ç Denetim - Türkiye İç Denetim Enstitüsü
Transkript
ç Denetim - Türkiye İç Denetim Enstitüsü
3 Merhaba D e¤erli okuyucular›m›z, ‹çinde bulundu¤umuz yaz mevsiminin beraberinde sadece s›caklar› de¤il, siz de¤erli meslektafllar›m›z ve okuyucular›m›z için güzel bir dinlenme f›rsat› da getirdi¤ini umuyoruz. Bizler, bu süreçte yine yo¤un çal›flmalar›m›za devam ederek dergimizin flu an okumakta oldu¤unuz 12. say›s›n› haz›rlad›k. Dergimizin bu say›s›nda, mesle¤in ileri gelenleri ile "‹ç Denetim Departman Yönetiminde Etkinlik ve Verimlilik" konusu masaya yat›r›larak, iç denetim departman›nda etkinlik ve verimlili¤i art›rman›n yöntemleri de¤erlendirilmifltir. Özellikle iç denetim departman yöneticilerinin ilgisini çekece¤ini umdu¤umuz bu konuya Aysberg bölümünde yer verilmifltir. Bildi¤iniz üzere, dergimizde zaman zaman ülkemizde faaliyet gösteren holding ve flirketlerdeki iç denetim uygulamalar›na yer vermekteyiz. Bu say›m›z›n Yak›n Plan bölümünde "Hedef Alliance Holding’de ‹ç Denetim Uygulamalar›" yer almaktad›r. Yak›n Plan bölümünde yer alan di¤er bir konu ise kamu idarelerinin iç denetim sistemlerini düzenlemek, izlemek, gelifltirmek, uyumlaflt›rmak ve koordine etmek üzere ba¤›ms›z ve tarafs›z bir organ olarak kurulan "‹ç Denetim Koordinasyon Kurulu"dur. ‹lgili Kurul Baflkan› Dr. Hasan Gül ile yap›lan söyleflimizi ilgi ile okuyaca¤›n›z› düflünmekteyiz. Dergimizin di¤er bölümlerinde iç denetçi ile denetim komitesi aras›nda nas›l bir iliflki olmas› gerekti¤i, biliflim teknolojisi (IT) denetiminin ne oldu¤u, kurumsal yönetim indeksi, iç denetçilerde bulunmas› gereken nitelikler, toplum mühendisli¤i ve güvenlik, Türkiye ombudsman›, yarat›c› ayk›r›l›k, iyi bir mentor olmak konular› üzerine mesle¤imizle ilgili makaleleri okuma flans›na sahip olacaks›n›z. Dergimize yaz›lar›, görüflleri, önerileri ve çal›flmalar› ile destek veren, emek harcayan herkese çok teflekkür ederiz. Mesle¤imizle ilgili üyelerimizden gelecek olan her türlü yaz›, görüfl ve önerilere aç›k oldu¤umuzu yinelemek istiyoruz. Sevgi ve sayg›lar›m›zla, Yay›n Kurulu [email protected] ‹Ç DENET‹M / Yaz 2005 Bir sonraki say›m›zda görüflmek dile¤iyle hoflça ve mutlu kal›n... 4 Türkiye ‹ç Denetim Enstitüsü Derne¤i ‹çindekiler Aysberg . . . . . . . . . . . . . . . . . . . . . . .6 ‹ç Denetim Departman Yönetiminde Etkinlik ve Verimlilik Yeflil Kalem . . . . . . . . . . . . . . . . . . .18 N. Burak Ünlü ‹ç Denetçilerde Bulunmas› Gereken Nitelikler Dr. Süleyman Uyar ‹ç Denetçi ‹le Denetim Komitesi Aras›nda Nas›l Bir ‹liflki Olmal›d›r? Çelik Kurto¤lu Derecelendirme Nedir? Perçin . . . . . . . . . . . . . . . . . . . . . . .33 Ali R›za Eflkazan Yeni Yasal Düzenlemeler Ifl›¤›nda ‹ç Denetim Parmak ‹zi . . . . . . . . . . . . . . . . . . . .36 N. Burak Ünlü ‹flletim Sistemleri: Denetçilerin Bilmesi Gereken Temel Bilgiler Tanol Türko¤lu Aldatma Sanat› ADINA ‹MT‹YAZ SAH‹B‹ Ali Kamil UZUN Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul SORUMLU YAZI ‹fiLER‹ MÜDÜRÜ N. Burak ÜNLÜ Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul YAYIN KURULU Ali Kamil UZUN Cüneyt SEZG‹N Günseli ÖZEN OCAKO⁄LU N. Burak ÜNLÜ Tanol TÜRKO⁄LU Özlem AYKAÇ YAYIN DANIfiMA KURULU Adnan NAS, Ahmet EROL Ahmet ERYILMAZ, Ayflen TOPAY Beflir ÖZMEN, Bülent TARHAN Bülent fiENVER, Bülent ÜSTÜNEL Cansen BAfiARAN, Prof. Dr.Ersin GÜRED‹N Fatih DURAL, Filiz YÜCESOY, Giovanni GROSSI Hüseyin ÖZER, Jean-Pierre GARITTE Kaya TURHANO⁄LU, Mehmet MAÇ Prof. Dr. Melih ERDO⁄AN Doç. Dr. Metin Ercan, Mehtap NUMANO⁄LU, Mustafa ÖZYÜREK Prof. Dr. Nejat BOZKURT, Neil COWAN Dr. Semra AfiÇIG‹L, Doç. Dr. Suat TEKER Dr. U¤ur TANDO⁄AN, Veysi SEV‹⁄ Zafer KARAKULAK ‹LET‹fi‹M ADRES‹ Emekli Subayevleri Müflir Dervifl ‹brahim Sokak 1. Blok No: 6 D: 16 Esentepe / ‹stanbul Tel: 0 212 212 55 25 Faks: 0 212 212 55 26 E-posta: [email protected] http://www.tide.org.tr Mühür . . . . . . . . . . . . . . . . . . . . . . .42 Y›ll›k Abone Bedeli: 20 YTL KDV dahildir. Hande Yaflargil ‹yi Bir Mentor Olmak-3 Çizgi Ötesi . . . . . . . . . . . . . . . . . . . .43 Ali Kamil Uzun 10. Y›l Üzerine... Ayraç . . . . . . . . . . . . . . . . . . . . . . . .44 Ahmet Ery›lmaz Yarat›c› Ayk›r›l›k Yak›n Plan . . . . . . . . . . . . . . . . . . . .45 Y›lmaz Akçeken Hedef Alliance Holding’te ‹ç Denetim Uygulamalar› Dr. Hasan Gül ‹ç Denetim Koordinasyon Kurulu YAPIM Rota Yay›n Yap›m Tan›t›m Ticaret Ltd. fiti. Prof. N. Mazhar Ökten Sk. No: 1 Rota Binas› 34360 fiiflli-‹stanbul Tel: 0 212 224 01 44 Faks: 0 212 233 72 43 E-Posta: [email protected] http://www.rotaline.com YAYIN TÜRÜ Yayg›n Süreli Yay›n BASKI TAR‹H‹ Eylül 2005 BASKI ve C‹LT TOR Ofset San.ve Tic. Ltd. fiti. ‹mam Çeflme Cad. No: 26/2 Ayaza¤a fiiflli-‹stanbul Tel: (0212) 332 08 38 (Pbx) Faks: (0212) 332 08 39 E-Posta: [email protected] Türkiye ‹ç Denetim Enstitüsü Derne¤i taraf›ndan üç ayda bir yay›mlan›r. Yaz›lar›n fikri sorumlulu¤u yazarlar›na aittir. ‹Ç DENET‹M / Yaz 2005 Yans›ma . . . . . . . . . . . . . . . . . . . . . .50 R. Bülent Tarhan Türkiye Ombudsman› Üzerine... Mehmet Mesut Karakafl Teknoloji Denetimi Nedir? Çetin Özbek ‹ç Denetim Departman Yönetiminde Etkinlik ve Verimlilik Pano . . . . . . . . . . . . . . . . . . . . . . . .60 Özet/Summary . . . . . . . . . . . . . . . .62 Dikkenar . . . . . . . . . . . . . . . . . . . . .63 (The Institute of Internal Auditors Chairman’s Special Recognition Award) (The Institute of Internal Auditors Publication Contest Newsletter Category) (The Institute of Internal Auditors Membership Competition) 6 7 AYSBERG AYSBERG ‹ç Denetim Departman ‹ç denetim standartlar›na bak›ld›¤›nda ve iç denetim faaliyetinin yönetimiyle ilgili 2000 say›l› Performans Standard›’na göre: "‹ç denetim faaliyetinin yönetimiyle ilgili iç denetim yöneticisi, iç denetim faaliyetini, faaliyetin kuruma de¤er katmas›n› sa¤layacak etkili bir tarzda yönetmelidir." Bu standard›n uygulama önerisi olan alt aç›l›m›nda da "‹ç denetim yöneticisi, iç denetim faaliyetini denetim çal›flmas›n›n denetim komitesi ve yönetim kurulunun gerekti¤inde üst yönetimin onaylad›¤›, yönetmelikte tan›mlanan genel amaç ve sorumluluklar› yerine getirmesini, iç denetim faaliyetinin kaynaklar›n›n verimli ve etkin bir flekilde kullan›lmas›n› ve denetim çal›flmas›n›n uluslararas› standartlara uygun yap›lmas›n› sa¤layacak flekilde yönetmekten sorumludur." diyerek iç denetimin kuruma kataca¤› etkinli¤e ve verimlili¤e bir standart getirmifl oluyor. Bu say›m›zda, dergimizin dosya konusu olan AYSBERG bölümümüzde, "‹ç Denetim Departman Yönetimi'nde Etkinlik ve Verimlilik" konusu ele al›nd›. Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan› Ali Kamil Uzun, Hac› Ömer Sabanc› Holding A.fi. Denetim Daire Baflkan› Fuat Öksüz, Do¤an Yay›n Holding A.fi. ‹ç Denetim Müdürü Kemal Sertkaya, Tema Grup Kalite Güvence Koordinatörü, ‹ç Denetim Müdürü H. ‹brahim Ayafll› ve Yap› Kredi Bankas› Kredi Riski Komitesi Baflkan› N. Burak Ünlü bu konu ile ilgili olarak ve kurumlar›ndaki uygulama örneklerini paylaflt›lar. Ali Kamil Uzun: Öncelikle etkin ve verimli bir iç denetim fonksiyonunu nas›l tan›mlayabiliriz? Fuat Öksüz: Bu konulara de¤inmeden önce etkinlik ve verimlilik konusunda baz› ön flartlara dikkat çekmek istiyorum. Bunlardan birincisi, yönetimin iç denetimi çok iyi sahiplenmesi ve iç denetime destek olmas› gerekiyor. ‹kincisi iç denetimin rolünün çok iyi anlat›lmas› ve alg›lanmas›. Üçüncüsü ise kuruma katma de¤er yaratacak bir süreç olarak planlanmas›. Buradaki önem iyi anlat›lmazsa, iyi alg›lama sa¤lanmazsa ve üst yönetim bunu sahiplenmezse etkin ve verimli bir departmandan söz etmek mümkün de- Genel anlamda üst yönetim bunu sa¤layamaz. Bunu sa¤layacak, örgüte bunu benimsetecek olan denetim organizasyonunun kendisidir. ‹fl yap›fl flekli, iletiflim tarz›, kendini ifade edifl üslubu denetlenenin denetimi kabullenme h›z›n› ve dolay›s› ile sonuçlar›n› kullanma baflar›s›n› da direkt olarak etkiler. N. Burak Ünlü: Bir denetimin etkin olmas›, kendisinden öngörülen hedeflere, kendisinden beklenenlere ulaflma gücü ile ilgilidir. Verimlili¤i ise k›s›tl› kaynaklar›n optimum flekilde kullan›lmas› olarak tan›m fleklinde ortaya koyabiliriz. Ali Kamil Uzun: Verimlilikten, etkinlikten, katma de¤erden bahsettik. Peki, bunlar› nas›l ölçülebilir olarak ifade edece¤iz? Fuat Öksüz: Önemli bir konu ama ölçülmesi o kadar da kolay de¤il. Çünkü yap›lan temelde bir güvence sa¤lama ifllevidir. Bunun yan›nda da üstlenilen bir dahili dan›flman rolü var. Bir öneri yap›l›r ve bu öneri sebebiyle flirket bir para kazanabilir veya bir maliyet tasarrufu sa¤layabilir. Ya da gelir artt›r›c› bir öneri gelebilir ve bunlar ölçülüyor olabilir. Bunun yan›nda kontrol bofllu¤u ile ilgili bir bulgu vard›r bu önerilir ve o kontrol bofllu¤u giderilir. Tersi bir durumda, bu kontrol bofllu¤u giderilmezse belki flirket çok büyük kay›plara u¤rayacakt›r. Ama bunu her zaman nümerik olarak ölçmek, rakamsallaflt›rmak pek mümkün de¤ildir. Denetimin genel olarak geçmifle yönelik oldu¤unu söyleyebiliriz. Bu anlamda denetimi biraz daha proaktif, gelece¤e bakar hale getirmek laz›m. Bugünü kontrol alt›na almak için, çok iyi bir kontrol sisteminin kurulmas›; gelece¤i teminat alt›na almak için de risk yönetimi yap›lmas› gerekir. Belki buradaki eksiklikler söylenip risk yönetiminin etkin yap›lmas› sa¤lan›yor. Yap›lacak bir öneri belki milyon dolar finansal riski önleyecek tedbiri almaya, o sistemi kurmaya itebilir. Verimlili¤in sa¤lanmas›nda temel unsur; risk odakl› denetim yaklafl›m›yla ifl süreçleri, teknoloji ve insan kayna¤›n›n etkin bileflimidir. ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 Yönetimi'nde Etkinlik ve Verimlilik ¤ildir. Bu yüzden ben bunlar› birer ön koflul olarak görüyorum ve bu konunun öneminin alg›lanmas› hususunda bize çok büyük rol düfltü¤ünü düflünüyorum. ‹ç denetimin önemi sergilenecek performans›n getirdi¤i yarat›lacak katma de¤er ile daha da iyi anlafl›lacakt›r. Etkinlik denilince, öncelikle kuruma katma de¤er yaratan bir denetim süreci olmal›. Yap›lan ifl bir flekilde mutlaka bir de¤er yaratmal›. Verimli olmak da optimum kaynaklarla en iyi sonucu verecek flekilde çal›flmakla mümkündür. Kemal Sertkaya: Katma de¤er yarat›rken veya yaratmadan önce, üst yönetimin dikkatini çekme, üst yönetimin bu konudaki e¤ilimini pozitife yöneltme konusunda bir parantez aç›ld›¤›nda, ölçülemeyen ve mali bir de¤er olarak ortaya konmayan aksiyon ald›rma fonksiyonunun son derece önemli oldu¤unu düflünüyorum. Ama bu fonksiyon da birebir yönetimin bu ifle yaklafl›m›, bak›fl› ve size verdi¤i destekle ilgili. E¤er bafltan üst yönetim o deste¤i sa¤lad›ysa bu güçle beraber ald›r›lacak aksiyonlar kuruma mutlak suretle bir katma de¤er yarat›r. Etkinli¤i ve verimlili¤i standartta bir ölçü olarak ayr› görüyoruz. Bence etkinlik ve verimlilik içiçe iki kavram. Verimlili¤i optimum kaynakla bir ifli yapmak, etkinli¤i de katma de¤er yaratmak ve aksiyon ald›rmak diye tan›ml›yorum. Zaten aksiyon ald›r›labiliyorsa, yarat›lan katma de¤er, o kadar genifl bir boyuta ç›kar ki iç denetimi maliyet unsuru olarak görülmekten ç›kar›r. Aksiyon ald›rmakla beraber yarat›lan katma de¤er mutlak suretle verimlili¤i de etkinlikle içiçe geçirecektir. Ayr›ca genel anlamda say› artarsa, katma de¤er de artar diye bir iddia da geçerli de¤il. H. ‹brahim Ayafll›: ‹ç denetimin verimlili¤inin, yapt›¤› ifl sonucu etkinli¤inin konuflulabilmesi için temel anlamda: Üst yönetimin deste¤i, yetkin bir kadro, bunu icra edebilecek uygun bir ifl ortam› gereklidir. Verimlili¤i artt›rabilmek için; denetleyenle denetlenenin, organizasyon içinde ayn› tarafta yer ald›klar›na, ortak iletiflim içinde bir payday› paylaflt›klar›na inanmalar› gerekir. Denetimin sonucunda al›nan kararlar› birileri uygular ve ondan da bir katma de¤er üretilirse denetim verimli olmufltur denilebilir. Bunu da gerçeklefltirebilmek için denetlenenin (organizasyonun) denetime, denetçinin kendisine mutlak inanmas›, denetçinin yapt›¤›na güvenmesi ve denetlenenlerin denetim sonuçlar›ndan faydalanabilece¤inin ön kabulü içinde olmas› gerekir. 8 9 AYSBERG ‹Ç DENET‹M / Yaz 2005 H. ‹brahim Ayafll›, Tema Grup Kalite Güvence Koordinatörü, ‹ç Denetim Müdürü Ama her zaman ortaya konan katk› rakamla ölçülemez. Ali Kamil Uzun: Denetimde verimlili¤i, etkinli¤i nümerik olmaktan daha çok nitelik, öngörüler, baz› tespitler ile ölçülendirmek gerekebiliyor. Kemal Sertkaya: Bence de iç denetimin en büyük s›k›nt›s›, etkinli¤inin yeterince ölçülebilir bir halde olmay›fl›ndan, nümerik olarak ölçülememesinden kaynaklan›yor. Üst yönetim, genel olarak birtak›m verilere bakt›¤›nda ölçüt olarak, nümerik ifadeleri esas al›yor. Sat›fl rakamlar›, maliyetler, karl›l›k, vs. ‹ç denetimde ise tasarruf etkisi, organizasyonda yap›lan de¤iflikliklerin yaratt›¤› maliyet tasarruflar›, reel sat›fl artt›r›c› bir tak›m öneriler ele al›nmakla beraber büyük bir k›s›m öneriler de flirket içindeki kontrol boflluklar›n› tespit edip bunlara iliflkin tedbirlerin al›nmas›n› sa¤lama amaçl›. Hatta bazen iç denetim önerileri sonucunda ters durumlar (maliyet yarat›c›) ortaya ç›kabiliyor. Etkinlik ifade edilirken bazen de yat›r›m yapt›r›c›, maliyet yarat›c› unsurlar olabiliyor. O zaman etkinli¤i nümerik olarak ifade etme çabas› da çok anlaml› kalm›yor. Bu yüzden ilk olarak bunu nitelik aç›s›ndan iyi anlatabilmek ve al›nan aksiyonlar sonras›ndaki pozitif geliflmeleri takip etmek gerekiyor. Aksiyonlar neticesindeki tasarruflar› ve nümerik ç›kar›labilecek kavramlar›, de¤erlendirmeler sonras› üst yönetime götürmek daha yararl› olacakt›r. Özellikle aksiyon karar› ald›rma sürecinde de¤erleri somut olarak ortaya koymak çok zor. H. ‹brahim Ayafll›: "Denetim ve Verimlilik" denildi¤inde konuya iki farkl› aç›dan bakmak mümkündür. ‹lki, denetim departman›n›n kendi içsel verimlili¤idir. Buna göre "Denetim daha verimli nas›l yap›l›r? ve "Mevcut kaynaklarla, mevcut organizasyonda, bu çapta, bu kadar denetlenecek nokta daha verimli nas›l denetlenebilir?" sorular› ve bu sorular›n bulaca¤› karfl›l›klard›r. ‹kincisi ise, denetim yönetiminin organizasyon içindeki varl›¤› sebebiyle örgüt süreçlerinde verimlili¤in sa¤lan›p sa¤lanamad›¤›d›r. Bu iki de¤er ayr› ayr› ölçülmelidir. Denetim içsel verimlili¤i, Uluslararas› ‹ç Denetim Standartlar› ve Mesleki Uygulamalar Çerçevesi, Nitelik Standartlar›, 3.maddede bahsi geçen; "‹ç denetim yöneticisi, iç denetim faaliyetinin tüm yönlerini kapsayan ve etkinli¤ini sürekli gözleyen bir kalite güvencesi ve gelifltirme program› haz›rlamal› ve uygulamal›d›r." hükmü çerçevesinde ele al›nmal›, en az iki y›lda bir ba¤›ms›z denetim ile de yap›lan çal›flmalar›n verimlili¤i ve etkinli¤i teyit ve tescil edilmelidir. Bu ölçülebilen kolay k›s›md›r. Yukarda bahsetti¤im ikinci husus ise iç denetim yönetimlerinin belki de kendilerinin organizasyona olan katma de¤erlerini ifade etmekte en çok zorland›klar› husustur. Denetimler ile organizasyonda sa¤lad›¤›n›z verimlili¤i ve etkinli¤i her zaman ifade edemezsiniz, bu do¤rudur. Ancak organizasyonlar›n iç denetim yönetiminden ve yöneticisinden ne bekledikleri somut görev/bölüm tan›mlamalar›na dönüflebildi¤i ölçüde, iç denetim yönetiminin uygulama sonuçlar› da o nispette ölçülebilir olmaktad›r. Bunun s›rr› aç›k, net ve ölçülebilir hedefler ile görev tan›mlar›nda yatmaktad›r. Bu tan›mlamalar› yapmakta san›ld›¤› gibi basit bir görev tan›m›n›n yaz›m› olarak düflünülmemelidir. Ali Kamil Uzun: ‹ç denetim bir yönetim fonksiyonu ama bir sat›fl, pazarlama, üretim veya di¤er yönetim fonksiyonu süreçlerine göre maliyet ve verimlilik tan›mlar›nda de¤ifliklikler gösteriyor. Çünkü biz riski güvence alt›na almak için baz› yat›r›mlar yap›lmas›n› talep edebiliriz. Bugün aç›s›ndan bir maliyettir ama ilerisi için bir tasarruftur. Bu bedelini ödeyece¤imiz bir riskin önlenmesine yönelik bir tasarruf olabilir. Burada ileriye yönelik bir katma de¤er, gelir söz konusudur. Fonksiyon olarak da varl›¤›n›z, kuruma kurumsal yönetim aç›s›ndan bir referans olaca¤› için bir itibar referans› sa¤layabilir. Tabi bunlar da alg›lamayla, tan›tmayla alakal›. Bir de olay›n d›flsal verimlilik gibi içsel verimlilik boyutundan da bahsetmek mümkün. Denetimin kaynaklar›n› optimum kullanmas› aç›s›ndan çe- flitli teknolojik imkanlar, özellikle bilgisayar destekli denetim teknikleri veya önemli oldu¤unu düflündü¤ümüz risk odakl› denetim planlamas› içsel verimlik ve etkinlik aç›s›ndan önemli gördü¤ümüz araçlar. Hem teknoloji deste¤ini hem risk odakl› planlamay› iç denetimin içsel verimlili¤i aç›s›ndan nas›l de¤erlendirebiliriz? Fuat Öksüz: Risk odakl› denetim yaklafl›m› çok önemli bir konu. Yani "Att›¤›n›z tafl ürküttü¤ünüz kurba¤aya de¤er mi?" Uygulayaca¤›n›z metodoloji ve planlama bu aflamada en büyük verimlilik ve etkinlik olacakt›r. Sonuçta önemli olan risk analizlerini yap›p, flirketin hangi alanlar› daha risklidir, hangi alanlar›na de¤inilmesi laz›m, üst yönetimin beklentileri nelerdir gibi kriterleri ortaya koyup do¤ru ve etkin bir planlama yap›ld›¤›nda iflin bence yüzde 50’si halledilmifl olur. Yaklafl›m mutlaka risk odakl› olmal›. Bunun yan›nda bir de uygulama söz konusu. Olay sadece planlamayla bitmiyor. Burada da etkinli¤i sa¤laman›n yolu öncelikle metodolojinin çok etkin olmas› ile ilgili. Teknolojiden azami ölçüde yararlanmak oldukça önemli. Dene- tim süreçlerinin çok iyi optimize edilmesi gerekiyor. Planlama, çal›flma programlar›n›n, içeri¤i ve ifllevselli¤i ve denetim ekibinin supervizyonu çok iyi dengelenmeli. Bir de unutulmamas› gereken insan unsuru var. Sonuçta bu iflleri insan yap›yor. Do¤ru insanlarla çal›fl›lmas› gerekiyor. Buradaki yetkinlikler, bu kiflilerin e¤itimleri ve kiflisel geliflimleri de çok önemli. Özetlemek gerekirse, verimlili¤in sa¤lanmas›ndaki temel unsur; baflta risk odakl› denetim yaklafl›m›yla etkin bir planlama olmak üzere, uygulayaca¤›n›z ifl süreçleri, kulland›¤›n›z teknoloji ve insan unsurunun etkin bileflimi diyebiliriz. Kemal Sertkaya: Bu konuya de¤iflik bir bak›fl aç›s›yla bakmak istiyorum. Verimlilikten bahsederken iç denetim birimi insan kayna¤› niteli¤inin önemi gere¤i "yönetici fidanl›¤›" gibi yönetici yetifltirmesi gereken bir birim. Bir iç denetim biriminde bu ifli iyi yapan, özellikle birden fazla flirkete hakim olan holding gibi büyük gruplar›n birimlerinde veya dan›flmal›k flirketlerinin birimlerinde çal›flan denetçiler, asl›nda o flirketlerin ilerideki yönetici adaylar›. Son dönemlerde yurtiçi ve yurtd›fl›nda kurumsal bazda bakt›¤›m›zda birtak›m skandallar olufltu. Art›k güvenilir insan kayna¤› ve gruba veya bütün flirketlere hakim olabilecek özellikteki üst düzeyde insanlar› bulmak çok zorlaflt›. ‹yi bir iç denetim birimine sahip olan büyük bir grupta, o birime gereken de¤er verilir, gereken destek sa¤lan›r ve yetkinlikleri ad›na tüm gereksinimleri karfl›lan›rsa; o grup, iç denetim birimi insan kayna¤›n›, ileride gruba yönetici yetifltirebilecek bir birim haline getirir. Ve bence en büyük verimlilik buradan kaz›n›l›r. Personel say›s›n›n yükse¤e ç›kmas› afl›r› derecede harcamalar yap›lmas›ndan bahsetmiyorum. Ama d›flar›dan bir üst düzey yönetici alman›n riskleri