İç Denetim Nedir? - İç Denetim Birimi Başkanlığı

İç Denetim Nedir?
Bertan KAYA/Merkez Bankası İç Denetçisi
Günümüzde iş dünyasında iç denetim ile ilgili ciddi bir kavram karmaşası yaşanıyor. İç
denetim kavramının ne olduğu ve ne olmadığı genellikle bilinmiyor. Özellikle 2000 li yıllardan
itibaren dünyada meydana gelen bazı kurumsal ve mali skandallar sonrası önemi artmaya
başlayan bir kavram iç denetim. Amerika gibi gelişmiş, büyük piyasalarda bu skandallar
sonrası iç denetim fonksiyonu ve iç denetçilerin önemleri oldukça artmış durumda. SOX gibi
güçlü yaptırım gücüne sahip düzenlemelerin iç denetçilerin kamuoyu nezdindeki itibarını bir
hayli arttırdığı bir gerçek. Özellikle Amerika’da başlayan ve diğer Batılı ülkeler tarafından da
itibar gören bu ve benzeri yasal düzenlemelerin ülkemizde de bazı yansımaları oldu. 2000
sonrası Bankacılık sektörü ile başlayan ve son 2 yıl içinde Kamu idareleri ile devam eden
çağdaş iç denetime yöneliş, bir süredir özel sektörün de ilgisini çekmeye başladı.
Aslında ülkemizde iç denetim kavramı çok da yeni bir kavram değil. Bankacılık sektöründeki
ve kamudaki teftiş kurulları geleneği neredeyse yarım asırlık bir geçmişe sahip. Özel sektöre
bakıldığında köklü bazı kurumlarda 20 yılı aşkın süredir bazı temel iç denetim girişimleri söz
konusu idi. Ancak tüm bu oluşumlar, dünyada iç denetimin ilerlediği çizgiden farklılık arz
etmekte idi ve ekseriyetle güncel metot ve teknikleri yakalayamamıştı. Buna rağmen oldukça
iyi niyetli çabalar olduğunu ve geçmişe dönük pek çok hata ve usulsüzlüğün tespitinde önemli
rol oynadıklarını kabul etmemiz gerekiyor. Bununla birlikte zaman içinde teknolojideki
gelişmeler, piyasaların küreselleşmesi, ticaret ve sermaye akımlarının serbestleşmesi ve iş
kültürünün değişmesi, kurumların yönetsel ve örgütsel süreçlerini değiştirmiş, farklı ve
yepyeni fonksiyonlara olan ihtiyacı arttırmıştır. Örneğin, 1980 lerden sonra önemi artan risk
ve risk yönetimi kavramlarına paralel olarak risk tanımlama, ölçüm ve yönetim teknikleri
finans sektörünün iş yapış tarz ve mekanizmalarını kökten bir şekilde değiştirmiştir. Yine
örneğin örgütsel yapılar daha bürokratik ortamlardan, yatay hiyerarşiye dönük bir gelişim
sergilemiştir. Teknoloji verimliliği inanılmaz boyutta arttırırken, iletişim ve iş yapış
1
şekillerinde hız kazanılması söz konusu olmuştur. Kâğıt kullanımının yerini elektronik
yöntemlerin alması, yazılım ve sistemlerin iş hayatında ağırlığının artması, yeni yönetim
teorilerinin tartışılmaya başlanması ve çalışanların iş sistemleri içindeki rol ve
sorumluluklarının yeniden tanımlanması değişim sürecinin ana gelişim noktaları olarak dikkat
çekmiştir. Böylesi büyük bir değişimden iç denetimin nasibini almaması elbette
düşünülemezdi.
Gerek bu ana değişimler, gerekse de bunların dolaylı etkileri sonucu ortaya çıkan yasal
düzenlemeler iç denetimi geçmişe dönük ve mevzuata uygunluk eksenli bir bakış açısından
ileriye dönük ve "risk odaklı" bir bakış açısına yöneltmiş, iç denetçinin bilgi ve teknoloji
çağındaki rol ve sorumluluklarını yeniden şekillendirmiştir. Bugün gelişmiş ülkelerde,
toplumun ve iş dünyasının, iç denetim fonksiyonu ve onu teşkil eden iç denetçilerden
beklentileri net bir şekilde belirlenmiş, ortak bir anlayış ve kabul ile gerek yasal, gerekse de
mesleki düzenlemelerde dile getirilmiştir. Ülkemizde çağdaş iç denetim anlayışı ve bunun
hayata geçirilmesine yönelik çabalar 1995 yılında Türkiye İç Denetim Enstitüsünün (TİDE)
kuruluşuna dek gitmektedir. 2000 lerin ilk yarısı Türkiye'de iç denetim kavramı ve çağdaş iç
denetim uygulamalarına yönelik ilginin hızla artmaya başladığı dönem olmuştur. TİDE ve
üyelerinin özverili çalışmaları sonucu iç denetçilik mesleği ülkemizde farklı boyutları ile ele
alınır ve yaygın şekilde yürütülür hale gelebilmiştir. Türkiye'de CIA sertifika sınavlarına olan
ilgi, basında iç denetim ile ilgili çıkan haberler, TİDE gibi sivil toplum örgütlerinin mesleki
organizasyonlarına katılım ve ülkemizde bu alanda ortaya koyulan yasal düzenlemeler
mesleğin geri dönülemez bir çizgide ve hızlanarak geliştiğini açıkça ortaya koymaktadır.
Bu yazının yazılmasına neden olan konu, özel ve kamu sektöründeki meslek profesyonelleri
tarafından ne olduğu, kapsamı ve odağı iyi bilinen "iç denetimin", özel ve kamu
kurumlarındaki diğer yönetici ve çalışanlar ile iş dünyasındaki paydaşlar tarafından sağlıklı bir
şekilde bilinmemesi gerçeğidir. Bu çevrelerde iç denetim ekseriyetle teftiş ve mali denetim
ile karıştırılabilmektedir. Bu nedenle meslek profesyonelleri ile iç denetim hizmetini alacak
olan veya alması yasal olarak zorunlu tutulan çevreler arasında bir kavram birliği sağlamak
gerektiği düşüncesindeyim. Yazımızın başlığı da bu sebeple "İç Denetim Nedir?" olarak
belirlendi. Elbette ki amacımız iç denetim ile ilgili bilgi sahibi olmak isteyen herkese
ulaşmaktır. Ancak spesifik olarak özel ve kamu sektöründeki paydaşları bilgilendirme
arzusundayız.
Uluslararası İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin esas ve genel kabul görmüş
meslek organizasyonudur. Bu enstitünün uzun araştırma, istişare ve çabalar sonucu ulaştığı
genel kabul görmüş bir iç denetim tanımı var:
2
" İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden
bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk
yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına
yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı
olur."
Meslek profesyonellerinin ve diğer ilgililerin araştırdıklarında karşılarına genelde hep bu
tanım çıkıyor. Bence oldukça makul ve geniş bir tanım. Yani mesleğin içinden kişilere çok şey
ifade ediyor ve iyi yol gösteriyor. Öte yandan iç denetim mesleği dışından kişiler için çok
anlam ifade ettiği kanısında değilim. Zaten meslek profesyonelleri dışında iç denetim ile ilgili
ve ilişkili kişiler için (paydaşlar) kavram karmaşası da buradan çıkıyor. Genel ve altı net bir
şekilde doldurulmamış klasik batı tanımları belirli bir kavramdan herkesin farklı bir şeyi
anlamasına neden olabiliyor. Yorum farklılıkları olabiliyor. Hele de işin içinde olmayanlar için
bu kavramlar manzumesi pek bir karışık gelebiliyor. Risk, etkinlik, sistematik, disiplinli... Pek
çok kavram üzerinde fikir birliği sağlamak zor gözüküyor. Bu nedenle de iç denetim kavramı
ülkemizde hala teftiş ve mali denetim ile benzer bir çizgide görülüyor. Belki de öyle görülmesi
tanımlanmasını kolaylaştırıyor. Oysa ki yukarıdaki tanım çok farklı bir hikayeyi anlatıyor.
Yapılması gereken bu hikayeyi sadece meslek profesyonelleri değil, herkesin anlayabileceği
bir dilde anlatmaya çalışmak ve ortak bir anlayış geliştirmek.
Öte yandan iç denetime ilişkin kısa, net, açıklayıcı ve tüm taraflarda benzer bir anlayışı
oluşturabilecek bir tanım bulmak oldukça zor.
İç denetim bir kurum ya da organizasyonda yürütülen faaliyet iş ve işlemlerin yönetimden
farklı ve tarafsız bir gözle değerlendirilmesi olarak özetlenebilir. Bu değerlendirme esas
olarak kurumda işlere ilişkin risklerin bilinmesi, iyi yönetilmesi ve bu riskleri yönelik olarak
tasarlanan iç kontrollerin varlığı ve etkinliği konularına odaklanır.
Aslında iç denetimin en önemli fonksiyonu da budur. Temel odak risk ve kontroller
olmaktadır. Zira bir kurumun iç kontrol sistemi o kurumun;
a. Operasyonlarının etkin ve verimli yürütüldüğü
b. Mali ve operasyonel raporlamaların doğruluğu
c. Mevzuata uygunluk
3
Hedeflerini gerçekleştirmesine yardımcı olur. İç kontrol sisteminin değerlendirilmesi, bu
unsurların
tamamının
değerlendirme
kapsamına
girdiğine
işaret
etmektedir.
Risk Yönetimi ve İç Kontrol bakış açısı ile şekillenen denetim fonksiyonu geleceğe dönüktür ve
insanların değil sistemlerin ve süreçlerin hataları ile ilgilenir. Bir kurum ya da organizasyonun
tüm iş ve işlemlerinde var olan riskler- ki bunlar arasında strateji ve planların misyon ve amaç
ile uyumlu olmaması riski de vardır- ve kurumun risklerini nasıl yönettiği, iç denetimin ana
odağıdır. Yani bir kurumun iç denetçilerinin sorması ve cevap araması gereken ilk 3 soru
şunlar olmalıdır:
1) Bu kurum bir bütün olarak, tüm alanlarda karşı karşıya olduğu riskleri iyi biliyor mu?
2) Bu riskleri yönetmek için neler yapılıyor? (iç kontroller gibi)
3) Bu riskleri yönetmek için alınan tedbirler etkin mi? (iç kontroller etkin çalışıyor mu?)
İş ve işlemlerin geçmişe dönük olarak mevzuata uygunluğunun denetlenmesi olan teftişten
en büyük fark odağın mevzuat değil, risk olmasıdır. Riskler geleceğe dönük, hedeflere
ulaşılmasını engelleyebilecek olaylardan kaynaklanan potansiyel sonuçlardır. Geçmişte
yapılan hata veya suistimaller mutlaka bir risk nedeni ile oluşan sonuçlardır.
İç denetim içinde farklı denetim türlerini barındırır. Mali denetimler, operasyonel
denetimler, mevzuat denetimleri (teftiş), bilgi sistem ve teknoloji denetimleri veya sadece
risk/kontrol değerlendirmeleri gibi. Bunlar denetim alanına göre ya ayrı ayrı ya da değişik
kombinasyonlar ile gerçekleştirilebilir. Örneğin bir satın alma denetimi içinde risk/kontrol
değerlendirmesi ve mevzuat denetimi farklı yüzdeler ile yer alabilir. Ya da bir muhasebe
departmanında finansal denetim ve operasyonel denetim birlikte gerçekleştirilebilir. Bu
tamamen denetimlerin nasıl planlandığı ve hangi amaçla gerçekleştirildiğine bağlıdır. İç
denetim farklı alanlarda farklı denetim türleri ile icra edilebilir. Ancak tekrar etmekte fayda
olduğunu düşünüyorum; tüm bu denetimlerin kapsamında az veya çok, mutlaka risk kontrol
değerlendirmeleri yer almalıdır. Örneğin iç denetçilerce gerçekleştirilecek bir finansal
denetimde mali raporlamalar ile ilgili iç kontrollerin değerlendirme kapsamı dışında
tutulması pek olası değildir. Benzer şekilde operasyonel denetimlerin de önemli bir bölümü iç
kontrollerin etkinliği ve verimliliğinin değerlendirilmesidir. Açıklığa kavuşmasında fayda olan
hususlardan birisi de budur.
İç denetim hissedarlar tarafından seçilen yönetim kurulu ve yönetim kurulunca atanan üst
yöneticilere kurumda yürütülen iş ve işlemlere ilişkin makul güvence sağlar. Yani üst yönetim
için çok değerli bir kontrol aracıdır. Önemli bir yönetsel fonksiyondur. Kurum içinde
4
mevzuata uygunsuzluk, hata, hile, verimsizlik ve risklere yönelik olarak engelleyici ve tespit
edici bir mekanizmadır. Üst yönetimin kurumsal yönetim ilkelerinden hesap verilebilirlik ve
sorumluluk ilkeleri çerçevesinde hareket etmesine fayda sağlar, varlığı ve faaliyetleri ile bu
ilkelerin sağlıklı bir şekilde tesis edilmesine katkıda bulunur.
İç denetim bir yönetim aracıdır. İç denetim yönetici ve çalışanların hatalarını bulmaya değil
eksiklerini kapatmaya çabalar. Bu bakımdan kurum çapında güvenilmesi ve desteklenmesi
gereken bir fonksiyondur.
5
Özel Sektörde İç Denetim
Ne İfade Ediyor?
Özel sektör işletmelerinde iç denetim faaliyetinin oluşturulması büyük önem taşımaktadır.
Etkin bir iç denetim faaliyeti, şirketlere büyük faydalar sağlamaktadır. Bu faydalara geçmiş
yazılarımızda değinmiş olmakla birlikte, tekrar etmeyi önemli buluyoruz.
