n sa¤lanmas› sürekli bir denetleme izinin elde edilmesindeki en uygun yoldur.
42
43
PARMAK ‹Z‹
PARMAK ‹Z‹
Üvey Evlat: Proje Yönetimi
Soruyu acaba nas›l sorsam? Lütfen bana yard›mc› olun:
a. fiimdiye dek dahil oldu¤unuz projelerin kaç›
baflar›yla sonuçland›?
b. fiimdiye dek dahil oldu¤unuz projelerin kaç›
zaman›nda ve bütçesinde tamamland›?
E¤er a fl›kk› tercih edilirse, baflar›yla sonuçlanan
proje say›s›n›n baflar›s›zl›kla sonuçlananlara göre bariz bir üstünlü¤ü göze çarpacakt›r. 80/20
kural› burada geçerli olabilir mi? Yani projelerin
%80’i baflar›yla tamamlanm›flt›r diye.
Peki acaba ayn› yüz projeye b fl›kk› aç›s›ndan
bakarsak durumda bir de¤ifliklik olur mu? Yani
baflar› ile tamamland› diyece¤imiz o seksen
projenin hepsi zaman›nda tamamland› m›? Bütçesinden sapmadan?
‹fl biraz çetrefillefliyor. Bu soru sorulduysa mutlaka ifller göründü¤ü gibi de¤il galiba diye bir
kurt düfltü içinize de¤il mi? Bence de. Çünkü
e¤er zaman›nda ve bütçesinde tamamlanan
projeler diye bakt›¤›m›zda ayn› Pareto kural› bu
kez 20/80 halini alacakt›r. Yani projelerin ancak %20’si baflar› ile (yani zaman›nda ve bütçesi dahilinde) tamamland› denilebilecektir.
Kalan %80’e ne oluyor? Asl›nda onlar›n da büyük bir k›sm› tamamlan›yor. Ama önceden
planlanan zamanda ya da bütçesinde belli bir
sapma ile. Bu sapma orijinal zaman ya da bütçesinin büyüklü¤üne göre de¤iflebilir. Örne¤in
yirmi takvim ayl›k, 25 kiflilik
bir proje yirmi dört takvim
ay›nda tamamlanabilir. Ya
da on bin dolarl›k bir proje
on iki bin dolara ç›karken
yüz bin dolarl›k bir proje
yüzyirmi befl bine patlayabilir.
Peki neden?
Cevap basit: Baflar›s›z proje
yönetiminden.
Neden Üvey?
Haz›r söz buraya gelmiflken
neden proje yönetimine
üvey evlat dedi¤imi de belirteyim (en az›ndan iki sebepten ilkini burada belirteyim):
Baksan›za bafll›¤›n› att›¤›m yaz›da bile proje yönetimi ifadesine ancak yar›m A4 sayfas› yazd›ktan sonra s›ra gelebildi.
Yani ifl hayat›nda da durum farkl› de¤il. Proje
(daha bildik ad›yla "ifl") gecikme ya da sapma
gösterme aflamas›na gelene dek ortada ne bir
proje yönetimi vard›r ne de bir proje yöneticisi
(ne iflin idaresi vard›r ne de o iflten sorumlu bir
kifli). Ne zaman ki ifl gecikmeye girer ve bu durum yukar›larda bir yerde "duyulur", o zaman
projenin yönetimi de projenin yöneticisi de ortal›kta aranmaya bafllar: San›k mahalline ç›karmak için.
Neden?
Çünkü proje yönetimi sürecine organizasyon
kültürü de¤er vermemektedir. E¤er organizasyonun kültürü bu sürece de¤er veriyor olsa organizasyon içinde proje yönetimi de bu yönetimden sorumlu olan kifliler de gerekli organizasyonel yapt›r›m gücüne sahip olacaklar ve iflleri buna göre yönetebileceklerdir.
Peki nedir bir türlü öz evlat statüsüne geçemeyen bu proje yönetimi? Neden bu kadar önemlidir ve fakat neden bu kadar önemli oldu¤u
halde üvey evlatt›r?
Biter, Yok Olur, Gider
E¤er organizasyon kültürü içinde bir iflten öteki
ifle koflan insanlar olgusu yerlefltirilebilmiflse, ifllerin birer proje olarak ele al›nmas› çok daha
h›zl› ve baflar›yla sa¤lanabilir. Bir baflka deyiflle
projenin içindeki kifliler o proje yok olup gittikten sonra nerede ne yapacaklar›n› bilebilirlerse
en büyük dert ortadan kalkacakt›r: Proje olgusu
kültürün içine kabul edilir.
Her fieyin Bafl› Proje
Proje yönetimi öncelikle iflleri bir proje olarak
ele almay› kabul eder. Eee bunda ne var demeyin. ‹flleri proje olarak ele almak, organizasyon
Proje Olarak Denetim
Denilebilir ki, her ifl baflla – gelifltir – bitir sürecinde ele al›nmayabilir. Süreklilik arz eden ifller
söz konusudur. Asl›nda bu her sektör için geçerli olabilir. Örne¤in finans kurulufllar›n›n iç
denetim sürecine bakal›m. Bu süreç hep vard›
ve hep var olacak. O halde bu süreci proje olgusunun bak›fl aç›s›yla ele alabilir miyiz?
Biraz irdeleyelim.
Evet denetim süreci süreklilik arz eder. Ama bir
birim ya da flubenin denetlenme ifline bakal›m.
Bu periyodik denetim de olabilir “ad hoc” denilebilecek görülen lüzum üzerine yap›lan denetim de. Bir denetim ekibi atan›r. Belirlenen tarihte denetim bafllar. Belli bir tarihte de denetim
tamamlan›r.
Bu örne¤e konu olan birim ya da flube denetimi
görüldü¤ü üzere bir projedir. Bafllang›c›, amac›
ve bitifli vard›r. O halde tek bir birim ya da flubenin denetimi bir proje olarak ele al›nabilir.
Bu süreci yöneten denetim personeli (örne¤in
bir k›demli müfettifl) o projenin yöneticisi olarak
alg›lanabilir. Denetim sürecinde yap›lacak ifller,
bir proje plan› çerçevesinde haz›rlanabilir; tarihlendirilebilir. Bu ifllerin tamam› bitti¤inde de
proje tamamlanm›fl olur. Yani o flubenin denetimi bitmifltir.
Denetim organizasyonu (örne¤in bir Teftifl Kurulu Baflkanl›¤›) içinde çal›flanlar, yap›t›lar› denetimleri (projeleri) bitirmeme e¤ilimi içinde olmazlar. Bunun nedeni de hep ard›ndan bir baflka denetimin (projenin) gelece¤ini bilmeleridir.
Fili Parçalara Ay›rmak
Bir baflka örne¤i ele alal›m. Bir bankan›n ifl ak›fl
uygulama altyap›s› kullan›larak bir yandan yeni
uygulamalar elektronik ortama aktar›l›yor olsun
di¤er yandan da daha önce aktar›m› yap›lm›fl
uygulamalarla ilgili de¤ifliklik talepleri, problem
talepleri gideriliyor.
‹flin ilk k›sm›, flimdiye dek tan›mlad›¤›m›z flekliyle bir proje anlay›fl› ile de¤erlendirilebilir. Peki ikinci k›sma ne olacak? Daha önce yap›lm›fl
uygulamalar›n bak›m›, deste¤i?
Bu tür süreklilik arz eden ifllerin proje mant›¤›
ile ele al›nmas›n› sa¤layabilecek sihirli bir yaklafl›m modeli vard›r: Projeyi fazlara ay›rmak!
Diyelim ki üç yaz›l›m personeliniz var ve bunlar bir yandan yeni uygulama kodlamakta di¤er
yandan da mevcut uygulamalara bak›m deste¤i
vermekte (yani ufak tefek düzeltmeler, gelen
problemleri çözme vb). Gelifltirilecek her yeni
uygulamay› bir proje olarak ele ald›¤›n›z gibi,
mevcutlara bak›m yapma ifllerini de belli bir periyod için (örne¤in ayl›k ya da y›ll›k) "projelendirebilirsiniz".
Proje bak›fl›nda önemli olan bir proje mensubunun o projeye ay›raca¤› zamand›r. Kifli bir gün
bir saat ay›r›r di¤er gün dört saat. Ama bütün
proje süresince bu üç gün olarak toplanabilir.
Projeyi fazlar›na ay›rma imkan› bir baflka yerde
daha kullan›labilir. Bu da nispeten büyük ya da
kompleks bir projeyi küçük ve yutulabilir parçalara ay›rmakt›r. Yap›lacak ifl bütününde oldukça
zahmetli, uzun, risk faktörleri yüksek bir proje
olabilir. Bu tür bir projenin her bir kilometre tafl›n› ayr› birer proje olarak ele alman›n pek çok
avantaj› vard›r.
Bunlar›n bafl›nda flu iki fley gelir: Birincisi üst
yönetim her zaman bir fleyler bitirmenizi bekler.
‹kincisi (ilginçtir) proje içindeki mensuplar da
baflka sebeplerden üst yönetimle ayn› beklenti
içinde olurlar – onlar da bir an önce ortaya bir
Tanol Türko¤lu
içinde pek çok kiflinin ifline gelmeyebilir. ‹flleri
proje olarak ele almak, ifllerin bugün var yar›n
yok olarak alg›lanmas›n› gerektirir.
Yeni bir olgu size: Biten ifller!
Ve bunun yan›nda flöyle düflünen insanlar: Peki
bu ifl biterse ben ne yapaca¤›m? E¤er organizasyonunuz fonksiyonel organizasyon modeline
göre kurulu ise bu soru en temel sorudur. O nedenle de ifller hiçbir zaman tam manas›yla bitirilmez ki yap›lacak bir fley kalmad› durumuna
düflülmesin. Çünkü fonskiyonel organizasyon,
tan›m gere¤i, ifl var oldu¤u sürece vard›r. ‹fl yoksa o birim de yoktur (diye yanl›fl bir organizasyonel anlay›fl yayg›nd›r).
Proje ise tam da ifllere bu gözle bakma e¤ilimindedir. Genel kabul görmüfl tan›m›nda bile bir
özelli¤i çok öne ç›kar: Projeler "geçici" ifllerdir.
Bir proje bir ifli yapmak, bir amaca ulaflmak
üzere var olur ve o ifl yap›ld›¤›nda ya da o hedefe ulafl›ld›¤›nda o proje biter.
44
45
PARMAK ‹Z‹
MÜHÜR
Nas›l Yapmal›?
fiimdiye dek projenin ve proje yönetimi olgusunun öneminden bahsetmeye çal›flt›m. Biraz da
bu sürece girmek istenirse neler yap›lmal› ondan bahsedeyim.
1999 y›l›nda bir gün, çal›flt›¤›m organizasyonda
bir e¤itime kat›lmam istendi. Do¤al olarak bana
itici gelen bir e¤itim olacakt› bu. Çünkü cumartesi ve pazar günleri yap›lacakt› e¤itim. Cumartesi sabah› ofise gitti¤imde, e¤itime kat›lmak
için gelen arkadafllar›m›n baz›lar›n›n elinde birkaç yüz sayfal›k ç›kt›lar oldu¤unu gördüm. Ne
oldu¤unu soruflturdum. Ö¤rendim ki me¤erse
biz bir proje yönetimi e¤itimi alacakm›fl›z ve bu
e¤itimden sonra da bir sertifikasyon s›nav›na girecekmifliz. O ç›kt›lar da bu sertifikasyon s›nav›n› yapan ve baflar›l› olanlara o sertifikay› veren
Amerika merkezli bir enstitünün proje yönetimi
konusunda haz›rlam›fl oldu¤u temel kitapm›fl.
Me¤er arkadafllar›m›n pek ço¤u o enstitünün
üyesi olarak birkaç y›ld›r bu kavramlar›n içindeymifl.
Birkaç ayl›k haz›rl›k dönemi sonucunda girdi¤im san›r›m dört saatlik bir s›nav neticesinde flu
an tüm dünyada geçerlilik gören proje yönetim
uzman› (project management professional –
PMP) oldum. Bu sürecin bende çok ayr› bir yeri vard›r. Neden mi? Bu s›nava haz›rlan›rken
kendime "madik" atmam›fl olmak için o zamana
dek deneyimlerimin böyle bir s›nav› geçmek
için ne kadar yeterli oldu¤unu ölçmeye çal›fl-
‹yi Bir Mentor Olmak
Hande Yaflargil
t›m. Bilmedi¤im fleyi ö¤renmek yerine bildi¤im
fleyi bu enstitünün normlar›na göre yeniden flekillendirdim.
Proje yönetimi konusunu kariyerinizin bir parças› olarak görüyorsan›z benim size tavsiyem
yukar›da belirtti¤im türden bir uluslararas› organizasyon bünyesinde sertifika program›ndan
geçmek ve proje yönetim ehliyetinizi almakt›r.