flu anda dünya standartlar›nda görülen vakalar sonras›nda oldukça yüksek. K›sacas› ben iç denetimin verimlili¤i ölçütünün bir yat›r›m gibi de¤erlendirilmesi gerekti¤ini düflünüyorum. Yat›r›m› yapars›n›z, özellikleri- ‹Ç DENET‹M / Yaz 2005 AYSBERG 10 11 AYSBERG ni çok iyi bildi¤iniz yeni makinelerin çal›fl›p üretimin kalitesi ve hacmi artt›¤›nda da verimlili¤i orta vadede görebilirsiniz. Buradaki yeni makineleri iç denetim biriminden yetiflen etkin üst düzey yöneticiler ile özdefllefltiriyorum. H. ‹brahim Ayafll›: Günümüzde denetim bilincine ulaflan organizasyonlara bakt›¤›m›zda tek nokta denetim yapmad›klar› görülüyor. Günümüzde çoklu noktalarda, çoklu co¤rafyada hatta dünya çap›nda bir denetim yap›lmas› söz konusudur. Tek noktada hizmet veren bir yönetim, iflleri kontrol alt›nda tutabildi¤ini düflünebilir. Oysa ki konu ulafl›labilir, görülebilir, duyulabilir boyutlar› afl›p da dünyan›n arka taraf›na doland›¤› zaman mutlaka teknoloji, bilgi sistemleri denetimin vazgeçilmez araçlar› haline gelmektedir. Bir denetçi için kesintisiz internet ortam› gibi bilgiye ulafl›m kaynaklar›, lüks de¤il mutlak bir gerekliliktir. Bugün basit bir anlamda tafl›nabilir bir bilgisayar› olmayan denetçi düflünmek hiç do¤ru olmayacakt›r ‹letiflim içinde olabilmek, istenilen kayna¤a ulaflabilmek, denetlenen kaynaklar›n datalar›na ve raporlama tekniklerine herkesten ayr›cal›kl› özel raporlarla ulaflabilmek bugün denetim birimlerinde sa¤lanmas› gereken olmazsa olmaz flartlard›r. Günümüzde içinde olunan bilgi ça¤› ve bilginin elektronik ortamlarda yönetilmesi, IT denetimi denen yeni bir denetim fleklini do¤urmufltur. Kemal Sertkaya: Tabi ki bir denetim biriminin optimum maliyette olmas› gerekir. Bunun yan›nda denetim biriminin, flirketlerin risk yaratabilecek üst düzey yöneticilerinin riskini bertaraf eden bir güç olarak görülebilece¤inin; dolay›s›yla flirkette maliyet gibi görülenin asl›nda ilerde optimalden de yüksek bir maliyet tasarrufu yaratabilecek bir fonksiyon oldu¤unun alt›n› özellikle çizmek istedim. Ali Kamil Uzun: Daha somutlaflt›rmak ad›na kendi uygulama deneyimlerimden birkaç örne¤i paylaflmak istiyorum. Bunlar iç denetimin etkinli¤i, verimlili¤i, katma de¤erinin ölçülebilmesi aç›s›ndan örnek olabilir. Teknolojinin avantajlar›ndan yararlanmak suretiyle ka¤›ts›z ortamda çal›flmay›, raporlar›n elektronik ortamda paylafl›lmas›n›, sayfalarca nüshadan oluflan bir rapor trafi¤i yerine bu tür bir imkandan yararlan›lmas› gibi hususlar› s›ralayabilirim. Hatta bu konuda flifre ve eriflim güvenli¤i sa¤lamak suretiyle her seviyedeki yönetimin teftifl raporlar›na birer kütüphane fleklinde eriflebilmesi, bunlar› takip et- N. Burak Ünlü, YKB, Kredi Risk Komitesi Baflkan› mesi ve bunlardan yararlan›lmas› sa¤lama gibi uygulamalar›m›z olmufltu. Sa¤lanan katma de¤erin ölçülebilmesi bu tür yaklafl›mlarla mümkün oluyor. Öte yandan insan kayna¤›ndan bahsedildi. Bugün bir yönetici arand›¤›nda veya istihdam edildi¤inde beyin avc›lar›na ve bu konudaki dan›flmanlara ödenen hizmet ücretleri veya o kiflinin kurumda oryantasyonu için geçecek süre olarak bak›ld›¤›nda asl›nda katlan›lan maliyetleri dikkate ald›¤›m›zda ölçülebilir. Kriterlerin mevcut oldu¤unu görürüz. Hatta genelde birçok departman insan kayna¤›n› d›flar›ya b›rak›rken, denetim departmanlar› içerdeki boflluklar› kendi içinde ikame ederek gerekti¤inde küçülüp gerekti¤inde yeniden taze insan kayna¤› olarak büyüme flans›na sahipler. ‹ç ve d›fl müflteri tan›mlar›ndan da yola ç›k›ld›¤›nda fonksiyonun etkinli¤ini ve verimlili¤ini ifade etmede, etkinlik memnuniyetini ölçen anket çal›flmalar› iyi bir örnek oluflturabilir. Yetkin insan kayna¤›n› kullanmak çok önemlidir. Çünkü iç denetim bir interdisipliner faaliyettir. Her fonksiyonu da bir kifli üzerinde bulundurmak mümkün de¤ildir. ‹htiyaca göre kurumun içinden veya d›fl›ndan iflin uzman›n› kiralamak ve böylelikle daha verimli bir insan kayna¤› kullan›m›na gitmek mümkün olabiliyor. Günümüzde sertifikasyon da yetkinli¤i ifade ederek belgelemek aç›s›ndan önemli. ‹ç denetim, yetkinli¤ini bu tür sertifikasyonla ifade eden fonksiyonlardan biri. Bu da etkinlik aç›s›ndan ör- nek say›labilir. Örneklerden yola ç›kt›¤›m›zda sizin de paylaflabilece¤iniz uygulamalar neler olabilir? ‹sterseniz konular› biraz daha somuta indirgeyebilmek ad›na bu aflamada uygulamalar›m›z› paylaflal›m. N. Burak Ünlü: Etkinlik ve verimlilikten söz ediyoruz. Fakat etkinlik ve verimlilikte nerede oldu¤umuzu görmeden bunu artt›rman›n imkan› yok. Bunu görmek için "denetim de denetlenmelidir" fleklinde bir yaklafl›mla ve ba¤›ms›z objektif bak›fl aç›s›yla denetim departmanlar› periyodik olarak de¤erlendirilmeli. Kalite de¤erlendirmelerine ve incelemelerine tabi tutulmal›. D›fl bir görüfl al›nd›ktan sonra nerede olundu¤u afla¤› yukar› tespit edilip sonra neler yap›labilecek bunlara karar verilmeli. Ali Kamil Uzun: Uluslararas› standartlar›m›zdan kalite güvence ve gelifltirme program›na göre: ‹ç denetim yöneticisi iç denetim faaliyetlerinin tüm yönlerini kapsayan ve etkinli¤ini sürekli gözleyen bir kalite güvencesi ve gelifltirme program› haz›rlamal› ve bunu sürdürmelidir. Bu program dönemsel iç ve d›fl kalite de¤erlendirmelerini ve devaml› iç gözlem faaliyetini içermelidir. Program›n her parças› iç denetim faaliyetinin katma de¤er yaratmas›na, kurumun faaliyetlerinin gelifltirilmesine yard›mc› olmal› ve iç denetim faaliyetinin etik kurallar›na ve standartlara uymas› konusunda da güvence sa¤lamal›d›r. Burak Bey’in isabetli bir flekilde de¤indi¤i nokta bu. Alg›lama, tan›mlama, anlafl›lma kendimizi aktarma konusunda böyle bir ihtiyac›m›z var. Böyle bir program› da iç denetim faaliyetini yönetirken oluflturmaman›z gerekiyor. Çünkü standartlar bunu öngörüyor. Fuat Öksüz: Son derece yerinde bir görüfl. Standartlara göre de en geç zaten befl y›lda bir d›fl ‹ç denetim yöneticisi, iç denetim faaliyetinin tüm yönlerini kapsayan ve etkinli¤inin sürekli gözleyen bir kalite güvencesi ve gelifltirme program› haz›rlamal›d›r. de¤erlemenin yap›lmas› gerekiyor. Ali Kamil Uzun: De¤inilmesi gereken bir baflka konu ise; iç denetim genel olarak kurum içi kaynaklardan yola ç›karak çal›fl›lan faaliyetler. Fakat günümüzün trendi outsource veya cosource yani d›fl kaynak veya efl kaynak kullan›m›. Yani kendi mevcut çekirdek kayna¤›n›zla d›flardan uzman kuruluflun kayna¤›n› birlikte kullanarak coursource yani efl kaynak kullan›m› veya organizasyon içinde fonksiyonun olmamas›. Risk odakl› denetim plan› gere¤i baz› süreçlerin d›flar›da denetlenmesi gibi uygulamalar çok h›zla gelifliyor. Bu konuda görüfllerimiz neler? Fuat Öksüz: Önemli bir konu. Sonuçta baz› fleyleri outsource etmenin önemli avantajlar› var. Bir kere uzmanl›¤a esnek eriflim sa¤l›yor. Özellikli denetim konular› olabilir. Yani her zaman bu uzmanl›¤› bünyenizde bulundurman›z çok mant›kl› olmayabilir. Uzmanl›¤a esnek eriflim bunun en önemli avantajlar›ndan bir tanesi. Bir di¤eri de maliyet avantaj›n›z olabilir. Bunun yan›nda kaliteyi artt›rmada önemli avantajlar sa¤lanabilir. Bunlar belli bafll› konular ama birkaç tane daha say›labilir. Günümüzde outsourcing kullan›m› önemli bir avantaj olarak de¤erlendirilmeli.. Günümüzde co¤rafya d›fl›na ç›k›l›yor, çok fazla bilgiye ve yetkinli¤e ihtiyaç duyuluyor. Bu da baz› uzmanl›klar› d›flar›dan almay› gerektirebiliyor. Kendi kurumumuzdan örnek vermek gerekirse: Befl k›tada faaliyet gösteren flirketlerimiz var. Biz denetimimizi yaparken de oradan bir uzman kullanma ihtiyac› do¤uyor. Çünkü oran›n mevzuat› bilinmeyebilir. Veya baz› spesifik uzmanl›k gerektiren konular olabilir, IT gibi. Bu gibi konularda d›fl kaynak kullan›m›na gidilmesi son derece faydal›d›r. Bunun verimlili¤in artt›r›lmas›na çok önemli katk›lar› olur. Her fonksiyonun kendi stratejileri do¤rultusunda outsourcing ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 AYSBERG 12 13 AYSBERG AYSBERG H. ‹brahim Ayafll›: ‹ç denetim müdürü ya mali tabandan geliyordur, denetim kimli¤i vard›r, denetçi unvan› al›r; ya Çal›flma ve Sosyal Güvenlik Bakanl›¤›’n›n denetim yap›s›ndan gelen mevzuat denetimine yatk›n bir mevzuat denetçidir ve denetim yöneticisi olmufltur veya ilgili sektör alan›nda uzmanlaflm›fl bilgiye sahiptir. Dolay›s›yla da sürecin denetimine hakim oldu¤u için oradan gelir, denetim yöneticisi olur. Bu üçünden hangisi olursa olsun di¤er ikisi gerçek anlamda eksik demektir. Dolay›s›yla böyle bir yönetici, denetim yapabilmek ad›na içinden gelmedi¤i alanlarla ilgili muhakkak bir referans noktaya baflvurmak zorundad›r. Buna "outsourcing" diyoruz. Bu yola bafl vurmak ve gerekli bilgi kaynaklar›n› kullanmak zorunday›z. Çünkü denetim sonuçlar›n›n sayg›nl›¤›n›n sa¤lanabilmesi "tamam k›smen de olsa ben bilmiyordum ama bir uzmanla beraber bu noktaya vard›m" diyebilmesi ile yak›ndan ilintilidir. Bu yaklafl›m sonucu verimli olabilecek kararlar›n icraya geçmesi için önemli bir itici güç olacakt›r. Bunu makro düzeyde bir d›fl dan›flmanl›k firmas›ndan o konu ile ilgili dan›flmanl›k alabilmek de mümkünken daha mikro düflünmek de söz konusu olabilir. Büyük bir grupsunuz, denetim yap›yorsunuz. D›fl ticaret departman›n› denetleyeceksiniz. ‹thalat, ihracat, gümrükleme, dosyalama gibi konular var. Oraya gideceksiniz ama uzman de¤ilsiniz. Dolay›s›yla bununla ilgili iç kaynaklar›n›zdan ba¤›ms›zl›k ilkesini çi¤nememek kayd›yla yani denetlenen birimin operasyonlar›yla hiçbir ç›kar iliflkisi içinde olmayan baflka bir iç kayna¤› referans olarak alacaks›n›z. Bu yöntemi özellikle süreli operasyonlar/projelerde kullanarak yap›lan tespitlerin alt›n› çizmek pratik olarak uygulad›¤›m›z bir yöntem. Türkiye’de ve Avrupa’da perakende muadil gruplar›nda olmayacak büyüklükte bir laboratuar kuruyoruz. Bu proje esasl› bir denetim ve kontrol süreçleri sonucunda ortaya ç›k›yor. Ben kimyager de¤ilim, kumafl teknolo¤u da de¤ilim ama o konulardaki uzmanlarla beraber ilgili alanlarda risk tespitlerini yap›p, birlikte de alt›na imza att›¤›m›z zaman, tespitler oldu¤u zaman üst yönetim bunun karfl›l›¤›nda milyon ile ifade edilebilecek parasal de¤erlere denk gelen büyük bir laboratuar› kurmaya karar verebiliyor. dolara denk gelen büyük laboratuar› kurmaya gözünün kapat›p karar verebiliyor. Ama bir tek iç denetim raporuyla olsayd› sorgu ve karar süreci daha farkl› ve uzun iflleyebilirdi. Outsourcing için farkl› yerlere gitmeye gerek yok. ‹çimizdeki kaynaklar pratikte çok ciddi sonuçlar verebiliyor. Her kurumun yap›s›nda ve hepimizin kadrosunda çok yetkin insanlar var. Bunlar› iyi yönetmek yeterlidir. ‹ç kaynak kullan›m› ba¤›ms›zl›k ilkesini bozmamak kayd›yla tamamen proje bazl› oldu¤unda pratik bir kaynak olarak karfl›m›za ç›k›yor. Fuat Öksüz: Ben kendimizden örnek vereyim. Biz de özellikle 2006 denetim plan›m›zda önceden baz› öngörülerimiz var. Baz› özellikli konularda grup flirketlerinde denetim yapaca¤›z. Holding bünyesinden uzman arkadafllar› da kullanma konusunda mutabakat›m›z var. Pratikte mümkün ve biz de bunu uyguluyoruz. Ali Kamil Uzun: Tabi burada kurumun ihtiyaçlar› do¤rulusunda baz› projelerde iç denetimden yararlanaca¤› gibi kurumun iç kaynaklar›ndan da bir iflbirli¤i tahsis etmek suretiyle yararlanmak mümkün. Bu iç denetim fonksiyonu olarak, departman olarak sizin tahsis etti¤iniz, verdi¤iniz bir imkan. Öte yandan iç denetimin, kurumun baflka hedefleri için ve kurumsal yönetim güvencesi için ihtiyac› olan kayna¤› da d›flar›dan temin anlam›nda zaman zaman iç denetim faaliyetini desteklemek laz›m. Konu iç denetimde d›fl kaynak, efl kaynak kullan›m›na gelince, hemen ilk karfl›lafl›lan reaksiyon, "içimizi ne kadar d›flar›ya açaca¤›z?" hususu oldu. Ne kadar fleffaf olaca¤›z?, Buna aç›k m›y›z?, Kurum gizlili¤ine bir zarar gelir mi? gibi bir tepkiyle karfl›lafl›yoruz. Sanki yatak odan›z› d›flar›ya aç›yormuflsunuz gibi. Ama onun ötesinde kendi sa¤l›¤›m›zla ilgili örnek vermek gerekirse; çok sigara içiyorsunuz veya özel hayat›n›za dikkat et- Ali Kamil Uzun, Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan› miyorsunuz baz› sa¤l›k riskleriniz var bunu doktorla paylaflma yollar›na gidiyorsunuz. Veya baz› ruhsal s›k›nt›lar›n›z, ya da cinsel hayat›n›zda düzensizlikler var. Bunu ise bir doktorla, psikologla paylaflma konusunda çekingenlikler gösterilebiliyor. Ama sonuçta sa¤l›ks›z bir durum ç›k›yor ortaya ve problem çözülemiyor. Yürütülen bir faaliyetin d›flar›dan desteklenmesini de buna göre tekrar gözden geçirip kayg›lardan uzaklaflt›r›labilece¤i düflünüyorum. Bu da maliyet aç›s›ndan katk› sa¤l›yor. Çünkü her uzman› kendi bünyenizde istihdam edemezsiniz. Yetkin insanlar› uzun süre istihdam etmek bir maliyettir. Öte yandan her bilgi sizde mevcut de¤ildir ve her en iyi uygulama örne¤ine sahip de¤ilsinizdir. Böyle bir kayna¤a zaten en iyi uygulamalardan yararlanmak için ihtiyaç var. Ayr›ca standartlarda yer alan önemli prensiplerden biri de ba¤›ms›zl›k ve objektiflik. Organizasyonun hiyerarflisi içerisinde de bu ba¤›ms›zl›k ve objektiflik konusunda yönetimin tutumundan kaynaklanan her zaman bir risk söz konusu. Veya kurumsal hiyerarfli içerisinde iyi niyetli çabalar veya faaliyetler engellenebilir. Ama d›flardan bir efl kaynak kullan›m›na gidildi¤inde bunu aflmak mümkün olabilir. Risk yönetiminden söz edilirken, riskin paylafl›lmas› aç›s›ndan da d›fl kaynak, efl kaynak kullanmak bu anlamda önemli. Çünkü öteki türlü bütün kurum içi riski, denetim riskini siz üstlenmifl oluyorsunuz. Ne kadar yetkin, etkin olursan›z olun her türlü faaliyeti veya riski yönetmeniz mümkün de¤ildir. Onun için bu tür uzmanl›klar› kullanmak gerekir diye düflünüyorum. Böyle bakt›¤›m›zda d›fl kaynak kullan›m›, efl kaynak ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 alternatifini, düflünmesi ve yeri geldi¤inde de uygulamas› taraftar›y›m. Kemal Sertkaya: Ben de özellikle çok uluslu bünyelerde belli alanlarda yetersizlikler olabilece¤ini bizzat yurtd›fl›nda denetim yapm›fl birisi olarak gördüm. Onlar da buraya geldiklerinde bir tak›m handikaplar yafl›yorlar. Biz de oraya gitti¤imizde birtak›m s›k›nt›lar yafl›yoruz. Bu gibi yap›lar içinde d›fl kaynakl›(outsource) ifllemlerden yararlan›labilece¤ini düflünüyorum. Ama bir de bu iflin Türkiye’de ve dünyada flirketlerin ne kadar fleffaf olma iste¤i ile de ba¤lant›l› oldu¤unu düflünüyorum. Bir iç denetim birimi, "iç denetimin flu kadarl›k k›sm›n› outsource edelim" diye üst yönetime teklif götürdü¤ünde süreç o üst yönetimin ne kadar fleffaf olmak istedi¤i, kay›tlar›n› ne kadar açmak istedi¤i ile de ilgili. Meslek kalitesini yükseltmek ve yöntemleri gelifltirmek için her zaman mutlaka bir denetim biriminin belli periyotlarda denetlenmesine eminim üst yönetim de s›cak bakacakt›r. Ama bu bahsedilen konu bizim biraz daha d›fl›m›zda geliflebilen ve birtak›m handikaplar› olan çok hassas bir husus diye düflünüyorum. Her ne kadar ortada sözleflmeler de olsa gidilen flirketlerin kay›tlar›n› ne kadar büyük rahatl›kla outsource edilen gruba aç›yor olmas› belirleyici bir kriter. Fuat Öksüz: Belirtilmesi gereken bir nokta da iç denetimi yerine getirilmesi gereken bir fonksiyon olarak görmek laz›m. Fonksiyon her zaman sizin kendi içinizde bir birim olmas›n› gerektirmez. Bu fonksiyon tamamen d›flar›dan da al›nabilir. Özellikle küçük flirketler kendi içlerinde bir birim kurmaya gerek duymazlar. Onlar için hizmeti d›flar›dan almak çok daha mant›kl› olabilir. 14 15 AYSBERG kullan›m›, olmas› gerekenler, rasyonel fleyler olmak durumunda. Kurumun çeflitli kademelerindeki pozisyonlar›nda sürekli kayg›lar mevcut: "D›flar›dan m› alay›m?", "kendi içimde var, bizim kendi departman›m›z var, ne güne duruyor", "baflkas›na bunu niye verelim?" gibi bir çeliflki de yaflan›yor. Belki kültür olarak bunu aflmak gerekebilir. Bu konuda neler yap›labilir. Yani bir yol göstermek ad›na neler söyleyebiliriz? Bu anlamda etkinli¤i ve verimlili¤i ifade edecek ek kaynaklara, d›fl kaynaklara da ihtiyaç oldu¤unu düflünüyorum. ‹ç denetim faaliyetinin yönetimi, verimlili¤i, etkinli¤inden söz edildi. Yönetim Kurulu’nda da iç denetimin faaliyetinin etkinli¤ini ve verimlili¤ini gözeten bir komite var: Denetim Komitesi Bütün bu konulara bakt›¤›m›zda meslektafllar›m›za tavsiyelerimiz neler olabilir? Fuat Öksüz: Hem denetim komitesi aç›s›ndan hem kaynak kullan›m› aç›s›ndan ele alal›m. Bütün bunlar› konuflurken bir fleye de de¤inmek laz›m. Asl›nda iç denetim birimlerinin organizasyondaki yeri de çok önemli. Bunlar›n her fleyden önce yönetim kuruluna rapor veren konumda olmas› laz›m. Hem ba¤›ms›zl›k ve tarafs›zl›¤› sa¤lamak hem de etkinli¤i ve verimlili¤i artt›rmak aç›s›ndan bu çok önemli. Baz› kurumlarda dene- tim birimi, mali gruplar›n alt›nda olabiliyor. Bunlar çok do¤ru fleyler de¤il. Özellikle yaflanan son flirket skandallar›ndan sonra denetim komiteleri daha da fazla önem kazand›. Bizdeki uygulamalara bak›ld›¤›nda halka aç›k flirketlerde zorunluluk var ama genel gözlem; pek etkin çal›flm›yor fleklinde olacakt›r. Hani biraz ka¤›t üzerinde varl›klar› var. Asl›nda önemli ifllevleri de var. Denetim Komitesi yönetim kurulu ad›na denetim faaliyetini gözetmekle sorumlu. Asl›nda bunun etkinli¤i bir yerde kurumun denetime verdi¤i önemi de gösteriyor. Bizim halka aç›k flirketlerde denetim komitesinin ifllevi genelde SPK tebli¤i ile belirlenmifl. Ama biz Sabanc› Holding olarak dünyadaki en iyi uygulamalar› örnek alarak bir denetim komitesi oluflturduk. Sadece SPK’n›n çok s›n›rl› üç-dört maddesine ba¤›ml› kalmad›k. Sonucunda da çok etkin çal›flan bir denetim komitemiz var. Denetim birimiyle son derece koordineli ve etkin çal›fl›yor; bu da bizim etkinli¤imizi ve sahiplenmemizi artt›r›yor. Çünkü denetim komitesi, yönetim kurulu ile iç denetim birimi aras›nda çok ciddi köprü görevi görüyor. Bu bak›m›ndan bunlar›n da etkin olmas› çok önemli. Cosourcing, outsourcing konular›na gelince; konunun öneminin iletiflimi kadar baz› fleyleri so- mut olarak ortaya koymak da çok önemli. Siz bunun önemini çok iyi anlatacaks›n›z, uygulamaya ikna edecekseniz ama uygulama sonucunda bir katma de¤er yarat›lacak ki bu da görülsün ve benimsensin. "‹çimizi açal›m, açmayal›m" bu biraz kurumun kültürüyle alakal› bir olay. Ama art›k günümüz dünyas›nda flirketlerin baflar›lar› bir yerde kurumsal yönetim endeksi ile de ölçülüyor. Bu endeks flirketlerin itibar› aç›s›ndan, de¤erini ölçme aç›s›ndan çok önemli bir kriter haline geldi. Zaten bu kavram geliflti¤i sürece art›k fleffaf olmak zorunda kal›nacak. Bu da itici bir güç olacakt›r. Öncelikle de bize düflen görev, kurumsal yönetimin önemini kendi yönetimlerimize daha fazla vurgulamak. Bunun da flirket de¤erinde kriter oldu¤unu vurgulayarak bir kamuoyu yaratmak gereklidir diye düflünüyorum. Ali Kamil Uzun: Bir ifle baflvuruyorsunuz sa¤l›k raporu istiyorlar. Kurumsal yönetim aç›s›ndan da bak›ld›¤›nda iç kaynak, d›fl kaynak, efl kaynak hangi kaynak kullan›l›rsa kullan›ls›n iç denetim faaliyeti de kurumun bir sa¤l›k raporunu ortaya ç›karmaktad›r. Çünkü denetimin bir kurumsal doktorluk görevi var. Bu anlamda da bahsedildi¤i gibi rekabette var olmak isteniyorsa kurumlar›n buna aç›k olmas› laz›m. Fuat öksüz: Öyle