1. Şirketin amaç ve hedeflerine ulaşmasını engellemeye yönelik iç ve dış risklerin tespit
edilmesi ve etkin bir şekilde yönetilmesinin sağlanması;
2. Maliyetlerin optimize edilmesi ve operasyonlarda verimliliğin sağlanması;
3. Hata, suistimal veya hilelerden kaynaklanan kayıpların önlenmesi;
4. Öngörülemeyen ve şirket açısından yıkıcı sonuçlar doğurabilecek olayların erken tespiti
ve önlenmeye çalışılması. Bu tür olayların yaratabileceği hasarların minimize edilmesi;
5. Şirketin iç ve dış çevredeki fırsatları yakalamasının sağlanması;
6. Şirketin operasyonel etkinliğinin artırılması;
7. Kurumsal Yönetim uygulamalarının geliştirilmesi ve şirket itibarının artırılması;
8. Şirketin ekonomik, finansal ve reel sektör krizlerine dayanıklılığının artırılmasına destek
verilmesi;
9. Şirket tarafından kamuya yapılan finansal raporlamalar ile şirket yöneticilerinin karar
almada kullandığı operasyonel ve finansal verilerin güvenilirliği ve doğruluğunun
korunması;
10. Şirket varlıklarının korunması ve kayıt altında tutulması;
11. Şirketin tabi olduğu yasa ve düzenlemelere uygunluğun sağlanması;
12. İç denetim faaliyeti dışında, yukarıda bahsedilen faydaların tamamını sağlayabilecek
alternatif bir mekanizma bulunmamaktadır.
Şirket dışındaki uzmanlardan alınabilecek hizmetlere bakıldığında, çağdaş iç denetim
faaliyetinin hedef ve kapsamından çok farklı hizmetlerle karşılaşıldığı görülür;
6
Bağımsız denetim (dış denetim) şirketin kamuya yaptığı finansal
raporlamalar üzerine odaklanır. Şirketin finansal raporlama süreçleri
dışındaki süreçleri genellikle değerlendirme kapsamı dışında kalır. Dış
denetim finansal tabloların, işlemler, kayıtlar, ilkeler ve muhasebe standartları ile uyumunu
sorgular. Şirketin operasyonel etkinlik
etkinlik ve verimliliği, maliyetlerinin iyileştirilmesi, fırsatların
yakalanması veya daha etkin yönetsel stratejiler için güvence ve danışmanlık vermez.
Muhasebe ve Vergi Danışmanlığı hizmetleri (SMMM ve YMM’lerden alınan
hizmetler) ise genellikle şirketin muhasebe sisteminin iyileştirilmesi,
finansal raporlamaların güvenilirliği, mali ve ticari karın tespiti ve
doğrulanması, vergi uygulamaları ve vergi matrahının kontrolü, tam tasdik işlemleri, iade ve
istisna raporları gibi vergisel konular üzerine odaklanmıştır.
odaklanmıştır. Muhasebe ve vergi alanında
uzman kişilerce sağlanan bu hizmetlerde, şirketin muhasebe ve vergisel riskleri ele alınıp, bu
alanlardaki sorunlarına çözüm aranır.
Yönetim, Süreç ve Kalite Danışmanlığı hizmetleri ise genellikle
operasyonların, süreçlerin ve örgüt yapısının iyileştirilmesi ve kalite
sisteminin yapılandırılması (TKY, ISO, TSE, CE) üzerine odaklanmaktadır. Bazı
yönetim danışmanlığı faaliyetleri yönetsel stratejilerin belirlenmesi noktasında da fayda
sağlar.
ağlar. Pazarlama, marka, iletişim ve benzeri alanlarda da yönetim danışmanlığı hizmetleri
almak mümkündür. Bu hizmetler genel olarak belirli bir iş alanı veya iş kolunda sağlanan, o iş
alanını geliştirmeye yönelik, kurum genelinde yürütülmeyen hizmetlerdir.
hizmetlerdir
Görüldüğü üzere iç denetimin kuruma sağlayacağı faydaların pek çoğu, dış uzmanlarca
sağlanamamaktadır. Zaten dış uzmanlarca örgüte sağlanan faydalar, iç denetim sağlayacağı
faydalardan çoğunlukla farklı işlev gösterir.
gösterir. Örgüt içine bakıldığında ise durumun
d
pek farklı
olmadığı görülmektedir. Şirket içindeki pek çok birim sadece kendi alanında uzman
olduğundan, örgüt geneline yönelik sistemli bir katma değer sağlayamaz. İç denetim
hizmetlerini telafi edecek veya ona alternatif teşkil edecek bir mekanizma
mekanizma bulunmamaktadır.
İç denetim şirketler açısından bu kadar önemli iken, konuya ilişkin en büyük problem, çağdaş
iç denetimin ne olduğunun henüz yaygın şekilde bilinmemesidir. İç denetime ilişkin
geleneksel bakış açısı son derece hatalıdır. Pek çok özel sektör kuruluşunda iç denetimin ne
olduğu ve kapsamına ilişkin farklı inanışlar bulunmaktadır. Bu inanış ve farklı görüşler
7
temelde iç denetim mesleğinin dünyada gittiği yönün bilinmemesi ve yıllardır “Muhasebe ve
Vergi Mevzuatı” odaklı çalışan şirket mali birimlerinin, iç denetimi de tekellerine almış
olmalarından kaynaklanmaktadır.
Şirket hissedar ve yönetim kurulları, iç denetim hizmetlerine olan ihtiyacın genellikle farkında
değildirler. Bir şekilde farkına varmaları halinde ise iç denetim ihtiyacını şirketin mali hizmet
birimlerinin (muhasebe, mali işler, finans, vb.) karşılayacağına inanırlar. Bu nedenle, iç
denetime ilişkin olarak bu birimlerin yöneticilerinin ufku, bilgisi ve yetkinliği, şirketin iç
denetim faaliyetlerinin amaç ve kapsamının sınırlarını belirler. İç denetimin şirketlerde yaygın
olarak bağımsız değil, mali birimler altında organize edilmesinin sebebi budur. Bu tür
kurumlarda iç denetim genellikle;
- Vergisel konulara odaklıdır. Matrahın doğrulanmasına çalışır;
- Muhasebe işlemleri ve kayıtlarını kontrol eder, hata bulmaya çalışır;
- Muhasebe uygulamalarının UFRS ve UMS’lere uygunluğa bakar;
- Kalite denetimleri (ISO) yapar;
- Teftiş yapar (İş ve işlemlerin mevzuat, politika ve prosedürlere uygunluğuna bakar);
İşte bu sebeple ülkemizde çağdaş risk odaklı iç denetim uygulamaları bankacılık sektörü, çok
uluslu şirketler, yabancı ortaklı şirketler ve bazı holding kuruluşları ile büyük ölçekli
bazı hizmet şirketleri dışında pek yaygın değildir.
Çağdaş iç denetim uygulamalarının çıkış noktası ne muhasebe, ne vergi ne de teftiştir. Çıkış
noktası kesinlikle şirket amaç ve hedeflerini tehdit eden riskler ve bunlara yönelik
kontrollerdir. Elbette mali, vergisel veya uygunluk riskleri de bunun içindedir. Ancak bunlar
dışında şirketi etkileyebilecek pek çok farklı risk türü bulunmaktadır. Operasyonel riskler,
piyasa riskleri, stratejik riskler, sistemsel riskler, itibar riskleri, teknoloji riskleri ve diğer pek
çok risk türü, şirketler açısından en az muhasebe ve vergi riskleri kadar ve hatta çok daha
fazla yıkıcı sonuçlar doğurabilmektedir. Bunların bütüncül bir yaklaşım ile ele alınması ve
şirketin karşı karşıya olduğu tüm risklerin etkin yönetildiğine dair güvence sağlanması
gerekir. İşte bu, çağdaş risk odaklı iç denetim uygulamalarının özüdür. İç denetim hata bulma
ve düzeltme amaçlı değil, şirketi geleceğe taşıma ve şirketin ekonomik sürekliliğini sağlama
odaklı çalışır. Yani değer katma misyonu ile hareket eder. Çağdaş iç denetimin başarısı, başka
birimlerin hatalarına bağlı değildir. Çağdaş iç denetim, ancak kurum amaçlarına ulaştıkça
8
başarılı sayılabilir. Bu bağlamda şirketin amaç ve hedefleri ile iç denetimin amaç ve hedefleri
aynıdır. İç denetçiler finansal denetimler, operasyonel denetimler, bilgi teknolojisi
denetimleri, uygunluk denetimleri ve özel incelemeler ile kuruma değer katarlar.
Özel sektördeki şirket hissedarları, yönetim kurulu üyeleri ve yöneticilerine çağdaş risk odaklı
iç denetimin etkin bir şekilde anlatılması gerekmektedir. Hatta bu şirketlerin dışarıdan çeşitli
uzmanlık hizmetleri aldığı dış denetçiler, yönetim danışmanları, yeminli mali müşavirler ve
SMMM’lerin de çağdaş risk odaklı iç denetim yaklaşımına dair bilgi sahibi olmalarında fayda
vardır.
İç denetim farklı bir uzmanlık gerektirmektedir. Bu uzmanlık riskler, risk yönetimi, kontrol
modelleri, iç kontrol sistemleri, raporlama, iletişim gibi alanlarda önemli ölçüde yetkinlik
sahibi olmayı gerektirir. Yani iç denetçi olmanın gerektirdiği meziyetler genellikle diğer
denetim ve danışmanlık mesleklerinden önemli ölçüde farklılık arz eder. Bu nedenle, bu
gruplardaki uzmanlardan iç denetim sistemi kurmak üzere danışmanlık hizmeti almak önemli
riskler taşır. Bu uzmanlar çağdaş risk odaklı iç denetim yaklaşımı, metot, araç ve
uygulamalarında yetkin değil iseler, bu iyi niyetli çaba boşa kürek çekmek olacaktır.
Bu şekilde, "risk odaklı" değil, "mali denetim odaklı" sistemlerin, şirketin ekonomik
sürekliliği, hissedarlar ve diğer paydaşlara sağlayacağı fayda tartışmalı hale gelecektir.
Dışarıdan vergi ve bağımsız denetim hizmetleri sağlanırken, içeride ekseriyetle bunları tekrar
ediyor olmanın ne gibi yararları olduğu da ayrıca tartışılabilir.
Bir şirkette sağlıklı ve çağdaş bir iç denetim faaliyeti veya fonksiyonu oluşturmanın temel
koşulu çağdaş iç denetimin ne olduğu, kapsamı ve iç denetim hizmeti verecek kişilerin sahip
olması gereken özellik ve yetkinliklerin en iyi şekilde anlaşılmasıdır. Şirket içinde etkin bir iç
denetim fonksiyonu oluşturmanın ön koşulu olan çağdaş iç denetim kavramı ve açılımlarını
kavramak için, şirketlerinde iç denetim faaliyeti kurmakla yükümlü olan kişilere aşağıdaki
çalışmaları yapmalarını tavsiye ediyorum:
1. Türkiye İç Denetim Enstitüsü (TİDE) tarafından İngilizceden çevirisi yapılan İç Denetim
Mesleki Uygulama Çerçevesinin (Kırmızı Kitap) dikkatle gözden geçirilmesi. İçinde iç
denetimin dünyaca kabul gören tanımı, uluslararası iç denetim standartları, iç
denetim standartlarının uygulama önerileri bulunmaktadır. Buradan dünyada iç
denetimin ne yöne gittiği anlaşılabilir. Bu rehber kitaba TİDE ile temasa geçilmek
suretiyle ulaşılabilir. (www.tide.org.tr)
9
2. Aynı veya farklı sektörlerdeki uluslararası ve yabancı ortaklı şirketler ile çağdaş ilke ve
standartlar paralelinde faaliyet gösteren iç denetim birimlerine sahip diğer şirketler
ile temasa geçmek suretiyle, bu şirketlerin iç denetim birimlerinden yardım istemek.
(mümkünse kısa ve verimli toplantılar ile)
3. İç denetim ve risk yönetimi hizmetleri sunan danışmanlık şirketlerine başvurmak ve iç
denetim faaliyeti kurulumuna ilişkin profesyonel yardım almak. (bu danışmanlık
hizmetleri ücretli olacaktır ancak son derece fayda sağlamaktadır)
4. Konu ile ilgili olarak kamu veya özel sektörde görev yapan tecrübeli ve yetkin iç
denetçilerden, mesleğin geleceği ve yararı adına yardım almak (resmi olmayan,
sohbet toplantıları ile)
5. Konu ile ilgili bilgili, araştırma ve çalışmaları bulunan akademisyenlerin görüşlerine
başvurmak.
6. Yurt dışındaki benzer veya farklı sektörlerdeki şirketlerin, iç denetim birimleri ile eposta yolu ile temasa geçmek ve mesleki bilgi paylaşımında bulunmak (geri dönüş
olmayabilir)
İç denetimi en başından sağlıklı kurmak önemlidir. Özel sektörde yer alan pek çok şirkette iç
denetimin gerçekte ne olduğu, iç denetim ihtiyaçları ve iç denetimin sağlayacağı faydalara
ilişkin farkındalık düzeyi düşük gözükmektedir. Bu nedenle, çağdaş iç denetimin ne olduğu,
ne fayda sağlayabileceği ve çağdaş bir iç denetim fonksiyonunun nasıl oluşturulacağı konuları
özel önem taşırmaktadır.
10
İç Denetim Raporları Ciddiye
Alınıyor Mu?