Giderek zamans›zlaflan dünyam›zda kendinizi
anlatmak yerine ç›kar›p s›fat›n›z› göstermek ilk
ad›m olarak çok önemli çünkü.
Ülkemizde son y›llarda özellikle finans ve telekom sektöründeki bilgi teknolojileri yönetimleri
bu konuya a¤›rl›k verdi. 1999 y›l›nda ben Türkiye’deki ilk PMP’lerden birisiydim. Bugün ise
say› bildi¤im kadar›yla düzinelerce. Bu geliflimde bu alanda e¤itim hizmeti veren firmalar›n da
katk›s› büyüktür. E¤itimler iki aflamal› olarak ele
al›nabilir. Proje yönetimi dünyas›na girifl niteli¤inde e¤itimler ve sertifikasyona haz›rl›k e¤itimleri.
Bu kapsam giderek bilgi teknolojileri alan›ndan
di¤er alanlara do¤ru aç›lmaya bafll›yor.
E¤er ifllerinizi bir proje yaklafl›m› ile gerçeklefltiriyorsan›z ya da ona proje ad›n› vermedi¤iniz
halde yukar›daki k›sa aç›klamalardan siz de
yapt›¤›n›z ifllerin birer proje oldu¤unu (olabilece¤ini) tespit etmiflseniz, bu alana yat›r›m yap›n. ‹fllerinizi bu metodolojiye göre gerçeklefltirmek için gerekli dönüflümü sa¤lamak, bilgi aç›¤›n› kapatmak, deneyimi tescillemek ilk etapta
de¤erlendirebilece¤iniz yat›r›m alanlar› olabilir.
Asl›nda, flöyle bir hayat›m›za bakt›¤›m›zda herfleyin birer proje oldu¤unu aç›k de¤il mi? Yaflam›n kendisi bile!
Tanol Türko¤lu, fiekerbank Genel Müdür Yard›mc›s›d›r.
[email protected]
Geçen say›da, ikinci yaz›m›n konusunun iyi bir
Mentor’un karakteristikleri olaca¤›n› duyurmufltum ancak tek bir sayfada anlat›lamayacak kadar çok özellik gerekti¤i için birkaç seferde tamamlamay› deneyece¤im. Ama gözünüz korkmas›n çokluk, nicelikten de¤il nitelikten kaynaklan›yor amac›m›z sadece konuyu derinlemesine kapsayabilmek.
Dört alanda kapsayaca¤›m›z karakteristiklerin ilki,
ifl bilgisi ve tecrübesi. Mentorun yeterli bir ifl bilgisi ve tecrübesinin olmas› öncelikle mentorluk etti¤i kiflinin gözünde sayg› ve güvenilirlik uyand›rmas› aç›s›ndan kaç›n›lmazd›r. Ancak tecrübe ve
bilgi ça¤›m›zda o kadar farkl› alanda ve derinlikte
olabilir ki bunu her Mentor için tek bir flekilde tan›mlamak mümkün de¤ildir, sadece mentorluk etti¤i kiflinin ihtiyac› burada belirleyici olabilir. Örne¤in özel sektörde ve yabanc› sermayeli flirketlerin hukukunu bilen ve bu alanda denetim tecrübesi olan bir Mentor her ne kadar alan›nda uzman
da olsa bilgi ve tecrübesi kamu sektöründe denetim alan›nda çal›flan birine mentorluk etmek için
yeterli yada faydal› olmayabilir. Dolay›s›yla bilgi
ve tecrübeden bahsederken kilit nokta ö¤renenin
ihtiyac› ile olan ba¤lant›s›d›r. Ancak burada bahsedilen iliflki birebir ayn›l›ktan ziyade ba¤lant›l›l›kt›r çünkü Mentor asla tüm cevaplar› alt›n bir
tepside vermez sadece mentorluk etti¤i kiflinin ihtiyaç duydu¤u cevaplar› bulmas›na yard›m eder.
Tecrübeyi yeterli yapan özellikler aras›nda ise süre ve çeflitlilik vard›r ve ikisinin karfl›m› tecrübeyi
çok daha etkili hale getirir. Uzun y›llar ayn› kurumda çal›flm›fl birini de düflünsek örnek olarak,
daha k›sa sürelerle farkl› kurumlarda çal›flm›fl birini de düflünsek çeflitlilikten gerçek kast›m›z iyi
“Mentorun yeterli bir ifl
bilgisi ve tecrübesinin
olmas› öncelikle
mentorluk etti¤i kiflinin
gözünde sayg› ve
güvenilirlik uyand›rmas›
aç›s›ndan kaç›n›lmazd›r.”
tecrübeler kadar kötü tecrübelere de sahip olmak
olacakt›r. Mentorun kariyer hayat›n›n her zaman
flimdiki kadar dingin ve tutarl› olmad›¤›n› bilmek,
onun da gerçek ve önemli hatalar yapm›fl ama hatalar›ndan ö¤renmifl oldu¤unu bilmek, ö¤renen kifli için büyük bir ihtiyaçt›r. Bu bilgi ö¤renen kiflinin
hata yapmaktan duydu¤u korkuyu azaltacakt›r ki
bu özellikle denetim alan›nda yayg›n görüflün aksine iyi bir fleydir. Denetim yapan kifliler de hata
yapabilirler ve e¤er ö¤renmeye devam etmek istiyorlarsa yapmal›d›rlar zira kendi hatalar›ndan ö¤renmek kadar olgunlaflt›ran ve etkin bir yöntem
yoktur. "Hata yapmamal›y›m" yada "hata yapmaya hakk›m yok" diyerek yaflayan insanlar›n hata
yapt›klar›nda – ki mutlaka yapacaklard›r herkes
gibi- bununla bafl etmeleri ve yeniden kendilerine
olan güvenlerini kazanmalar› çok daha güç olacakt›r. ‹yi bir Mentor kendi hatalar›n› ve bunlarla
kendi bafl etme yöntemlerini mentorluk yapt›¤› kifliyle paylaflmal› ve onu hata yapmaktan korkmamaya ama hatalar›ndan ö¤renmeye cesaretlendirmeli ve bunu yapmak için kendi yöntemini bulmas› konusunda örnek olmal›d›r.
Mentorun bilgi ve tecrübesi ne olursa olsun bu;
l Ö¤renenin geliflmesi, kendine yeterli hale gelmesi ve amaçlar›n› belirlemesi
l Ö¤renene etkin sorular sorarak onun kendisini
görmesini ve kendi çözümlerini üretmesini sa¤lamak
l Ö¤renene kendisini gelifltirmesi için ihtiyaç duydu¤u do¤ru kaynaklar› göstermesi
l Kendi tecrübelerini ve bafl etme yöntemlerini
paylaflarak onun kendisininkileri keflfetmesi
için kullan›lmal›d›r.
Özet olarak kullan›lmayan bilgi ve içindeki hatalardan ö¤renilmemifl bir tecrübe hiçbir zaman
mentorluk yapmak için yeterli olmayacakt›r. ‹yi
bir Mentor kendi hatalar›ndan onlardan ö¤renebilmesi sebebiyle gurur duyan, ö¤reneni hata yapmaktan korkmamas› için cesaretlendiren ama ö¤renmek için di¤er tüm kaynaklar› da kullanmaya
yönlendiren biridir. Mentorlu¤un esas s›rr› belki
de mentorun kendi bilgi ve tecrübesinden mentorluk etti¤i kifliyi yararland›rabilme becerisidir. Bunun için gerekli teknikleri ve özellikleri tart›flmaya
devam edece¤iz.
Hande Yaflargil, Mentor Executive Coaching flirketinin
kurucusudur.
fleylerin ç›kmas›n› isterler. Zaman
geçtikçe ve ortaya bir fley ç›kmad›kça, proje elemanlar›n›n motivasyonunda azalma gözlenebilir.
Örne¤in teknoloji projelerini fazlamak çok kritiktir. Bafllang›çta teknolojistler akademik bir vizyonla koskoca
iflin tamam›n› bitirmeden kendilerini
baflar›l› addetmeme gibi bir psikoz
içine girebilir. Bundan kaç›nmak gerekir. Sokaktaki pazar o denli dinamiktir ki pazarlama ve sat›fl ekiplerinin eline sürekli yeni silahlar verebilmek gerekir.
Belki bir atom bombas› atmak her
fleyi bitirecek ve mutlak galibiyet anlam›na gelecektir ama bugün hiçbir
pazar, bir oyuncunun oturup da bir
nükleer bomba yapmak için ona yeterli kaynaklar› sunmamaktad›r. En iyi ihtimalle elinize bir nükleer bomba ald›¤›n›zda pazarda ondan korunmayla ilgili elli tane nükleer bombasavar›n dolaflt›¤›n› da flaflk›nl›kla fark
edersiniz.
46
47
Ç‹ZG‹ ÖTES‹
Ç‹ZG‹ ÖTES‹
Ali Kamil Uzun
"Varolan, türlerin en güçlüsü de¤ildir, en zekisi de de¤ildir. Hayatta kalan,
de¤iflime en çok ayak uydurabilendir."
Charles Darwin
"Kollu, fleritli hesap makineleri, mekanik, elektrikli daktilolar, kalamozalardan oluflan büro ve
kay›t malzemeleri, telgraf ve teleks ile iletiflim,
PTT santrallar› arac›l›¤›yla yap›lan flehirleraras›
ve uluslararas› görüflmeler... ", benim yafl›tlar›m›n an›msad›¤›, zaman›nda kulland›¤›m›z bilgi
ve iletiflim teknolojisinin ürünleri idi.
Geçmifl zaman›n teknolojisi ile geçmiflin çal›flma ortam› ve ifl yap›fl biçimleri de do¤al olarak
bugünden çok farkl› idi. Reel ortam›n elle tutulur, dokunulur iliflkileri içinde süreçler yaflan›yordu. Bugünün sanal ortam›nda ise her fley o
kadar h›zl› yaflan›yor ve de¤ifliyor ki, geçmifl za-
man›n teknolojisini yaflayanlar bile haf›zalar›nda canland›rmakta güçlük çekiyorlar. Sanki hiç
yaflamam›fl gibiler. Son kullanma tarihi geçen
mal gibi geçmifl teknoloji ve ifl tecrübelerini haf›za raflar›ndan indirmifller.
Geriye dönüp bakt›¤›n›zda, geçmifli haf›za ve
gözlerinizde canland›rd›¤›n›zda, bir zamanlar
hayranl›kla izledi¤iniz makine ile göz temas› olmadan kollu ve fleritli hesap makinesi kullanma
becerileri, kaligrafik özenle kay›t düflülen kalamoza ve yaz›c›lar› bugün nostaljik bir de¤erden
öte anlam tafl›m›yor. Bu tür beceriler size ifl ve
çal›flma imkan› sa¤lam›yor. Hatta becerinizi
“De¤iflim süreci
yaflan›rken, geliflim ve
ilerleme kaydetmek için
mesleki standartlar›m›z›n
temeli olan ‘ba¤›ms›zl›k’
ve ‘tarafs›zl›k’
güvencemiz olacakt›r.”
kullanma imkan› bulsan›z bile bu becerinizi
kullanaca¤›n›z araçlar ortada yok.
Yaz›m›z›n bu bölümüne kadar okudu¤unuz sat›rlarda yaz›lanlar bile sizi "eee...?", "bunun tersini söyleyen mi var ?..." diye düflündürebilir.
Bugünden geçmifle bakt›¤›n›zda do¤al karfl›lad›¤›m›z de¤iflim, yaflan›rken ve ucu kendimize
dokunurken kolay benimsenebiliyor mu? Baflkalar›na çok rahatl›kla "De¤iflim, de¤iflmeyen
tek fleydir." diyebilen bizler, de¤iflime ne kadar
aç›¤›z?
Konu de¤iflim oldukca, bu tür sorulara yan›tlar
aran›r, paradigmalar›n›zla yüzleflir, ya de¤iflir,
ya da geride kal›rs›n›z.
De¤iflim, geliflim ve ilerlemektir. Ancak iyi yönetilemedi¤i takdirde farkl› sonuçlarla karfl›lafl›rs›n›z. E-Posta ile h›zl›, ekonomik çözümlerin
yan›s›ra yüzyüze iletiflimden, befleri iliflkiden
uzaklafl›yorsunuz. Internet ile bilgi kaynaklar›na
h›zl› erifliyor, ancak bilgi kaynaklar›n›n güvenilirli¤ini sorgulamad›¤›n›z takdirde do¤ru bilgiye, objektif veriye ulaflam›yorsunuz. Mekanik
daktilo yerine note-book kullan›m› ile ka¤›ts›z
ortam›n katma de¤erinden faydalan›rken, kes,
kopyala, yap›flt›r tuzaklar›na karfl› dikkatli olunmad›¤› takdirde iletiflim ve raporlama kazalar›
kaç›n›lmaz olmaktad›r.
