ç Denetim - Türkiye İç Denetim Enstitüsü

Transkript

3
Merhaba
D
e¤erli okuyucular›m›z,
‹çinde bulundu¤umuz yaz mevsiminin beraberinde sadece s›caklar›
de¤il, siz de¤erli meslektafllar›m›z ve okuyucular›m›z için güzel bir
dinlenme f›rsat› da getirdi¤ini umuyoruz. Bizler, bu süreçte yine yo¤un çal›flmalar›m›za devam ederek dergimizin flu an okumakta oldu¤unuz 12.
say›s›n› haz›rlad›k.
Dergimizin bu say›s›nda, mesle¤in ileri gelenleri ile "‹ç Denetim Departman
Yönetiminde Etkinlik ve Verimlilik" konusu masaya yat›r›larak, iç denetim departman›nda etkinlik ve verimlili¤i art›rman›n yöntemleri de¤erlendirilmifltir.
Özellikle iç denetim departman yöneticilerinin ilgisini çekece¤ini umdu¤umuz bu konuya Aysberg bölümünde yer verilmifltir.
Bildi¤iniz üzere, dergimizde zaman zaman ülkemizde faaliyet gösteren holding ve flirketlerdeki iç denetim uygulamalar›na yer vermekteyiz. Bu say›m›z›n Yak›n Plan bölümünde "Hedef Alliance Holding’de ‹ç Denetim Uygulamalar›" yer almaktad›r.
Yak›n Plan bölümünde yer alan di¤er bir konu ise kamu idarelerinin iç denetim sistemlerini düzenlemek, izlemek, gelifltirmek, uyumlaflt›rmak ve koordine etmek üzere ba¤›ms›z ve tarafs›z bir organ olarak kurulan "‹ç Denetim Koordinasyon Kurulu"dur. ‹lgili Kurul Baflkan› Dr. Hasan Gül ile yap›lan söyleflimizi ilgi ile okuyaca¤›n›z› düflünmekteyiz.
Dergimizin di¤er bölümlerinde iç denetçi ile denetim komitesi aras›nda nas›l
bir iliflki olmas› gerekti¤i, biliflim teknolojisi (IT) denetiminin ne oldu¤u, kurumsal yönetim indeksi, iç denetçilerde bulunmas› gereken nitelikler, toplum
mühendisli¤i ve güvenlik, Türkiye ombudsman›, yarat›c› ayk›r›l›k, iyi bir mentor olmak konular› üzerine mesle¤imizle ilgili makaleleri okuma flans›na
sahip olacaks›n›z.
Dergimize yaz›lar›, görüflleri, önerileri ve çal›flmalar› ile destek veren, emek
harcayan herkese çok teflekkür ederiz. Mesle¤imizle ilgili üyelerimizden gelecek olan her türlü yaz›, görüfl ve önerilere aç›k oldu¤umuzu yinelemek istiyoruz.
Sevgi ve sayg›lar›m›zla,
Yay›n Kurulu
[email protected]
‹Ç DENET‹M / Yaz 2005
Bir sonraki say›m›zda görüflmek dile¤iyle hoflça ve mutlu kal›n...
4
Türkiye ‹ç Denetim Enstitüsü
Derne¤i
‹çindekiler
Aysberg . . . . . . . . . . . . . . . . . . . . . . .6
‹ç Denetim Departman Yönetiminde Etkinlik ve
Verimlilik
Yeflil Kalem . . . . . . . . . . . . . . . . . . .18
N. Burak Ünlü
‹ç Denetçilerde Bulunmas› Gereken Nitelikler
Dr. Süleyman Uyar
‹ç Denetçi ‹le Denetim Komitesi Aras›nda Nas›l Bir
‹liflki Olmal›d›r?
Çelik Kurto¤lu
Derecelendirme Nedir?
Perçin . . . . . . . . . . . . . . . . . . . . . . .33
Ali R›za Eflkazan
Yeni Yasal Düzenlemeler Ifl›¤›nda ‹ç Denetim
Parmak ‹zi . . . . . . . . . . . . . . . . . . . .36
N. Burak Ünlü
‹flletim Sistemleri: Denetçilerin Bilmesi Gereken
Temel Bilgiler
Tanol Türko¤lu
Aldatma Sanat›
ADINA ‹MT‹YAZ SAH‹B‹
Ali Kamil UZUN
Emekli Subayevleri Müflir Dervifl ‹brahim Sokak
1. Blok No: 6 D: 16 Esentepe / ‹stanbul
SORUMLU YAZI ‹fiLER‹ MÜDÜRÜ
N. Burak ÜNLÜ
YAYIN KURULU
Ali Kamil UZUN
Cüneyt SEZG‹N
Günseli ÖZEN OCAKO⁄LU
N. Burak ÜNLÜ
Tanol TÜRKO⁄LU
Özlem AYKAÇ
YAYIN DANIfiMA KURULU
Adnan NAS, Ahmet EROL
Ahmet ERYILMAZ, Ayflen TOPAY
Beflir ÖZMEN, Bülent TARHAN
Bülent fiENVER, Bülent ÜSTÜNEL
Cansen BAfiARAN, Prof. Dr.Ersin GÜRED‹N
Fatih DURAL, Filiz YÜCESOY, Giovanni GROSSI
Hüseyin ÖZER, Jean-Pierre GARITTE
Kaya TURHANO⁄LU, Mehmet MAÇ
Prof. Dr. Melih ERDO⁄AN
Doç. Dr. Metin Ercan, Mehtap NUMANO⁄LU,
Mustafa ÖZYÜREK
Prof. Dr. Nejat BOZKURT, Neil COWAN
Dr. Semra AfiÇIG‹L, Doç. Dr. Suat TEKER
Dr. U¤ur TANDO⁄AN, Veysi SEV‹⁄
Zafer KARAKULAK
‹LET‹fi‹M ADRES‹
Tel: 0 212 212 55 25 Faks: 0 212 212 55 26
E-posta: [email protected]
http://www.tide.org.tr
Mühür . . . . . . . . . . . . . . . . . . . . . . .42
Y›ll›k Abone Bedeli: 20 YTL KDV dahildir.
Hande Yaflargil
‹yi Bir Mentor Olmak-3
Çizgi Ötesi . . . . . . . . . . . . . . . . . . . .43
Ali Kamil Uzun
10. Y›l Üzerine...
Ayraç . . . . . . . . . . . . . . . . . . . . . . . .44
Ahmet Ery›lmaz
Yarat›c› Ayk›r›l›k
Yak›n Plan . . . . . . . . . . . . . . . . . . . .45
Y›lmaz Akçeken
Hedef Alliance Holding’te ‹ç Denetim Uygulamalar›
Dr. Hasan Gül
‹ç Denetim Koordinasyon Kurulu
YAPIM
Rota Yay›n Yap›m Tan›t›m Ticaret Ltd. fiti. Prof. N.
Mazhar Ökten Sk. No: 1 Rota Binas› 34360
fiiflli-‹stanbul
Tel: 0 212 224 01 44 Faks: 0 212 233 72 43
E-Posta: [email protected]
http://www.rotaline.com
YAYIN TÜRÜ
Yayg›n Süreli Yay›n
BASKI TAR‹H‹
Eylül 2005
BASKI ve C‹LT
TOR Ofset San.ve Tic. Ltd. fiti.
‹mam Çeflme Cad. No: 26/2 Ayaza¤a
fiiflli-‹stanbul
Tel: (0212) 332 08 38 (Pbx)
Faks: (0212) 332 08 39
E-Posta: [email protected]
Türkiye ‹ç Denetim Enstitüsü Derne¤i taraf›ndan üç
ayda bir yay›mlan›r.
Yaz›lar›n fikri sorumlulu¤u yazarlar›na aittir.
Yans›ma . . . . . . . . . . . . . . . . . . . . . .50
R. Bülent Tarhan
Türkiye Ombudsman› Üzerine...
Mehmet Mesut Karakafl
Teknoloji Denetimi Nedir?
Çetin Özbek
Verimlilik
Pano . . . . . . . . . . . . . . . . . . . . . . . .60
Özet/Summary . . . . . . . . . . . . . . . .62
Dikkenar . . . . . . . . . . . . . . . . . . . . .63
(The Institute of
Internal Auditors
Chairman’s Special
Recognition Award)
(The Institute of
Internal Auditors
Publication Contest
Newsletter Category)
(The Institute of
Internal
Auditors
Membership
Competition)
6
7
AYSBERG
AYSBERG
‹ç Denetim Departman
‹ç denetim standartlar›na bak›ld›¤›nda ve iç denetim faaliyetinin yönetimiyle ilgili 2000 say›l›
Performans Standard›’na göre: "‹ç denetim faaliyetinin yönetimiyle ilgili iç denetim yöneticisi, iç
denetim faaliyetini, faaliyetin kuruma de¤er katmas›n› sa¤layacak etkili bir tarzda yönetmelidir."
Bu standard›n uygulama önerisi olan alt aç›l›m›nda da "‹ç denetim yöneticisi, iç denetim faaliyetini denetim çal›flmas›n›n denetim komitesi ve
yönetim kurulunun gerekti¤inde üst yönetimin
onaylad›¤›, yönetmelikte tan›mlanan genel amaç
ve sorumluluklar› yerine getirmesini, iç denetim
faaliyetinin kaynaklar›n›n verimli ve etkin bir flekilde kullan›lmas›n› ve denetim çal›flmas›n›n
uluslararas› standartlara uygun yap›lmas›n› sa¤layacak flekilde yönetmekten sorumludur." diyerek iç denetimin kuruma kataca¤› etkinli¤e ve
verimlili¤e bir standart getirmifl oluyor.
Bu say›m›zda, dergimizin dosya konusu olan
AYSBERG bölümümüzde, "‹ç Denetim Departman Yönetimi'nde Etkinlik ve Verimlilik" konusu ele al›nd›.
Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan› Ali
Kamil Uzun, Hac› Ömer Sabanc› Holding A.fi.
Denetim Daire Baflkan› Fuat Öksüz, Do¤an Yay›n Holding A.fi. ‹ç Denetim Müdürü Kemal
Sertkaya, Tema Grup Kalite Güvence Koordinatörü, ‹ç Denetim Müdürü H. ‹brahim Ayafll› ve
Yap› Kredi Bankas› Kredi Riski Komitesi Baflkan›
N. Burak Ünlü bu konu ile ilgili olarak ve kurumlar›ndaki uygulama örneklerini paylaflt›lar.
Ali Kamil Uzun: Öncelikle etkin ve verimli bir iç
denetim fonksiyonunu nas›l tan›mlayabiliriz?
Fuat Öksüz: Bu konulara de¤inmeden önce etkinlik ve verimlilik konusunda baz› ön flartlara
dikkat çekmek istiyorum. Bunlardan birincisi,
yönetimin iç denetimi çok iyi sahiplenmesi ve iç
denetime destek olmas› gerekiyor. ‹kincisi iç denetimin rolünün çok iyi anlat›lmas› ve alg›lanmas›. Üçüncüsü ise kuruma katma de¤er yaratacak bir süreç olarak planlanmas›. Buradaki
önem iyi anlat›lmazsa, iyi alg›lama sa¤lanmazsa
ve üst yönetim bunu sahiplenmezse etkin ve verimli bir departmandan söz etmek mümkün de-
Genel anlamda üst yönetim bunu sa¤layamaz.
Bunu sa¤layacak, örgüte bunu benimsetecek
olan denetim organizasyonunun kendisidir. ‹fl
yap›fl flekli, iletiflim tarz›, kendini ifade edifl üslubu denetlenenin denetimi kabullenme h›z›n› ve
dolay›s› ile sonuçlar›n› kullanma baflar›s›n› da
direkt olarak etkiler.
N. Burak Ünlü: Bir denetimin etkin olmas›, kendisinden öngörülen hedeflere, kendisinden beklenenlere ulaflma gücü ile ilgilidir. Verimlili¤i ise
k›s›tl› kaynaklar›n optimum flekilde kullan›lmas›
olarak tan›m fleklinde ortaya koyabiliriz.
Ali Kamil Uzun: Verimlilikten, etkinlikten, katma
de¤erden bahsettik. Peki, bunlar› nas›l ölçülebilir
olarak ifade edece¤iz?
Fuat Öksüz: Önemli bir konu ama ölçülmesi o
kadar da kolay de¤il. Çünkü yap›lan temelde bir
güvence sa¤lama ifllevidir. Bunun yan›nda da
üstlenilen bir dahili dan›flman rolü var. Bir öneri
yap›l›r ve bu öneri sebebiyle flirket bir para kazanabilir veya bir maliyet tasarrufu sa¤layabilir. Ya
da gelir artt›r›c› bir öneri gelebilir ve bunlar ölçülüyor olabilir. Bunun yan›nda kontrol bofllu¤u
ile ilgili bir bulgu vard›r bu önerilir ve o kontrol
bofllu¤u giderilir. Tersi bir durumda, bu kontrol
bofllu¤u giderilmezse belki flirket çok büyük kay›plara u¤rayacakt›r. Ama bunu her zaman nümerik olarak ölçmek, rakamsallaflt›rmak pek
mümkün de¤ildir.
Denetimin genel olarak geçmifle yönelik oldu¤unu söyleyebiliriz. Bu anlamda denetimi biraz daha proaktif, gelece¤e bakar hale getirmek laz›m.
Bugünü kontrol alt›na almak için, çok iyi bir
kontrol sisteminin kurulmas›; gelece¤i teminat
alt›na almak için de risk yönetimi yap›lmas› gerekir. Belki buradaki eksiklikler söylenip risk yönetiminin etkin yap›lmas› sa¤lan›yor. Yap›lacak
bir öneri belki milyon dolar finansal riski önleyecek tedbiri almaya, o sistemi kurmaya itebilir.
Verimlili¤in
sa¤lanmas›nda temel
unsur; risk odakl›
denetim yaklafl›m›yla ifl
süreçleri, teknoloji ve
insan kayna¤›n›n etkin
bileflimidir.
Yönetimi'nde
Etkinlik ve Verimlilik
¤ildir. Bu yüzden ben bunlar› birer ön koflul olarak görüyorum ve bu konunun öneminin alg›lanmas› hususunda bize çok büyük rol düfltü¤ünü
düflünüyorum. ‹ç denetimin önemi sergilenecek
performans›n getirdi¤i yarat›lacak katma de¤er
ile daha da iyi anlafl›lacakt›r.
Etkinlik denilince, öncelikle kuruma katma de¤er yaratan bir denetim süreci olmal›. Yap›lan ifl
bir flekilde mutlaka bir de¤er yaratmal›. Verimli
olmak da optimum kaynaklarla en iyi sonucu verecek flekilde çal›flmakla mümkündür.
Kemal Sertkaya: Katma de¤er yarat›rken veya
yaratmadan önce, üst yönetimin dikkatini çekme, üst yönetimin bu konudaki e¤ilimini pozitife yöneltme konusunda bir parantez aç›ld›¤›nda,
ölçülemeyen ve mali bir de¤er olarak ortaya
konmayan aksiyon ald›rma fonksiyonunun son
derece önemli oldu¤unu düflünüyorum. Ama bu
fonksiyon da birebir yönetimin bu ifle yaklafl›m›,
bak›fl› ve size verdi¤i destekle ilgili. E¤er bafltan
üst yönetim o deste¤i sa¤lad›ysa bu güçle beraber ald›r›lacak aksiyonlar kuruma mutlak suretle
bir katma de¤er yarat›r. Etkinli¤i ve verimlili¤i
standartta bir ölçü olarak ayr› görüyoruz. Bence
etkinlik ve verimlilik içiçe iki kavram. Verimlili¤i optimum kaynakla bir ifli yapmak, etkinli¤i de
katma de¤er yaratmak ve aksiyon ald›rmak diye
tan›ml›yorum. Zaten aksiyon ald›r›labiliyorsa,
yarat›lan katma de¤er, o kadar genifl bir boyuta
ç›kar ki iç denetimi maliyet unsuru olarak görülmekten ç›kar›r.
Aksiyon ald›rmakla beraber yarat›lan katma de¤er mutlak suretle verimlili¤i de etkinlikle içiçe
geçirecektir.
Ayr›ca genel anlamda say› artarsa, katma de¤er
de artar diye bir iddia da geçerli de¤il.
H. ‹brahim Ayafll›: ‹ç denetimin verimlili¤inin,
yapt›¤› ifl sonucu etkinli¤inin konuflulabilmesi
için temel anlamda: Üst yönetimin deste¤i, yetkin bir kadro, bunu icra edebilecek uygun bir ifl
ortam› gereklidir. Verimlili¤i artt›rabilmek için;
denetleyenle denetlenenin, organizasyon içinde
ayn› tarafta yer ald›klar›na, ortak iletiflim içinde
bir payday› paylaflt›klar›na inanmalar› gerekir.
Denetimin sonucunda al›nan kararlar› birileri
uygular ve ondan da bir katma de¤er üretilirse
denetim verimli olmufltur denilebilir. Bunu da
gerçeklefltirebilmek için denetlenenin (organizasyonun) denetime, denetçinin kendisine mutlak inanmas›, denetçinin yapt›¤›na güvenmesi ve
denetlenenlerin denetim sonuçlar›ndan faydalanabilece¤inin ön kabulü içinde olmas› gerekir.
8
9
AYSBERG
H. ‹brahim Ayafll›, Tema Grup Kalite Güvence
Koordinatörü, ‹ç Denetim Müdürü
Ama her zaman ortaya konan katk› rakamla ölçülemez.
Ali Kamil Uzun: Denetimde verimlili¤i, etkinli¤i
nümerik olmaktan daha çok nitelik, öngörüler,
baz› tespitler ile ölçülendirmek gerekebiliyor.
Kemal Sertkaya: Bence de iç denetimin en büyük s›k›nt›s›, etkinli¤inin yeterince ölçülebilir
bir halde olmay›fl›ndan, nümerik olarak ölçülememesinden kaynaklan›yor.
Üst yönetim, genel olarak birtak›m verilere bakt›¤›nda ölçüt olarak, nümerik ifadeleri esas al›yor. Sat›fl rakamlar›, maliyetler, karl›l›k, vs. ‹ç
denetimde ise tasarruf etkisi, organizasyonda
yap›lan de¤iflikliklerin yaratt›¤› maliyet tasarruflar›, reel sat›fl artt›r›c› bir tak›m öneriler ele al›nmakla beraber büyük bir k›s›m öneriler de flirket
içindeki kontrol boflluklar›n› tespit edip bunlara
iliflkin tedbirlerin al›nmas›n› sa¤lama amaçl›.
Hatta bazen iç denetim önerileri sonucunda
ters durumlar (maliyet yarat›c›) ortaya ç›kabiliyor. Etkinlik ifade edilirken bazen de yat›r›m
yapt›r›c›, maliyet yarat›c› unsurlar olabiliyor. O
zaman etkinli¤i nümerik olarak ifade etme çabas› da çok anlaml› kalm›yor. Bu yüzden ilk
olarak bunu nitelik aç›s›ndan iyi anlatabilmek
ve al›nan aksiyonlar sonras›ndaki pozitif geliflmeleri takip etmek gerekiyor. Aksiyonlar neticesindeki tasarruflar› ve nümerik ç›kar›labilecek
kavramlar›, de¤erlendirmeler sonras› üst yönetime götürmek daha yararl› olacakt›r. Özellikle
aksiyon karar› ald›rma sürecinde de¤erleri somut olarak ortaya koymak çok zor.
H. ‹brahim Ayafll›: "Denetim ve Verimlilik" denildi¤inde konuya iki farkl› aç›dan bakmak
mümkündür. ‹lki, denetim departman›n›n kendi
içsel verimlili¤idir. Buna göre "Denetim daha verimli nas›l yap›l›r? ve "Mevcut kaynaklarla, mevcut organizasyonda, bu çapta, bu kadar denetlenecek nokta daha verimli nas›l denetlenebilir?"
sorular› ve bu sorular›n bulaca¤› karfl›l›klard›r.
‹kincisi ise, denetim yönetiminin organizasyon
içindeki varl›¤› sebebiyle örgüt süreçlerinde verimlili¤in sa¤lan›p sa¤lanamad›¤›d›r.
Bu iki de¤er ayr› ayr› ölçülmelidir. Denetim içsel
verimlili¤i, Uluslararas› ‹ç Denetim Standartlar›
ve Mesleki Uygulamalar Çerçevesi, Nitelik Standartlar›, 3.maddede bahsi geçen; "‹ç denetim yöneticisi, iç denetim faaliyetinin tüm yönlerini
kapsayan ve etkinli¤ini sürekli gözleyen bir kalite güvencesi ve gelifltirme program› haz›rlamal›
ve uygulamal›d›r." hükmü çerçevesinde ele al›nmal›, en az iki y›lda bir ba¤›ms›z denetim ile de
yap›lan çal›flmalar›n verimlili¤i ve etkinli¤i teyit
ve tescil edilmelidir. Bu ölçülebilen kolay k›s›md›r.
Yukarda bahsetti¤im ikinci husus ise iç denetim
yönetimlerinin belki de kendilerinin organizasyona olan katma de¤erlerini ifade etmekte en
çok zorland›klar› husustur. Denetimler ile organizasyonda sa¤lad›¤›n›z verimlili¤i ve etkinli¤i
her zaman ifade edemezsiniz, bu do¤rudur. Ancak organizasyonlar›n iç denetim yönetiminden
ve yöneticisinden ne bekledikleri somut görev/bölüm tan›mlamalar›na dönüflebildi¤i ölçüde, iç denetim yönetiminin uygulama sonuçlar›
da o nispette ölçülebilir olmaktad›r. Bunun s›rr›
aç›k, net ve ölçülebilir hedefler ile görev tan›mlar›nda yatmaktad›r. Bu tan›mlamalar› yapmakta
san›ld›¤› gibi basit bir görev tan›m›n›n yaz›m›
olarak düflünülmemelidir.
Ali Kamil Uzun: ‹ç denetim bir yönetim fonksiyonu ama bir sat›fl, pazarlama, üretim veya di¤er
yönetim fonksiyonu süreçlerine göre maliyet ve
verimlilik tan›mlar›nda de¤ifliklikler gösteriyor.
Çünkü biz riski güvence alt›na almak için baz›
yat›r›mlar yap›lmas›n› talep edebiliriz. Bugün
aç›s›ndan bir maliyettir ama ilerisi için bir tasarruftur. Bu bedelini ödeyece¤imiz bir riskin önlenmesine yönelik bir tasarruf olabilir. Burada ileriye yönelik bir katma de¤er, gelir söz konusudur.
Fonksiyon olarak da varl›¤›n›z, kuruma kurumsal yönetim aç›s›ndan bir referans olaca¤› için
bir itibar referans› sa¤layabilir. Tabi bunlar da alg›lamayla, tan›tmayla alakal›.
Bir de olay›n d›flsal verimlilik gibi içsel verimlilik
boyutundan da bahsetmek mümkün. Denetimin
kaynaklar›n› optimum kullanmas› aç›s›ndan çe-
flitli teknolojik imkanlar, özellikle bilgisayar destekli denetim teknikleri veya önemli oldu¤unu
düflündü¤ümüz risk odakl› denetim planlamas›
içsel verimlik ve etkinlik aç›s›ndan önemli gördü¤ümüz araçlar.
Hem teknoloji deste¤ini hem risk odakl› planlamay› iç denetimin içsel verimlili¤i aç›s›ndan nas›l de¤erlendirebiliriz?
Fuat Öksüz: Risk odakl› denetim yaklafl›m› çok
önemli bir konu. Yani "Att›¤›n›z tafl ürküttü¤ünüz kurba¤aya de¤er mi?" Uygulayaca¤›n›z metodoloji ve planlama bu aflamada en büyük verimlilik ve etkinlik olacakt›r. Sonuçta önemli
olan risk analizlerini yap›p, flirketin hangi alanlar› daha risklidir, hangi alanlar›na de¤inilmesi
laz›m, üst yönetimin beklentileri nelerdir gibi
kriterleri ortaya koyup do¤ru ve etkin bir planlama yap›ld›¤›nda iflin bence yüzde 50’si halledilmifl olur. Yaklafl›m mutlaka risk odakl› olmal›.
Bunun yan›nda bir de uygulama söz konusu.
Olay sadece planlamayla bitmiyor. Burada da
etkinli¤i sa¤laman›n yolu öncelikle metodolojinin çok etkin olmas› ile ilgili. Teknolojiden azami ölçüde yararlanmak oldukça önemli. Dene-
tim süreçlerinin çok iyi optimize edilmesi gerekiyor. Planlama, çal›flma programlar›n›n, içeri¤i
ve ifllevselli¤i ve denetim ekibinin supervizyonu
çok iyi dengelenmeli.
Bir de unutulmamas› gereken insan unsuru var.
Sonuçta bu iflleri insan yap›yor. Do¤ru insanlarla çal›fl›lmas› gerekiyor. Buradaki yetkinlikler, bu
kiflilerin e¤itimleri ve kiflisel geliflimleri de çok
önemli.
Özetlemek gerekirse, verimlili¤in sa¤lanmas›ndaki temel unsur; baflta risk odakl› denetim yaklafl›m›yla etkin bir planlama olmak üzere, uygulayaca¤›n›z ifl süreçleri, kulland›¤›n›z teknoloji
ve insan unsurunun etkin bileflimi diyebiliriz.
Kemal Sertkaya: Bu konuya de¤iflik bir bak›fl aç›s›yla bakmak istiyorum. Verimlilikten bahsederken iç denetim birimi insan kayna¤› niteli¤inin
önemi gere¤i "yönetici fidanl›¤›" gibi yönetici yetifltirmesi gereken bir birim.
Bir iç denetim biriminde bu ifli iyi yapan, özellikle birden fazla flirkete hakim olan holding gibi büyük gruplar›n birimlerinde veya dan›flmal›k
flirketlerinin birimlerinde çal›flan denetçiler, asl›nda o flirketlerin ilerideki yönetici adaylar›. Son
dönemlerde yurtiçi ve yurtd›fl›nda
kurumsal bazda bakt›¤›m›zda birtak›m skandallar olufltu. Art›k güvenilir insan kayna¤› ve gruba veya bütün flirketlere hakim olabilecek
özellikteki üst düzeyde insanlar›
bulmak çok zorlaflt›.
‹yi bir iç denetim birimine sahip
olan büyük bir grupta, o birime gereken de¤er verilir, gereken destek
sa¤lan›r ve yetkinlikleri ad›na tüm
gereksinimleri karfl›lan›rsa; o grup,
iç denetim birimi insan kayna¤›n›,
ileride gruba yönetici yetifltirebilecek bir birim haline getirir. Ve bence en büyük verimlilik buradan kaz›n›l›r.
Personel say›s›n›n yükse¤e ç›kmas›
afl›r› derecede harcamalar yap›lmas›ndan bahsetmiyorum. Ama d›flar›dan bir üst düzey yönetici alman›n
riskleri flu anda dünya standartlar›nda görülen vakalar sonras›nda oldukça yüksek.
K›sacas› ben iç denetimin verimlili¤i ölçütünün bir yat›r›m gibi de¤erlendirilmesi gerekti¤ini düflünüyorum. Yat›r›m› yapars›n›z, özellikleri-
AYSBERG
10
11
AYSBERG
ni çok iyi bildi¤iniz yeni makinelerin çal›fl›p üretimin kalitesi ve hacmi artt›¤›nda da verimlili¤i
orta vadede görebilirsiniz. Buradaki yeni makineleri iç denetim biriminden yetiflen etkin üst
düzey yöneticiler ile özdefllefltiriyorum.
H. ‹brahim Ayafll›: Günümüzde denetim bilincine ulaflan organizasyonlara bakt›¤›m›zda tek
nokta denetim yapmad›klar› görülüyor. Günümüzde çoklu noktalarda, çoklu co¤rafyada hatta
dünya çap›nda bir denetim yap›lmas› söz konusudur. Tek noktada hizmet veren bir yönetim, iflleri kontrol alt›nda tutabildi¤ini düflünebilir. Oysa ki konu ulafl›labilir, görülebilir, duyulabilir
boyutlar› afl›p da dünyan›n arka taraf›na doland›¤› zaman mutlaka teknoloji, bilgi sistemleri denetimin vazgeçilmez araçlar› haline gelmektedir. Bir denetçi için kesintisiz internet ortam› gibi bilgiye ulafl›m kaynaklar›, lüks de¤il mutlak
bir gerekliliktir. Bugün basit bir anlamda tafl›nabilir bir bilgisayar› olmayan denetçi düflünmek
hiç do¤ru olmayacakt›r
‹letiflim içinde olabilmek, istenilen kayna¤a ulaflabilmek, denetlenen kaynaklar›n datalar›na ve
raporlama tekniklerine herkesten ayr›cal›kl›
özel raporlarla ulaflabilmek bugün denetim birimlerinde sa¤lanmas› gereken olmazsa olmaz
flartlard›r. Günümüzde içinde olunan bilgi ça¤›
ve bilginin elektronik ortamlarda yönetilmesi, IT
denetimi denen yeni bir denetim fleklini do¤urmufltur.
Kemal Sertkaya: Tabi ki bir denetim biriminin
optimum maliyette olmas› gerekir. Bunun yan›nda denetim biriminin, flirketlerin risk yaratabilecek üst düzey yöneticilerinin riskini bertaraf
eden bir güç olarak görülebilece¤inin; dolay›s›yla flirkette maliyet gibi görülenin asl›nda ilerde
optimalden de yüksek bir maliyet tasarrufu yaratabilecek bir fonksiyon oldu¤unun alt›n› özellikle çizmek istedim.
Ali Kamil Uzun: Daha somutlaflt›rmak ad›na
kendi uygulama deneyimlerimden birkaç örne¤i
paylaflmak istiyorum. Bunlar iç denetimin etkinli¤i, verimlili¤i, katma de¤erinin ölçülebilmesi
aç›s›ndan örnek olabilir. Teknolojinin avantajlar›ndan yararlanmak suretiyle ka¤›ts›z ortamda
çal›flmay›, raporlar›n elektronik ortamda paylafl›lmas›n›, sayfalarca nüshadan oluflan bir rapor
trafi¤i yerine bu tür bir imkandan yararlan›lmas›
gibi hususlar› s›ralayabilirim. Hatta bu konuda
flifre ve eriflim güvenli¤i sa¤lamak suretiyle her
seviyedeki yönetimin teftifl raporlar›na birer kütüphane fleklinde eriflebilmesi, bunlar› takip et-
N. Burak Ünlü,
YKB, Kredi Risk Komitesi Baflkan›
mesi ve bunlardan yararlan›lmas› sa¤lama gibi
uygulamalar›m›z olmufltu. Sa¤lanan katma
de¤erin ölçülebilmesi bu tür yaklafl›mlarla
mümkün oluyor. Öte yandan insan kayna¤›ndan
bahsedildi. Bugün bir yönetici arand›¤›nda veya
istihdam edildi¤inde beyin avc›lar›na ve bu konudaki dan›flmanlara ödenen hizmet ücretleri
veya o kiflinin kurumda oryantasyonu için geçecek süre olarak bak›ld›¤›nda asl›nda katlan›lan
maliyetleri dikkate ald›¤›m›zda ölçülebilir. Kriterlerin mevcut oldu¤unu görürüz. Hatta genelde birçok departman insan kayna¤›n› d›flar›ya b›rak›rken, denetim departmanlar› içerdeki boflluklar› kendi içinde ikame ederek gerekti¤inde
küçülüp gerekti¤inde yeniden taze insan kayna¤› olarak büyüme flans›na sahipler.
‹ç ve d›fl müflteri tan›mlar›ndan da yola ç›k›ld›¤›nda fonksiyonun etkinli¤ini ve verimlili¤ini ifade etmede, etkinlik memnuniyetini ölçen anket
çal›flmalar› iyi bir örnek oluflturabilir.
Yetkin insan kayna¤›n› kullanmak çok önemlidir. Çünkü iç denetim bir interdisipliner faaliyettir. Her fonksiyonu da bir kifli üzerinde bulundurmak mümkün de¤ildir. ‹htiyaca göre kurumun içinden veya d›fl›ndan iflin uzman›n› kiralamak ve böylelikle daha verimli bir insan kayna¤› kullan›m›na gitmek mümkün olabiliyor.
Günümüzde sertifikasyon da yetkinli¤i ifade
ederek belgelemek aç›s›ndan önemli. ‹ç denetim, yetkinli¤ini bu tür sertifikasyonla ifade eden
fonksiyonlardan biri. Bu da etkinlik aç›s›ndan ör-
nek say›labilir.
Örneklerden yola ç›kt›¤›m›zda sizin de paylaflabilece¤iniz uygulamalar neler olabilir? ‹sterseniz
konular› biraz daha somuta indirgeyebilmek ad›na bu aflamada uygulamalar›m›z› paylaflal›m.
N. Burak Ünlü: Etkinlik ve verimlilikten söz ediyoruz. Fakat etkinlik ve verimlilikte nerede oldu¤umuzu görmeden bunu artt›rman›n imkan› yok.
Bunu görmek için "denetim de denetlenmelidir"
fleklinde bir yaklafl›mla ve ba¤›ms›z objektif bak›fl aç›s›yla denetim departmanlar› periyodik
olarak de¤erlendirilmeli. Kalite de¤erlendirmelerine ve incelemelerine tabi tutulmal›. D›fl bir görüfl al›nd›ktan sonra nerede olundu¤u afla¤› yukar› tespit edilip sonra neler yap›labilecek bunlara karar verilmeli.