Bu soruya verilebilecek kesin bir cevap yok. Aslında bu biraz da geçen günkü yazımda
belirttiğim “iç denetim farkındalığı” hususu ile ilgili. Şirket veya kamu kurumlarındaki
yönetimlerin denetimden pek de haz etmedikleri biliniyor. Özellikle de son derece vakit
alabilen ve zorlayıcı olan iç denetimden. Öyle ya siz bir sürü işin gücün koşuşturmacanın
içindeyken, birileri geliyor ve sizin iş, işlem, süreç, sistem, raporlama, veri, insan kaynağı,
teknolojik altyapı ve operasyonlarınızı sorguluyor. Bu sorgulama sırasında, bu unsurların her
biri için söz konusu olabilecek riskleri ortaya çıkartmaya çalışıyor. Sizi ve personelinizi
saatlerce süren toplantılarla meşgul ediyor. İşlerin en yoğun ve stresli olduğu anlarda iş ve
işlemleri yerinde gözlemek amacı ile ortalarda dolaşıyor. Size ve personelinize anketler
dağıtıyor. Hem de öyle anketler ki, doldur doldurabilirsen. Birde şıklı seçim soruları yerine
açık uçlu sorular var ise vay yöneticinin haline!
Yöneticinin çilesi burada da bitmiyor. İç denetçi tüm bu sorgulama ve araştırmalar
sonucunda elinde onlarca sayfadan oluşan bir Excel tablosu ile çıkıp geliyor. Neymiş efendim
risk ve kontrolleriniz bunlarmış. Hepsi buradaymış. İşin yoksa birde bunları iç denetçi ile
gözden geçir. Tek tek üzerinden geç. Geçmiyorsunuz elbet. Hemen işlerden en çok anlayan
bir iki uzman görevlendiriliyor. E ne olacak bu arkadaşların kayıp zamanları. Zaten iş yapmayı
bilen bu ikisi! Bunlar da iç denetçilerce rehin alınıyor. Tam ya sabır derken, yeni bir aşamaya
geçiliyor. Testler! İç denetçiler ortamda virüs bulmayı hedefleyen birer bilim adamı edasıyla,
dikkatli ve son derece konsantre bir şekilde etrafta ne kadar doküman, kağıt, dosya,
bilgisayar var ise saldırıya geçiyor. Dört bir yandan kuşatıyorlar yönettiğiniz Birimi. Günlük
işlerinizi mi yürüteceksiniz, bu saldırılara karşı mı koyacaksınız? Öyle ya maazallah bir açık
bulursa adamı perişan eder bunlar? Ne farkı var ki bunların müfettişlerden ayrıca! Bunlar da
dosya, fiş, mizan, tutanak, vs. inceliyor. E ne anladık çağdaş iç denetimden. Oysa biz
sanmıştık ki çağdaş iç denetim daha az zorlayan, daha az vakit alan, daha yumuşak bir
denetimdir! Çok daha fazla zorluyorlar bizi teftişten. Gerçi çok daha iyi davranıyorlar ama...
11
Testler bittiğinde birde denetim raporu yazılıyor. İşte belki de yöneticiler için en stresli anlar
bunlar. Rapor beklenirken anlaşılmaz bir şeyler oluyor. İç denetçi yazdığı taslak bir raporu
yönetici ile paylaşıyor. Yani bulgu ve değerlendirmeleri ile ilgili görüş soruyor. İnanılmaz
ama gerçek. Söz hakkı veriyor. Elbette hoş bir şey, ama birde raporu didik didik okumak ve
her argümana karşı çıkmak gerekiyor şimdi. Ne büyük zahmet ve vakit kaybı. Aslında arada
doğru söylenen şeyler de oluyor haksızlık etmemek lazım. Ama gene de işlerden önemli mi?
Geciken veya eksik kalan bir iş olmaya görsün. Patron (şirketlerde en üst düzey yönetici,
kamuda en üst idari amir) hayatta anlamaz şimdi iç denetçilerle uğraşıyordum desem de.
Patron da uğraşsın da görsün bakalım nasıl vakit alıyor bu iç denetçiler. Rapordaki bulgulara,
değerlendirmelere bir ton cevap hazırlanması gerekiyor. Nerede kaldı bizim uzman
arkadaşlar? Aman tüm konuları cevaplayalım, açıkta bir şey kalmasın. Kabul etmek, haklı
bulmak mı? Bizden daha mı iyi bilecekler canım!!!
Çok şükür son aşamaya geliniyor. İç denetçiler yöneticiye nihai raporu yolluyor. İşe bak bizim
cevaplar aynen orada. Denetçi de kendi görüşünü eklemiş. Bak sen ya, ikna olmamış iç
denetçi. Şöyle risk var, böyle risk var... Hayatımız risk kardeşim. Bugüne kadar bişey olmamış,
şimdi neden olsun kardeşim? Neyse, raporun bir kopyası da patrona gitmiş üst yazıya göre.
Gitsin! Patron bizden beter. Sanki vakti varda oturup inceleyip bakacak ne yazıyor diye. Ya
sen o kadar uğraş, toplantı, anket, araştırma, test, rapor, patron alsın masasının bir köşesine
atsın. E bende öyle yapacağım. Zaten bildiğimiz şeyleri eveleyip gevelemişler. Biliyoruz
bunları kardeşim, sadece vakit bulamıyoruz düzetmeye, değiştirmeye. Sen gel benim
koltuğuma otur da göreyim seni riskmiş, kontrolmüş, peh!
Bu esnada patron da denetim raporunu almış, diğer yöneticinin yaptığını yaparak şöyle bir
göz gezdirip masanın köşesine koymuştur. Zaten gün boyu sürecek toplantılara hazırlanması
gerekiyordur. Büyük patrona (Şirketlerde Yönetim Kurulu Başkanı, Kamuda Bakan olabilir)
yapacağı sunuma da hazırlık yapamamıştır. Bir yandan ekonomik kriz, diğer yandan
üzerindeki gerçekçi olmayan hedef baskıları. Hafta sonu dernekte yapacağı konuşmanın
metnini nereye koyduğuna bakarken, sekreteri iki hattından da arama geldiğini bildirir! Keşke
10 parçaya bölünebilseydim der kendi kendine.
Yukarıda şaka yollu anlatmaya çalıştığımız durumun kendisi şaka değil. Pek çok kurumda
böyle bir durum iç denetçiler açısından geçerli. Kamu veya özel sektör fark etmiyor.
12
Denklem basit:
Yöneticinin
İş Yoğunluğu
Düşük İç
Denetim
Farkındalığı
İç
Denetçilerin
Az Çaba
Göstermesi
Ciddiye
Alınmayan
Denetim
Raporları
Esasen iç denetçilerin az çaba göstermesi, biraz da çaresizlikten oluyor. Bir iki defa yüksek
motivasyonla iyi performans gösterip, ortaya kaliteli raporlar çıkartan iç denetçi, kendisi ve
raporu ile ilgilenilmediği veya çalışmalarına saygı duyulmadığını hissettiği
hissettiği anda bu çabalarını
azaltıyor. Sonrası ise kısır döngü. İç denetçi yöneticiyi, yönetici iç denetçiyi suçlar hale
geliyor. Peki, bu denklem nasıl bozulur? Bu olumsuz eşitlik nasıl olumlu hale çevrilir.
Formül gene basit:
Yöneticinin
İç Denetim
Farkındalığın
ın Artırılması
İç Denetçinin
Sürekli
Yüksek
Performans
Göstermesi
Destek:
Yasalar+Sivil
Toplum
Ciddiye
Alınan İç
Denetim
Raporları
Dikkat edilirse bu değişkenlerden
şkenlerden sadece 1. ve 2. konularda iç denetçinin doğrudan katkı
sağlama şansı var. Diğeri dışsal; politik ve toplumsal baskılar sonucu devreye girebilecek
etmenler. Elbette bu yönde bir gelişim olması muhtemel. Daha önce de yazdık, son finansal
kriz iç denetimin ve risk yönetiminin önemini azaltmıyor, tam tersi artırıyor. Bunun kanun,
düzenleme ve paydaş çevreler üzerindeki etkisini 3-5
3 5 yıl içinde açıkça göreceğiz.
Peki, iç denetçiler olarak bizler ne yapabiliriz? Elimizden gelen nedir? Bunları kısaca aşağıda
belirtmek isterim:
Mesleğimize
ize dört elle sarılmalıyız.
sarılmalıyız Böyle bir mesleğe sahip olduğumuz için kendimizi şanslı
saymalıyız. İç denetim dünyada son derece popüler ve güncel bir meslek. Önemi de gün
13
geçtikçe artıyor. Kamu veya Özel sektör olsun fark etmez, bir gün iç denetim hak ettiği yerde
olacak. İşte o zaman bizler, yani bu sıkıntılı zamanlarda mesleğe sahip çıkanlar, mesleğin
öncüleri olarak gelinecek noktada kendimiz ile gurur duyacağız.
Yani öncelikle yapılması gereken kuyruğu dik tutmak, kafayı yukarı kaldırmak. Kim ne derse
desin. İç denetimin dünyada ve Türkiye’de önü son derece açık. Tabi iş mesleğe dört elle
sarılacağım demekle bitmiyor. Yüksek adanmışlık, motivasyonu hep yüksek tutmak ve
geleceğe inançlı bakmanın yanı sıra çok çalışmaktan geçiyor. Hem işte hem de kişisel ve
mesleki gelişim adına çok çalışmak gerekiyor. İç denetim ile ilgili yayınları takip etmek,
okumak, araştırmak, eğitim almak ve mesleki bilgi paylaşımı içinde olmak. Bunlar çok önemli.
Ayrıca bizler işimizi en iyi şekilde yapmalıyız. Raporlarımız okunmuyor veya okunmayacak
kaygısı ile hareket etmek hatadır. Kendimizden çaldığımız zamandır. Sonucu ne olursa olsun
aldığımız paranın karşılığını en iyi şekilde vermeliyiz. Yani ortaya koyacağımız nihai ürün çok
önemli. Bu da denetimlerimiz sonucu ortaya koyduğumuz denetim raporlarımızdır.
Raporlarımız yaratıcı farklı, etkili, son derece dikkat çekici olmalıdır. Yani yöneticinin dikkatini
çekmenin en önemli yolu ortaya çarpıcı bulgular koymak, somut fayda sağlamaktır. Sıradan
raporlar, sıradan muamele görür. Çarpıcı ve yenilikçi raporlar ise size yönetici ile uzun bir
görüşmeyi garantiler. Ancak sıradan olmayan, çarpıcı raporlar yazmak, çok çalışmayı
gerektirir. Takipçi, araştırmacı, sorgulayıcı, detaycı ve dikkatli olmayı gerektirir. İnsanlarla iyi
iletişim kurmayı, ihtiyaç duyulan bilgileri zamanlı ve doğru bir şekilde alabilmeyi gerektirir.
Yani çok çalışmanın yanında, iyi insan ilişkileri gerektirir. Öyleyse önce mesleğe sahip çıkıp,
çok çalışacak, kurumlarımızda etkin bir iletişim kuracağız. Mesleğine saygı duyan, çok çalışan
ve etkin bir iletişimci olan herkes, çevresinde otomatikman saygı görür. Bunu unutmayın. Siz
kendinize saygı duymazsanız kimse duymaz!
Yöneticiler ile periyodik görüşmeler ayarlamak önemlidir. Ancak en önemlisi denetim
sonuçlarının rapora ek olarak kısa bir sunum ile yöneticiye bildirilmesidir. Raporu sunum
haline getirip (20 dk’lık kısa ama etkin sunumlar) yöneticinize sunmaya çalışın. Aktif olun.
Raporu yazdım ne olursa olsun demeyin. İşi şansa bırakmayın. Yönetici bu tür bir
bilgilendirmeden çok daha fazla hoşnut olacaktır. Etkileşim içinde yapılan işler her zaman
daha verimlidir. İç denetimde önemli olan sonuçları duyurmak ve sorumluları eyleme
geçirmektir. Rapor, şekli, formatı, vs. teferruattır. Sadece kâğıt işidir.
14
Özel sektörde ve kamuda iç denetçilerin raporlarını ciddiye aldırmaları için yapabilecekleri
bunlarla sınırlı değil elbet. Örneğin denetim bulgularının takibine (follow-up) ilişkin bir sistem
kurulması ve bu sisteme en üst düzey yöneticinin de dahil edilmesi faydalı bir uygulamadır.
Örneğin üst yönetim ile yıl içinde çeyrek dönemler itibariyle, o dönem ve geçmiş
dönemlerden kalan denetim bulguları ve bunlara yönelik yönetimin eylem planları ile ilgili
toplantılar yapılması sizin yaptığınız iş ve kendinizi anlatmanız için önemlidir. Bu takip
sistemini kurup, kabul ettirmeniz inanılmaz büyük bir aşamadır. Takip sistemini kurmak
üzerine yoğunlaşmanızı öneririm. Dünyada takip için en iyi uygulama kabul edeceğimiz bir
model maalesef yok. İş sizin kurum yapısı ve gerçekleri paralelinde bulacağınız çözümlere
bağlı.
Son olarak, her zaman yeniliğin, değişimin ve bilimselliğin bayraktarı olmaya çalışmak
gerektiğini düşünüyorum. Denklemi olumsuzdan olumluya ancak bu şekilde çevirebiliriz.
Raporlarımız ciddiye alınıyor mu sorusuna her iç denetçi farklı bir cevap verecektir. Ancak
ileride verilecek tüm cevapların yakınsayacağı görüşündeyim. İleride tüm iç denetim raporları
ve çabaları ciddiye alınacak, hak ettiği yeri bulacaktır. Ama zaman önce evimizin önünü
süpürme zamanı. Biz işimizi doğru yapalım, gerisi gelecektir.
15
Batan Finansal Kurumlarda İç Denetim
Yok Muydu?
Geçtiğimiz hafta içinde değerli meslektaşım Turan Yenice’den bir e-posta aldım. Turan Bey
mevcut ekonomik çalkantılar ve olası bir krize ilişkin bazı önemli değerlendirmeler yapmış,
değerlendirmesinin sonunda ise pek çok iç denetçinin bugünlerde önemli bir konuyu
tartıştığını dile getirmişti. Cevap aranan soru, dünyanın dört bir yanında etkileri hissedilen
küresel çalkantılar dahilinde batan ya da büyük kayıplar yaşayan dev finansal kurumların,
bünyelerinde iç denetim ve iç kontrol sistemleri bulunmasına rağmen, neden bu duruma
düştükleri idi.