tahmin ediyorum ki bu zamanla biraz daha geliflecektir. Gelecekte muhtemelen bankalar ve benzeri kurulufllar flirket analizlerini yaparken sadece ba¤›ms›z denetim raporu Fuat Öksüz, Hac› Ömer Sabanc› Holding A.fi., Denetim Daire Baflkan› de¤il, flirketlerin kurumsal yönetim ve risk yönetiminde etkinli¤ini ölçen raporlar isteyecek. fiirketin, kurumsal yönetim ilkelerine uyumu ve riskleri nas›l yönetti¤ine dair bir rapor almas› en az bir denetim raporu kadar de¤erli olacak. Ali Kamil Uzun: fiunu da ekleyelim: Basel-II prensipleri 2007 bafl›ndan itibaren Avrupa’da ve dünyada uygulamaya geçiyor. Türkiye’de de 2008 bafl›nda; standart yaklafl›mla 2009’dan itibaren de ileri yaklafl›mla uygulanmas› öngörülüyor. Bankalar bu konuda haz›rlan›yor ancak as›l haz›rlanmas› gereken baflka bir kesim. O da reel sektör. Ve burada da kredi derecelendirme kurulufllar› mali bünye riskinin yan› s›ra sizin kurumsal yönetim kaliteniz aç›s›ndan size derece verecek. Bunlar da bankalar›n müflterilerinden talebi ile birlikte tüm ifl hayat›nda kurumsal yönetime iliflkin kaliteyi ortaya koyacak raporlar olacak. Bu da risk yönetimi ve iç denetim gibi konular› gündeme getirecek. Kemal Sertkaya: Ben biraz espriyle kar›fl›k pragmatik yaklafl›mla bir fley söylemek istiyorum: Bir kurumun iç denetim biriminin bafl›nda olan hiç kimsenin "Biz etkin ve verimli çal›flam›yoruz, bu ifli outsource edelim" deme flans› yok (bu iflin espri taraf›). Etkin ve verimli çal›flmayan bir iç denetimin biriminin de üst yönetime karfl› "hay›r ben etkin ve verimli çal›fl›yorum" deme flans› yok. Üst yönetim zaten o konu ile ilgili karar› bir noktaya geldikten sonra verir. ‹ç denetim birimleri kendi etkinlik ve verimliliklerini artt›rman›n yollar›n› sadece outsource aç›s›ndan de¤il her aç›dan araflt›r›p her türlü kayna¤a baflvurup yaratmak zorundalar. Bu d›fl kaynaklar ile ilgili yan yana, kol kola bir dönemlik çal›flma da olabilir, belli bir dönem için hizmet al›n›p onlar›n yolunu izleme veya uzun dönemli bir e¤itim program› da olabilir. Bilgi paylafl›m›n›n flirket içi ve outsource birimleri aras›nda çok yüksek seviyede olmas› laz›m. Birim olarak bak›ld›¤›nda etkinli¤i ve verimlili¤i sa¤lamak iç denetim yöneticisinin bafl görevi. Bu kifli bunu yapam›yorsa bir zamandan sonra oran›n yöneticisi de olamaz. Dolay›s›yla bunun bir karar de¤il, misyon olmas› laz›m. "Ben outsource ile çal›flay›m m›, çal›flmayay›m m›?, etkin mi olay›m verimli mi?" konular› bir karar noktas› de¤il. Etkin çal›flan bir denetim komitesi sayesinde ancak iç denetim biriminin etkinli¤inden söz edilebilir. O komite üyelerinin, yönetim kurulu üyeleri olmalar›, flirket içinden olmalar› veya ba¤›ms›z olmalar› bu ifle bak›fl aç›s› ve iç denetimin ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 AYSBERG 16 17 AYSBERG ‹Ç DENET‹M / Yaz 2005 sundu¤u öneriyi aksiyona dönüfltürebilme kabiliyetleri aç›s›ndan çok önemli. Ayn› fleyi ben de bizim flirketimizde yafl›yorum. Bizim flirketimizden örnek vermek gerekirse düzenli toplant›lar oluyor, kat›l›yorum, bilgilendirmeler oluyor vs. Son derece etkin bir denetim komitemiz var. Bir iç denetim birimi yöneticisi outsource veya consourse iflini her zaman de¤erlendirmek zorunda di¤er bütün etkinli¤e giden yollar› de¤erlendirmek zorunda oldu¤u gibi. En iyisi ne "outsource edilip, kol kola gidilmesidir" ne de "biz içimizi açmak zorunda de¤iliz, bu ifli en iyi flirketin içindekiler yapar" anlay›fl›d›r. Ali Kamil Uzun: Söylenenleri flöyle flekillendirmek mümkün; etkinlik ve verimlilikten bahsederken ayn› zamanda kaynak yöneticili¤i de yapmak laz›m. fiirket içi kaynaklar mevcut oldu¤u gibi flirket d›fl›nda da hizmet sa¤layacak kaynaklar var. Ak›lc› bir yaklafl›m göstererek tüm kaynaklar› de¤erlendirmek ve kullanmak bir iç denetim yöneticisini daha etkin ve verimli hale getirecektir. Zaten kurum da kendisinden bunu bekliyor. Yani bir faaliyetin minimum kaynakla etkin bir flekilde yerine getirilmesi gerekiyor. O zaman bu iç kaynak yeterli ise böyle yap›labilir veya yeni faaliyet alanlar› söz konusu ise bunu d›flardan sa¤lamak mümkün olabilir. Kaynak yönetimi derken iç denetim yöneticisine de profesyonel anlamda de¤er katacak bir katk›dan bahsediyoruz. Onun da profesyonel de¤eri bu anlamda artacakt›r. Kemal Sertkaya, Do¤an Media Group ‹ç Denetim Müdürü H. ‹brahim Ayafll›: Meslektafllar›m›za tavsiye etmek ad›na; en az›ndan Türkiye’de asgari bir standard› veya iyi bir standard› ifade etti¤i için ilan edilmifl Kurumsal Yönetim Kanunu’nun bir kopyas›n›n al›nmas›, okunmas› ve yönetimin bundan haberdar edilmesi gerekti¤ini düflünüyorum. Çünkü gelecekte kurumu bekleyen yönetim standard›n›n bütün ilkeleri burada asgari olarak belirtilmifl. Bu flartlar› sa¤layabilmek için bizim bir d›fl kayna¤›n denetiminden geçerek kurumsal yönetiflimdeki performans›m›z›n karfl›l›¤› bir rapor almak durumunda olabilece¤imiz günler gelebilir. Ali Kamil Uzun: Genel olarak ve son söz niteli¤inde bir de¤erlendirme alabilir miyiz? N. Burak Ünlü: Dipnot olarak ben bir fleyler eklemek istiyorum. ‹ç denetimin hizmetlerini karfl›lamaya tamamen d›fl kaynak veya iç kaynak kullanmak olarak bakt›¤›m›zda, iki taraf›ndan da bir tak›m art›lar› ve eksileri oldu¤unu görüyoruz. ‹ç kaynak kullan›l›rsa sabit gider olarak bilançoda sürekli bir denetim maliyeti görülecek. Ve bunu kontrol etme flans› da olamayabilecek. D›fl kaynak kullan›l›rsa daha de¤iflken bir gider olarak geçici olan, süreklilik tafl›mayan, uzmanl›k gerektiren konularda kullanabilecek bir kaynak olarak elde bulunabilecek. En önemli farklardan biri de iç denetimin flirket bünyesinde bulunmas›, suistimallerin ve yolsuzluklar›n önlenmesi aç›s›ndan d›fl denetime k›yasla daha avantaj sa¤lad›¤› hususu olacakt›r. ‹ç denetçiler daha cayd›r›c› niteliktedir. Çünkü kurumu, personeli daha yak›ndan tan›yorlar. Süreçleri biliyor olmalar› nedeniyle de suistimallere karfl› daha uyan›k durumdalar. Zaten öyle de olmak zorundalar. Ve birtak›m riskleri, stratejileri daha iyi alg›lad›klar› için suistimallari ve yolsuzlar› tespit edebilme veya olas›l›¤›n› belirleme güdüleri daha yüksek. Ama bu tabi ki ba¤›ms›zl›k, tarafs›zl›k, objektivite kriterlerinin yerine getirilmesi flart›yla geçerli. Aksi halde "ben kurumu tan›yorum, personeli daha iyi biliyorum" rahatl›¤› ile flüphecilikten uzak bir flekilde bu avantaj›n ters olarak dezavantaja dönüflme riski de var. Kemal Sertkaya: Fuat Bey’in daha önce söyledikleriyle de paralel olarak; iç denetimin kendini yukar›ya ifade edebilmesi, kabul ettirebilmesi, arkas›na üst yönetimi almas› etkinli¤in ve verimlili¤in bafllang›c› aç›s›ndan temel oluflturuyor. Yani etkin ve verimli olacak bir iç denetim mutlak surette üst yönetime ne yapt›¤›n›, ne yapaca¤›n› çok iyi anlatm›fl olmas› laz›m. Kurum içi ve kurum d›fl› kaynaklar› kullanarak katma de¤er ve sinerji yaratmak iç denetim faaliyetlerinin etkinli¤i ve verimlili¤i için gereklidir. Sonra da ak›lc› bir yönetim sonucu kaynaklar›n etkin kullan›m› ile outsource olsun, cosource olsun yan yana çal›flmak olsun, optimizasyon olsun, teknoloji olsun bunlar› kullanan herhangi bir yönetici, rasyonel bir yönetim tarz›yla eninde sonunda etkinlik ve verimlilik getirecektir. Ama katma de¤er yaratman›n, aksiyon ald›rman›n birinci koflulu olarak, üst yönetimin mutlaka arkan›zda, yan›n›zda hatta önünüzde oldu¤unu hissettirmesi gerekti¤ini düflünüyorum. H. ‹smail Ayafll›: Organizasyonlar büyüyebilir daha büyük bir organizasyonda görev al›nabilir. Sorumluluk alanlar›na daha genifl co¤rafyalar ilave edilebilir. Böyle bir durum iç denetim kadrolar›n›z›n dörtken befl, on iken yirmi denetçiye ulaflmas› anlam›na gelmemelidir. ‹ç kontrol sistemlerinin lokal noktalara kurulmas› ve iç denetimin o noktalarda kesintisiz devam›n›n iç kontroller ile ilgili departman yönetimlerince sa¤lanmas› imkanlar› göz ard› edilmemelidir. Geniflleme ihtiyac› duyan denetim yap›lar›nda alternatif bir uygulama olarak göz önünde tutulmal›d›r. Buna göre birimler kendi süreçlerini kendileri kontrol etmeli, denetim ve kontrol sorumlulu¤u paylaflmal›d›rlar. Fuat Öksüz: ‹ç denetçiler ayn› zamanda çok iyi iletiflimci ve pazarlamac› da olmak zorundalar. Denetçilerin çok iyi mesajlar verebilecek konumda olmalar› gerekir. Bugün biraz da gerçeklere bakt›¤›n›z zaman geçmifle göre meslekte çok büyük ilerleme var. Bunu özellikle son üç-befl y›lda görüyoruz. Fakat daha da ileriye götürmemiz gerekiyor. Bunun için de pazarlama ve iletiflim yetkinliklerimizi özellikle bu dönemlerde çok daha üst seviyelere ç›karmam›z gerekiyor. Ali Kamil Uzun: Ben de k›saca özetleyeyim ve toplant›y› noktalayal›m. Bir kurumda iç denetimin varl›¤› veya geliflmifllik düzeyi kurumun kültürünün ifadesi, aynas› olarak de¤erlendirebilir. ‹ç denetçi olarak bize düflen etkin bir tutum ve tav›r, iletiflim becerilerini kullanmak suretiyle kuruma bu de¤iflimde katk› sa¤lamak. Bu dönüflümde yol göstermek, öncü olmak, liderlik yapmak gibi de bir sorumlulu¤umuz var. Yani burada iletiflim becerilerimizi kullanaca¤›z ve yapm›fl oldu¤umuz faaliyetin katma de¤erini kurumun her seviyesine paylaflmak aç›s›ndan anlataca¤›z ve aktaraca¤›z. Burada bunu yaparken di¤er taraftan bir kaynak yöneticisi oldu¤umuzu da unutmayaca¤›z. Gerek kurum içi kaynaklar› gerek kurum d›fl› kaynaklar› kullanarak katma de¤er yaratmak, sinerji yaratmak bu anlamda faaliyetin etkinli¤ini, verimlili¤ini artt›rmak aç›s›ndan ve kaynak yöneticisi oldu¤umuzu unutmamam›z aç›s›ndan önemli. Çünkü sonuçta bunun bütçesini bize üst yönetim verecek ama gereklili¤ini anlatacak olan, ikna edecek olan da biziz. Ayn› zamanda kaynak yöneticili¤i etkin olarak yapabilmek için bir ikna gücümüzün var olmas› laz›m. Di¤er bir nokta da dünyada ve ülkemizde kurumsal yönetim ilkeleri ile ilgili var olan düzenlemeler ve bundan sonraki geliflmeleri de dikkate ald›¤›m›zda kurumlar›n yönetim kurullar›nda çok önemli sorumluluklar›n topland›¤›n› görüyoruz. Yönetim kurullar› kurumun riskinin yönetilmesinden, denetimine kadar tüm temel faaliyetlerden sorumlu. Bunu da denetim komiteleri arac›l›¤› ile yap›yor. Yani iç denetim yöneticisi ve bir kaynak yöneticisi olarak , faaliyeti etkin ve verimli kullanacak. Fakat bir de bu faaliyetlerin etkin ve verimli yönetildi¤ini gözeten yönetim kurulu ad›na bir denetim komitesi var. Denetim komitesi de bu anlamda bunu de¤erlendirebilecek yetkinlikte olacak. Yönetim kurulu da bu anlamda bu gözetime sahip ç›kacak ve deste¤ini sa¤layacak. Düzenleyici otoriteler olan BDDK ve SPK bu konuda takipçi olacak ki Kurum içinde iç denetim faaliyetinin etkinli¤i ve verimlili¤i garanti alt›nda olsun. Son olarak yönetim kurulu, denetim komitesi, iç denetim birimi ad›na bakt›¤›m›zda da gerek kurum içinde olsun gerek kurum d›fl›nda olsun çözüm ortaklar›m›za ihtiyac›m›z oldu¤u ve bunlar› da çok iyi bir flekilde de¤erlendirmemiz ve kullanmam›z gerekti¤i sonucu ortaya ç›k›yor. Ben de¤erli görüfllerinizi, kurumunuzla ilgili en iyi uygulama örneklerini dergimiz okurlar› ile paylaflt›¤›n›z için teflekkürlerimi ifade ederek toplant›y› sona erdiriyorum. ‹Ç DENET‹M / Yaz 2005 AYSBERG 18 19 YEfi‹L KALEM YEfi‹L KALEM N. Burak ÜNLÜ olunmal›d›r. Takdir yetene¤inden kastedilen, mevcut veya potansiyel problemlerin fark›na varabilme ve daha ileri araflt›rma veya destek sa¤lanmas›n›n gereksinimi belirleme yetene¤idir. ‹ç denetçiler insanlarla iletiflimde baflar›l› olmal›d›rlar. Bu nedenle insan iliflkilerini anlamal›, denetim yap›lan yerdeki kiflilerle etkin bir iletiflim sürdürmeli, gerek yaz›l› gereksede sözlü iletiflimde yetkin olmal›d›rlar. ‹ç denetim yöneticisi, iflin kapsam› ve sorumluluk derecesini dikkate alarak iç denetim departman›ndaki pozisyonlara atama yaparken, e¤itim ve tecrübeyle ilgili uygun kriterler oluflturmal›d›r. The IIA’nin mesleki yeterlilik üzerine yay›nlad›¤› uygulama tavsiyesinden sonra afla¤›da di¤er önemli nitelikleri inceleyece¤iz. Dürüstlük ‹Ç DENET‹M / Yaz 2005 ‹ç denetçilerin görevlerini mesle¤e ba¤dafl›r ve standartlara uygun bir flekilde yerine getirebilmeleri için sahip olmalar› gereken niteliklerden baz›lar›na afla¤›da yer verilmifltir. Burada inceleme konusu yap›lan ve temel say›labilecek niteliklere çok say›da ekleme yap›labilece¤i unutulmamal›d›r. • • • • • • • • • • Mesleki Yeterlilik Dürüstlük Tarafs›zl›k Araflt›rma ve Gözlem Becerisi Problem Çözme ve Analitik Düflünme ‹letiflim Becerisi Etkin Dinleme Görüflme Teknikleri fiüphecilik Raporlama Becerisi IIA Uygulama Tavsiyesi – 1210: Mesleki Yeterlilik ‹ç denetçiler, iç denetim standartlar›, prosedürleri ve tekniklerini uygularken mesleki yeterlili¤e sahip olmal›d›rlar. Yeterlili¤in anlam›; yo¤un bir teknik araflt›rma ve deste¤e gereksinim duymaks›z›n, mevcut bilgilerini uygulamaya koyabilme yetene¤idir. Finansal kay›tlar ve raporlarla çok yo¤un olarak çal›flan iç denetçilerin, muhasebe prensipleri ve teknikleri hakk›nda gerekli mesleki yeterlili¤e sahip olmalar› gereklidir. ‹yi ifl pratiklerinden sapmalar›n fark›nda olmak ve de¤erlendirebilmek için yönetim prensipleri hakk›nda gereken anlay›fla sahip olunmal›d›r. Muhasebe, ekonomi, ticaret kanunu, vergi, finans, say›sal metodlar, bilgi teknolojileri vb. konular hakk›nda temel bir takdir yetene¤ine sahip ‹ç denetçiler görev ve sorumluluklar›n› yerine getirirken her fleyden önce dürüst olmal›, her ne koflulda olursa olsun yalan söylemekten kaç›nmal›d›rlar. Meslek gere¤i olarak do¤rular› ve gerçekleri arayan bir kiflinin dürüstlükten uzaklaflmas› ve/veya yalan söylemesi asla kabul edilemez. Dürüstlük, toplumsal ve ahlaki de¤erler içerisinde erdemli bir davran›fl flekli olmas›n›n yan›s›ra sa¤l›kl› ve etkin bir iletiflim için olmazsa olmaz koflullardan biridir. ‹letiflimde dürüst davranmayan bir iç denetçi, karfl›l›kl› güveni tesis edemeyece¤i için kendisine karfl› dürüst davran›lmas›n› beklememelidir. Bu yüzden iç denetçiler davran›fl, görünüm, tutum ve düflünceleriyle çevrelerine güven vermelidirler. ‹ç denetçiler, çal›flt›klar› kurumun etik de¤erlerine sahip ç›kan, bu de¤erlerin korunmas› için çaba gösteren ve örnek bir model fleklinde alg›lanan kifliler olmalar› nedeniyle iletiflimlerinde dürüst olmal›d›rlar. Bir kiflinin di¤erlerine dürüst davranabilmesi için öncelikle kendisine karfl› dürüst olmas› gerekti¤i unutulmamal›d›r. Tarafs›zl›k ‹ç denetçiler, gerek denetim gerekse de inceleme ve soruflturma faaliyetlerinin her aflamas›nda objektif bir düflünce sistemine sahip olmal›d›rlar. Denetim çal›flmalar›nda tarafs›z olunmaz ise do¤ru ve güvenilir bilgiye eriflmek mümkün olmayacakt›r. Yine elde edilen bilgi ve belgelerin de objektif bir flekilde de¤erlendirilmesi ve raporland›r›lmas› çok önemlidir. ‹ç denetçiler, objektif düflünce ve yarg›lar›n› sa¤- l›kl› bir flekilde muhafaza edebilmek için denetim yapt›klar› birim çal›flanlar›ndan maddi de¤eri yüksek herhangi bir hediyeyi, yard›m önerilerini kabul etmemeli, bu kiflilerle iliflkilerinde tarafs›z düflüncelerini zedelemeyecek ölçüde mesafeli ve profesyonel davranmal›d›rlar. Tarafs›zl›¤›n önündeki en büyük engellerden birisi ön yarg›lard›r. Ön yarg›lar, kiflinin gelifliminde ve yaflad›¤› dünyaya uyum sa¤lamas›nda belirli bir noktaya kadar faydas› bulunmakla birlikte genellikle gerçekçi düflünce sistemini zedeleyen kal›plaflm›fl tutum ve düflüncelerdir. Kal›plar›n d›fl›na ç›kabilmek için de ba¤›ms›z düflünebilme yetene¤ini gelifltirmek ve olaylara farkl› aç›lardan yaklaflabilmek gereklidir. ‹ç denetçiler, tarafs›zl›klar›n›n zarar gördü¤ü veya görebilece¤i durumlar› acilen yöneticileriyle paylaflmal›lar ve denetimin s›hhatine zarar gelmesini engellemelidirler. Araflt›rma ve Gözlem Becerisi ‹ç denetçiler iyi birer araflt›rmac› ve gözlemci olmal›d›rlar. Güvenilir ve do¤ru bilgiye ulaflabilmek için öncelikle iyi bir araflt›rmac› olmak gereklidir. En k›sa zamanda en güvenilir bilgiye hangi yöntemle ulafl›labilece¤i bilinmelidir. Bunun için analitik düflünce sistemine sahip olman›n yan›s›ra görev yap›lan organizasyonun yap›s› ve faaliyetleri, istenilen bilgiye ulafl›lacak kaynaklar ö¤renilmelidir. Gözlem becerisi sayesinde denetlenen birimin çal›flanlar›, personelin davran›fl›, faaliyetlerin gerçeklefltirilme flekli, usulsüz eylem ve davran›fllar vb. birçok konuda görüfl sahibi olunmas› mümkündür. Bu yüzden iyi bir iç denetçi, görevini yerine getirirken sadece önündeki materyal ve dökümanlara de¤il, içinde bulundu¤u ortamdaki maddi ve maddi olmayan di¤er unsurlara da dikkatini vermelidir. Problem Çözme ve Analitik Düflünme Becerisi ‹ç denetçiler, organizasyonda çok çeflitli türden inceleme ve denetim faaliyetlerini gerçeklefltirirken birçok problemle karfl›lafl›rlar. Objektif ve ön ‹ç Denetçiler davran›fl, görünüm, tutum ve düflünceleriyle çevrelerine güven vermelidirler. ‹Ç DENET‹M / Yaz 2005 ‹ç Denetçilerde Bulunmas› Gereken Nitelikler 20 21 YEfi‹L KALEM YEfi‹L KALEM ‹letiflim Becerisi Etkin iletiflim becerilerinden söz etmeden önce iletiflimin tan›m›n› yapmakta ve iletiflimi bir süreç olarak ele almakta fayda vard›r. Bugüne de¤in iletiflimin 200’den fazla tan›m› yap›lm›fl olmakla birlikte, son zamanlarda kabul gördü¤ü flekliyle; iletiflimi 2 veya daha fazla kifli aras›ndaki bilgi al›flverifli olarak tan›mlayabiliriz. ‹letiflimin ana unsurlar›, • • • • • • Mesaj Gönderici Al›c› Çevre (Ortam) Geri Bildirim Gönderim Kanallar› ‹Ç DENET‹M / Yaz 2005 Baflar›l› ve etkin bir iletiflim için yukar›da say›lan unsurlar›n tümü hassas bir flekilde de¤erlendirilmelidir. Unsurlardan birindeki uyumsuzlu¤un dahi iletiflimin kalitesini olumsuz etkileyece¤i gözönünde bulundurulmal›d›r. ‹letiflim aktivitesiyle ilgili unutulmamas› gereken önemli bir nokta daha mevcuttur. ‹letiflimde mesajlar›n %55'inin yüz ve beden ifadeleri, %38'inin söz ötesi ve ancak %7'sinin sözlerle ‹ç denetçi, gerek denetim gerekse inceleme ve soruflturma aflamas›nda görevini mesle¤i ile ba¤dafl›r ve standartlara uygun bir biçimde yapmal›d›r. verildi¤i belirlenmifltir. Dolay›s›yla; kiflileraras› iletiflimde ne söyledi¤imiz kadar nas›l söyledi¤ine de önem verilmesi gereklidir. Etkin iletiflimin ana unsurlar›na afla¤›daki IIA tavsiyesinde yer verilmifltir; IIA Uygulama Tavsiyesi – 2420: ‹letiflimin Kalitesi Do¤ru iletiflim; hatalardan veya çarp›tmadan ar›nm›flt›r. Bilgi ve olaylar›n elde edilmesi, de¤erlendirilmesi ve sunum için özetlenmesi, özen ve dikkat ile gerçeklefltirilmelidir. Objektif iletiflim; dürüst, tarafs›z ve bozulmam›fl bir flekilde gerçekleflmekte, ilgili durum ve gerçeklerin dengeli bir de¤erlendirmesi sonucu meydana gelmektedir. Gözlemler, yorumlar ve öneriler ön yarg›s›z, kiflisel ç›karlardan ar›nm›fl ve di¤erlerini etkileme amac›ndan uzak bir flekilde gerçeklefltirilmeli ve sonuçlar› ayn› duyarl›l›k içinde iletilmelidir. Aç›k ve net iletiflim; kolayl›kla anlafl›labilir ve mant›kl›d›r. Gereksiz teknik dil kullan›m›ndan kaç›narak ve tüm önemli bilgilere sa¤lanarak iletiflimdeki netlik gelifltirilebilir. K›sa ve öz iletiflim; önemli noktalara de¤inmek amac›n› tafl›r. Gereksiz detaylardan, kelime fazlal›¤›ndan, a¤dal› ifadelerden kaç›n›lmal›d›r. Yap›c› iletiflim; denetlenenlere ve organizasyona