Ali Kamil Uzun: Uluslararas› standartlar›m›zdan
kalite güvence ve gelifltirme program›na göre: ‹ç
denetim yöneticisi iç denetim faaliyetlerinin tüm
yönlerini kapsayan ve etkinli¤ini sürekli gözleyen bir kalite güvencesi ve gelifltirme program›
haz›rlamal› ve bunu sürdürmelidir. Bu program
dönemsel iç ve d›fl kalite de¤erlendirmelerini ve
devaml› iç gözlem faaliyetini içermelidir. Program›n her parças› iç denetim faaliyetinin katma
de¤er yaratmas›na, kurumun faaliyetlerinin gelifltirilmesine yard›mc› olmal› ve iç denetim faaliyetinin etik kurallar›na ve standartlara uymas›
konusunda da güvence sa¤lamal›d›r. Burak
Bey’in isabetli bir flekilde de¤indi¤i nokta bu. Alg›lama, tan›mlama, anlafl›lma kendimizi aktarma
konusunda böyle bir ihtiyac›m›z var. Böyle bir
program› da iç denetim faaliyetini yönetirken
oluflturmaman›z gerekiyor. Çünkü standartlar
bunu öngörüyor.
Fuat Öksüz: Son derece yerinde bir görüfl. Standartlara göre de en geç zaten befl y›lda bir d›fl
‹ç denetim yöneticisi, iç
denetim faaliyetinin tüm
yönlerini kapsayan ve
etkinli¤inin sürekli
gözleyen bir kalite
güvencesi ve gelifltirme
program› haz›rlamal›d›r.
de¤erlemenin yap›lmas› gerekiyor.
Ali Kamil Uzun: De¤inilmesi gereken bir baflka
konu ise; iç denetim genel olarak kurum içi kaynaklardan yola ç›karak çal›fl›lan faaliyetler. Fakat
günümüzün trendi outsource veya cosource yani d›fl kaynak veya efl kaynak kullan›m›. Yani
kendi mevcut çekirdek kayna¤›n›zla d›flardan
uzman kuruluflun kayna¤›n› birlikte kullanarak
coursource yani efl kaynak kullan›m› veya organizasyon içinde fonksiyonun olmamas›. Risk
odakl› denetim plan› gere¤i baz› süreçlerin d›flar›da denetlenmesi gibi uygulamalar çok h›zla gelifliyor. Bu konuda görüfllerimiz neler?
Fuat Öksüz: Önemli bir konu. Sonuçta baz› fleyleri outsource etmenin önemli avantajlar› var.
Bir kere uzmanl›¤a esnek eriflim sa¤l›yor. Özellikli denetim konular› olabilir. Yani her zaman
bu uzmanl›¤› bünyenizde bulundurman›z çok
mant›kl› olmayabilir. Uzmanl›¤a esnek eriflim
bunun en önemli avantajlar›ndan bir tanesi. Bir
di¤eri de maliyet avantaj›n›z olabilir. Bunun yan›nda kaliteyi artt›rmada önemli avantajlar sa¤lanabilir. Bunlar belli bafll› konular ama birkaç
tane daha say›labilir. Günümüzde outsourcing
kullan›m› önemli bir avantaj olarak de¤erlendirilmeli..
Günümüzde co¤rafya d›fl›na ç›k›l›yor, çok fazla
bilgiye ve yetkinli¤e ihtiyaç duyuluyor. Bu da
baz› uzmanl›klar› d›flar›dan almay› gerektirebiliyor. Kendi kurumumuzdan örnek vermek gerekirse: Befl k›tada faaliyet gösteren flirketlerimiz
var. Biz denetimimizi yaparken de oradan bir
uzman kullanma ihtiyac› do¤uyor. Çünkü oran›n
mevzuat› bilinmeyebilir. Veya baz› spesifik uzmanl›k gerektiren konular olabilir, IT gibi. Bu gibi konularda d›fl kaynak kullan›m›na gidilmesi
son derece faydal›d›r. Bunun verimlili¤in artt›r›lmas›na çok önemli katk›lar› olur. Her fonksiyonun kendi stratejileri do¤rultusunda outsourcing
AYSBERG
12
13
AYSBERG
AYSBERG
H. ‹brahim Ayafll›: ‹ç denetim müdürü ya mali
tabandan geliyordur, denetim kimli¤i vard›r, denetçi unvan› al›r; ya Çal›flma ve Sosyal Güvenlik
Bakanl›¤›’n›n denetim yap›s›ndan gelen mevzuat denetimine yatk›n bir mevzuat denetçidir ve
denetim yöneticisi olmufltur veya ilgili sektör
alan›nda uzmanlaflm›fl bilgiye sahiptir. Dolay›s›yla da sürecin denetimine hakim oldu¤u için
oradan gelir, denetim yöneticisi olur. Bu üçünden hangisi olursa olsun di¤er ikisi gerçek anlamda eksik demektir. Dolay›s›yla böyle bir yönetici, denetim yapabilmek ad›na içinden gelmedi¤i alanlarla ilgili muhakkak bir referans
noktaya baflvurmak zorundad›r. Buna "outsourcing" diyoruz. Bu yola bafl vurmak ve gerekli bilgi kaynaklar›n› kullanmak zorunday›z. Çünkü
denetim sonuçlar›n›n sayg›nl›¤›n›n sa¤lanabilmesi "tamam k›smen de olsa ben bilmiyordum
ama bir uzmanla beraber bu noktaya vard›m" diyebilmesi ile yak›ndan ilintilidir. Bu yaklafl›m sonucu verimli olabilecek kararlar›n icraya geçmesi için önemli bir itici güç olacakt›r.
Bunu makro düzeyde bir d›fl dan›flmanl›k firmas›ndan o konu ile ilgili dan›flmanl›k alabilmek de
mümkünken daha mikro düflünmek de söz konusu olabilir.
Büyük bir grupsunuz, denetim yap›yorsunuz.
D›fl ticaret departman›n› denetleyeceksiniz. ‹thalat, ihracat, gümrükleme, dosyalama gibi konular var. Oraya gideceksiniz ama uzman de¤ilsiniz. Dolay›s›yla bununla ilgili iç kaynaklar›n›zdan ba¤›ms›zl›k ilkesini çi¤nememek kayd›yla
yani denetlenen birimin operasyonlar›yla hiçbir
ç›kar iliflkisi içinde olmayan baflka bir iç kayna¤› referans olarak alacaks›n›z. Bu yöntemi özellikle süreli operasyonlar/projelerde kullanarak
yap›lan tespitlerin alt›n› çizmek pratik olarak
uygulad›¤›m›z bir yöntem.
Türkiye’de ve Avrupa’da perakende muadil
gruplar›nda olmayacak büyüklükte bir laboratuar kuruyoruz. Bu proje esasl› bir denetim ve
kontrol süreçleri sonucunda ortaya ç›k›yor. Ben
kimyager de¤ilim, kumafl teknolo¤u da de¤ilim
ama o konulardaki uzmanlarla beraber ilgili
alanlarda risk tespitlerini yap›p, birlikte de alt›na
imza att›¤›m›z zaman, tespitler oldu¤u zaman
üst yönetim bunun karfl›l›¤›nda milyon ile ifade
edilebilecek parasal de¤erlere denk gelen büyük
bir laboratuar› kurmaya karar verebiliyor. dolara
denk gelen büyük laboratuar› kurmaya gözünün
kapat›p karar verebiliyor. Ama bir tek iç denetim
raporuyla olsayd› sorgu ve karar süreci daha
farkl› ve uzun iflleyebilirdi.
Outsourcing için farkl› yerlere gitmeye gerek
yok. ‹çimizdeki kaynaklar pratikte çok ciddi sonuçlar verebiliyor. Her kurumun yap›s›nda ve
hepimizin kadrosunda çok yetkin insanlar var.
Bunlar› iyi yönetmek yeterlidir. ‹ç kaynak kullan›m› ba¤›ms›zl›k ilkesini bozmamak kayd›yla tamamen proje bazl› oldu¤unda pratik bir kaynak
olarak karfl›m›za ç›k›yor.
Fuat Öksüz: Ben kendimizden örnek vereyim.
Biz de özellikle 2006 denetim plan›m›zda önceden baz› öngörülerimiz var. Baz› özellikli konularda grup flirketlerinde denetim yapaca¤›z. Holding bünyesinden uzman arkadafllar› da kullanma konusunda mutabakat›m›z var. Pratikte
mümkün ve biz de bunu uyguluyoruz.
Ali Kamil Uzun: Tabi burada kurumun ihtiyaçlar› do¤rulusunda baz› projelerde iç denetimden
yararlanaca¤› gibi kurumun iç kaynaklar›ndan
da bir iflbirli¤i tahsis etmek suretiyle yararlanmak
mümkün. Bu iç denetim fonksiyonu olarak, departman olarak sizin tahsis etti¤iniz, verdi¤iniz
bir imkan.
Öte yandan iç denetimin, kurumun baflka hedefleri için ve kurumsal yönetim güvencesi için ihtiyac› olan kayna¤› da d›flar›dan temin anlam›nda zaman zaman iç denetim faaliyetini desteklemek laz›m.
Konu iç denetimde d›fl kaynak, efl kaynak kullan›m›na gelince, hemen ilk karfl›lafl›lan reaksiyon,
"içimizi ne kadar d›flar›ya açaca¤›z?" hususu oldu. Ne kadar fleffaf olaca¤›z?, Buna aç›k m›y›z?,
Kurum gizlili¤ine bir zarar gelir mi? gibi bir tepkiyle karfl›lafl›yoruz. Sanki yatak odan›z› d›flar›ya
aç›yormuflsunuz gibi. Ama onun ötesinde kendi
sa¤l›¤›m›zla ilgili örnek vermek gerekirse; çok sigara içiyorsunuz veya özel hayat›n›za dikkat et-
Ali Kamil Uzun,
Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan›
miyorsunuz baz› sa¤l›k riskleriniz var bunu doktorla paylaflma yollar›na gidiyorsunuz. Veya baz› ruhsal s›k›nt›lar›n›z, ya da cinsel hayat›n›zda
düzensizlikler var. Bunu ise bir doktorla, psikologla paylaflma konusunda çekingenlikler gösterilebiliyor. Ama sonuçta sa¤l›ks›z bir durum ç›k›yor ortaya ve problem çözülemiyor.
Yürütülen bir faaliyetin d›flar›dan desteklenmesini de buna göre tekrar gözden geçirip kayg›lardan uzaklaflt›r›labilece¤i düflünüyorum. Bu da
maliyet aç›s›ndan katk› sa¤l›yor. Çünkü her uzman› kendi bünyenizde istihdam edemezsiniz.
Yetkin insanlar› uzun süre istihdam etmek bir
maliyettir. Öte yandan her bilgi sizde mevcut
de¤ildir ve her en iyi uygulama örne¤ine sahip
de¤ilsinizdir. Böyle bir kayna¤a zaten en iyi uygulamalardan yararlanmak için ihtiyaç var.
Ayr›ca standartlarda yer alan önemli prensiplerden biri de ba¤›ms›zl›k ve objektiflik. Organizasyonun hiyerarflisi içerisinde de bu ba¤›ms›zl›k ve
objektiflik konusunda yönetimin tutumundan
kaynaklanan her zaman bir risk söz konusu. Veya kurumsal hiyerarfli içerisinde iyi niyetli çabalar veya faaliyetler engellenebilir. Ama d›flardan
bir efl kaynak kullan›m›na gidildi¤inde bunu aflmak mümkün olabilir.
Risk yönetiminden söz edilirken, riskin paylafl›lmas› aç›s›ndan da d›fl kaynak, efl kaynak kullanmak bu anlamda önemli. Çünkü öteki türlü bütün kurum içi riski, denetim riskini siz üstlenmifl
oluyorsunuz. Ne kadar yetkin, etkin olursan›z
olun her türlü faaliyeti veya riski yönetmeniz
mümkün de¤ildir. Onun için bu tür uzmanl›klar› kullanmak gerekir diye düflünüyorum. Böyle
bakt›¤›m›zda d›fl kaynak kullan›m›, efl kaynak
alternatifini, düflünmesi ve yeri geldi¤inde de uygulamas› taraftar›y›m.
Kemal Sertkaya: Ben de özellikle çok uluslu
bünyelerde belli alanlarda yetersizlikler olabilece¤ini bizzat yurtd›fl›nda denetim yapm›fl birisi
olarak gördüm. Onlar da buraya geldiklerinde
bir tak›m handikaplar yafl›yorlar. Biz de oraya
gitti¤imizde birtak›m s›k›nt›lar yafl›yoruz. Bu gibi
yap›lar içinde d›fl kaynakl›(outsource) ifllemlerden yararlan›labilece¤ini düflünüyorum. Ama bir
de bu iflin Türkiye’de ve dünyada flirketlerin ne
kadar fleffaf olma iste¤i ile de ba¤lant›l› oldu¤unu düflünüyorum.
Bir iç denetim birimi, "iç denetimin flu kadarl›k
k›sm›n› outsource edelim" diye üst yönetime teklif götürdü¤ünde süreç o üst yönetimin ne kadar
fleffaf olmak istedi¤i, kay›tlar›n› ne kadar açmak
istedi¤i ile de ilgili.
Meslek kalitesini yükseltmek ve yöntemleri gelifltirmek için her zaman mutlaka bir denetim biriminin belli periyotlarda denetlenmesine eminim üst yönetim de s›cak bakacakt›r. Ama bu
bahsedilen konu bizim biraz daha d›fl›m›zda geliflebilen ve birtak›m handikaplar› olan çok hassas bir husus diye düflünüyorum.
Her ne kadar ortada sözleflmeler de olsa gidilen
flirketlerin kay›tlar›n› ne kadar büyük rahatl›kla
outsource edilen gruba aç›yor olmas› belirleyici
bir kriter.
Fuat Öksüz: Belirtilmesi gereken bir nokta da iç
denetimi yerine getirilmesi gereken bir fonksiyon olarak görmek laz›m. Fonksiyon her zaman
sizin kendi içinizde bir birim olmas›n› gerektirmez. Bu fonksiyon tamamen d›flar›dan da al›nabilir. Özellikle küçük flirketler kendi içlerinde bir
birim kurmaya gerek duymazlar. Onlar için hizmeti d›flar›dan almak çok daha mant›kl› olabilir.
14
15
AYSBERG
kullan›m›, olmas› gerekenler, rasyonel fleyler olmak durumunda.
Kurumun çeflitli kademelerindeki pozisyonlar›nda sürekli kayg›lar mevcut: "D›flar›dan m› alay›m?", "kendi içimde var, bizim kendi departman›m›z var, ne güne duruyor", "baflkas›na bunu niye verelim?" gibi bir çeliflki de yaflan›yor. Belki
kültür olarak bunu aflmak gerekebilir. Bu konuda neler yap›labilir. Yani bir yol göstermek ad›na neler söyleyebiliriz? Bu anlamda etkinli¤i ve
verimlili¤i ifade edecek ek kaynaklara, d›fl kaynaklara da ihtiyaç oldu¤unu düflünüyorum. ‹ç
denetim faaliyetinin yönetimi, verimlili¤i, etkinli¤inden söz edildi. Yönetim Kurulu’nda da iç
denetimin faaliyetinin etkinli¤ini ve verimlili¤ini
gözeten bir komite var: Denetim Komitesi
Bütün bu konulara bakt›¤›m›zda meslektafllar›m›za tavsiyelerimiz neler olabilir?
Fuat Öksüz: Hem denetim komitesi aç›s›ndan
hem kaynak kullan›m› aç›s›ndan ele alal›m. Bütün bunlar› konuflurken bir fleye de de¤inmek laz›m. Asl›nda iç denetim birimlerinin organizasyondaki yeri de çok önemli. Bunlar›n her fleyden
önce yönetim kuruluna rapor veren konumda olmas› laz›m. Hem ba¤›ms›zl›k ve tarafs›zl›¤› sa¤lamak hem de etkinli¤i ve verimlili¤i artt›rmak
aç›s›ndan bu çok önemli. Baz› kurumlarda dene-
tim birimi, mali gruplar›n alt›nda olabiliyor.
Bunlar çok do¤ru fleyler de¤il. Özellikle yaflanan
son flirket skandallar›ndan sonra denetim komiteleri daha da fazla önem kazand›. Bizdeki uygulamalara bak›ld›¤›nda halka aç›k flirketlerde
zorunluluk var ama genel gözlem; pek etkin çal›flm›yor fleklinde olacakt›r. Hani biraz ka¤›t üzerinde varl›klar› var. Asl›nda önemli ifllevleri de
var. Denetim Komitesi yönetim kurulu ad›na denetim faaliyetini gözetmekle sorumlu. Asl›nda
bunun etkinli¤i bir yerde kurumun denetime verdi¤i önemi de gösteriyor. Bizim halka aç›k flirketlerde denetim komitesinin ifllevi genelde SPK
tebli¤i ile belirlenmifl. Ama biz Sabanc› Holding
olarak dünyadaki en iyi uygulamalar› örnek alarak bir denetim komitesi oluflturduk. Sadece
SPK’n›n çok s›n›rl› üç-dört maddesine ba¤›ml›
kalmad›k. Sonucunda da çok etkin çal›flan bir
denetim komitemiz var. Denetim birimiyle son
derece koordineli ve etkin çal›fl›yor; bu da bizim
etkinli¤imizi ve sahiplenmemizi artt›r›yor. Çünkü denetim komitesi, yönetim kurulu ile iç denetim birimi aras›nda çok ciddi köprü görevi görüyor. Bu bak›m›ndan bunlar›n da etkin olmas› çok
önemli.
Cosourcing, outsourcing konular›na gelince; konunun öneminin iletiflimi kadar baz› fleyleri so-
mut olarak ortaya koymak da çok önemli. Siz
bunun önemini çok iyi anlatacaks›n›z, uygulamaya ikna edecekseniz ama uygulama sonucunda bir katma de¤er yarat›lacak ki bu da görülsün
ve benimsensin. "‹çimizi açal›m, açmayal›m" bu
biraz kurumun kültürüyle alakal› bir olay. Ama
art›k günümüz dünyas›nda flirketlerin baflar›lar›
bir yerde kurumsal yönetim endeksi ile de ölçülüyor. Bu endeks flirketlerin itibar› aç›s›ndan, de¤erini ölçme aç›s›ndan çok önemli bir kriter haline geldi. Zaten bu kavram geliflti¤i sürece art›k
fleffaf olmak zorunda kal›nacak. Bu da itici bir
güç olacakt›r. Öncelikle de bize düflen görev,
kurumsal yönetimin önemini kendi yönetimlerimize daha fazla vurgulamak. Bunun da flirket
de¤erinde kriter oldu¤unu vurgulayarak bir kamuoyu yaratmak gereklidir diye düflünüyorum.
Ali Kamil Uzun: Bir ifle baflvuruyorsunuz sa¤l›k
raporu istiyorlar. Kurumsal yönetim aç›s›ndan da
bak›ld›¤›nda iç kaynak, d›fl kaynak, efl kaynak
hangi kaynak kullan›l›rsa kullan›ls›n iç denetim
faaliyeti de kurumun bir sa¤l›k raporunu ortaya
ç›karmaktad›r. Çünkü denetimin bir kurumsal
doktorluk görevi var.
Bu anlamda da bahsedildi¤i gibi rekabette var
olmak isteniyorsa kurumlar›n buna aç›k olmas›
laz›m.
Fuat öksüz: Öyle tahmin ediyorum ki bu zamanla biraz daha geliflecektir. Gelecekte muhtemelen bankalar ve benzeri kurulufllar flirket analizlerini yaparken sadece ba¤›ms›z denetim raporu
Fuat Öksüz, Hac› Ömer Sabanc› Holding A.fi.,
Denetim Daire Baflkan›
de¤il, flirketlerin kurumsal yönetim ve risk yönetiminde etkinli¤ini ölçen raporlar isteyecek. fiirketin, kurumsal yönetim ilkelerine uyumu ve
riskleri nas›l yönetti¤ine dair bir rapor almas› en
az bir denetim raporu kadar de¤erli olacak.
Ali Kamil Uzun: fiunu da ekleyelim: Basel-II
prensipleri 2007 bafl›ndan itibaren Avrupa’da ve
dünyada uygulamaya geçiyor. Türkiye’de de
2008 bafl›nda; standart yaklafl›mla 2009’dan itibaren de ileri yaklafl›mla uygulanmas› öngörülüyor. Bankalar bu konuda haz›rlan›yor ancak as›l
haz›rlanmas› gereken baflka bir kesim. O da reel
sektör. Ve burada da kredi derecelendirme kurulufllar› mali bünye riskinin yan› s›ra sizin kurumsal yönetim kaliteniz aç›s›ndan size derece verecek. Bunlar da bankalar›n müflterilerinden talebi
ile birlikte tüm ifl hayat›nda kurumsal yönetime
iliflkin kaliteyi ortaya koyacak raporlar olacak.
Bu da risk yönetimi ve iç denetim gibi konular›
gündeme getirecek.
Kemal Sertkaya: Ben biraz espriyle kar›fl›k pragmatik yaklafl›mla bir fley söylemek istiyorum: Bir
kurumun iç denetim biriminin bafl›nda olan hiç
kimsenin "Biz etkin ve verimli çal›flam›yoruz, bu
ifli outsource edelim" deme flans› yok (bu iflin
espri taraf›). Etkin ve verimli çal›flmayan bir iç
denetimin biriminin de üst yönetime karfl› "hay›r
ben etkin ve verimli çal›fl›yorum" deme flans›
yok. Üst yönetim zaten o konu ile ilgili karar› bir
noktaya geldikten sonra verir.
‹ç denetim birimleri kendi etkinlik ve verimliliklerini artt›rman›n yollar›n› sadece outsource aç›s›ndan de¤il her aç›dan araflt›r›p her türlü kayna¤a baflvurup yaratmak zorundalar.
Bu d›fl kaynaklar ile ilgili yan yana, kol kola bir
dönemlik çal›flma da olabilir, belli bir dönem için
hizmet al›n›p onlar›n yolunu izleme veya uzun
dönemli bir e¤itim program› da olabilir. Bilgi paylafl›m›n›n flirket içi ve outsource birimleri aras›nda
çok yüksek seviyede olmas› laz›m. Birim olarak
bak›ld›¤›nda etkinli¤i ve verimlili¤i sa¤lamak iç
denetim yöneticisinin bafl görevi. Bu kifli bunu yapam›yorsa bir zamandan sonra oran›n yöneticisi
de olamaz. Dolay›s›yla bunun bir karar de¤il,
misyon olmas› laz›m. "Ben outsource ile çal›flay›m m›, çal›flmayay›m m›?, etkin mi olay›m verimli mi?" konular› bir karar noktas› de¤il.
Etkin çal›flan bir denetim komitesi sayesinde ancak iç denetim biriminin etkinli¤inden söz edilebilir. O komite üyelerinin, yönetim kurulu üyeleri olmalar›, flirket içinden olmalar› veya ba¤›ms›z olmalar› bu ifle bak›fl aç›s› ve iç denetimin
AYSBERG
16
17
AYSBERG
sundu¤u öneriyi aksiyona dönüfltürebilme kabiliyetleri aç›s›ndan çok önemli. Ayn› fleyi ben de
bizim flirketimizde yafl›yorum. Bizim flirketimizden örnek vermek gerekirse düzenli toplant›lar
oluyor, kat›l›yorum, bilgilendirmeler oluyor vs.
Son derece etkin bir denetim komitemiz var. Bir
iç denetim birimi yöneticisi outsource veya consourse iflini her zaman de¤erlendirmek zorunda
di¤er bütün etkinli¤e giden yollar› de¤erlendirmek zorunda oldu¤u gibi. En iyisi ne "outsource
edilip, kol kola gidilmesidir" ne de "biz içimizi
açmak zorunda de¤iliz, bu ifli en iyi flirketin içindekiler yapar" anlay›fl›d›r.
Ali Kamil Uzun: Söylenenleri flöyle flekillendirmek mümkün; etkinlik ve verimlilikten bahsederken ayn› zamanda kaynak yöneticili¤i de
yapmak laz›m. fiirket içi kaynaklar mevcut oldu¤u gibi flirket d›fl›nda da hizmet sa¤layacak kaynaklar var. Ak›lc› bir yaklafl›m göstererek tüm
kaynaklar› de¤erlendirmek ve kullanmak bir iç
denetim yöneticisini daha etkin ve verimli hale
getirecektir. Zaten kurum da kendisinden bunu
bekliyor. Yani bir faaliyetin minimum kaynakla
etkin bir flekilde yerine getirilmesi gerekiyor. O
zaman bu iç kaynak yeterli ise böyle yap›labilir
veya yeni faaliyet alanlar› söz konusu ise bunu
d›flardan sa¤lamak mümkün olabilir. Kaynak yönetimi derken iç denetim yöneticisine de profesyonel anlamda de¤er katacak bir katk›dan bahsediyoruz. Onun da profesyonel de¤eri bu anlamda artacakt›r.
Kemal Sertkaya, Do¤an Media Group
‹ç Denetim Müdürü
H. ‹brahim Ayafll›: Meslektafllar›m›za tavsiye etmek ad›na; en az›ndan Türkiye’de asgari bir standard› veya iyi bir standard› ifade etti¤i için ilan
edilmifl Kurumsal Yönetim Kanunu’nun bir kopyas›n›n al›nmas›, okunmas› ve yönetimin bundan
haberdar edilmesi gerekti¤ini düflünüyorum. Çünkü gelecekte kurumu bekleyen yönetim standard›n›n bütün ilkeleri burada asgari olarak belirtilmifl.
Bu flartlar› sa¤layabilmek için bizim bir d›fl kayna¤›n denetiminden geçerek kurumsal yönetiflimdeki performans›m›z›n karfl›l›¤› bir rapor almak durumunda olabilece¤imiz günler gelebilir.
Ali Kamil Uzun: Genel olarak ve son söz niteli¤inde bir de¤erlendirme alabilir miyiz?
N. Burak Ünlü: Dipnot olarak ben bir fleyler eklemek istiyorum. ‹ç denetimin hizmetlerini karfl›lamaya tamamen d›fl kaynak veya iç kaynak kullanmak olarak bakt›¤›m›zda, iki taraf›ndan da bir
tak›m art›lar› ve eksileri oldu¤unu görüyoruz. ‹ç
kaynak kullan›l›rsa sabit gider olarak bilançoda
sürekli bir denetim maliyeti görülecek. Ve bunu
kontrol etme flans› da olamayabilecek. D›fl kaynak kullan›l›rsa daha de¤iflken bir gider olarak
geçici olan, süreklilik tafl›mayan, uzmanl›k gerektiren konularda kullanabilecek bir kaynak
olarak elde bulunabilecek.
En önemli farklardan biri de iç denetimin flirket
bünyesinde bulunmas›, suistimallerin ve yolsuzluklar›n önlenmesi aç›s›ndan d›fl denetime k›yasla daha avantaj sa¤lad›¤› hususu olacakt›r. ‹ç denetçiler daha cayd›r›c› niteliktedir. Çünkü kurumu, personeli daha yak›ndan tan›yorlar. Süreçleri biliyor olmalar› nedeniyle de suistimallere karfl› daha uyan›k durumdalar. Zaten öyle de olmak zorundalar. Ve birtak›m riskleri, stratejileri
daha iyi alg›lad›klar› için suistimallari ve yolsuzlar› tespit edebilme veya olas›l›¤›n› belirleme güdüleri daha yüksek. Ama bu tabi ki ba¤›ms›zl›k,
tarafs›zl›k, objektivite kriterlerinin yerine getirilmesi flart›yla geçerli. Aksi halde "ben kurumu tan›yorum, personeli daha iyi biliyorum" rahatl›¤›
ile flüphecilikten uzak bir flekilde bu avantaj›n
ters olarak dezavantaja dönüflme riski de var.
Kemal Sertkaya: Fuat Bey’in daha önce söyledikleriyle de paralel olarak; iç denetimin kendini yukar›ya ifade edebilmesi, kabul ettirebilmesi,
arkas›na üst yönetimi almas› etkinli¤in ve verimlili¤in bafllang›c› aç›s›ndan temel oluflturuyor.
Yani etkin ve verimli olacak bir iç denetim mutlak surette üst yönetime ne yapt›¤›n›, ne yapaca¤›n› çok iyi anlatm›fl olmas› laz›m.
Kurum içi ve kurum d›fl›
kaynaklar› kullanarak
katma de¤er ve sinerji
yaratmak iç denetim
faaliyetlerinin etkinli¤i ve
verimlili¤i için gereklidir.
Sonra da ak›lc› bir yönetim sonucu kaynaklar›n
etkin kullan›m› ile outsource olsun, cosource olsun yan yana çal›flmak olsun, optimizasyon olsun, teknoloji olsun bunlar› kullanan herhangi
bir yönetici, rasyonel bir yönetim tarz›yla eninde
sonunda etkinlik ve verimlilik getirecektir. Ama
katma de¤er yaratman›n, aksiyon ald›rman›n birinci koflulu olarak, üst yönetimin mutlaka arkan›zda, yan›n›zda hatta önünüzde oldu¤unu hissettirmesi gerekti¤ini düflünüyorum.
H. ‹smail Ayafll›: Organizasyonlar büyüyebilir
daha büyük bir organizasyonda görev al›nabilir.
Sorumluluk alanlar›na daha genifl co¤rafyalar
ilave edilebilir. Böyle bir durum iç denetim kadrolar›n›z›n dörtken befl, on iken yirmi denetçiye
ulaflmas› anlam›na gelmemelidir. ‹ç kontrol sistemlerinin lokal noktalara kurulmas› ve iç denetimin o noktalarda kesintisiz devam›n›n iç kontroller ile ilgili departman yönetimlerince sa¤lanmas› imkanlar› göz ard› edilmemelidir. Geniflleme ihtiyac› duyan denetim yap›lar›nda alternatif
bir uygulama olarak göz önünde tutulmal›d›r.
Buna göre birimler kendi süreçlerini kendileri
kontrol etmeli, denetim ve kontrol sorumlulu¤u
paylaflmal›d›rlar.
Fuat Öksüz: ‹ç denetçiler ayn› zamanda çok iyi
iletiflimci ve pazarlamac› da olmak zorundalar.
Denetçilerin çok iyi mesajlar verebilecek konumda olmalar› gerekir. Bugün biraz da gerçeklere bakt›¤›n›z zaman geçmifle göre meslekte çok
büyük ilerleme var. Bunu özellikle son üç-befl
y›lda görüyoruz. Fakat daha da ileriye götürmemiz gerekiyor. Bunun için de pazarlama ve iletiflim yetkinliklerimizi özellikle bu dönemlerde
çok daha üst seviyelere ç›karmam›z gerekiyor.
Ali Kamil Uzun: Ben de k›saca özetleyeyim ve
toplant›y› noktalayal›m. Bir kurumda iç denetimin varl›¤› veya geliflmifllik düzeyi kurumun kültürünün ifadesi, aynas› olarak de¤erlendirebilir.
‹ç denetçi olarak bize düflen etkin bir tutum ve
tav›r, iletiflim becerilerini kullanmak suretiyle
kuruma bu de¤iflimde katk› sa¤lamak. Bu dönüflümde yol göstermek, öncü olmak, liderlik yapmak gibi de bir sorumlulu¤umuz var. Yani burada iletiflim becerilerimizi kullanaca¤›z ve yapm›fl oldu¤umuz faaliyetin katma de¤erini kurumun her seviyesine paylaflmak aç›s›ndan anlataca¤›z ve aktaraca¤›z. Burada bunu yaparken di¤er taraftan bir kaynak yöneticisi oldu¤umuzu
da unutmayaca¤›z. Gerek kurum içi kaynaklar›
gerek kurum d›fl› kaynaklar› kullanarak katma
de¤er yaratmak, sinerji yaratmak bu anlamda faaliyetin etkinli¤ini, verimlili¤ini artt›rmak aç›s›ndan ve kaynak yöneticisi oldu¤umuzu unutmamam›z aç›s›ndan önemli. Çünkü sonuçta bunun
bütçesini bize üst yönetim verecek ama gereklili¤ini anlatacak olan, ikna edecek olan da biziz.
Ayn› zamanda kaynak yöneticili¤i etkin olarak
yapabilmek için bir ikna gücümüzün var olmas›
laz›m.
Di¤er bir nokta da dünyada ve ülkemizde kurumsal yönetim ilkeleri ile ilgili var olan düzenlemeler ve bundan sonraki geliflmeleri de dikkate ald›¤›m›zda kurumlar›n yönetim kurullar›nda
çok önemli sorumluluklar›n topland›¤›n› görüyoruz. Yönetim kurullar› kurumun riskinin yönetilmesinden, denetimine kadar tüm temel faaliyetlerden sorumlu. Bunu da denetim komiteleri
arac›l›¤› ile yap›yor. Yani iç denetim yöneticisi
ve bir kaynak yöneticisi olarak , faaliyeti etkin ve
verimli kullanacak. Fakat bir de bu faaliyetlerin
etkin ve verimli yönetildi¤ini gözeten yönetim
kurulu ad›na bir denetim komitesi var. Denetim
komitesi de bu anlamda bunu de¤erlendirebilecek yetkinlikte olacak. Yönetim kurulu da bu anlamda bu gözetime sahip ç›kacak ve deste¤ini
sa¤layacak. Düzenleyici otoriteler olan BDDK
ve SPK bu konuda takipçi olacak ki Kurum içinde iç denetim faaliyetinin etkinli¤i ve verimlili¤i
garanti alt›nda olsun.