Bilgi ve iletiflim teknolojileri, ifl yap›fl biçimini, ifl
ve yönetim süreçlerini de de¤ifltiriyor. De¤iflimle
ilgili bu saptamalar›m›zla birlikte "‹ç Denetim"
tan›m›n› de¤erlendirdi¤imizde; iç denetçinin de¤iflim ve de¤iflimin yönetiminde kurum içinde
aktif rolü ve stratejik önemi oldu¤unu görüyoruz.
‹ç Denetim, bir kurumun faaliyetlerini gelifltirmek ve onlara de¤er katmak amac›n› güden ba¤›ms›z ve objektif bir güvence ve dan›flmanl›k
faaliyetidir. ‹ç Denetim, kurumun risk yönetim,
kontrol ve yönetiflim süreçlerinin etkinli¤ini de-
¤erlendirmek ve gelifltirmek amac›na yönelik
sistemli ve disiplinli bir yaklafl›m getirerek kurumun amaçlar›na ulaflmas›na yard›mc› olur.
Bu tan›m› ile iç denetçi, sadece de¤iflen, de¤iflime ayak uyduran de¤il, de¤iflime öncülük, liderlik eden olmal›d›r.
Bilgi ve iletiflim teknolojisinde devrim say›labilecek de¤iflim ve geliflim dünyam›z› küresel bir
a¤a dönüfltürmüfltür. Bizi geçmiflten koparan,
dünyam›z› küresel a¤a dönüfltüren teknolojinin
karfl›l›kl› etkileflim gücü mümkün olan›n en iyisini yapmay› kaç›n›lmaz k›lmaktad›r. Böyle bir
dünyada sürdürülebilir varolufl için de¤iflim, geliflim ve ilerleme ancak yeni yetkinliklerle kazan›lacak, yeni deneyimlerle sa¤lanabilecektir.
De¤iflimin yeni dünyas›nda iç denetim ve iç denetçiden yüksek beklentiler, yeni dünyan›n koflullar› karfl›s›nda varolufl güvencemiz nedir?
De¤iflim süreci yaflan›rken, geliflim ve ilerleme
kaydetmek için mesleki standartlar›m›z›n temeli olan "ba¤›ms›zl›k" ve "tarafs›zl›k" güvencemiz
olacakt›r. Sözkonusu standartlar›m›z ayn› zamanda organizasyonun de¤iflim ve gelifliminin
yasal ve düzenleyici kurallara, genel kabul görmüfl ifl kurallar›na, etik de¤erlere, sosyal sorumluluk ve kurumsal yönetim ilkelerine uygun olmas›n›n da sigortas› olarak de¤erlendirilmelidir.
Çünkü, organizasyonlarda güvenilirlik ve yüksek katma de¤er tarafs›zl›k ve ba¤›ms›zl›kla
mümkündür.
O halde, meslek standartlar›m›z› çal›flma
yaflam›m›z›n vazgeçilmez bir parças› haline
getirmeliyiz.
Meslek standartlar›m›z›n iflimizin hayati bir parças› haline gelmesi için de yap›lmas› gereken
iki temel fley bulunmaktad›r. Birincisi, iç denetçi olarak sertifika sahibi olmak, ikincisi ise iç
denetim birimi olarak (QAR) Kalite Güvence
Gözden Geçirme program›n›n uygulanmas›d›r.
Bir düflünürün "Ustalaflt›¤›n›z fleyin ötesinde bir
fleylere yönelmedikçe asla büyüyemezsiniz"
sözleri de bizlere sürekli de¤iflimi ve geliflimi
iflaret etmektedir.
Yaz›m›z› Hayyam’dan bir dörtlükle bitirelim.
"Bir s›r daha var, çözdüklerinden baflka
Bir ›fl›k daha var, bu ›fl›klardan baflka
Hiçbir yapt›¤›nla yetinme, geç öteye
Bir fley daha var, bütün yap›tlardan baflka."
Ali Kamil Uzun,
OYAK Mali Kontrolör
[email protected]
De¤iflim ve Güvence
49
48
YAKIN PLAN
AYRAÇ
‹nsan Kayna¤› Yönetiminde
Anarfli Trendi
Denetçiler Mahkemesi
daki "ifl/business" kavram› da kaçamazd›. Onun
de¤iflimden bu kadar nasibini almas› demek,
yönetimin asla geleneksel sürdürülememesi demektir. Her fleyin tüketim mant›¤›yla görüldü¤ü
bir alg› dünyas›nda, yönetim anlay›fllar› da tüketilir! Bu yaz›n›n bafll›¤› da bunu söylüyor iflte.
Refleks olarak art›k her davran›fl›m›z›n arka
plan gerekçesi "hayatta kalmak". Koflmak, sadece bir reklam mottosu de¤il, bugünün bir de¤eri. Geleneksel yönetim yaklafl›m› ise koflmuyor,
geziniyor, sallan›yor. Bugüne yak›flan, yar› duyars›z, ifl bitirici, enerji dolu, çok h›zl› düflünen
ve davranan bir yönetim modeli. Onun için ifl
tan›mlar›yla oyalanamay›z. O, t›¤ örmek gibi
bir fley. Ortaya ç›kan nak›fl ifli gereksiz bir süs
eflyas›ndan baflka bir fley olmaz bugün. Kapal›
kap›lar›n ard›nda organizasyon yap›lar›yla oynamak, en hafif deyimiyle, iyiniyetli entelektüel
bir kendini tatmindir; çünkü yap›ld›¤› anda bir
yerlerde bir fleyler ona ters düflmüfl ya da de¤iflmifltir bile. Ünvanlar, geliflmifl bir silaha karfl›
z›rh gibidir; mutlaka ya bir yerleriniz aç›kta kalm›flt›r ya da hangi silah›n o z›rh› kolayca delece¤ini bilemezsiniz. Geleneksel performans sistemlerini ise Ortaça¤ ekonomisinde vergi sonras› halk›n elinde kalan tohumlu¤a benzetiyorum; ölmemeleri ve bir dahaki y›l yeniden vergi verebilmeleri için!
Onun için "bunlar› yap›n": ‹fl kolu çok standart ve rekabetçi üretim/hizmet gerektiriyorsa aç›kça ve suland›rmadan 1900'lerin
ifl düzenini uygulay›n. ‹liflkilerden de¤il,
sistemden kaynaklanan bir ac›mas›zl›¤› insanlar da anlayacak ve kendi menfaat› için
boyun e¤ecek kadar ak›ll›. Ancak girift ve
öngörülemez bir ürün yarat›yorsak, süreç
mükemmelli¤i d›fl›nda hiçbir fley için zaman kaybetmeyin, insanla ilgili kararlar›
çok h›zl› al›n, h›zl› ödüllendirin, h›zl›
uzaklaflt›r›n, h›zl› ö¤renmelerini talep edin,
h›zl› organizasyon de¤ifltirin. Koflun, koflun, koflun.
Buna da al›fl›r›z.
Ahmet Ery›lmaz, AE E¤itim & Dan›flmanl›k’›n kurucusudur.
Michel Herve
Avrupa Denetçiler Mahkemesi, Avrupa Birli¤i’nin ba¤›ms›z denetim kurumudur. Lüksemburg’taki merkezinde Ekim 1977 de faaliyete
geçmifltir. AB antlaflmas›n›n 246. ve 248. maddelerinde Avrupa Denetçiler Mahkemesi’nin
buyruk ve özellikleri düzenlenmifltir.
Avrupa Denetçiler Mahkemesi’nin amac› AB
fonlar›n›n kaynak ve kullan›mlar›n› ba¤›ms›z
olarak denetlemek, fonlar› yaratma ve kullanma
ifllemlerini ifa eden Avrupa’daki kurulufllara dan›flmanl›k yapmakt›r. Mahkeme, finansal operasyonlar› ekonomiklik, etkinlik ve verimlilik
güvencesinde; hukuka uygun ve muntazaman
yap›l›p yap›lmad›¤›n› ve kay›tlar›n›n do¤ru olup
olmad›¤›n› denetler.
Mahkeme, AB genel bütçesinden ve Avrupa
Kalk›nma Fonlar› taraf›ndan finanse edilen faaliyetler için y›ll›k bir rapor ve buna ilaveten hesaplar›n güvenilirli¤i, ilgili operasyonlar›n hukuka uygunlu¤u ve muntazaml›¤›na iliflkin bir
Güvence Beyanat’› haz›rlamaktad›r. Ayr›ca,
Topluluk taraf›ndan kurulmufl olan kurumlar
için de özel y›ll›k raporlar haz›rlanmaktad›r.
Mahkeme; özel raporlar›n haz›rland›¤›, kendi ifl
program›na özgü denetim konular›n› da incelemeye alm›flt›r. Nihayetinde, Mahkeme düzenli
olarak finansal düzenlemelerin kabul edilmesinden önce ve yap›lan de¤iflikliklere iliflkin görüfl bildirmektedir.
Avrupa Denetçiler Mahkemesi, Üye Ülkeler’in
atad›¤› ve 6 y›l görev zorunlulu¤u olan üyelerden oluflmaktad›r. Üyelik yenilenebilir özelliktedir. Bu üyelerden oluflan heyet ayn› zamanda
kuruluflun temel karar alma organ›d›r. Üyeler
kendi içlerinden 3 y›l görev zorunlulu¤u bulunan bir Baflkan seçerler. Baflkan, "primus inter
pares" - eflitler aras›nda birinci rolü tafl›maktad›r. Her üye, Mahkeme’nin y›ll›k ifl program›nda belirtilen denetim görevlerinin uygulanmas›ndan sorumludur. Bu görevlerin yerine getirilmesinde uzmanlaflm›fl denetim ekiplerinden
faydalan›lmaktad›r.
Mahkeme’nin; denetçiler, çevirmenler ve idari
destek personelinden oluflan yaklafl›k 760 çal›flan› bulunmaktad›r. Mahkeme personeli ileri
profesyonel yetkinlikte, kamu ve özel sektör
muhasebe, iç ve d›fl denetim, hukuk ve ekonomi tecrübelerine sahiptir. Mahkeme’nin her
Üye Ülke’den çal›flan› bulunmaktad›r.
Mahkeme; Avrupa Birli¤i’nin genel bütçesinden
finanse edilmektedir; bu finansman› Avrupa
Parlementosu’nun, Avrupa Konseyi’ne dan›flmanl›¤› sonras›ndaki onay› geçerli k›lmaktad›r.
Mahkeme’nin 2004 bütçesi 95 Milyon Euro dolay›ndad›r, bu AB’nin toplam harcamalar›n›n
yaklafl›k %0,1’ni, üye kurulufllar›n›n da toplam
genel yönetim harcamalar›n›n yaklafl›k %1,6’s›n› temsil etmektedir.
Kurumda Genel Sekreter, Kurulufl’un en k›demli resmi görevlisi olup Mahkeme taraf›ndan
atanmaktad›r. Genel Sekreter, Mahkeme’nin
personeli ve yönetiminden sorumludur.
Daha detayl› bilgi www.eca.eu.int adresinde mevcuttur.
Çeviri: Coflkun Özkan, CIA, Zorlu Holding,
‹ç Denetim Müdürü
Ahmet Ery›lmaz
Gazetelerin o pek sevilen eklerinde "Bunlar› Yap›n" sayfalar› var. ‹lgimizi çekiyor de¤il mi? Sayg› duyuyorum o fikirleri bulup pazarlayanlara.
Buyrun yönetim versiyonunu sunuyorum! Üstelik okuyucular›ma bafltan sözüm olsun, çok
üzerime gelip hala "neden" diyen olursa özel
olarak örneklendirip gerekçelendiririm.
Öyle bir evreye girdik ki, bilimsel denilen yönetim anlay›fl› bazen can simidi, bazen ayak ba¤›.
Konvansiyonel, flablon yönetim araçlar›ndan
söz ediyorum. ‹fl tan›mlar›, (yass›laflt›r›lm›fl bile
olsa sonunda birer flema olan) organizasyon yap›lar›, ince ayar kelime oyunlar› ile dolu ünvanlar, her biri birer kara delik olan performans ölçme-de¤erleme yöntemleri... Bugün onlar› art›k
5 y›ld›zl› otel mönülerine benzetiyorum; çekici
ama ruhsuz.
Bir defa yaflam›m›z›n tam ortas›nda sanki bir fay
hatt› fark ettik. 2001 fiubat'›ndan sonra gördük
ki fena sars›yor! Üstelik art›k o tehditle yaflamak
zorunday›z. Bu yüzy›l bence insanl›¤›n yaflam
evriminde sert bir köfle. Bildi¤imiz bir sürü kavram hoyratça sorgulan›yorsa, hepsinin ortas›n-
Avrupa
Birli¤i
rupa
Denetçiler
50
51
YAKIN PLAN
YAKIN PLAN
Genç Yönetici ve
‹fladamlar› Derne¤i (GY‹AD)
Filiz Yücesoy
Genç Yönetici ve ‹fladamlar› Derne¤i (GY‹AD) Baflkan›, Ömer ‹svan ile gerçeklefltirdi¤imiz söylefliyi aktar›yoruz.