faydal› olmas›n›n yan› s›ra ihtiyaç bulunan yerlerde iyilefltirmeye yöneliktir. Sunumun içeri¤i ve tonu; faydal›, pozitif ve kurumun hedeflerine yard›mc› olmal›d›r. Tam iletiflim; hedef dinleyiciler için önemli olan her noktay›, sonuçlar› ve önerileri destekleyecek netlikteki tüm önemli ve ilgili bilgileri içerir. Zaman›nda iletiflim; tavsiyeler üzerinde aksiyonda bulunacak kiflilerin konuyu dikkatlice ele almalar› için uygun zamanda gerçeklefltirilir. Denetim sonuçlar›n›n sunum zamanlamas› anlam- s›z gecikmeler olmaks›z›n, çok k›sa sürede etkili aksiyonlar›n al›nmas›na olanak sa¤layacak flekilde yap›lmal›d›r. Etkin Dinleme Dinlemek, fiil olarak pasif alg›lanmakla beraber asl›nda aktif bir eylemdir. Duymak ve dinlemek farkl› kavramlard›r. Etkin bir dinleyici olmak, iyi bir konuflmac› olmak kadar zordur. Meslek icab› olarak iç denetçiler çok say›da ve de¤iflik karakterlere sahip kiflileri dinlemek zorundad›rlar. Yapt›¤›m›z iflin büyük bir k›sm› dinleme eylemini içermektedir. Bu yüzden etkin dinleme konusundaki becerimizi gelifltirmek zorunday›z. Etkin dinleme, al›c› aç›s›ndan iletiflimdeki gürültüyü azaltma ve mesaj› tam ve do¤ru olarak alma becerisidir. Etkin dinleme sadece mesaj› almakla s›n›rl› de¤ildir. Mesaj›n al›nd›¤›n› geri bildirmeyi de içerir. Görüflme Teknikleri ‹yi görüflme teknikleri sayesinde kiflilerden bilgi almak kolaylafl›rken, zay›f görüflme teknikleri nedeniyle kifliler bilgiyi vermekte tereddüt edebilir, do¤ru bilgiyi vermeyebilir ve düflmanca bir ortam yarat›labilir. ‹ç denetçiler, do¤ru ve güvenilir bilgiye eriflmek için s›k s›k görüflmelerde bulunurlar. Bu yüzden iyi görüflme tekniklerini bilmek zorundad›rlar. Görüflmede dikkate al›nmas› gereken unsurlar ve görüflme teknikleri hakk›nda daha detayl› bilgilerin yer ald›¤› bir yaz›ma dergimizin bir sonraki say›s›nda ulaflacaks›n›z. fiüphecilik ‹ç denetim mesle¤inin do¤as› gere¤i bir miktar flüpheci olmak gereklidir. ‹ç denetçilere söylenen sözler veya sunulan belgeler, incelenen dökümanlar hassasiyetle ele al›nmal›, do¤ruluklar›nda emin oluncaya kadar araflt›rmalar devam ettirilmelidir. fiüphecilik, ilk etapta görülmeyen baz› problemlerin veya risklerin fark›na var›lmas›n› sa¤lad›¤›, bazen de gerçeklerin göründü¤ünden farkl› oldu¤unu tespit edebildi¤i için çok önemlidir. Ancak; flüphecili¤in psikolojik bir rahats›zl›k boyutuna gelmemesine dikkat edilmeli, ola¤an denetimleri aksat›c›, gecikmeye sebep olacak yo¤unlukta veya denetlenen birim yetkililerini küçük düflürücü, olumsuz bir elektrik yayacak flekilde olmamas›na dikkat edilmelidir. Bu yüzden do¤rular›n yans›t›lmad›¤›ndan flüphe duyulan bir durumda dahi so¤ukkanl› ve hassas bir tutuma sahip olunmal›d›r. Raporlama Becerisi ‹ç denetim mesle¤inde en önemli faaliyetlerden birisi raporlamad›r. Denetimlerde çok önemli bulgulara eriflilmifl olabilir ancak iç denetçinin raporlama becerileri zay›f ise gerçeklefltirilen denetimin ve harcanan çaban›n hiçbir önemi kalmayacakt›r. Çünkü; zay›f bir raporlama becerisi ile elde edilen bulgular veya tespit edilen risklerin, kontrol zaafiyetlerinin yönetimin dikkatini çekecek flekilde sunulamayaca¤› aflikard›r. Yani üretilen kötü bir rapor nedeniyle çok baflar›l› bir denetim bile gözard› edilebilir. Bu yüzden araflt›rma, inceleme, analiz, de¤erlendirme vb. konularda gösterilen mesleki özen ve dikkat, raporlama yaparken de gösterilmelidir. N. Burak Ünlü, CIA, Yap› ve Kredi Bankas› A.fi.’nde Kredi Riski Komitesi Baflkan› olarak görev yapmakta olup ayn› zamanda dergimizin Sorumlu Yaz› ‹flleri Müdürü’dür. ‹Ç DENET‹M / Yaz 2005 yarg›dan uzak bir de¤erlendirme yapabilmek için öncelikle karfl›lafl›lan problemlerin çok iyi tan›mlanmas› gerekmektedir. Problemlerin tan›mlanmas›, etkilerinin de¤erlendirilmesi, çözüm yollar› aranmas› ve önerilerde bulunulabilmesi için geliflmifl problem çözme ve analitik düflünce becerisine sahip olunmas› gereklidir. Bu beceri, özellikle s›k karfl›lafl›lmayan ve daha önce çözümü aranmam›fl problemler söz konusu oldu¤unda daha fazla önem tafl›r. 22 23 YEfi‹L KALEM YEfi‹L KALEM ‹ç Denetçi ‹le Denetim Komitesi Aras›nda Nas›l Bir ‹liflki Olmal›d›r? 1.Girifl Son y›llarda halka aç›k büyük flirketlerde (Enron, WorldCom, Parmalat) yaflanan muhasebe skandallar; finansal tablolarda ortaya ç›kan hata ve hileler, ifl baflar›s›zl›klar› ve yasal olmayan faaliyetler finansal raporlar›n kalitesini ve denetim sürecini sorgulamay› gündeme getirmifltir. Yaflanan iflaslar›n milyar dolarlarla ifade edilmesi sermaye piyasas›na olan güveni sarsm›flt›r. Kurumsal Yönetim anlay›fl›ndaki geliflmelere ba¤l› olarak uzun y›llardan beri ABD’de uygulama alan› bulan denetim komitesi art›k tüm dünyada flirket organizasyon flemalar› içinde yer almaktad›r. fiirket yönetiminin yapabilece¤i hileleri önlemek, denetçilerin ba¤›ms›zl›¤›n› kuvvetlendirmek ve finansal raporlama sürecinin kalitesini artt›rmak amac›yla önemli bir fonksiyon üstlenen denetim komitesinin etkinli¤i ve denetçilerle olan iliflkisi daha da önemli hale gelmifltir. Bu ba¤lamda çal›flman›n amac›; iç denetçiler ile denetim komitesi aras›nda nas›l bir iliflkinin olmas› gerekti¤ini ortaya koymakt›r. 2. ‹ç Denetim Sürecinde Denetim Komitesi’nin Yeri ‹Ç DENET‹M / Yaz 2005 ‹ç denetim bir örgütün faaliyetlerini incelemek ve de¤erlendirmek amac›yla örgüt içinde oluflturulmufl ba¤›ms›z bir de¤erlendirme fonksiyonudur2. ‹ç denetim flirket ifllemlerinde olas› hata ve hileleri önleme konusunda önemli bir görev üstlenmifltir. ‹ç denetim fonksiyonunun yeterli ve 1 etkili bir flekilde yürütülmesi iflletmedeki kontrol mekanizmalar›n›n sa¤l›kl› al›flmas›n› sa¤lar ve dolay›s›yla operasyonel risklerin, hilenin ve gelir kay›plar›n›n oluflmas›n› engelleyerek iflletmenin verimlili¤i ve rekabet gücünün artmas›na katk›da bulunur3. ‹ç denetim, flirkette var olan her türlü düzensizli¤in önlenmesi amac›yla yeni kurallar›n yerlefltirilmesinden sorumludur. Yönetime bu kurallar›n iyilefltirilmesiyle ilgili yeni önerilerde bulunur. Yönetim de gerekli gördü¤ü durumlarda düzeltici eylemleri gelifltirir4. Yap›lan araflt›rmalar hileli finansal tablolar›n ortaya ç›kt›¤› flirketlerde uygun ve etkin bir iç denetim fonksiyonunun olmad›¤›n› ortaya koymaktad›r. fiirketlerin gelecekteki baflar›s› uygulanabilir ve sürdürülebilir bir iç denetim fonksiyonu oluflturmas›na ba¤l›d›r5. 21. Yüzy›l Yönetim ‹lkelerine göre tüm flirketlerin etkin, devaml› çal›flan ve do¤rudan komiteye raporlama yapan bir iç denetim fonksiyonuna sahip olmas› ve bunu devam ettirmesi gerekmektedir6. Özellikle yönetim anlay›fl›nda meydana gelen de¤iflmeler, yasal düzenlemeler ve rekabet gibi faktörler iç denetimin sorumlulu¤unu artt›rmaktad›r. Günümüzde iç denetim risk yönetimi, kurumsal yönetim ve denetim komitesinin baflar›l› olmas›nda önemli bir unsur haline gelmifltir7. Özellikle çeflitli düzenlemelerde denetim komitesine denetim sürecinde önemli görevler yüklenmifltir8. Uluslararas› ‹ç Denetçiler Enstitüsü 1999 y›l›nda iç denetimin tan›m›n› yeniden Pamukkale Üniversitesi, ‹flletme Bölümü, Muhasebe Finansman Anabilim Dal›. K.H. Spencer Pickett, The Internal Auditing Handbook, JohnnWiley&Sons, 2000, p.5. 3 Nuran Cömert Doyrangöl, Sermaye Piyasas› Arac› Kurumlar›nda Etkili Bir ‹ç Kontrol Sistemi ve ‹ç Denetim Fonksiyonu, Lebib Yalk›n Matbaas›, ‹stanbul 2001, s.57. 4 Jacqueline K. Wagner, "Audit Committees and Internal Auditor: A Veteran View", (Çevrimiçi) http:// www.theiia.org.iia/index.cfm, 10.01.2004, p.3/5. 5 L. Miller, "What’s an Audit Committee to Do?" Internal Auditor, April 2000, p.12. 6 Asian Pacific Economic Corporation Forum, "Comments on Behalf of the Institute of Internal Auditors", (Çevrimiçi) http://www.theiia.org/iia/index.cfm, 20.10.2003, p.5/10. 7 fiaban Uzay, "‹ç Denetimin Gelece¤i ve Yeni E¤ilimler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya, s.228, Hasan Kaval, Muhasebe Denetimi, Ankara, Ekim 2003, s.95, Dana R. Hermanson, "What Else in Corporate Governance Should be Changed", Internal Auditing, January-February 2003, pp.44-45. 8 Blue Ribbon Committee, Report and Recommendations of the Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees, NY 1999, pp.10-16. 2 yapm›flt›r9. Buna göre: "‹ç denetim, organizasyonun faaliyetlerine de¤er katmak ve onlar› gelifltirmek için tasarlanm›fl ba¤›ms›z ve tarafs›z bir güvence ve dan›flmanl›k aktivitesidir. Risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin sistematik ve disiplinli bir yaklafl›mla de¤erlendirilmesi ve iyilefltirilmesi yoluyla içinde bulundu¤u organizasyona hedeflerini gerçeklefltirmesine yard›mc› olur". Bu tan›ma göre iç denetimin müflterisi benzer amaçlar edinmifl olan denetim komitesidir10. Çünkü komite ve iç denetimin amaçlar› ortak olup; yönetimdeki yanl›fll›klar› ve yolsuzluklar› önlemeye çal›flmakt›r. Buna karfl›n iliflkilerin di¤er boyutu ise komitenin iç denetimi izleme sorumlulu¤unun bulunmas›d›r. Komite iç denetime destek olmal› ve ba¤›ms›zl›¤› ile örgüt içindeki statüsünün artt›r›lmas›na katk›da bulunmal›d›r11. Günümüzde iç denetim alan› flirketin tamam›na yay›lm›flt›r. Hem denetim komitesi hem de iç denetim, yönetimin hata ve hilelerini önlemeyi amaç edindi¤inden etkin çal›flan bir iç denetim fonksiyonu komitenin görev ve sorumluluklar›n› yerine getirmesine yard›mc› olacakt›r. Avrupa Komisyonu 1996 y›l›nda yay›mlad›¤› "Green Paper on Auditing" adl› çal›flmada "Güçlü bir iç 9 denetim fonksiyonu olmayan flirketler komitenin sorumlulu¤unu yerine getirebilmesi için gerekli bilgileri sa¤lamakta yetersiz kalacakt›r" demifltir. Bu durum tersi için de geçerli olup komite de iç denetim bölümünün etkin olarak çal›flmas›na katk› sa¤layacakt›r. Komite, iç denetim bölümünün kalitesini; iç denetçilerin tarafs›zl›klar›n› sürdürme, sürekli mesleki e¤itime tabi tutma, bilim ve teknolojideki geliflmeleri takip ederek kendini bu alanda gelifltirme, mesleki niteliklerini iyilefltirme ve sertifikasyon gibi alanlarda teflvik ederek artt›rabilir. Bunu yapabilmesi için komitenin iç denetim fonksiyonunun organizasyonel yap›s›n›, görevlerini ve faaliyetlerini aç›k bir flekilde anlamas› gerekir. Komite bu noktada gereksinim duydu¤u bilgileri; iç denetim yönetmeli¤i, organizasyon flekli ve iç denetim plan›, iç denetim faaliyet raporu, iç denetim taraf›ndan yap›lan projeler ve denetim bulgular›ndan elde edebilir12. Komite görev ve sorumlulu¤unu yerine getirirken en çok iç denetim bölümünden yararlanmaktad›r. Uluslararas› ‹ç Denetçiler Enstitüsü Baflkan Vekili Richard Nelson, "Her denetim komitesi en az›ndan iç denetimden almay› bekledikleri güvenceyi sa¤layacak kapsamda ince- Mahmut Demirbafl, "Denetimde E¤ilimler ile Etkileflimler ve Türkiye’deki Mevcut Duruma Öneriler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya, s.257. Deloitte-Touché, ‹ç Denetim Bülteni, Mart-Nisan 2003, s.3. 11 Uzay, a.g.m. , s.220. 12 Price WaterhouseCoopers, Audit Committees: Good Practices For Meeting Market Expectations, 2. Ed., New York 2003, p. 38. 10 ‹Ç DENET‹M / Yaz 2005 Dr. Süleyman Uyar1 24 25 YEfi‹L KALEM ‹Ç DENET‹M / Yaz 2005 leme yapmak zorundad›r. Hem WorldCom hem de Enron skandal›nda özellikle piyasalar›n yüksek düzeydeki ticari bask›s› göz önüne al›nd›¤›nda yönetim kurulunun ve hissedarlar›n sadece ba¤›ms›z denetçilerin bak›fl aç›lar›na güvenmeyeceklerini ortaya ç›karm›flt›r. ‹ç denetim komitenin maksimum düzeyde yararlanmas› gereken ba¤›ms›z ve vazgeçilmez bir bak›fl aç›s›d›r" demifltir13. Ulusal Kurumsal Yat›r›mc›lar Derne¤i (NACD) komisyonu raporunda iç denetim için "Denetim komitesi bugünün iç denetim fonksiyonunu ba¤›ms›z, objektif ve katma de¤er sa¤layan, organizasyonun operasyonel taraf›n› gelifltiren ve dan›flmanl›k etkinli¤i sa¤layan bir destek olarak görebilir. ‹ç denetim organizasyona sistematik ve disipline edilmifl bir yaklafl›m getirerek, risk yönetimi ve kontrol ile denetim sürecinin etkinli¤ini gelifltirmek üzere objektifliklerini tamamlamada yard›mc› olabilir." demifltir14. ‹ç denetim kadrosunun kurulmas› ve iflleyiflinin sa¤lanmas›, iç denetim bölümü ile koordinasyon sa¤lama, iç denetim bölümünün çal›flmalar›n› izleme, iç denetim bölümünden gelen raporlar ve önerileri dikkate alma ve iç denetim programlar›n› gözden geçirme komitenin sorumluluklar›ndand›r. Komitenin ihtiyaçlar› de¤iflti¤inde iç denetim fonksiyonu da beraberinde de¤iflmeli veya geleneksel rolünü kaybetmeyi göze almal›d›r. Komite ile iç denetim aras›ndaki etkileflimin artmas› flirket yönetiminin niteli¤ini ve organizasyonel yap›s›n›n güçlenmesine yard›mc› olacakt›r15. Komite ile iç denetim aras›ndaki güçlü bir iliflki; program iliflkisini düzen13 li olarak devam ettirme, toplant›lar aras›nda iliflkiyi koruma, gerekli konularda sorular sorma, performans gelifltirme, flirkette COSO iç kontrol modelini kullanma ve komite üyelerinin ilgi alanlar›n› bilme konular›nda kurulabilir16. Komite iç denetim fonksiyonunu karar alma sürecinde desteklemeli ve iç denetim baflkan› ile düzenli olarak görüflmelidir. Bu görüflmeler sonucunda muhasebe ve denetim uygulamalar› konusunda daha fazla bilgi elde edilebilir17. Ayn› zamanda komitenin görevlerini etkin olarak yerine getirebilmesi için ihtiyaç duydu¤u bilgi iç denetim bölümünden gelmektedir18. Komite iç denetim fonksiyonuna sayg› göstermeli ancak bunun yan›nda aktif bir gözetim faaliyeti yürütmelidir19. Denetim komitesinin iç denetim fonksiyonu üzerinde aktif bir gözetim rolü bulunmaktad›r. Bu iliflkide ortaya ç›kan gözetim faaliyetleri flunlard›r20: 1. ‹ç denetim faaliyetinin amac›, yetkileri, sorumlulu¤u ve raporlama iliflkisi aç›s›ndan örgütsel yap›s›n›n incelenmesi ve onaylanmas›, 2. ‹ç denetim bölümü yöneticisinin ifle al›nmas›, devam› ve de¤ifltirilmesi karar›, 3. ‹ç denetim plan› ve bütçesinin incelenmesi, 4. ‹ç denetim sonuçlar›n›n incelenmesi, 5. Yasa ve yönetmeliklere uygunluk, ba¤›ms›z denetçilerin de¤erlendirilmesi ve gerekti¤inde potansiyele hata veya hilelerin araflt›r›lmas› gibi çeflitli iç denetim projeleri için talepte bulunma, 6. Kalite güvenini sa¤lamak için öneride bulunma. ‹ç denetim performans›n›n artt›r›lmas› için denetçi ba¤›ms›zl›¤› komite taraf›ndan sa¤lanmal›, iç (Çevrimiçi) http://www.theiia.org, 12.03.2004, p.1/1. National Association of Corporate Directors (NACD), Report of the NACD Blue Ribbon Commission on Audit Committees: A Practical Guide, Washington D.C, 2000a, p.47. 15 William G. Bishop, Dana R. Hermanson, Paul D. Lapides, Larry E. Rittenberg, "The Year of Audit Committee", Internal Auditor, April 2000, p.51. 16 Kelly M. Hnatt, "Forge The Right Relationship", May 2001, Journal of Accountancy, p.52. 17 Toronto Stock Exchange, Issues for Comment, Toronto 1993, p.182. 18 Dana R. Hermanson, "What Else in Corporate Governance Should be Changed", Internal Auditing, January-February 2003, pp.44-45. 19 Dana R. Hermanson, Larry E. Rittenberg, Internal Audit and Organizational Governance, The Institute Internal Auditor Research Foundation, Florida 2003, p.51. 20 IIA Issues and Answers, "Internal Auditing and the audit Committee Working Toward Common Goals", (Çevrimiçi) http://www.theiia.org.iia/index.cfm, 06.02.2004, p.7/9. 14 fiirketlerin gelecekteki baflar›s› uygulanabilir ve sürdürülebilir bir iç denetim fonksiyonu oluflturulmas›na ba¤l›d›r. denetçilerin yönetim, yönetim kurulu ve komite ile s›n›rs›z bir görüflme hakk› bulunmal›, iç denetçinin muhasebe kay›tlar› ve fiziksel varl›klara s›n›rs›z bir ulafl›m hakk› olmal›, komite y›ll›k iç denetim bütçesini incelemeli ve iç denetime ayr›lan kaynaklar›n yeterlili¤ini de¤erlendirmelidir21. Komitenin etkinli¤ini s›n›rlayan temel etkenlerden birisi üyelere ulaflan bilginin niteli¤i ve niceli¤idir. ‹ç denetim fonksiyonu komite için hem flirket bilgisi hem de sektöre iliflkin görüfl sa¤layan uygun bir bilgi iletiflim sistemi gelifltirmek üzere destekte bulunabilir. Bu bilginin ak›fl› finansal raporlama sisteminin bütünlü¤ünü ve genifl bir risk-kontrol analizini içermelidir. Komite taraf›ndan talep edilen soruflturmalar ve özel projelerin yürütülmesi yeni riskler ve raporlama ile ilgili geliflmeler üzerine odaklanmay› sa¤layabilir22. ‹ç denetim komiteye etkin bir bilgi sisteminin oluflturulmas› noktas›nda, flirketin risk ve kontrol alanlar›nda komitenin görevleri ve flirket yönetim yap›s›n›n nas›l daha iyi anlafl›labilece¤i konusunda yard›mc› olabilir23. Denetim komitesinin iç denetim bölümünü izlemesi çeflitli faydalar sa¤layacakt›r. ‹ç denetimin organizasyonel yap›s› ve kapsam›n›n gözden geçirilmesi d›fl denetim harcamalar›n› azalt›r ve etkili bir iç denetim, komitenin görevlerini yerine getirmesine destek olur. E¤er komite ile iç denetim aras›nda kaliteli bir etkileflim varsa komite ile yönetim aras›ndaki bilgi asimetri¤i düflecektir. Ayr›ca iç denetim ile kurulacak düzenli bir iletiflim a¤› komitenin muhasebe ve denetimle ilgili konularda bilgilenmesini sa¤layacakt›r24. Komitenin iç denetimden gerekli fayday› sa¤layabilmesi için iç denetime iliflkin: Komitenin et21 kinli¤i için ne tür bir bilgi sistemine ihtiyaç vard›r? Bu bilginin sa¤lanmas›nda iç denetim fonksiyonu nas›l bir rol oynar? Komite etkinli¤i ile iç denetim fonksiyonunun kalitesi aras›nda bir iliflki var m›d›r? Komitenin oluflumu etkinli¤i etkilemekte midir? Denetim komitesi yasal düzenlemelere göre daha fazla bilgiye sahip hale gelmifl midir? ‹ç denetimin komiteye sa¤lad›¤› bilgilerin daha etkin olabilmesi için iletiflim flekli ne olmal›d›r? sorular›na cevap bulmas› gerekir25. Komite, flirketin iç denetimden tüm yönleriyle faydalan›p faydalanmad›¤›n› ve bu bölüme gerekli deste¤i sa¤lay›p sa¤lamad›¤›n› de¤erlendirmelidir. Bunu tespit edebilmek için komite: ‹ç denetim flirketin faaliyetleri, kontrol sistemleri ve bilgileri ile uyumlu mudur? ‹ç denetim yeterli kayna¤a sahip midir? Belirlenmifl iç denetim program› nas›ld›r? Yeni bilgi sistemlerinin planlanmas› ve uygulanmas›nda iç denetim görev almakta m›d›r? ‹ç denetim flirketin karfl›laflt›¤› operasyonel ve finansal riskleri soruflturmakta m›d›r? Yönetim iç denetimden gelen tavsiyelere uygun hareket etmekte ve iç denetim yap›lan de¤ifliklikleri denetlemekte midir? ve ‹ç denetçiler ba¤›ms›z denetçiler ile etkin bir çal›flma içersinde midir? sorular›na cevap aramal›d›r26. Komitenin iç denetime iliflkin sorumlulu¤unu etkin olarak yerine getirebilmesi için üyelerin iç denetim konusunda bilgili olmas› gerekir. Genel olarak ço¤u komite iç denetimin temel uygulamalar›n› bilmektedirler. Ancak denetçilerin geçmifli, yetenekleri ve sorumluluklar› konusunda tam olarak bilgileri bulunmamaktad›r. Bu sorun nedeniyle komite iç denetim bölümünden yeteri kadar yararlanamamaktad›r27. Komitenin ba¤›ms›z üyelerden oluflmas› ve üyelerden en az bir tanesinin muhasebe finans geçmiflinin olmas› iç denetim ile iletiflimi olumlu yönde etkileyecektir. Çünkü yap›lan araflt›rmalar ba¤›ms›z ve uzman üyelerden oluflan komitelerin iç denetim müdürü ile daha uzun toplant›lar yapt›klar›n›, iç denetim müdürüne özel görüflmeler sa¤lad›klar›n› ve iç denetim sonuçlar› ile yap›lan önerilerinin daha iyi takipçisi olduklar›n› göstermifltir28. Internal Auditor, "Recommendations for Improving Corporate Governance", Internal Auditor, June 2002, p.68. Bishop vd., a.g.m., pp.50-51. Larry E. Rittenberg, "Lessons for Internal Auditor", Internal Auditor, April 2002, p.32. 