Esasen sitede yayınladığım pek çok blog yazısı ve makalede bu çöküşün nedenlerini ele
almaya çalıştım. Özellikle “Dünyada Neler Oluyor” başlıklı yazı bu kurumların neden
battıklarını bir iç denetçi perspektifinden açıklama gayreti ile kaleme alınmıştı. Kurumların
risk yönetimi ile ilgili zaafiyetlerden dolayı battığını dile getirmiştik. Ancak bu yazılarda
kurumların iç denetim sistemlerine ilişkin bir değerlendirme yer almamıştı. Öyle ya, bizler her
fırsatta iç denetimin kurum içindeki önemine değiniyor, iç denetimin nelere kadir olduğunu
her fırsatta dile getiriyorduk. Peki, sahiden bu kurumlarda iç denetim faaliyeti yok muydu?
Eğer varsa ki olduğunu biliyoruz, bu risk yönetim zafiyetleri neden önceden tespit edilmemiş,
kurum yönetimleri neden uyarılmamıştı? Yoksa başlı başına bir denetim zafiyeti miydi bu
çöküşün sebebi?
Batan veya sıkıntıya düşen kurumlara şöyle bir göz atarsak, bunların dünyanın en büyük
finansal kurumları olduğunu görürüz. Bu kurumlarda ciddi, tecrübeli ve yetkin iç denetçiler
istihdam ediliyor. Bu kurumların iç denetim birimlerinin bütçeleri milyon dolarlarla ifade
edilmektedir. İç denetim raporlamaları çoğunlukla Denetim Komiteleri’ne yapılıyor. Yani
fonksiyonel bağımsızlık söz konusu. Bu kurumların iç denetçileri her tür teknolojik imkana da
sahipler. Bilgisayar destekli denetim tekniklerini kullanıyorlar. İç denetim eğitimleri, seminer
16
ve kongrelerinde eğitmen veya konuşmacı olarak sıklıkla bu Kurumların iç denetçilerini
görürüz. Pek çoğunun IIA üyesi ve hatta CIA sertifikası sahibi olduğunu (daha pek çok sertifika
sahibi olanlar da vardır) tahmin ediyoruz. Üstelik bu iç denetçilerin kurumlarında raporlama
yaptıkları Komite Üyeleri ile Üst Yöneticilere ulaşmada da sıkıntı yaşadıklarını sanmıyoruz.
Genellikle kendilerini anlatmakta ve kurum yetkilileri ile aynı dili konuşmakta da bir problem
yaşamıyorlar. 90’lı yılların ikinci yarısı ve 2000’lerin hemen başında yaşanan şirket skandalları
kurum yöneticilerinin iç kontrol, iç denetim, kurumsal yönetim ve hileli işlemler gibi
kavramlar ile tanışmasına, hatta haşır neşir olmalarına yol açtı. (Ör: SOX yasası) Yani çağdaş,
risk odaklı iç denetim anlayışı gelişmiş ülkelerin iş dünyası için yeni bir kavram değil. Bu
yönde bir iş kültürü ve ortamı oluşmuş durumda.
Peki, iç denetimin yaşanan bu kurumsal çöküşler ile ilgili ne sorumluluğu var? İç denetçilerin
ihmali söz konusu mu?
Bu sorulara cevap verebilmek için bu kurumların iç denetim sistemleri ve iç denetim
faaliyetlerinin yapısı ile kapsamını detaylı bir şekilde incelemek gerekir. Gerçekten de bu
kurumlarda, sahip olunan onca imkana rağmen, bir iç denetim zafiyeti olabilir. Bunu uzaktan
kestirmek çok zor. Biz ancak bazı varsayımlar ışığında bazı sonuçlara ulaşabiliriz. Yani süreci
bilmediğimizden sürece değil, sonuçlara odaklanabiliriz. Olayın iç denetim ile ilgili
sonuçlarını, kişisel perspektifimizden ele almaya çalışabiliriz.
Bu finansal çöküşün bizce temel iki nedeni var;
a.
Otoritelerin genel olarak mali sektör ve kullanılan türev finansal araçlara ilişkin
denetim ve gözetim faaliyetlerinin yetersizliği;
b.
Kurumların risk yönetim faaliyetlerinin, anlayışlarının ve ciddiyetlerinin yetersizliği.
Bunlardan ilki ile ilgili olarak iç denetçilerin bir sorumluluğu bulunmuyor. Olsa olsa mesleki
kongre ve seminerlerde türev enstrüman risklerinin dile getirilmesi ve bu konuda mesleki bir
kamuoyu oluşturarak düzenleyici ve denetleyici otoriteleri etkileme çabası söz konusu
olabilirdi.
17
İkinci konu ise bizce doğrudan iç denetçilerin görev ve sorumluluk sınırları içine giriyor. Evet,
bu kurumların risk yönetim sistemlerinin tesisi ve yürütülmesinden Üst Yönetimler
sorumludur, ancak iç denetçiler de bu sistemlerin etkin çalıştığına dair güvence vermek ve bu
sistemleri
iyileştirip,
geliştirmeye
yönelik
destek
vermekle
yükümlüdür.
Kurum
bilançolarından dahi bir bakışta tespiti mümkün olabilen bu türev enstrüman risklerinin, iç
denetçilerce tespit edilememiş olması muhtemel değildir. Yani iç denetçilerin bu
enstrümanlara ilişkin riskleri bildiğini düşünüyorum.
Ancak burada üç tür durum söz konusu olabilir;
1)
İç denetçiler bu riskleri raporlamış, bunlara yönelik olarak yetkilileri uyarmış, ancak
denetim komiteleri ve yönetim kurullarınca ciddiye alınmamışlardır. Yani bu
uyarılar göz ardı edilmiştir.
2)
İç denetçiler, bu kurumların yatırım karar ve faaliyetlerinin, kurumların risk
modelleri (ör; COSO ERM) çerçevesinde tespit edilmiş risk iştahı ve risk toleransları
ile uyumlu olduğunu düşündüklerinden, bu yatırımların tür, miktar ve
çeşitliliğinden kaynaklanan risklerin kabul edilebilir olduğu değerlendirmesini
yapmışlardır. Bu halde, iç denetçiler, bu yatırımların tür, miktar ve çeşitliliğinden
kaynaklanan finansal ve stratejik riskleri dikkate almış, risk iştah ve toleransı ile
uygunluğunu denetlemiş, ancak kurumsal risk yönetimi modeli ve bu modelin
değişkenlerinin (risk iştahı, toleransları ve stratejileri) uygunluğunu değerlendirme
altına almamışlardır.
3)
İç denetçiler risk yönetiminden ziyade kontrol testleri ve SOX raporlaması (özellikle
Amerika’daki iç denetçilerin son birkaç yılda en çok vakitlerini alan konu budur) gibi
çok zaman alan zahmetli ve çetrefilli faaliyetler yürüttüklerinden, risk yönetimi
sistemi ve faaliyetlerine gereken kaynağı ayırmamışlardır. SOX kanunu kurumlarda
iç kontrollerin durumu, işleyişi ve raporlamasından üst yöneticileri doğrudan
sorumlu tuttuğundan, üst yöneticilerin, genellikle bilgi sahibi olmadıkları bu
hususta münhasıran iç denetçilerden destek istemeleri durumu ortaya çıkmıştır.
SOX raporlama faaliyetleri ve kontrol testleri pek çok iç denetim biriminin faaliyet
kapsamının en önemli unsuru haline gelmiştir.
18
Bu durumlardan hangisi söz konusu olursa olsun, buradan özellikle ülkemiz için çıkartılacak
dersler söz konusudur. Her üç durum da iç denetimin mesleki geleceği ve itibarı açısından
hoş değildir. Ancak yaşanan bu son skandallar, iç denetimin önemini ve sorumluluklarını
azaltmamış, tam tersi artırmıştır. Görülmüştür ki, risk iştahı kendi kişisel çıkarları
doğrultusunda aşırı yüksek olan aç gözlü yöneticilere, bu yöneticileri istihdam eden, onlara
göz yummak suretiyle adeta onları teşvik eden yönetim kurullarına karşı iç ve dış denetimin
üstleneceği rol ve sorumluluklar çok yakında yeniden şekillenecektir. Bu olaylar göstermiştir
ki hissedarlar artık aşırı kar elde etmeye yönelik aç gözlü bir yönetim anlayışını değil,
kendileri açısından çok daha faydalı kurumsal yönetim anlayışını talep etmeye
başlayacaklardır.
Finansal piyasalar ve bu piyasalardaki aktörlerin kapsamlı bir yeniden yapılandırma ile karşı
karşıya olacakları açıktır. Olaylarda ihmali olsun olmasın, iç denetimin, bundan böyle çok
daha geniş yetki, imkan ve daha fazla örgütsel bağımsızlık ile donatılarak, kurumsal yönetim
güvencesi olarak hizmet vermeye devam edeceği inancındayım. Kanımca iç denetimin
güçlendirilmiş rol ve sorumlulukları, yeni kanuni düzenlemelerde de yer bulacaktır. Aklı selim
bunu gerektirmektedir. Gelişmeleri hep beraber izleyeceğiz. Konuya ilişkin olarak ise iç
denetçilerin ihmal veya yetersizlikleri var ise, bu durum ayrıca araştırılıp değerlendirilmelidir.
Söz konusu olan iç denetim faaliyetinin kendisi olsa bile hesap verebilirlik ve sorumluluk
ilkeleri bunu gerektirmektedir.
19
Bir Kurumun Tepe Yöneticisinin Bakış
Açısından İç Denetim
Merhaba,
Ben Bay X. Y şirketinde genel koordinatör olarak görev yapıyorum. Y şirketi boya sektöründe
bir firma. İnşaat boyaları üretiyor ve pazarda ilk üç firmadan biri. Pazar lideri olmak için
çabalıyor. Bu görevimden önce boya sektöründen farklı, ancak ilgili bir sektör olan inşaat
sektöründe köklü bir firma olan Z şirketinde mali koordinatör olarak görev yaptım.
Bu şirketten önce ise bir yapı malzemeleri tedarikçisinde muhasebe müdürü olarak
çalışıyordum. Ondan önce ise bir süre kamu sektöründe müfettiş ve iç denetçi olarak
çalıştım.
Yeni görevimde sorumluluklarım çok büyük. Halka açık bir anonim şirketiz ve SPK kanununa
tabiyiz. Bunun yanı sıra bir yabancı ortağımız var. Şirketimiz hisselerinin 0'u yabancı bir
ortağın. Hissedarlarımız genel kurula aktif katılım sağlayan, şirket işlerini yakından takip
eden, dikkatli ve meraklı bir kitle. Genel kurulumuz tarafından seçilen Yönetim Kurulumuzun
Başkanı şirketimizin en büyük hissedarı olan T bey. Başkan Yardımcımız ise kardeşi U bey.
Diğer üyeler genellikle diğer bazı önemli hissedarlar ve çeşitli alanlardan profesyoneller.
Yönetim Kurulu Başkanı ile dört yıl önce benim de bir sunum gerçekleştirdiğim sektörel bir
organizasyonda tanışmıştık. Kendisi beni ve çalışmalarımı oldukça beğenmiş olacak ki
ilerleyen günlerde benimle görüşmek istedi. Birkaç kez görüştük. Bana şirketi ve hedeflerini
anlattı. Yönetim Kuruluna benden bahsettiğini, çalıştığım şirketlerde sergilediğim performans
ve elde ettiğim başarılardan çok etkilendiklerini ifade etti. En son görüşmemizde de açıkça iş
teklifinde bulundu. Genel Koordinatör olarak görev almamı istediklerini belirtti. Şirket ile ilgili
bazı önemli bilgileri bana bıraktı ve düşünmem için 3 gün süre verdi. Acil bir koordinatör
20
ihtiyaçları olduğunu kısa süre içinde anlaşamaz isek diğer aday üzerinde duracaklarını da
belirtti. Özel sektörde işler hızlı yürüyordu ve ben bunu garip karşılamadım. Teklif edilen
pozisyon, ücret, sağlanacak faydalar ve şirketin ismi çok çok iyi idi. Ancak karar vermeden
önce bana bırakılan belgeleri incelerken bazı noktalar dikkatimi çekmişti. Şirket tam bir aile
şirketi idi. 1990 yılında kurulmuş, 1990 lar boyunca da hızlı bir büyüme sergilemişti. Bazı
yabancı ülkelere ihracat yapıyor, kazanılan paralar yine işe yatırılıyordu. Yönetim Kurulunu
oluşturan aile bireylerinde bitmek bilemeyen bir büyüme azmi vardı anlaşılan. 1994 ve 1999
da küçük çaplı krizler yaşamışlar, ama Yönetim Kurulu Başkanı Bay T nin güçlü liderliği ve
vizyonu ile bu krizleri aşmışlardı. Ancak hızlı büyüme 2000 krizinde durmuş, teklifi aldığım
seneye gelindiğinde ciddi bir gerileme başlamıştı. Şirket üretimde sorunlar yaşıyor, maliyetler
kontrolden çıkmış görünüyordu. Tedarikçiler ile ilişkilerde sorunlar vardı. Tedarikçiler
zamanında ve aynı kalitede ürün sağlayamıyordu. Şirket bayi ağında da sorunlar baş
göstermeye başlamış, bayiler rakip firmalar ile anlaşmalar yapma yoluna gidiyorlardı. Satışlar
azalmış, maliyetler yükselmiş, karlar erimiş, şirket borçlarını çevirmekte zorluk yaşamaya
başlamıştı. Böylesi riskli bir şirketin başına geçme noktasında ciddi tereddütlerim oluşmuştu.
İşin sonunda binbir güçlükle oluşturduğumuz kariyeri mahvetmek de vardı.