Kendinizi ve yapt›¤›n›z ifli tan›t›r
m›s›n›z?
A¤›rl›kl› olarak otel turizm kompleksleri, resortlar, kulüpler ve konut komplekslerinin geliflimleri ki
fizibilitesinden bafllayarak, kompleks kurgusu, tasar›m aflamas›n›n
koordinasyonu ve pazarlama sistemlerinin kurulmas›, bunlar›n
denetimi ve hayata geçirilmesi ve
sonraki süreci kapsayan gelifltirme
dan›flmanl›¤› yapmaktay›m.
Denetimi zor sektörlerden biri san›r›m
Otelin gidiflat›nda çok fazla kalemle u¤rafl›yoruz. Özel bir sistem ve training gerektiriyor. Finansal kontrol mekanizmalar›n›n ve MIS sistemlerinin oturtulmas› çok önemli. Biz sektör olarak 70’lerin sonundan itibaren bunun fark›ndal›¤›yla bir hayli profesyonel
hareket ediyoruz. Uluslararas›
standartta çal›flan, audit edilebilir bir hale gelmifl bir sistemdir American Association’›n
ortaya koydu¤u uniform sistem
bu sektör için yap›lm›fl bir fley.
Hatta birtak›m eksiklikleri, zaman› yakalayamam›fll›klar› olmas›na ra¤men çok yayg›n
kullan›l›yor, avantajlar›ndan biri de otellerdeki
zincirleflme. Uniform oldu¤u için dünyaya bir
anda o da¤›ld›, herkes onlardan kopya etti¤i
için de ortak bir lisan› oluflturdu. Bizim yapt›¤›-
“GY‹AD, Türkiye’nin ilk
genç ifladamlar›
platformu.“
m›z audit bu otel nas›l performans sergiliyor’un
auditi. Bunu yaparken de ayn› lisan› konuflabiliyoruz. Bunun d›fl›ndaki otellerde verileri toplay›p, uniform sisteme tercüme edip ondan sonra
okey diyoruz.
Genç Yönetici ve ‹fladamlar› Derne¤i’ni
(GY‹AD) Baflkan› olarak sizden tan›yabilir
miyiz?
1986’da ‹stanbul’da kurulan GY‹AD, Türkiye’nin ilk genç ifladamlar› platformu. Bütün Türkiye’ye sahip ç›kan genç ifladamlar›
için cazibe merkezi haline geldi
bu süre içinde. Birinci misyonu
birtak›m de¤erleri gençler aras›nda ortak hale getirmek. Burada
Türkiye’nin nüfusuyla orant›l› bir
hedef kitleden söz ediyoruz asl›nda. GY‹AD,
Türk toplumunun aynas›n› oluflturan yafl grubunu hedefliyor. O hedef içinde de birtak›m ortak
de¤erlere sahip ç›kacak insanlar› bir araya getiriyor. Laik demokratik ve Avrupa misyonunu
özümsemifl bir platform. Bu vizyona sahip ç›kan
ifladamlar›n›n ortak paydas›. Asl›nda bu insanlar› bir araya getirmek bir çeflit network ve benchmark ortaya ç›kart›yor. ‹fl hayat›nda bunu elde
etmek o kadar da kolay de¤il. Bunlar›n bir araya
getirdi¤i güç ki, as›l dinamik bu. Bunu gerek lobi faaliyeti gerek bask› gücü, gerekse yol gösterici olarak sürdürmek, araflt›rma ve gelifltirmeyle
ilerlemeye katk›da bulunacak bir platform olarak kullanmak, Türkiye’ye olan getirilerini düflünerek hareket etmek gerek.
Bir de üyelerin e¤itimi ve geliflimini sa¤lamak
gibi bir misyonlar› var. Geliflen dünyaya ayak
uydurmak, hangi statüde olursa olsun dünya vatandafl› olabilmenin araçlar›ndan biri haline
gelmifltir. Bunu sosyal e¤itim, araflt›rma ve lobi
faaliyetleriyle yap›yoruz.
E¤itim dedi¤imiz de teknolojik de¤il, sektörel
anlamda genel bilgiyi ve ifl hayat›na fayda sa¤layacak bilgileri vermeye çal›fl›yoruz.
Bu üyelerimizin kiflisel geliflimine yapt›¤›m›z
katk›lar, çok de¤iflik mecra ve konularda, kolayl›kla bulunmayacak bilgileri sa¤l›yoruz. ‹stanbul
d›fl›nda da flubemiz var. Ayr›ca bütün Türkiye’ye aç›lmay› öngören bir projemiz de var.
GY‹AD’›n benzer kurulufllarla ortak
çal›flmalar› var m›?
TÜG‹AD’la ortak projelerimiz var hatta bir tanesi yabanc› yat›r›m›n Türkiye’ye çekilmesiyle ilgili. Ar› grubuyla yapt›¤›m›z Genç Net projesinde
ortak bir vizyonla hareket ediyoruz. Bazen proje
“Geliflen dünyaya ayak
uydurmak, hangi statüde
olursa olsun dünya
vatandafl› olabilmenin
araçlar›ndan biri haline
gelmifltir.”
GY‹AD’la T‹DE ortak projeler oluflturabilir mi?
Olabilir, çünkü bizim üyelerimizin hepsinin iç
denetim fonksiyonlar›n›n oldu¤unu ve bunun
da kendi hayatlar›n› kolaylaflt›rd›¤›n›n fark›nda
olduklar›n› tahmin ediyorum.
Bugünkü sistemimize bakt›¤›m›zda Avrupa
müktesebat›na uyan, sadece hukuk de¤il, bat›l›laflm›fl ifl yapma biçimine uymak da ikinci bir
ad›m ve biz bunu çok önemsiyoruz, çünkü bunun kanunla gelmeyen bir taraf› da var.
Geçenlerde yabanc› yat›r›mc›n›n neden gelmek
istemedi¤ine dair yapt›¤›m›z bir de¤erlendirmede ‘Corporate Business‘ ya da ‘Corporate Structure’in anlafl›lamamas›n›n önemli oldu¤unu
gördük. Yabanc› yat›r›mc› Türkiye’de biriyle ifl
yapmak durumunda, çok büyük yüzdeyle ifl yapacak yabanc› yat›r›mc› hangi ad alt›nda olursa
olsun bir Türk ile el tutuflmak zorunda.
Ne yaz›k ki flu anda hala Corporate Corporate
ile konuflam›yor. Çünkü lisan farkl›l›¤› var, bu
‹ngilizceyi konuflamamakla alakal› de¤il. Örne¤in; yabanc› ortak diyor ki, temel konularda anlaflt›k, gerisini executive tak›m›ndan ilgililer konuflsun diyerek geri çekiliyor ancak ‹ç Denetime gelinceye kadar bir sürü eksik var. Bu yüzden uluslararas› iflbirliklerine girmek istiyorsak
compliance taraf›nda çok yol almam›z laz›m.
Bu konseptin bir parças› olarak, iç denetimin
buradaki rolü ne olabilir sorusunu bir flekilde
ortaya ç›karabilecek bir fonksiyonda beraber
olabiliriz. Çünkü bu bizim amaçlar›m›zdan biri.
fiirketlerin hem compliance taraf›nda hem kay›t
d›fl›ndan kay›t içine kaymalar› hem de kendini
prezante edebilecek, bir üçüncü flirketle ayn› lisan› ayn› paralelde kullanabilecek hale gelmesi
bizim misyonlar›m›zdan biri. Bunun teflvik edilmesi, desteklenmesi boyutunda ortak bir nokta
yakalayabiliriz san›r›m.
Söylefli için ‹ç Denetim Dergisi olarak teflekkür
ederiz.
Filiz Yücesoy, SMMM
‹ç Denetim Dergisi Yaz› ‹flleri Müdürü
[email protected]
baz›nda TÜS‹AD araflt›rma grup ve komisyonlar›yla çal›fl›yoruz. Yine proje baz›nda Türk Amerikan iflbirli¤ini art›rmak gibi birtak›m hedeflerde
güçbirli¤i yapma gere¤ini hissediyoruz.
52
53
YANSIMA
YANSIMA
Avrupa ‹ç Denetim
Konferans› Bildiri Özetleri
Kurumsal ve Kiflisel Etik
De¤erlendirmesi
Assessing Organisational and Individual Ethics
Albert J. Marcella
Ph.D., COAP, CQA, CCP, CDP, CFSA, CISA
Webster Üniversitesi
Etik; beceri ve bilgi seti oldu¤u gibi ayn› zamanda
bir tutumdur. Genellikle ahlaki normlara uygun
davran›fllar etik davran›fllar olarak yorumlan›r. ‹fl
dünyas›nda etik davranmak için çal›flanlar içinde
bulunduklar› etik çerçeveyi gözönünde bulundurarak etik normlara uygun hareket etmelidirler.
‹ç denetçilerin karfl›laflt›¤› etik konular afla¤›dad›r;
- Ç›kar çat›flmalar›
- Çevre konular›
- Müflterilerle iliflkiler
- Çal›flanlarla ilgili kay›tlar›n gizlili¤i
- ‹çten ö¤renenlerin ticareti (insider trading)
- Alkol ve uyuflturucu madde kullan›m›
- Kurumsal yönetim konular›
- fiirket varl›klar›n›n kötüye kullan›m›
- ‹flyerinin güvenli¤i ve sa¤l›k konular›
- Birleflme ve sat›nalmalar
- ‹flten ç›karmalar
- Sat›fl ve pazarlama konular›
‹fl dünyas›nda bir davran›fl›n etik olup olmad›¤›n› anlamak için 6 tane kritik sorunun sorulmas›
gereklidir;
1- Davran›fl yasal m›d›r?
2- Fayda-maliyet durumu nedir?
3- Davran›fl›n evrensel bir standart olmas› istenir mi?
4- Davran›fl tv veya gazetede yer alsa gurur duyar m›s›n›z?
Denetim Komitesi, Yönetiflim
ve ‹ç Denetimin Rolü
Audit Committee, Governance & Role
of Internal Audit
Andrew Raftis
Grup Denetim Direktörü, AXA
Kurumsal yönetimin standart bir tan›m›
olmamakla birlikte en çok kullan›lan›
Cadbury Report’unda oldu¤u üzere ifl-
Avrupa ‹ç Denetim Enstitüleri Konfederasyonu’nun (ECIIA) 7-8 Ekim tarihlerinde ‹stanbul’da
Türkiye ‹ç Denetim Enstitüsü’nün ev sahipli¤inde gerçeklefltirdi¤i 2004 y›l› konferans› çok de¤erli konuflmac›lara ve iç denetim mesle¤indeki
önemli güncel konulara sahne oldu.
Sunum ve bildiriler, konferans›n ana konsepti
"efl-merkezlilik" çerçevesinde a¤›rl›kl› olarak
kurumsal yönetim, risk yönetimi ve iç denetim
temalar› üzerine oldu. Afla¤›da konuflmac› isimlerinin alfabetik s›ras›na göre sunum özetlerine
yer verildi.
5- Ayn› davran›fl›n size yap›lmas›n› ister misiniz?
6- Arkadafllar›n›z›n davran›flla ilgili yorumu nedir?
Albert Marcella sunumunda, TEDMER ve ERC
kurumlar› arac›l›¤›yla Türk ifl dünyas›nda etik
konulara yönelik 2002 y›l›nda gerçeklefltirilen
anketin sonuçlar›na da yer vermifltir.
Kurumlarda etik programlar› kapsam›nda tüm
çal›flanlara etik davran›fllar›n önemi anlat›lmal›,
bu konuda e¤itimler düzenlenmeli, direktif ve
politikalarda etik konular›na de¤inilmeli, yönetim kurulu ve üst düzey yönetim davran›fllar› ile
etik culture sahip olduklar›n› göstermelidirler.
Etik konular›n denetiminde dikkate al›nacak konulara de¤inen sunumda ayr›ca etik
davran›fl›n ö¤retilebilir oldu¤u ancak
kiflinin yafl›n›n e¤itilebilirlik aç›s›ndan
önemli bir de¤iflken oldu¤u ifade edilmifltir. Küçük yafllarda al›nan etik e¤itimi daha olumlu sonuçlar vermektedir.
lerin yürütüldü¤ü ve kontrol edildi¤i system
fleklindeki tan›md›r.
Yak›n tarihteki dev flirketlerde ortaya ç›kan
skandallar sonucunda kurumsal yönetim konusuna her zamankinden daha fazla önem verilmeye bafllan›lm›fl ve bu konuda Sarbanes
Oxley ve benzeri birçok yasa yürürlü¤e konulmufltur.