24 Louis Jr. Braiotta, The Audit Committee Hand Book, 3rd Edition, John Wiley&Sons Inc., New York 1999, p.214. 25 Hermanson, Rittenberg, a.g.e., pp.51-52. 26 PriceWaterhouseCoopers, a.g.e., p.39. 27 Jacqueline K. Wagner, "Asking the Right Questions: Sage Advise for Audit Committee", Directors & Boards, September 2000, p.2/5. 28 K.Raghunandan, William J. Read, Dasaratha V. Rama, "Audit Committee "Gray Directors" and Interaction with Internal Auditing", Accounting Horizon, June 2001, p.109. 22 23 ‹Ç DENET‹M / Yaz 2005 YEfi‹L KALEM 26 27 YEfi‹L KALEM YEfi‹L KALEM 3. ‹ç Denetçi ve Denetim Komitesi Aras›nda Nas›l Bir ‹liflki Olmal›d›r? ‹Ç DENET‹M / Yaz 2005 ‹ç denetçiler flirketin oluflturdu¤u kontrollere uyma konusunda önemli bir rol oynar. ‹ç denetçilerin flirkete iliflkin uzmanl›¤› çok önemlidir. Gelece¤in iç denetçileri bilgi teknolojisi baflta olmak üzere risk de¤erleme ve di¤er tüm konularda uzman olmal›d›r30. Yat›r›mc›lar›n sermaye piyasas›na güvenmeleri ve flirketler hakk›nda güvenilir bilgiler elde edebilmeleri denetim mesle¤ine olan güveni art›racakt›r. Bu sistemin sa¤l›kl› flekilde oluflturabilmesi yönetim-iç denetçi-denetim komitesi aras›ndaki iliflkiye göre flekillenecektir. Bu süreçte iç denetçinin sorumluluklar›n› yerine getirmesinde en büyük yard›mc›s› denetim komitesi olacakt›r31. ‹ç denetçiler komiteye finansal raporlama ile risk ve kontrol deste¤i sa¤lamal›d›r32. Finansal raporlama deste¤ini; flirketin objektif raporlama sorumlulu¤unu yerine getirip getirmedi¤i, içinde bulunulan koflul için en uygun muhasebe sisteminin uygulan›p uygulanmad›¤›, dönemsel raporlama sürecinden elde edilen bilgilerin güvenirlili¤i, bu süreçte uygulanan kontrollerin yeter29 Etkili bir iç denetim fonksiyonu flirketin operasyonel risk ve gelir kay›plar›n› engelleyerek iflletmenin verimlilik ve rekabet gücünü artt›rmaya katk›da bulunur. lili¤i ve komite üyelerine flirketin performans›na yönelik do¤ru ve zaman›nda bilgi aktar›ld›¤› konular›nda yapabilir. Risk ve kontrol deste¤i ise, komitenin flirket üzerindeki kontrollerin objektifli¤ine iliflkin de¤erlendirme yapmas›, komiteye flirketin kontrol noktalar›n› ve flirketin temel olarak karfl›laflt›¤› finansal ve di¤er risklerin izlenmesi konusunda yard›mc› olacak bilgilerin sa¤lanmas› sürecinde yap›labilir33. ‹ç denetçilerin komite ile do¤rudan ve s›n›rs›z bir görüflme hakk› olmal›d›r. ‹ç denetçiler denetim komitesi ile devaml› görüflmeli ve aralar›nda serbest görüflme olana¤› sa¤layacak ortam oluflturulmal›d›r34. ‹ç denetçiyi ifle alma veya iflten ç›karma yetkisi denetim komitesi d›fl›ndaki bir otoritede ise denetçi ile komite aras›nda yap›lacak görüflmelerde onlar›n da yer almas› gerekir35. ‹ç denetçiler komite ile flirketin içinde bulundu¤u risk durumu ve ilerde karfl›laflabilece¤i olas› risklerle ilgili görüflmeler yapmal›d›r36. ‹ç denetçiler ile denetim komitesi aras›ndaki iliflki ve görüflmelerin s›kl›¤› komitenin etkinlik düzeyini belirlemektedir. Bunun için Uluslararas› ‹ç Denetçiler Enstitüsü iç denetim baflkan›n›n y›lda en az 4 kez denetim komitesi ile görüflmesini öngörmüfltür37. Ancak yap›lan araflt›rmalar iç denetçilerin komite ile görüflme s›kl›¤›n›n yetesiz oldu¤unu göstermektedir38. PriceWaterhouseCoopers, a.g.e., p.37. Norman Marks, "The New Age of Internal Auditing", Internal Auditor, December 2001, s.45 31 Süleyman Uyar, "‹ç Denetim Alan›nda Ortaya Ç›kan Yeni Yaklafl›mlar Çerçevesinde ‹ç Denetçilerin De¤iflen Rolü", Mali Çözüm Dergisi, ‹SMMMO Yay›n›, Yay›n No:63, 2003, s.140 32 David Fisher, "Role of Audit Committees in Risk Management", 7. Muhasebe Denetim Sempozyumu, 21 Nisan 2005, Antalya, s.14 33 Bishop vd., a.g.m. pp.50-51. 34 K. Raghunandan, Dasaratha V. Rama, "Management Report After COSO", Internal Auditor, August 1994, Vol: 51, Issues: 4, p.57. 35 Joseph McHugh, K. Raghunandan, "Hiring & Firing the Chief Internal Auditor", Internal Auditor, August 1994, p.35. 36 Paul Seweeney, Cynthia W. Vallarino, "NYSE Sets Audit Committees on New Road", Journal of Accountancy, November 2002, pp.53-54. 37 Raghunandan, Read, Rama, a.g.m, p.108. 38 Deloitte Touché, Audit Committee Survey Results and Best Practices, October 2001, p.5. 30 Denetçi komiteye iç kontrol sistemine iliflkin rapor sunmal›d›r. Komite de bu raporu en az y›lda 1 kez olmak üzere incelemelidir39. Sarbanes Oxley Yasas› da iç denetçinin iç kontrole iliflkin elde etti¤i eksiklik ve zay›fl›klar› komiteye raporlamas›n› zorunlu tutmufltur40. ‹ç denetçilerin komiteye do¤rudan raporlama yapmas› ve komite toplant›lar›na kat›lmas› denetçilerin ba¤›ms›zl›¤›n› artt›raca¤›ndan flirkette hile olas›l›¤›n› azaltacakt›r. Ancak bu konuda yap›lan araflt›rmalar iç denetçilerin ancak yar›s›n›n do¤rudan komiteye raporlama yapt›klar›n› göstermektedir41. Bu aç›klamalar çerçevesinde iç denetim bölümü baflkan› afla¤›daki iflleri yapmal›d›r42: 1. Komitenin tüm toplant›lar›na kat›lmal›, toplant› tutanaklar›n› haz›rlamal›, toplant› gündemini koordine etmeli, komite üyelerinin toplant›lara haz›rlanmas›na yard›mc› olacak materyalleri toplamal› ve üyelere göndermeli, toplant› gündeminin komite yönetmeli¤inde belirtilen tüm sorumluluklar› kapsad›¤›ndan emin olmal›d›r, 2. ‹ç denetim bölümünün faaliyetlerine iliflkin planlar› ve sonuçlar›, risk de¤erlemeye iliflkin görüflleri komiteye sunmal›d›r, 3. ‹ç kontrollerin varl›¤› ve uygun flekilde çal›flt›¤› konusunda güvence sa¤layan bir program›n gelifltirilmesinde komiteye yard›mc› olmal›d›r, 4. Komiteye yeni kat›lan üyelerin e¤itimine yard›mc› olmak, onlar› yeni teori ve düzenlemeler konusunda bilgilendirmek amac›yla ilgili konularda güncel bilgiler elde etmelidir, 5. fiirket performans›na iliflkin y›ll›k de¤erlendirmelerin yap›lmas›nda komiteye yard›m etmelidir. 6. Denetim sonuçlar›na iliflkin komiteye verilecek raporu haz›rlamal›d›r, Komite baflkan› ile sa¤l›kl› bir iletiflim gelifltirmelidir, 39 4.Sonuç Yönetim anlay›fl›nda meydana gelen geliflmeler, yasal düzenlemeler ve rekabet, iç denetçilerin görev ve sorumluluklar›n› sürekli artt›rmaktad›r. Günümüzde iç denetim; kurumsal yönetim, risk yönetimi ve denetim komitesinin baflar›l› olmas›nda önemli bir fonksiyon üstlenmifltir. Denetim komitesi iç denetçilerin görev ve sorumluluklar›n› yerine getirmesinde yard›mc› olmaktad›r. Bu ba¤lamda iç denetçilerin komite ile s›k› bir iflbirli¤i içinde olmas› beklenmektedir. ‹ç denetçiler ile denetim komitesi aras›nda olmas› gereken iliflkilere iliflkin flu de¤erlendirmeler yap›labilir: • Gelece¤in iç denetçilerinin bilgi teknolojisi baflta olmak üzere risk de¤erleme ve di¤er tüm konularda uzman olmas› gerekir. • ‹ç denetçi komiteye denetim sahas› ve denetçilerin objektifli¤i konusunda tavsiyelerde bulunmal›d›r. • ‹ç denetçiler komiteyle flirketin içinde bulundu¤u risk durumu ve ilerde karfl›laflabilece¤i olas› risklerle ilgili görüflmeler yapmal›d›r. • ‹ç denetçilerin komite ile do¤rudan ve s›n›rs›z bir görüflme hakk› olmal›d›r. • ‹ç denetçi, iç kontrole iliflkin elde etti¤i eksiklik ve zay›fl›klar› bir raporla komiteye bildirmelidir. ‹ç denetçiler raporlamay› do¤rudan denetim komitesine yapmal›d›r. Çünkü bu durum flirkette hile olas›l›¤›n› azaltacakt›r. • ‹ç denetçiyi ifle alma veya iflten ç›karma yetkisi denetim komitesinde olmal›d›r. Ülkemizde iç denetim henüz istenen düzeyde de¤ildir. Küçük flirketler bir yana büyük flirketlerin ço¤unda iç denetim birimi bulunmamaktad›r43. Son y›llarda ülkemizde bankac›l›k sektöründe yaflanan ve 50 milyar $ olarak tahmin edilen yolsuzluklar denetim mesle¤ine olan gereksinimi ortaya koymufltur. Bu tür olumsuzluklar›n önlenebilmesi için iç denetçiler ile denetim komitesinin etkin bir çal›flma içinde olmas› gerekir. Paul Seweeney, Cynthia W. Vallarino, a.g.m., pp.53-54. Public Law, "Sarbanes Oxley Act of 2002", Public Law 107-204, July 30, 2002., p.33. 41 Deloitte-Touché, a.g.e., s.4. 42 David A. Richards, "The Audit Committee and Internal Audit: Teaming to Focus on the Future", (Çevrimiçi) http://www.theiia.org/iia/index.cfm, 15.10.2003, pp.1-2/3. 43 Ülkemizde bulunan flirketlerin büyük ço¤unda iç denetim birimi bulunmamaktad›r. ‹MKB’de yap›lan bir araflt›rmaya göre flirketlerin yüzde 39’unda denetim kurulunun d›fl›nda ayr› bir iç denetim birimi bulunmamaktad›r. ‹ç denetim birimi bulunanlar ise yasal olarak iç denetim birimi oluflturmak zorunda olan banka ve finansal kurulufllard›r. Bknz. Nihat Akarkarasu, Halka Aç›k fiirketlerde ‹ç Denetim ve Denetim Kurullar›n›n Etkinlefltirilmesi ‹çin Öneriler, SPK Denetleme Dairesi, Yet. Etüdü, ‹stanbul 2000, s.41, ‹stanbul Sanayi Odas› taraf›ndan 500 büyük sanayi iflletmesi üzerine yap›lan araflt›rmaya göre flirketlerin yüzde 29’unda iç denetim fonksiyonu bulunmamaktad›r. Bknz. Münevver Y›lanc›, "Denetim Komitesinin ‹ç Denetim Etkinli¤ini Sa¤lamadaki ve Hileleri Önlemedeki Rolü", Muhasebe ve Denetime Bak›fl Dergisi, Ocak 2003, s. 31 40 ‹Ç DENET‹M / Yaz 2005 Avrupa’da yap›lan bir araflt›rmaya göre flirketlerin yüzde 88’inde iç denetim fonksiyonu bulunmaktad›r. Bu flirketlerde komite iç denetçinin faaliyetlerini incelemekte ve onaylamaktad›r. ‹ç denetim fonksiyonu komiteye özellikle iç kontrol, hata ve hilelerin önlenmesi ile ilgili soruflturmalar alan›nda yard›mc› olmaktad›r. ‹ç denetim bölümünün etkin olarak çal›flabilmesi için flirket yönetimi ve yönetim kurulunun birlikte deste¤ine gereksinimi vard›r. Yönetim kulunun bu alandaki temsilcisi denetim komitesi oldu¤u için denetçinin komiteye ulaflmada s›n›rs›z bir yetkiye sahip olmas› ve iletiflim a¤›n›n sürekli aç›k olmas› gerekir. E¤er bir flirkette iç denetim fonksiyonu yoksa komite yönetim kuruluna böyle bir bölümün sa¤layaca¤› faydalar› anlatmal›d›r29. 28 29 YEfi‹L KALEM YEfi‹L KALEM Derecelendirme Nedir? Akarkarasu, Nihat, Halka Aç›k fiirketlerde ‹ç Denetim ve Denetim Kurullar›n›n Etkinlefltirilmesi ‹çin Öneriler, SPK Denetleme Dairesi, Yet. Etüdü, ‹stanbul 2000. Asian Pacific Economic Corporation Forum, "Comments on Behalf of the Institute of Internal Auditors", (Çevrimiçi) http://www.theiia.org/iia/index.cfm, 20.10.2003. Blue Ribbon Committee, Report and Recommendations of the Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees, NY 1999. Braiotta, Louis Jr., The Audit Committee Hand Book, 3rd Edition, John Wiley&Sons Inc., New York 1999. Deloitte Touché, Audit Committee Survey Results and Best Practices, October 2001. Deloitte-Touché, ‹ç Denetim Bülteni, Mart-Nisan 2003. Doyrangöl, Nuran Cömert, Sermaye Piyasas› Arac› Kurumlar›nda Etkili Bir ‹ç Kontrol Sistemi ve ‹ç Denetim Fonksiyonu, Lebib Yalk›n Matbaas›, ‹stanbul 2001. Fisher, David, "Role of Audit Committees in Risk Management", 7. Muhasebe Denetim Sempozyumu, 21 Nisan 2005, Antalya. Hermanson, Dana R., "What Else in Corporate Governance Should be Changed", Internal Auditing, January-February 2003. Hermanson, Dana R., Larry E. Rittenberg, Internal Audit and Organizational Governance, The Institute Internal Auditor Research Foundation, Florida 2003. Hnatt, Kelly M., "Forge The Right Relationship", Journal of Accountancy, May 2001. IIA Issues and Answers, "Internal Auditing and The Audit Committee Working Toward Common Goals", (Çevrimiçi) http://www.theiia.org.iia/index.cfm, 06.02.2004. Internal Auditor, "Recommendations for Improving Corporate Governance", Internal Auditor, June 2002. Kaval, Hasan, Muhasebe Denetimi, Ankara, Ekim 2003. Mahmut Demirbafl, "Denetimde E¤ilimler ile Etkileflimler ve Türkiye’deki Mevcut Duruma Öneriler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya. ‹Ç DENET‹M / Yaz 2005 Marks, Norman, "The New Age of Internal Auditing", Internal Auditor, December 2001. McHugh, Joshep, K. Raghunandan, "Hiring & Firing the Chief Internal Auditor", Internal Auditor, August 1994. Miller, L., "What’s an Audit Committee to Do?" Internal Auditor, April 2000. National Association of Corporate Directors (NACD), Report of the NACD Blue Ribbon Commission on Audit Committees: A Practical Guide, Washington D.C, 2000a. Pickett, K.H. Spencer, The Internal Auditing Handbook, JohnnWiley&Sons, 2000. PriceWaterhouseCoopers, Audit Committees: Good Practices For Meeting Market Expectations, 2. Ed., New York 2003. Public Law, "Sarbanes Oxley Act of 2002", Public Law 107204, July 30, 2002. Raghunandan, K., Dasaratha V. Rama, "Management Report After COSO", Internal Auditor, August 1994, Vol: 51, Issues: 4. Raghunandan, K., William J. Read, Dasaratha V. Rama, "Audit Committee "Gray Directors" and Interaction with Internal Auditing", Accounting Horizon, June 2001. Richards, David A., "The Audit Committee and Internal Audit: Teaming to Focus on the Future", (Çevrimiçi) http://www.theiia.org/iia/index.cfm, 13.04.2004. Rittenberg, Larry E., "Lessons for Internal Auditor", Internal Auditor, April 2002. Seweeney, Paul, Cynthia W. Vallarino, "NYSE Sets Audit Committees on New Road", Journal of Accountancy, November 2002. Toronto Stock Exchange, Issues for Comment, Toronto 1993. Uyar, Süleyman, "‹ç Denetim Alan›nda Ortaya Ç›kan Yeni Yaklafl›mlar Çerçevesinde ‹ç Denetçilerin De¤iflen Rolü", Mali Çözüm Dergisi, ‹SMMMO Yay›n›, Yay›n No:63, 2003. Uzay, fiaban, "‹ç Denetimin Gelece¤i ve Yeni E¤ilimler", 22. Türkiye Muhasebe E¤itimi Sempozyumu, Muhasebe-E¤itim: E¤ilim ve Etkileflimler, 21-25 May›s 2003, Antalya. Uzay, fiaban, "‹flletmelerde Denetim Etkinli¤ini Sa¤lamada Denetim Komitesinin (Audit Committee) Rolü ve Türkiye’de Uygulanabilirli¤i", Muhasebe ve Denetime Bak›fl Dergisi, Ocak 2003. Wagner, Jacqueline K., "Asking the Right Questions: Sage Advise for Audit Committee", Directors & Boards, September 2000. Wagner, Jacqueline K., "Audit Committees and Internal Auditor: A Veteran View", (Çevrimiçi) http:// www.theiia.org.iia/index.cfm, 10.01.2004. William G. Bishop, Dana R. Hermanson, Paul D. Lapides, Larry E. Rittenberg, "The Year of Audit Committee", Internal Auditor, April 2000. Y›lanc›, Münevver, "Denetim Komitesinin ‹ç Denetim Etkinli¤ini Sa¤lamadaki ve Hileleri Önlemedeki Rolü", Muhasebe ve Denetime Bak›fl Dergisi, Ocak 2003. Prof. Dr. Çelik Kurto¤lu Derecelendirme geçen yüzy›l›n bafl›ndan beri "flirketlerin finansal kalitesinin" de¤erlendirilmesinde baflvurulan bir yöntem, adeta bir finansal itibar notu. Bu notun arkas›nda yatan temel kavram ise risk yönetimi. fiirketler ister yat›r›mc›, ister tedarikçi olsunlar ekonomik iliflkiye girecekleri giriflimlerin kendileri için yarataca¤› riski tahmin etmek ve yönetmek zorundalar. Ticari risk ekonomik konjonktür ve sektörün, endüstrinin özelliklerinden, finansal risk mali raporlama sistemlerinin do¤rulu¤undan, yönetim riski ise kurumsal yönetim mekanizmalar›n›n yerlefltirilip iflletilmesinden olufluyor. Moody’s uluslararas› piyasalarda muteber derecelendirme flirketlerinden en eskilerinden. John Moody 1907 borsa krizinin ard›ndan 1909 y›l›nda demiryolu flirketlerinden bafllayarak flirketlerin hisse senetlerinin de¤erlendirilmesi iflini bafllatt›. John Moody’yi teflvik eden ihtiyaç s›nai ve di¤er çeflitli flirketlere ait de¤erli ka¤›tlar›n› inceleyen bir el kitab›n›n yay›nlanmas›yd›. "Yat›r›mc›lar› bilgi edinme hakk›"ndan yola ç›kan Henry Varnum Poor mali bilgi endüstrisini bafllatt› ve 1941 y›l›nda Poor’s Publishing Company’nin Standard Statistics’le birleflmesi sonu- cu derecelendirme sektörün di¤er devi olan S&P ortaya ç›kt›. 1913 y›l›nda John Knowles Fitch finansal istatistikler yay›nlayarak bu ikiliye kat›ld›. ‹leriki y›llarda ABD Kongresi bu flirketlerin yapt›¤› kredi derecelendirmesi iflleminin piyasalarda istikrar sa¤lanmas› üzerinde önemli etki yapaca¤› gerekçesiyle bu yetkiyi an›lan flirketler itibariyle s›n›rlad›. Derecelendirmenin amac› nerede bir risk varsa bu riskin gerçekleflmesi ihtimalinin tahmin edilmesi. Risk flirketlerin kredi itibar›yla s›n›rl› ise kredi derecelendirmesi baflvurulan bir ölçü yöntemi. Kredi derecelendirme flirketleri piyasada do¤an talebe göre yeni ürünler yarat›yorlar. Böylece çeflitli yat›r›m fonlar›n›n de¤iflik kriterlere (ana parada istikrar gözetilmesi, volatilite, vb.) göre derecelendirilmesi, sigorta flirketlerinin finansal derecelendirilmesi, yerel ve yabanc› para riskine göre derecelendirme, bankalar›n ayakta kalabilmesinin derecelendirilmesinden, flirketlerde yönetim kalitesinin derecelendirilmesine kadar genifl bir yelpaze ortaya ç›k›yor. 2000 y›l›nda ENRON olay› ile bafllayan flirket skandallar› derecelendirme fonksiyonunun yeterince do¤ru yap›l›p yap›lmad›¤› sorusunu gündeme getirdi. Madem derecelendirmenin amac› yat›r›mc›lar› yat›r›m yapabilecekleri flirketler itibariyle bilgilendirmektir, o zaman bu skandallar›n olmamas›, sermaye piyasalar›n›n derecelendirmenin sa¤layaca¤› bilgi sayesinde yat›r›mc›lar› uyarma görevini yerine getirmesi gerekirdi. Yanl›fl neredeydi; derecelendirme flirketleri mi görevlerini iyi yapm›yordu, metodolojileri mi yanl›flt›, yoksa kredi derecelendirmesi flirketlerin yat›r›mc› veya ödünç para verici kifli veya kurumlar taraf›ndan iyi de¤erlendirilmesi için gerekli teorik omurgaya ve buna uygun metodolojiye sahip de¤il miydi? ‹Ç DENET‹M / Yaz 2005 5.Kaynaklar 30 31 YEfi‹L KALEM YEfi‹L KALEM Kurumsal Yönetim Mekanizmalar› Kime Hizmet Eder? Bu sorular tart›fl›l›rken ilk kurban denetim sektöründen verildi ve Arthur Anderson flirketinin dönemi kapand›. Bunun ard›ndan yak›nlarda kredi derecelendirmesi piyasas›na hakim olan flirketlerin daha rekabetçi bir ortama sahip olmas› için yeni derecelendirme flirketlerinin özendirilmesi gündeme geldi. ‹Ç DENET‹M / Yaz 2005 Kredi Derecelendirmesi Derecelendirme flirketlerinin en önemli ürünü kredi derecelendirmesi. Hemen tüm derecelendirme flirketlerinin uygulamas›, finansallar›n› inceledikleri flirketleri Aaa denilen en iyi dereceden bafllayarak Bbb ve afla¤›ya do¤ru inen notlarla kendi belirledikleri yöntemler do¤rultusunda de¤erlendirmek. Burada tamamen nesnel olunmas› hemen hemen olanaks›z; çünkü çevresel koflullar, yerel, yöresel, sektörel, endüstriyel ve hatta konjonktürel koflullar, derecelendirme kriterlerini ve daha da önemlisi bu kriterlerin ›fl›¤› alt›nda yap›lacak de¤erlendirme ve yorumlar› nihayet birkaç harfle ifade edilen "dereceyi" etkiliyor. Derecelendirme bir tavsiye niteli¤i tafl›m›yor. Mutlak nesnellik sa¤lanamad›¤› sürece yap›lan her derecelendirmenin metodolojisinin, derecelendirme flirketinin felsefesinin, çal›flma ilkelerinin göz önünde tutulmas› gerekli. Ancak bunu yapabilmek kolay de¤il. Bunun için flirketler ço¤u zaman tek bir derecelendirme flirketi ile yetinmiyor, ikinci derecelendirmelere, örne¤in bankac›l›k sektöründe oldu¤u gibi sektörel ve hatta co¤rafi bölgesel özellikleri de hesaba katan derecelendirmelere baflvuruyorlar. Kurumsal Yönetim Derecelendirmesi Kredi derecelendirmesinin flirketleri de¤erlendirmede yetersiz kalmalar› baflka "itibar ölçme yöntemlerini" gündeme getirdi. Kurumsal yönetim