Son olarak yönetim kurulu, denetim komitesi, iç
denetim birimi ad›na bakt›¤›m›zda da gerek
kurum içinde olsun gerek kurum d›fl›nda olsun
çözüm ortaklar›m›za ihtiyac›m›z oldu¤u ve bunlar› da çok iyi bir flekilde de¤erlendirmemiz ve
kullanmam›z gerekti¤i sonucu ortaya ç›k›yor.
Ben de¤erli görüfllerinizi, kurumunuzla ilgili en
iyi uygulama örneklerini dergimiz okurlar› ile
paylaflt›¤›n›z için teflekkürlerimi ifade ederek
toplant›y› sona erdiriyorum.
AYSBERG
18
19
YEfi‹L KALEM
YEfi‹L KALEM
N. Burak ÜNLÜ
olunmal›d›r. Takdir yetene¤inden kastedilen,
mevcut veya potansiyel problemlerin fark›na varabilme ve daha ileri araflt›rma veya destek sa¤lanmas›n›n gereksinimi belirleme yetene¤idir.
‹ç denetçiler insanlarla iletiflimde baflar›l› olmal›d›rlar. Bu nedenle insan iliflkilerini anlamal›, denetim yap›lan yerdeki kiflilerle etkin bir iletiflim
sürdürmeli, gerek yaz›l› gereksede sözlü iletiflimde yetkin olmal›d›rlar.
‹ç denetim yöneticisi, iflin kapsam› ve sorumluluk derecesini dikkate alarak iç denetim departman›ndaki pozisyonlara atama yaparken, e¤itim
ve tecrübeyle ilgili uygun kriterler oluflturmal›d›r.
The IIA’nin mesleki yeterlilik üzerine yay›nlad›¤› uygulama tavsiyesinden sonra afla¤›da di¤er
önemli nitelikleri inceleyece¤iz.
Dürüstlük
‹ç denetçilerin görevlerini mesle¤e ba¤dafl›r ve
standartlara uygun bir flekilde yerine getirebilmeleri için sahip olmalar› gereken niteliklerden
baz›lar›na afla¤›da yer verilmifltir. Burada inceleme konusu yap›lan ve temel say›labilecek niteliklere çok say›da ekleme yap›labilece¤i unutulmamal›d›r.
•
•
•
•
•
•
•
•
•
•
Mesleki Yeterlilik
Dürüstlük
Tarafs›zl›k
Araflt›rma ve Gözlem Becerisi
Problem Çözme ve Analitik Düflünme
‹letiflim Becerisi
Etkin Dinleme
Görüflme Teknikleri
fiüphecilik
Raporlama Becerisi
IIA Uygulama Tavsiyesi – 1210:
Mesleki Yeterlilik
‹ç denetçiler, iç denetim standartlar›, prosedürleri ve tekniklerini uygularken mesleki yeterlili¤e
sahip olmal›d›rlar. Yeterlili¤in anlam›; yo¤un bir
teknik araflt›rma ve deste¤e gereksinim duymaks›z›n, mevcut bilgilerini uygulamaya koyabilme
yetene¤idir.
Finansal kay›tlar ve raporlarla çok yo¤un olarak
çal›flan iç denetçilerin, muhasebe prensipleri ve
teknikleri hakk›nda gerekli mesleki yeterlili¤e
sahip olmalar› gereklidir.
‹yi ifl pratiklerinden sapmalar›n fark›nda olmak
ve de¤erlendirebilmek için yönetim prensipleri
hakk›nda gereken anlay›fla sahip olunmal›d›r.
Muhasebe, ekonomi, ticaret kanunu, vergi, finans, say›sal metodlar, bilgi teknolojileri vb. konular hakk›nda temel bir takdir yetene¤ine sahip
‹ç denetçiler görev ve sorumluluklar›n› yerine
getirirken her fleyden önce dürüst olmal›, her ne
koflulda olursa olsun yalan söylemekten kaç›nmal›d›rlar. Meslek gere¤i olarak do¤rular› ve
gerçekleri arayan bir kiflinin dürüstlükten uzaklaflmas› ve/veya yalan söylemesi asla kabul edilemez.
Dürüstlük, toplumsal ve ahlaki de¤erler içerisinde erdemli bir davran›fl flekli olmas›n›n yan›s›ra
sa¤l›kl› ve etkin bir iletiflim için olmazsa olmaz
koflullardan biridir. ‹letiflimde dürüst davranmayan bir iç denetçi, karfl›l›kl› güveni tesis edemeyece¤i için kendisine karfl› dürüst davran›lmas›n› beklememelidir. Bu yüzden iç denetçiler
davran›fl, görünüm, tutum ve düflünceleriyle
çevrelerine güven vermelidirler.
‹ç denetçiler, çal›flt›klar› kurumun etik de¤erlerine sahip ç›kan, bu de¤erlerin korunmas› için
çaba gösteren ve örnek bir model fleklinde alg›lanan kifliler olmalar› nedeniyle iletiflimlerinde
dürüst olmal›d›rlar. Bir kiflinin di¤erlerine dürüst
davranabilmesi için öncelikle kendisine karfl›
dürüst olmas› gerekti¤i unutulmamal›d›r.
Tarafs›zl›k
‹ç denetçiler, gerek denetim gerekse de inceleme
ve soruflturma faaliyetlerinin her aflamas›nda objektif bir düflünce sistemine sahip olmal›d›rlar.
Denetim çal›flmalar›nda tarafs›z olunmaz ise
do¤ru ve güvenilir bilgiye eriflmek mümkün olmayacakt›r. Yine elde edilen bilgi ve belgelerin
de objektif bir flekilde de¤erlendirilmesi ve raporland›r›lmas› çok önemlidir.
‹ç denetçiler, objektif düflünce ve yarg›lar›n› sa¤-
l›kl› bir flekilde muhafaza edebilmek için denetim yapt›klar› birim çal›flanlar›ndan maddi de¤eri yüksek herhangi bir hediyeyi, yard›m önerilerini kabul etmemeli, bu kiflilerle iliflkilerinde tarafs›z düflüncelerini zedelemeyecek ölçüde mesafeli ve profesyonel davranmal›d›rlar.
Tarafs›zl›¤›n önündeki en büyük engellerden birisi ön yarg›lard›r. Ön yarg›lar, kiflinin gelifliminde ve yaflad›¤› dünyaya uyum sa¤lamas›nda belirli bir noktaya kadar faydas› bulunmakla birlikte genellikle gerçekçi düflünce sistemini zedeleyen kal›plaflm›fl tutum ve düflüncelerdir. Kal›plar›n d›fl›na ç›kabilmek için de ba¤›ms›z düflünebilme yetene¤ini gelifltirmek ve olaylara farkl›
aç›lardan yaklaflabilmek gereklidir.
‹ç denetçiler, tarafs›zl›klar›n›n zarar gördü¤ü veya görebilece¤i durumlar› acilen yöneticileriyle
paylaflmal›lar ve denetimin s›hhatine zarar gelmesini engellemelidirler.
Araflt›rma ve Gözlem Becerisi
‹ç denetçiler iyi birer araflt›rmac› ve gözlemci
olmal›d›rlar. Güvenilir ve do¤ru bilgiye ulaflabilmek için öncelikle iyi bir araflt›rmac› olmak
gereklidir. En k›sa zamanda en güvenilir bilgiye
hangi yöntemle ulafl›labilece¤i bilinmelidir. Bunun için analitik düflünce sistemine sahip olman›n yan›s›ra görev yap›lan organizasyonun yap›s› ve faaliyetleri, istenilen bilgiye ulafl›lacak
kaynaklar ö¤renilmelidir.
Gözlem becerisi sayesinde denetlenen birimin
çal›flanlar›, personelin davran›fl›, faaliyetlerin
gerçeklefltirilme flekli, usulsüz eylem ve davran›fllar vb. birçok konuda görüfl sahibi olunmas›
mümkündür. Bu yüzden iyi bir iç denetçi, görevini yerine getirirken sadece önündeki materyal
ve dökümanlara de¤il, içinde bulundu¤u ortamdaki maddi ve maddi olmayan di¤er unsurlara
da dikkatini vermelidir.
Problem Çözme ve Analitik Düflünme
Becerisi
‹ç denetçiler, organizasyonda çok çeflitli türden
inceleme ve denetim faaliyetlerini gerçeklefltirirken birçok problemle karfl›lafl›rlar. Objektif ve ön
‹ç Denetçiler davran›fl,
görünüm, tutum ve
düflünceleriyle çevrelerine
güven vermelidirler.
‹ç Denetçilerde Bulunmas›
Gereken Nitelikler
20
21
YEfi‹L KALEM
YEfi‹L KALEM
‹letiflim Becerisi
Etkin iletiflim becerilerinden söz etmeden önce
iletiflimin tan›m›n› yapmakta ve iletiflimi bir süreç olarak ele almakta fayda vard›r.
Bugüne de¤in iletiflimin 200’den fazla tan›m› yap›lm›fl olmakla birlikte, son zamanlarda kabul
gördü¤ü flekliyle; iletiflimi 2 veya daha fazla kifli
aras›ndaki bilgi al›flverifli olarak tan›mlayabiliriz.
‹letiflimin ana unsurlar›,
•
•
•
•
•
•
Mesaj
Gönderici
Al›c›
Çevre (Ortam)
Geri Bildirim
Gönderim Kanallar›
Baflar›l› ve etkin bir iletiflim için yukar›da say›lan unsurlar›n tümü hassas bir flekilde de¤erlendirilmelidir. Unsurlardan birindeki uyumsuzlu¤un dahi iletiflimin kalitesini olumsuz etkileyece¤i gözönünde bulundurulmal›d›r.
‹letiflim aktivitesiyle ilgili unutulmamas› gereken önemli bir nokta daha mevcuttur. ‹letiflimde mesajlar›n %55'inin yüz ve beden ifadeleri,
%38'inin söz ötesi ve ancak %7'sinin sözlerle
‹ç denetçi, gerek denetim
gerekse inceleme ve
soruflturma aflamas›nda
görevini mesle¤i ile
ba¤dafl›r ve standartlara
uygun bir biçimde
yapmal›d›r.
verildi¤i belirlenmifltir. Dolay›s›yla; kiflileraras›
iletiflimde ne söyledi¤imiz kadar nas›l söyledi¤ine de önem verilmesi gereklidir.
Etkin iletiflimin ana unsurlar›na afla¤›daki IIA
tavsiyesinde yer verilmifltir;
IIA Uygulama Tavsiyesi – 2420:
‹letiflimin Kalitesi
Do¤ru iletiflim; hatalardan veya çarp›tmadan
ar›nm›flt›r. Bilgi ve olaylar›n elde edilmesi, de¤erlendirilmesi ve sunum için özetlenmesi, özen
ve dikkat ile gerçeklefltirilmelidir.
Objektif iletiflim; dürüst, tarafs›z ve bozulmam›fl
bir flekilde gerçekleflmekte, ilgili durum ve gerçeklerin dengeli bir de¤erlendirmesi sonucu
meydana gelmektedir. Gözlemler, yorumlar ve
öneriler ön yarg›s›z, kiflisel ç›karlardan ar›nm›fl
ve di¤erlerini etkileme amac›ndan uzak bir flekilde gerçeklefltirilmeli ve sonuçlar› ayn› duyarl›l›k içinde iletilmelidir.
Aç›k ve net iletiflim; kolayl›kla anlafl›labilir ve
mant›kl›d›r. Gereksiz teknik dil kullan›m›ndan
kaç›narak ve tüm önemli bilgilere sa¤lanarak
iletiflimdeki netlik gelifltirilebilir.
K›sa ve öz iletiflim; önemli noktalara de¤inmek
amac›n› tafl›r. Gereksiz detaylardan, kelime fazlal›¤›ndan, a¤dal› ifadelerden kaç›n›lmal›d›r.
Yap›c› iletiflim; denetlenenlere ve organizasyona
faydal› olmas›n›n yan› s›ra ihtiyaç bulunan yerlerde iyilefltirmeye yöneliktir. Sunumun içeri¤i
ve tonu; faydal›, pozitif ve kurumun hedeflerine
yard›mc› olmal›d›r.
Tam iletiflim; hedef dinleyiciler için önemli olan
her noktay›, sonuçlar› ve önerileri destekleyecek
netlikteki tüm önemli ve ilgili bilgileri içerir.
Zaman›nda iletiflim; tavsiyeler üzerinde aksiyonda bulunacak kiflilerin konuyu dikkatlice ele almalar› için uygun zamanda gerçeklefltirilir. Denetim sonuçlar›n›n sunum zamanlamas› anlam-
s›z gecikmeler olmaks›z›n, çok k›sa sürede etkili aksiyonlar›n al›nmas›na olanak sa¤layacak flekilde yap›lmal›d›r.
Etkin Dinleme
Dinlemek, fiil olarak pasif alg›lanmakla beraber asl›nda aktif bir eylemdir.
Duymak ve dinlemek farkl› kavramlard›r. Etkin bir dinleyici olmak, iyi bir
konuflmac› olmak kadar zordur.
Meslek icab› olarak iç denetçiler çok
say›da ve de¤iflik karakterlere sahip kiflileri dinlemek zorundad›rlar. Yapt›¤›m›z iflin büyük bir k›sm› dinleme eylemini içermektedir. Bu yüzden etkin
dinleme konusundaki becerimizi gelifltirmek zorunday›z.
Etkin dinleme, al›c› aç›s›ndan iletiflimdeki gürültüyü azaltma ve mesaj› tam
ve do¤ru olarak alma becerisidir. Etkin
dinleme sadece mesaj› almakla s›n›rl›
de¤ildir. Mesaj›n al›nd›¤›n› geri bildirmeyi de içerir.
Görüflme Teknikleri
‹yi görüflme teknikleri sayesinde kiflilerden bilgi almak kolaylafl›rken, zay›f
görüflme teknikleri nedeniyle kifliler bilgiyi vermekte tereddüt edebilir, do¤ru bilgiyi vermeyebilir ve düflmanca bir ortam yarat›labilir.
‹ç denetçiler, do¤ru ve güvenilir bilgiye eriflmek
için s›k s›k görüflmelerde bulunurlar. Bu yüzden
iyi görüflme tekniklerini bilmek zorundad›rlar.
Görüflmede dikkate al›nmas› gereken unsurlar
ve görüflme teknikleri hakk›nda daha detayl›
bilgilerin yer ald›¤› bir yaz›ma dergimizin bir
sonraki say›s›nda ulaflacaks›n›z.
fiüphecilik
‹ç denetim mesle¤inin do¤as› gere¤i bir miktar
flüpheci olmak gereklidir. ‹ç denetçilere söylenen sözler veya sunulan belgeler, incelenen
dökümanlar hassasiyetle ele al›nmal›, do¤ruluklar›nda emin oluncaya kadar araflt›rmalar
devam ettirilmelidir.
fiüphecilik, ilk etapta görülmeyen baz› problemlerin veya risklerin fark›na var›lmas›n› sa¤lad›¤›,
bazen de gerçeklerin göründü¤ünden farkl› oldu¤unu tespit edebildi¤i için çok önemlidir.
Ancak; flüphecili¤in psikolojik bir rahats›zl›k
boyutuna gelmemesine dikkat edilmeli, ola¤an
denetimleri aksat›c›, gecikmeye sebep olacak
yo¤unlukta veya denetlenen birim yetkililerini
küçük düflürücü, olumsuz bir elektrik yayacak
flekilde olmamas›na dikkat edilmelidir. Bu yüzden do¤rular›n yans›t›lmad›¤›ndan flüphe duyulan bir durumda dahi so¤ukkanl› ve hassas bir
tutuma sahip olunmal›d›r.
Raporlama Becerisi
‹ç denetim mesle¤inde en önemli faaliyetlerden
birisi raporlamad›r. Denetimlerde çok önemli
bulgulara eriflilmifl olabilir ancak iç denetçinin
raporlama becerileri zay›f ise gerçeklefltirilen
denetimin ve harcanan çaban›n hiçbir önemi
kalmayacakt›r.
Çünkü; zay›f bir raporlama becerisi ile elde
edilen bulgular veya tespit edilen risklerin, kontrol zaafiyetlerinin yönetimin dikkatini çekecek
flekilde sunulamayaca¤› aflikard›r. Yani üretilen
kötü bir rapor nedeniyle çok baflar›l› bir denetim
bile gözard› edilebilir.
Bu yüzden araflt›rma, inceleme, analiz, de¤erlendirme vb. konularda gösterilen mesleki özen ve
dikkat, raporlama yaparken de gösterilmelidir.
N. Burak Ünlü, CIA, Yap› ve Kredi Bankas› A.fi.’nde Kredi
Riski Komitesi Baflkan› olarak görev yapmakta olup ayn›
zamanda dergimizin Sorumlu Yaz› ‹flleri Müdürü’dür.
yarg›dan uzak bir de¤erlendirme yapabilmek
için öncelikle karfl›lafl›lan problemlerin çok iyi
tan›mlanmas› gerekmektedir.
Problemlerin tan›mlanmas›, etkilerinin de¤erlendirilmesi, çözüm yollar› aranmas› ve önerilerde
bulunulabilmesi için geliflmifl problem çözme ve
analitik düflünce becerisine sahip olunmas›
gereklidir. Bu beceri, özellikle s›k karfl›lafl›lmayan ve daha önce çözümü aranmam›fl problemler söz konusu oldu¤unda daha fazla önem tafl›r.
22
23
YEfi‹L KALEM
YEfi‹L KALEM
‹ç Denetçi ‹le Denetim
Komitesi Aras›nda
Nas›l Bir ‹liflki Olmal›d›r?
1.Girifl
Son y›llarda halka aç›k büyük flirketlerde (Enron, WorldCom, Parmalat) yaflanan muhasebe
skandallar; finansal tablolarda ortaya ç›kan hata ve hileler, ifl baflar›s›zl›klar› ve yasal olmayan
faaliyetler finansal raporlar›n kalitesini ve denetim sürecini sorgulamay› gündeme getirmifltir.
Yaflanan iflaslar›n milyar dolarlarla ifade edilmesi sermaye piyasas›na olan güveni sarsm›flt›r.
Kurumsal Yönetim anlay›fl›ndaki geliflmelere
ba¤l› olarak uzun y›llardan beri ABD’de uygulama alan› bulan denetim komitesi art›k tüm dünyada flirket organizasyon flemalar› içinde yer almaktad›r. fiirket yönetiminin yapabilece¤i hileleri önlemek, denetçilerin ba¤›ms›zl›¤›n› kuvvetlendirmek ve finansal raporlama sürecinin
kalitesini artt›rmak amac›yla önemli bir fonksiyon üstlenen denetim komitesinin etkinli¤i ve
denetçilerle olan iliflkisi daha da önemli hale
gelmifltir. Bu ba¤lamda çal›flman›n amac›; iç denetçiler ile denetim komitesi aras›nda nas›l bir
iliflkinin olmas› gerekti¤ini ortaya koymakt›r.
2. ‹ç Denetim Sürecinde Denetim
Komitesi’nin Yeri
‹ç denetim bir örgütün faaliyetlerini incelemek
ve de¤erlendirmek amac›yla örgüt içinde oluflturulmufl ba¤›ms›z bir de¤erlendirme fonksiyonudur2. ‹ç denetim flirket ifllemlerinde olas› hata ve
hileleri önleme konusunda önemli bir görev üstlenmifltir. ‹ç denetim fonksiyonunun yeterli ve
1
etkili bir flekilde yürütülmesi iflletmedeki kontrol
mekanizmalar›n›n sa¤l›kl› al›flmas›n› sa¤lar ve
dolay›s›yla operasyonel risklerin, hilenin ve gelir kay›plar›n›n oluflmas›n› engelleyerek iflletmenin verimlili¤i ve rekabet gücünün artmas›na
katk›da bulunur3. ‹ç denetim, flirkette var olan
her türlü düzensizli¤in önlenmesi amac›yla yeni
kurallar›n yerlefltirilmesinden sorumludur. Yönetime bu kurallar›n iyilefltirilmesiyle ilgili yeni
önerilerde bulunur. Yönetim de gerekli gördü¤ü
durumlarda düzeltici eylemleri gelifltirir4. Yap›lan araflt›rmalar hileli finansal tablolar›n ortaya
ç›kt›¤› flirketlerde uygun ve etkin bir iç denetim
fonksiyonunun olmad›¤›n› ortaya koymaktad›r.
fiirketlerin gelecekteki baflar›s› uygulanabilir ve
sürdürülebilir bir iç denetim fonksiyonu oluflturmas›na ba¤l›d›r5. 21. Yüzy›l Yönetim ‹lkelerine
göre tüm flirketlerin etkin, devaml› çal›flan ve
do¤rudan komiteye raporlama yapan bir iç denetim fonksiyonuna sahip olmas› ve bunu devam ettirmesi gerekmektedir6.
Özellikle yönetim anlay›fl›nda meydana gelen
de¤iflmeler, yasal düzenlemeler ve rekabet gibi
faktörler iç denetimin sorumlulu¤unu artt›rmaktad›r. Günümüzde iç denetim risk yönetimi, kurumsal yönetim ve denetim komitesinin baflar›l›
olmas›nda önemli bir unsur haline gelmifltir7.
Özellikle çeflitli düzenlemelerde denetim komitesine denetim sürecinde önemli görevler yüklenmifltir8. Uluslararas› ‹ç Denetçiler Enstitüsü
1999 y›l›nda iç denetimin tan›m›n› yeniden
Pamukkale Üniversitesi, ‹flletme Bölümü, Muhasebe Finansman Anabilim Dal›.
K.H. Spencer Pickett, The Internal Auditing Handbook, JohnnWiley&Sons, 2000, p.5.
3
Nuran Cömert Doyrangöl, Sermaye Piyasas› Arac› Kurumlar›nda Etkili Bir ‹ç Kontrol Sistemi ve ‹ç Denetim Fonksiyonu, Lebib Yalk›n Matbaas›, ‹stanbul 2001, s.57.
4
Jacqueline K. Wagner, "Audit Committees and Internal Auditor: A Veteran View", (Çevrimiçi) http:// www.theiia.org.iia/index.cfm, 10.01.2004, p.3/5.
5
L. Miller, "What’s an Audit Committee to Do?" Internal Auditor, April 2000, p.12.
6
Asian Pacific Economic Corporation Forum, "Comments on Behalf of the Institute of Internal Auditors", (Çevrimiçi)
http://www.theiia.org/iia/index.cfm, 20.10.2003, p.5/10.
7
fiaban Uzay, "‹ç Denetimin Gelece¤i ve Yeni E¤ilimler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya, s.228, Hasan Kaval, Muhasebe Denetimi, Ankara, Ekim 2003, s.95, Dana R.
Hermanson, "What Else in Corporate Governance Should be Changed", Internal Auditing, January-February 2003, pp.44-45.
8
Blue Ribbon Committee, Report and Recommendations of the Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees, NY 1999, pp.10-16.
2
yapm›flt›r9. Buna göre: "‹ç denetim, organizasyonun faaliyetlerine de¤er katmak ve onlar› gelifltirmek için tasarlanm›fl ba¤›ms›z ve tarafs›z bir
güvence ve dan›flmanl›k aktivitesidir. Risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin
sistematik ve disiplinli bir yaklafl›mla de¤erlendirilmesi ve iyilefltirilmesi yoluyla içinde bulundu¤u organizasyona hedeflerini gerçeklefltirmesine yard›mc› olur". Bu tan›ma göre iç denetimin müflterisi benzer amaçlar edinmifl olan denetim komitesidir10. Çünkü komite ve iç denetimin amaçlar› ortak olup; yönetimdeki yanl›fll›klar› ve yolsuzluklar› önlemeye çal›flmakt›r. Buna
karfl›n iliflkilerin di¤er boyutu ise komitenin iç
denetimi izleme sorumlulu¤unun bulunmas›d›r.
Komite iç denetime destek olmal› ve ba¤›ms›zl›¤› ile örgüt içindeki statüsünün artt›r›lmas›na
katk›da bulunmal›d›r11.
Günümüzde iç denetim alan› flirketin tamam›na
yay›lm›flt›r. Hem denetim komitesi hem de iç
denetim, yönetimin hata ve hilelerini önlemeyi
amaç edindi¤inden etkin çal›flan bir iç denetim
fonksiyonu komitenin görev ve sorumluluklar›n› yerine getirmesine yard›mc› olacakt›r. Avrupa Komisyonu 1996 y›l›nda yay›mlad›¤› "Green
Paper on Auditing" adl› çal›flmada "Güçlü bir iç
9
denetim fonksiyonu olmayan flirketler komitenin sorumlulu¤unu yerine getirebilmesi için gerekli bilgileri sa¤lamakta yetersiz kalacakt›r" demifltir. Bu durum tersi için de geçerli olup komite de iç denetim bölümünün etkin olarak çal›flmas›na katk› sa¤layacakt›r. Komite, iç denetim
bölümünün kalitesini; iç denetçilerin tarafs›zl›klar›n› sürdürme, sürekli mesleki e¤itime tabi tutma, bilim ve teknolojideki geliflmeleri takip
ederek kendini bu alanda gelifltirme, mesleki niteliklerini iyilefltirme ve sertifikasyon gibi alanlarda teflvik ederek artt›rabilir. Bunu yapabilmesi için komitenin iç denetim fonksiyonunun organizasyonel yap›s›n›, görevlerini ve faaliyetlerini aç›k bir flekilde anlamas› gerekir. Komite bu
noktada gereksinim duydu¤u bilgileri; iç denetim yönetmeli¤i, organizasyon flekli ve iç denetim plan›, iç denetim faaliyet raporu, iç denetim
taraf›ndan yap›lan projeler ve denetim bulgular›ndan elde edebilir12.
Komite görev ve sorumlulu¤unu yerine getirirken en çok iç denetim bölümünden yararlanmaktad›r. Uluslararas› ‹ç Denetçiler Enstitüsü
Baflkan Vekili Richard Nelson, "Her denetim
komitesi en az›ndan iç denetimden almay› bekledikleri güvenceyi sa¤layacak kapsamda ince-
Mahmut Demirbafl, "Denetimde E¤ilimler ile Etkileflimler ve Türkiye’deki Mevcut Duruma Öneriler", 22. Türkiye Muhasebe
E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya, s.257.
Deloitte-Touché, ‹ç Denetim Bülteni, Mart-Nisan 2003, s.3.
11
Uzay, a.g.m. , s.220.
12
Price WaterhouseCoopers, Audit Committees: Good Practices For Meeting Market Expectations, 2. Ed., New York 2003, p. 38.
10
Dr. Süleyman Uyar1
24
25
YEfi‹L KALEM
leme yapmak zorundad›r. Hem WorldCom hem
de Enron skandal›nda özellikle piyasalar›n yüksek düzeydeki ticari bask›s› göz önüne al›nd›¤›nda yönetim kurulunun ve hissedarlar›n sadece ba¤›ms›z denetçilerin bak›fl aç›lar›na güvenmeyeceklerini ortaya ç›karm›flt›r. ‹ç denetim komitenin maksimum düzeyde yararlanmas› gereken ba¤›ms›z ve vazgeçilmez bir bak›fl aç›s›d›r"
demifltir13. Ulusal Kurumsal Yat›r›mc›lar Derne¤i
(NACD) komisyonu raporunda iç denetim için
"Denetim komitesi bugünün iç denetim fonksiyonunu ba¤›ms›z, objektif ve katma de¤er sa¤layan, organizasyonun operasyonel taraf›n› gelifltiren ve dan›flmanl›k etkinli¤i sa¤layan bir destek
olarak görebilir. ‹ç denetim organizasyona sistematik ve disipline edilmifl bir yaklafl›m getirerek,
risk yönetimi ve kontrol ile denetim sürecinin etkinli¤ini gelifltirmek üzere objektifliklerini tamamlamada yard›mc› olabilir." demifltir14.
‹ç denetim kadrosunun kurulmas› ve iflleyiflinin
sa¤lanmas›, iç denetim bölümü ile koordinasyon sa¤lama, iç denetim bölümünün çal›flmalar›n› izleme, iç denetim bölümünden gelen raporlar ve önerileri dikkate alma ve iç denetim
programlar›n› gözden geçirme komitenin sorumluluklar›ndand›r. Komitenin ihtiyaçlar› de¤iflti¤inde iç denetim fonksiyonu da beraberinde de¤iflmeli veya geleneksel rolünü kaybetmeyi göze almal›d›r. Komite ile iç denetim aras›ndaki etkileflimin artmas› flirket yönetiminin niteli¤ini ve organizasyonel yap›s›n›n güçlenmesine
yard›mc› olacakt›r15. Komite ile iç denetim aras›ndaki güçlü bir iliflki; program iliflkisini düzen13
li olarak devam ettirme, toplant›lar aras›nda iliflkiyi koruma, gerekli konularda sorular sorma,
performans gelifltirme, flirkette COSO iç kontrol
modelini kullanma ve komite üyelerinin ilgi
alanlar›n› bilme konular›nda kurulabilir16.
Komite iç denetim fonksiyonunu karar alma sürecinde desteklemeli ve iç denetim baflkan› ile
düzenli olarak görüflmelidir. Bu görüflmeler sonucunda muhasebe ve denetim uygulamalar›
konusunda daha fazla bilgi elde edilebilir17. Ayn› zamanda komitenin görevlerini etkin olarak
yerine getirebilmesi için ihtiyaç duydu¤u bilgi
iç denetim bölümünden gelmektedir18. Komite
iç denetim fonksiyonuna sayg› göstermeli ancak
bunun yan›nda aktif bir gözetim faaliyeti yürütmelidir19.
Denetim komitesinin iç denetim fonksiyonu üzerinde aktif bir gözetim rolü bulunmaktad›r. Bu iliflkide ortaya ç›kan gözetim faaliyetleri flunlard›r20:
1. ‹ç denetim faaliyetinin amac›, yetkileri, sorumlulu¤u ve raporlama iliflkisi aç›s›ndan örgütsel yap›s›n›n incelenmesi ve onaylanmas›,
2. ‹ç denetim bölümü yöneticisinin ifle al›nmas›,
devam› ve de¤ifltirilmesi karar›,
3. ‹ç denetim plan› ve bütçesinin incelenmesi,
4. ‹ç denetim sonuçlar›n›n incelenmesi,
5. Yasa ve yönetmeliklere uygunluk, ba¤›ms›z denetçilerin de¤erlendirilmesi ve gerekti¤inde potansiyele hata veya hilelerin araflt›r›lmas› gibi çeflitli iç denetim projeleri için talepte bulunma,
6. Kalite güvenini sa¤lamak için öneride bulunma.
‹ç denetim performans›n›n artt›r›lmas› için denetçi ba¤›ms›zl›¤› komite taraf›ndan sa¤lanmal›, iç
(Çevrimiçi) http://www.theiia.org, 12.03.2004, p.1/1.
National Association of Corporate Directors (NACD), Report of the NACD Blue Ribbon Commission on Audit Committees:
A Practical Guide, Washington D.C, 2000a, p.47.
15
William G. Bishop, Dana R. Hermanson, Paul D. Lapides, Larry E. Rittenberg, "The Year of Audit Committee", Internal Auditor, April 2000, p.51.
16
Kelly M. Hnatt, "Forge The Right Relationship", May 2001, Journal of Accountancy, p.52.
17
Toronto Stock Exchange, Issues for Comment, Toronto 1993, p.182.
18
Dana R. Hermanson, "What Else in Corporate Governance Should be Changed", Internal Auditing, January-February 2003,
pp.44-45.
19
Dana R. Hermanson, Larry E. Rittenberg, Internal Audit and Organizational Governance, The Institute Internal Auditor Research Foundation, Florida 2003, p.51.
20
IIA Issues and Answers, "Internal Auditing and the audit Committee Working Toward Common Goals", (Çevrimiçi)
http://www.theiia.org.iia/index.cfm, 06.02.2004, p.7/9.
14
fiirketlerin gelecekteki
baflar›s› uygulanabilir
ve sürdürülebilir
bir iç denetim fonksiyonu
oluflturulmas›na ba¤l›d›r.
denetçilerin yönetim, yönetim kurulu ve komite
ile s›n›rs›z bir görüflme hakk› bulunmal›, iç denetçinin muhasebe kay›tlar› ve fiziksel varl›klara s›n›rs›z bir ulafl›m hakk› olmal›, komite y›ll›k iç denetim bütçesini incelemeli ve iç denetime ayr›lan
kaynaklar›n yeterlili¤ini de¤erlendirmelidir21.
Komitenin etkinli¤ini s›n›rlayan temel etkenlerden
birisi üyelere ulaflan bilginin niteli¤i ve niceli¤idir.
‹ç denetim fonksiyonu komite için hem flirket bilgisi hem de sektöre iliflkin görüfl sa¤layan uygun
bir bilgi iletiflim sistemi gelifltirmek üzere destekte
bulunabilir.
Bu bilginin ak›fl› finansal raporlama sisteminin bütünlü¤ünü ve genifl bir risk-kontrol analizini içermelidir. Komite taraf›ndan talep edilen soruflturmalar ve özel projelerin yürütülmesi yeni riskler
ve raporlama ile ilgili geliflmeler üzerine odaklanmay› sa¤layabilir22. ‹ç denetim komiteye etkin bir
bilgi sisteminin oluflturulmas› noktas›nda, flirketin
risk ve kontrol alanlar›nda komitenin görevleri ve
flirket yönetim yap›s›n›n nas›l daha iyi anlafl›labilece¤i konusunda yard›mc› olabilir23.