Kurumsal yönetim konusunda geçti¤imiz iki y›l
boyunca afla¤›daki konular global bir trend halinde önem kazanmaktad›r;
- Finansal tablolar ve finansal piyasalara aç›klanan di¤er bilgiler üzerinde kuvvetli iç kontrollerin tesis edilmesi ve sürdürülmesi
- CEO ve CFO’nun finansal tablolar üzerinde
flahsi sorumluluklar›yla birlikte yönetimin hesap
verilebilirlik sorumluluklar›ndaki art›fl
- Denetim komitelerinin artan sorumluluk ve
ba¤›ms›zl›klar›n› da içeren geliflmifl yönetiflim
mekanizmalar›
- D›fl denetçiler için daha kat› ba¤›ms›zl›k gereksinimleri
‹ngiltere’deki Smith Report’a gore denetim komitesinin rolü, afla¤›daki sorumluluklar› izleyerek yönetim kurulunun ifllevini yerine getirmesine yard›mc› olmakt›r;
- Finansal tablolar›n bütünlü¤ü
- Finansal kontrol ve risk yönetim sistemi
- ‹ç denetimin etkinli¤i
- D›fl denetimin ba¤›ms›zl›¤›, objektivitesi ve etkinli¤i
- Denetim d›fl› hizmetler ve d›fl denetçilerin
onaylanmas›
54
55
YANSIMA
YANSIMA
Nas›l Büyük Düflünülür?
Kamu Kesiminde Kurumsal Yönetim
Maximizing Audit Resources
Corporate Governance in the Public Sector
David Woodward
NATO Uluslararas› Denetleme Kurulu Baflkan›
Denetim kaynaklar›n›n art›r›labilmesi için izlenmesi gereken ad›mlara yer verilmifltir.
1- Öncelikle denetim fonksiyonun de¤erinin anlat›lmas› ve fark›ndal›k yarat›lmas› amaçl› web
sayfas›, broflür vb. materyaller haz›rlanmal›d›r.
2- Organizasyon içindeki tüm üniteleri kapsayan ve risk de¤erlemesine dayanan bir planlama yap›lmal›d›r.
3- Mesleki standartlara uyum sa¤lanmal›d›r.
4- Dan›flmanl›k, risk yönetimi, güvence hizmetleri, kurumsal yönetim, kontrol süreçleri vb. konularda denetim departman›n›n rolü ve fonksiyonu ne olmal›d›r sorusuna cevap aranmal›d›r.
5- ‹ç denetçilerin mesleki tatmin ve motivasyonlar› art›r›lmal›d›r.
6- ‹nternet sitelerinin kullan›m›ndan, di¤er iç denetçilerle biraraya gelmeye ve e¤itim programlar›na kat›l›ma kadar çok çeflitli aktivitelerle meslek hakk›nda sürekli iletiflimde bulunulmal›d›r.
7- Verimlilik üzerine odaklanmak, hat›rlanabilir
kaliteli raporlar üretmek vas›tas›yla etkin bir çal›flma gösterilmelidir.
8- Maliyet-fayda kavramlar› gözönünde bulundurularak katma de¤er üreten sonuçlar üzerine
odaklan›lmal›d›r.
9- Plan ve çal›flmalar d›fl denetçilerin çal›flmalar›yla koordine edilmelidir.
10- Performans ölçümleri, müflteri anketleri vb.
yöntemlerle baflar› sürekli izlenmelidir.
‹ç Denetim Mesle¤inin Durumu
Orijini özel sektörde flekil bulan kurumsal yönetim kavram› birtak›m de¤iflikliklerle kamu
sektöründe de uygulanmaktad›r. Uygulamadaki
farkl›l›klar yönetim kurulu, kurumun hissedarlar› vb. kavramlarda ortaya ç›kmaktad›r. David
Woodvard sunumunda bu farkl›l›klar› dikkate
alarak kurumsal yönetimin kamu sektöründe
nas›l uygulanabilece¤ini irdelemifltir.
State of Internal Auditing
David Richards, CIA
IIA ‹cra Kurulu Baflkan›
David Richards sunumunda; iç denetim mesle¤inin güvence hizmetleri, nitelikler, denetim
konular› vb. çok çeflitli konulardaki güncel durumunu, ‹ç Denetçiler Enstitüsünün (IIA) gelece¤ini analiz etmifl ve meslekteki güncel trendlere
de¤inmifltir.
Bu trendlerden baz›lar› ana bafll›klar halinde
afla¤›da yer almaktad›r;
- Kurum bütününde risk yönetiminin (ERM-Enterpriswide Risk Management) tesis edilmesine
iç denetim departman›n›n kat›l›m›
- Adli denetim
- Yolsuzlu¤un önlenmesi ve tespiti
- Etik olmayan davran›fllar›n ihbar› için özel hatlar
- Kontrol de¤erlemesi
- Uyum programlar›
- Sürekli denetim
- ‹ç denetim departman› kalite güvence kontrol sertifikasyonu
- Sürdürülebilir geliflme
- De¤iflen sorumluluklar›na paralel
denetim komitelerine yard›m
- Denetimlerde risk planlamas›
- Üçüncü kiflilerden hizmet sa¤lama
- Uzun vadeli denetim planlar›
- ‹ç denetim departman› kalite güvence incelemeleri
- Müflteri odakl›l›k
- ‹ç denetçilerin artan kalifikasyonlar›
- Teknolojinin departman üzerindeki etkileri
Kamu Kesiminde Risk Yönetimi ve
‹ç Denetimde En ‹yi Uygulamalar
Best Practices Risk Management &
Internal Audit in Public Sector
Gerry Cox
Güney Someset Konseyi, UK
Risk yönetimi fonksiyonundan yönetim sorumlu iken iç denetçiler risk yönetimi uygulamalar›n› izler, de¤erlendirir ve raporlama yaparlar.
Gerçeklefltirilecek risk de¤erlemesinde hedefler
belirlenir, tüm riskler, kontroller ve art›k riskler
tan›mlan›r. Risk yönetiminde ise riskler tan›mlan›r, yönetilir, risk azalt›c› tedbirler al›n›r.
Kahramanlara Gerçekten ‹htiyac›m›z
Var m›?
Sustainable Development & Internal Audit
Hans Nieuwlands
Denetim Müdürü, Nuon Aktif Yönetimi
‹ç denetçiler sürdürülebilir geliflim ve ilgili standartlar konusunda genifl bir anlay›fl ve bilgiye
sahip olmal›d›rlar. Bu konudaki standartlar› kurum için de¤erlendirerek yönetimi bu konuda
bilgilendirmeli, d›fl güvence incelemelerini koordine etmeli ve iç denetimlerini gerçeklefltirirken gerekli durumlarda uzman kiflilere denetimde yer vermeyi de düflünmelidirler.
Sarbanes-Oxley Kanununun
‹ç Denetim Fonksiyonuna Etkileri
Implications of the Sarbanes-Oxley Act on the
Internal Audit Function
Hubertus Buderath
Daimler Chrysler Kurumsal Denetim Baflkan›
Daimler Chrysler flirketindeki Sarbanes Oxley
uyum çal›flmalar›na yer verilen bu sunumda,
yasaya uymakla yükümlü flirketlerde yap›lmas›
gerekenlere yer verilerek iç kontrol sistemlerinin tasarlanmas› ve yürütülmesinden yönetimin
sorumlu oldu¤u, iç denetçilerin ise iç kontrol
süreç ve sistemlerini de¤erlendirmeleri gerekti¤i
ifade edilmifltir.
Do We Really Need Heros?
Giovanni Grossi
CIA, CFE, CCSA, CGAP
Enron, Worldcom vb. flirketlerdeki yolsuzluklar› ö¤renerek ihbar eden kiflilere ihtiyac› bulunan bir flirket asl›nda
büyük bir problem yaflamaktad›r. Yolsuzluk durumunu
ö¤renip ihbar edenler kahraman olarak karfl›lanmakla
birlikte bu türde kahramanl›klardan ziyade önceden
kontroller vas›tas›yla önlemlerin al›narak yolsuzlu¤a
prim tan›mayan bir kurum
yap›s›na kavuflmak daha az
maliyetli ve daha faydal›d›r.
Betty McPhilimy
IAA Yönetim Kurulu Baflkan›
Sürdürülebilir Geliflim ve
‹ç Denetim
56
57
YANSIMA
YANSIMA
Risk De¤erlendirmesinin Denetim
Planlamas›ndaki Yeri
Assessing Risk in Audit Planning
What’s Culture Got to Do with CSA
lur ve ifllemler çeflitli kriterler alt›nda sürekli test
edilir.
Richard Chambers
‹ç Denetim Direktörü, PWC
Larry Hubbard CPA, CIA, CISA, CCSA, CSA
Hubbard and Associates Kurucu Orta¤›
Devlet Kurumlar›nda Geniflleyen
Denetim Bak›fl Aç›s›
‹ç denetçiler, afla¤›daki durumlarda risk de¤erlemesinde bulunurlar;
- Y›ll›k denetim planlamas›nda
- Denetimleri planlamas› ve uygulamas›nda
- Dan›flmanl›k hizmetinde
- Yönetime yap›lan önerilerde
Risk odakl› denetim planlamas›; organizasyonu
de¤erlendirirken disiplinli analitik bir yaklafl›m
sa¤lar, riskleri ortaya koyar, yüksek riskli alanlara odaklan›lmas›n› sa¤lar, denetim kaynaklar›n›
en verimli olabilece¤i alana yönlendirir ve üst
düzey yönetimin kurumun risk profilini de¤er-
Kültürün Bununla Ne ‹lgisi Var?
Broadening Audit Perspective in Government
Kontrol içsel de¤erlemesi (CSA-Control Self Assessment) faydalar› üzerine de¤erlendirme yap›lan sunumda, COSO ve CoCo iç control modellerine de yer verilmifltir. Kontrol çerçevesi, kurumun etik kültürü, bütünlü¤ü gibi de¤erlerin
denetiminde önceden yap›land›r›lm›fl görüflmeler, çal›flanlara da¤›t›lacak anketler ve çal›fltaylar faydal› yöntemlerdir. Hangi yöntem seçilirse
seçilsin çal›flanlarla yüzyüze gelinip soru sorulmas› flartt›r.
Sürekli Gözetim
Continous Monitoring
Martin Catellier
Bölge Drektörü, ACL
Kurumsal yönetim ve kontrol ortam›n›n çeflitli
etkenler alt›nda de¤iflmesi sebebiyle kontrollerin de daha etkin olmas› gerekmektedir. Maliyet-fayda analizleri, ifl yükünün art›yor ve karmafl›klafl›yor olmas›, manuel kontrollerdeki
problemler ve veri problemleri nedeniyle kontroller daha verimli ve maliyet-etkin bir yap›da
oluflturulmal›d›r. Sürekli gözetimde ifllemler
eflanl› olarak kontrol edilir, kritik durumlarda
alarm sinyali üretilir, farkl›l›klar ortaya konulur,
kontrollerin yeterli olup olmad›¤› ortaya konu-
Peter Pennekamp
‹ç Denetim Direktörü, Hollanda Merkezi Hükümeti
Peter Pennekamp sunumunda; kamu sektöründe
denetimin kalite iyilefltirmesi kapsam›nda merkezi hükümet içinde ve d›fl›ndaki en iyi uygulamalar›n incelendi¤ini, bakanl›ktaki üst düzey
yönetimin bu projeden sorumlu oldu¤unu, periyodik raporlamalar ve konferanslar vas›tas›yla
sürekli bilgilendirme yap›ld›¤›n›, kamu denetçileri ile özel sektör denetçilerinin biraraya geldiklerini, IIA ile koordinasyon sa¤land›¤›n›, insan
kaynaklar› ve iletiflime özel önem verildi¤ini,
denetim aktivitelerinin tekrar gözden geçirildi¤ini, Hollanda’da her bakanl›k için y›ll›k risk
odakl› denetim plan› haz›rland›¤›n› belirtmifltir.
Devlet Kurumlar›nda Modern
‹ç Denetim
Modern Internal Auditing in Goverment
Richard Chambers
‹ç Denetim Direktörü, PWC
Kamu sektöründe denetimin özel sektördeki denetimden belirgin faklar›; raporlama iliflkilerinin
lendirmesi için bir araç görevini görür.
Y›ll›k denetim planlamas› için risk de¤erlemesinde öncelikle denetim çerçevesi belirlenmeli,
risk faktörleri tan›mlanmal› ve a¤›rl›kland›r›lmal›, denetlenebilir üniteler için risk faktörlerini
skorlayacak bir model dizayn edilmeli, model
arac›l›¤›yla bulunan risk skorlar› s›raya konularak bu s›ralamaya göre denetim plan› yarat›lmal›d›r.