Kamudaki siyaset baskısı beni kamudan bezdirmiş, risk alarak özel sektöre, bir akrabamın
şirketine geçmiştim. Ancak genç ve hırslıydım. Çok çalışmış, denetim tecrübem ve muhasebe
bilgimle şirkette başarılı olmuş, adımı duyurmuştum. Özel sektörde hızlı bir şekilde
yükselmiştim. Şimdi alacağım riskin kamudan özele geçmekte aldığımdan çok daha büyük
olduğunu, ancak başarırsam bana getirisinin inanılmaz olacağını düşünerek teklifi kabul
etmeye karar verdim. 1 ay içinde de genel koordinatör olarak zorlu görevime başladım.
Özel sektörde geçmişte yükselmeme, başarılı olmama yardımcı olan en büyük sırrı burada da
aynen uygulamaya karar verdim.
Bu sır eski mesleğim olan "iç denetim" idi. Eski bir iç denetçi olarak kurum içi denetimin
önemini çok iyi biliyor ve her gittiğim kuruma bu bakış açısını götürüyordum. Özel sektörde
göreve başladığım diğer 2 kurumda da iç denetim birimi veya iç denetçi görmemiştim. Bu
kurumda da yoktu. İşe etkin bir iç denetim sistemi kurmakla başlayacaktım. Ancak sağlıklı
işleyen bir iç denetim fonksiyonu tesis edene dek, diğer üst yönetim görevlerimin yanı sıra
adeta bir denetçi gibi çalışıyordum. Diğer kurumlarda hep bu şekilde çalışmıştım. Yeni işimde
de bu sırrımı uygulamakta tereddüt etmemiştim. İşe başladığım ilk gün Yönetim Kurulu ile
tanışma ve karşılıklı beklentilerin aktarılması merasimi sonrası ilk iş olarak şirketin örgüt
şemasını istemiş ve şirket içinde dolaşmak ve çalışanlar ile iş başında tanışmak istediğimi
söylemiştim. İç denetimden gelen eski bir adetti bu. Denetçi iken denetime gittiğim
21
birimlerde üst yönetim ile toplandıktan hemen sonra servisleri ve çalışma alanlarını gezer,
işleri yerinde görür, çalışanlarla tanışırdım. Yeni şirketimdeki ilk günüm tüm şirketi,
üretimden pazarlamaya, muhasebeden teknik servise kadar dolaşmak oldu. Gidilmedik yer
bırakmamıştım. Birinci günün akşamı odaya döndüğümde gözlemlerimi kâğıda aktardım. İç
denetçilikten kalma bir alışkanlıktır, ilk tanışma ve gözlemlerimde bazı şeylere özellikle dikkat
ederim; çalışanların morali ve motivasyonu, çalışma alanlarının düzeni, örgüt şemasının fiili
işleyiş ile uyumu, çalışanların yaptıkları işler, evrak dolapları, çalışanların iş yapış tarzları
benim için önemlidir.
Akşam çalışma odamda kâğıda bu gözlemlerimin yanı sıra Yönetim Kurulu, diğer yöneticiler
ve beklentileri ile ilgili görüş ve gözlemlerimi de geçirmiştim. Şirketten bana tahsis edilen
araba ile ayrılırken, dikkatimi o saatte içeri giren ve fabrika sahasına doğru ilerleyen bir
kamyon çekti. Şoförüm S ye merakla sordum nedir bu kamyon diye? Mal almaya giden
kamyon dedi. Tedarikçiden geliyor. Belli ki gene geç kalmış. Bu kamyoncular benim
yönetimimde olacaktı ki... Depoya malları yığarlar efendim birazdan dedi S. Şirketten en geç
çıkanlardan biri olduğuma emin olarak depoda birilerinin olup olmadığını sordum. Genellikle
bizim patronlardan birisinin yeğeni durur depoda. Malları teslim alır, depoyu kapatır ve en
geç o çıkar. Çalışkan çocuktur dedi S. Kafamda bazı soru işaretleri, yarınki programımı
şekillendirirken yol bitmiş. Eve gelmiştim.
Ertesi sabah işe erkenden geldim. Gün boyu kafamda şekillenen bazı noktaları gece kâğıda
dökmüştüm. İlk tespitlerim çalışanların motivasyon ve yönlendirmesinde ciddi problemler
olduğu, kurumda yazılı kural ve politikalar olmadığı, kurum hedeflerinin muğlaklığı ve orta/alt
kademelerin bu hedeflerden bihaber olmaları idi. Kısaca çalışanları yönlendirecek, stratejik
ve operasyonel direktif sağlayacak bir sistem mevcut değildi.
Politika ve prosedür eksikliği de bunun bir parçasıydı. İş yerindeki ilk birkaç haftam şirketi
tanımak ve sorunları net bir şekilde, detaylı olarak tespit etmeye odaklanmıştı. Buna ek
olarak şirketin kurumsal bir yöne sahip olmadığı gerçeğinden hareket ile sıklıkla Yönetim
Kurulu ile toplantılar gerçekleştirerek gidilmek istenen yönü onlarla birlikte tayin etmeye
çalıştım. Göreve başladığımın 2. ayı içinde şirketin finans departmanında çalışan ve birkaç
sene önce oldukça iyi bir üniversiteden mezun olmuş iki genç işletme mezunu ile bir iç
denetim takımı kurmak üzere harekete geçtim. Yabancı dili, bilgisayar bilgisi olan, meraklı ve
çalışkan arkadaşlardı. Akşam mesai saati sonrası 2 saat fazladan kalarak bu genç arkadaşlara
iç denetim, denetim teknikleri ve şirketin yapısı ve sorunları ile ilgili brifingler verdim. Bu
22
esnada Yönetim Kurulu ile yaptığımız strateji toplantıları meyvesini vermeye başlamış,
şirketin kurumsal yönü, yani vizyonu ve misyonu şekillenmeye başlamıştı.
Arkadaşlar ile gerçekleştirdiğimiz kısa fakat yoğun seansların tamamlanması sonrası onlara
çeşitli görevler vermeye başladım. Öncelikli görevleri tüm birimler ile görüşmeler yaparak
birimlerin görevleri ve yaptıkları işler hakkında bilgi toplamaktı. Birimlerin yazılı iş ve görev
tanımları bulunmaması işlerini zorlaştıracaktı ama ben bunun altından kalkabileceklerini
biliyordum. Bir yandan eski görevlerine devam ederken, diğer yandan da toplantılara
gidiyorlar, mesai sonrası ise toplantılarda görüşülenleri bana aktarıyorlardı.
Toplantılarda ağırlıklı olarak birimin amacı, görevleri, insan kaynağı, örgüt yapısı, teknolojik
donanımı, kullanılan yazılımlar, sorunları, iş iyileştirme önerileri, karşı karşıya oldukları riskler
ve bunlara karşı alınan tedbirler ile ilgili bilgi alınmaktaydı. Her bir toplantı ortalama 2-3 saat
sürüyordu. Toplantı grupları ilgili birim yönetimi ile bizim yeni denetçilerimizden
oluşmaktaydı. Bende ilgili birim başkanlarına bir mail atarak ve bizzat arayarak bu çalışmanın
amacı ve hedefleri ile ilgili bilgi vermiş, denetçilere olan desteğimi de göstermiştim. Genç
denetçiler ile ağırlıklı olarak mesai saatleri sonrası sıklıkla bir araya geliyor, yapılan işler ve iş
süreçlerini birlikte tartışıyorduk. Bir anlamda şirketimizin denetim evrenini belirliyorduk.
Yönetim Kurulundaki üyeler ile birlikte vizyon ve misyon tanımlarını kesinleştirip buna ilişkin
ortak anlayışımızı şekillendirmeyi tamamladığımızda, kurum amaç ve hedeflerini belirlemek
kolaylaşmıştı. Yönetim Kurulu üst yönetim ile kurum hedeflerini belirlerken, bizim küçük iç
denetim birimimiz şirketteki tüm birimler ile görüşmeleri tamamlamıştı.
Yaklaşık 1 aylık bir araştırma sonrası dışarıda bir danışmanlık firmasından iç denetim alanında
tecrübeli bir arkadaşı denetim ekibinin yöneticisi ve aynı zamanda denetçi olarak transfer
ettik. Diğer arkadaşları ise muhasebe/finans birimden transfer ederek iç denetim birimine
aldık. Muhasebe/finans birimine de yerlerine 2 genç arkadaş temin ettik. Artık denetim
ekibimiz 3 kişi olmuştu. Ekibin başında tecrübeli ve yetkin bir iç denetçinin olması doğrusu
beni rahatlatmıştı. Kendileri ile gerçekleştirdiğim toplantılarda ekipten beklentilerimi ve
ekibin hangi alanlara yönelmesi gerektiğini açıklıyordum. İç denetim ekibinden büyük
beklentilerim vardı. En temel görevlerinin kurum çapında operasyonel bir denetim
gerçekleştirmek olduğunu belirtmiştim. Daha önceden belirlenmiş olan denetim evreninde,
herhangi bir risk değerlendirmesi modeli kullanmadan, birimleri yargısal olarak en riskliden
risksize göre sıralamaları ve denetimlere en riskli birimlerden başlamaları konusunda öneride
bulundum. Zamanımız azdı ve hızlı sonuç almak zorundaydık. Risk değerlendirmesi işlemi çok
23
önemli olmakla birlikte sonraya bırakılması gerekiyordu. Arkadaşlar önerimi kabul ederek
şirketin tüm birimlerini en riskliden en risksize göre çeşitli tartışmalar sonucu aralarında
belirleyip, açıklaması ile bana ilettiler. Birkaç ufak değişiklik ile denetim planımız ortaya
çıkmıştı. Öncelikle üretim, pazarlama ve muhasebe (muhasebe, finans ve satın alma) alanları
denetlenecekti. Bunun nedeninin şirketin pazarlama ve bayi sistemi ile üretim alanlarında
önemli sorunlar yaşaması idi. Pazarlama gelirlerin, üretim ise giderlerin ana merkezi olarak
denetimden nasibini alacaktı. Muhasebe ise yine oldukça sorunlu olan satın alma ve idari
işlerin merkezi olması açısından dikkate alınmıştı.
Yürütülecek
operasyonel
denetimler
sırasında
3
adet
konuya
odaklanılacaktı:
denetlenen birimlerin risklerinin belirlenmesi ve bu risklere yönelik iç kontrollerin tespiti bu
iç kontrollerin varlığı ve etkinliğinin teyit edilmesi iş ve işlemlerdeki sorunlar ile
operasyonların etkinliği ve verimliliğinin değerlendirilmesi.
İşe başlamamın üzerinden 4 ay kadar geçmiş, ben üst yönetim ile stratejik doğrultuyu
kesinleştirirken, bir kurum açısından en önemli fonksiyonlardan birisi olarak gördüğüm iç
denetim fonksiyonunu da tesis etmeyi başarmıştım. Ayrıca şirkette çalışan diğer üst yönetici
arkadaşlar ve orta kademe yöneticiler ile kapsamlı bir SWOT analizi gerçekleştirerek, şirketin
güçlü yanları, zayıf yanları, karşı karşıya olduğu fırsat ve tehditlere yönelik bir değerlendirme
yapmıştık. Bu değerlendirmeler benim kurum içi sorunlara ve sektördeki fırsatlara ilişkin
gözlemlerim ile birleştiğinde kısa, orta ve uzun vadeli aksiyon planları ortaya çıkmıştı.
Yönetim Kurulu üyelerinden bazıları göreve başlamamın üzerinden 4 aydan fazla bir zaman
geçmiş olmasına karşı şirkette somut bir gelişim göremediklerinden yakınıyorlardı. Bu
endişelerini de Yönetim Kurulu Başkanı Bay T ile paylaşmışlar, Bay T de konuya ilişkin bilgi
sahibi olmam açısından durumu nezaketli ve yumuşak bir dille bana aktarmıştı. Arkamda
durduğunu ve yapılan çalışmaların gerekliliğine olan inancını her fırsatta dile getiriyordu. Bazı
yönetim kurulu üyelerine göre geçen aylarda yaptığımız tüm çalışmalar fuzuli işler idi.
Kurumun vizyonu misyonu veya stratejilerinin belirlenmesi ve iç denetim fonksiyonu tesisi
gibi faaliyetler yerine acil olarak pazar geliştirme ve finansal yapılandırmaya yönelik çaba
gösterilmesi konusunda şiddetli görüşleri vardı. Biz elbette tehdit ve fırsat analizlerinde bu
gereklilikleri tespit etmiş, bunlara yönelik stratejileri belirlemiştik. Ancak acele etmiyor, hızlı
fakat temkinli hareketler ile ilerlemeye gayret ediyorduk. Bir toplantı sırasında yönetim
Kurulu üyelerinden bir muhasebe profesörünün kısa vadeli tüm borçların döviz cinsine
çevrilmesi teklifini kabul etmemiş ve bu teklifin şirketi önemli bir risk ile karşı karşıya
24
bırakabileceği uyarısında bulunmuştum. Birkaç üye daha bu konuda profesör ile aynı
fikirdeydi. Onlara göre döviz kurlarındaki düşüş sürdüğü müddetçe bundan faydalanmak
gerekmekteydi. Konunun risklerine yönelik bir değerlendirmeleri yoktu. Tek taraflı bir bakış
açısı ile yaklaşıyorlardı. Bu ve benzeri bazı fikirlerin ben ve diğer yönetici arkadaşlarım
üzerinde baskı oluşturmaya başlaması ile birkaç kere istifanın eşiğinden dönmüştüm. Her
defasında Bay T arkamda durduğunu ve benim kararlarında bağımsız olduğumu yineleyerek
beni kararımdan vazgeçiriyordu. Sorumluluk duygum ve bu destek birleştiğinde istifa
kararımdan vazgeçiyordum.