Denetim komitesinin iç denetim bölümünü izlemesi çeflitli faydalar sa¤layacakt›r. ‹ç denetimin
organizasyonel yap›s› ve kapsam›n›n gözden geçirilmesi d›fl denetim harcamalar›n› azalt›r ve etkili bir iç denetim, komitenin görevlerini yerine
getirmesine destek olur. E¤er komite ile iç denetim aras›nda kaliteli bir etkileflim varsa komite
ile yönetim aras›ndaki bilgi asimetri¤i düflecektir. Ayr›ca iç denetim ile kurulacak düzenli bir
iletiflim a¤› komitenin muhasebe ve denetimle
ilgili konularda bilgilenmesini sa¤layacakt›r24.
Komitenin iç denetimden gerekli fayday› sa¤layabilmesi için iç denetime iliflkin: Komitenin et21
kinli¤i için ne tür bir bilgi sistemine ihtiyaç vard›r? Bu bilginin sa¤lanmas›nda iç denetim fonksiyonu nas›l bir rol oynar? Komite etkinli¤i ile iç
denetim fonksiyonunun kalitesi aras›nda bir iliflki var m›d›r? Komitenin oluflumu etkinli¤i etkilemekte midir? Denetim komitesi yasal düzenlemelere göre daha fazla bilgiye sahip hale gelmifl
midir? ‹ç denetimin komiteye sa¤lad›¤› bilgilerin
daha etkin olabilmesi için iletiflim flekli ne olmal›d›r? sorular›na cevap bulmas› gerekir25.
Komite, flirketin iç denetimden tüm yönleriyle
faydalan›p faydalanmad›¤›n› ve bu bölüme gerekli deste¤i sa¤lay›p sa¤lamad›¤›n› de¤erlendirmelidir. Bunu tespit edebilmek için komite:
‹ç denetim flirketin faaliyetleri, kontrol sistemleri ve bilgileri ile uyumlu mudur? ‹ç denetim yeterli kayna¤a sahip midir? Belirlenmifl iç denetim program› nas›ld›r? Yeni bilgi sistemlerinin
planlanmas› ve uygulanmas›nda iç denetim görev almakta m›d›r? ‹ç denetim flirketin karfl›laflt›¤› operasyonel ve finansal riskleri soruflturmakta m›d›r? Yönetim iç denetimden gelen tavsiyelere uygun hareket etmekte ve iç denetim yap›lan de¤ifliklikleri denetlemekte midir? ve ‹ç denetçiler ba¤›ms›z denetçiler ile etkin bir çal›flma
içersinde midir? sorular›na cevap aramal›d›r26.
Komitenin iç denetime iliflkin sorumlulu¤unu
etkin olarak yerine getirebilmesi için üyelerin iç
denetim konusunda bilgili olmas› gerekir. Genel olarak ço¤u komite iç denetimin temel uygulamalar›n› bilmektedirler. Ancak denetçilerin
geçmifli, yetenekleri ve sorumluluklar› konusunda tam olarak bilgileri bulunmamaktad›r. Bu sorun nedeniyle komite iç denetim bölümünden
yeteri kadar yararlanamamaktad›r27. Komitenin
ba¤›ms›z üyelerden oluflmas› ve üyelerden en
az bir tanesinin muhasebe finans geçmiflinin olmas› iç denetim ile iletiflimi olumlu yönde etkileyecektir. Çünkü yap›lan araflt›rmalar ba¤›ms›z ve uzman üyelerden oluflan komitelerin iç
denetim müdürü ile daha uzun toplant›lar yapt›klar›n›, iç denetim müdürüne özel görüflmeler
sa¤lad›klar›n› ve iç denetim sonuçlar› ile
yap›lan önerilerinin daha iyi takipçisi olduklar›n› göstermifltir28.
Internal Auditor, "Recommendations for Improving Corporate Governance", Internal Auditor, June 2002, p.68.
Bishop vd., a.g.m., pp.50-51.
Larry E. Rittenberg, "Lessons for Internal Auditor", Internal Auditor, April 2002, p.32.
24
Louis Jr. Braiotta, The Audit Committee Hand Book, 3rd Edition, John Wiley&Sons Inc., New York 1999, p.214.
25
Hermanson, Rittenberg, a.g.e., pp.51-52.
26
PriceWaterhouseCoopers, a.g.e., p.39.
27
Jacqueline K. Wagner, "Asking the Right Questions: Sage Advise for Audit Committee", Directors & Boards, September
2000, p.2/5.
28
K.Raghunandan, William J. Read, Dasaratha V. Rama, "Audit Committee "Gray Directors" and Interaction with Internal Auditing", Accounting Horizon, June 2001, p.109.
22
23
YEfi‹L KALEM
26
27
YEfi‹L KALEM
YEfi‹L KALEM
3. ‹ç Denetçi ve Denetim Komitesi
Aras›nda Nas›l Bir ‹liflki Olmal›d›r?
‹ç denetçiler flirketin oluflturdu¤u kontrollere uyma konusunda önemli bir rol oynar. ‹ç denetçilerin flirkete iliflkin uzmanl›¤› çok önemlidir. Gelece¤in iç denetçileri bilgi teknolojisi baflta olmak üzere risk de¤erleme ve di¤er tüm konularda uzman olmal›d›r30. Yat›r›mc›lar›n sermaye piyasas›na güvenmeleri ve flirketler hakk›nda güvenilir bilgiler elde edebilmeleri denetim mesle¤ine olan güveni art›racakt›r. Bu sistemin sa¤l›kl›
flekilde oluflturabilmesi yönetim-iç denetçi-denetim komitesi aras›ndaki iliflkiye göre flekillenecektir. Bu süreçte iç denetçinin sorumluluklar›n›
yerine getirmesinde en büyük yard›mc›s› denetim komitesi olacakt›r31.
‹ç denetçiler komiteye finansal raporlama ile risk
ve kontrol deste¤i sa¤lamal›d›r32. Finansal raporlama deste¤ini; flirketin objektif raporlama sorumlulu¤unu yerine getirip getirmedi¤i, içinde
bulunulan koflul için en uygun muhasebe sisteminin uygulan›p uygulanmad›¤›, dönemsel raporlama sürecinden elde edilen bilgilerin güvenirlili¤i, bu süreçte uygulanan kontrollerin yeter29
Etkili bir iç denetim
fonksiyonu flirketin
operasyonel risk ve gelir
kay›plar›n› engelleyerek
iflletmenin verimlilik ve
rekabet gücünü
artt›rmaya katk›da
bulunur.
lili¤i ve komite üyelerine flirketin performans›na
yönelik do¤ru ve zaman›nda bilgi aktar›ld›¤› konular›nda yapabilir. Risk ve kontrol deste¤i ise,
komitenin flirket üzerindeki kontrollerin objektifli¤ine iliflkin de¤erlendirme yapmas›, komiteye
flirketin kontrol noktalar›n› ve flirketin temel olarak karfl›laflt›¤› finansal ve di¤er risklerin izlenmesi konusunda yard›mc› olacak bilgilerin sa¤lanmas› sürecinde yap›labilir33.
‹ç denetçilerin komite ile do¤rudan ve s›n›rs›z bir
görüflme hakk› olmal›d›r. ‹ç denetçiler denetim
komitesi ile devaml› görüflmeli ve aralar›nda serbest görüflme olana¤› sa¤layacak ortam oluflturulmal›d›r34. ‹ç denetçiyi ifle alma veya iflten ç›karma
yetkisi denetim komitesi d›fl›ndaki bir otoritede ise
denetçi ile komite aras›nda yap›lacak görüflmelerde onlar›n da yer almas› gerekir35. ‹ç denetçiler komite ile flirketin içinde bulundu¤u risk durumu ve
ilerde karfl›laflabilece¤i olas› risklerle ilgili görüflmeler yapmal›d›r36. ‹ç denetçiler ile denetim komitesi aras›ndaki iliflki ve görüflmelerin s›kl›¤› komitenin etkinlik düzeyini belirlemektedir. Bunun
için Uluslararas› ‹ç Denetçiler Enstitüsü iç denetim baflkan›n›n y›lda en az 4 kez denetim komitesi ile görüflmesini öngörmüfltür37. Ancak yap›lan
araflt›rmalar iç denetçilerin komite ile görüflme
s›kl›¤›n›n yetesiz oldu¤unu göstermektedir38.
PriceWaterhouseCoopers, a.g.e., p.37.
Norman Marks, "The New Age of Internal Auditing", Internal Auditor, December 2001, s.45
31
Süleyman Uyar, "‹ç Denetim Alan›nda Ortaya Ç›kan Yeni Yaklafl›mlar Çerçevesinde ‹ç Denetçilerin De¤iflen Rolü", Mali Çözüm Dergisi, ‹SMMMO Yay›n›, Yay›n No:63, 2003, s.140
32
David Fisher, "Role of Audit Committees in Risk Management", 7. Muhasebe Denetim Sempozyumu, 21 Nisan 2005, Antalya, s.14
33
Bishop vd., a.g.m. pp.50-51.
34
K. Raghunandan, Dasaratha V. Rama, "Management Report After COSO", Internal Auditor, August 1994, Vol: 51, Issues: 4, p.57.
35
Joseph McHugh, K. Raghunandan, "Hiring & Firing the Chief Internal Auditor", Internal Auditor, August 1994, p.35.
36
Paul Seweeney, Cynthia W. Vallarino, "NYSE Sets Audit Committees on New Road", Journal of Accountancy, November
2002, pp.53-54.
37
Raghunandan, Read, Rama, a.g.m, p.108.
38
Deloitte Touché, Audit Committee Survey Results and Best Practices, October 2001, p.5.
30
Denetçi komiteye iç kontrol sistemine iliflkin
rapor sunmal›d›r. Komite de bu raporu en az
y›lda 1 kez olmak üzere incelemelidir39. Sarbanes Oxley Yasas› da iç denetçinin iç kontrole
iliflkin elde etti¤i eksiklik ve zay›fl›klar› komiteye raporlamas›n› zorunlu tutmufltur40. ‹ç denetçilerin komiteye do¤rudan raporlama yapmas›
ve komite toplant›lar›na kat›lmas› denetçilerin
ba¤›ms›zl›¤›n› artt›raca¤›ndan flirkette hile olas›l›¤›n› azaltacakt›r. Ancak bu konuda yap›lan
araflt›rmalar iç denetçilerin ancak yar›s›n›n
do¤rudan komiteye raporlama yapt›klar›n› göstermektedir41.
Bu aç›klamalar çerçevesinde iç denetim bölümü baflkan› afla¤›daki iflleri yapmal›d›r42:
1. Komitenin tüm toplant›lar›na kat›lmal›, toplant› tutanaklar›n› haz›rlamal›, toplant› gündemini koordine etmeli, komite üyelerinin toplant›lara haz›rlanmas›na yard›mc› olacak materyalleri toplamal› ve üyelere göndermeli, toplant› gündeminin komite yönetmeli¤inde belirtilen tüm sorumluluklar› kapsad›¤›ndan emin
olmal›d›r,
2. ‹ç denetim bölümünün faaliyetlerine iliflkin
planlar› ve sonuçlar›, risk de¤erlemeye iliflkin
görüflleri komiteye sunmal›d›r,
3. ‹ç kontrollerin varl›¤› ve uygun flekilde çal›flt›¤› konusunda güvence sa¤layan bir program›n gelifltirilmesinde komiteye yard›mc› olmal›d›r,
4. Komiteye yeni kat›lan üyelerin e¤itimine yard›mc› olmak, onlar› yeni teori ve düzenlemeler
konusunda bilgilendirmek amac›yla ilgili konularda güncel bilgiler elde etmelidir,
5. fiirket performans›na iliflkin y›ll›k de¤erlendirmelerin yap›lmas›nda komiteye yard›m etmelidir.
6. Denetim sonuçlar›na iliflkin komiteye verilecek raporu haz›rlamal›d›r,
Komite baflkan› ile sa¤l›kl› bir iletiflim gelifltirmelidir,
39
4.Sonuç
Yönetim anlay›fl›nda meydana gelen geliflmeler,
yasal düzenlemeler ve rekabet, iç denetçilerin
görev ve sorumluluklar›n› sürekli artt›rmaktad›r.
Günümüzde iç denetim; kurumsal yönetim, risk
yönetimi ve denetim komitesinin baflar›l› olmas›nda önemli bir fonksiyon üstlenmifltir.
Denetim komitesi iç denetçilerin görev ve sorumluluklar›n› yerine getirmesinde yard›mc› olmaktad›r. Bu ba¤lamda iç denetçilerin komite
ile s›k› bir iflbirli¤i içinde olmas› beklenmektedir. ‹ç denetçiler ile denetim komitesi aras›nda
olmas› gereken iliflkilere iliflkin flu de¤erlendirmeler yap›labilir:
• Gelece¤in iç denetçilerinin bilgi teknolojisi
baflta olmak üzere risk de¤erleme ve di¤er tüm
konularda uzman olmas› gerekir.
• ‹ç denetçi komiteye denetim sahas› ve denetçilerin objektifli¤i konusunda tavsiyelerde bulunmal›d›r.
• ‹ç denetçiler komiteyle flirketin içinde bulundu¤u risk durumu ve ilerde karfl›laflabilece¤i
olas› risklerle ilgili görüflmeler yapmal›d›r.
• ‹ç denetçilerin komite ile do¤rudan ve s›n›rs›z
bir görüflme hakk› olmal›d›r.
• ‹ç denetçi, iç kontrole iliflkin elde etti¤i eksiklik ve zay›fl›klar› bir raporla komiteye bildirmelidir. ‹ç denetçiler raporlamay› do¤rudan denetim komitesine yapmal›d›r. Çünkü bu durum
flirkette hile olas›l›¤›n› azaltacakt›r.
• ‹ç denetçiyi ifle alma veya iflten ç›karma yetkisi denetim komitesinde olmal›d›r.
Ülkemizde iç denetim henüz istenen düzeyde
de¤ildir. Küçük flirketler bir yana büyük flirketlerin ço¤unda iç denetim birimi bulunmamaktad›r43. Son y›llarda ülkemizde bankac›l›k sektöründe yaflanan ve 50 milyar $ olarak tahmin
edilen yolsuzluklar denetim mesle¤ine olan
gereksinimi ortaya koymufltur. Bu tür olumsuzluklar›n önlenebilmesi için iç denetçiler ile
denetim komitesinin etkin bir çal›flma içinde
olmas› gerekir.
Paul Seweeney, Cynthia W. Vallarino, a.g.m., pp.53-54.
Public Law, "Sarbanes Oxley Act of 2002", Public Law 107-204, July 30, 2002., p.33.
41
Deloitte-Touché, a.g.e., s.4.
42
David A. Richards, "The Audit Committee and Internal Audit: Teaming to Focus on the Future", (Çevrimiçi) http://www.theiia.org/iia/index.cfm, 15.10.2003, pp.1-2/3.
43
Ülkemizde bulunan flirketlerin büyük ço¤unda iç denetim birimi bulunmamaktad›r. ‹MKB’de yap›lan bir araflt›rmaya göre
flirketlerin yüzde 39’unda denetim kurulunun d›fl›nda ayr› bir iç denetim birimi bulunmamaktad›r. ‹ç denetim birimi bulunanlar ise yasal olarak iç denetim birimi oluflturmak zorunda olan banka ve finansal kurulufllard›r. Bknz. Nihat Akarkarasu, Halka Aç›k fiirketlerde ‹ç Denetim ve Denetim Kurullar›n›n Etkinlefltirilmesi ‹çin Öneriler, SPK Denetleme Dairesi, Yet. Etüdü, ‹stanbul 2000, s.41, ‹stanbul Sanayi Odas› taraf›ndan 500 büyük sanayi iflletmesi üzerine yap›lan araflt›rmaya göre flirketlerin
yüzde 29’unda iç denetim fonksiyonu bulunmamaktad›r. Bknz. Münevver Y›lanc›, "Denetim Komitesinin ‹ç Denetim Etkinli¤ini Sa¤lamadaki ve Hileleri Önlemedeki Rolü", Muhasebe ve Denetime Bak›fl Dergisi, Ocak 2003, s. 31
40
Avrupa’da yap›lan bir araflt›rmaya göre flirketlerin yüzde 88’inde iç denetim fonksiyonu bulunmaktad›r. Bu flirketlerde komite iç denetçinin faaliyetlerini incelemekte ve onaylamaktad›r. ‹ç
denetim fonksiyonu komiteye özellikle iç kontrol, hata ve hilelerin önlenmesi ile ilgili soruflturmalar alan›nda yard›mc› olmaktad›r. ‹ç denetim bölümünün etkin olarak çal›flabilmesi
için flirket yönetimi ve yönetim kurulunun birlikte deste¤ine gereksinimi vard›r. Yönetim kulunun bu alandaki temsilcisi denetim komitesi
oldu¤u için denetçinin komiteye ulaflmada s›n›rs›z bir yetkiye sahip olmas› ve iletiflim a¤›n›n
sürekli aç›k olmas› gerekir. E¤er bir flirkette iç
denetim fonksiyonu yoksa komite yönetim kuruluna böyle bir bölümün sa¤layaca¤› faydalar›
anlatmal›d›r29.
28
29
YEfi‹L KALEM
YEfi‹L KALEM
Derecelendirme Nedir?
Akarkarasu, Nihat, Halka Aç›k fiirketlerde ‹ç Denetim ve
Denetim Kurullar›n›n Etkinlefltirilmesi ‹çin Öneriler, SPK
Denetleme Dairesi, Yet. Etüdü, ‹stanbul 2000.
Asian Pacific Economic Corporation Forum, "Comments on
Behalf of the Institute of Internal Auditors", (Çevrimiçi)
http://www.theiia.org/iia/index.cfm, 20.10.2003.
Blue Ribbon Committee, Report and Recommendations of
the Blue Ribbon Committee on Improving the Effectiveness
of Corporate Audit Committees, NY 1999.
Braiotta, Louis Jr., The Audit Committee Hand Book, 3rd
Edition, John Wiley&Sons Inc., New York 1999.
Deloitte Touché, Audit Committee Survey Results and Best
Practices, October 2001.
Deloitte-Touché, ‹ç Denetim Bülteni, Mart-Nisan 2003.
Doyrangöl, Nuran Cömert, Sermaye Piyasas› Arac› Kurumlar›nda Etkili Bir ‹ç Kontrol Sistemi ve ‹ç Denetim Fonksiyonu, Lebib Yalk›n Matbaas›, ‹stanbul 2001.
Fisher, David, "Role of Audit Committees in Risk Management", 7. Muhasebe Denetim Sempozyumu, 21 Nisan 2005,
Antalya.
Hermanson, Dana R., "What Else in Corporate Governance
Should be Changed", Internal Auditing, January-February
2003.
Hermanson, Dana R., Larry E. Rittenberg, Internal Audit
and Organizational Governance, The Institute Internal Auditor Research Foundation, Florida 2003.
Hnatt, Kelly M., "Forge The Right Relationship", Journal of
Accountancy, May 2001.
IIA Issues and Answers, "Internal Auditing and The Audit
Committee Working Toward Common Goals", (Çevrimiçi)
http://www.theiia.org.iia/index.cfm, 06.02.2004.
Internal Auditor, "Recommendations for Improving Corporate Governance", Internal Auditor, June 2002.
Kaval, Hasan, Muhasebe Denetimi, Ankara, Ekim 2003.
Mahmut Demirbafl, "Denetimde E¤ilimler ile Etkileflimler ve
Türkiye’deki Mevcut Duruma Öneriler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya.
Marks, Norman, "The New Age of Internal Auditing", Internal Auditor, December 2001.
McHugh, Joshep, K. Raghunandan, "Hiring & Firing the
Chief Internal Auditor", Internal Auditor, August 1994.
Miller, L., "What’s an Audit Committee to Do?" Internal
Auditor, April 2000.
National Association of Corporate Directors (NACD), Report of the NACD Blue Ribbon Commission on Audit Committees: A Practical Guide, Washington D.C, 2000a.
Pickett, K.H. Spencer, The Internal Auditing Handbook,
JohnnWiley&Sons, 2000.
PriceWaterhouseCoopers, Audit Committees: Good Practices For Meeting Market Expectations, 2. Ed., New York
2003.
Public Law, "Sarbanes Oxley Act of 2002", Public Law 107204, July 30, 2002.
Raghunandan, K., Dasaratha V. Rama, "Management Report
After COSO", Internal Auditor, August 1994, Vol: 51, Issues: 4.
Raghunandan, K., William J. Read, Dasaratha V. Rama,
"Audit Committee "Gray Directors" and Interaction with Internal Auditing", Accounting Horizon, June 2001.
Richards, David A., "The Audit Committee and Internal Audit: Teaming to Focus on the Future", (Çevrimiçi)
http://www.theiia.org/iia/index.cfm, 13.04.2004.
Rittenberg, Larry E., "Lessons for Internal Auditor", Internal
Auditor, April 2002.
Seweeney, Paul, Cynthia W. Vallarino, "NYSE Sets Audit
Committees on New Road", Journal of Accountancy, November 2002.
Toronto Stock Exchange, Issues for Comment, Toronto
1993.
Uyar, Süleyman, "‹ç Denetim Alan›nda Ortaya Ç›kan Yeni
Yaklafl›mlar Çerçevesinde ‹ç Denetçilerin De¤iflen Rolü",
Mali Çözüm Dergisi, ‹SMMMO Yay›n›, Yay›n No:63, 2003.
Uzay, fiaban, "‹ç Denetimin Gelece¤i ve Yeni E¤ilimler", 22.
Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim:
E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya.
Uzay, fiaban, "‹flletmelerde Denetim Etkinli¤ini Sa¤lamada
Denetim Komitesinin (Audit Committee) Rolü ve Türkiye’de
Uygulanabilirli¤i", Muhasebe ve Denetime Bak›fl Dergisi,
Ocak 2003.
Wagner, Jacqueline K., "Asking the Right Questions: Sage
Advise for Audit Committee", Directors & Boards, September 2000.
Wagner, Jacqueline K., "Audit Committees and Internal
Auditor: A Veteran View", (Çevrimiçi) http://
www.theiia.org.iia/index.cfm, 10.01.2004.
William G. Bishop, Dana R. Hermanson, Paul D. Lapides,
Larry E. Rittenberg, "The Year of Audit Committee", Internal Auditor, April 2000.
Y›lanc›, Münevver, "Denetim Komitesinin ‹ç Denetim Etkinli¤ini Sa¤lamadaki ve Hileleri Önlemedeki Rolü", Muhasebe
ve Denetime Bak›fl Dergisi, Ocak 2003.
Prof. Dr. Çelik Kurto¤lu
Derecelendirme geçen yüzy›l›n bafl›ndan beri
"flirketlerin finansal kalitesinin" de¤erlendirilmesinde baflvurulan bir yöntem, adeta bir finansal
itibar notu. Bu notun arkas›nda yatan temel kavram ise risk yönetimi. fiirketler ister yat›r›mc›, ister tedarikçi olsunlar ekonomik iliflkiye girecekleri giriflimlerin kendileri için yarataca¤› riski
tahmin etmek ve yönetmek zorundalar. Ticari
risk ekonomik konjonktür ve sektörün, endüstrinin özelliklerinden, finansal risk mali raporlama
sistemlerinin do¤rulu¤undan, yönetim riski ise
kurumsal yönetim mekanizmalar›n›n yerlefltirilip iflletilmesinden olufluyor.
Moody’s uluslararas› piyasalarda muteber derecelendirme flirketlerinden en eskilerinden. John
Moody 1907 borsa krizinin ard›ndan 1909 y›l›nda demiryolu flirketlerinden bafllayarak flirketlerin hisse senetlerinin de¤erlendirilmesi iflini bafllatt›. John Moody’yi teflvik eden ihtiyaç s›nai ve di¤er çeflitli flirketlere ait de¤erli ka¤›tlar›n› inceleyen bir el kitab›n›n yay›nlanmas›yd›.
"Yat›r›mc›lar› bilgi edinme hakk›"ndan yola ç›kan Henry Varnum Poor mali bilgi endüstrisini
bafllatt› ve 1941 y›l›nda Poor’s Publishing Company’nin Standard Statistics’le birleflmesi sonu-
cu derecelendirme sektörün di¤er devi olan
S&P ortaya ç›kt›.
1913 y›l›nda John Knowles Fitch finansal istatistikler yay›nlayarak bu ikiliye kat›ld›. ‹leriki y›llarda ABD Kongresi bu flirketlerin yapt›¤› kredi
derecelendirmesi iflleminin piyasalarda istikrar
sa¤lanmas› üzerinde önemli etki yapaca¤› gerekçesiyle bu yetkiyi an›lan flirketler itibariyle s›n›rlad›.
Derecelendirmenin amac› nerede bir risk varsa
bu riskin gerçekleflmesi ihtimalinin tahmin edilmesi. Risk flirketlerin kredi itibar›yla s›n›rl› ise
kredi derecelendirmesi baflvurulan bir ölçü yöntemi. Kredi derecelendirme flirketleri piyasada
do¤an talebe göre yeni ürünler yarat›yorlar.
Böylece çeflitli yat›r›m fonlar›n›n de¤iflik kriterlere (ana parada istikrar gözetilmesi, volatilite,
vb.) göre derecelendirilmesi, sigorta flirketlerinin finansal derecelendirilmesi, yerel ve yabanc› para riskine göre derecelendirme, bankalar›n
ayakta kalabilmesinin derecelendirilmesinden,
flirketlerde yönetim kalitesinin derecelendirilmesine kadar genifl bir yelpaze ortaya ç›k›yor.
2000 y›l›nda ENRON olay› ile bafllayan flirket
skandallar› derecelendirme fonksiyonunun yeterince do¤ru yap›l›p yap›lmad›¤› sorusunu gündeme
getirdi. Madem derecelendirmenin amac› yat›r›mc›lar› yat›r›m yapabilecekleri
flirketler itibariyle bilgilendirmektir, o zaman bu skandallar›n olmamas›, sermaye
piyasalar›n›n derecelendirmenin sa¤layaca¤› bilgi sayesinde yat›r›mc›lar› uyarma görevini yerine getirmesi gerekirdi.
Yanl›fl neredeydi; derecelendirme flirketleri mi görevlerini iyi yapm›yordu, metodolojileri mi yanl›flt›, yoksa
kredi derecelendirmesi flirketlerin yat›r›mc› veya
ödünç para verici kifli veya
kurumlar taraf›ndan iyi de¤erlendirilmesi için gerekli
teorik omurgaya ve buna
uygun metodolojiye sahip
de¤il miydi?
5.Kaynaklar
30
31
YEfi‹L KALEM
YEfi‹L KALEM
Kurumsal Yönetim Mekanizmalar›
Kime Hizmet Eder?
Bu sorular tart›fl›l›rken ilk kurban denetim sektöründen verildi ve Arthur Anderson flirketinin
dönemi kapand›. Bunun ard›ndan yak›nlarda
kredi derecelendirmesi piyasas›na hakim olan
flirketlerin daha rekabetçi bir ortama sahip olmas› için yeni derecelendirme flirketlerinin
özendirilmesi gündeme geldi.
Kredi Derecelendirmesi
Derecelendirme flirketlerinin en önemli ürünü
kredi derecelendirmesi. Hemen tüm derecelendirme flirketlerinin uygulamas›, finansallar›n›
inceledikleri flirketleri Aaa denilen en iyi dereceden bafllayarak Bbb ve afla¤›ya do¤ru inen
notlarla kendi belirledikleri yöntemler do¤rultusunda de¤erlendirmek. Burada tamamen nesnel
olunmas› hemen hemen olanaks›z; çünkü çevresel koflullar, yerel, yöresel, sektörel, endüstriyel ve hatta konjonktürel koflullar, derecelendirme kriterlerini ve daha da önemlisi bu kriterlerin ›fl›¤› alt›nda yap›lacak de¤erlendirme ve
yorumlar› nihayet birkaç harfle ifade edilen
"dereceyi" etkiliyor.
Derecelendirme bir tavsiye niteli¤i tafl›m›yor.
Mutlak nesnellik sa¤lanamad›¤› sürece yap›lan
her derecelendirmenin metodolojisinin, derecelendirme flirketinin felsefesinin, çal›flma ilkelerinin göz önünde tutulmas› gerekli. Ancak bunu yapabilmek kolay de¤il. Bunun için flirketler
ço¤u zaman tek bir derecelendirme flirketi ile
yetinmiyor, ikinci derecelendirmelere, örne¤in
bankac›l›k sektöründe oldu¤u gibi sektörel ve
hatta co¤rafi bölgesel özellikleri de hesaba katan derecelendirmelere baflvuruyorlar.
Kurumsal Yönetim Derecelendirmesi
Kredi derecelendirmesinin flirketleri de¤erlendirmede yetersiz kalmalar› baflka "itibar ölçme
yöntemlerini" gündeme getirdi. Kurumsal yönetim derecelendirmesi bunlar›n bafl›nda yer al›yor. Kurumsallaflma, flirketlerin geliflim süreci
içinde gerçek kapitalist iliflkilerin olufltu¤u, flirketin itibar›n›n sadece kurucusunun flahsi itibar›na ba¤l› olarak de¤il, ayn› zamanda faaliyet
amac›n› ve hedeflerini oluflturan parametrelerle
iliflkilendirildi¤i ve yönetim mekanizmas›n›n
buna göre yap›land›r›ld›¤› aflama.
fiirketlerin pek ço¤u aile flirketi olarak kuruluyor, ama içinde bulunduklar› ortamda baflar›l›
olmalar›, o ortamla piyasa iliflkilerine girmeleri-
Kurumsal yönetim derecelendirmesinin amac›
flirketlerde bu yap›lanman›n sa¤lan›p sa¤lanmad›¤›n›n ölçülmesidir. ‹yi bir derece herkesten önce paydafllar›n ç›kar›n›n korunabilmesi
için gerekli mekanizmalar›n bulundu¤unu gösterir. Çünkü kurumsal yönetim mekanizmalar›
flirketin yönetim hiyerarflisi içinde saydaml›¤›n
kuruldu¤unu, kararlar›n genel kurul talimatlar›
do¤rultusunda ve profesyonel yönetimle verimli bir etkileflme sa¤lanarak al›nd›¤›n›, di¤er kurumsal veya bireysel yat›r›mc›lar›n ve müflteri,
tedarikçi, toplumsal çevre ve nihayet kamu
otoritesinin takdir ve güveninin sa¤land›¤›n›
gösterir.
Kurumsal yönetim kalitesinin flirketlerin sermaye piyasalar›nda, menkul de¤er borsalar›nda
ulaflt›¤› de¤eri yükseltmesi do¤ald›r ama flart de¤ildir. Kurumsal yönetim kalitesi flirketlerin güvenilirli¤ini artt›raca¤› için sermayenin maliyetini azaltacak, yeni yat›r›mlar›n olabilme flans›n›
yükseltecek, böylece büyüme sürecine, flirketlerin rekabet gücüne olumlu etki yapacakt›r. Ama
bununla borsada ulafl›lan de¤er aras›nda bir korelasyon beklemek do¤ru de¤ildir. Korelasyon
analizinin herkesce bilinen özelli¤i burada da
geçerlidir, flirket de¤erinde yükselme veya azalma kurumsal yönetim kalitesi taraf›ndan olumlu
etkilenirken, çeflitli di¤er unsurlar taraf›ndan bunun tersine etkiler iflleyebilir.
Bafllang›çta kredi derecelendirmesi yönteminin
her zaman ve yeterince do¤ru sonuç vermedi¤i
tespitini yapt›k ve bunu örneklerle destekledik.
Biraz önce de kurumsal yönetim konusunun bugün ortaya ç›kmad›¤›n›, flirketlerin yaflam çizgisi içinde ve kurumsallaflma sürecinde önemli
yer tuttu¤unu hat›rlad›k. Özellikle ENRON ve
onu izleyen flirket skandallar› derecelendirme
ve klasik denetim mekanizmalar›n›n aranan sonucu tatmin edici boyutta veremedi¤ini gösterdi. Bunun üzerine yine temel ilkeler ve onlara
ne kadar uyuldu¤unu irdeleyen kurumsal yönetim derecelendirmesi gündeme geldi.
Derecelendirme Yöntemi
Kurumsal yönetim ilkeleri konusunda ilk ad›m
‹ngiltere’de Adrian Cadbury taraf›ndan ve Londra Borsas›’nda yaflanan, kurumsal ve bireysel yat›r›mc›lar› yan›lt›c› bilgilendirme olay› üzerine
at›lm›flt›. Bunu izleyerek OECD ve ard›ndan çeflitli ulusal hükümetler kimisi uyulmas› zorunlu,
kimisi gönüllü ilkeler benimsedi. ‹ngiltere’de
"Combined Code", Almanya’da "Cromme" kodu,
Hollanda’da "Tabaksblatt Code" ve di¤er ülkelerde benzeri düzenlemeler kurumsal yönetim kalitesi konusunda kural belirleyici olarak geliflti.
Bütün bu kodlar›n benimsedi¤i, dayand›¤› 4 ilke eflitlik, saydaml›k, hesap verebilirlik ve sorumluluk bafll›klar› alt›nda özetlenebilir. Ülkelerin özelli¤ine, flirketleflmenin, flirketlerde kurumsallaflman›n ulaflt›¤› düzeye ba¤l› olarak bu
kodlar an›lan ilkelere farkl› a¤›rl›k verebiliyor.
Örne¤in kimi ülkelerde hasmane sat›n almalar›n az›nl›k paydafllar›n ç›kar›n› ihlal etmesi ön
plana ç›karken, kimilerinde yönetim kurulu
üyelerinin ve yöneticilerin ücret ve primlerinin
muhasebelefltirme sisteminin ve miktar›n›n paydafllar›n ç›kar›n› zedelemesi ön plana ç›k›yor.