Avrupa’da ‹ç Denetimin Gelece¤i
The Future of Internal Auditing in a Europe
Richard Nelson
Dan›flmanl›k Hizmetleri Direktorü, Numerica
Kurumsal yönetim ilkeleri do¤rultusunda iç denetimin kurum bütününde risk yönetimi, iç
kontrol çerçevesi konular›nda etkin olmas› gerekmektedir. ‹ç denetimin gelece¤i aç›s›ndan iç
denetçilerin mesleki aç›dan kendilerini gelifltirmeleri, meslekle ilgili geliflmeleri yak›ndan takip etmeleri, denetim komitelerine dan›flmanl›k
yapmalar› gereklidir.
Kurumsal yönetim, bilgi ve iletiflim teknolojisi,
e-ticaret, yönetim kuruluyla iletiflim, iç denetime
ihtiyac›n artmas›, ifl riskleri vb. hususlar Avrupa’da iç denetim mesle¤inin gelece¤ini flekillendirecektir.
Yeni Standartlar ve Mesleki
Uygulamalar Çerçevesi
New Professional Practices Framework
Ronald de Meulder
Uluslararas› Denetim Standartlar› Kurulu Baflkan›
Mesleki Uygulamalar Çerçevesi, yeni standartlar› da içermek üzere revize edilmifltir. Bu çerçevede, modern iç denetimin tan›m›, etik ve
standartlar, uygulama tavsiyeleri, geliflim ve uygulama yorumlar› yer almaktad›r. Standartlar;
nitelik, performan ve uygulama standartlar› olmak üzere üçe ayr›lmaktad›r. Uygulama tavsiyeleri ise standartlar›n yorumlanmas› ve uygulanmas›na yarar sa¤lar ve uyum zorunlu de¤ildir. Son dönemde standartlarda baz› de¤ifliklikler meydana gelmifl olup bunlar Ronald De
Meulder taraf›ndan detayl› olarak dile getirilmifltir.
Konuflmac›lar›n sunumlar› N. Burak Ünlü taraf›ndan
dilimize çevrilmifltir.
genellikle statü ile belirlenmesi, yönetmeliklerde rol ve sorumluluklar›n daha net bir flekilde
belirlenmesi, bilgi erifliminin genellikle s›n›rland›r›lmam›fl olmas›, politik bir çevrede faaliyet
göstermesi ve nihai raporlar›n genelde kamuya
aç›k olmas›d›r. 21 yy.daki kamu denetçisinin tipik özellikleri afla¤›dakilerdir;
- Profesyonel
- Objektif
- Gerçeklere odakl›
- Teknolojiye adapte olmufl
- Stratejik
- Bilgili
58
59
YANSIMA
YANSIMA
‹ç Denetimdeki
Son Geliflmeler
Ümit Türkkan
15 Kas›m 2004, birçok halka arz edilmifl Amerika Birleflik Devletleri ("ABD") flirketi için Temmuz 2002’de ABD de yürürlü¤e giren SarbanesOxley kurumsal yönetim kanunun yükümlülüklerinden biri olan iç yönetim kontrollerinin dokümantasyon ve raporlanmas› için son tarih.
Söz konusu kanunun 404. Bölümü (Section
404) gere¤i halka arz edilmifl flirket yönetimleri
ve bu flirketlerin ba¤›ms›z denetçileri 15 Kas›m
2004 tarihine kadar iç denetim sistemlerinin islerlili¤ini ve varsa sistemlerdeki önemli aksakl›klar› (material weakness) belirlemek ve raporlamakla yükümlü k›l›n›yorlar.
Financial Times gazetesinde yer alan bir habere
göre halka arz edilmifl flirketlerin büyük ço¤unlu¤u bu yükümlülüklerini yerine getirebilecek
gibi gözükürken %10 ile %25ì 15 Kas›m tarihine kadar bu yükümlülüklerini yerine getiremeyecekler.
Gazetedeki ayn› habere göre Sarbanes-Oxley
ile uyum içinde olman›n ve gereklerini yerine
getirmenin büyük bir ABD flirketi için ortalama
maliyeti 2004 sonu itibariyle 5.1 milyon ABD
dolar›n› (_4m) ve devam eden y›llarda ayni kanun ile ilgili yerine getirilmesi gerekli uyumluluk çal›flmalar›n›n maliyeti ise 3.7 milyon ABD
dolar›n› buluyor.
Bu harcamalar›n çok büyük bir böluümü iç yönetim kontrollerinin dokümantasyon çal›flmalar›ndan kaynaklanmakta ve General Electric gibi
çok büyük boyutlu flirketlerin ayn› kanun ile ilgili uyumluluk çal›flmalar› için maliyetleri 30
milyon ABD dolar›na ulaflmaktad›r.
Korn Ferry insan kaynaklar› ve araflt›rma flirketinin ABD`nin en büyük 1000 (Fortune 1000) flirketi aras›nda yapt›¤› anket sonuçlar›na göre halka arz edilmifl flirketlerin Sarbanes-Oxley kanunu çerçevesinde bu güne kadar yapt›klar› harcamalar 5 milyar ABD dolar›na ulaflmaktad›r.
(Financial Times, "Sarbanes-Oxley compliance
costs average $5m", 12 Kas›m 2004)
ABD menkul k›ymet borsalar›na kote olmufl yabanc› flirketler ve küçük boyutlu ABD flirketlerinin kanunun iç kontroller ile ilgili olan bölümü
(Bölüm 404) ile uyumlu olma zorunlulu¤u 2005
y›l›nda bafllamakta.
Di¤er taraftan The Wall Street Journal gazetesinde yer alan bir habere göre halka arz edilmifl flirketlerin %10 ile %20`sinin iç denetim sistemlerinde aksakl›klar›n ortaya ç›kmas› beklenmekte.
Büyük boyutlu flirketler aras›nda Temmuz
2004`te yap›lan anket sonuçlar›na göre ankete
kat›lan flirketlerin %7.7si Sarbanes-Oxley kanunu çerçevesinde yerine getirmeleri gerekli çal›flmalar›n %20`sinden daha az›n› tamamlad›klar›n› belirtmektedirler. Benzer flekilde %13.3ù
%20 ile %40ìni, %27.4ù %41 ile %60ìni,
%31.9ù %61 ile %80ìni ve sadece %15.3ù
%81 ile %100ùnu tamamlad›klar›n› belirtmektedirler. (The Wall Street Journal, "Tracking the
Numbers, Street Sleuth: Grasping Internal Controls", 3 Kas›m 2004)
The Washington Post gazetesinin 2 Kas›m 2004
tarihli haberine göre ise ba¤›ms›z denetim flirketleri de ayn› flekilde üzerlerinde zaman bask›s›n› hissetmekte, kaynak s›k›nt›s› yaflamakta ve
piyasalardan gelen talebi karfl›lamakta zorluklar
çekmektedirler.
Tüm bunlar› dikkate alan Securities and Exchange Commission ("SEC") flirketlere ve ba¤›ms›z denetimcilere zaman kazand›rmak amac›yla
halka arz edilmifl flirketlerin bu y›l yerine getirmeleri gerekli di¤er baz› yükümlülüklerini erteleme karar› ald›. SEC bafl muhasebecisi Donald
T. Nicolaisenè göre son y›llarda uygulanmaya
bafllanan yeni kanun ve yükümlülükler aras›nda
iç kontrollerle ilgili olanlar finansal raporlamay›
gelifltirmek yönünde en büyük potansiyele sahipler ve bu nedenle iç kontrol alan›ndaki kanun yükümlülüklerinin gerekti¤i flekilde yerine
getirilmesi çok önemli.
Benzer flekilde ABD`de ba¤›ms›z denetim flirketlerinin yasal düzenleyici ve denetçi kurumu
olan Public Company Accounting Oversight
Board ("PCAOB") baflkan› William J. McDonoughà göre yeni düzenlemeler sonucunda büyük bir muhasebe skandal› önlenebilirse Sarbanes-Oxley ile ilgili piyasalarda katlan›lmas› gerekli maliyetlerin ve ek yükümlülüklerin gerek-
lili¤i daha iyi anlafl›lacakt›r.
Bununla birlikte henüz tüm flirketler buna ikna
olmufl görünmemekteler. Intel Corporation sözcüsü Chuck Mulloyà göre bu yorumu yapabilmek için daha çok erken. Mulloy Intelìn Sarbanes-Oxley ile ilgili yükümlülüklerini yerine getirebilmek için gerekli tüm kaynaklar› temin etti¤ini ve kulland›¤›n› ve tüm bu ek maliyet ve çal›flmalar›n kendilerine getirece¤i fayda ve kazançlar›n›n ne olabilece¤ini görmek için bundan sonra
bekleyeceklerini ifade etmekte. (The Washington
Post, "Crunch Time: Companies Hurry to
Comply With Internal Controls Rule", 2 Kas›m
2004)
Cleveland flehrinde faaliyet gösteren National
City Private Client Group`tan James Halloran’da
ayn› flüphecilikle Sarbanes-Oxleyìn kazançlar›n›n marjinal oldu¤u, piyasalarda yat›r›mc›lar
için biraz daha iyi bir ortam›n oluflturuldu¤unu
ancak piyasalar›n bu kanunla uyumlu olabilmek için katlanmak zorunda b›rak›ld›klar› zaman ve maliyetler dikkate al›nd›¤›nda finansal
raporlama alan›nda elde edilecek kazançlara
de¤meyece¤i görüflünde.
Ayn› flekilde ABD’nin en büyük kara tafl›mac›l›k flirketi olan Yellow Roadway Corporationìn
hukuk dan›flman› Dan Schuray flirketin denetim
ve dan›flmanl›k masraflar›n›n 2004 y›l›nda 4
milyon ABD dolar›na ç›kt›¤›n› ve bunun geçen
y›l 1.8 milyon ABD oldu¤unu ifade etmekte ve
elde edilebilecek olas› kazançlar›n harcanan
emek ve maliyetlerle karfl›laflt›r›ld›¤›nda sarf
edilen ek harcamalara ve çal›flmalara de¤meyece¤i görüflünü paylaflmakta. (National Post,
"Someone`s Pain is Another`s Gain", 5 Kas›m
2004)
COSO Yeni Bir Risk Yönetim
Çerçevesi Yay›nlad›
Üç y›ll›k bir çal›flma sonras›nda COSO (Committee of Sponsoring Organizations of the Tra-
deway Commision) yeni bir risk yönetimi çerçevesi (Enterprise Risk Management Integrated
Framework) yay›nlad›.
COSO baflkan› John J. Flaherty`ye göre risk yönetimi çerçevesi oluflturma projesi Enron skandal›ndan önce kurumsal ifl dünyas›nda genel
kabul gören bir risk yönetimi çerçevesi eksikli¤ini dikkate alarak bafllad›.
Flaherty`ye göre risk yönetimi çerçevesi var
olan iç kontrol çerçevesi esas al›narak flirketlere
operasyonel hedeflerine ulaflmalar›nda katk›da
bulunmak amac›yla oluflturuldu. Yeni risk yönetimi çerçevesi var olan iç kontrol çerçevesinin
yerini almamakta aksine iç kontrol çerçevesini
ve çal›flmalar›n› gelifltirmekte ve daha da detayland›rmakta. (Accounting Today, "COSO
Releases A New Risk Management Framework",
25 Ekim – Kas›m 7 2004)
‹ç Kontrol Raporlama K›lavuzlar›
SEC ve PCAOB finansal raporlamaya iliflkin iç
kontrol yükümlülükleri ile ilgili ikinci tur
k›lavuzlar yay›nlad›lar.
SEC Muhasebe Bölümü taraf›ndan Haziran
2004’te yay›nlanan k›lavuz flirket yönetiminin
finansal raporlamaya iliflkin iç kontrol raporlama yükümlülükleri ile ilgili aç›klamalar ve
yorumlar getirmekte. (Management`s Reports
on Internal Control Over Financial Reporting
and Certification of Disclosure in Exchange Act
Periodic Reports)
PCAOB taraf›ndan yay›nlanan k›lavuz ise
Auditing Standard No: 2’nin uygulamas› ile ilgili yorumlar› içermekte. (An Audit of Internal
Control Over Financial Reporting Performed in
Conjunction With an Audit of Financial
Statements) (Auditwire Volume 26, Number 6,
Kas›m/Aral›k 2004)
Ümit Türkkan, CIA, MBA
Deloitte & Touche LLP
Manager, Enterprise Risk Services
Üç Y›ll›k Maratonun Sonu
60
61
YANSIMA
YANSIMA
‹nternetten Pratik Bilgiler
Genel görüfl olarak bilgiye ulaflman›n en iyi yolu kitaplar olmas›na karfl›n en k›sa yolu ise günümüzde internettir. Bilgiyi bulmadaki zorluklar organizasyonlar taraf›ndan bilgi bankalar›
oluflturulmas›na neden olmaktad›r. Bu aflamada, organizasyonlar bilgileri biriktirmekte, çal›flanlar da zamanlar›n› bu bilgilerin bulunmas›,
organize edilmesi ve yönetilmesi için harcamaktad›rlar.