Yönetim kurulu benim ve ekibimin çalışmalarını ve kararlarını sorgulayıp, bizleri zorlarken
kısa zamanda gelmesini beklemediğim bazı iyi haberler almaya başladım. Evet sürprizi
gerçekleştiren bizim iç denetim ekibi idi. Denetimlere başlamışlar ve daha ilk denetimleri
olan pazarlama sürecinde önemli risk ve etkinsizlikler belirlemişlerdi. Önemli olduğunu
düşündükleri birkaç noktayı bana ilettiklerinde, kurumun birkaç senedir süre gelen kan
kaybının önemli bazı sebeplerinin ortaya çıkmış olduğunu görmüştüm.
En önemli ve vahim olarak gördüğüm problem şirketin ar&ge, üretim ve pazarlama birimleri
arasındaki
korkunç
boyuta
varmış
olan
koordinasyon
ve
iletişim
eksikliği
idi.
Bir yandan denetimden gelen doneler ile ilgilenirken, diğer yandan da Yönetim Kurulundaki
bazı üyelerce önerilen ve üzerimde baskı unsuru yaratan hususlar üzerinde çalışmaya
başladım. Değerli bir insan olan Yönetim Kurulu Başkanı Bay T yi de zor durumda bırakmak
istemiyordum. Ne de olsa özel sektörde farklı, yazılı olmayan bazı kurallar söz konusu idi.
İç denetçilerim pazarlama bölümü ile ar&ge arasındaki ilişkinin zayıflığını ortaya koymuşlardı.
Pazara en yakın kişiler olan satış ekibi, müşterilerin yani toptancı ve perakendecilerin ihtiyaç
ve beklentilerini toplamıyor, sınırlı sayıda topladıklarını ise ar &ge cilere iletmiyorlardı. Bu
durumda ar & ge departmanındaki mühendis arkadaşlar piyasa beklentilerini öğrenemiyor,
yalnızca gelişmeleri takip etmekle yetiniyorlardı. Bir zamanlar bu firmanın itici gücü olan
yenilikçilik artık tarih olmak üzereydi. Pazarda neden gittikçe kan kaybettiğimiz ortaya
çıkıyordu. Ürünlerimiz demode kalmaya başlamıştı. Hala geçmişin mirası üzerine iş yapmaya
çalışıyorduk. Allahtan piyasada iyi bir ismimiz, bir marka değerimiz vardı.
Rakiplerimizin teknolojik açılımlar ile farklı ürün grupları ve ürünler tasarlayıp pazara
sürerken, bizim bu yarışta geri kalmış olmamız kabul edilemezdi. Yönetim ekibimi toplayarak
25
durumu kendileri ile paylaştım. Bu toplantı sırasında iç denetçilerin denetimleri sırasında
yaptıkları bazı analitik incelemelerin sonuçlarından da faydalanmıştım.
Bu analitik çalışmalar son 5 yıllık dönemi kapsayan çeşitli mali ve mali olmayan veriler
arasındaki ilişkileri sorgulayan rasyolardan oluşuyordu. Bu çalışma trend analizi, yüzde analizi
gibi analitik teknikler ile satış-muhasebe verilerini ilişkilendiren bazı çalışmalardan
oluşuyordu. Denetçilerimle toplandığımız günlerde onlara analitik teknikleri kullanmanın
öneminden bahsetmiştim. Denetlenecek süreç veya birimlere ilişkin en temel bilgi edinme
yollarından birisi idi analitik inceleme teknikleri. İçinde mali tablo analizlerini de barındıran,
ancak kurumun mali olmayan; ar &ge sonrası çıkartılan ürün, pazar payı, müşteri
memnuniyeti gibi verilerini de incelemeye alan tekniklerdi bunlar.
Denetimin henüz başlangıcında, denetlenecek birimler ve süreçler ile ilgili geçmişten bu güne
genel bir değerlendirme yapmayı ve olası sorunları ve sorunlu alanları önceden tespit etmeyi
hedefleyen çalışmalardı. Denetçilerimiz yaptıkları analizler sonucu Net Satışlar Büyüme
Oranı, Net Kar Büyüme Oranı ve Faaliyet Karlılığı gibi oranlarda son 5 yıl itibariyle devamlı bir
düşüş, Stok Devir Hızının da yine inceledikleri dönem itibariyle yıllar bazında düşmeye
başladığını tespit etmişlerdi. Buna ek olarak bir diğer oran analizi olan Nakit Çevirme Süresi
analizi sonucu nakit çevirme sürelerinin de gittikçe uzadığını belirlemişlerdi. Elimde
denetçilerin analitik çalışmaları ile risk/kontrol değerlendirmeleri sonucu tespit ettikleri iç
kontrol zafiyetlerine ilişkin değerlendirmeler vardı ve bunlar Pazarlama Departmanına yanlış
yolda oldukları mesajını verebilmemi sağlamıştı. Kendilerini bu sonuçlarla ilgili sözel ve yazılı
olarak bilgilendirdikten sonra bu alalarda acil gelişme sağlamak üzere harekete geçmelerini
istedik. Pazarlama yöneticilerinin pek çoğu durumun vahametinin farkına yeni varmıştı.
Pazarlama ve finansal yapıyı yeniden organize ederken, bir konuda danışmanlık almaya
ihtiyaç duymuştum. Denetçilerimin denetimlerine devam ediyorlardı. Pazarlama
departmanından sonra üretim departmanına geçmiş, denetim öncesi ön araştırma faaliyeti
(pre-survey) içindeydiler. Bu aşamada denetim açılış toplantısı ile denetimler başlar başlamaz
denetlenecek birim ve süreç hakkında bilgi toplanır. Bana göre de bir denetimin en önemli
kısmı bu pre-survey veya ön hazırlık denilen aşamadır. Bu aşamada denetime tabi birim veya
sürecin yönetici ve çalışanları ile seri toplantılar gerçekleştirilerek yürütülen operasyonlar ve
işler ile ilgili detaylı bilgi toplanır. İş ve işlemler yerinde gözlemlenir. Çeşitli anket çalışmaları
ile bilgi alınmaya çalışılır. Bu faaliyetin en önemli amaçları süreçte yürütülen işleri anlamak,
sürecin amaç ve hedeflerini öğrenmek ve bu hedeflerin kurumun ana amaç ve hedefleri ile
uyumunu gözlemlemek, yönetici ve çalışanları tanımak, sürecin sorunlarını tespit etmek, risk
ve kontrollerini dokümante ederek bir sonraki adım olan saha çalışmasına hazır olmaktır.
26
Denetçilerimin bu faaliyetler ile ilgili yoğunluğunu bilmeme rağmen, önemli bir konuda
danışmanlık hizmeti almak üzere iç denetçi ekibinden bir denetçiyi kendimce önem arz eden
bir konuda çalışmak üzere görevlendirmek durumunda kalmıştım. Denetçiler kurum içinde
adeta en önemli yardımcım olmuş, önemli katkılar sağlamaya başlamışlardı. Danışmanlık
istediğim konu şirket içi çalışanların motivasyon ve iş tatminlerinin tespit edilmesi idi.
Denetçime 1 haftalık bir süre vermiş ve şirket içindeki motivasyon düzeyi ve iş tatminini
ölçmesini, sonuçları kendi yorumu ile birlikte derleyip bana getirmesini istemiştim. Bu amaçla
kısa bir anket düzenlemesi ve odağı iyi belirlenmiş toplu mülakatlar yapmasını önermiştim.
Önerilerimi kabul eden genç arkadaşım 1 haftalık bir çalışma sonucu tüm şirketin personel
motivasyonu ve iş tatminine ilişkin enteresan sonuçları olan bir çalışmayı tamamladı.
Sonuçları kendi görüşü ile bana sözlü olarak sunarken (rapor istememiştim) şirketin ana
sorunlarından biri olan verimsizliğin bazı önemli nedenleri de ortaya çıkmaya başlamıştı.
Çalışanlar maaş veya çalışma saatlerinden değil şirket içi bazı uygulamalardan inanılmaz
rahatsızlardı. Özellikle de orta düzey yöneticiler aşırı bürokrasi ve kağıt trafiğinin işleri
aksattığından dem vurmuş, işleri hızlandırmak istediklerini belirtmişlerdi. Alt düzey çalışanlar
ise
kendilerine net hedefler
koyulmaması
ve
performanslarının ölçülüp,
ödüllendirilmediğinden şikâyetçiydi.
Pek çok çalışanın kuruma sadık olması ve şirkete bağlılığı sevindiriciydi. Mini danışmanlık
görevinde başarı sağlayan ve beni bilgilendiren denetçime teşekkür ettikten sonra
şirketimizin insan kaynaklarından sorumlu İdari ve Mali İşler Müdürü Bay M ve diğer üst
düzey yöneticiler ile konuyu masaya yatırdım. Sorun şirketimizin bir insan kaynakları
politikası olmaması idi. Bu ölçekteki bir firmada, üstelik bürokrasinin kol gezdiği bir kurum
kültüründe, yazılı olmayan ve çalışanlar tarafından bilinmeyen bir insan kaynağı politikasının
eksikliği en önemli problemlerden biri olarak kendisini gösteriyordu. Bu konu ile ilgili olarak
piyasadaki en iyi uygulamalar konusunda bilgi almak üzere eski bir arkadaşımı şirket
yöneticilerine brifing vermesi için davet ettim. Keyifli, yarım günlük bir konferans sonrası
piyasadaki en iyi uygulamalar ile kendi uygulamalarımız arasındaki farklar net bir şekilde
ortaya çıkmıştı. Arkadaşım bize bu konuda gönüllü olarak yardım edebileceğini söylemişti.
Arkadaşlar arası mesleki dayanışmanın önemini bilen ve kendim de elden geldiğince bilgili
olduğum alanlarda arkadaşlarıma yardımcı olmaya çalışan biri olarak, arkadaşımın yardımının
bize ne kadar büyük zaman kazandıracağını görebiliyordum. Şirketin amaç ve hedefleri ile
stratejik yönünün net bir şekilde çizilmesi, iç denetim fonksiyonunun tesisi, mali yapısının
reorganizasyonu (Yönetim Kurulu Baskı ile) ve pazarlama fonksiyonunun iyileştirilmesi
27
sonrası sıra, bir kurumun en önemli varlığı olarak gördüğüm insan kaynaklarına dair politika
ve uygulamaların oluşturulmasına gelmişti.
Yolumuz uzun ve zorluydu. Bu yolda iç denetçilerin varlığı yönetim ekibinin diğer üyelerine
de güven vermeye başlamıştı. Yönetim Kurulu Başkanımız şirkette esmeye başlayan değişim
rüzgarının farkında olduğunu ve bu konudaki memnuniyetini dile getirmişti. Ancak iç denetim
konusunu, denetçilerin fonksiyonunu hala pek anlayamadığını, kendisi ve diğer yönetim
kurulu üyelerine bir brifing vermemi rica ediyordu. Bir sonraki toplantıda iç denetim
fonksiyonu ve iç denetçilerin kurum içindeki rolleri konusunda bir sunum yapmak üzere
sözleştik. Sürpriz olan brifinge denetçi arkadaşlarımın da çağırılmasıydı. Anlaşılan Yönetim
Kurulu iç denetimi önemsemeye başlamıştı.
Yönetim Kurulu Başkanı Bay T’nin benden istediği iç denetim sunumunu iç denetim
birimindeki 3 arkadaşımız ile birlikte hazırladık. Eski bir iç denetçi olmam dolayısı ile bu
konuda hatırı sayılır bilgiye sahip olmama rağmen sunumu üç denetçi arkadaşımdan en
tecrübeli olanı olan Bay E nin yapmasını istemiştim. Bay E ye çok teknik bir sunum
yapmamasını, konuyu basit bir dille anlatması gerektiğini söyledim. Yönetim Kurulu
Üyelerinin iç denetim ile ilgili sağdan soldan duydukları dışında bilgisi yoktu. İç denetimin ne
olduğunu ve ne fayda sağlayacağını herkesin anlayacağı şekilde anlatmalıydık. Ancak elbette
bu kolay bir iş değildi. Meslek dışından gelen, meslek tecrübesi olmayan veya daha önce iç
denetçiler ile çalışmamış kişilere iç denetimi anlatmak ciddi zorlukları olan bir işti. Ancak bir o
kadar da önemliydi. Denetim birimlerinde çalışırken iç denetim ve iç denetim kavramları
üzerinde önce denetim birimi içinde, sonra çalıştığımız kurum içinde ve nihayetinde de iç
denetim camiası ile hemfikir olmamız gerektiğini savunurdum. Bir kavramdan tüm ilgili
taraflar aynı şeyi anlamalı, aynı anlamı çıkarmalıydı. Bu nedenle de teknik ifadelerden ziyade
somut örnekler ile iç denetimi anlatmak, kafalarda yer edinmesini sağlamak gerekecekti. İç
denetim ekibimiz ve ben sıkı bir hazırlık dönemi sonucu yönetim kurulunun karşısına çıkmaya
hazırlanmıştık.
Benim önerimle yönetim kuruluna ek olarak üst düzey diğer yönetici arkadaşlarımızın da
brifinge katılımları sağlanarak herkes için uygun bir zamanda iç denetim tanıtım
sunumumuzu gerçekleştirdik.
Sunuma iç denetimin genel kabul görmüş tanımı ile başlamıştık:
“İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden
bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk
28
yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına
yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı
olur”
Bu tanımı paylaştıktan sonra bu tanımın üzerinde durmaya karar vermiştik. Zaten sunum
sırasında Yönetim Kurulu Üyelerinden peşi sıra sorular gelmeye başlamıştı. Sorularda risk
yönetimi, iç kontrol, yönetişim, sistemli, disiplinli, süreç gibi kavramların ne anlama geldiği
sorulmuştu. Bu sorular ve sunum sırasında verdiğimiz cevaplar şu şekildeydi:
Soru: Risk Nedir? Risk Yönetimi Nedir?