derecelendirmesi bunlar›n bafl›nda yer al›yor. Kurumsallaflma, flirketlerin geliflim süreci içinde gerçek kapitalist iliflkilerin olufltu¤u, flirketin itibar›n›n sadece kurucusunun flahsi itibar›na ba¤l› olarak de¤il, ayn› zamanda faaliyet amac›n› ve hedeflerini oluflturan parametrelerle iliflkilendirildi¤i ve yönetim mekanizmas›n›n buna göre yap›land›r›ld›¤› aflama. fiirketlerin pek ço¤u aile flirketi olarak kuruluyor, ama içinde bulunduklar› ortamda baflar›l› olmalar›, o ortamla piyasa iliflkilerine girmeleri- Kurumsal yönetim derecelendirmesinin amac› flirketlerde bu yap›lanman›n sa¤lan›p sa¤lanmad›¤›n›n ölçülmesidir. ‹yi bir derece herkesten önce paydafllar›n ç›kar›n›n korunabilmesi için gerekli mekanizmalar›n bulundu¤unu gösterir. Çünkü kurumsal yönetim mekanizmalar› flirketin yönetim hiyerarflisi içinde saydaml›¤›n kuruldu¤unu, kararlar›n genel kurul talimatlar› do¤rultusunda ve profesyonel yönetimle verimli bir etkileflme sa¤lanarak al›nd›¤›n›, di¤er kurumsal veya bireysel yat›r›mc›lar›n ve müflteri, tedarikçi, toplumsal çevre ve nihayet kamu otoritesinin takdir ve güveninin sa¤land›¤›n› gösterir. Kurumsal yönetim kalitesinin flirketlerin sermaye piyasalar›nda, menkul de¤er borsalar›nda ulaflt›¤› de¤eri yükseltmesi do¤ald›r ama flart de¤ildir. Kurumsal yönetim kalitesi flirketlerin güvenilirli¤ini artt›raca¤› için sermayenin maliyetini azaltacak, yeni yat›r›mlar›n olabilme flans›n› yükseltecek, böylece büyüme sürecine, flirketlerin rekabet gücüne olumlu etki yapacakt›r. Ama bununla borsada ulafl›lan de¤er aras›nda bir korelasyon beklemek do¤ru de¤ildir. Korelasyon analizinin herkesce bilinen özelli¤i burada da geçerlidir, flirket de¤erinde yükselme veya azalma kurumsal yönetim kalitesi taraf›ndan olumlu etkilenirken, çeflitli di¤er unsurlar taraf›ndan bunun tersine etkiler iflleyebilir. Bafllang›çta kredi derecelendirmesi yönteminin her zaman ve yeterince do¤ru sonuç vermedi¤i tespitini yapt›k ve bunu örneklerle destekledik. Biraz önce de kurumsal yönetim konusunun bugün ortaya ç›kmad›¤›n›, flirketlerin yaflam çizgisi içinde ve kurumsallaflma sürecinde önemli yer tuttu¤unu hat›rlad›k. Özellikle ENRON ve onu izleyen flirket skandallar› derecelendirme ve klasik denetim mekanizmalar›n›n aranan sonucu tatmin edici boyutta veremedi¤ini gösterdi. Bunun üzerine yine temel ilkeler ve onlara ne kadar uyuldu¤unu irdeleyen kurumsal yönetim derecelendirmesi gündeme geldi. Derecelendirme Yöntemi Kurumsal yönetim ilkeleri konusunda ilk ad›m ‹ngiltere’de Adrian Cadbury taraf›ndan ve Londra Borsas›’nda yaflanan, kurumsal ve bireysel yat›r›mc›lar› yan›lt›c› bilgilendirme olay› üzerine at›lm›flt›. Bunu izleyerek OECD ve ard›ndan çeflitli ulusal hükümetler kimisi uyulmas› zorunlu, kimisi gönüllü ilkeler benimsedi. ‹ngiltere’de "Combined Code", Almanya’da "Cromme" kodu, Hollanda’da "Tabaksblatt Code" ve di¤er ülkelerde benzeri düzenlemeler kurumsal yönetim kalitesi konusunda kural belirleyici olarak geliflti. Bütün bu kodlar›n benimsedi¤i, dayand›¤› 4 ilke eflitlik, saydaml›k, hesap verebilirlik ve sorumluluk bafll›klar› alt›nda özetlenebilir. Ülkelerin özelli¤ine, flirketleflmenin, flirketlerde kurumsallaflman›n ulaflt›¤› düzeye ba¤l› olarak bu kodlar an›lan ilkelere farkl› a¤›rl›k verebiliyor. Örne¤in kimi ülkelerde hasmane sat›n almalar›n az›nl›k paydafllar›n ç›kar›n› ihlal etmesi ön plana ç›karken, kimilerinde yönetim kurulu üyelerinin ve yöneticilerin ücret ve primlerinin muhasebelefltirme sisteminin ve miktar›n›n paydafllar›n ç›kar›n› zedelemesi ön plana ç›k›yor. Kurumsal yönetim derecelendirme yöntemleri, benimsenen ilkelere ve flirketlerin bulundu¤u ülkenin yukar›da de¤inilen türden özelliklerine ba¤l› olarak farkl›l›k tafl›yor. Ama tüm ilkeler ve yöntemler buketi için geçerli olan kurumsal yönetim sistemi yine ayn› dört ilkeye dayan›yor. Kurumsal yönetimi derecelendirmesi de kredi derecelendirmesi gibi bu amaçla kurulmufl flirketler taraf›ndan yap›l›yor. Ama bu kez say›ca bir s›n›rlama yok. Belli bafll› kurumsal yönetim derecelendirme flirketleri Governance Metrics International (GMI), Institutional Shareholder Services (ISS) ve Standard and Poors. 2000 y›l›ndan beri münhas›ran kurumsal yönetim derecelendirmesi yapan ve halen Türkiye’de Sermaye Piyasas› Kurulu’nda kay›tl› tek derecelendirme flirketi olan Deminor Rating S.A. may›s ay›nda ISS taraf›ndan sat›n al›nd›ktan sonra bu yetki ISS’e devredilmifltir. Bu flirketler kurumsal yönetim derecelendirmesini kendi gelifltirdikleri metodolojiye göre yap- ‹Ç DENET‹M / Yaz 2005 ne ba¤l›. fiirkete profesyonel genel müdür atanmas› kurumsallaflman›n as›l unsuru de¤il. Önemli olan flirkette mülkiyet iliflkisini yönetim iliflkisinden ay›rmak, yönetimin saydam bir flekilde üretim, iflgücü, finans piyasalar›yla, kamu ve tüketiciler gibi toplumsal paydafllarla etkileflmesini sa¤lamakt›r. Bu yap›labildi¤i takdirde flirket sürdürülebilir, sa¤l›kl› ve kãrl› büyüme flans›n› yakalayacakt›r. Bu süreç içinde belki baz› faaliyet alanlar›ndan çekilecek, belki daralacak, baflka alanlarda büyüyecektir. Önemli olan piyasalarla ekonomik olarak do¤ru etkileflme mekanizmalar›n›n yerlefltirilmesi ve mülkiyet sahiplerinin sermayelerinin yeterli nemay› alabilmesidir. 32 33 YEfi‹L KALEM PERÇ‹N Yeni Yasal maktad›r. GMI, Standard&Poors ve Deminor derecelendirme sonuçlar›n› 1-10 aras›nda bir notla de¤erlendirmekte, ISS "Corporate Governance Quotient" ad›n› verdi¤i ve 1-100 aras›nda de¤iflen bir notu benimsemektedir. Kurumsal yönetim derecelendirmesinin birinci adresinin flirket yönetimi ve paylar› ne olursa olsun hissedarlar oldu¤unu daha önce belirtmifltik. Çünkü bu sayede flirketin ekonomide ne denli sa¤l›kl›, sürdürülebilir bir yap›ya sahip oldu¤u görülecektir. Tabii bu söylenen, kay›t d›fl›nda çal›flan, rekabetçi ortama girmeyi ve orada sürdürülebilir büyümeyi hedeflemeyen, finansal aletlerden yararlanmay›, ortakl›klar kurmay› düflünmeyen flirketler için geçerli de¤ildir. 2 tür derecelendirme yap›lmaktad›r. Bunlardan yayg›n olan› derecelendirme flirketlerinin kamuya aç›k bilgiyi kurumsal yönetim ilkeleri do¤rultusunda de¤erlendirerek yap›lan derecelendirmedir. Burada derecelendirmesi yap›lan flirketlerin herhangi bir talebi yoktur. Onlar kamuya aç›klad›klar› bilgilerin uzman derecelendirme kurulufllar› taraf›ndan herkesçe bilinen ilkelere göre yapt›klar› de¤erlendirmeyle karfl› karfl›ya kalmaktad›r. ‹kinci olarak flirketlerin talebi üzerine derecelendirme yap›lmaktad›r. Bu kez derecelendirme flirketi flirketlerin daveti üzerine onlar›n bünyesine girmekte, esas sözleflmeden bafllayarak kurumsal yönetim ilkelerini ilgilendiren tüm özellikleri incelemektedir. Bu kez sonuçta elde edilen derecenin kamuya aç›klanmas› flirket yönetiminin takdirindedir; e¤er derece yeterli bulunmazsa saptanan eksiklerin giderilmesinden sonra egzersiz tekrarlanabilir. Deminor S.A. bugüne kadar 4 flirketin talebi üzerine kurumsal yönetim derecelendirmesini yapm›fl ve aç›klam›fl, bunlar›n ikisi 8/10, biri 7/10, di¤eri 7.5/10 alm›flt›r. Derecelendirme yap›lan di¤er baz› flirketler sonuçlar› aç›klamam›flt›r. Bu tür derecelendirmenin bedelini flir- ketler ödemektedir. Deminor’u bünyesine katm›fl olan ISS ve di¤er derecelendirme flirketleri kamuya aç›k bilgiden hareketle derecelendirme yapmaktad›r. Bu derecelendirmelerin müflterisi kurumsal yat›r›mc›lard›r. Kurumsal yat›r›mc›lar belirli abonman ücretleri ödeyerek bu tür derecelendirme raporlar›na ulaflmaktad›r. Türk fiirketleri Ne Konumda? Kurumsal yönetim ve derecelendirme konusu Türkiye’de Sermaye Piyasas› Kurulu taraf›ndan düzenlenmifltir. SPK son olarak IMKB bünyesinde bir kurumsal yönetim derecelendirme endeksi kurulmas›n›, SPK ilkelerine göre yap›lacak derecelendirmede 10 üzerinden 6 alan flirketlerin bu endekse al›nmas›na ve bunlar›n IMKB kotasyon ücretlerinde yüzde 50 indirim yap›lmas›n› öngörmüfltür. Bu indirim flirketlerin derecelendirme için yapacaklar› giderlerden genellikle daha fazlad›r. Yani flirketler derecelendirme yapt›rd›klar›nda bunun bedelini geri alabilmektedir. Baz› flirketler bu konuda ad›m atmak üzeredir. Türkiye kurumsal yönetim kalitesi itibariyle çeflitli ülkelerle karfl›laflt›r›ld›¤›nda fevkalade zay›f durumdad›r. GMI taraf›ndan 23 ülke ile ilgili olarak yap›lan çal›flma ‹ngiltere’nin birinci s›rada Japonya ile Yunanistan’›n ise en sonda yer ald›¤›n› göstermifltir. 2002 y›l›ndan beri 5 kez tekrarlanan derecelendirme çal›flmalar›nda 4 flirket her defas›nda tam not alm›flt›r. Bunlar Colgate-Palmolive, PepsiCo Inc, Praxair Inc, Canada BCE Inc. Türkiye’de bugüne kadar hiçbir flirket tan›mlanm›fl uluslararas› ilkelere veya SPK ilkelerine göre derecelendirmeye baflvurmam›flt›r. Baz› yabanc› bankalar müflterileri aras›nda yer alan bazi flirketlerin kurumsal yönetim kalitesini kamuya aç›k bilgiye dayanarak derecelendirmifltir. Institute of International Finance Inc. 4 Nisan 2005’de yay›nlad›¤› çal›flma sonuçlar›nda flöyle demektedir: " Türkiye yak›n zamanlarda d›fla kapal› ve düflük büyüme h›z›na sahip ülke statüsünden AB ile daha fazla bütünleflen h›zl› büyüyen ülke konumuna geçmifltir. Türk flirketleri yat›r›m sermayesi ihtiyac›n› karfl›lamak, artan rekabet ortam›nda büyüme flans›n› de¤erlendirmek istedikleri takdirde kurumsal yönetimi kalitesini iyilefltirmek zorundad›r." Prof. Dr. Çelik Kurto¤lu, “‹yi fiirket” Dan›flmanl›k Yönetim Kurulu Baflkan› Düzenlemeler Ifl›¤›nda ‹ç Denetim Ali R›za Eflkazan Ülkemizde yaflanan ekonomik kriz ve kaos ortam› sonras› yolsuzluklardan duyulan rahats›zl›k ve denetim organizasyonundaki yetersizlikler söz konusu krizin oluflumunda bu unsurlar›n da etkisinin bulundu¤u kan›s›na neden olmaktad›r. Bu kan›, kurumsal yönetim ilkelerinin ve bunun paralelinde denetim olgusunun ön plana ç›kt›¤› bir sürecin bafllamas›na neden olmufltur. Uluslararas› alanda boy gösteren yolsuzluklar dolay›s› ile NYSE halka aç›k flirketlerin iç kontrol sisteminin gelifltirilmesini zorunlu hale getiren yasal düzenlemelerde bulunmufltur. Yeni düzenlemelerin ülkemize yans›mas› ve Avrupa Birli¤i uyum çal›flmalar› da iç kontrol sistemi ve iç denetime yönelik yasal düzenlemelerin yap›lmas›na destek sa¤lam›flt›r. ‹ç kontrol sistemi ve iç denetim fonksiyonuna yönelik yasal düzenlemelere iliflkin çal›flmalar afla¤›da de¤erlendirilmifltir. Kamu Mali Yönetiminde De¤iflim Çal›flmalar› Kamu kurum ve kurufllar›nda iç kontrol sistemi ve iç denetim fonksiyonunun yap›land›r›lmas›na iliflkin merkezi uyumlaflt›rma birimi olarak görev yapmak üzere "‹ç Kontrol Uyumlaflt›rma Birimi" kurulmas›, iç denetim standartlar›n› belirlemek ve iç denetçilerin çal›flmalar›n› koordine etmek üzere "‹ç Denetim Koordinasyon Kurulu" oluflturulmas› ve bu Kurula destek hizmetleri vermek üzere bir birim kurulmas› öngörülmüfltür. ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 Türkiye’de hiçbir flirket tan›mlanm›fl uluslararas› iliflkiler veya SPK ilkelerine göre derecelendirilmeye baflvurmam›flt›r. 34 35 PERÇ‹N PERÇ‹N ‹Ç DENET‹M / Yaz 2005 Kurumsal Yönetim ‹lkeleri Rehberi ve Halka Aç›k fiirketler SPK taraf›ndan yay›nlanan Kurumsal Yönetim ‹lkeleri rehberi içerisinde halka aç›k flirketlerde denetim komitesi kurulmas› zorunlulu¤u belirtilmifltir. Denetim Komitesinin sorumlulu¤u "Denetim komitesi, flirketin muhasebe sistemi, finansal bilgilerin kamuya aç›klanmas›, ba¤›ms›z denetimi ve flirketin iç kontrol sisteminin iflleyiflinin ve etkinli¤inin gözetimini yapar" fleklinde tan›mlanm›flt›r. Denetim komitesinin flirketin iç kontrol sisteminin iflleyifl ve etkinli¤inden sorumlu olmas› ve iç denetimin ana görevlerinden birinin de iç kontrol sisteminin etkinli¤inin ve verimlili¤inin de¤erlendirilmesi olmas› nedeni ile iç denetim fonksiyonu halka aç›k flirketlerde önemli bir enstrüman haline gelmektedir. Uluslararas› alandaki yolsuzluklar›n gerekli k›ld›¤› yasal düzenlemeler halka aç›k flirketlerin iç kontrol sistemlerini de çal›flt›rmay› zorunlu hale getiriyor. Türk Ticaret Kanunu Tasar›s› ve Di¤er fiirketler Halka aç›k flirketler d›fl›ndaki di¤er flirketler için ise yeni Türk Ticaret Kanunu tasar›s› içerisinde kurumsal yönetim ilkeleri çerçevesinde tüm flirketler için iç denetim fonksiyonun kurulmas›n›n gereklili¤ine iflaret edilmektedir. Tasar›, "Finansal denetimin belirlenmesi, flirketin ifl ve ifllemlerinin denetlenmesine iliflkin bir iç denetim sisteminin ve bunu yapacak örgütün (bölümün) gösterilmesidir. fiirket hangi büyüklükte olursa olsun, flirkette, muhasebeden tamamen ba¤›ms›z, uzmanlardan oluflan, etkin bir iç denetim örgütüne gereksinim vard›r" ibaresi ile iç denetimin kapsam›n› finansal verilerin denetlenmesi ile s›n›rland›rmaktad›r. denetim sistemlerinin etkinli¤ini ve yeterlili¤ini, bu sistemler ile muhasebe ve raporlama sistemlerinin bu kanun ve ilgili düzenlemeler çerçevesinde iflleyiflini ve üretilen bilgilerin bütünlü¤ünü gözetmekten görevli ve sorumludur. Dernekler Kanunu Bankac›l›k Kanunu Yeni bankac›l›k kanunu içerisinde kurumun etkin denetimini engellemeyecek fleffaf ve aç›k bir ortakl›k yap›s› ve organizasyon flemas›na sahip olmas› ve konsolide denetimini engelleyici nitelikte herhangi bir hususun bulunmamas› belirtilmektedir. Kanunda "‹ç kontrol, risk yönetimi ve iç denetim sistemlerinin ilgili mevzuata uygun olarak tesis edilmesi, ifllerli¤inin, uygunlu¤unun ve yeterlili¤inin sa¤lanmas›, finansal raporlama sistemlerinin güvence alt›na al›nmas›, banka içindeki yetki ve sorumluluklar›n belirlenmesi yönetim kurulunun sorumlulu¤undad›r" ibaresi ile iç denetimin önemi ortaya konmaktad›r. Bankalar›n, yönetim kurullar›nca yönetim kurulunun denetim ve gözetim faaliyetlerinin yerine getirilmesine yard›mc› olmak üzere denetim komitesi oluflturulmas› öngörülmüfltür. ‹craî görevi bulunmayan yönetim kurulu üyeleri aras›ndan oluflturulan denetim komitesi, yönetim kurulu ad›na bankan›n iç kontrol, risk yönetimi ve iç Yeni dernekler kanunu ile derne¤in iç denetim fleklinin tüzük içerisinde belirtilmesi zorunlu hale gelmifltir. Derneklerde iç denetim yap›lmas›n›n esas oldu¤u genel kurul, yönetim kurulu veya denetim kurulu taraf›ndan iç denetim yap›labilece¤i gibi, ba¤›ms›z denetim kurulufllar›na da denetim yapt›r›labilece¤i belirtilmifltir. Sonuç ‹ç denetimin kapsam›n›n sadece finansal yap› ile iliflkilendirilmesi uluslararas› iç denetim tan›m›, standartlar›, etik kurallar› belirli olmas›na karfl›n bu konular›n oluflturulmas›na ve gelifltirilmesine yönelik kurullar›n oluflturulmas› ve ilgili tan›mlar›n farkl› düzenlemeler ile yasa ve yönetmeliklerde yer almas› iç denetimin fonksiyon niteli¤i bir kenara b›rak›larak iç kontrol sistemini de kapsayacak flekilde iç denetim sistemi olarak tan›mlanmas›, iç denetim kavram›n›n ülkemizde uluslararas› anlam› ile do¤ru olarak henüz yerleflmedi¤inin bir göstergesidir. Bu durum iç denetimden beklentilerin modern iç de- netim uygulamalar›nda afl›nmalara neden olacak eski al›flkanl›klar›n sürdürülmesi ve de¤iflimin sadece flekil flart›nda bir de¤iflimden ibaret kalabilece¤i riskini ortaya koymaktad›r. • ‹ç denetimin modern anlam› ile ele al›narak, organizasyon faaliyetlerini gelifltirmek ve katma de¤er yaratmak amac›n› gütmesi, risk yönetimi, kontrol ve kurumsal yönetim süreçlerinin etkinli¤ini de¤erlendirmek üzere ba¤›ms›z ve objektif bir güvence ve dan›flmanl›k faaliyeti olarak yorumlanmas› ile iç denetimden elde edilecek art› de¤erin daha üst seviyelere tafl›naca¤› tabidir. Bu çerçevede yeni yasal düzenlemelerin gerekli iyilefltirmeleri zaman içerisinde yap›lmas› gere¤i ortaya ç›kmaktad›r. Söz konusu yasal düzenlemelerin uygulamaya sokulmas›; yasal düzenlemelerin d›fl›nda kurumsal yönetim ilkelerinin gere¤i olarak organizasyonlar›n üst yönetimlerinin, yasal zorunluluk hissetmeden, iç kontrol sorumluluklar›n› yerine getirecekleri ve iç denetim fonksiyonunu "Koruyucu Hekimlik Yap›s›" içerisinde ele al›p sistemin güvencesi olarak de¤erlendirecekleri bir ortam›n oluflturulmas›nda kilometre tafl› olarak yerini alacakt›r. Ali R›za Eflkazan, DOSA ‹ç Denetim Hizmetleri Kurucu Orta¤›d›r. www.dosadenetim.com [email protected] ‹Ç DENET‹M / Yaz 2005 Bakanlar Kurulu Karar› ile ‹ç Denetim Koordinasyon Kurulunun Baflkan ve üyeleri atanm›flt›r. Maliye Bakanl›¤› ve ‹ç Denetim Koordinasyon Kurulu taraf›ndan çal›flmalar ve ikincil mevzuat haz›rl›klar› sürdürülmektedir. Kamu mali yönetimi ve kontrol yasas› ile kamu iç kontrol sistemi ve iç denetim fonksiyonu tan›mlanm›fl, iç denetçilerin görev ve sorumluluklar› belirlenmifltir. ‹ç kontrol sistemi kamu idarelerinin malî ifllem ve faaliyetlerine iliflkin tüm gelir, gider, varl›k ve yükümlülüklerinin amac›na ve mevzuat›na uygun bir flekilde gerçeklefltirilmesi için uygulanan malî yönetim, harcama öncesi kontrol ile harcama sonras› iç denetim faaliyeti fleklinde tan›mlanm›fl dolay›s› ile a¤›rl›kl› olarak mali yap› ile iliflkilendirilmifltir. ‹ç denetim tan›m›nda, uluslararas› iç denetim tan›m› temel olarak al›nmas›na karfl›n özellikle risk yönetimi, kurumsal yönetim ve kontrol süreçlerinin etkinli¤inin de¤erlendirilmesinin mali ifllemler ile s›n›rland›r›ld›¤› görülmektedir. ‹lgili yasa çerçevesinde oluflturulan ‹ç Denetim Koordinasyon Kurulu’nun görevleri aras›nda; iç denetim ve raporlama standartlar›n›n belirlenmesi, uluslararas› uygulamalar ile uyumlu risk de¤erlendirmesinin uygulanmas›, iç denetçilerin e¤itim programlar›n›n haz›rlanmas› ve gelifltirilmesi, iç denetçilerin etik kurallar›n›n belirlenmesi ve kalite güvence programlar› kapsam›nda iç denetim birimlerinin durumlar›n› en az y›lda bir de¤erlendirmesi gibi uluslararas› standartlarda ifade edilen sorumluluklar yer almaktad›r. 37 36 PARMAK ‹Z‹ PARMAK ‹Z‹ Denetçilerin Bilmesi Gereken Temel Bilgiler N. Burak Ünlü ‹Ç DENET‹M / Yaz 2005 ‹ç denetçiler çal›flt›klar› organizasyon içinde artan bir flekilde birden çok iflletim sistemi ile karfl›laflmaktad›rlar. Bu durumda flirketin IT altyap› maliyetlerini azaltmak için genellikle kurum çap›nda tek bir sisteme sahip olunmas›n› önermektedirler. Ancak, de¤iflik iflletim sistemlerinin konusuna göre farkl› güçlü ve zay›f yönleri bulunmaktad›r. Bir iflletim sisteminin nas›l çal›flt›¤› ve hangi sistemin hangi amaca yönelik dizayn edildi¤ini bilmek, birden fazla iflletim sistemi kullan›m›n›n IT altyap›s› üzerinde yaratt›¤› maliyetin gerekli olup olmad›¤› anlamaya yard›mc›d›r. Bugün kulland›¤›m›z iflletim sistemleri zaman içinde geliflerek varolmufllard›r. Eskiden iflletim sistemleri spesifik makinalar için kullan›c›ya özel olarak gelifltirilmekteydi. Bugün ise birçok amaca hizmet etmenin yan› s›ra IT dünyas›ndaki süregelen de¤iflimlere ve de¤iflik kullan›c›lar›n ihtiyaçlar›na hizmet etmek üzere çok daha esnek bir yap›dad›rlar. ‹flletim sistemleri 2 bölümden meydana gelmektedir. Birincisi temel girdi/ç›kt› sistemi (BIOS) dedi¤imiz bilgisayara ilk yüklenen k›s›md›r. BIOS bilgisayar›n donan›m ve yaz›l›m›n› organize ve kontrol eder, makinalara ifllemleri kontrol etmek için girdilerin okunmas› ve sonuçlar›n ç›kt›s›n›n al›nmas› yetene¤ini sa¤lar. Örne¤in; kullan›c›lar bilginin elde edilece¤i lokasyonu belirleyerek (klavyeden