Çal›flanlar internet ortam›nda bir dosya arad›klar›nda karfl›lar›na uzun listeler veya birçok internet adresi ç›kmaktad›r. Dolay›s›yla bu listelere ve/veya sitelere göz atmak uzun zaman almaktad›r. Alain’nin dedi¤i gibi "ahmaklar zaman› nas›l öldürece¤ini, ak›ll›lar ise nas›l kazanaca¤›n› düflünür".
Bu aç›dan, zaman› nas›l kazanaca¤›n› düflünen
denetçiler için, bilgiye daha k›sa sürede nas›l ve
nereden ulafl›labilece¤ine yönelik olarak yararl›
olaca¤›n› düflündü¤ümüz de¤iflik internet sitelerine sizin için göz att›k.
Nakit Ak›m› Yaklafl›m›yla Kredi De¤erlemesi
(E-Book) (fiubat 2004)
Nakit Ak›m› Yaklafl›m›yla Kredi De¤erlemesi
(E-Book) (fiubat 2004)
Anasaya Mahkemesi Kararlar› (Temmuz 2004)
BDDK Kurul Kararlar› (Temmuz 2004)
Yat›r›m Teflvik Mevzuat› (Temmuz 2004)
SPK Mevzuat› (fiubat 2004)
Sorularla D›fl Ticaret Mevzuat› (Temmuz 2004)
Kararlar ve Özelgeler (Eylül 2004)
Döviz Kurlar› Arflivi(1 Ekim 2004)
Mali Makaleler Arflivi(Eylül 2004)
konular›nda güncellenen yaz›l›mlar bulunmakta. Ayn› zamanda, "herkesin bilgiyi ücretsiz temin etme hakk› vard›r" prensibinden hareket
ederek yaz›l›mlar›n kullan›c›lara ücretsiz olarak
sunuldu¤u belirtilmekte.
Türkçe ‹nternet Siteleri
http://www.vergiturk.com
Mali konularda en kapsaml› ve öncü mevzuat
yaz›l›m› oldu¤unu belirtilen sitede, her denetçinin notebook’unda bulunmas› gerekti¤ini düflündü¤ümüz download edilebilecek güzel
programlar mevcut. Sitede,
Türk Vergi Kanunlar› 2004 (6 Ekim 2004)
Denetim ‹lke ve Esaslar› (fiubat 2004)
Fire ve Rand›man Oranlar› (fiubat 2004)
http://www.vergiportali.com
Pricewaterhouse Coopers taraf›ndan düzenlenmifl olan sitede, sirküler, pratik bilgiler, maafl, k›dem tazminat› v.b. hesaplama programlar›, bülten sayfas›nda vergi bülteni, hukuk, sigorta v.b.
bültenler yer almakta, gündemde olan YTL ve
enflasyon muhasebesi konular›nda özel sayfalar
mevcut. Yine bu siteden mali takvim bilgilerine
ulafl›labilir. Yay›nlar Bölümünde, Muhasebe ve
Vergisel Yönleriyle Yeni Türk Liras›na Geçifl,
Vergide Yap›lan 100 Önemli Hata, Vergi Konusunda Avantaj Sa¤layabilece¤iniz 117 Madde,
Ücret Geliri Elde Edenler ‹çin Getirilen 'Özel
Gider ‹ndirimi'
Yat›r›m Teflvik Uygulamalar›, D›fl Ticaret ve
Gümrük K›lavuzu, fiirket Birleflmelerinin Vergisel Boyutu, fiirket Yönetici ve Ortaklar›n›n
fiahsi Zorunluluklar› konular›nda yararl› yay›nlar mevcut. Bu yay›nlar›n pdf format›ndaki elektronik kopyas›n› http://www.vergiportali.com/yayinlar.asp adresinden ücretsiz olarak indirilebilir. Enflasyon muhasebesi ile ilgili mevzuat bilgilerine ve yay›nlanan bültenlere
http://www.vergiportali.com/enflasyon_muhasebesi.asp sayfas›ndan ulaflabilir.
http://www.vergidegundem.com
Ernst & Young taraf›ndan düzenlenmifl bir site, sitede, ayn› flirket taraf›ndan haz›rlanan
sirküler, vergi rehberi, e-makale, vergide
gündem dergisi, pratik bilgiler bulunmakta.
http://www.imkb.gov.tr
Bu siteden, halka aç›k flirketlere iliflkin gereken
tüm bilgilere ulafl›labilir. Hisse Senedi, TahvilBono ve Vadeli ifllemler piyasalar›na iliflkin
günlük bültenler, halka aç›k flirketlerin mali tablolar›, haberleri, piyasa verileri, endeks bilgileri,
piyasa hacimleri ve imkb yay›nlar›na iliflkin
kapsaml› verilere bu siteden ulaflabilir. Sitede,
http://www.imkb.gov.tr/icerik.htm adresine girerek ‹MKB içinden al›nabilecek bütün bilgiler
"‹çindekiler" sayfas› fleklinde görülebilir.
http://www.turmob.org.tr
Genel olarak muhasebe uygulamalar›na yer verilen siteden, mali müflavirlik hakk›nda mevzuat
bilgilerine, s›nav programlar›na ve sonuçlar›na,
yay›nlanan yeni kitaplar›n tan›t›m›na, vergi ve
muhasebe konular›nda pratik bilgilere, yine vergi
ve muhasebe konular›nda yay›nlanan güncel makalelere ulafl›labilir. Konu ismi veya yazar ismi verilerek arama yap›labilen bu sitede istenilen konudaki makalelere http://www.turmob.org.tr/basin_yeni_arsiv/ adresinden ulafl›labilir.
http://www.gelirler.gov.tr
Gelirler Genel Müdürlü¤ü taraf›ndan düzenlenen bu sitede, vergi takvimi, kanunlar, tüzükler,
tebli¤ler, yönetmeliklerden oluflan mevzuat, beyanname düzenleme rehberleri ve örnek beyannameler, vergi mevzuat›nda son ç›kan tebli¤,
tebli¤ taslaklar› ve sirkülerler ile YTL ve e-beyannameye iliflkin bilgiler ve uygulamalar yer almaktad›r. Bu siteden vergi mevzuat› ile ilgili de¤ifliklikler güncel olarak takip edilebilir.
http://www.alomaliye.com
Genifl bir mevzuat bilgisini içeren bu site, yönetmeliklerden tutun da kanunlar, tüzükler, tebli¤ler, muktezalar, Dan›fltay kararlar› ve Anayasa Mahkemesi kararlar›na kadar oldukça detay
bazda haz›rlanm›fl güzel bir sitedir. Pratik bilgiler, püf noktalar›, mesleki yay›nlar ile ilgili kitaplar, mesle¤inde uzmanlaflm›fl kiflilerin yazd›¤› makalelere yine bu siteden ulaflabilirsiniz.
Ayr›ca, Enflasyon Düzeltmesi Program›, ‹fl Kanunu Program›, K›dem ve ‹hbar Tazminat› Hesaplama Program›, TL’den YTL’ye Çeviri Program›, Net’ten Brüt’e Maafl Hesaplamas› gibi programlar bu siteden ücretsiz olarak download edilebilir. Bu sitenin mail listesine kayd›n›z› yapt›rd›¤›n›zda, otomatik olarak vergi ve di¤er kanunlarda yap›lan de¤ifliklik bilgileri mail adresinize
ücretsiz olarak gönderilmektedir.
http://www.sayistay.gov.tr/yayin/
yayinicerik/intosai1.htm#soz Devlet denetimine yönelik olarak, Yüksek Denetim Kurumlar›
Uluslararas› Kuruluflu olan ve Türk Say›fltay›n›n
da üyesi bulundu¤u INTOSAI, üye ülke Say›fltaylar› aras›nda denetim usul, metod ve teknikleri yönünden bir birliktelik sa¤lamak amac›yla
1984 y›l›nda kurdu¤u Denetim Standartlar› Komitesi taraf›ndan Ekim 1991 tarihinde onayla-
Bayram Akyüz
62
63
YANSIMA
YANSIMA
nan Intosai Denetim Standartlar›na (1Devlet Denetiminde Temel Önermeler
Paragraf 1- 49, 2- Devlet Denetiminde
Genel Standartlar Paragraf 50-128 3Devlet Denetiminde Çal›flma Standartlar› Paragraf 129-162) bu adresten ulaflabilirsiniz.
Yurtd›fl›ndaki ‹nternet Siteleri
http://www.auditnet.org/
Bu site tüm denetçilerin faydalanabilece¤i temel bilgi ve yönlendirmeleri içermekte. Sitede çeflitli denetim yöntemlerine iliflkin haz›rlanm›fl denetim prog-
Denetim Programlar›
Association of College&University
www.acua.org
Auditors Audit Exchange Library
Association of Healthcare Internal
www.ahia.org
Auditors Electronic Audit Library
Audit Guides - Treasury
www.tbs-sct.gc.ca
Board of Canada
Audit Manuals,Guides&Programs
www.tbs-sct.gc.ca
Treasury Board of Canada
www.ci.tampa.f1.us
Audit Program Guides
www.utsystem.edu
Audit Programs
Auditing the Human
www.auxillium.com
Resources Function
AuditNet Auditors Sharing
www.auditnet.org
Audit Programs
www.auditnet.org
AuditNet Supplemental
List of Audit Programs
Computer Security Institute
www.all.net
Mini -Checklist
Construction Audit Programs
150.176.41.12/cig
Defense Contract Audit Agency web.deskbook.osd.mil
File System Checklists
www.all.net
www.fpc.com
Florida Power Corporation
www.fpc.com
Florida Power Corporation
Audit Services Internal Control
GASSP FirewallChecklist
www.all.net
Information Systems Audit&
www.gallaudet.edu
Security Review Kits
LAN Administration
www.jhuniverse.hcf.jhu.edu
Self Assessment Questionnaire
www.all.net
Management Analytics
Firewall Checklist
Novell Network Security
www.stanford.edu
Self Assessment
Operating Unit Compliance Audits www.stanford.edu
www.all.net
PBX Audit Checklist
PCCIP Risk Management
www.all.net
Best Practices Audit
www.all.net
Process Audit Checklist
QS - 9000 Auditor's Checklist www.isogroup.iserv.net
ram ve metodolojileri, denetim ile ilgili sitelerin
bulundu¤u genifl bir link arflivi, denetime iliflkin
çal›flma program›, denetim raporlar›, risk bazl›
denetim esaslar›n›n anlat›ld›¤› çal›flmalar›n
bulundu¤u kütüphane sayfas›, denetim ile ilgili
son geliflme ve yaklafl›mlar ile uluslararas› alanda denetçi taleplerinin yap›ld›¤› bir ilan tahtas›
yer ald›¤› sayfa bulunmaktad›r. Yine sitede,
programlar sayfas›nda, yönetim ve finansal
denetime yönelik programlar›n indirilebilece¤i
bir sayfa ile 800’e yak›n hem IT denetimi hem
de operasyonel ve risk bazl› denetimlere konu
olacak program, el kitab› ve çal›flmalara
uflaflabilece¤iniz linkler mevcuttur.
http://www.tbs-sct.gc.ca/ia-vi/home-accueil_e.asp
Kanada Hazine Müsteflarl›¤›na ait olan bu sitede, risk bazl› denetimin nas›l yap›laca¤› ile risk
noktalar›n›n tespitine iliflkin bilgileri içeren ve
denetim çal›flmalar›n›n ad›mlar›n› gösteren bir el
kitab› bulunmaktad›r. Sitede Risk De¤erlemesi,
Risk Bazl› Denetim Çerçevesi, Risk’lerin çeflit
seviye ve kalitesine göre ayr›flt›r›lmalar›, Risk
Yönetimi konular›nda bir el kitab› mevcuttur.
http://www.abrema.net/interactive/
approach/ap_form.html
Aktivite esasl› risk noktalar› tespiti ve denetim
modeli gelifltirilmesi için basit bir yaklafl›m ve
ölçümleme gösteren bir site, denetim yaklafl›m›n› tan›mak için göz at›lmas› ilginç olabilecek bir site. Muhasebesel aç›dan denetimin
risk yap›s› için yönlendirme yap›lmaktad›r. Yine
site içerisinden detayl› rasyo hesaplamalar› ve
yorumlar›na iliflkin sitelere link ile gitmekte
mümkündür.