Risk bir kurum, birim veya faaliyetin hedeflerine ulaşmasını engellemeye yönelik bir tehdit
içeren potansiyel sonuçlardır. Yani riskler hedefleri ulaşmayı engeller. Risk Yönetimi ise, bir
kurumun karşı karşıya olduğu risklerin tanımlanması, ölçümlendirilmesi ve
önceliklendirilmesi (yani risk değerlendirmesi) sonrası başlayan, bu risklere yönelik
tedbirlerin alınması ile devam eden ve nihayetinde de bu risklerin sürekli olarak takibi ve
mevcut tedbirlerin etkinliğinin değerlendirilmesi ile sona eren bir süreçtir.
Kurum içi ve dışında kurumu ilgilendiren riskler belirlendikten sonra, bu riskler bir önem ve
öncelik sırasına sokulmak üzere ölçülür, yani puanlanır. Tüm bu işlemlere de “risk
değerlendirmesi” işlemi denir. Ardından belirlenen bu riskler tek tek veya gruplar halinde ele
alınmak sureti ile bunları etkisiz hale getirmeye yönelik “risk yönetim” stratejileri geliştirilir.
Kısaca risk yönetimini kurum çapında “risk avcılığı” olarak tanımlamak mümkündür.
Avlanacak olan hedefler tespit edilir. Öncelik sırasına konur. Nişan alınır ve hedefler bu sıraya
göre vurulur. İşte hedeflerin belirlenip öncelik sırasına koyulması “risk değerlendirmesi”
vurulması esnasında kullandığımız tüm teknik ve araçlar “risk yönetimi” olarak ifade
edilebilir.
Soru: Riske birkaç örnek verebilir misiniz?
Örneğin, şirketimiz boya üretiyor. Ürettiğimiz boyaların içinde sağlığa zarar veren bir madde
bulunması nedeni ile insanların zarar görmesi hukuki sonuçlar ile itibar sorunlara yol açabilir.
Burada ürettiğimiz boyaların içinde sağlığa zararlı madde bulunması bir “tehdit” olarak
nitelendirilir. Bu tehdidin gerçekleşmesi, yani bu maddelerin üretimde kullanılması ise bir
“sonuç” a yol açabilir. Bu sonuç insanların zarar görmesi nedeni ile hakkımızda dava açılması
ve kamuoyundaki imajımızın zedelenmesidir. İşte bu iki sonuç sırasıyla yasal risk ve itibar
riskleridir.
Risk etki ve olasılık kavramları ile ölçülür. Olasılık riskin gerçekleşme sıklığı veya ihtimali, etki
29
ise yol açacağı zararın boyutudur. Örneğimize dönersek, var olan bir tehdit gerçekleşmesi
halinde, iki sonuca yol açmaktadır. Dolayısı ile iki risk söz konusudur. Hukuki riskin
gerçekleşmesi sonucu maddi kayıplarımız riskin etki boyutunu, bu tip bir tehdit nedeni ile
riskin gerçekleşme ihtimali de olasılık boyutuna işaret eder. Benzer şekilde itibar kaybı
nedeniyle satışlardaki ve hisse değerlerindeki düşüş de söz konusu itibar riskin maddi bir
etkisidir.
Bir riskin gerçekleşmesi için mutlaka bir hedefe ulaşmayı engelleyecek bir tehditin belirli bir
olasılık dahilinde gerçekleşmesi ve belirli bir etki yaratması gerekmektedir. Yani örneğe
dönersek zararlı maddelerin tedarikçilerde satılıyor olması bir tehdit değildir. Bizim bu
maddeleri alarak üretimde kullanmamız bir “tehdit” oluşturmaktadır. Etkiyi ölçmek olasılığı
ölçmekten kolaydır. Olasılığı sağlıklı bir şekilde ölçmek çoğu zaman mümkün değildir. Bu
nedenle olasılıklar belirli ölçüde subjektif değerlendirmelere tabidir.
Risk Yönetim Stratejileri Neler Olabilir?
Risk yönetiminde farklı risklere farklı stratejiler geliştirmek mümkündür. Riskin yapısı ve
yaratacağı etki kadar kurumun bu riski yönetmek için ayırabileceği kaynaklar, kurumun risk
iştahı, risk kültürü gibi pek çok faktör strateji seçimini yakından etkilemektedir. Riskle ilgili
stratejilere bakıldığında genel anlamda riskten kaçınma, riskin transferi, riskin paylaşılması,
riskin kabul edilmesi ve riskin kontrol edilmesi gibi alternatifler söz konusudur. Bazı riskler
sigorta bedeli karşılığı 3. şahıslara transfer edilirken, bazı riskler olduğu gibi kabul
edilebilmektedir. Bazı risklerden kurtulmanın tek yolu o riski almamak yani riski doğuran
faaliyete son vermektir. Riskten kaçınma stratejisi budur. Riskin pek çok kere paylaşılması
yani doğurabileceği sonucun diğer şahıslarla birlikte karşılanması yolu seçilebilir. Riskin
kontrol edilmesi ise genellikle en geçerli ve uygun maliyetli çözüm olup iç kontroller ve iç
kontrol sistemi yoluyla risklerin azaltılıp, makul seviyelere indirilmesi anlamı taşır.
Risk Yönetiminden Kim Sorumludur?
Risk yönetimi diğer pek çok yönetim faaliyeti gibi kurumun üst yönetiminin sorumluluğudur.
İç denetçiler riskleri bizzat yönetmez. Risk yönetimi ile ilgili kararlar almaz, risk yönetim
fonksiyonunu işletmez. İç denetçilerin risk yönetimi ile ilgili sorumluluğu risklerin Yönetim
Kurulu adına izlenmesi ve risk yönetim faaliyetinin etkinliğinin değerlendirilmesidir. İç
denetçiler kurum için mevcut risklerin kurumun kabul edilebileceği düzeylerde yönetildiğine
dair Yönetim Kuruluna makul güvence sağlar.
30
İç Kontrol Nedir? İç Denetimin İç Kontroller ile ilgili sorumluluğu nedir?
İç kontrol kurumun üst yönetimi ve çalışanlarınca yürütülen, kurumun genel olarak amacına
ulaşmasına engel olabilecek riskleri hem stratejik düzeyde hem de iş süreçlerinde azaltmak,
makul düzeylere indirmek üzere alınan tedbirlerdir. İç kontrol sistemi veya süreci
dediğimizde kurumda var olan tüm iç kontrol faaliyetleri ve tedbirleri akla gelir. Bir kurumun
iç kontrol sistemi genel olarak aşağıdaki alanlardaki hedefleri gerçekleştirmek amacıyla tesis
edilir:
Operasyonel ve finansal raporlamaların güvenilirliği
Operasyonların etkinlik ve verimliliği
Mevzuat ve düzenlemelere uygunluk
İç denetçilerin iç kontroller ile ilgili yönetsel bir sorumluluğu yoktur. Yani iç kontrol sisteminin
kurulması ve yönetilmesi kurum yönetiminin sorumluluğudur. İç denetçiler iç kontrol
sisteminin ve sistemi oluşturan iç kontrollerin varlığı ve etkinliğinin değerlendirilmesi ve iç
kontrol sisteminin riskleri yönetmede yeterli olduğu noktasında Yönetim Kuruluna makul
güvence vermek amacını güder. İç kontroller üretimden pazarlamaya, insan kaynaklarından
muhasebeye kadar kurumun tüm birimlerinde var olup, bunların etkinliği bir kurumun amaç
ve hedeflerine giden yolda sağlıklı bir şekilde ilerlemesine imkan sağlar. Örneğin, şirketimizin
üretim hattında yaşanan bazı operasyonel problemler üretim maliyetlerini, dolayısıyla da
ürünün maliyetini ve doğrudan satış fiyatını da etkiler. Satış fiyatı da ürünün pazar payında
önemli bir değişkendir. Görüldüğü üzere problemlerin daha kaynağında tespit edilmesi ve
bunlara çözümler geliştirilmesi bir şirketin pazar payını etkilemektedir. İç denetimin rolü,
Yönetim Kuruluna iç kontrollerin kurumu doğru bir istikamette tuttuğuna dair makul güvence
vermektir.
Yönetişim Nedir? İç Denetimin Yönetişim ile ilgili görevleri nelerdir?
Yönetişim veya diğer bir deyişle Kurumsal Yönetim özünde şirketlerin hissedar ve diğer
menfaat sahiplerine, yani paydaşlarına en yüksek yararı sağlayacak biçimde yönetilmelerini
amaçlayan bir yönetim tarzı ve felsefesidir. Son birkaç yıl içinde yaşanan ve büyük yankılar
uyandıran şirket skandallarının ana sebebi şirket yönetimlerinin şirketleri asıl hak sahibi olan
hissedarların yararına değil, kendi bireysel çıkarları doğrultusunda yönetmeleriydi. İşte bizim
şirketimizde de benzer bir durumun yaşanmaması amacıyla yöneticilerin performansları ve
faaliyetlerinin denetlenmesi, yöneticileri bu tür davranmaktan alıkoymaya yönelik gözetim
mekanizmalarının kurulması önem taşımaktadır. İşte iç denetimin kurumsal yönetim ile ilgili
31
görev ve sorumlulukları burada devreye girmektedir. İç denetim operasyonel faaliyetler ile
yönetsel faaliyetleri risk odaklı bir yaklaşım ile denetleyerek, yönetimin şirketi belirlenmiş
amaç ve hedefler doğrultusunda yönettiğine dair Yönetim Kuruluna makul güvence sağlar.
Ayrıca iç denetçiler Kurumsal Yönetim ilkeleri olan şeffaflık, sorumluluk, hesap verilebilirlik
ve adillik ilkelerini kurum genelinde yaymak, desteklemek ve tanıtmak misyonuna da
sahiptir.
Neden Yönetim Kurulu? Risk Yönetimi, İç Kontrol ve Yönetişim süreçleri ile ilgili bizim
sorumluluklarımız nelerdir?
Yönetim Kurulları, hissedarlar tarafından onların haklarını korumak ve şirketi hissedarlara en
fazla fayda sağlayacak biçimde yönetmelerini sağlamak amacı ile teşkil olunmuş yapılardır.
Hissedarların bir kısmı bizim şirketimizde olduğu gibi aynı zamanda yönetim kurulunda da
olabilir. Ancak bazı şirketler halka açılmakta veya yabancı ortak almaktadır. Bu durumda hem
bu yeni hissedarların hem de eski hissedarların haklarını korumak amacı ile şirketi yöneten
profesyonel yöneticiler üzerinde bir kontrol mekanizmasına ihtiyaç duyulur. İç ve dış denetim
bu bağlamda önemli araçlardır. İşte bu kontrol mekanizmalarını sağlamak da Yönetim
Kurulunun sorumluluğudur. Bunun haricinde şirketin hissedarlara maksimum fayda
sağlayacak biçimde yönetilmesi için öncelikle kurum yönetiminin buna yönelik amaç ve
hedefleri olması, sonra da bu amaçlara dönük risklerini iyi yönetmesi gerekmektedir. Burada
risk yönetimi ve iç kontrol süreçlerinin sağlıklı olması önem taşır. Bu sistemlerin sağlıklı olup
olmadığına dair güvenceyi Yönetim Kuruluna iç denetçiler sağlar. Ayrıca tüm dünyada
Yönetimin seçilmesi ve performansının izlenmesi elbette ki Yönetim Kurulunun
sorumluluğundadır.
Ancak bazı kurumlarda Yönetim Kurullarının ağır iş yükü ve daha farklı stratejik boyutlu
işlerin takipçisi olmaları nedeniyle, yukarıdaki yönetişim, risk ve iç kontrollere ilişkin izleme
ve değerlendirme görevlerini kendi içlerinden veya dışarıdan uygun adaylar arasından
seçtikleri, bu kişilerce oluşturulan farklı organlara delege ettikleri görülmektedir. En iyi
uygulamalarda, Denetim Komitesi olarak bilinen bu kurullar, Yönetim Kurulları adına
kurumun bazı yasal düzenlemelere uyumu ile hissedar çıkarlarına uygun hareket edildiğine
dair görevler üstlenirler. İç denetim birimleri de fonksiyonel olarak bu kurullara raporlama
yapar. Bu kurullar kurum yönetim kuruluna bağlı olarak, ancak kurum üst yönetiminden
bağımsız görev yapmaktadır. Tüm bu soruların ardından yeni sorular geleceğini biliyorduk.
Ancak Yönetim Kurulu üyelerimiz brifingimizin bu ilk bölümünden fayda sağlamış
gözüküyordu. Bu da brifing sırasında bizleri motive etmişti. Bir sevindirici gelişme de gerek
yönetim kurulu üyeleri, gerekse de yönetim ekibinin kurumsal yönetim, risk yönetimi ve iç
kontrol kavramları ile bu kavramlara ilişkin görev ve sorumluluklarını daha iyi kavramaları idi.
32
Brifingin ikinci kısmı öncesi verdiğimiz kısa ara boyunca da bu kavramlar ile ilgili tartışmaya
devam etmemiz, konuya gösterilen ilgiyi göstermekteydi.
Şirketimizin Yönetim Kurulu üyeleri ve yöneticileri ile gerçekleştirdiğimiz iç denetim tanıtım
toplantımızın ilk bölümü istediğimiz gibi verimli geçmiş, ana hedefimiz olan dikkati çekmeyi
başarmıştık. İlk bölüm sonrası verdiğimiz çay kahve arasında, katılımcılardan çok farklı, ilginç,
daha önce üzerinde düşünmediğimiz konularla ilgili sorular geliyordu. Cevaplayabildiklerimizi
cevaplıyor, cevap veremediklerimizi ise konu ile ilgili araştırma yapıp geri döneceğimizi
nezaket içinde ifade ederek geçiyorduk.
Bir iç denetçi açısından her şeyi biliyor gözükmek veya bilmediğimiz hususlar üzerinde fikir
beyan etmenin hatalı olacağını düşünerek iç denetim meslek hayatım boyunca hep temkinli
davranmıştım. Ne de olsa bir iç denetçi açısından en önemli hususlar itibar ve güvenilirlik idi.