bilgi girifli ile girdinin okunmas›) girdiyi kontrol edebilirler. Art›k kullan›c›ya özel gelifltirilen iflletim sistemleri yerine, birçok amaca hizmet veren ve IT dünyas›ndaki de¤iflimlere aç›k sistemler tercih ediliyor. Ayn› flekilde kullan›c›lar bilginin nerede gösterilece¤i ve muhafaza edilece¤ini belirleyerek (ekranda görüntülenmesi veya bir dosyada saklanmas›) ç›kt›y› da kontrol edebilirler. ‹flletim sistemi, BIOS ile girdi/ç›kt› fonksiyonlar›n›n kontrol edilmesinin yan› s›ra kullan›c› flifresinin do¤rulanmas› ve makina ayarlar›na göre tan›mlanmas› yoluyla bilgisayara ve networke eriflimi de yönetir. Kullan›c›lar networke ba¤l› bir bilgisayara girdiklerinde networke ba¤lanmadan önce eriflim yetkisi aç›s›ndan kontrol edilirler. Ayr›ca; kullan›c›lar›n ba¤lant›lar›n›n kayd›n›n tutulmas› amac›yla aktivitelerin loglar› tutulur. ‹flletim sistemleri ayn› zamanda yaz›l›mlar›n düzgün bir flekilde yüklenmesi ve donan›m hatalar›n›n düzeltilmesinden sorumludurlar. Bilgisayar›n donan›m ba¤lant›lar›n›n yerinde oldu¤unu belirledi¤i sistem testinin tamamlanmas›n›n ard›ndan iflletim sistemi çal›flmaya bafllar ve yedekleme (backup) gibi temel hizmetleri sa¤lar. Bir iflletim sistemini ne kadar çok insan kullan›yorsa, zay›fl›klar›n›n keflfedilmesi ve sald›r›ya maruz kalma olas›l›¤› da o kadar yüksektir. Bu yüzden az say›da kullan›c›n›n amaçlar›na hizmet eden mainframe gibi iflletim sistemlerinin zarar görme olas›l›¤› daha düflüktür. Mainframe bilgisayarlarda çok daha az say›da virüsle karfl›lafl›lmas›n›n nedeni de budur. Günümüzde bir çok kurum güvenlik duvar› (firewall) kullanarak internet üzerinden bilgisayarlara ulaflan bilgileri filtrelemekte ve böylece d›fl kaynakl› sald›r›lara karfl› sistemlerini savunmaktad›r. Ancak d›fl sistemlere aç›k bilgisayarlar ve ba¤lant›lar, kurum için güvenlik problemi yaratmaya devam etmektedirler. Denetimde Dikkate Al›nmas› Gereken Hususlar ‹flletim sistemleri etkin ifl faaliyetlerinin temel yap› tafllar›d›rlar. Tüm iflletim sistemlerinin faydalar› yan›nda risklerinin de olmas› nedeniyle IT bölümleri, s›k s›k hangi iflletim sistemlerinin veya sistem kombinasyonlar›n›n kurum için faydal› ol- du¤u konusunda denetçilerin görüfllerine baflvurmaktad›rlar. Öncelikle say›m yap›larak bir yaz›l›m ve donan›m envanteri ç›kar›lmas›, kurumda kullan›lan bilgisayar say›s› ve tiplerinin belirlenmesine yard›mc› olacakt›r. Ayr›ca; • yüklenmifl donan›m, kullan›lan iflletim sistemi, birden fazla iflletim sistemi ile çal›flan bilgisayar say›s›n›n belirlenmesine, • kullan›mdaki donan›m›n spesifik iflletim sistemlerine uygunlu¤unun incelenmesine, • gelecekteki denetim inceleme ve önerileri için iç denetçiler ile IT bölümlerine bilgi sa¤lanmas›na yard›mc› olacakt›r. Elde edilen bilgiler, çal›flanlar›n bilgisayarlar›ndaki uygun olmayan yaz›l›mlar›n belirlenmesini sa¤layabilir. Örne¤in; Windows XP ortam›nda Windows 98 yaz›l›m› gibi veya MP3 dosyalar› ve filmler gibi kurumca kullan›m› onaylanmam›fl uygulamalar tespit edilebilir. Say›ma ilave olarak, IT yöneticilerinin sistem kullan›m›n› maksimize edip etmedi¤inin tespiti için iç denetçilerce iflletim sisteminin fonksiyonelli¤i incelenmelidir. Bunun için öncelikle IT bölümlerinin iflletim sisteminin kontrol de¤erlerini kontrol edip etmedikleri belirlenmelidir. Kurumdaki tüm masaüstü ve dizüstü bilgisayarlar, flifrenin uzunlu¤u, sona erme tarihi ve tarihçesi vb. ayn› eriflim kontrol de¤erlerine sahip olmal›d›r. Ayr›ca, kontrol de¤erlerinin sadece bu konuda yetkili personel taraf›ndan de¤ifltirilebildi¤inden emin olunmal›d›r. ‹kinci olarak, aktivite loglar›n›n uygun bir flekilde korundu¤u ve izlendi¤i kontrol edilmelidir. Loglar, iflletim sistemine karfl› kim ve nelerin güvenlik tehditi oluflturdu¤unu tan›mlamak amac›yla kullan›l›rlar. Aktivite loglar› olmadan güvenlik sald›r›lar›n› izlemek imkans›zd›r ve kurumun problemin çözümü için harcad›¤› çabalara mani olacakt›r. Denetçiler, loglar›n uygunca kullan›ld›¤›n›, sadece yetkili personelce ulafl›labildi¤ini ve problemleri incelemek için gerekli bilginin kay›t edilip edilmedi¤ini incelemelidirler. Loglarda ve log raporlar›ndaki bilgiler, IT yöneticileri ve denetçiler için çok faydal›d›r Log raporlar›nda, bilgisayar›n ba¤lant› süresi, kullan›c› tan›mlama bilgisi, eriflilen uygulamalar vb. log bilgilerinin detaylar› bulunmaktad›r. Ne kadar çok bilgi kaydedilirse neler oldu¤unu anlamak da o kadar kolay olur. Ancak; kaydedilen bilgi say›s› ço¤ald›kça loglar›n dolmas› ve üzerlerine tekrar yaz›lmas› h›zlan›r. Dolay›s›yla; ihtiyaç duyulan bilginin miktar›, hard diskte log dosyas›n›n kaplad›¤› alan ve logun kullan›lma alanlar› aras›nda çok yak›n bir iliflki mevcuttur. Üçüncü olarak, denetçiler denetimlerinde veri analiz yaz›l›mlar› kullanabilirler. Yaz›l›m sayesinde elde edilen bilgiler filtrelenerek bilgi miktar› azalt›labilir. Ancak filtreyi yanl›fl kullanmak denetim sonuçlar›n› olumsuz etkileyebilece¤inden denetçilerce filtrenin uygunlu¤u incelenmelidir. Dördüncü olarak, denetçilerce yedeklemenin (bakcup) etkinli¤i gözden geçirilmelidir. Ço¤u kurumda merkezi yedekleme sistemleri bulunurken baz› kurumlarda çal›flanlar›n kendi yedeklemelerini gerçeklefltirmelerine müsaade edilmektedir. Çal›flanlar›n kendi yedeklemelerini oluflturmalar› güvenlik riski tafl›maktad›r. Çünkü, yedek dosyalara eriflim yetkisi bulunan çal›flanlar de¤erli baz› bilgileri silebilirler. Ayr›ca; baz› de¤erli bilgiler ise yetkisiz personele veya kurum d›fl› kiflilere verilebilir. Son olarak, yeni iflletim sistemlerinin sat›n al›nma aflamas›nda, denetçiler sistemin maliyet analizini gerçeklefltirebilir ve mevcut yaz›l›mlar›n yeni iflletim sisteminde kullan›labilirli¤ini de¤erlendirebilirler. Denetçiler, farkl› iflletim sistemlerinin faaliyet hedeflerini karfl›lay›p karfl›lamad›¤›n›, kurumun iflletim sistemlerini güvenli, etkin ve verimli kullan›p kullanmad›¤›n› de¤erlendirmelidirler. Ayr›ca; denetçiler bir iflletim sisteminden di¤erine geçifl aflamas›nda IT bölümleriyle birlikte çal›flmal›d›rlar. Böylece riskler ve f›rsatlar konusunda analiz gerçeklefltirip, önerileri ile kuruma faydal› olabilirler. IT Audit Vol.8’den al›nan makaleyi dilimize N.Burak Ünlü çevirmifltir. ‹Ç DENET‹M / Yaz 2005 ‹flletim Sistemleri: 38 39 PARMAK ‹Z‹ PARMAK ‹Z‹ Aldatma Sanat› Kevin Mitnick ad›n› özellikle internet, güvenlik, hacking, internet korsanl›¤› gibi konulara merakl› olan herkes duymufltur. 90l› y›llarda ABD’de özellikle telekom firmalar›na vermifl oldu¤u milyonlarca dolarl›k (?) zarardan dolay› y›llarca gözetim alt›nda tutuldu. Daha sonra da flartl› tahliye edildi. Gözetim alt›nda tutuldu¤u 4 seneyi aflk›n süre boyunca FBI onu ne ile suçlayaca¤›na bir türlü karar veremedi. Sorun FBI’in önünde düzinelerce seçenek olmas› de¤il; tam tersi ne ile suçlayacaklar›n› bilemiyor olmalar› idi. Tamam, sonuçta ma¤dur olan birileri vard› ama o ma¤duriyete giden süreçte 1 kifli ya da kiflilerin ne kadar suçlu olabilece¤i konusunda FBI’›n da kafas› kar›flm›fl görünüyordu. Bir baflka deyiflle Mitnick’in suçu, yasalarda ya da düzenlemelerde ad› geçmeyen, düflünülmemifl olan süreç parçac›klar›n›, bilgi k›r›nt›lar›n› kullanmak idi. Mitnick 2003 y›l›nda gözetim süresini de doldurduktan sonra güvenlik konusunda çal›flmaya bafllad›. 2002 ve 2005 y›llar›nda ise yaflam›fl oldu¤u deneyimlerini paylaflt›¤› 2 kitap yay›nlad›. Bu 2 kitaptan ilki Aldatma Sanat› ad›yla geçti¤imiz haftalarda ODTÜ Yay›nlar› taraf›ndan dilimize çevrilerek yay›nland›. Bu kitapta anlat›lan hikayeler (ki baz›lar›na burada yer verece¤im) güvenlik ve denetim konular›nda çal›flan ya da hizmet veren her kifli ya da kuruluflun özellikle dikkat etmesini gerektiren türden dersler içermekte. Bu öyküleri okudu¤unuzda ve inceledi¤inizde flu temel sonuçlarla karfl›laflacaks›n›z: l Güvenlik kavram›n›n en zay›f halkas› insand›r – bilgisayar, sistem, altyap›, vb. de¤il, l Bu zay›f halkay› güvenlik konusundaki prosedürler izler, l Güvenlik duvarlar›n›n afl›lmas› için karfl›n›zdakinin üst düzey, bilgisayar bilgisine sahip insanlar olmas› gerekti¤ini varsaymay›n. fiimdi baz› örnek öykülere bakal›m: 10 Milyon Dolar› Nas›l Buharlaflt›r›rs›n›z? Bay X bir bankaya yaz›l›m destek hizmeti veren bir firman›n uzman çal›flanlar›ndan biri. Bu ban- ka baz› özel durumlarda kullanmak üzere bir EFT ofisine sahip. Bu ofise bankan›n yetkili birimlerinden telefon ile ulafl›l›yor ve gönderici – al›c› hesap bilgileri – mebla¤ ve günün flifresi bilgileri verilerek, EFT/Swift ifllemleri yap›lmas› sa¤lan›yor. Bu yap› bütünüyle dahili çal›fl›yor. D›flar›dan birisinin böyle bir mekanizman›n oldu¤unu bilmesi olas› de¤il. Ofisin telefonlar› sadece bu mekanizmay› bilen personel taraf›ndan edinilmifl durumda. O nedenle birisi ofisi arad›¤›nda aranan personel bir para transferi ifllemi için bir banka personelinin arad›¤›n› biliyor. Günün flifresi sürecin en zay›f halkas›. Bay X, bu bankaya gidegele günlük iflleyifli gözlüyor ve süreci ö¤reniyor. Süreçte kullan›lan teknik kelimeleri de kavr›yor. 2 temel bilgiye sahip olmas› gerekti¤ini keflfediyor. Birincisi bir birimler aras› takas numaras›, ikincisi de günün flifresi. Hangisini daha kolay elde ediyor tahmin edin! Takas numaras› de¤il; günün flifresi! Nas›l m›? Bay X keflfediyor ki, EFT ofisinde ifllem yapmakla görevli personel, her gün de¤iflen bu flifreleri sürekli ak›llar›nda tutmak yerine daha kolay bir yol bulmufllar: Günün flifresini küçük bir ka¤›da yaz›p, bilgisayar ekranlar›n›n bir kenar›na ilifltirmek! Bay X, olay günü önce ofise giderek, çal›flanlar›n yan›ndan geçerken ekrandaki o küçük ka¤›tlar› ar›yor ve bir ekranda bu bilgiyi buluyor. Daha sonra banka d›fl›na ç›k›p bir telefon kulübesinden, sanki banka personeliymifl gibi EFT ofisini ar›yor ve telefona ç›kan görevliyle kriptik konuflmas›n› yap›yor. Günün flifresi, ifllem bilgileri. Son aflamada görevli takas numaras›n› sorunca afallayan Bay X (daha önce böyle bir bilginin de istendi¤ini bilmiyor) telefonda bunu belli etmiyor ve kontrol etmek amac›yla daha sonra aramak üzere telefonu kapat›yor. Bay X derhal di¤er bölümü aray›p, sanki EFT ofisinden ar›yormufl gibi, takas numaras›n› soruyor ve bilgiyi elde ettikten sonra, EFT ofisini aray›p eksik bilgiyi de tamaml›yor ve banka 10 milyon dolar›n üstündeki bir paray›, Bay X’in bu ifl için daha önce açm›fl oldu¤u ‹sviçre hesab›na aktar›yor. Firewall yaz›l›m› m› dediniz? Web sitesinin tüm deliklerinin kapat›lmas› m›? fiifrelerin küçük harf, büyük harf, say›sal karakter içermesi zorunlulu¤u mu? Bu öyküde bunlar›n hiçbiri yok! Hiçbirine gerek de yok; önleyici bir fonksiyonalitesi de! 2 kritik nokta var. Birincisi sanki banka personeliymifl gibi aran›p da takas numaras› alma sürecinde, aranan kiflinin, arayan›n gerçektende banka personeli olup olmad›¤›n› teyit etmeden bu bilgiyi kendisine veriyor olmas›. ‹kincisi de günlük flifrelerin ekranlarda alenen yaz›l› duruyor olmas›. Bir baflka örne¤i inceleyelim: Teknoloji Korsanl›¤› (Tereya¤› – K›l Hadisesi) Bay Y, yeni kalp stenti cihaz› üzerinde çal›flan mühendislerden bir tanesini hafta sonu birgün ö¤leden sonra ar›yor ve kendisini flirketin teknoloji bölümünden bir teknisyen olarak tan›tarak ciddi bir sorun oldu¤unu söylüyor: "Sunucu cihazlar›ndaki disklerde bir sorun var; son yede¤e dönmek 1-2 gün alacak, bu sürede e¤er sisteme ulaflmak isterseniz bilgileri göremeyeceksiniz – merak etmeyin". Zamana karfl› çal›flan mühendis küplere biniyor ve 1-2 saat içinde sistemin haz›r olmas›n›, evden eriflerek çal›flaca¤›n› söylüyor. Teknisyen k›l›¤›ndan Bay Y; yapabilecek bir fleyinin olmad›¤›n› ancak kendisine öncelik vererek süreyi biraz k›saltabilece¤ini söylüyor. Köpüren mühendis, teknisyenin ad›n› ve amirinin ad›n› soruyor ve onu flikayet etmekle tehdit ediyor. Bay Y bunun üzerine öncelik iflini h›zland›rabilece¤ini, ancak bunun için flifresini kendisine söylemesi gerekti¤ini söylüyor. Mühendisin flüphelenip de duraksad›¤›n› görünce, güvenini kaybetmemek için kendisi ile ilgili bir bilgi veriyor: Güya flirket evraklar›n› kar›flt›rarak mühendisin ifle girerken doldurdu¤u formda belirtti¤i flifreyi buluyor ve ona söylüyor. Arayan kiflinin gerçekten de flirketin bir teknisyeni oldu¤una ikna olan mühendis, o anki kullan›c› kodunu ve flifresini söylüyor. Bingo Bay Y; flifre bilgisini kullanarak yeni stent cihaz› konusundaki tüm dosyalar› flirketin bilgisayar›ndan Çin’de bulunan bir sunucu bilgisayara internet üzerinden aktar›yor ve bu ifl için kendisi tu- ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 Tanol Türko¤lu 40 41 PARMAK ‹Z‹ tan kiflilere Çin’deki bilgisayar›n flifresini söylüyor. Bay Y’yi kiralayanlar; kalp stenti konusunda çal›flan o firman›n en büyük rakibi ve flirketin ne tür yenilikler üzerinde çal›flt›klar› konusunda bilgi sahibi olmak istiyor. Daha ne olsun! fiimdi gelelim, Bay Y’nin mühendise gelene dek geçirdi¤i aflamalara. Önce flirketin resepsiyonunu aray›p, kalp stenti konusunda çal›flan ekipten ad›n›n S ile bafllayan birisiyle görüflmesi gerekti¤ini ama ad›n› unuttu¤unu beyan eden birisi k›l›¤›na giriyor. Söylenen isimlerden birisine ba¤lan›yor. Bu kez kendisini muhaberat biriminden bir çal›flan olarak tan›tarak, proje ekibine bir paket geldi¤ini, bunu kime göndermesi gerekti¤ini soruyor. Böylece ekip bafl›n›n ad›n› ve telefonunu ö¤renmifl oluyor. O kiflinin telefonuna ulaflt›¤›nda, kiflinin tatilde oldu¤unu ancak yard›mc›s› ile irtibat kurulabilece¤ini ö¤rendi¤i bir karfl›lama mesaj› sayesinde yard›mc›s›na ba¤lan›yor. Ona proje yöneticisi olan kiflinin ad›n› vererek, projeyle ilgili bir rapor haz›rlam›fl oldu¤unu, de¤erlendirme için tüm proje üyelerine göndermesi gerekti¤ini ama isimlerini bilmedi¤ini söyleyerek, kendisinden yard›mc› olabilece¤i proje yöneticisinin ona söylemifl oldu¤unu belirtiyor. Konudan flüphelenmeyen yard›mc› tüm üyelerin isim ve eriflim bilgilerini Bay Y’ye e-posta ile gönderebilece¤ini söylüyor. Bu iyi bir çözüm de¤il; çünkü Bay Y’nin firma ad›na kay›tl› bir eposta adresi yok. Onun yerine faksla almay› tercih etti¤ini söylüyor. Yard›mc› fakslayabilece¤ini belirtince de ofisteki faks›n hizmet d›fl› ›fl›¤›n›n yand›¤›n› biraz sonra arayarak baflka bir faks numaras› verece¤ini söylüyor. fiirketin resepsiyonunu ar›yor ve kendisini bir baflka departmanda çal›flan ancak faks cihaz› bozulan bir personel olarak tan›t›p, kendisine bir faks gelece¤ini, resepsiyondaki faks cihaz›na gelebilir mi diye izin istiyor ve numaray› ar›yor. Stent projesinde yard›mc›y› aray›p bu numaray› ona veriyor ve bilgilerin fakslanmas›n› sa¤l›yor. Daha sonra resepsiyonu tekrar aray›p, faksla gelmifl bilgileri bir proje kapsam›nda çal›flmakta olduklar› bir dan›flmana ulaflt›rmas› gerekti¤ini ancak dan›flman›n çok meflgül oldu¤u için faksla gönderilmesini istedi¤ini belirterek, gelen fakslar› kendisine verece¤i dan›flman›n faks numaras›na fakslamas›n› istiyor. Yard›msever resepsiyon görevlisi de bunu aynen yap›yor. Verdi¤i numara bu tür telefon, posta kutusu, faks hizmetleri veren (Mail Boxes Etc türünde) bir yer. Oraya gidip, fakslar› al›yor. Böylece projede çal›flan kiflilerin isim ve eriflim bilgilerine eriflmifl oluyor. Bay Y daha sonra flirketin teknoloji destek birimini aray›p, yeni laptopu ile evden ofise ba¤lanmas› gereken bir mühendis olarak kendisini tan›t›yor ve bilgisayar› bunun için nas›l kuraca¤›n› soruyor. Derdi eriflim telefon numaras›n› ö¤renmek. Bunu da ald›ktan sonra, genelde unutulan bir konu olan, sistem kuruluflunda etkisiz hale getirilmeyen anonim kullan›c› ile sisteme girifl modelini deniyor ve baflar› ile sisteme erifliyor. Eriflti¤i sistemde, her ne kadar flifrelenmifl de olsa bir dosyada duran flifre bilgilerini al›yor ve sözlük modeli türünden bir flifre k›rma operasyonu ile flifreleri k›rmaya çal›fl›yor. Böylece hikayenin bafl›ndaki mühendisin "annesinin ad›n› vermifl oldu¤u" ilk flifreye erifliyor. Bunu da mühendisi ikna etmede kullanarak, geçerli flifresini ö¤reniyor. Yeni laptoptan bu bilgileri kullanarak sisteme eriflip, proje bilgileri Çin’e kopyalamay› baflar›yor. Görüldü¤ü üzere burada da teknolojiden çok, kiflilerin telefon görüflmelerindeki sesleri flirket personeli ya da kendini tan›tt›¤› kifli oldu¤unu sorgulamadan kabul etmelerinin yaratt›¤› riskler a¤›rl›kta. Teknoloji aç›s›ndan en büyük iki aç›k nokta; sisteme anonim kullan›c› kodu ile giriflin kapat›lmas›n›n unutulmufl olmas› ile flifre dosyas›n›n aç›kta duruyor olmas›. Bir basit hikaye daha anlatarak bitirmek istiyorum: Geçerken U¤ray›p Al›vermek ABD’de telefon firmalar›n›n periyodik olarak yay›nlad›klar› bir kitapç›k var. Dahili kullan›m için. Bu kitapç›ktaki pek çok faydal› bilgilerin yan›s›ra, ücretsiz telefon görüflmesi yapmada kullan›lacak telefon numaralar› da var. Özellikle teknisyenler bir hat tamirat› yaparken, bu numaralardan bir tanesini aray›p çevir sesi alarak bir baflka numaray› aramada kullan›yorlar. Bir baflka deyiflle bu kitapç›k de¤erli bir hazine. Peki nas›l ele geçirilecek? Bay Z firman›n ufak bir flubesini arayarak, kendisini flirketin o kitap盤› basmaktan sorumlu biriminden arad›¤›n›, yeni kitap盤›n haz›r oldu¤unu ancak da¤›t›mda bir sorun oldu¤unu, yak›n bölgede olduklar› için de o flubenin kopyas›n›n yolu üzerinde oldu¤undan matbaadan bir “Güvenlik dedi¤imizde belli bir paradigma çerçevesinde tedbirler al›yoruz ama o paradigmaya dahil olmayan noktalardan aç›klar vererek gol yiyebiliyoruz.” personelin akflam eve dönerken b›rakabilece¤ini, ancak prosedür gere¤i eski kopyan›n iade edilmesi gerekti¤inden, akflam ofisi kapat›rlarken, eski kopyay› binan›n giriflinin yan›nda bir yere b›rakabilirlerse personelin onu al›p yerine yenisini b›rakabilece¤ini söylüyor. Akflam geç bir saatte Bay Z olay yerine geliyor. Önce flüphelenilmifl de pusuda beklenip beklenmedi¤ini anlamak için etraf› kolaçan ediyor. Kimselerin olmad›¤›n› görünce kap›ya gidiyor ve yerdeki kitap盤› al›yor. Toplum Mühendislerine Dikkat Kevin Mitnick’in toplum mühendisli¤i diye tan›mlad›¤› bu kavram üzerinde derinlemesine düflünmek gerekir. Güvenlik dedi¤imizde belli bir paradigma çerçevesinde tedbirler al›yoruz ama o paradigmaya dahil olmayan noktalardan gol yiyebiliyoruz. Örne¤in hangi güvenlik prosedüründe kendisini telefonda banka personeli olarak tan›tarak size bir fley soran ya da sizden bir bilgi isteyen kiflilere karfl› nas›l davran›laca¤› tan›mlanm›fl durumda? Askerlikte malum, parolay› söyleyemeyen komutan dahi olsa nöbetçinin ona geçit vermeme hakk› var. Peki telefondaki ses, kendisini çal›flt›¤›n›z flirketin en düzeyinden bir kifli olarak tan›tarak sizden bir talepte bulunursa ne yapacaks›n›z? Ya da gizli oldu¤u aflikar bilgileri tan›mlamak ve bilinmesini sa¤lamak konusunda bir aç›k yok ama örne¤in bir firman›n bir flubesinin müdürünün ismi bilgisi gizli mi; de¤il mi? Internetin oldu¤u bugünün dünyas›nda bu bilgilerin pek ço¤una eriflmek için yukar›da verdi¤im türden örneklerdeki telefon görüflmelerini yapmaya gerek bile yok. Aç›n firman›n internet sitesini büyük bir olas›l›kla bu tür k›rtasiye bilgilerin ço¤u orada. Müflteriye kaliteli hizmet sunabilmek kapsam›nda. Bu yanl›fl m›? De¤il. Ancak bir firman›n personelin; birilerinin en aleni bilgilerden bir kaç tanesini yanyana getirerek, firmaya zarar verebilecek fleyler yapabilece¤ini ve bunun için kendilerini (fark›nda bile olmadan) mafla olarak kullanabileceklerini bilmelerini sa¤lamak ne yaz›k ki unutulan bir olgu. Yukar›daki türden örnekler, gerek koruyan gerekse de tipik sald›ran taraf›ndan üzerinde sözlü olarak mutab›k kal›nm›fl, "oyun d›fl› alanlar". Bir bankadan on milyon dolar çalmak isteyen hiçbir h›rs›z, yukar›daki modeli icra etmeyi düflünmez (ya da en az›ndan düflünmezdi). O yüzden de bir banka on milyon dolar›n› korumak için bu tür sald›r›lara karfl› tedbir almaz (en az›ndan almazd›). O halde neler yap›lmal›; k›saca özetleyelim: 1- Güvenlik süreçleri tasarlan›rken, en zay›f halkan›n insan oldu¤u unutulmamal› 2- Güvenlik prosedürleri, bu tür "toplum mühendisli¤i" olgular›n› da dikkate alarak tasarlanmal› ve ilgili personele bilginin önemi anlat›lmal› 3- Güvenli¤in tek bir birim ya da sistemin sorumlulu¤unda bir olgu olmad›¤›, organizasyondaki herkesin küçük ya da büyük bir sorumlulu¤u oldu¤u belletilmeli 4- Organizasyonlar aras›ndaki bilgi al›fl verifli, ayn› sektörde çal›flan organizasyonlar›n aralar›ndaki rekabetten ba¤›ms›z olarak ve o alana tafl›nmadan sa¤l›kl› bir flekilde gerçeklefltirilmeli. Burada önemli olan fleyin, olay›n kimin bafl›na geldi¤i de¤il, olay›n kendisidir. Bunlar, malum, bir günde halledilemeyecek türden, organizasyon kültürüne yerlefltirilmesi gereken olgular. Bu süreç içinde ise en az›ndan flu iki basit noktaya dikkat edilmesini sa¤lamak, bariz risklerin gerçekleflmesini engelleyebilir: 1- Yüzyüze olmayan bir yolla size eriflen kiflinin kimli¤ini teyit etmeden onu beyan etti¤i kifli olarak kabul etmeyin. 