Kurumsal yönetim derecelendirme yöntemleri,
benimsenen ilkelere ve flirketlerin bulundu¤u
ülkenin yukar›da de¤inilen türden özelliklerine
ba¤l› olarak farkl›l›k tafl›yor. Ama tüm ilkeler ve
yöntemler buketi için geçerli olan kurumsal yönetim sistemi yine ayn› dört ilkeye dayan›yor.
Kurumsal yönetimi derecelendirmesi de kredi
derecelendirmesi gibi bu amaçla kurulmufl flirketler taraf›ndan yap›l›yor. Ama bu kez say›ca
bir s›n›rlama yok.
Belli bafll› kurumsal yönetim derecelendirme flirketleri Governance Metrics International (GMI),
Institutional Shareholder Services (ISS) ve Standard and Poors. 2000 y›l›ndan beri münhas›ran
kurumsal yönetim derecelendirmesi yapan ve
halen Türkiye’de Sermaye Piyasas› Kurulu’nda
kay›tl› tek derecelendirme flirketi olan Deminor
Rating S.A. may›s ay›nda ISS taraf›ndan sat›n
al›nd›ktan sonra bu yetki ISS’e devredilmifltir.
Bu flirketler kurumsal yönetim derecelendirmesini kendi gelifltirdikleri metodolojiye göre yap-
ne ba¤l›. fiirkete profesyonel genel müdür atanmas› kurumsallaflman›n as›l unsuru de¤il.
Önemli olan flirkette mülkiyet iliflkisini yönetim
iliflkisinden ay›rmak, yönetimin saydam bir flekilde üretim, iflgücü, finans piyasalar›yla, kamu
ve tüketiciler gibi toplumsal paydafllarla etkileflmesini sa¤lamakt›r. Bu yap›labildi¤i takdirde
flirket sürdürülebilir, sa¤l›kl› ve kãrl› büyüme
flans›n› yakalayacakt›r. Bu süreç içinde belki baz› faaliyet alanlar›ndan çekilecek, belki daralacak, baflka alanlarda büyüyecektir. Önemli olan
piyasalarla ekonomik olarak do¤ru etkileflme
mekanizmalar›n›n yerlefltirilmesi ve mülkiyet
sahiplerinin sermayelerinin yeterli nemay› alabilmesidir.
32
33
YEfi‹L KALEM
PERÇ‹N
Yeni Yasal
maktad›r. GMI, Standard&Poors ve Deminor
derecelendirme sonuçlar›n› 1-10 aras›nda bir
notla de¤erlendirmekte, ISS "Corporate Governance Quotient" ad›n› verdi¤i ve 1-100 aras›nda de¤iflen bir notu benimsemektedir.
Kurumsal yönetim derecelendirmesinin birinci
adresinin flirket yönetimi ve paylar› ne olursa
olsun hissedarlar oldu¤unu daha önce belirtmifltik. Çünkü bu sayede flirketin ekonomide ne
denli sa¤l›kl›, sürdürülebilir bir yap›ya sahip oldu¤u görülecektir. Tabii bu söylenen, kay›t d›fl›nda çal›flan, rekabetçi ortama girmeyi ve orada sürdürülebilir büyümeyi hedeflemeyen, finansal aletlerden yararlanmay›, ortakl›klar kurmay› düflünmeyen flirketler için geçerli de¤ildir.
2 tür derecelendirme yap›lmaktad›r. Bunlardan
yayg›n olan› derecelendirme flirketlerinin kamuya aç›k bilgiyi kurumsal yönetim ilkeleri
do¤rultusunda de¤erlendirerek yap›lan derecelendirmedir. Burada derecelendirmesi yap›lan
flirketlerin herhangi bir talebi yoktur. Onlar kamuya aç›klad›klar› bilgilerin uzman derecelendirme kurulufllar› taraf›ndan herkesçe bilinen ilkelere göre yapt›klar› de¤erlendirmeyle karfl›
karfl›ya kalmaktad›r.
‹kinci olarak flirketlerin talebi üzerine derecelendirme yap›lmaktad›r. Bu kez derecelendirme
flirketi flirketlerin daveti üzerine onlar›n bünyesine girmekte, esas sözleflmeden bafllayarak kurumsal yönetim ilkelerini ilgilendiren tüm özellikleri incelemektedir. Bu kez sonuçta elde edilen derecenin kamuya aç›klanmas› flirket yönetiminin takdirindedir; e¤er derece yeterli bulunmazsa saptanan eksiklerin giderilmesinden sonra egzersiz tekrarlanabilir.
Deminor S.A. bugüne kadar 4 flirketin talebi
üzerine kurumsal yönetim derecelendirmesini
yapm›fl ve aç›klam›fl, bunlar›n ikisi 8/10, biri
7/10, di¤eri 7.5/10 alm›flt›r. Derecelendirme
yap›lan di¤er baz› flirketler sonuçlar› aç›klamam›flt›r. Bu tür derecelendirmenin bedelini flir-
ketler ödemektedir.
Deminor’u bünyesine katm›fl olan ISS ve di¤er
derecelendirme flirketleri kamuya aç›k bilgiden
hareketle derecelendirme yapmaktad›r. Bu derecelendirmelerin müflterisi kurumsal yat›r›mc›lard›r. Kurumsal yat›r›mc›lar belirli abonman
ücretleri ödeyerek bu tür derecelendirme raporlar›na ulaflmaktad›r.
Türk fiirketleri Ne Konumda?
Kurumsal yönetim ve derecelendirme konusu
Türkiye’de Sermaye Piyasas› Kurulu taraf›ndan
düzenlenmifltir. SPK son olarak IMKB bünyesinde bir kurumsal yönetim derecelendirme endeksi kurulmas›n›, SPK ilkelerine göre yap›lacak
derecelendirmede 10 üzerinden 6 alan flirketlerin bu endekse al›nmas›na ve bunlar›n IMKB
kotasyon ücretlerinde yüzde 50 indirim yap›lmas›n› öngörmüfltür. Bu indirim flirketlerin derecelendirme için yapacaklar› giderlerden genellikle daha fazlad›r. Yani flirketler derecelendirme yapt›rd›klar›nda bunun bedelini geri alabilmektedir. Baz› flirketler bu konuda ad›m atmak üzeredir.
Türkiye kurumsal yönetim kalitesi itibariyle çeflitli ülkelerle karfl›laflt›r›ld›¤›nda fevkalade zay›f
durumdad›r. GMI taraf›ndan 23 ülke ile ilgili
olarak yap›lan çal›flma ‹ngiltere’nin birinci s›rada Japonya ile Yunanistan’›n ise en sonda yer
ald›¤›n› göstermifltir. 2002 y›l›ndan beri 5 kez
tekrarlanan derecelendirme çal›flmalar›nda 4
flirket her defas›nda tam not alm›flt›r. Bunlar
Colgate-Palmolive, PepsiCo Inc, Praxair Inc,
Canada BCE Inc.
Türkiye’de bugüne kadar hiçbir flirket tan›mlanm›fl uluslararas› ilkelere veya SPK ilkelerine göre derecelendirmeye baflvurmam›flt›r. Baz› yabanc› bankalar müflterileri aras›nda yer alan bazi flirketlerin kurumsal yönetim kalitesini kamuya aç›k bilgiye dayanarak derecelendirmifltir.
Institute of International Finance Inc. 4 Nisan
2005’de yay›nlad›¤› çal›flma sonuçlar›nda flöyle
demektedir: " Türkiye yak›n zamanlarda d›fla
kapal› ve düflük büyüme h›z›na sahip ülke
statüsünden AB ile daha fazla bütünleflen h›zl›
büyüyen ülke konumuna geçmifltir. Türk flirketleri yat›r›m sermayesi ihtiyac›n› karfl›lamak, artan rekabet ortam›nda büyüme flans›n› de¤erlendirmek istedikleri takdirde kurumsal yönetimi kalitesini iyilefltirmek zorundad›r."
Prof. Dr. Çelik Kurto¤lu, “‹yi fiirket” Dan›flmanl›k Yönetim
Kurulu Baflkan›
Düzenlemeler Ifl›¤›nda
‹ç Denetim
Ali R›za Eflkazan
Ülkemizde yaflanan ekonomik kriz ve kaos ortam› sonras› yolsuzluklardan duyulan rahats›zl›k ve
denetim organizasyonundaki yetersizlikler söz
konusu krizin oluflumunda bu unsurlar›n da etkisinin bulundu¤u kan›s›na neden olmaktad›r. Bu
kan›, kurumsal yönetim ilkelerinin ve bunun paralelinde denetim olgusunun ön plana ç›kt›¤› bir
sürecin bafllamas›na neden olmufltur.
Uluslararas› alanda boy gösteren yolsuzluklar dolay›s› ile NYSE halka aç›k flirketlerin iç kontrol
sisteminin gelifltirilmesini zorunlu hale getiren
yasal düzenlemelerde bulunmufltur. Yeni düzenlemelerin ülkemize yans›mas› ve Avrupa Birli¤i
uyum çal›flmalar› da iç kontrol sistemi ve iç denetime yönelik yasal düzenlemelerin yap›lmas›na destek sa¤lam›flt›r.
‹ç kontrol sistemi ve iç denetim fonksiyonuna yönelik yasal düzenlemelere iliflkin çal›flmalar afla¤›da de¤erlendirilmifltir.
Kamu Mali Yönetiminde De¤iflim
Çal›flmalar›
Kamu kurum ve kurufllar›nda iç kontrol sistemi
ve iç denetim fonksiyonunun yap›land›r›lmas›na iliflkin merkezi uyumlaflt›rma birimi olarak
görev yapmak üzere "‹ç Kontrol Uyumlaflt›rma
Birimi" kurulmas›, iç denetim standartlar›n› belirlemek ve iç denetçilerin çal›flmalar›n› koordine etmek üzere "‹ç Denetim Koordinasyon
Kurulu" oluflturulmas› ve bu Kurula destek hizmetleri vermek üzere bir birim kurulmas› öngörülmüfltür.
Türkiye’de hiçbir flirket
tan›mlanm›fl uluslararas›
iliflkiler veya SPK
ilkelerine göre
derecelendirilmeye
baflvurmam›flt›r.
34
35
PERÇ‹N
PERÇ‹N
Kurumsal Yönetim ‹lkeleri Rehberi ve
Halka Aç›k fiirketler
SPK taraf›ndan yay›nlanan Kurumsal Yönetim ‹lkeleri rehberi içerisinde halka aç›k flirketlerde
denetim komitesi kurulmas› zorunlulu¤u belirtilmifltir. Denetim Komitesinin sorumlulu¤u
"Denetim komitesi, flirketin muhasebe sistemi,
finansal bilgilerin kamuya aç›klanmas›, ba¤›ms›z denetimi ve flirketin iç kontrol sisteminin iflleyiflinin ve etkinli¤inin gözetimini yapar" fleklinde tan›mlanm›flt›r.
Denetim komitesinin flirketin iç kontrol sisteminin iflleyifl ve etkinli¤inden sorumlu olmas› ve iç
denetimin ana görevlerinden birinin de iç kontrol sisteminin etkinli¤inin ve verimlili¤inin de¤erlendirilmesi olmas› nedeni ile iç denetim
fonksiyonu halka aç›k flirketlerde önemli bir
enstrüman haline gelmektedir.
Uluslararas› alandaki
yolsuzluklar›n gerekli
k›ld›¤› yasal düzenlemeler
halka aç›k flirketlerin iç
kontrol sistemlerini de
çal›flt›rmay› zorunlu hale
getiriyor.
Türk Ticaret Kanunu Tasar›s› ve Di¤er
fiirketler
Halka aç›k flirketler d›fl›ndaki di¤er flirketler için
ise yeni Türk Ticaret Kanunu tasar›s› içerisinde
kurumsal yönetim ilkeleri çerçevesinde tüm flirketler için iç denetim fonksiyonun kurulmas›n›n
gereklili¤ine iflaret edilmektedir. Tasar›, "Finansal denetimin belirlenmesi, flirketin ifl ve ifllemlerinin denetlenmesine iliflkin bir iç denetim sisteminin ve bunu yapacak örgütün (bölümün)
gösterilmesidir. fiirket hangi büyüklükte olursa
olsun, flirkette, muhasebeden tamamen ba¤›ms›z, uzmanlardan oluflan, etkin bir iç denetim
örgütüne gereksinim vard›r" ibaresi ile iç denetimin kapsam›n› finansal verilerin denetlenmesi
ile s›n›rland›rmaktad›r.
denetim sistemlerinin etkinli¤ini ve yeterlili¤ini,
bu sistemler ile muhasebe ve raporlama sistemlerinin bu kanun ve ilgili düzenlemeler çerçevesinde iflleyiflini ve üretilen bilgilerin bütünlü¤ünü gözetmekten görevli ve sorumludur.
Dernekler Kanunu
Bankac›l›k Kanunu
Yeni bankac›l›k kanunu içerisinde kurumun etkin denetimini engellemeyecek fleffaf ve aç›k
bir ortakl›k yap›s› ve organizasyon flemas›na sahip olmas› ve konsolide denetimini engelleyici
nitelikte herhangi bir hususun bulunmamas› belirtilmektedir.
Kanunda "‹ç kontrol, risk yönetimi ve iç denetim sistemlerinin ilgili mevzuata uygun olarak
tesis edilmesi, ifllerli¤inin, uygunlu¤unun ve yeterlili¤inin sa¤lanmas›, finansal raporlama sistemlerinin güvence alt›na al›nmas›, banka içindeki yetki ve sorumluluklar›n belirlenmesi yönetim kurulunun sorumlulu¤undad›r" ibaresi ile
iç denetimin önemi ortaya konmaktad›r.
Bankalar›n, yönetim kurullar›nca yönetim kurulunun denetim ve gözetim faaliyetlerinin yerine
getirilmesine yard›mc› olmak üzere denetim komitesi oluflturulmas› öngörülmüfltür. ‹craî görevi
bulunmayan yönetim kurulu üyeleri aras›ndan
oluflturulan denetim komitesi, yönetim kurulu
ad›na bankan›n iç kontrol, risk yönetimi ve iç
Yeni dernekler kanunu ile derne¤in iç denetim
fleklinin tüzük içerisinde belirtilmesi zorunlu
hale gelmifltir. Derneklerde iç denetim yap›lmas›n›n esas oldu¤u genel kurul, yönetim kurulu
veya denetim kurulu taraf›ndan iç denetim yap›labilece¤i gibi, ba¤›ms›z denetim kurulufllar›na da denetim yapt›r›labilece¤i belirtilmifltir.
Sonuç
‹ç denetimin kapsam›n›n sadece finansal yap›
ile iliflkilendirilmesi uluslararas› iç denetim tan›m›, standartlar›, etik kurallar› belirli olmas›na
karfl›n bu konular›n oluflturulmas›na ve gelifltirilmesine yönelik kurullar›n oluflturulmas› ve ilgili tan›mlar›n farkl› düzenlemeler ile yasa ve
yönetmeliklerde yer almas› iç denetimin fonksiyon niteli¤i bir kenara b›rak›larak iç kontrol sistemini de kapsayacak flekilde iç denetim sistemi
olarak tan›mlanmas›, iç denetim kavram›n›n ülkemizde uluslararas› anlam› ile do¤ru olarak
henüz yerleflmedi¤inin bir göstergesidir. Bu durum iç denetimden beklentilerin modern iç de-
netim uygulamalar›nda afl›nmalara neden olacak eski al›flkanl›klar›n sürdürülmesi ve de¤iflimin sadece flekil flart›nda bir de¤iflimden ibaret
kalabilece¤i riskini ortaya koymaktad›r.
• ‹ç denetimin modern anlam› ile ele al›narak,
organizasyon faaliyetlerini gelifltirmek ve katma
de¤er yaratmak amac›n› gütmesi, risk yönetimi,
kontrol ve kurumsal yönetim süreçlerinin etkinli¤ini de¤erlendirmek üzere ba¤›ms›z ve objektif bir güvence ve dan›flmanl›k faaliyeti olarak
yorumlanmas› ile iç denetimden elde edilecek
art› de¤erin daha üst seviyelere tafl›naca¤› tabidir. Bu çerçevede yeni yasal düzenlemelerin
gerekli iyilefltirmeleri zaman içerisinde yap›lmas› gere¤i ortaya ç›kmaktad›r.
Söz konusu yasal düzenlemelerin uygulamaya
sokulmas›; yasal düzenlemelerin d›fl›nda kurumsal yönetim ilkelerinin gere¤i olarak organizasyonlar›n üst yönetimlerinin, yasal zorunluluk hissetmeden, iç kontrol sorumluluklar›n› yerine getirecekleri ve iç denetim fonksiyonunu
"Koruyucu Hekimlik Yap›s›" içerisinde ele al›p
sistemin güvencesi olarak de¤erlendirecekleri
bir ortam›n oluflturulmas›nda kilometre tafl›
olarak yerini alacakt›r.
Ali R›za Eflkazan,
DOSA ‹ç Denetim Hizmetleri Kurucu Orta¤›d›r.
www.dosadenetim.com
[email protected]
Bakanlar Kurulu Karar› ile ‹ç Denetim Koordinasyon Kurulunun Baflkan ve üyeleri atanm›flt›r.
Maliye Bakanl›¤› ve ‹ç Denetim Koordinasyon
Kurulu taraf›ndan çal›flmalar ve ikincil mevzuat
haz›rl›klar› sürdürülmektedir.
Kamu mali yönetimi ve kontrol yasas› ile kamu
iç kontrol sistemi ve iç denetim fonksiyonu tan›mlanm›fl, iç denetçilerin görev ve sorumluluklar› belirlenmifltir. ‹ç kontrol sistemi kamu
idarelerinin malî ifllem ve faaliyetlerine iliflkin
tüm gelir, gider, varl›k ve yükümlülüklerinin
amac›na ve mevzuat›na uygun bir flekilde gerçeklefltirilmesi için uygulanan malî yönetim,
harcama öncesi kontrol ile harcama sonras› iç
denetim faaliyeti fleklinde tan›mlanm›fl dolay›s› ile a¤›rl›kl› olarak mali yap› ile iliflkilendirilmifltir.
‹ç denetim tan›m›nda, uluslararas› iç denetim
tan›m› temel olarak al›nmas›na karfl›n özellikle
risk yönetimi, kurumsal yönetim ve kontrol süreçlerinin etkinli¤inin de¤erlendirilmesinin mali ifllemler ile s›n›rland›r›ld›¤› görülmektedir.
‹lgili yasa çerçevesinde oluflturulan ‹ç Denetim
Koordinasyon Kurulu’nun görevleri aras›nda; iç
denetim ve raporlama standartlar›n›n belirlenmesi, uluslararas› uygulamalar ile uyumlu risk
de¤erlendirmesinin uygulanmas›, iç denetçilerin e¤itim programlar›n›n haz›rlanmas› ve gelifltirilmesi, iç denetçilerin etik kurallar›n›n belirlenmesi ve kalite güvence programlar› kapsam›nda iç denetim birimlerinin durumlar›n› en
az y›lda bir de¤erlendirmesi gibi uluslararas›
standartlarda ifade edilen sorumluluklar yer almaktad›r.
37
36
PARMAK ‹Z‹
PARMAK ‹Z‹
Denetçilerin Bilmesi
Gereken Temel Bilgiler
N. Burak Ünlü
‹ç denetçiler çal›flt›klar› organizasyon içinde artan bir flekilde birden çok iflletim sistemi ile karfl›laflmaktad›rlar. Bu durumda flirketin IT altyap›
maliyetlerini azaltmak için genellikle kurum çap›nda tek bir sisteme sahip olunmas›n› önermektedirler. Ancak, de¤iflik iflletim sistemlerinin konusuna göre farkl› güçlü ve zay›f yönleri bulunmaktad›r. Bir iflletim sisteminin nas›l çal›flt›¤› ve
hangi sistemin hangi amaca yönelik dizayn edildi¤ini bilmek, birden fazla iflletim sistemi kullan›m›n›n IT altyap›s› üzerinde yaratt›¤› maliyetin
gerekli olup olmad›¤› anlamaya yard›mc›d›r.
Bugün kulland›¤›m›z iflletim sistemleri zaman
içinde geliflerek varolmufllard›r. Eskiden iflletim
sistemleri spesifik makinalar için kullan›c›ya özel
olarak gelifltirilmekteydi. Bugün ise birçok amaca hizmet etmenin yan› s›ra IT dünyas›ndaki süregelen de¤iflimlere ve de¤iflik kullan›c›lar›n ihtiyaçlar›na hizmet etmek üzere çok daha esnek bir
yap›dad›rlar.
‹flletim sistemleri 2 bölümden meydana gelmektedir. Birincisi temel girdi/ç›kt› sistemi (BIOS) dedi¤imiz bilgisayara ilk yüklenen k›s›md›r. BIOS
bilgisayar›n donan›m ve yaz›l›m›n› organize ve
kontrol eder, makinalara ifllemleri kontrol etmek
için girdilerin okunmas› ve sonuçlar›n ç›kt›s›n›n
al›nmas› yetene¤ini sa¤lar.
Örne¤in; kullan›c›lar bilginin elde edilece¤i lokasyonu belirleyerek (klavyeden bilgi girifli ile
girdinin okunmas›) girdiyi kontrol edebilirler.
Art›k kullan›c›ya özel
gelifltirilen iflletim
sistemleri yerine, birçok
amaca hizmet veren ve
IT dünyas›ndaki
de¤iflimlere aç›k sistemler
tercih ediliyor.
Ayn› flekilde kullan›c›lar bilginin nerede gösterilece¤i ve muhafaza edilece¤ini belirleyerek (ekranda görüntülenmesi veya bir dosyada saklanmas›) ç›kt›y› da kontrol edebilirler.
‹flletim sistemi, BIOS ile girdi/ç›kt› fonksiyonlar›n›n kontrol edilmesinin yan› s›ra kullan›c› flifresinin do¤rulanmas› ve makina ayarlar›na göre tan›mlanmas› yoluyla bilgisayara ve networke eriflimi de yönetir. Kullan›c›lar networke ba¤l› bir
bilgisayara girdiklerinde networke ba¤lanmadan
önce eriflim yetkisi aç›s›ndan kontrol edilirler.
Ayr›ca; kullan›c›lar›n ba¤lant›lar›n›n kayd›n›n tutulmas› amac›yla aktivitelerin loglar› tutulur.
‹flletim sistemleri ayn› zamanda yaz›l›mlar›n
düzgün bir flekilde yüklenmesi ve donan›m hatalar›n›n düzeltilmesinden sorumludurlar. Bilgisayar›n donan›m ba¤lant›lar›n›n yerinde oldu¤unu
belirledi¤i sistem testinin tamamlanmas›n›n ard›ndan iflletim sistemi çal›flmaya bafllar ve yedekleme (backup) gibi temel hizmetleri sa¤lar.
Bir iflletim sistemini ne kadar çok insan kullan›yorsa, zay›fl›klar›n›n keflfedilmesi ve sald›r›ya
maruz kalma olas›l›¤› da o kadar yüksektir. Bu
yüzden az say›da kullan›c›n›n amaçlar›na hizmet eden mainframe gibi iflletim sistemlerinin
zarar görme olas›l›¤› daha düflüktür. Mainframe
bilgisayarlarda çok daha az say›da virüsle karfl›lafl›lmas›n›n nedeni de budur.
Günümüzde bir çok kurum güvenlik duvar› (firewall) kullanarak internet üzerinden bilgisayarlara ulaflan bilgileri filtrelemekte ve böylece d›fl
kaynakl› sald›r›lara karfl› sistemlerini savunmaktad›r. Ancak d›fl sistemlere aç›k bilgisayarlar ve
ba¤lant›lar, kurum için güvenlik problemi yaratmaya devam etmektedirler.
Denetimde Dikkate Al›nmas› Gereken
Hususlar
‹flletim sistemleri etkin ifl faaliyetlerinin temel yap› tafllar›d›rlar. Tüm iflletim sistemlerinin faydalar› yan›nda risklerinin de olmas› nedeniyle IT bölümleri, s›k s›k hangi iflletim sistemlerinin veya
sistem kombinasyonlar›n›n kurum için faydal› ol-
du¤u konusunda denetçilerin görüfllerine baflvurmaktad›rlar.
Öncelikle say›m yap›larak bir yaz›l›m ve donan›m envanteri ç›kar›lmas›, kurumda kullan›lan
bilgisayar say›s› ve tiplerinin belirlenmesine yard›mc› olacakt›r. Ayr›ca;
• yüklenmifl donan›m, kullan›lan iflletim sistemi,
birden fazla iflletim sistemi ile çal›flan bilgisayar
say›s›n›n belirlenmesine,
• kullan›mdaki donan›m›n spesifik iflletim sistemlerine uygunlu¤unun incelenmesine,
• gelecekteki denetim inceleme ve önerileri için
iç denetçiler ile IT bölümlerine bilgi sa¤lanmas›na yard›mc› olacakt›r.
Elde edilen bilgiler, çal›flanlar›n bilgisayarlar›ndaki uygun olmayan yaz›l›mlar›n belirlenmesini
sa¤layabilir. Örne¤in; Windows XP ortam›nda
Windows 98 yaz›l›m› gibi veya MP3 dosyalar› ve
filmler gibi kurumca kullan›m› onaylanmam›fl
uygulamalar tespit edilebilir.
Say›ma ilave olarak, IT yöneticilerinin sistem
kullan›m›n› maksimize edip etmedi¤inin tespiti
için iç denetçilerce iflletim sisteminin fonksiyonelli¤i incelenmelidir.
Bunun için öncelikle IT bölümlerinin iflletim sisteminin kontrol de¤erlerini kontrol edip etmedikleri belirlenmelidir. Kurumdaki tüm masaüstü ve
dizüstü bilgisayarlar, flifrenin uzunlu¤u, sona erme tarihi ve tarihçesi vb. ayn› eriflim kontrol de¤erlerine sahip olmal›d›r. Ayr›ca, kontrol de¤erlerinin sadece bu konuda yetkili personel taraf›ndan de¤ifltirilebildi¤inden emin olunmal›d›r.
‹kinci olarak, aktivite loglar›n›n uygun bir flekilde
korundu¤u ve izlendi¤i kontrol edilmelidir. Loglar, iflletim sistemine karfl› kim ve nelerin güvenlik tehditi oluflturdu¤unu tan›mlamak amac›yla
kullan›l›rlar. Aktivite loglar› olmadan güvenlik sald›r›lar›n› izlemek imkans›zd›r ve
kurumun problemin çözümü için harcad›¤› çabalara mani olacakt›r. Denetçiler,
loglar›n uygunca kullan›ld›¤›n›, sadece
yetkili personelce ulafl›labildi¤ini ve problemleri incelemek için gerekli bilginin kay›t edilip edilmedi¤ini incelemelidirler.
Loglarda ve log raporlar›ndaki bilgiler, IT
yöneticileri ve denetçiler için çok faydal›d›r Log raporlar›nda, bilgisayar›n ba¤lant›
süresi, kullan›c› tan›mlama bilgisi, eriflilen
uygulamalar vb. log bilgilerinin detaylar›
bulunmaktad›r. Ne kadar çok bilgi kaydedilirse neler oldu¤unu anlamak da o kadar
kolay olur. Ancak; kaydedilen bilgi say›s›
ço¤ald›kça loglar›n dolmas› ve üzerlerine
tekrar yaz›lmas› h›zlan›r. Dolay›s›yla; ihtiyaç duyulan bilginin miktar›, hard diskte log dosyas›n›n kaplad›¤› alan ve logun kullan›lma alanlar› aras›nda çok yak›n bir iliflki mevcuttur.
Üçüncü olarak, denetçiler denetimlerinde veri
analiz yaz›l›mlar› kullanabilirler. Yaz›l›m sayesinde elde edilen bilgiler filtrelenerek bilgi miktar›
azalt›labilir. Ancak filtreyi yanl›fl kullanmak denetim sonuçlar›n› olumsuz etkileyebilece¤inden
denetçilerce filtrenin uygunlu¤u incelenmelidir.
Dördüncü olarak, denetçilerce yedeklemenin
(bakcup) etkinli¤i gözden geçirilmelidir. Ço¤u
kurumda merkezi yedekleme sistemleri bulunurken baz› kurumlarda çal›flanlar›n kendi yedeklemelerini gerçeklefltirmelerine müsaade edilmektedir. Çal›flanlar›n kendi yedeklemelerini oluflturmalar› güvenlik riski tafl›maktad›r. Çünkü, yedek
dosyalara eriflim yetkisi bulunan çal›flanlar de¤erli baz› bilgileri silebilirler. Ayr›ca; baz› de¤erli bilgiler ise yetkisiz personele veya kurum d›fl›
kiflilere verilebilir.
Son olarak, yeni iflletim sistemlerinin sat›n al›nma aflamas›nda, denetçiler sistemin maliyet analizini gerçeklefltirebilir ve mevcut yaz›l›mlar›n
yeni iflletim sisteminde kullan›labilirli¤ini de¤erlendirebilirler.
Denetçiler, farkl› iflletim sistemlerinin faaliyet
hedeflerini karfl›lay›p karfl›lamad›¤›n›, kurumun
iflletim sistemlerini güvenli, etkin ve verimli kullan›p kullanmad›¤›n› de¤erlendirmelidirler.
Ayr›ca; denetçiler bir iflletim sisteminden di¤erine geçifl aflamas›nda IT bölümleriyle birlikte çal›flmal›d›rlar. Böylece riskler ve f›rsatlar konusunda analiz gerçeklefltirip, önerileri ile kuruma faydal› olabilirler.
IT Audit Vol.8’den al›nan makaleyi dilimize N.Burak Ünlü
çevirmifltir.
‹flletim Sistemleri:
38
39
PARMAK ‹Z‹
PARMAK ‹Z‹
Aldatma Sanat›
Kevin Mitnick ad›n› özellikle internet, güvenlik,
hacking, internet korsanl›¤› gibi konulara merakl› olan herkes duymufltur. 90l› y›llarda
ABD’de özellikle telekom firmalar›na vermifl oldu¤u milyonlarca dolarl›k (?) zarardan dolay›
y›llarca gözetim alt›nda tutuldu. Daha sonra da
flartl› tahliye edildi.
Gözetim alt›nda tutuldu¤u 4 seneyi aflk›n süre
boyunca FBI onu ne ile suçlayaca¤›na bir türlü
karar veremedi. Sorun FBI’in önünde düzinelerce seçenek olmas› de¤il; tam tersi ne ile suçlayacaklar›n› bilemiyor olmalar› idi. Tamam, sonuçta ma¤dur olan birileri vard› ama o ma¤duriyete giden süreçte 1 kifli ya da kiflilerin ne kadar suçlu olabilece¤i konusunda FBI’›n da kafas› kar›flm›fl görünüyordu.
Bir baflka deyiflle Mitnick’in suçu, yasalarda ya
da düzenlemelerde ad› geçmeyen, düflünülmemifl olan süreç parçac›klar›n›, bilgi k›r›nt›lar›n›
kullanmak idi.
Mitnick 2003 y›l›nda gözetim süresini de doldurduktan sonra güvenlik konusunda çal›flmaya
bafllad›. 2002 ve 2005 y›llar›nda ise yaflam›fl oldu¤u deneyimlerini paylaflt›¤› 2 kitap yay›nlad›.
Bu 2 kitaptan ilki Aldatma Sanat› ad›yla geçti¤imiz haftalarda ODTÜ Yay›nlar› taraf›ndan dilimize çevrilerek yay›nland›.
Bu kitapta anlat›lan hikayeler (ki baz›lar›na burada yer verece¤im) güvenlik ve denetim konular›nda çal›flan ya da hizmet veren her kifli ya da
kuruluflun özellikle dikkat etmesini gerektiren
türden dersler içermekte.
Bu öyküleri okudu¤unuzda ve inceledi¤inizde
flu temel sonuçlarla karfl›laflacaks›n›z:
l Güvenlik kavram›n›n en zay›f halkas› insand›r
– bilgisayar, sistem, altyap›, vb. de¤il,
l Bu zay›f halkay› güvenlik konusundaki prosedürler izler,
l Güvenlik duvarlar›n›n afl›lmas› için karfl›n›zdakinin üst düzey, bilgisayar bilgisine sahip insanlar olmas› gerekti¤ini varsaymay›n.
fiimdi baz› örnek öykülere bakal›m:
10 Milyon Dolar› Nas›l
Buharlaflt›r›rs›n›z?
Bay X bir bankaya yaz›l›m destek hizmeti veren
bir firman›n uzman çal›flanlar›ndan biri. Bu ban-
ka baz› özel durumlarda kullanmak üzere bir
EFT ofisine sahip. Bu ofise bankan›n yetkili birimlerinden telefon ile ulafl›l›yor ve gönderici –
al›c› hesap bilgileri – mebla¤ ve günün flifresi
bilgileri verilerek, EFT/Swift ifllemleri yap›lmas›
sa¤lan›yor.
Bu yap› bütünüyle dahili çal›fl›yor. D›flar›dan birisinin böyle bir mekanizman›n oldu¤unu bilmesi olas› de¤il. Ofisin telefonlar› sadece bu
mekanizmay› bilen personel taraf›ndan edinilmifl durumda. O nedenle birisi ofisi arad›¤›nda
aranan personel bir para transferi ifllemi için bir
banka personelinin arad›¤›n› biliyor. Günün flifresi sürecin en zay›f halkas›.