Toplantının ikinci bölümüne iç denetçiler ve sunacağı hizmetler ile ilgili bilgi vererek devam
ettik. İç denetçilerin görevleri süresince pek çok farklı rolü üstlendikleri hususuna dikkat
çektik. İç denetçilerin temel odağının hata bulmak değil; değer katmak olduğuna sürekli
vurgu yapıyorduk. Bu bağlamda iç denetçilerin denetim elemanları olmakla birlikte, yeri
geldiğinde
birer
finansal
analist,
yeri
geldiğinde
danışman,
gerektiğinde
risk
değerlendirmecisi gibi farklı roller üstlenebileceği, bunların temelde kuruma değer katmak
amaçlı roller olduğuna dikkat çekmiştik.
“İç denetim, hem genel hedef ve amaçlara ulaşma konusunda, hem de iç kontrol ve
yönetişimi güçlendirme konusunda üst yönetim ve yönetim kurulu için değerli bir kaynaktır”
dediğimizde Yönetim Kurulu Başkanımız Bay T bize bir soru yöneltti:
“İyi güzelde bu değer katma işine nereden başlayacaksınız. Risk Yönetimi, İç Kontrol ve
Yönetişimden bahsettiniz. Bizim şirkete bakarsak Risk Yönetimi ve Yönetişim süreçlerinin hali
hazırda mevcut olmadığını, iç kontrollerin ise dağınık şekilde operasyonlar içinde yer aldığını
görüyoruz. Ana amacınız bu üç konuda değer katmak ve bu üç alandaki süreçleri iyileştirmek
ise, siz işe nereden başlayacaksınız, nasıl değer katacaksınız?”
Aslında bu soruyu bekliyorduk ve hazırlıklıydık. Sözü arkadaşlarımdan isteyerek bu soruyu
ben cevaplamak istedim:
33
“Kurumlarda risk yönetimi, iç kontrol ve yönetişim süreçlerinin bir sisteme dayanmaması
veya açıkça sınırları çizilir vaziyette bulunmaması iç denetim açısından elbette ki arzu edilen
bir durum değildir. Yani etkinliğini arttırmaya çalıştığımız bir şeyin önce tanımlanabilir olması
gereklidir. Bu bağlamda iç denetim faaliyetinin temel önceliği içinde bulunduğu kurumu ve
faaliyetlerini tanımak, amaç ve hedefleri bilmek ve bu öncelikler paralelinde gerçekleştireceği
denetimler ve danışmanlık hizmetleri sonucu elde edeceği bilgi ile kurumun risk yönetim, iç
kontrol ve yönetişim süreçlerinin daha tanımlanabilir, sistemsel ve en iyi uygulamaları
gözeten bir çerçevede ele alınmasını ve değerlendirilmesini sağlamaktır.
Yani bu süreçlerin adının konmamış ve sistemli halde uygulanmıyor olması bunların kurumda
bulunmadığı anlamına gelmez. Önemli olan iç denetçilerin mevcut durumu tespit edip, olayın
sistemsel boyuta taşınmasına yardımcı olmalarıdır. İç denetçiler Kurumlarının risk yönetimi,
iç kontrol ve yönetişim alanlarında bulundukları konumun fotoğrafını çeken, eksiklikleri
tespit eden, bunları Yönetim Kurulları ve Üst Yöneticiler ile paylaşan ve sorumluları (Yönetim
Kurulları Ve Üst Yöneticiler) yukarıdaki üç süreci genel kabul görmüş sistemler dahilinde daha
iyi yönetmeye teşvik eden profesyonellerdir.
Yani özetlemek gerekirse; kurumumuzun iç kontrol, risk yönetimi ve yönetişim süreçlerinin
etkinliğini değerlendirmek ve geliştirmek amacı ile önce kurumumuzun iş süreçlerini
denetleyeceğiz. Bu denetimlerin öncelikli amacı kurumun karşı karşıya olduğu riskler ve bu
risklere yönelik kontrollerin sağlıklı olup olmadığı. Sonra bu denetimler sırasında elde
ettiğimiz bilgi ve deneyimi, risk yönetimi, iç kontrol ve yönetişim alanlarındaki güncel en iyi
uygulamalar ile karşılaştırmak suretiyle kurumumuzun mevcut durumunu ortaya koyacağız.
Bir sonraki aşamada ise bu en iyi uygulamaları kurumuza adapte etmek ve uygulanmalarını
sağlamaya yönelik olarak Üst Yöneticilere danışmanlık hizmetleri sağlayacağız. Yani denetim
hizmetlerini danışmanlık hizmetlerini daha etkin ve sağlıklı sunabilmek için bir basamak
olarak kullanacağız. Ancak tüm bu danışmanlık hizmetlerini sunarken de denetim
hizmetlerini asla aksatmadan, kurumda işlerin amaç ve hedefleri gerçekleştirmeye yönelik
olarak etkin ve verimli bir şekilde yürütüldüğüne ve iç kontrollerin kurumu doğru rotada
tuttuğuna dair güvence vermeye devam edeceğiz”
Cevabımı bitirir bitirmez, mali işlerden sorumlu yönetim kurulu üyesi olan ve göreve
başladıklarından bu yana iç denetçiler ve iç denetim faaliyetlerine temkinli yaklaşan Prof M.
Günün başından beri beklediğimiz o can alıcı soruyu sormuştu:
34
“Sizi ve iç denetçi arkadaşları büyük bir keyifle dinledik. Anlattıklarınız hakikaten de ilgi çekici.
Ancak bizim kurumun bahsettiğiniz diğer iç denetim hizmetlerine neden ihtiyaç duyduğu
konusu benim için yeterince net değil. Yani şirketimiz için iç denetim birimi veya faaliyeti
kurulması konusunda yasal bir zorunluluk yok. Evet, teftişe, yani iş ve işlemlerin geçmişe
dönük olarak sorgulanmasına bende sıcak bakıyorum. Ama risk yönetimi, iç kontroller,
yönetişim alanlarında denetim ve danışmanlık yolu ile kuruma değer katmak hem maliyetli
hem de uzun sürecek bir süreç gibi geliyor bana. Bu maliyeti neden göze alalım veya daha
doğru ifadeyle mevcut ölçeğimizde neden bu tür bir hizmete ihtiyaç duyalım. Şirket
Yöneticilerimiz risklerin yönetilmesinde veya operasyonların verimliliği hususunda neden iç
denetçi desteğine ihtiyaç duysun ki?”
Prof M. nin kendi düşüncelerini bir soru ile özetlediği yorumu, salondaki tüm bakışları iç
denetçilerin hamisi konumundaki bana yöneltmişti. Aslında kafalardaki şüpheleri yok etmek
açısından iyi bir fırsat olmuştu bu soru. Cevabı verirken iç denetçi arkadaşların notlar
aldıklarını görüyordum:
“Bu gün çok çeşitli sektörlerde birçok orta ve büyük ölçekli firma bir iç denetim sistemine
sahiptir. İtibara dayalı sorumlulukları olan borsaya kote firmalar, bankalar ve diğer finansal
kurumlarda ise bildiğiniz üzere bu bir gerekliliktir. Diğer şirketlerde iç denetim sistemine
sahiptirler çünkü iç denetim sistemi Denetim Komitesi ve üst yönetime güvence sağlayan
yönetimsel kontrolün değerli bir parçası olarak algılanır ve yatırımcılar ile kreditörler için
işletmenin kredibilitesine değer katar. Yani iç denetim klasik yönetim fonksiyonlarından biri
olan kontrol etme fonksiyonunun önemli bir aracıdır. Kabul etmek gerekir ki daha küçük
organizasyonlarda yöneticiler günlük faaliyetleri etkin bir şekilde yönetebilecek ve
çalışanların işlevlerini takip edebilecek yeterlilikte yakındırlar. Ancak işletme büyüdükçe ya
da faaliyetler karmaşıklaştıkça yönetim çalışanların faaliyetlerini kontrol etmekte zorlanacak
ve birebir takipler yerini iç kontroller ve iç kontrol sistemlerine bırakacaktır. Bizim şirketimiz
sektörde önemli bir oyuncu olup, yıllar itibariyle gerek mali durum, gerekse de operasyonlar
itibariyle belirli bir büyüklüğe ulaşmış durumdadır. Büyük üretim hatları, karmaşık dağıtım
kanalları, yurt dışı irtibatları ve önemli büyüklükte kabul edebileceğimiz bir örgütsel yapısı
vardır. Bu nedenle, iç denetim hizmetlerinin değer katabileceği ve maliyetinin üzerinde fayda
sağlayabileceği bir iş ve örgütsel büyüklüğe sahiptir. Böylesi bir ölçek yukarıda bahsi geçen
üst yönetimin kontrol fonksiyonun icrasını güçleştirmekte, bu kontrol faaliyetlerinin
desteklenmesini zorunlu kılmaktadır.
35
İşte bu nedenle iç denetim sistemi bulunmayan organizasyonlar, eğer boyutları ve
faaliyetlerinin türü, sermaye kaynakları ve risk faktörleri gerektiriyor ise, bir sistem kurmaya
mutlak önem vermelidirler. Tüm bu koşulların bir iç denetim birimine sahip olmak adına
firmamız açısından geçerli olduğunu düşünmekteyim. Tüm bu görüşlere ek olarak bir
kurumun yönetsel ve operasyonel faaliyetlerinin, Yöneticilerden bağımsız ve objektif olan,
yetkin kişilerce sistematik olarak değerlendirilmesinin iş ve işlemlerin çok daha etkin ve
amaçları destekler şekilde yürütülmesine katkı sağlayacağını da düşünmekteyim. İç denetim
tanıtım toplantımız sonrası size yapacağımız ve denetçi arkadaşlarımız tarafından dört aydır
yürütülen denetim faaliyetlerinin sonuçlarına ilişkin sunumun, iç denetimin kurumumuz
açısından önemini ortaya koyacağını göreceksiniz”
Bay T tekrar bir soru sormak üzere söz almıştı. “Diyelim ki şirketimizin gerçekten de bu
hizmetlere ihtiyacı var ki ben kişisel olarak olduğunu düşünüyorum. Denetçi arkadaşlarımız
bu yükü nasıl kaldıracaklar? Pek çok farklı ve yoğun faaliyet söz konusu, denetimler,
danışmanlıklar, vs. Ekibi takviye etmek gerekecek mi sizce?
Soruyu oldukça beğenmiştim. Gerçekten de bir iç denetim Birimi açısından en önemli
unsurlardan bir tanesi de tahsis edilecek iç denetim kaynakları idi. Soruya cevap verirken
salonda konuya ilginin arttığını da gözlemlemekteydim;
“İç denetim fonksiyonları, denetledikleri alan ve riskler açısından uygun tecrübe ve yetenekte
birbirini tamamlayan yeterli personele ihtiyaç duyar. Personelin kendi uzmanlık alanlarında
süregelen bir eğitim almaları icap ettiği gibi kurum içindeki teknolojik ilerlemeleri ve
organizasyonel değişiklikleri birebir takip etmeleri zorunludur. Aynı zamanda, İç denetim
fonksiyonu koordineli uygulamalarla dış denetçilere destek olmalıdır. Bu nedenle risk, iç
kontrol ve yönetişim alanları ile ilgili mesleki bilgi dışında muhasebe, finans ve mali
raporlamalar ile ilgili bilgi sahibi olmak da önem taşır. Bu nedenle etkin bir iç denetim
fonksiyonu oluşturmak için önce yetkin iç denetçilerin istihdam edilmesi gerekir. Kesinleşmiş
bir kural olmamakla birlikte, kurumun personel sayısının %1-2’si oranında yetkin iç denetçi
istihdam edilmesi genel kabul görmektedir. Elbette ki bu sayı sektör, şirket organizasyonu ve
faaliyet yapısı ile işin niteliğine göre önemli ölçüde değişiklik gösterebilir. Organizasyon
denetim faaliyetleri için kurum içinde ayrı bir İç Denetim Departmanı oluşturabileceği gibi
süregelen görevlerde bir kısım denetim uygulamalarını görev tanımına ekleyebilir.
İç Denetim Departmanı diğer bölümlerde çalışan personeli de denetim ekiplerinin bir parçası
olarak geçici veya kalıcı olarak bünyesinde bulundurabilir. Örneğin bizim iç denetçi arkadaşlar
36
şirket içi farklı bir departmanda çalışırlarken tarafımca görevlendirildiler. Yine tarafımca
önemli bir eğitime tabi tutuldular. İç denetçilerin dışarından temin edilmesi de diğer bir
yöntemdir. Eğer uygun görülür ve resmi bir iç denetim departmanı kurmak konusunda
sizlerle fikir birliği sağlar isek, iç denetim ekibinin geri kalan kısmını dışarıdan istihdam
edeceğimiz tecrübeli iç denetçilerden oluşturacağız.
İç denetim muhtelif bilgi, beceri ve deneyimi gerektirmektedir. Bu becerileri bünyemize
katmamız gerekecek. Bu nedenle Sayın Bay T’ nin yorumuna katılıyorum. Kurumumuzun
yapısı ve gereksinimleri göz önüne alındığında çağdaş ve etkin bir iç denetim fonksiyonu
kurmak adına iç denetim ekibimizi güçlendirmemiz gerekecek. Bu sayede daha önce
bahsettiğimiz değer katma misyonu paralelinde, çok farklı alanlarda iç denetim
fonksiyonundan faydalanmak mümkün olacaktır.
Söze devam ederken çay ve kahve servisinin açılması ile ikinci arayı vermiş oluyorduk. Arada
Prof. M. yanıma gelerek kurumun iç denetçi ihtiyacına yönelik olarak kafasındaki diğer bazı
şüpheleri paylaştı. Kendisini ikna etmek oldukça zor olacağa benziyordu.
Bertan KAYA (TCMB İç Denetçisi), http://www.bertankaya.net/ (Erişim: Ekim 2008)
37