Bayram Akyüz, Yaflar Holding A.fi., ‹ç Denetim Birimi
Advanced Technology Program
www.atp.nist.gov
Audit Guidelines
Application Review Questionnaire www.umanitoba.ca
Appraising Your Auditors
www.icas.org.uk
Audit Manual
www.utsystem.edu
Audit Methodology Manual
www.sao.state.tx.us
Audit Process Handbook
www.hhs.gov
Audit Report writing Guide
www.psc-cpf-gc.ca
Audit Survival Guide
www.stanford.edu
Audit Techniques Guide
www.irs.ustreas.gov
Benchmark Project Guide
www.dtic.mil
Best Practices Procurement Manual
www.fta.dot.gov
Better Practice Guides
www.anao.gov.au
Building & Auditing a
developer.novell.com
Trusted Network Environment
Business on the Web
www.butlergroup.co.uk
Management Guide
Business Tools
www.toolkit.cch.com
Check Fraud:Guide to
www.oc.treas.gov
avoiding Losses
Client Satisfaction
www.psc-cpf-gc.ca
Measurement Questionaire
COBIT
www.isaca.org
Computer Control and Audit Guide
arts.unwaterloo.ca
Conference Audit Guide www-tradoc.monroe.army.mil
Corporate Credit Card
www.audit.nsw.gov.au
Best Practise Guide
Corporate world
ourworld.compuserve.com
wide Web Strategy
Cost Estimating Handbook
www.jsc.nasa.gov
Cost Performance
www.ctg.albany.edu
Model for Assessing
Cost Principles-Procedures for
www.hhs.gov
Develop Cost Allocation Plans
www.curtin.edu.au
Curtin Control Assessment
Consumer Service Audit Guide
www.tbs-sct.gc.ca
Data Collection & Analysis Site
www.deakin.edu.au
Economics, Essential Principles
www.drexel.edu
EDI Implementation Guide
www.pa.gov.au
Environmental Audit Guide
www.tbs-sct.gc.ca
Environmental Auditing Program www.pca.state.mn.us
Ethical Business Guide
nt1.ids.ac.uk
FDIC Bank Examination Manual
www.fd›c.gov
www.fd›c.gov
FDIC Information Systems Handbook
Federal Financial Accounting
www.gao.gov
Concepts and Standards
Federal Information Processing Standards www.nist.gov
www.ussc.gov
Federal Sentencing Guidelines Manual
Fraud Control Policy
www.law.gov.au
Full cost Initiative Implementation Guide ifmp.nasa.gov
GAO Federal Information System
www.gao.gov
Control Audit Manual
www.gao.gov
GAO Financial Audit Manual
GAO General Policies/Procedures &
www.gao.gov
Communications Manual
GNA Internal Controls &
www.gnacademy.org
Procedures
www.sao.state.tx.us
Guide to Cost-Based
Decision-Making
Guide to Minimizing
www.rcmp-grc.gc.ca
Computer theft
Guide to Performance Measurement
www.fpm.com
Handbook for Audit Committee Memebers www.gt.com
Hiring Policies and Procedures Manual www.uwplatt.edu
Housing & Urban Development
www.hud.gov
Audit Guide
Human Resource Management
www.hr.state.tx.us
Self-Assessment Guide
Internal Control & Financial
www.state.ct.us
Management Manual
Internal Control Guide
www.jhu.edu
Internal Control Guide
www.state.ma.us
Internal Review Guide
www.asafm.army.mil
Internet Administration
www.elronsoftware.com
Policy Guide
Internet Security Policy Guide
www.csrc.nist.gov
Investigations Manual
www.ig.navy.mil
Investigator's Guide to
www.gao.gov
Sources of Information
IS Audit & Security Review Kits
www.gallaudet.edu
Keeping Your Site Comfortably Secure
csrc.nist.gov
Kelley Blue Book
www.kbb.com
LAN Security Guidelines
www.utoronto.ca
Legal Services Corporation Audit Guide
oig.1sc.gov
Managerial Cost Accounting Guide
www.va.gov
Micro-Computer Security Checklist
www.fis.nesu.edu
Network Risk Assessment Users Manual wwwoirm.nih.gov
www.dtic.mil
Perfofmance Assessment Guide
Performance-Based
www.itpolicy.gsa.gov
Management Guide
www.hr.ucsd.edu
Performance Management Guide
Performance Management
www.qao.qld.gov.au
System Audit Guide
Performance Planning Guide
www.ospl.state.nc.us
Practical Guide to
www.icac.nsw.gov.au
Corruption Prevention
Procurement Policies and
www.state.ma.us
Procedures Handbook
Research Methods
www.trochim.human.cornell.edu
Knowledge Base
www.tbs-sct.gc.ca
Review Information Network
www.tbs-sct.gc.ca
Risk Management Audit Guide
Sales System Control Objectives
www.umanitoba.ca
www.au.af.mil
Sampling and Surveying Handbook
Security Checklist
spider.osfl.disa.mil
Sick Leave Management Audit Guide www.tbs-sct.gc.ca
Site Security Handbook
www.net.ohio-state.edu
Software Management Guide
microsoft.com
Software Management Policy Manual
www.state.ct.us
Sub-Recipent Audit Guide
www.phila.gov
www.umanitoba.ca
System Implementation
Review Checklist
Training Function Audit Guide
www.tbs-sct.gc.ca
www.ffied.gov
Users Guide for the Uniform
Bank Performance Report
www.oag.bvg.gc.ca
Value for Money Audit Manual
Windows NT
www.trustedsystems.com
Security Guidelines
Denetim El Kitaplar› ve Check-Listler ‹le ‹lgili Web Siteleri
64
65
PANO
PANO
ECIIA Yönetim Kurulu ve Genel
Kurul Toplant›lar› ‹stanbul’da Yap›ld›
8 Ekim 2004 tarihinde ‹stanbul’da yap›lan ECIIA Yönetim Kurulu toplant›s›nda Avrupa Konfederasyonunun
2004 y›l› faaliyet raporu, 2005 y›l›
stratejik ifl plan› ve bütçesi görüflüldü.
9 Ekim 2004 tarihinde yap›lan ECIIA
Genel Kurulu’nda ise, ECIIA 2005 Y›l›
Stratejik ‹fl Plan› ve bütçesi onayland›.
ECIIA yeni dönem baflkanl›¤›na Yves
CHANDELON seçildi. Azerbaycan ve
Litvanya ‹ç Denetim Enstitüleri Konfederasyonun yeni üyeleri olarak kabul
edildi.
Konferans organizasyonunu baflar› ile
gerçeklefltiren ev sahibi Türkiye ‹ç
Denetim Enstitüsü’ne teflekkür edildi.
‹ç Denetim Mesle¤inin Uluslararas›
Liderleri ‹stanbul’da Bulufltu
‹ç Denetim mesle¤inin önde gelen isimleri, uluslararas› mesleki liderleri Avrupa ‹ç Denetim Konferans› için ‹stanbul’da bulufltular. Uluslararas› ‹ç
Denetçiler Enstitüsü (IIA-Inc) Yönetim Kurulu Baflkan› Betty McPhilimy, ‹cra Kurulu Baflkan› David
Richards, IIA Uluslararas› Standartlar Kurulu Baflkan› Roland de Mulder, Avrupa ‹ç Denetim Ensti-
tüleri Konfederasyonu Yönetim Kurulu Üyeleri,
Avrupa Birli¤i Denetim Mahkemesi Genel Sekreteri Michel Herve ile üniversite ve uluslararas› kurulufllar›n temsilcileri Avrupa ‹ç Denetim Konferans›nda bir araya gelerek bilgi ve deneyimlerini
paylaflman›n yan› s›ra Ülkemizde iç denetim mesle¤inin geliflimi ve dinamizmine tan›k oldular.
Yves Chandelon ECIIA Baflkan› Seçildi
Türkiye ‹ç Denetim Enstitüsü’nün ev sahipli¤i
yapt›¤›, 7- 8 Ekim 2004 tarihlerinde ‹stanbul’da
gerçeklefltirilen Avrupa ‹ç Denetim Konferans›na, ABD, Avrupa, Afrika ve Asya ülkelerinden
çok say›da iç denetim uzman› kat›ld›. Büyük ilgi gören "Risk, Denetim ve Kurumsal Yönetim"
konulu konferansa kat›lan konuflmac› ve kat›l›mc›lar, sunulan bildirilerle uluslararas› mesleki bilgi ve deneyimleri paylaflma f›rsat› buldular.
Konferans›n aç›l›fl oturumunda ECIIA Baflkan›
Philippe Christelle, Konferans Baflkan› Ali Kamil
Uzun ve T‹DE Baflkan› Özlem Aykaç; "Dört k›tadan gelen meslektafllar›m›zla dünyan›n eflmerkezi ‹stanbul’da sürdürülebilir kurumsall›k
için iç denetimin ça¤dafl dünya vizyonuna köprüler kurmak" üzere ‹stanbul’da yap›lan Avrupa
‹ç Denetim Konferans›’n›n uluslararas› bir paylafl›m platformu oldu¤unu ifade ettiler.
Türkiye ‹ç Denetim Enstitüsü taraf›ndan gerçeklefltirilen Avrupa ‹ç Denetim Konferans›; konferans organizasyonu, kat›l›m yayg›nl›¤›, konu ve
içerik kalitesiyle IIA-Inc, ECIIA ve üye ülkelerin
büyük övgüsünü kazand›.
Konferans›n kapan›fl oturumunda, sertifika
s›nav›nda baflar›l› olarak sertifika almaya hak
kazanan meslektafllar›m›za sertifikalar› törenle
verildi.
Konferansla ilgili ayr›nt›l› bilgileri "Yans›ma"
sayfalar›nda okuyabilirsiniz.
Uluslararas› ‹ç denetim
standartlar› Türkçe çevirisi
yay›nland›
IIA-Inc Standartlar Kurulu’nun haz›rlad›¤› "Uluslararas› ‹ç Denetim Standartlar›" Türkiye ‹ç Denetim
Enstitüsü taraf›ndan Deloitte’un katk›lar›yla dilimize çevrilerek Türkçe olarak yay›nland›. ‹ç Denetim standartlar›, uygulama önerileri,
davran›fl ve etik kurallar›yla mesleki
terimler sözlü¤ünü içeren kitapla ilgili ayr›nt›l› bilgi (www.tide.org.tr) ve
kitab› temin etmek için ([email protected]) web ve mail adresleri arac›l›¤›yla Türkiye ‹ç Denetim Enstitüsü ile iletiflime geçebilirsiniz.
Baflsa¤l›¤›
Türkiye ‹ç Denetim Enstitüsü Kurucu
Baflkan› Ali Kamil Uzun’un annesi
Memnune Uzun
vefat etmifltir.
Türkiye ‹ç Denetim Enstitüsü
Yönetim Kurulu ve ‹ç Denetim Dergisi
Yay›n Kurulu olarak merhumeye
Tanr›’dan rahmet,
aile yak›nlar›na baflsa¤l›¤› dileriz.
ECIIA Avrupa ‹ç Denetim
Konferans› Yap›ld›
Luksemburg ‹ç Denetim Enstitüsü’nden Yves Chandelon, ‹stanbul’da yap›lan ECIIA Genel Kurulu’nda yeni dönem konfederasyon baflkanl›¤›na
seçildi. NATO ‹ç Denetim Direktörü olarak görev yapan Yves Chandelon, Kamu Kurulufllar›nda ‹ç Denetim ve NATO’da ‹ç Denetim Uygulamalar› konular›nda 2002/May›s ay›nda ‹stanbul’da yap›lan Türkiye ‹ç
Denetim Kongresi ile 2004/Ekim ay›nda ‹stanbul’da yap›lan Avrupa ‹ç
Denetim Konferans›’nda bildiriler sundu. Yves Chandelon’u yeni görevinden ötürü kutluyor, çal›flmalar›nda baflar›lar diliyoruz.
66
ÖZET/SUMMARY
English Summary
• In the "Iceberg" section of this issue, under the
general title "Opportunities Forming the Future
of Internal Audit", the guest speakers that had
visited Turkey during the European Internal
Audit Conference respond to our questions
relating to the present status of internal audit
and draw a perspective for the future of the
profession, adding their rich professional
experience.
• This issue of "‹ç Denetim" also includes the
study done by Deloitte and Economist
Intelligence Unit called "In the Dark. What
Boards and Executives Do Not Know About the
Health of Their Business". The research
mentions about the increasing used to
understand and follow up the non-financial
indicators in addition to the financial indicators
for the Board of Directors and senior
management.
• In his article, Albert J. Marcella, explains a
case study about cyber crimes. Gülsen Özden
shares her views in relation to the integration of
internal control system and operational risk
management. Ali R›za Eflkazan continues with
his views with regard to the efficiency of the
internal audit functions. Serdar Gürel explains
the online controls and computer based audit
and control techniques in his article.
• In the article called "Step Son: Project
Management" the writer explains the
importance and different phases of project
management.
Essays
with
titles
"Transformation" by Ali Kamil Uzun and
"Anarchical Trend in Human Resources
Management" by Ahmet Ery›lmaz take their
places in that issue as well.
• Following the interview with the President of
the Association of Young Managers and
businessmen (G‹YAD) summaries of the
presentations given during European Internal
Audit Conference can be seen.

ç - Türkiye İç Denetim Enstitüsü

Transkript

Benzer belgeler

AÇ - ekolojikmim.com

T-KIT 3 DOC*

2009.07 Beymen Brasserie

dosyayı indir

SM78-4 - Spormeydani.org