Bay X, bu bankaya gidegele günlük iflleyifli gözlüyor ve süreci ö¤reniyor. Süreçte kullan›lan
teknik kelimeleri de kavr›yor. 2 temel bilgiye sahip olmas› gerekti¤ini keflfediyor. Birincisi bir
birimler aras› takas numaras›, ikincisi de günün
flifresi.
Hangisini daha kolay elde ediyor tahmin edin!
Takas numaras› de¤il; günün flifresi! Nas›l m›?
Bay X keflfediyor ki, EFT ofisinde ifllem yapmakla görevli personel, her gün de¤iflen bu flifreleri
sürekli ak›llar›nda tutmak yerine daha kolay bir
yol bulmufllar: Günün flifresini küçük bir ka¤›da
yaz›p, bilgisayar ekranlar›n›n bir kenar›na ilifltirmek!
Bay X, olay günü önce ofise giderek, çal›flanlar›n yan›ndan geçerken ekrandaki o küçük ka¤›tlar› ar›yor ve bir ekranda bu bilgiyi buluyor.
Daha sonra banka d›fl›na ç›k›p bir telefon kulübesinden, sanki banka personeliymifl gibi EFT
ofisini ar›yor ve telefona ç›kan görevliyle kriptik
konuflmas›n› yap›yor. Günün flifresi, ifllem bilgileri. Son aflamada görevli takas numaras›n› sorunca afallayan Bay X (daha önce böyle bir bilginin de istendi¤ini bilmiyor) telefonda bunu
belli etmiyor ve kontrol etmek amac›yla daha
sonra aramak üzere telefonu kapat›yor.
Bay X derhal di¤er bölümü aray›p, sanki EFT
ofisinden ar›yormufl gibi, takas numaras›n› soruyor ve bilgiyi elde ettikten sonra, EFT ofisini aray›p eksik bilgiyi de tamaml›yor ve banka 10 milyon dolar›n üstündeki bir paray›, Bay X’in bu ifl
için daha önce açm›fl oldu¤u ‹sviçre hesab›na
aktar›yor.
Firewall yaz›l›m› m› dediniz? Web sitesinin tüm
deliklerinin kapat›lmas› m›? fiifrelerin küçük
harf, büyük harf, say›sal karakter içermesi zorunlulu¤u mu? Bu öyküde bunlar›n hiçbiri yok!
Hiçbirine gerek de yok; önleyici bir fonksiyonalitesi de!
2 kritik nokta var. Birincisi sanki banka personeliymifl gibi aran›p da takas numaras› alma sürecinde, aranan kiflinin, arayan›n gerçektende
banka personeli olup olmad›¤›n› teyit etmeden
bu bilgiyi kendisine veriyor olmas›. ‹kincisi de
günlük flifrelerin ekranlarda alenen yaz›l› duruyor olmas›.
Bir baflka örne¤i inceleyelim:
Teknoloji Korsanl›¤› (Tereya¤› – K›l Hadisesi)
Bay Y, yeni kalp stenti cihaz› üzerinde çal›flan
mühendislerden bir tanesini hafta sonu birgün
ö¤leden sonra ar›yor ve kendisini flirketin teknoloji bölümünden bir teknisyen olarak tan›tarak
ciddi bir sorun oldu¤unu söylüyor: "Sunucu cihazlar›ndaki disklerde bir sorun var; son yede¤e
dönmek 1-2 gün alacak, bu sürede e¤er sisteme
ulaflmak isterseniz bilgileri göremeyeceksiniz –
merak etmeyin".
Zamana karfl› çal›flan mühendis küplere biniyor
ve 1-2 saat içinde sistemin haz›r olmas›n›, evden eriflerek çal›flaca¤›n› söylüyor. Teknisyen
k›l›¤›ndan Bay Y; yapabilecek bir fleyinin olmad›¤›n› ancak kendisine öncelik vererek süreyi
biraz k›saltabilece¤ini söylüyor. Köpüren mühendis, teknisyenin ad›n› ve amirinin ad›n› soruyor ve onu flikayet etmekle tehdit ediyor. Bay
Y bunun üzerine öncelik iflini h›zland›rabilece¤ini, ancak bunun için flifresini kendisine söylemesi gerekti¤ini söylüyor.
Mühendisin flüphelenip de duraksad›¤›n› görünce, güvenini kaybetmemek için kendisi ile ilgili
bir bilgi veriyor: Güya flirket evraklar›n› kar›flt›rarak mühendisin ifle girerken doldurdu¤u formda belirtti¤i flifreyi buluyor ve ona söylüyor.
Arayan kiflinin gerçekten de flirketin bir teknisyeni oldu¤una ikna olan mühendis, o anki kullan›c› kodunu ve flifresini söylüyor.
Bingo
Bay Y; flifre bilgisini kullanarak yeni stent cihaz›
konusundaki tüm dosyalar› flirketin bilgisayar›ndan Çin’de bulunan bir sunucu bilgisayara internet üzerinden aktar›yor ve bu ifl için kendisi tu-
Tanol Türko¤lu
40
41
PARMAK ‹Z‹
tan kiflilere Çin’deki bilgisayar›n flifresini söylüyor. Bay Y’yi kiralayanlar; kalp stenti konusunda
çal›flan o firman›n en büyük rakibi ve flirketin ne
tür yenilikler üzerinde çal›flt›klar› konusunda bilgi sahibi olmak istiyor. Daha ne olsun!
fiimdi gelelim, Bay Y’nin mühendise gelene dek
geçirdi¤i aflamalara. Önce flirketin resepsiyonunu aray›p, kalp stenti konusunda çal›flan ekipten ad›n›n S ile bafllayan birisiyle görüflmesi gerekti¤ini ama ad›n› unuttu¤unu beyan eden birisi k›l›¤›na giriyor. Söylenen isimlerden birisine
ba¤lan›yor. Bu kez kendisini muhaberat biriminden bir çal›flan olarak tan›tarak, proje ekibine bir paket geldi¤ini, bunu kime göndermesi
gerekti¤ini soruyor. Böylece ekip bafl›n›n ad›n›
ve telefonunu ö¤renmifl oluyor.
O kiflinin telefonuna ulaflt›¤›nda, kiflinin tatilde
oldu¤unu ancak yard›mc›s› ile irtibat kurulabilece¤ini ö¤rendi¤i bir karfl›lama mesaj› sayesinde yard›mc›s›na ba¤lan›yor. Ona proje yöneticisi olan kiflinin ad›n› vererek, projeyle ilgili bir
rapor haz›rlam›fl oldu¤unu, de¤erlendirme için
tüm proje üyelerine göndermesi gerekti¤ini ama
isimlerini bilmedi¤ini söyleyerek, kendisinden
yard›mc› olabilece¤i proje yöneticisinin ona
söylemifl oldu¤unu belirtiyor.
Konudan flüphelenmeyen yard›mc› tüm üyelerin isim ve eriflim bilgilerini Bay Y’ye e-posta ile
gönderebilece¤ini söylüyor. Bu iyi bir çözüm
de¤il; çünkü Bay Y’nin firma ad›na kay›tl› bir eposta adresi yok. Onun yerine faksla almay› tercih etti¤ini söylüyor. Yard›mc› fakslayabilece¤ini belirtince de ofisteki faks›n hizmet d›fl› ›fl›¤›n›n yand›¤›n› biraz sonra arayarak baflka bir
faks numaras› verece¤ini söylüyor.
fiirketin resepsiyonunu ar›yor ve kendisini bir
baflka departmanda çal›flan ancak faks cihaz›
bozulan bir personel olarak tan›t›p, kendisine
bir faks gelece¤ini, resepsiyondaki faks cihaz›na
gelebilir mi diye izin istiyor ve numaray› ar›yor.
Stent projesinde yard›mc›y› aray›p bu numaray›
ona veriyor ve bilgilerin fakslanmas›n› sa¤l›yor.
Daha sonra resepsiyonu tekrar aray›p, faksla
gelmifl bilgileri bir proje kapsam›nda çal›flmakta
olduklar› bir dan›flmana ulaflt›rmas› gerekti¤ini
ancak dan›flman›n çok meflgül oldu¤u için faksla gönderilmesini istedi¤ini belirterek, gelen
fakslar› kendisine verece¤i dan›flman›n faks numaras›na fakslamas›n› istiyor. Yard›msever resepsiyon görevlisi de bunu aynen yap›yor.
Verdi¤i numara bu tür telefon, posta kutusu,
faks hizmetleri veren (Mail Boxes Etc türünde)
bir yer. Oraya gidip, fakslar› al›yor. Böylece
projede çal›flan kiflilerin isim ve eriflim bilgilerine eriflmifl oluyor.
Bay Y daha sonra flirketin teknoloji destek birimini aray›p, yeni laptopu ile evden ofise ba¤lanmas› gereken bir mühendis olarak kendisini
tan›t›yor ve bilgisayar› bunun için nas›l kuraca¤›n› soruyor. Derdi eriflim telefon numaras›n›
ö¤renmek. Bunu da ald›ktan sonra, genelde
unutulan bir konu olan, sistem kuruluflunda etkisiz hale getirilmeyen anonim kullan›c› ile sisteme girifl modelini deniyor ve baflar› ile sisteme
erifliyor.
Eriflti¤i sistemde, her ne kadar flifrelenmifl de olsa bir dosyada duran flifre bilgilerini al›yor ve
sözlük modeli türünden bir flifre k›rma operasyonu ile flifreleri k›rmaya çal›fl›yor. Böylece hikayenin bafl›ndaki mühendisin "annesinin ad›n›
vermifl oldu¤u" ilk flifreye erifliyor.
Bunu da mühendisi ikna etmede kullanarak, geçerli flifresini ö¤reniyor. Yeni laptoptan bu bilgileri kullanarak sisteme eriflip, proje bilgileri
Çin’e kopyalamay› baflar›yor.
Görüldü¤ü üzere burada da teknolojiden çok,
kiflilerin telefon görüflmelerindeki sesleri flirket
personeli ya da kendini tan›tt›¤› kifli oldu¤unu
sorgulamadan kabul etmelerinin yaratt›¤› riskler
a¤›rl›kta. Teknoloji aç›s›ndan en büyük iki aç›k
nokta; sisteme anonim kullan›c› kodu ile giriflin
kapat›lmas›n›n unutulmufl olmas› ile flifre dosyas›n›n aç›kta duruyor olmas›.
Bir basit hikaye daha anlatarak bitirmek istiyorum:
Geçerken U¤ray›p Al›vermek
ABD’de telefon firmalar›n›n periyodik olarak
yay›nlad›klar› bir kitapç›k var. Dahili kullan›m
için. Bu kitapç›ktaki pek çok faydal› bilgilerin
yan›s›ra, ücretsiz telefon görüflmesi yapmada
kullan›lacak telefon numaralar› da var. Özellikle teknisyenler bir hat tamirat› yaparken, bu numaralardan bir tanesini aray›p çevir sesi alarak
bir baflka numaray› aramada kullan›yorlar.
Bir baflka deyiflle bu kitapç›k de¤erli bir hazine.
Peki nas›l ele geçirilecek?
Bay Z firman›n ufak bir flubesini arayarak, kendisini flirketin o kitapç›¤› basmaktan sorumlu biriminden arad›¤›n›, yeni kitapç›¤›n haz›r oldu¤unu ancak da¤›t›mda bir sorun oldu¤unu, yak›n bölgede olduklar› için de o flubenin kopyas›n›n yolu üzerinde oldu¤undan matbaadan bir
“Güvenlik dedi¤imizde
belli bir paradigma çerçevesinde tedbirler al›yoruz
ama o paradigmaya dahil
olmayan noktalardan
aç›klar vererek
gol yiyebiliyoruz.”
personelin akflam eve dönerken b›rakabilece¤ini, ancak prosedür gere¤i eski kopyan›n iade
edilmesi gerekti¤inden, akflam ofisi kapat›rlarken, eski kopyay› binan›n giriflinin yan›nda bir
yere b›rakabilirlerse personelin onu al›p yerine
yenisini b›rakabilece¤ini söylüyor.
Akflam geç bir saatte Bay Z olay yerine geliyor.
Önce flüphelenilmifl de pusuda beklenip beklenmedi¤ini anlamak için etraf› kolaçan ediyor.
Kimselerin olmad›¤›n› görünce kap›ya gidiyor
ve yerdeki kitapç›¤› al›yor.
Toplum Mühendislerine Dikkat
Kevin Mitnick’in toplum mühendisli¤i diye tan›mlad›¤› bu kavram üzerinde derinlemesine
düflünmek gerekir. Güvenlik dedi¤imizde belli
bir paradigma çerçevesinde tedbirler al›yoruz
ama o paradigmaya dahil olmayan noktalardan
gol yiyebiliyoruz.
Örne¤in hangi güvenlik prosedüründe kendisini
telefonda banka personeli olarak tan›tarak size
bir fley soran ya da sizden bir bilgi isteyen kiflilere karfl› nas›l davran›laca¤› tan›mlanm›fl durumda?
Askerlikte malum, parolay› söyleyemeyen komutan dahi olsa nöbetçinin ona geçit vermeme
hakk› var. Peki telefondaki ses, kendisini çal›flt›¤›n›z flirketin en düzeyinden bir kifli olarak tan›tarak sizden bir talepte bulunursa ne yapacaks›n›z?
Ya da gizli oldu¤u aflikar bilgileri tan›mlamak
ve bilinmesini sa¤lamak konusunda bir aç›k yok
ama örne¤in bir firman›n bir flubesinin müdürünün ismi bilgisi gizli mi; de¤il mi?
Internetin oldu¤u bugünün dünyas›nda bu bilgilerin pek ço¤una eriflmek için yukar›da verdi¤im türden örneklerdeki telefon görüflmelerini
yapmaya gerek bile yok. Aç›n firman›n internet
sitesini büyük bir olas›l›kla bu tür k›rtasiye bilgilerin ço¤u orada. Müflteriye kaliteli hizmet sunabilmek kapsam›nda.
Bu yanl›fl m›? De¤il. Ancak bir firman›n personelin; birilerinin en aleni bilgilerden bir kaç tanesini yanyana getirerek, firmaya zarar verebilecek fleyler yapabilece¤ini ve bunun için kendilerini (fark›nda bile olmadan) mafla olarak
kullanabileceklerini bilmelerini sa¤lamak ne
yaz›k ki unutulan bir olgu.
Yukar›daki türden örnekler, gerek koruyan gerekse de tipik sald›ran taraf›ndan üzerinde sözlü olarak mutab›k kal›nm›fl, "oyun d›fl› alanlar".
Bir bankadan on milyon dolar çalmak isteyen
hiçbir h›rs›z, yukar›daki modeli icra etmeyi düflünmez (ya da en az›ndan düflünmezdi). O yüzden de bir banka on milyon dolar›n› korumak
için bu tür sald›r›lara karfl› tedbir almaz (en
az›ndan almazd›).
O halde neler yap›lmal›; k›saca özetleyelim:
1- Güvenlik süreçleri tasarlan›rken, en zay›f
halkan›n insan oldu¤u unutulmamal›
2- Güvenlik prosedürleri, bu tür "toplum mühendisli¤i" olgular›n› da dikkate alarak tasarlanmal› ve ilgili personele bilginin önemi anlat›lmal›
3- Güvenli¤in tek bir birim ya da sistemin sorumlulu¤unda bir olgu olmad›¤›, organizasyondaki herkesin küçük ya da büyük bir sorumlulu¤u oldu¤u belletilmeli
4- Organizasyonlar aras›ndaki bilgi al›fl verifli,
ayn› sektörde çal›flan organizasyonlar›n aralar›ndaki rekabetten ba¤›ms›z olarak ve o alana
tafl›nmadan sa¤l›kl› bir flekilde gerçeklefltirilmeli. Burada önemli olan fleyin, olay›n kimin bafl›na geldi¤i de¤il, olay›n kendisidir.
Bunlar, malum, bir günde halledilemeyecek türden, organizasyon kültürüne yerlefltirilmesi gereken olgular. Bu süreç içinde ise en az›ndan flu
iki basit noktaya dikkat edilmesini sa¤lamak,
bariz risklerin gerçekleflmesini engelleyebilir:
1- Yüzyüze olmayan bir yolla size eriflen kiflinin
kimli¤ini teyit etmeden onu beyan etti¤i kifli
olarak kabul etmeyin.
2- Sizden istenen bilginin de¤erli ya da de¤ersiz
olmas› kullan›laca¤› alanla ilgilidir; o nedenle
her bilginin de¤erli oldu¤unu unutmay›n. Her
bilgiyi herkesle paylaflmay›n.
Tanol Türko¤lu, fiekerbank T.A.fi.’de Teknoloji ve
Organizasyondan sorumlu genel müdür yard›mc›s›d›r
([email protected])
PARMAK ‹Z‹
42
43
MÜHÜR
Ç‹ZG‹ ÖTES‹
‹yi Bir Mentor Olmak–3
10. YIL Üzerine...
Hande Yaflargil
‹yi bir mentor olmak yaz› dizimizin ilk ikisine
mentorun sahip olmas› beklenen bilgi, tecrübe
ve becerilerinden bahsetmifltik. Sonuncusunda
ise bu kez kiflisel özelliklerinden bahsedece¤im. Do¤ru ifade edebilmek için bu kiflisel özelliklerin "kiflilik özellikleri" olmad›klar›n› ve zamanla geliflebilecek özellikler oldu¤unu vurgulamakta fayda var. Gene de do¤al pek ço¤unu
do¤ufltan getirdi¤imiz ve erken çocukluk yafllar›m›zda da flekillendirip yerlefltirdi¤imiz kiflilik
özeliklerimizin afla¤›da bahsedece¤im bu özelliklerle ba¤lant›s› var elbette.
Sab›r, mentorluk denince ilk akla gelen kavramlardan biridir. Çünkü birinin geliflimini ve hedeflere ulaflt›¤›n› gözlemek, izlemek zaman al›r,
üstelik bu zaman ço¤unlukla mentorun arzu etti¤inden daha uzundur. Mentorun sakin ve anlay›fll› kal›p, görece daha genç ve tecrübesiz arkadafl›n›n baflka gündelik öncelikleri olmas›na
sayg› göstermesi gerekir. Ayr›ca bu iliflkide ö¤renen rolünde olan kifli genellikle kendine yapmas› gereken yat›r›ma mentorunun arzu etti¤i
kadar zaman ay›ramayabilir ve çaba gösteremeyebilir, bu noktada da ö¤renmesine katk›da bulunma sorumlulu¤u tafl›d›¤›n›z biri oldu¤u için
kendinizi kötü hissedebilirsiniz ancak sonuçta
bu sürecin mentora de¤il ö¤renene ait oldu¤unu hat›rda tutup, olumsuz etkilenmemek ciddi
bir sab›r gerektirmektedir. Ama belki de en zoru, geliflimini ve baflar›s›n› istedi¤iniz bir kiflinin
hata yapaca¤›n› hissedip müdahale etmeden sab›rla bu hatay› yapmas›n› görmek ve bu hatadan ö¤renme zaman› gelene kadar beklemek
olmal›. Bazen "bir musibet bin nasihattan iyidir"
sözünü hat›rlamakta fayda var.
Özgüven, bir mentorun sahip olmas› gereken
en önemli özelliklerden bir di¤eridir. Mentorluk
görüflmelerinde kendini açmas›, iyi ve kötü ay›-
‹yi bir mentor
olman›n yolu; sab›r,
güven ve pozitif
davran›fl kal›plar›n›
benimsemekten geçiyor.
r›m› yapmadan tüm tecrübelerinden ve güçlü
oldu¤u kadar zay›f yönlerinden de bahsetmesi
gereken tek kifli ö¤renen de¤ildir. Mentorun da
kendisiyle ilgili iyi hissetmeyebilece¤i özelliklerinden bahsedebilmesi için kendine güveninin
yüksek olmas› gerekir. Ayr›ca sonuçta kendisi
de bir insan olan mentor, mentorluk yapt›¤› süre boyunca da pek çok hata yapabilir. Üstelik
mentorluk yapt›¤› kifli bu hatalar› gördü¤ünde
ac›mas›zca elefltirebilir. Bu elefltiri karfl›s›nda
kendine güvenini kaybeden bir mentorun ö¤renen üzerindeki etki gücü düfler, tam da bu nedenle mentorun daha iliflkinin bafl›nda hiç hata
yapmayan ve herfleyi bilen biri görüntüsünden
uzak durmas› flartt›r.
Pozitif olmak, son y›llarda en çok duydu¤umuz
telkinlerden biri. Evet bu özellik belki de kiflilik
özelliklerimize yak›n olan›. Hepimiz hayata
farkl› gözlerle bak›yoruz ve endifle düzeyimiz
yüksekken yada güven duygumuz nispeten
temkin üzerine kuruluyken, hayata toz pembe
gözlüklerle bakmam›z mümkün olmayabiliyor.
Ancak mentorluk rolümüzü yerine getirirken
çok ihtiyaç duydu¤umuz bu özelli¤in etkileri
ö¤renen üzerinde çok güçlüdür. Kendisini kötü, baflar›s›z hisseden yada motivasyonu düflük
birine yaklafl›m›m›z›n pozitif olmas›, onun kendine inanmad›¤› bir anda bizim ona inan›yor
olmam›z mutlaka karfl›m›zdaki kifliye ihtiyaç
duydu¤u cesarete ve güce ulaflmas›nda faydal›
olacakt›r.
Mentorlu¤un karakteristiklerinden bahsetti¤imiz bu 3 say›m›zda özetle; mentorun ciddi
bir bilgi ve tecrübesinin olmas›n›n ve belli
becerileri zorlanmadan ve bilinçli bir flekilde
kullan›yor olmas› gerekti¤ini söyledik. Ve tüm
bunlar› yapabiliyor olmas›n›n yetmedi¤ini,
mentor olmak için belli kiflisel özelliklerinin olmas› gerekti¤ini vurgulad›k. Bu yaz› dizisinin
amac› formel yada informel her türlü mentorluk
projesinden bahsedilen her yerde sorulan ilk 2
soruya cevap vermekti. " 1. Herkes mentor olabilir mi? 2.Kimler mentor olabilir?" Umar›m
cevaplar›m mentorlukla ilgili paylafl›mlar›m›z›
daha samimi ve derin bir düzeye tafl›yabilmek
için yeterli olmufltur.
Hande Yaflargil, Mentor Executive Coaching flirketinin
kurucusudur.
Türkiye’de uluslararas› standartlarda mesleki geliflim ve
paylafl›m platformu oluflturmak, mesle¤imizle ilgili de¤iflimi ve gelece¤i yönetmek için
meslektafllar›m›z›n ulusal ve
uluslararas› düzeyde mesleki
örgütlenmesini sa¤lamak amac›yla 19 Eylül 1995 tarihinde
Türkiye ‹ç Denetim Enstitüsü’nün kuruluflunu gerçeklefltirdi¤imizde,Ülkemizde uzun
y›llard›r varolan bir meslek
grubunun profesyonel kimli¤ine ça¤dafl ve küresel anlamda
farkl› boyutlar kazand›racak
bir süreç bafll›yordu.
On y›l sonra bugün, iç denetçiler olarak ulusal ve uluslararas› kurumsal kimli¤i olan,
yüzlerce uluslararas› sertifikal›
profesyoneli bulunan ba¤›ms›z
ve özerk bir meslek örgütüne
sahip olman›n gururunu yafl›yoruz.
2001 y›l›ndan itibaren bankac›l›k, sermaye piyasalar›, kamu ve sivil toplum
alanlar›nda iç denetimle ilgili düzenlemeler yap›ld›, yap›l›yor. Dünyada oldu¤u gibi Ülkemizde de iç denetim mesle¤inin önemi giderek art›yor.
Bu geliflmelerden çok önce mesleki örgütlenmemizi tamamlam›fl olmam›z, ulusal s›n›rlar›n
ötesinde küresel bir vizyonla mesle¤in ve meslek mensubu olarak bizlerin geliflimi için önemli mesafeler katetmemizi sa¤lam›flt›r.
Gelece¤i anlamak, gelecekte sakl› f›rsatlar› görebilmek, gelecekte varolabilmek, di¤er bir ifadeyle "De¤iflimi Yönetmek" için bafllatt›¤›m›z
mesleki örgütlenme süreci, meslekte paylaflarak
büyümenin kat›l›mla ilerlemenin baflar› öyküsü
olarak amac›na ulaflm›flt›r.
Türkiye ‹ç Denetim Enstitüsü, ülkemizde bir
meslek grubunu uluslararas› nitelikte sertifikasyona kavuflturan ilk mesleki kurulufltur.
Türkiye ‹ç Denetim Enstitüsü, kuruluflundan bu
yana ba¤›ms›z ve özerk kalmay› baflarabilmifltir.
Bu özellikleri ile Türkiye ‹ç Denetim Enstitü-
sü’nün varl›¤›n›; mesle¤imiz, meslektafllar›m›z
ve iflletmelerimizin gelece¤i için bir güvence
olarak görebiliriz.
Türkiye ‹ç Denetim Enstitüsü’nün bugün sundu¤u hizmet ve ürünler, ça¤dafl ve küresel de¤iflim
gereklerine h›zla uyumun bir ifadesi olarak
meslek ve meslek mensubunu gelifltiren, iflletmelerimiz için yönetim ve iyi yönetiflim güvencesidir.
On y›ll›k kurumsal geçmifli ile Türkiye ‹ç Denetim Enstitüsü, mesle¤in ülkemizdeki geliflimi ve
gelece¤i için vizyoner; öngörülen vizyonun gerçeklefltirilmesi için misyoner olabilecek yegane
kurum oldu¤unu kan›tlam›flt›r.
Bu giriflimimizi destekleyen ve gerçekleflmesinde katk› ve eme¤i olan kifli ve kurulufllara teflekkürlerimi sunuyor, gelece¤in tasarlanmas›nda
rol ve sorumluluk üstlenecek olanlara da baflar›lar diliyorum.
Ali Kamil Uzun
Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan›
[email protected]
Ali Kamil Uzun
45
44
YAKIN PLAN
AYRAÇ
Ahmet Ery›lmaz
Sosyal psikolojinin kenarda kalm›fl üvey konular› vard›r. Üzerlerinde popüler olanlar kadar
konuflulmaz. Bunlar›, kutudan ç›kan fakat
montajdan sonra elde kalan bir parça gibi gönülsüzce usulen saklar›z. ‹flte bu "fazlal›k" konulardan bir tanesine "yarat›c› ayk›r›l›k" diyorlar. Bu, deneysel psikolojinin temkinli diliyle
çok anlafl›l›r aç›klanamayan "her insan›n farkl›l›¤›"d›r. Ka¤›tç›bafl›, buna "bireyselli¤ini koruma ve kendine has kimli¤ini sürdürme ›srar›"
diyor (‹nsan ve ‹nsanlar, 10.bas›m, sh.86). En
önemli sonucu, sosyal ortama uyma davran›fl›nda yol açt›¤› çatlaklard›r. Ama yararlan›labilir yanlar› da var; hem ruha iyi geliyor, hem
afla¤›da okuyaca¤›n›z gibi yönetim bilimine
hizmet edebilir.
Parçalar› sonunda birlefltirece¤iz; flimdi devam
edelim. Konvansiyonel yönetim teknikleri; organizasyonel davran›fllar› çözmek ister, de¤ifltirmek ister, kullan›r, yolunu keser. Ekoller farkl› baksa da, art niyet ayn›d›r: ak›lc› bir amaca,
ak›lc› yöntemlerle varmaya çal›flmak. Onun
için k›sa yol davran›fllardan geçer. Yönetim sistemlerinin bir yaz›l›mdan fark› yoktur. Hedefler, arka plandaki iflletim dilidir. Stratejiler de
ara yüzdür. ‹liflkilendirmeyi baflar›rsan›z oyunu
görürsünüz. Biraz az ya da fazla, hep ara yüzlerle oynan›r. Oyuncakl›, süslü bir ekran "satt›r›r"! Çok mant›kl›, çok "bugün", çok ucuz. Kendi kendine düflünen yaz›l›m henüz yok. En karmafl›¤› bile, olas›l›klarla daha çok oynanm›fl›d›r. Yaz›l›mla çok fazla oynayamay›z, yoksa
bütün sistemi bozar›z. Dürüst olal›m; yönetim
tekniklerini psikolojik ve etik de¤erlerle fazla
suland›r›rsak etkilili¤i azalt›r›z.
Öte yandan yönetim, yaz›l›m benzeri k›s›tlar›yla mutlak ak›lc› stratejiyi yükselen de¤er yaparak insana yabanc›laflmaya yol açmaz m›? Çünkü yönetimin matematik formüllerini laboratuvar ortam›nda de¤il sosyal ortamlarda uyguluyoruz. Sosyal ortamlar sanal gerçektir. Onlar›n
içimize yans›mas› da... Düflünce sistemimiz,
de¤erlerimiz, beklentilerimiz ço¤unlukla
ödünçtür. Kesip yap›flt›rmad›r. Yapayd›r. Bu
sarmal›n içindeki düflünceler de bir tür hapistedir. O zaman flöyle bir tuhaf sonuç ç›k›yor: biz,
bir mant›k formülünü mant›¤› kendinden menkul bir ortama oturtmaya çal›fl›yoruz. Bu iflleyifli sa¤lamak için düflüncelerimizin içinden kullan›ma haz›r kal›plar› kullan›yoruz: "ay›plar",
"do¤rular, yanl›fllar"... Yöneticiler aleminde biraz gezinelim, örnek olsun. Tan›d›¤›m bir renkli sima koca ifl yaflam›n› sald›rganl›¤›n›n arkas›na s›¤›n›p kendini savunmakla geçirdi. Bir baflkas› övünmekten ve kendini aldatmaktan burnunun ucunu görmedi. Birisi ince dengeleri gözetmekten, korkakl›¤›ndan y›llarca yanl›fl insanlara göz yumdu. Bir di¤eri beceriksizli¤ini
fedakarl›k olarak alg›lad›. Kimisi bir hesap makinesi gibi davran›fllar›n› ka¤›t üzerinde planlad› ve iliflkilerinde bofluna istedi¤i sonucu bekledi. Birisi herkese ayn› tarzda davrand›, sonunda kendi benzerlerinden oluflan bir çemberin içinde kald›.
‹liflkileri yönetmek bu kadar zorsa o zaman oynayabilece¤imiz baflka bir alan var: derin içimiz. Bunu, çok bilinçli olarak yönetimi yeniden kavramlaflt›rma ad›na söylüyorum. Bilinen
davran›fl kal›plar›n› , yeri, zaman› ve miktar›n›
seçerek reddetmek bireyselli¤i korumak say›l›r.
‹flte bu yarat›c› ayk›r›l›kt›r. Hayal edin o içsel
özgürlü¤ün tad›n›. O cesareti gösterdi¤iniz zaman kendinize duydu¤unuz sayg›y›. Bir fleyi
yapmak zorunda olmad›¤›n›z› düflünüp yapmamay› seçti¤inizi. Zor bir karar› ald›ktan sonraki
netlik ve hafiflik duygusunu. Oyunu oynamak,
bir fley ispat etmek zorunda olmamay›. Refleks
olarak yalan söyleyip an› kurtarma zorunda olmamay› ve bunun üzerinde düflünmeye devam
etmemeyi. Sevmedi¤iniz bir insanla içinizi tüketmeden ifl gere¤i iyi çal›flmay› baflard›¤›n›z›.
Baflar›s›z bir insan›n yükünü s›rt›n›zda tafl›madan kurtulma karar›n›n do¤rulu¤unu ve hemen
o anda içinizde hissetti¤inizi. Ba¤›ran bir üste
sakin ve do¤ru cevap verdi¤iniz anki kendinize
bak›fl›n›z›. "Bilmiyorum", "anlamad›m" diyebildi¤iniz anki sadeli¤i, kendinize karfl› dürüstlü¤ü...
Yönetim, mühendislik mant›¤›yla ilerleyemez.
Ç›k›fl yolu çok yak›n›n›zda asl›nda!
Ahmet Ery›lmaz, AE E¤itim & Dan›flmanl›k’›n kurucusudur.
Hedef Alliance
Holding’te ‹ç Denetim
Uygulamalar›
Y›lmaz Akçeken
Hedef Alliance Holding ‹ç Denetim departman›n›n kurulufl tarihi, çal›flan say›s›, organizasyonel yap›s›, idari ve fonksiyonel olarak hangi organa ba¤l› çal›flmakta oldu¤u gibi konularda
neler söyleyebilirsiniz?
‹ç Denetime iliflkin,1997 y›l›nda Holding bünyesinde Mali ‹fller ve Denetim Direktörlü¤ü kuruldu.01.01.2000 tarihinde Hedef Grubu denetim tüzü¤ü kabul edildi ve Yönetim Kuruluna
ba¤l› olacak flekilde, Denetim Direktörlü¤ü
oluflturuldu, 2000 y›l›nda atanan denetçiler ile
Denetim direktörlü¤ü inflas› tamamland›. fiu an
Denetim ekibinde, 1 direktör, 7 Uzman Denetçi, 4 yard›mc› denetçi, 1 asistan, 1 stajyer olmak
üzere 14 kifli çal›flmaktad›r. Denetim Direktörü,
Yönetim Kuruluna ba¤l›d›r, ayr›ca iki Yönetim
kurulu üyesi ve Denetim Direktöründen oluflan
"Denetim Komitesi" oluflturulmufltur. Denetim
Komitesi, ‹cra faaliyetlerini takip etmekte, Grubun iç kontrol ve risk yönetimi sistemlerinin etkin bir flekilde iflledi¤ini gözetmektedir. Komite
ayr›ca, ‹crac› yöneticilerin iç denetim raporlar›ndaki bulgu ile önerileri zaman›nda dikkate
ald›klar›n› ve yerine getirmekle yükümlü olduklar› aksiyon planlar›na uygun hareket ettiklerini
‹cra Baflkan› vas›tas›yla kontrol alt›nda tutmakla
yükümlüdür.
Holdinge ba¤l› flirketlerinizin kendi bünyelerinde ayr› birer iç denetim departman› bulunmakta m›d›r?
fiirketlerimizin Bünyesinde ayr›ca iç denetim
departman› bulunmamaktad›r.
Holding bünyesinde ne tür denetimler gerçeklefltirilmektedir, holding ve flirketler için departman›n›zca ne tür hizmetler verilmektedir?
Denetim alanlar›
•
•
•
•
•
•
•
•
Yönetim becerileri
Sat›n alma ve sat›fl
Müflteri hizmetleri
Sat›fl hizmetleri
Mali ifller
‹nsan kaynaklar›
Bilgi ifllem
‹yi saklama ve Da¤›t›m Kurallar›
Verilen Hizmetler
Denetim Direktörlü¤ü, Holding Yönetim Kurulu’nun saptad›¤› genel ilkeler
çerçevesinde, kararlaflt›r›lan
denetim takvimine göre,
Grup kurumlar›n›n denetimini gerçeklefltirmektedir. Bu
faaliyetini yaparken, Grup
hizmetlerinin gelifltirilip etkinlefltirilmesini, verimlilik ve
aktivitesinin artt›r›lmas›n›
sa¤lamay› amaçlamaktad›r.
Denetim Direktörlü¤ümüz,
Grup flirketlerinin hem Grubun Temel ‹lkelerine ve di¤er
yaz›l› yönetmeliklerine, hem
de genel yasa, yönetmelik ve
di¤er mevzuata uygun olarak
çal›flmas›n› sa¤lamak amaHedef Alliance ‹ç Denetim Yöneticisi Y›lmaz Akçeken
Yarat›c› Ayk›r›l›k
46
47
YAKIN PLAN
c›yla inceleme ve araflt›rmalar yaparak gerekli
görüfl ve önerileri haz›rlay›p, Grup Yönetim Kurulu Baflkan›na sunar.
Grubun Merkez ve Ba¤l› fiirketler ve flubeler ile
Holdinge ba¤l› tüzel kiflili¤i haiz flirketlerin idari,
mali mevzuat ve teknik ifllemleri ve personeli
hakk›nda denetim, inceleme, araflt›rma ve soruflturma yapar.
Denetçilerden gelen raporlar incelenerek, eksiklerin giderilmesini sa¤lamak için, ilgili mercilere
gönderir, ilgililerce al›nacak tedbirleri ve yap›lacak ifllemlerin sonuçlar›n› izler ve al›nmas› gereken tedbirlerle ilgili tekliflerde bulunur.
Grubun insan varl›klar› ile maddi varl›klar›n›n
her türlü zarara karfl› korunup korunmad›¤›n›n
ve faaliyetlerin saptanm›fl esaslarla uyum içinde
yürütülüp
yürütülmedi¤inin
araflt›r›lmas›
yapar.
fiirketlerde risk odakl› denetim ve bilgi teknolojisi denetimleri yap›lmakta m›d›r? Bu tür uzmanl›k isteyen iç denetim hizmetleri için bünyenizde iç denetçi istihdam ediyor musunuz?
Sizlerinde bildi¤i üzere Risk, kelime anlam› olarak" organizasyonlar›n hedeflerine ulaflmak için
gerçeklefltirdi¤i faaliyetler sonucunda ortaya ç›kan ve iflletmenin devam›n› sa¤lamak için etkili
bir flekilde yönetilmesi gereken belirsizlikleri
ifade eder."
Bu tan›m çerçevesinde riskin tafl›d›¤› anlama
göre,
• Baflar› için risk kaç›n›lmaz bir unsurdur.
• Risklerin zaman›nda dikkate al›nmas› önemlidir.
• Belirsizlik önemli bir faktördür.
Hedef Holding iç Denetim birimi Standartlar›n›
risk odakl› olarak belirlemifltir, Beklentilerin belirlenmesine müteakip, ‹cra Kurulu ile birlikte
Risklerin de¤erlendirilmesi yap›lmakta, bu de¤erlendirmelere göre Denetim plan› haz›rlanmakta ve fiirket Denetimleri gerçeklefltirilmektedir. fiirketlerde Risk kategorilerinin belirlenmesi, ‹lgili kontrollerin belirlenmesi, Oluflan Risklerin De¤erlendirilmesi (olasal›k, etki vs.) sa¤lanmaktad›r.
Bilgi Teknolojilerinin uzmanl›k isteyen denetimlerini, Bilgi-‹fllem Direktörümüze ba¤l› birimler gerçeklefltirmektedir.
‹stihdam edece¤iniz iç denetçilerde ne tür nitelikler aramaktas›n›z?
‹ç denetim ekibimiz, Denetim faaliyetleri ile birlikte, ortaya ç›kan Bulgulara istinaden ‹lgili Birimlere Rehberlik ve E¤itim hizmeti de vermek-
tedir. Bu nedenle Denetim ekibimizde afla¤›daki nitelikleri aramaktay›z.
• Yeniliklere aç›k
• Sorun ve çat›flma çözme kabiliyeti olan
• Tak›m çal›flmas›na yatk›n, ifl birli¤i kurabilen
• ‹nsan iliflkilerinde baflar›l›
• ‹kna kabiliyeti yüksek
• Kendini ve baflkalar›n› de¤erlendirebilen
• Güvenilir
• Kendine güvenen (Özgüven sahibi)
• Empati yetene¤ine sahip
• Aç›k iletiflim kurabilen (iyi bir dinleyici
ve gözlemci)
• Pozitif bak›fl aç›s›na sahip
• Analiz yetene¤ine sahip
• Mücadeleci
• Sorumluluk alabilen
• Baflkalar›n› gelifltirebilen
• Rehberlik edebilen
• Müflteri odakl›,
• iletiflim, problem ve çat›flma çözme,
planlama becerileri geliflmifl,
• de¤iflime ve ö¤renmeye aç›k,
• resmin bütününü görebilen,
• e¤itebilen,
• tak›m çal›flmas›na yatk›n.
Departman›n›zda denetim için özel bir yaz›l›m
kullan›yor musunuz?
Haz›rlam›fl oldu¤umuz Denetim Standartlar›na
destek olmak amac›yla, Bilgi Sistemleri ile birlikte gelifltirilen bir program kullan›yoruz. Ayr›ca yararland›¤›m›z bir özel yaz›l›m yok.
Meslekle ilgili gerek ulusal gerekse de uluslararas› geliflme ve uygulamalar› nas›l takip ediyorsunuz?
Özellikle T‹DE’nin bu konudaki yay›mlar›n› takip ediyoruz. Bunun d›fl›nda internet ve bas›n
arac›l›¤› ile geliflmeleri takip ediyoruz.
‹ç denetçilerin mesleki geliflimlerini sürdürmeleri ve kendilerini gelifltirmeleri için neler yapmaktas›n›z?
Düzenli Toplant›lar ve E¤itimler yap›lmaktad›r,
Yap›lan toplant›larda Mesleki geliflimleri için
bilgi aktar›mlar›nda bulunulmaktad›r, ‹ç Denetçilerimizin kendilerini gelifltirmesi için ald›klar›
e¤itimlerden baz›lar›; denetçi davran›fllar›, Toplant› yönetimi, Zaman yönetimi, Çat›flma yönetimi, ‹letiflim becerileri, Empati, Etkili rapor yazma vbg.
CIA veya benzeri sertifikalara sahip iç denetçileriniz var m›d›r?
SMMM. Olan Denetçilerimiz var, CIA. Veya
benzeri Sertifikalar için denetçilerimizde duyarl›l›k oluflmufltur, önümüzdeki süreçte denetim
ekibimizden CIA. Sertifikas› alacaklar olabilir.
Holding bünyesinde gerçekleflen flirket birleflme ve sat›n al›mlar›nda departman›n›z›n fonksiyonu nedir?
Direktörlü¤ümüze Bu flekilde bir talep gelmemifltir, ‹stenildi¤inde gerekli ‹nceleme ve raporlamalar yap›labilir, bu tür faaliyetleri Yönetim
Kurulu yürütmekte ve Mali ‹fller Direktörlü¤ünden destek almaktad›r.
Ülkemizde reel sektörde iç denetimin uluslararas› standartlarda geliflimi için sizce neler
yap›lmal›d›r?
Öncelikle Tüm ‹ç Denetçiler, Uluslararas› Standartlarda yetkinliklere sahip olmal›d›r. Reel Sektör, Uluslararas› Boyutlarda oldu¤u gibi, ‹Ç DENET‹M‹ "Mesleki Otorite" olarak kabul etmelidir.
Türkiye’de ‹ç Denetim Fonksiyonlar›ndaki Genel
Durum de¤ifltirilmelidir, ‹ç Denetçilerin fiirket
Polisi gibi alg›lanmalar› engellenmelidir.
Türkiye ‹ç Denetim Enstitüsü’nün faaliyetleri
hakk›ndaki görüflleriniz nelerdir?
‹Ç DENET‹M Mesle¤inin etkin bir flekilde uygulanmas› ve yayg›nlaflt›r›lmas›na yönelik çabalar›n›z için teflekkür ederim. Ülkemizde giderek
önem kazanan ‹ç Denetim anlay›fl›n›n sizlerin
katk›lar›yla, gerçek anlam›na ulaflaca¤›n› ifade
etmek isterim. Yap›lan Mesleki Toplant›lar ve
E¤itim çal›flmalar›, çok önemli bir bofllu¤u doldurmaktad›r. Ulusal Kimlik ve Uluslararas› ‹liflkilere yönelik çal›flmalar›n artt›r›lmas› gerekti¤i
düflünmekteyim. Çabalar›n›z sayesinde, Yak›n
bir zamanda üye say›s› artacak ve bu üyelerin
ço¤u da Uluslar aras› Sertifika sahibi olacakt›r.
‹ç Denetim dergisi hakk›ndaki görüfl ve önerileriniz nelerdir?
‹ç Denetimin Mesle¤inin ve TiDE’nin tan›t›m›na
hizmet eden Derginizin daha s›kl›kla yay›mlanmas› gerekti¤ini düflünüyorum, yay›mlanm›fl say›lar›n meslekdafllar aras› bilgi ve deneyim paylafl›m› ad›na önemli katk› sa¤lad›¤›n› ifade edebilirim.
Y›lmaz Akçeken
Hedef Alliance Holding, Denetim Direktörü
YAKIN PLAN
48
49
YAKIN PLAN
‹ç Denetim Koordinasyon
Kurulu
Dr. Hasan Gül
‹ç Denetim Koordinasyon Kurulu, 10.12.2003
tarih ve 5018 say›l› Kamu Mali Yönetimi ve
Kontrol Kanununun 66 nc› maddesi hükmünce
Maliye Bakanl›¤›na ba¤l› olarak kurulmufltur.
Kurul, kamu idarelerinin iç denetim sistemlerini
izlemek, ba¤›ms›z ve tarafs›z bir organ olarak
hizmet vermek üzere; iç denetime iliflkin standart ve yöntemleri, meslek ahlak kurallar›n›, denetim rehberlerini haz›rlamak ve gelifltirmek,
risk de¤erlendirme yöntemlerini gelifltirmek,
e¤itim programlar›n› haz›rlamak, iç denetim raporlar›n› de¤erlendirmek, kamu idarelerinde
çal›flacak iç denetçi say›lar›n› belirlemek gibi
görevleri yerine getirmek amac›yla oluflturulmufltur. Kurul, iyi iç denetim uygulamalar›n›
tespit edip yaymaya çal›flarak, denetim ve yönetimin kamu idarelerinde sürekli geliflmesine yard›mc› olacakt›r.
Kanunun verdi¤i yetkiye göre Kurul, genel ve
özel bütçe kapsam›nda yer alan kamu idareleri,
sosyal güvenlik kurumlar›, belediye ve il özel
idarelerinde oluflturulacak iç denetim sistemlerine iliflkin düzenleme ve izleme görevini yerine getirecektir.
Yedi kifliden oluflan Kurulun üyeleri 30.06.2004
tarih ve 25508 say›l› Resmi Gazetede yay›nlanan 01.03.2004 tarih ve 2004/7449 say›l› Bakanlar Kurulu Karar› ile atanarak göreve bafllam›fl bulunmaktad›r. Ancak Kurul üyelerinin asli
görevleri de devam etmektedir.
Kurul üyeleri ve önerildikleri Bakanl›klar ile asli görevleri flöyledir:
Kurul baflkan› ve üç üyesinin denetim alan›nda
kamuda uzun y›llar tecrübesi ve deneyimi mevcuttur. Prof Dr. Hasan TÜRED‹ 20 y›ld›r çeflitli
fakülte ve yüksek okullarda denetim dersleri
okutmufl ve halen de okutmaya devam etmektedir. Ayr›ca denetim alan›nda doktora ö¤rencileri yetifltirmifltir. Prof Dr. Hasan TÜRED‹ ve
Ömer DUMAN’›n denetimle ilgili yay›nlanm›fl
denetim kitaplar› mevcuttur. Erhan USTA ve
Burhanettin AKTAfi 5018 say›l› Kanunun haz›rl›k aflamas›ndan bafllayarak çal›flmalar içerisinde yer alm›fllard›r. Kurulun sekreterya görevini
Maliye Bakanl›¤› Bütçe ve Mali Kontrol Genel
Müdürlü¤ü Daire Baflkan› H.Abdullah KAYA
yürütmektedir.
Kurul baflkan› ve üyelerine, en fazla dört toplant› için toplant› bafl›na ücret ödenmektedir.
Ancak, Kurul ihtiyaca göre ayda dörtten fazla
toplanarak çal›flmalar›n› Maliye Bakanl›¤›nda
sürdürmektedir. Toplant›lar›na çeflitli uzmanlar›
da davet ederek bilgi ald›¤› gibi, iç denetimi kamu idarelerine tan›tmak amac›yla tan›t›m toplant›lar› da düzenlemektedir. Bu ba¤lamda ilk
toplant›s›n› 29 Temmuz 2005 tarihinde Trabzon’da Karadeniz Teknik Üniversitesi ile iflbirli¤i halinde gerçeklefltirmifltir.
Kurul; Kurulun Çal›flma Usul ve Esaslar›, ‹ç Denetçi Adaylar›n›n E¤itimi ve ‹ç Denetçilerin Çal›flma Esas ve Usulleri olmak üzere, üç adet yönetmelik tasla¤›n› haz›rlam›fl ve yay›mlanmas›
aflamas›na getirmifltir. Bu yönetmeliklerin yay›mlanmas›ndan sonra Kurul, iç denetimle ilgili
Ad› ve Soyad›
Görevi
Kurumu
Asli Görevi
Dr. Hasan GÜL
Prof. Dr. Hasan TÜRED‹
Baflkan
Üye
Maliye Bakanl›¤›
Baflbakanl›k
Erhan USTA
Üye
Devlet Bakanl›¤›
Burhanettin AKTAfi
Üye
Devlet Bakanl›¤›
Bütçe ve Mali Kontrol Genel Müdürü
Karadeniz Teknik Üniversitesi
‹.‹ B.Fakültesi Ö¤retim Üyesi
Y›ll›k Programlar ve
Konjonktür Baflbakan Yard›mc›s›
De¤erlendirme Genel Müdürü (DPT)
Müsteflar Yard›mc›s›
(Hazine Müsteflarl›¤›)
‹çiflleri Bakanl›¤›
Müsteflar Yard›mc›s›
Muhasebat Genel Müdürü
K›r›kkale Üniversitesi
‹.‹.B.Fakültesi Ö¤retim Üyesi
Üye
Zekeriya fiARBAK
Ömer DUMAN
Prof Dr. Ekrem YILDIZ
Üye
Üye
20’nin üzerinde düzenleme yapmak amac›yla
çal›flmalar›n› sürdürmektedir.
Kurulun hedefi; uluslararas› standartlarla uyumlu olarak, iç denetim yönetmeliklerini, standart,
rehber ve meslek ahlak kurallar› ve gerekli di¤er düzenlemeleri 2006 y›l›na haz›rlamakt›r. Bu
süreçte iç denetçilerin özlük ve kadro durumlar›n› oluflturmak amac›yla teflkilat kanunlar›,
devlet memurlar› kanunu, harc›rah kanunu ve
kadro kanunu gibi ilgili kanunlarda yap›lmas›
gereken de¤ifliklikleri tamamlamakt›r. Kurul kal›c› bir flekilde görevlerini sürdürebilmesi için;
bina, teflkilatlanma, yeterli imkanlar› edinme gibi hususlar› 2005 sonuna kadar tamamlamay›
hedeflenmektedir. Ayr›ca iç denetime yönelik
bilgisayar destekli denetim tekniklerinin bafllang›çtan itibaren kullan›labilmesi için gerekli haz›rl›klar› da sürdürmekte ve bu amaçla Avrupa
Birli¤i fonlar›ndan yararlanarak bilgisayar alt
yap›s› kurma ihalesine ç›km›fl bulunmaktad›r.
AB Komisyonu Türkiye Delegasyonu sayfas›nda
yay›nlanmakta olan ihale ilan›na yerli ve yabanc› firma ve kifliler 07.10.2005 tarihine kadar
tekli verebilecektir.
Kurul, ‹ç Denetim Enstitüsünün (T‹DE - IIA) düzenlemeleriyle her yönüyle paralel bir iç denetim faaliyetini kamu idarelerinde uygulamaya
koymay› hedeflemektedir. Bu amaçla, flekil ve
içeri¤i Kurul taraf›ndan belirlenecek bir sertifikay› iç denetçilere e¤itim sonunda vermeyi
planlamaktad›r. Bu sertifika, her üç y›lda bir iç
denetçinin e¤itim ve çal›flma sonuçlar›na göre
alaca¤› puana ba¤l› olarak derecelendirmeye
tabi tutulacakt›r. Bir üst derece, iç denetçiye
maafl ve çal›flma imkanlar›nda iyileflme ve geliflme olarak yans›t›lacakt›r. Yönetmeliklerin mevcut fleklinde, iç denetçiler, CIA gibi uluslararas›
geçerlili¤i olan sertifikalar› almaya teflvik edilmektedir. ‹lerleyen süreçte bu tür uluslararas›
sertifikalar› almalar›nda daha aktif yönlendirme
yap›labilir.
Kurul, üslendi¤i rol ve sorumluluklar› yerine
getirirken, kamu idarelerinin üst yöneticilerin ilgisine ve konuyu sahiplenmesine ihtiyaç duymaktad›r. ‹ç denetçi esas itibariyle yönetime
her yönü ile güvence ve dan›flmanl›k sa¤layarak
sistemin sa¤l›kl› ifllemesinde yard›mc› rol oynayacakt›r. ‹ç denetim, bireysel ifllemler yerine,
sisteme ve onun gelifltirilmesine odakland›¤›ndan, yönetimin kalitesindeki geliflme tüm ilgili
taraflara ve vatandafllara olumlu katk› sa¤layacakt›r. Denetimde yap›lan sistem esasl› ve risk
bazl› bu de¤iflimin, kamu oyunun ve ilgili taraflar›n ilgisi, takibi ve kabulü olmadan baflar›lmas› mümkün görülmemektedir. Bu aç›dan ülkemizdeki 10 y›l› aflk›n özel sektör deneyimine
sahip T‹DE ile Kurulun e¤itim baflta olmak üzere her alandaki iflbirli¤i çok önem arz etmektedir. ‹lerleyen süreçte T‹DE’nin kamu iç denetçileri flubesini ANKARA’da Kurulla birlikte açmas› düflünülebilir. Böylelikle iç denetime
yönelik seminer ve sempozyumlar› Ankara’da
birlikte düzenleme imkan›na kavuflulmufl
olacakt›r.
Ülkemizde kamu uygulamalar›nda sürdürülen,
hata arama amaçl›, ifllem bazl› ve kiflilere odaklanan denetim anlay›fl›n›n, risk odakl› iç denetime dönüfltürülmesi süreci, uzun ve ›srarl›
çal›flmalar› gerektirmektedir. ‹ç denetim özü
itibariyle, risk yönetimi, iç kontrol ve yönetim
süreçlerinin bir bütün olarak denetlenmesiyle ilgilenir. Ancak, denetimin yap›labilmesi için
gerekli olan günümüzün bu yönetim anlay›fllar›
ve kavramlar›n›n kamu yöneticileri taraf›ndan
da bilinip sahiplenilmesine ihtiyaç vard›r. Bu
aç›dan kavramlar›n tan›t›m›na yönelik çal›flmalara öncelikli ihtiyaç duyulmaktad›r. ‹ç
denetçiler, bafllang›çta bu kavramlar› idarelere
tan›tmak ve yerlefltirmekte öncü ve tan›t›c› roller üstleneceklerdir. Bu nedenle ilk iç denetçilerin meslekleri alan›nda yeterlilikleri ve iç
denetimi benimsemeleri çok önem arz etmektedir. T‹DE ile iç denetim kaynaklar›n›n ve
dokümanlar›n›n paylafl›lmas› ve e¤itici deste¤i
sa¤lanmas› bu aç›dan yararl› olacakt›r.
Dr. Hasan Gül, ‹ç Denetim Koordinasyon Kurulu Baflkan›
YAKIN PLAN
50
51
YANSIMA
YANSIMA
Türkiye Ombudsman›
R. Bülent Tarhan
Ça¤dafl Ombudsman kurumunun Osmanl› Devleti’ndeki fieyhül-‹slaml›k kurumundan esinlendi¤i bilinmektedir. 1709 y›l›nda Ruslara yenilerek Osmanl› Devletine s›¤›nan ve ülkesini uzaktan yönetmek zorunda kalan ‹sveç Kral› XII nci
fiarl, fieyhül-‹slaml›k ve Bafl Kad›l›k (Kad›asker/Kazasker) kurumlar›ndan etkilenerek memurlar›n› ve idari ifllemleri denetlemek amac›yla bir büro kurdurmufl ve bu büronun yöneticisine de ‹sveççe’de (Kamu Hakemi" anlam›na
gelen "Ombudsman" denilmifltir. Ombudsman
kurumunun; Divan-› Mezalim, (Haks›zl›klar Divan›) Dar’ül Adl, (Adalet Evi) Yak›nmalar Evi gibi daha eski örneklerine ise Emevi, Abbasi,
Memlük ve Selçuklu gibi ‹slam Devletlerinde
rastlanmaktad›r. (Kaynak: ‹brahim ALWAHAB,
The Swedish Institution of Ombudsman)
‹sveç sisteminden etkilenerek Ombudsman› uygulayan ilk ülke, 1919’da Finlandiya olmufltur.
Finlandiya’y› 1955’de Danimarka, 1962’de
Norveç ve Yeni Zelanda takip etmifl; 1971’de
Viyana’da toplanan ‹nsan Haklar› üzerine Avrupa Parlamentosu Konferans› 25 üye ülkeyi Ombudsman bürolar› kurmaya davet etmifltir. Avrupa Birli¤i Parlamenterler Meclisi’nin 1615 say›l› tavsiye karar› da bu yöndedir. Yolsuzlu¤a Karfl› Lima Beyannamesi baflta olmak üzere birçok
uluslararas› belgede Ombudsman kurumunun
inflas› önerilmektedir. Transparency International’in (Uluslararas› Saydaml›k Örgütü) Roma
Tap›na¤› konseptindeki Ulusal Güvenlik Sistemi
isimli modelinin sütunlar›ndan birini de Ombudsman oluflturmaktad›r.
Ça¤dafl dünyada önemli bir uygulama alan› bulan Ombudsman kurumuyla ilgili olarak cumhuriyet dönemindeki ilk ciddi çal›flma, 57’nci
hükümet döneminde yap›lm›fl; 57’nci Hükümetin Adalet Bakanl›¤›, Kamu Denetçili¤i Kurumu
Kanun Tasar›s›’n› haz›rlam›flt›r. Mevcut
hükümet döneminde an›lan tasar›, daha
da gelifltirilerek "Türkiye Halk Denetçili¤i
Kurumu Kanun Tasar›s›" ad› alt›nda kamuoyunun görüfl ve de¤erlendirmelerine sunulmufltur.
Afla¤›da bu yasa tasar›s› ile ilgili kiflisel düflünce ve de¤erlendirmelerimize yer verilmifltir:
Ay›rt edici 2 temel özelli¤i "anayasal ba¤›ms›zl›k" ve '"çok genifl bir araflt›rma yapma hakk›" olan Ombudsman. Di¤er belirleyici özellikleri dikkate al›narak yap›lan
bir tan›mlamaya göre:
"Parlamento veya yasa koyucu taraf›ndan
atanan, atand›¤› kuruma karfl› sorumlu
olan; ancak ba¤›ms›z olarak hareket eden;
kamu kurumlar›, çal›flanlar› ve sorumlular›n›n çeflitli eylem ve ifllemlerinden flikayetçi kiflilerin baflvurular›n› kabul ederek,
kendi bafl›na soruflturma yapma, flikayetin
gerekçesini düzeltici ifllem önerme ve rapor haz›rlama yetkisine sahip özel bir büro veya görevlidir."
mun siyasetten tümüyle ar›nd›r›lmas›, Ombudsman seçiminin mümkün oldu¤unca siyasi tercihlerin d›fl›nda tutulmas›d›r. Bu amaçla ve genifl bir mutabakat›n sa¤lanabilmesi için evrensel
uygulamalarda Ombudsman'›n seçimi için gerekli say›, genellikle hükümetin kurulmas› için
gerekli olan say›n›n üstünde tutulmaktad›r. Her
ne kadar seçilme yeter say›s›n›n yükseltilmesi,
Ombudsman'›n seçimini zorlaflt›rsa da, bu kurumun sa¤l›kl› ve kal›c› olabilmesi için bir zorunluluk olarak görülmektedir. Örne¤in ‹spanya'da an›lan kurum 1978 Anayasas›yla öngörülmesine ra¤men, Kanunu 1981 y›l›nda ç›kart›labilmifl; ilk Ombudsman da 1983 y›l›nda seçilebilmifltir. Ancak bu gecikmelere katlan›lmas› sonucunda, gerçekten sayg›n ve ifllevsel bir yap›
kurulabilmifltir. Avusturya’da parlamentoda en
fazla üyeye sahip ilk 3 partinin adaylar› 6 y›l süreyle atanmakta ve her biri ikifler y›ll›k sürelerle
dönüflümlü olarak görev yapmaktad›rlar.
Ombudsman Kurumu bir ofis olarak çal›flmakla
birlikte ulusal parlamento Ombudsmanlar›, uygulamada, Ombudsman yard›mc›lar›na ve ku-
UGS sisteminde her biri tek bafl›na bir unsur olan "sütunlar" tap›na¤›n çat›s›n› ayakta tutmaktad›r.
Çat›n›n üzerinde bulunan "toplar" yaflam kalitesini, hukukun üstünlü¤ünü ve sürdürülebilir geliflmeyi temsil etmektedir. Tap›na¤›n kendisi "kamusal bilinç" ve "toplumsal de¤erler" temelleri üzerine
infla edilmifltir. "Sütunlar" birbirlerinden ba¤›ms›zd›r ve farkl› güçlerde olabilirler. E¤er "sütunlar" dan
birisi zay›flarsa di¤erlerine daha fazla yük biner. E¤er birden fazla "sütun" zay›flarsa, eninde sonunda, geride kalanlar›n tafl›d›¤› a¤›r yük çat›y› meyillendirir ve "yaflam kalitesi", "hukukun üstünlü¤ü"
ve "sürdürülebilir geliflme" toplar› yuvarlan›p düfler. Tüm bu görkemli yap› çöker ve sistemde kaos
ortaya ç›kar.
Üzerine...
Uluslararas› Barolar Birli¤i Ombdusman Komitesi'nin (The Ombudsman Committe of the International Bar Association) Ombudsman tan›m›nda ise ''anayasal dayanak" ayr›ca bir unsur
olarak yer alm›flt›r.
Bu nedenle Ombudsman’›n ülkemizde de öncelikle bir anayasal kurum olarak örgütlendirilmesi ve bu amaçla anayasada gerekli de¤iflikliklerin yap›lmas› uygun olacakt›r.
‹darenin iyi ifllemesi, insan haklar›n›n geliflimi
ile de do¤rudan ba¤lant›l› kabul edildi¤inden
59’ncu Hükümet taraf›ndan haz›rlanan tasar›da
bir öncekinden farkl› olarak insan hak ve özgürlüklerine vurgu yap›lmas› önemli bir geliflme
olarak de¤erlendirilmektedir.
Ombudsmanl›k Kurumunun dünya genelinde
etkinlik ve sayg›nl›k kazanmas›ndaki en önemli
etken; "flikayet hakk›"n› kullanmak isteyen yurttafl için, kamu bürokrasisinin d›fl›nda, yürütmeden tümüyle ba¤›ms›z, h›zl› hareket etme yeteneklerine sahip, sayg›n bir mekanizman›n kurulmufl olmas›d›r.
Bunun en temel koflullar›ndan biri de, bu kuru-
52
53
YANSIMA
YANSIMA
Teknoloji
Ombudsman, yolsuzlukla
mücadelenin ana
aktörlerinden olan teftifl
kurulunun bir alternatifi
olmamakla birlikte yarg›
baflta olmak üzere, çeflitli
kurumsal yap›lar›n
tümünün; idarenin iyi
ifllemesi, iyi yönetiflim ve
yolsuzlukla mücadele
ba¤lam›nda birbirlerinin
tamamlay›c›s›d›r.
Denetimi Nedir?
Girifl
Teknoloji denetimi; Bilgisayarlar›n, bu bilgisayarlara ba¤l› a¤ ba¤lant›lar› dahil tüm donan›m›
ve bu bilgisayarlar üzerinde çal›flan tüm yaz›l›mlar›n bir sistematik içerisinde topyekun olarak usulüne uygun flekilde çal›flt›r›l›p çal›flt›r›lmad›¤›n›n denetlenmesidir. Bu kapsamda yaz›l›m, donan›m, a¤ ba¤lant›lar› ve veri depolama
üniteleri incelenir ve ideal durumlar ile aras›ndaki farklar tespit edilerek giderilmesi için öneriler yap›l›r.
Teknoloji Denetime iliflkin ana
bafll›klar flunlard›r;
incelenmeyecek baflvurular aras›na, konusu
do¤rudan adli veya idari yarg› mercilerini ilgilendiren baflvurular da al›nmal› ve en önemlisi,
teftifl ve denetim kurullar›n›n yapaca¤› ifllemler
de dahil olmak üzere, idari bütün çareler tüketildikten sonra Kamu Denetçili¤i Kurumu'na
müracaat edilebilmelidir.
Kuruma yap›lan flikayetin konusunun kapsam
d›fl›nda olmas› halinde, ilgiliye konu hakk›nda
nereye, nas›l ve ne flekilde müracaat edebilece¤ine iliflkin detayl› bilgi verilmesine dair bir düzenlemenin de tasar›ya eklenmesinde yarar görülmektedir.
Bu vesileyle; Ombudsman kurumunun, Yolsuzlukla Mücadele Birimi’nin ya da yolsuzlukla
mücadelenin ana aktörlerinden olan teftifl kurullar›n›n alternatifi olmad›¤›n›; yarg› baflta olmak üzere, çeflitli kurumsal yap›lar›n tümünün;
idarenin iyi ifllemesi, iyi yönetiflim ve yolsuzlukla mücadele ba¤lam›nda birbirlerinin tamamlay›c›lar› olduklar›n› belirtmek isterim. Nitekim;
Dünya Saydaml›k Örgütünün (Transparency International) "Ulusal Güvenlik Sistemi (UGS)"
modelinde de bu anlay›fla vurgu yap›lmaktad›r.
R. Bülent Tarhan
Hukukçu, Baflbakanl›k Müfettiflleri Derne¤i Baflkan›
A- Bilgisayarlar›n fiziksel olarak korunmas›
B- Bilgisayarlardaki programlara ve verilere herkesin kendi yetki düzeyine göre eriflebilmesi
C- Müflterilere ait verilerin korunmas› ve gizlili¤i
D- Tüm yaz›l›m verisinin korunmas›
E- Geçmifl kay›tlar›n güvenli muhafazas›
F- Sistemlerin her zaman çal›fl›r durumda bulunmas›
A- Bilgisayarlar›n fiziksel olarak korunmas›
Kiflisel kullan›mda bulunan bilgisayarlar kritiklik
skalas›nda birinci basama¤› temsil eder. Her kullan›c› kullanmakta oldu¤u bilgisayar›n bafl›na bir
fley gelmesini önleyecek tedbirleri almal›d›r. Ancak bireysel kullan›mdaki cihazlarda meydana
gelecek ar›zalar ana ifllerin aksat›lmadan yürütülmesine engel de¤ildir. Özellikle merkezi hizmet
veren sunucular (server) ve bilgi depolamas›n›n
yap›ld›¤› sistemler o kadar kritiktir ki, bunlar›n bafl›na bir fley gelmesi sonucunda firman›n kaybedece¤i fleyleri hesap etmek mümkün de¤ildir. Bilgi
yo¤un çal›flan bankalarda veya devlet kurulufllar›nda meydana gelebilecek ar›za ve kesintiler geri
dönülemez hatalara yol açabilecektir. Sistem çal›flmad›¤›nda kurum, müflterilerin gözünde rakiplerine göre puan kaybedecek ve müflteri kaç›rma
riski ile karfl› karfl›ya kalacakt›r.
Karfl›lafl›lacak di¤er riskler ise
- Kritik Kaynaklar›n yerine konulmas› güçlü¤ü
(Meydana gelen hasar sonras›nda kullan›lmakta
rum tüzel kiflili¤ine göre öne ç›kmaktad›r.
Bu nedenle, tasar›daki Kamu Bafldenetçisi
ile ilgili seçilme yönteminin kamu denetçilerine göre farkl› olmas› gerekti¤i düflünülmektedir. Bu ba¤lamda; kamu denetçilerinin, -‹spanya’da oldu¤u gibi- Adalet ve
Anayasa Komisyonlar›n›n müfltereken yapacaklar› toplant›da Adalet ve Anayasa
Komisyonlar› üye tam say›s›n›n 5’te 3 ço¤unlu¤u ile seçilmesinin daha uygun olaca¤› görüflündeyim.
Bunlar›n d›fl›nda; Kamu Bafldenetçisine
idare ile ilgili mevzuat›n gerekti¤inde yeniden gözden geçirilmesini ve de¤ifliklik
yap›lmas›n› önerme yetkisi verilmeli; bas›n ve görsel yay›n organlar›nda yer alan
haberler üzerine re'sen inceleme bafllat›labilmeli; ayr›ca cezaevlerinde, düflkünler
ve kimsesizler yurtlar›nda, hastanelerde
veya benzeri di¤er tüm yerlerde yaflayanlar›n da Kamu Denetçili¤i Kurumu'na özgürce ve rahatl›kla ulaflmas›n› sa¤layacak
düzenlemeler yap›lmal›d›r.
‹spanya Ombudsman›’n›n (El Defensor
Del Pueblo) kendi görev alan›yla ilgili yasalar›n iptali için Anayasa Mahkemesine
baflvurma yetkisi de, üzerinde önemle durulacak bir husus olarak de¤erlendirilmektedir.
15 nci maddenin üçüncü f›kras›yla düzenlenen
54
55
YANSIMA
YANSIMA
B- Bilgisayarlardaki programlara ve verilere
herkesin kendi yetki düzeyine göre eriflebilmesi
"Güvenlik politikas›; her düzeydeki personele,her çeflit yetkinin verilmemesini öngörür. Bu
husus personelin hem kendisinin güvenli¤i, hem
di¤er personelin güvenli¤i aç›s›ndan önem tafl›maktad›r. Örne¤in bir suiistimal meydana geldi¤inde yaln›zca kritik kayna¤a eriflebilen personelin sorgulanmas› gerekirken, yetki k›s›tlamas›n›n bulunmad›¤› yerlerde tüm personel zan alt›nda kalabilmektedir. K›s›tlanmam›fl veya do¤ru
organize edilmemifl sistem yetkileri, bilerek ve-
C- Müflterilere ait verilerin korunmas› ve
gizlili¤i
- Müflteriye ait bilgilerin gizlili¤i hukuki bir zorunluluktur. Müflteriye ait bilgilerin kurum d›fl›na ç›kmas› halinde, müflteri taraf›ndan bafllat›lacak her türlü hukuku mücadele kurum için
maddi manevi kay›plar tafl›yacakt›r. Bir örnek
olarak; müflterinin bir banka bünyesinde açt›rm›fl oldu¤u tüm hesaplar›n hareketleri her platformda kurum hakl›l›¤›n› savunmak için gerekebilmektedir. Ancak içerisinde de¤ifliklikler yap›labilen bir veri ne kadar kabul görebilir? Ayr›ca
müflteriye ait bilgilerin ele geçirilmesi kurum
içi/d›fl› suiistimalleri mümkün k›lar. Bu bak›mdan iflletmede bir personelin bir seferde ancak
bir kay›da eriflebilmesi sa¤lanmal›, özellikle
müflterilere ait verilerin toplu olarak elde edilmesi engellenmelidir.
D - Tüm yaz›l›m verisinin korunmas›
Yaz›l›m verisinin iç ve d›fl sald›r›ya aç›k bulunmamas› ve korunmas› gerekir.
- Virüs veya bilgisayar korsan› (hacker) sald›r›lar› ile ifllemez hale getirilebilir. Bu sebeple günümüz teknolojisinde a¤ ba¤lant›lar› ile tüm dünya ile iletiflime aç›k hale gelen sistemlerimizin
denetlenerek kötü maksatl› iletiflimler tespit
edilmeli ve engellenmelidir.
- Kullan›lan yaz›l›mlar›n türünün, ad›n›n, üretici firmas›n›n deflifre olmas›, olas› iç/d›fl bilgisayar sald›rganlar› (hacker) için altyap› kurar. Örne¤in kurumunuzda "A" isimli bir program kullan›ld›¤› deflifre oldu ise ve bu yaz›l›m›n aksayan yönlerini bilen kötü niyetli birisi taraf›ndan
sabote edilebilir.
- Kullan›lan yaz›l›m›n bozulmas›, (özellikle yede¤inin olmamas› durumunda) onar›lmas› güç
hasarlar verebilir. Kullan›lan yaz›l›mlar›n bozulmas› durumunda bunlar›n yeniden yerine konulmas› k›sa bir sürede yap›lmal›d›r. E¤er bu süreç uzarsa iflletmenin teknoloji ba¤›ml› olma
oran›na göre ifller aksayacakt›r. Bunu aflman›n
en uygun yöntemi yedeklemelerin düzenli yap›lmas›d›r.
Sistemde yüklü bulunan kritik bilgi ve yaz›l›mlar›n devaml› olarak izlenmesi ve yetkili ya da
yetkisiz kullan›c›lar taraf›ndan gerçeklefltirilen
ola¤an d›fl› hareketlerin tespit edilmesi amac›yla bu hareketleri gözlemleyen ve belirleyen cihaz yaz›l›m ve yöntemler temin edilmesi gerekir. Bu mekanizmalar tüm sistemleri ve a¤ ba¤lant›lar›n› düzenli olarak gözlemleyerek muhtemel bir zarar› önceden engelleyecektir.
E - Geçmifl kay›tlar›n güvenli muhafazas›
- Hakl›/haks›z müflteri taleplerini karfl›layamad›¤›m›zdan dolay› hukuki yükümlülük alt›nda kal›nabilmektedir. Örne¤in nüfus idaresi hiçbir
vatandafla sizin geçmifl bilgileriniz hakk›nda kay›tlar›m›z silinmifltir mesaj›n› veremez. Sistemdeki sorun ne olursa olsun geçmifl verilere eriflilmelidir.
- Baz› zamanlarda hukuki kanallarca müflterilere iliflkin (kanuni zamanafl›m› süresinde) veri
talep edilebilmektedir. Ancak kay›p veri bir mazeret olarak gösterilememektedir. Örne¤in bankalarda 10 y›ll›k zaman afl›m› süresi dolmadan
herhangi bir fiziksel evrak yok edilememektedir.
- Yaz›l›m kodlar›n›n yedeklenmesi, herhangi bir
virüs sald›r›s›, kas›tl›/kas›ts›z hatal› program
yüklenmesi durumunda son derece önemli olmaktad›r.
- Herhangi bir ola¤anüstü hal durumunda, geçmifl bilgilere tekrar ulaflmak gerekebilir.
Bu bak›mdan geçmifl verilerin tamam›n›n yedeklenmesi e¤er kaynak k›s›tlamas› sebebi mevcut ise sadece en kritik verilerin yedeklenmesi
gerekecektir. Bu ise kritik kaynaklar›n derecelendirilmesi ile mümkündür.
F- Sistemlerin her zaman çal›fl›r durumda
bulunmas›
Sistemler her zaman çal›fl›r durumda olmal›d›r.
Çünkü
"Sistemlerin durmas›; para kayb›, imaj kayb› ve
hukuki sorun demektir
"Sistemlerin çal›flmas› için; veriler yedeklenir,
program kodlar›n›n yedekleri saklan›r ve
donan›m gereçlerine bak›m yap›l›r.
‹deal sistemlerde esas koflul yedekli çal›fl›lmaya
uygun bir yap› oluflturulmas›ndan geçer. Burada
sözü edilen problemler günlük olarak karfl›lafl›lan genel sorunlar olmay›p, daha ziyade ola¤anüstü durumlarda ortaya ç›kan aktiviteleri içermektedir. Bu durum, yaflanacak sorunlar için
al›nacak tedbirlerin do¤al olarak, daha maliyetli olmas›n› beraberinde gerektirmektedir. Kurumsal olmayan yap›larda genel olarak "Hizmet
Sürekli¤inin Sa¤lanmas›" hususu geri planda b›rak›lmas›na karfl›n ifl kesintisine tahammülü olmayan yap›larda "Uzun ve K›sa Vadeli Strateji
Planlar›"nda mutlak suretle kesintileri önleyecek oluflumlar hayata geçirilir.
Ola¤anüstü durumlarda tam teflekkülü sistem
kullan›m› her durumda mümkün olmayabilir.
Bu amaçla öncelikli ve vazgeçilmesinin mümkün olamayaca¤› kaynak ve donan›m belirlenmeli, asgari olarak çal›fl›r duruma getirilecek
uygulamalar ve bu teçhizat›n çal›fl›r hale getirilmesi için yap›lacaklara iliflkin ayr›nt›l› dokümanlar haz›rlanmal›d›r. Asgari kaynaklar›n belirlenmesindeki hedef; geçici olarak iflletilen sistemin minimum maliyetle ola¤an ifl döngüsüne
geçifle imkan vermesidir. Kullan›lan sistemin tamam›n›n yedeklenmesi optimum bir uygulama
olmay›p hem fiziksel mekan hem de nakit maliyeti yaratabilmektedir.
Sonuç
Teknoloji Denetimi bu 6 unsurun iflletme ihtiyaçlar›na göre kurgulanarak kontrol listelerinin
oluflturulmas› ve buna olan uygunlu¤un denetlenmesi ile oluflturulur.
KAYNAKLAR
[1] Ronald L. Krutz, "The CISSP Prep Guide", 2003
[2] ISO 15408 – Common Criteria Standart
[3] US DoD 5200.28-STD, TCSEC Standart
Yap› Kredi Bankas›, Müfettifl
olan cihaz›n yenilenmesi süre gerektirebilir. Hatta üretimi durdurulmufl bir cihaz dahi olabilir.)
- Zarar görmüfl cihazlar›n tekrar yerine konulmas› için ödenecek bedeller. (E¤er sigorta bulunmuyor ise zarar görmüfl bir cihaz›n yeniden
temin edilmesi bazen yeni bir iflletme kurulmas›na paralel bir bedel olabilmektedir. Yapt›r›lan
sigorta ise cihaz›n kritikli¤ine göre yüksek prim
bedelleri talep edebilmektedir.)
- Kurumun(özellikle bankalar) para kazanacak
faaliyetlerde bulunamamas› (Sistemler durdu¤u
zaman ifllem yapamaz ve müflterilerin rakiplere
gitmesini engelleyemezsiniz. Örne¤in bir bankada EFT iflleminin sizin yerinize rakip bankadan yap›lmas› sonucu gelir elde edememek gibi.) olarak öne ç›kmaktad›r.
ya bilmeyerek bir personelin kendisine
aç›k olmayan verilere ulaflarak, bu verilerden kendisine veya baflkas›na menfaat
temin etmesine yol açabilecektir. Yetki
düzeyine göre eriflim kontrollerin daha
do¤ru yap›lmas›na imkan tan›r. Örne¤in
kullan›c› yetkisi tan›mlama hakk›na sahip
bir personelin kendisine bir kullan›c› ismi
tan›mlamas› ve yoketmesi büyün sorun
yaratabilecektir.Bu bak›mdan sistem güvenlik birimi kurulmal› bu birimin son
kullan›c› yetkisi olmamas›na özen gösterilmelidir. Bu sayede suiistimaller için
önlem al›nm›fl olur. Sistem üzerindeki
hiçbir kullan›c›, sistemde mümkün olan
tüm ifllemleri yapabilecek eriflim haklar›na sahip olmamal›d›r. Bir sistem yönetim
mekanizmas›na eriflim olsa bile tüm sistemin kontrolünün buradan yap›lmas›
engellenmifl olmal›d›r. Sisteme yeni bir
kullan›c›, yaz›l›m veya cihaz ilavesi veya
ç›kar›lmas› gibi kritik ifllemler gerçeklefltirilmeden önce en az iki kullan›c›n›n
onay›n›n al›nmas›, d›fl sald›rganlara karfl›
önemli ölçüde korunma sa¤layacakt›r.
56
57
YANSIMA
YANSIMA
‹ç Denetim Departman
Çetin Özbek
TCMB ‹ç Denetim Genel Müdürü Çetin Özbek
Verimlilik üzerine dergimizin sorular›n› yan›tlayarak konuya iliflkin görüfl ve önerilerini paylaflm›flt›r.
‹ç denetimin etkinlik ve verimlili¤i ölçülebilir
mi? Ölçülebiliyorsa nas›l?
‹ç denetim birimlerinin verimliliklerini çok say›sal ve di¤er operasyonel birimlere oldu¤u gibi
faaliyetler üzerinden ölçmek çok mümkün olmasada belli de¤erlendirmelerin yap›lmas›
mümkündür. Y›lbafl›nda yap›lan denetim planlamas› ile y›l sonunda gerçeklefltirilen denetimler,
denetimlerin sonucunda iç kontrol ortam›nda
sa¤lanan iyileflme, denetçilerin önerilerinin ne
kadar›n›n hayata geçmifl olmas› ve bu önerilerin
yarataca¤› katma de¤er gözönüne al›narak bir
de¤erlendirme yap›lmas› mümkündür. ‹ç denetim faaliyetinin en önemli ç›kt›s› tan›m›nda yer
ald›¤› gibi risk yönetimi, iç kontrol ve yönetsel
süreçlerde yapt›¤› denetimler ve bu süreçlere
katk›lar›d›r. ‹ç denetim faaliyetinin etkinli¤inin
de¤erlendirilmesi ise kurum içerisinde iç denetim faaliyetine biçilen rol ve iç denetim faaliyetlerinin yap›l›fl yöntemi ile yak›ndan ilgilidir. ‹ç denetim
faaliyetinin kurumsal yönetimin
önemli bir parças› olarak planland›¤›, uluslararas› standartlara uygun yap›lmas›n›n sa¤land›¤›, iç denetimin önerilerinin kabul gördü¤ü ve iç denetim faaliyetinin verdi¤i güvence faaliyetlerinin iç denetim standartlar›na uygun oldu¤u
kurjmlarda iç denetim faaliyeti etkin demektir. IIA taraf›ndan yay›mlanan "Uluslararas› ‹ç Denetim
Standartlar›" bir iç denetim faaliyetinin etkin bir flekilde yerine getirilebilmesi için gerekli koflullar›
aç›klamaktad›r. Mevcut uygulamalar›n bu standartlara uygunlu¤unun karfl›laflt›r›lmas› youlyla etkinli¤in de¤erlendirilmesi de mümkündür. Yine esaslar› IIA taraf›ndan belirlenen "Kalite Güvencesi
Program›"da bu etkinli¤in ölçülmesinin yöntemlerinden birisidir.
‹ç denetim departman yönetiminde etkinlik ve verimlili¤i art›rmak
için yap›lmas› gerekenler nelerdir?
Öncelikle iç denetim faaliyetinin kurum içerisindeki yetki ve sorumluluklar›n›n ne oldu¤unun, iç denetim faaliyetiyle hangi amac›n hedeflendi¤inin kurumun en üst düzey yönetim
organ› taraf›ndan net bir flekilde belirlenmesi
sonrada bunun tüm kuruma iletilmesi gereklidir.
Kurumsal çerçevenin yeterli düzeyde sa¤lanmas›n›n ard›ndan bence yap›lacak birim içinde ve
d›fl›nda baz› çal›flmalar yap›lmal›d›r. Birim içinde yap›lacak en önemli çal›flma yukar›da belirtildi¤i gibi mevcut iç denetim faaliyetlerinin
standartlara uygunlu¤unun gerek iç denetim faaliyetlerinin planlanmas›, gerekse uygulanmas›
aflamalar›n›da içerecek flekilde de¤erlendirilmesidir. Standartlar iç denetim birimince verilecek
güvence ve dan›flmanl›k faaliyetlerinin lay›k›yla
yerine getirilebilmesi için gereken tüm koflullar›
detayl› olarak aç›klamaktad›r. Dolay›s›yla iç
denetim birim yöneticilerinin standartlar› esas
alarak bir karfl›laflt›rma yapmas› ve standartlara
Yönetiminde
Etkinlik ve Verimlilik
"Uluslararas› ‹ç Denetim
Standartlar›" bir iç denetim faaliyetinin etkin bir
flekilde yerine getirilebilmesi için gerekli koflullar›
aç›klamaktad›r.
58
59
YANSIMA
YANSIMA
uygun olmayan faaliyetlerin iyilefltirilmesi için
bir geliflim plan› haz›rlamas›nda fayda görmekteyim. ‹ç denetimin kalitesinde denetçilerin kalitesinin büyük önem tafl›mas› nedeniyle denetçilere yönelik bir ihtiyaç analizi sonras›nda uygun e¤itim programlar›n›n sa¤lanmas›, iç denetimle ilgili uluslararas› sertifika programlar›n›n
teflvik edilmesi (CIA, CISA vb) iç denetimin etkinlik ve verimlili¤ine katk› sa¤layacakt›r.Bizim
gelene¤imizde denetçilerin bir programa ba¤l›
olarak de¤il tecrübelerine göre çal›flmalar› ve
denetim raporu yaz›l›ncaya kadar ifline kar›fl›lmamas› yayg›nd›r. Ancak denetimin bizzat
kendiside denetime tabi tutulmal›d›r. ‹ç denetim
faaliyetlerinin verimlili¤i amac›yla yine standartlarda yer alan iç denetim faaliyetlerinin gözetimi uygulamas› gelifltirilmeli, her denetim faaliyeti bir denetim program› do¤rultusunda gerçeklefltirilmeli, denetim faaliyetlerinin bu program do¤rultusunda ilerleyip ilerlemedi¤i supervisor denetçiler taraf›ndan sürekli gözetime tabi
tutulmal›d›r. Birim d›fl›nda yap›lacak çal›flmalarda ise a¤›rl›kl› olarak iç denetim faaliyetlerinin
ve iç denetimden sa¤lanacak katma de¤erin tan›t›lmas›, Yönetim kurulu ve üst düzey yöneticilerde iç denetim, iç kontrol ve risk yönetimi konusundaki bilgilerinin art›r›lmas›, denetlenenlerle iletiflimin ve iflbirli¤inin art›r›lmas›, etkinlik
ve verimlili¤i art›racakt›r.
Departman yönetiminde etkinlik ve verimlili¤i
art›rmak için uygulad›¤›n›z yöntemler nelerdir?
‹ç denetim faaliyetlerinde uluslararas› iç denetim standartlar›na uyuma büyük önem veriyoruz. Mevcut yönetmeli¤imiz standartlara uygundur. Birim içinde iç denetim faaliyetlerinin kalitesinin art›r›lmas› için uluslararas› iliflkilere büyük önem veriyoruz. Tüm denetçilerimizin sertifikal› olmas› bizim için ayr› bir güvence kayna¤›. Her 5 y›lda bir Kalite Güvencesi Program›
çerçevesinde d›fl denetime tabi olmak zaten yönetmeli¤imizde var. ‹ç denetimde gözetimi uy-
guluyoruz. Banka içerisinde de iç denetimin tan›t›lmas› ve denetlenenlerle iflbirli¤inin art›r›lmas› konusunda titiz çal›flmalar yap›yoruz.
Teknolojik imkanlardan (yaz›l›m,donan›m) ve
bilgisayar destekli denetim yöntemlerinden
faydalan›lmas›n›n denetim etkinli¤i ve verimlili¤ine etkileri nelerdir?
‹ç denetimin flayet standartlara uygun yap›lmas›
arzulan›yorsa bu tür teknolojik imkanlardan
faydalanmak zaten bir mecburiyet oluyor. ‹ki
aç›dan teknolojiden a¤›rl›kl› olarak faydalan›yoruz. Birincisi denetim planlamas› ve yönetimi
için bir software kullan›yoruz. ‹kincisi ise halen
planlama aflamas›nda olmakla birlikte sürekli
gözetim sistemi için bir data analiz yaz›l›m› kullanmay› planl›yoruz. Özellikle denetim yönetimi yaz›l›mlar›n›n etkinlik ve verimlili¤e çok katk›s› oluyor. Öncelikle denetimde bir standardizasyon ve önemli ölçüde zaman tasarrufu sa¤layabiliyoruz. Çünkü standartlara uygun yap›lmas› halinde iç denetimde oldukça yo¤un bir
dökümantasyon var ve standart formatlar bu konuda büyük kolayl›klar sa¤l›yor.
Denetim etkinli¤inin art›r›lmas› yönünde risk
odakl› denetimle ilgili görüflleriniz nelerdir?
Zaten iç denetimde son y›llarda denetimin tamamen risk odakl› olarak yap›lmas› uygulamas›
a¤›rl›k kazan›yor. Bizde tüm denetim planlamam›z› ve bireysel denetimlerimizi risk odakl› olarak yap›yoruz. Denetimlerin risk odakl› olarak
yap›lmas›n›n belli bafll› sebepleri var. Öncelikle
denetimin kendiside asl›nda bafll›bafl›na bir maliyet. Etkinlik verimlilik art›fl› peflinde koflan her
birimde oldu¤u gibi iç denetimde verimlilik art›fl› flart. Denetlenecek konular genelde denetim
birimlerinin denetleyebilme potansiyelinin çok
üstünde oluyor. Bu durumda denetlenecek konular›n önceliklerinin ve denetim kaynaklar›n›n
ayr›laca¤› alanlar›n belirlenmesi bu belirlemeyi
yaparkende en yüksek risk içeren alanlardan
bafllanmas› genel prensip oluyor. Bir di¤er konu
ise denetimin kuruma de¤er katma misyonuyla
ilgili. Geçmifle odakl› denetimden daha ziyade
kurumlar›n faaliyetlerini olumsuz etkileyebilecek risklerin tespiti ve giderilmesine yönelik denetimler denetim mesle¤inin de¤iflen yüzünü
temsil ediyor. Dolay›s›yla denetimlerin risk
odakl› olmas› art›k zaten bir zaruret ve dünyada
da bu meslek zaten bu yönde önemli mesafeler
kaydetmifl durumda. Bu tart›flma art›k biraz geride kalmas› gereken bir tart›flma.
Departmanda görev yapan iç denetçilerin herhangi bir alanda mevcut yetenek veya tecrübelerinin yetersiz kalaca¤› anlafl›ld›¤›nda izlenilmesi gereken yöntemler nelerdir? D›flar›dan
uzman bir destek al›nmal› m›d›r?
Bizim denetçilermizin tamam› sertifikal›. fiu ana
kadar böyle bir s›k›nt›m›z olmad› ancak standartlar ihtiyaç duyulan alanlarda d›fl uzman kullan›lmas›na imkan veriyor. Kurumun altyap›s›n›n müsait olmas› durumunda d›fl kaynak elbette kullan›labilir. Bizde böyle bir durumla karfl›laflmam›z halinde düflünebiliriz.
‹ç denetim faaliyetlerinin outsource veya cosource olarak gerçeklefltirilmesinin her bir seçenek için avantaj ve dezavantajlar› nelerdir?
‹ç denetimde outsource ülkemiz için flu anda
erken diye düflünüyorum. Bence outsorce’in etkin olabilmesi için öncelikle kurum içinde iç
denetim faaliyetlerinin etkinli¤ini lay›k›yla de¤erlendirebilecek uzman kiflilerin olmas› gerekiyor ki outsource etti¤iniz kiflilere güvenebilesiniz. Bu da genelde geliflmifl ülkelerde denetim
komitelerinin sorumlulu¤unda. Ancak ülkemizde iç denetim konusunda sorumluluk tafl›yan
denetim komitesi uygulamas› çok yayg›n de¤il.
Henüz yeni yeni gündeme geliyor. Öncelikle
yönetim kurullar›n›n ve dolay›s›yla denetim kurullar›n›n iç denetim konusunda bir de¤iflimden
geçmeleri gerekti¤i sonras›nda iç denetimin
outsource edilmesinin gündeme gelmesi gerekti¤i düflüncesindeyim. Cosource içinde ayn›
fleyler geçerli.
Çetin Özbek, TCMB ‹ç Denetim Genel Müdürü
Son y›llarda denetimin tamamen risk odakl› olarak
yap›lmas› uygulamas›
a¤›rl›k kazan›yor.
60
61
PANO
PANO
Bu y›l 18-19 May›s tarihlerinde yap›lan CIA ve CFSA sertifikasyon s›navlar›n›n sonuçlar› belli oldu.
S›nava girenler, s›nav sonuçlar›n› T‹DE web sayfas› üzerinden flifreleri ile girifl yaparak ö¤renebilirler. Ayr›ca, s›nav de¤erlendirmelerinin yap›ld›¤› mektuplar tüm adaylara e-posta yolu ile de gönderilmifltir.
CIA S›nav›na toplam kat›l›m 144 kifli olarak gerçekleflti. CIA sertifikas› almaya hak kazananlar›n say›s› 19 olarak gerçekleflti. Afla¤›daki tabloda bölümler halinde baflar› istatistiklerini görebilirsiniz :
CIA S›nav› S›nav› Alan Kifli Say›s› Baflar› %’si
K›s›m I
102
33%
K›s›m II
78
37%
K›s›m III
72
44%
K›s›m IV
40
63%
CFSA s›nav›na giren 8 kifliden 4’ü baflar›l› olarak
E¤itimlerimiz:
2 Haziran 2005 tarihinde Dedeman Oteli’ nde
"Uluslararas› ‹ç Denetim Standartlar›n›n Getirdi¤i Yükümlülükler" konulu e¤itim 28 meslektafl›m›z›n kat›l›m›yla gerçekleflmifltir.
Akademik iliflkiler;
T‹DE olarak iç denetim yüksek lisans program›n›n oluflturulmas› için IIA taraf›ndan desteklenen "Endorsed Internal Auditing Program" kapsam›nda üniversiteler ile görüflme yap›lmaya bafllanm›flt›r. Geliflmeler üyelerimiz ile paylafl›lacakt›r.
bankac›l›k alan›nda CFSA ünvan› almaya hak kazand›.
Sosyal faaliyetlerimiz;
4 Temmuz 2005 tarihinde Taksim Point Hotel'de 20 kiflinin kat›l›m›yla Aile toplant›s› gerçekleflti.
Y›ll›k denetim planlamas› konusunda görüfl al›flveriflinde bulunuldu.
Sn. Funda Yavafl Ayla GYA‹D'nin 6 Haziran 2005 tarihinde düzenledi¤i "Markalasakta m› satsak,
markalamasakta m› satsak" konulu seminere T‹DE’yi temsilen kat›lm›flt›r.
IIA taraf›ndan düzenlenen Global Leadership Workshop ve Global Council (9-10 Temmuz 2005)
toplant›lar›na Türkiye ‹ç Denetim Enstitüsü’nü temsilen Enstitü Baflkan› Sn. Özlem Aykaç ve Genel
Sekreter Sn. Elif Buluç kat›lm›flt›r. Global Leadership Workshop program› içerisinde Sn. Özlem Aykaç "Gönüllü Üyeler ile Enstitü’nün hizmet vermesi" konusunda bir tebli¤ sunmufltur.
Chicago’daki Uluslararas› Konferanstan
‹zlenimler
IIA’in düzenledi¤i 64.Uluslararas› ‹ç
Denetim Konferans› bu sene 11-13
Temmuz tarihlerinde ABD fiikago’da
83 ülkeden 1.900’den fazla kat›l›mc›
ile gerçeklefltirildi.
Konferansa Türkiye’den Merkez Bankas›’ndan Çetin Özbek, Prof. Dr.
Necdet fiensoy ve Bilal San, CocaCola’dan Özlem Aykaç, Anadolu
Grubu’ndan Elif Buluç, Do¤ufl Holding’ten Alp Kinay, Türk Pirelli’den
Konferansa Türkiye’den Merkez Bankas›’ndan Çetin Özbek ve
Can Akkerman ve Oyak’tan Tamer
Prof. Dr.Necdet fiensoy, Coca Cola’dan Özlem Aykaç, Anadolu
Grubu’ndan Elif Buluç, Do¤ufl Holding’ten Alp Kinay kat›lm›flt›r.
Aksoy kat›ld›.
Konferans›n aç›l›fl konuflmas›nda, IIA
Uygulamalar, Sarbanes Oxley Uygulamalar›, IT
Yönetim Kurulu Baflkan› Betty McPhilimy, konfeDenetimi, Yolsuzluk ve Suistimaller, ‹ç Denetimransa rekor düzeyde kat›l›m sa¤land›¤›n› ve IIA
de Son Geliflmeler ve benzeri konularda 10 paüyelerinin 160 ülkede 107.000 kifliye ulaflt›¤›n›
ralel oturum halinde düzenlendi. Ayr›ca konfebildirerek, konferans kat›l›mc›lar›n› ‘günü yakaransta toplamda 85 panel gerçeklefltirildi.
lad›klar›’ için tebrik etti. Ayr›ca Mc Philimy
IIA taraf›ndan düzenlenen Global Liderler Çal›fl100.000. üye ve 50.000. CIA sahibine de ödülletay› ve IIA Genel Kurul (9-10 Temmuz 2005)
rini takdim etti. Konferans Baflkan› John Covell,
toplant›lar›na Türkiye ‹ç Denetim Enstitüsü’nü
kat›l›mc›lara konferans›n sundu¤u geliflim imtemsilen Enstitü Baflkan› Özlem Aykaç ve Genel
kanlar›ndan ve yaratt›¤› networking f›rsatlar›nSekreter Elif Buluç kat›ld›. 84 ülkenin Enstitü Bafldan en üst düzeyde istifade etmeleri gerekti¤i kokanlar›n›n kat›ld›¤› Liderler Çal›fltay› Program›’nda Özlem Aykaç "Gönüllü Üyeler ile Ensnusunda hat›rlatmada bulundu.
titü’nün hizmet vermesi" konusunda ‘en iyi uyKonferans, sabah aç›l›fl ortak oturumlar› ve kapagulama örne¤i’ olarak T‹DE’nin çal›flmalar› ile iln›fl oturumu haricinde, ‹ç Denetim ve Kurumsal
gili bir tebli¤ sundu.
Yönetim, Risk Yönetimi, ‹ç Denetimdeki En ‹yi
Konferansa Türkiye’den Merkez Bankas›’ndan Prof. Dr.Necdet fiensoy, Anadolu Grubu’ndan Elif Buluç, Coca
Cola’dan Özlem Aykaç, Türk Pirelli’den Can Akkerman, Merkez Bankas›’ndan Bilal San ve Çetin Özbek ve
Oyak’tan Tamer Aksoy kat›lm›flt›r.
May›s-2005 Sertifikasyon
s›nav sonuçlar› belli oldu
62
63
ÖZET/SUMMARY
D‹KKENAR
English Summary
• In Aysberg section, internal audit directors
discuss the ways for increasing effectiveness
and productivity in internal audit departments.
Outsourcing and cosourcing the internal audit
resources, pros and cons of both choices are also examined in the discussion.
• In his article, " What Qualifications do Internal Auditors Need" N. Burak Ünlü states that internal auditors need to have some basic qualifications like honesty, problem solving, independence, communication skills, etc.
• Dr. Süleyman Uyar, in his article titled "How
should be the relationship between internal auditor and audit committee" describes the duties
and responsibilities of an audit committee, executive and reporting relationships between the
two.
Ne ekersen onu biçersin...
• Interview with the Hedef Alliance Holding gives us information about the internal audit department’s status within the organization and
audit implications in one of the biggest companies in our country.
• Interview with the Internal Audit Coordination Board gives us information about the boards’
duties and responsibilities, objectives and activities.
• Bülent Tarhan in his article, explains the ombudsman practices in Europe and discusses
how it should be in our country.
• Mehmet Mesut Karakafl, in his article, mentions about what is IT Audit, how should it be
done and which points sould be taken into consideration in IT Audits.
• In his article, Çelik Kurto¤lu explains the increasing importance of governance rating and
the recent developments in this area.
Ali R›za Eflkazan in his article,
explains the recent regulations
about internal audit in Turkey
and discusses the effects of these
regalutaions on internal audit profession.
• In his article "art of cheating" Tanol
Türko¤lu mentions about the employees’ responsibilities in preventing
company from the fraudulent activities.
• Ali Kamil Uzun in his article, congratulates the Internal Audit Institute of Turkey on
reaching the 10th year, its professional success and contribution to the profession.
• In his article "creative contradiction" Ahmet
Ery›lmaz, looks at management styles from a
different social psychological perspective.
Ali Kamil Uzun / [email protected]
• Hande Yaflargil in her article, explains
how to be a good mentor, describes the
basic principles to follow.

ç Denetim - Türkiye İç Denetim Enstitüsü

Transkript

Benzer belgeler

rcnelim:

buroşürü indirmek için buraya tıklayın

buroşürü indirmek için buraya tıklayın

Ulkemizin neresindem olursa olsun cocuklarin guzelliklerine

Un gioco da ragazze Kız Oyunları A Game for Girls (18+) 2008, 95 min.

GUZELYU BULUSMASI