2- Sizden istenen bilginin de¤erli ya da de¤ersiz olmas› kullan›laca¤› alanla ilgilidir; o nedenle her bilginin de¤erli oldu¤unu unutmay›n. Her bilgiyi herkesle paylaflmay›n. Tanol Türko¤lu, fiekerbank T.A.fi.’de Teknoloji ve Organizasyondan sorumlu genel müdür yard›mc›s›d›r ([email protected]) ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 PARMAK ‹Z‹ 42 43 MÜHÜR Ç‹ZG‹ ÖTES‹ ‹yi Bir Mentor Olmak–3 10. YIL Üzerine... Hande Yaflargil ‹Ç DENET‹M / Yaz 2005 ‹yi bir mentor olmak yaz› dizimizin ilk ikisine mentorun sahip olmas› beklenen bilgi, tecrübe ve becerilerinden bahsetmifltik. Sonuncusunda ise bu kez kiflisel özelliklerinden bahsedece¤im. Do¤ru ifade edebilmek için bu kiflisel özelliklerin "kiflilik özellikleri" olmad›klar›n› ve zamanla geliflebilecek özellikler oldu¤unu vurgulamakta fayda var. Gene de do¤al pek ço¤unu do¤ufltan getirdi¤imiz ve erken çocukluk yafllar›m›zda da flekillendirip yerlefltirdi¤imiz kiflilik özeliklerimizin afla¤›da bahsedece¤im bu özelliklerle ba¤lant›s› var elbette. Sab›r, mentorluk denince ilk akla gelen kavramlardan biridir. Çünkü birinin geliflimini ve hedeflere ulaflt›¤›n› gözlemek, izlemek zaman al›r, üstelik bu zaman ço¤unlukla mentorun arzu etti¤inden daha uzundur. Mentorun sakin ve anlay›fll› kal›p, görece daha genç ve tecrübesiz arkadafl›n›n baflka gündelik öncelikleri olmas›na sayg› göstermesi gerekir. Ayr›ca bu iliflkide ö¤renen rolünde olan kifli genellikle kendine yapmas› gereken yat›r›ma mentorunun arzu etti¤i kadar zaman ay›ramayabilir ve çaba gösteremeyebilir, bu noktada da ö¤renmesine katk›da bulunma sorumlulu¤u tafl›d›¤›n›z biri oldu¤u için kendinizi kötü hissedebilirsiniz ancak sonuçta bu sürecin mentora de¤il ö¤renene ait oldu¤unu hat›rda tutup, olumsuz etkilenmemek ciddi bir sab›r gerektirmektedir. Ama belki de en zoru, geliflimini ve baflar›s›n› istedi¤iniz bir kiflinin hata yapaca¤›n› hissedip müdahale etmeden sab›rla bu hatay› yapmas›n› görmek ve bu hatadan ö¤renme zaman› gelene kadar beklemek olmal›. Bazen "bir musibet bin nasihattan iyidir" sözünü hat›rlamakta fayda var. Özgüven, bir mentorun sahip olmas› gereken en önemli özelliklerden bir di¤eridir. Mentorluk görüflmelerinde kendini açmas›, iyi ve kötü ay›- ‹yi bir mentor olman›n yolu; sab›r, güven ve pozitif davran›fl kal›plar›n› benimsemekten geçiyor. r›m› yapmadan tüm tecrübelerinden ve güçlü oldu¤u kadar zay›f yönlerinden de bahsetmesi gereken tek kifli ö¤renen de¤ildir. Mentorun da kendisiyle ilgili iyi hissetmeyebilece¤i özelliklerinden bahsedebilmesi için kendine güveninin yüksek olmas› gerekir. Ayr›ca sonuçta kendisi de bir insan olan mentor, mentorluk yapt›¤› süre boyunca da pek çok hata yapabilir. Üstelik mentorluk yapt›¤› kifli bu hatalar› gördü¤ünde ac›mas›zca elefltirebilir. Bu elefltiri karfl›s›nda kendine güvenini kaybeden bir mentorun ö¤renen üzerindeki etki gücü düfler, tam da bu nedenle mentorun daha iliflkinin bafl›nda hiç hata yapmayan ve herfleyi bilen biri görüntüsünden uzak durmas› flartt›r. Pozitif olmak, son y›llarda en çok duydu¤umuz telkinlerden biri. Evet bu özellik belki de kiflilik özelliklerimize yak›n olan›. Hepimiz hayata farkl› gözlerle bak›yoruz ve endifle düzeyimiz yüksekken yada güven duygumuz nispeten temkin üzerine kuruluyken, hayata toz pembe gözlüklerle bakmam›z mümkün olmayabiliyor. Ancak mentorluk rolümüzü yerine getirirken çok ihtiyaç duydu¤umuz bu özelli¤in etkileri ö¤renen üzerinde çok güçlüdür. Kendisini kötü, baflar›s›z hisseden yada motivasyonu düflük birine yaklafl›m›m›z›n pozitif olmas›, onun kendine inanmad›¤› bir anda bizim ona inan›yor olmam›z mutlaka karfl›m›zdaki kifliye ihtiyaç duydu¤u cesarete ve güce ulaflmas›nda faydal› olacakt›r. Mentorlu¤un karakteristiklerinden bahsetti¤imiz bu 3 say›m›zda özetle; mentorun ciddi bir bilgi ve tecrübesinin olmas›n›n ve belli becerileri zorlanmadan ve bilinçli bir flekilde kullan›yor olmas› gerekti¤ini söyledik. Ve tüm bunlar› yapabiliyor olmas›n›n yetmedi¤ini, mentor olmak için belli kiflisel özelliklerinin olmas› gerekti¤ini vurgulad›k. Bu yaz› dizisinin amac› formel yada informel her türlü mentorluk projesinden bahsedilen her yerde sorulan ilk 2 soruya cevap vermekti. " 1. Herkes mentor olabilir mi? 2.Kimler mentor olabilir?" Umar›m cevaplar›m mentorlukla ilgili paylafl›mlar›m›z› daha samimi ve derin bir düzeye tafl›yabilmek için yeterli olmufltur. Hande Yaflargil, Mentor Executive Coaching flirketinin kurucusudur. Türkiye’de uluslararas› standartlarda mesleki geliflim ve paylafl›m platformu oluflturmak, mesle¤imizle ilgili de¤iflimi ve gelece¤i yönetmek için meslektafllar›m›z›n ulusal ve uluslararas› düzeyde mesleki örgütlenmesini sa¤lamak amac›yla 19 Eylül 1995 tarihinde Türkiye ‹ç Denetim Enstitüsü’nün kuruluflunu gerçeklefltirdi¤imizde,Ülkemizde uzun y›llard›r varolan bir meslek grubunun profesyonel kimli¤ine ça¤dafl ve küresel anlamda farkl› boyutlar kazand›racak bir süreç bafll›yordu. On y›l sonra bugün, iç denetçiler olarak ulusal ve uluslararas› kurumsal kimli¤i olan, yüzlerce uluslararas› sertifikal› profesyoneli bulunan ba¤›ms›z ve özerk bir meslek örgütüne sahip olman›n gururunu yafl›yoruz. 2001 y›l›ndan itibaren bankac›l›k, sermaye piyasalar›, kamu ve sivil toplum alanlar›nda iç denetimle ilgili düzenlemeler yap›ld›, yap›l›yor. Dünyada oldu¤u gibi Ülkemizde de iç denetim mesle¤inin önemi giderek art›yor. Bu geliflmelerden çok önce mesleki örgütlenmemizi tamamlam›fl olmam›z, ulusal s›n›rlar›n ötesinde küresel bir vizyonla mesle¤in ve meslek mensubu olarak bizlerin geliflimi için önemli mesafeler katetmemizi sa¤lam›flt›r. Gelece¤i anlamak, gelecekte sakl› f›rsatlar› görebilmek, gelecekte varolabilmek, di¤er bir ifadeyle "De¤iflimi Yönetmek" için bafllatt›¤›m›z mesleki örgütlenme süreci, meslekte paylaflarak büyümenin kat›l›mla ilerlemenin baflar› öyküsü olarak amac›na ulaflm›flt›r. Türkiye ‹ç Denetim Enstitüsü, ülkemizde bir meslek grubunu uluslararas› nitelikte sertifikasyona kavuflturan ilk mesleki kurulufltur. Türkiye ‹ç Denetim Enstitüsü, kuruluflundan bu yana ba¤›ms›z ve özerk kalmay› baflarabilmifltir. Bu özellikleri ile Türkiye ‹ç Denetim Enstitü- sü’nün varl›¤›n›; mesle¤imiz, meslektafllar›m›z ve iflletmelerimizin gelece¤i için bir güvence olarak görebiliriz. Türkiye ‹ç Denetim Enstitüsü’nün bugün sundu¤u hizmet ve ürünler, ça¤dafl ve küresel de¤iflim gereklerine h›zla uyumun bir ifadesi olarak meslek ve meslek mensubunu gelifltiren, iflletmelerimiz için yönetim ve iyi yönetiflim güvencesidir. On y›ll›k kurumsal geçmifli ile Türkiye ‹ç Denetim Enstitüsü, mesle¤in ülkemizdeki geliflimi ve gelece¤i için vizyoner; öngörülen vizyonun gerçeklefltirilmesi için misyoner olabilecek yegane kurum oldu¤unu kan›tlam›flt›r. Bu giriflimimizi destekleyen ve gerçekleflmesinde katk› ve eme¤i olan kifli ve kurulufllara teflekkürlerimi sunuyor, gelece¤in tasarlanmas›nda rol ve sorumluluk üstlenecek olanlara da baflar›lar diliyorum. Ali Kamil Uzun Türkiye ‹ç Denetim Enstitüsü Kurucu Baflkan› [email protected] ‹Ç DENET‹M / Yaz 2005 Ali Kamil Uzun 45 44 YAKIN PLAN AYRAÇ ‹Ç DENET‹M / Yaz 2005 Ahmet Ery›lmaz Sosyal psikolojinin kenarda kalm›fl üvey konular› vard›r. Üzerlerinde popüler olanlar kadar konuflulmaz. Bunlar›, kutudan ç›kan fakat montajdan sonra elde kalan bir parça gibi gönülsüzce usulen saklar›z. ‹flte bu "fazlal›k" konulardan bir tanesine "yarat›c› ayk›r›l›k" diyorlar. Bu, deneysel psikolojinin temkinli diliyle çok anlafl›l›r aç›klanamayan "her insan›n farkl›l›¤›"d›r. Ka¤›tç›bafl›, buna "bireyselli¤ini koruma ve kendine has kimli¤ini sürdürme ›srar›" diyor (‹nsan ve ‹nsanlar, 10.bas›m, sh.86). En önemli sonucu, sosyal ortama uyma davran›fl›nda yol açt›¤› çatlaklard›r. Ama yararlan›labilir yanlar› da var; hem ruha iyi geliyor, hem afla¤›da okuyaca¤›n›z gibi yönetim bilimine hizmet edebilir. Parçalar› sonunda birlefltirece¤iz; flimdi devam edelim. Konvansiyonel yönetim teknikleri; organizasyonel davran›fllar› çözmek ister, de¤ifltirmek ister, kullan›r, yolunu keser. Ekoller farkl› baksa da, art niyet ayn›d›r: ak›lc› bir amaca, ak›lc› yöntemlerle varmaya çal›flmak. Onun için k›sa yol davran›fllardan geçer. Yönetim sistemlerinin bir yaz›l›mdan fark› yoktur. Hedefler, arka plandaki iflletim dilidir. Stratejiler de ara yüzdür. ‹liflkilendirmeyi baflar›rsan›z oyunu görürsünüz. Biraz az ya da fazla, hep ara yüzlerle oynan›r. Oyuncakl›, süslü bir ekran "satt›r›r"! Çok mant›kl›, çok "bugün", çok ucuz. Kendi kendine düflünen yaz›l›m henüz yok. En karmafl›¤› bile, olas›l›klarla daha çok oynanm›fl›d›r. Yaz›l›mla çok fazla oynayamay›z, yoksa bütün sistemi bozar›z. Dürüst olal›m; yönetim tekniklerini psikolojik ve etik de¤erlerle fazla suland›r›rsak etkilili¤i azalt›r›z. Öte yandan yönetim, yaz›l›m benzeri k›s›tlar›yla mutlak ak›lc› stratejiyi yükselen de¤er yaparak insana yabanc›laflmaya yol açmaz m›? Çünkü yönetimin matematik formüllerini laboratuvar ortam›nda de¤il sosyal ortamlarda uyguluyoruz. Sosyal ortamlar sanal gerçektir. Onlar›n içimize yans›mas› da... Düflünce sistemimiz, de¤erlerimiz, beklentilerimiz ço¤unlukla ödünçtür. Kesip yap›flt›rmad›r. Yapayd›r. Bu sarmal›n içindeki düflünceler de bir tür hapistedir. O zaman flöyle bir tuhaf sonuç ç›k›yor: biz, bir mant›k formülünü mant›¤› kendinden menkul bir ortama oturtmaya çal›fl›yoruz. Bu iflleyifli sa¤lamak için düflüncelerimizin içinden kullan›ma haz›r kal›plar› kullan›yoruz: "ay›plar", "do¤rular, yanl›fllar"... Yöneticiler aleminde biraz gezinelim, örnek olsun. Tan›d›¤›m bir renkli sima koca ifl yaflam›n› sald›rganl›¤›n›n arkas›na s›¤›n›p kendini savunmakla geçirdi. Bir baflkas› övünmekten ve kendini aldatmaktan burnunun ucunu görmedi. Birisi ince dengeleri gözetmekten, korkakl›¤›ndan y›llarca yanl›fl insanlara göz yumdu. Bir di¤eri beceriksizli¤ini fedakarl›k olarak alg›lad›. Kimisi bir hesap makinesi gibi davran›fllar›n› ka¤›t üzerinde planlad› ve iliflkilerinde bofluna istedi¤i sonucu bekledi. Birisi herkese ayn› tarzda davrand›, sonunda kendi benzerlerinden oluflan bir çemberin içinde kald›. ‹liflkileri yönetmek bu kadar zorsa o zaman oynayabilece¤imiz baflka bir alan var: derin içimiz. Bunu, çok bilinçli olarak yönetimi yeniden kavramlaflt›rma ad›na söylüyorum. Bilinen davran›fl kal›plar›n› , yeri, zaman› ve miktar›n› seçerek reddetmek bireyselli¤i korumak say›l›r. ‹flte bu yarat›c› ayk›r›l›kt›r. Hayal edin o içsel özgürlü¤ün tad›n›. O cesareti gösterdi¤iniz zaman kendinize duydu¤unuz sayg›y›. Bir fleyi yapmak zorunda olmad›¤›n›z› düflünüp yapmamay› seçti¤inizi. Zor bir karar› ald›ktan sonraki netlik ve hafiflik duygusunu. Oyunu oynamak, bir fley ispat etmek zorunda olmamay›. Refleks olarak yalan söyleyip an› kurtarma zorunda olmamay› ve bunun üzerinde düflünmeye devam etmemeyi. Sevmedi¤iniz bir insanla içinizi tüketmeden ifl gere¤i iyi çal›flmay› baflard›¤›n›z›. Baflar›s›z bir insan›n yükünü s›rt›n›zda tafl›madan kurtulma karar›n›n do¤rulu¤unu ve hemen o anda içinizde hissetti¤inizi. Ba¤›ran bir üste sakin ve do¤ru cevap verdi¤iniz anki kendinize bak›fl›n›z›. "Bilmiyorum", "anlamad›m" diyebildi¤iniz anki sadeli¤i, kendinize karfl› dürüstlü¤ü... Yönetim, mühendislik mant›¤›yla ilerleyemez. Ç›k›fl yolu çok yak›n›n›zda asl›nda! Ahmet Ery›lmaz, AE E¤itim & Dan›flmanl›k’›n kurucusudur. Hedef Alliance Holding’te ‹ç Denetim Uygulamalar› Y›lmaz Akçeken Hedef Alliance Holding ‹ç Denetim departman›n›n kurulufl tarihi, çal›flan say›s›, organizasyonel yap›s›, idari ve fonksiyonel olarak hangi organa ba¤l› çal›flmakta oldu¤u gibi konularda neler söyleyebilirsiniz? ‹ç Denetime iliflkin,1997 y›l›nda Holding bünyesinde Mali ‹fller ve Denetim Direktörlü¤ü kuruldu.01.01.2000 tarihinde Hedef Grubu denetim tüzü¤ü kabul edildi ve Yönetim Kuruluna ba¤l› olacak flekilde, Denetim Direktörlü¤ü oluflturuldu, 2000 y›l›nda atanan denetçiler ile Denetim direktörlü¤ü inflas› tamamland›. fiu an Denetim ekibinde, 1 direktör, 7 Uzman Denetçi, 4 yard›mc› denetçi, 1 asistan, 1 stajyer olmak üzere 14 kifli çal›flmaktad›r. Denetim Direktörü, Yönetim Kuruluna ba¤l›d›r, ayr›ca iki Yönetim kurulu üyesi ve Denetim Direktöründen oluflan "Denetim Komitesi" oluflturulmufltur. Denetim Komitesi, ‹cra faaliyetlerini takip etmekte, Grubun iç kontrol ve risk yönetimi sistemlerinin etkin bir flekilde iflledi¤ini gözetmektedir. Komite ayr›ca, ‹crac› yöneticilerin iç denetim raporlar›ndaki bulgu ile önerileri zaman›nda dikkate ald›klar›n› ve yerine getirmekle yükümlü olduklar› aksiyon planlar›na uygun hareket ettiklerini ‹cra Baflkan› vas›tas›yla kontrol alt›nda tutmakla yükümlüdür. Holdinge ba¤l› flirketlerinizin kendi bünyelerinde ayr› birer iç denetim departman› bulunmakta m›d›r? fiirketlerimizin Bünyesinde ayr›ca iç denetim departman› bulunmamaktad›r. Holding bünyesinde ne tür denetimler gerçeklefltirilmektedir, holding ve flirketler için departman›n›zca ne tür hizmetler verilmektedir? Denetim alanlar› • • • • • • • • Yönetim becerileri Sat›n alma ve sat›fl Müflteri hizmetleri Sat›fl hizmetleri Mali ifller ‹nsan kaynaklar› Bilgi ifllem ‹yi saklama ve Da¤›t›m Kurallar› Verilen Hizmetler Denetim Direktörlü¤ü, Holding Yönetim Kurulu’nun saptad›¤› genel ilkeler çerçevesinde, kararlaflt›r›lan denetim takvimine göre, Grup kurumlar›n›n denetimini gerçeklefltirmektedir. Bu faaliyetini yaparken, Grup hizmetlerinin gelifltirilip etkinlefltirilmesini, verimlilik ve aktivitesinin artt›r›lmas›n› sa¤lamay› amaçlamaktad›r. Denetim Direktörlü¤ümüz, Grup flirketlerinin hem Grubun Temel ‹lkelerine ve di¤er yaz›l› yönetmeliklerine, hem de genel yasa, yönetmelik ve di¤er mevzuata uygun olarak çal›flmas›n› sa¤lamak amaHedef Alliance ‹ç Denetim Yöneticisi Y›lmaz Akçeken ‹Ç DENET‹M / Yaz 2005 Yarat›c› Ayk›r›l›k 46 47 YAKIN PLAN c›yla inceleme ve araflt›rmalar yaparak gerekli görüfl ve önerileri haz›rlay›p, Grup Yönetim Kurulu Baflkan›na sunar. Grubun Merkez ve Ba¤l› fiirketler ve flubeler ile Holdinge ba¤l› tüzel kiflili¤i haiz flirketlerin idari, mali mevzuat ve teknik ifllemleri ve personeli hakk›nda denetim, inceleme, araflt›rma ve soruflturma yapar. Denetçilerden gelen raporlar incelenerek, eksiklerin giderilmesini sa¤lamak için, ilgili mercilere gönderir, ilgililerce al›nacak tedbirleri ve yap›lacak ifllemlerin sonuçlar›n› izler ve al›nmas› gereken tedbirlerle ilgili tekliflerde bulunur. Grubun insan varl›klar› ile maddi varl›klar›n›n her türlü zarara karfl› korunup korunmad›¤›n›n ve faaliyetlerin saptanm›fl esaslarla uyum içinde yürütülüp yürütülmedi¤inin araflt›r›lmas› yapar. fiirketlerde risk odakl› denetim ve bilgi teknolojisi denetimleri yap›lmakta m›d›r? Bu tür uzmanl›k isteyen iç denetim hizmetleri için bünyenizde iç denetçi istihdam ediyor musunuz? Sizlerinde bildi¤i üzere Risk, kelime anlam› olarak" organizasyonlar›n hedeflerine ulaflmak için gerçeklefltirdi¤i faaliyetler sonucunda ortaya ç›kan ve iflletmenin devam›n› sa¤lamak için etkili bir flekilde yönetilmesi gereken belirsizlikleri ifade eder." Bu tan›m çerçevesinde riskin tafl›d›¤› anlama göre, • Baflar› için risk kaç›n›lmaz bir unsurdur. • Risklerin zaman›nda dikkate al›nmas› önemlidir. • Belirsizlik önemli bir faktördür. Hedef Holding iç Denetim birimi Standartlar›n› risk odakl› olarak belirlemifltir, Beklentilerin belirlenmesine müteakip, ‹cra Kurulu ile birlikte Risklerin de¤erlendirilmesi yap›lmakta, bu de¤erlendirmelere göre Denetim plan› haz›rlanmakta ve fiirket Denetimleri gerçeklefltirilmektedir. fiirketlerde Risk kategorilerinin belirlenmesi, ‹lgili kontrollerin belirlenmesi, Oluflan Risklerin De¤erlendirilmesi (olasal›k, etki vs.) sa¤lanmaktad›r. Bilgi Teknolojilerinin uzmanl›k isteyen denetimlerini, Bilgi-‹fllem Direktörümüze ba¤l› birimler gerçeklefltirmektedir. ‹stihdam edece¤iniz iç denetçilerde ne tür nitelikler aramaktas›n›z? ‹ç denetim ekibimiz, Denetim faaliyetleri ile birlikte, ortaya ç›kan Bulgulara istinaden ‹lgili Birimlere Rehberlik ve E¤itim hizmeti de vermek- tedir. Bu nedenle Denetim ekibimizde afla¤›daki nitelikleri aramaktay›z. • Yeniliklere aç›k • Sorun ve çat›flma çözme kabiliyeti olan • Tak›m çal›flmas›na yatk›n, ifl birli¤i kurabilen • ‹nsan iliflkilerinde baflar›l› • ‹kna kabiliyeti yüksek • Kendini ve baflkalar›n› de¤erlendirebilen • Güvenilir • Kendine güvenen (Özgüven sahibi) • Empati yetene¤ine sahip • Aç›k iletiflim kurabilen (iyi bir dinleyici ve gözlemci) • Pozitif bak›fl aç›s›na sahip • Analiz yetene¤ine sahip • Mücadeleci • Sorumluluk alabilen • Baflkalar›n› gelifltirebilen • Rehberlik edebilen • Müflteri odakl›, • iletiflim, problem ve çat›flma çözme, planlama becerileri geliflmifl, • de¤iflime ve ö¤renmeye aç›k, • resmin bütününü görebilen, • e¤itebilen, • tak›m çal›flmas›na yatk›n. Departman›n›zda denetim için özel bir yaz›l›m kullan›yor musunuz? Haz›rlam›fl oldu¤umuz Denetim Standartlar›na destek olmak amac›yla, Bilgi Sistemleri ile birlikte gelifltirilen bir program kullan›yoruz. Ayr›ca yararland›¤›m›z bir özel yaz›l›m yok. Meslekle ilgili gerek ulusal gerekse de uluslararas› geliflme ve uygulamalar› nas›l takip ediyorsunuz? Özellikle T‹DE’nin bu konudaki yay›mlar›n› takip ediyoruz. Bunun d›fl›nda internet ve bas›n arac›l›¤› ile geliflmeleri takip ediyoruz. ‹ç denetçilerin mesleki geliflimlerini sürdürmeleri ve kendilerini gelifltirmeleri için neler yapmaktas›n›z? Düzenli Toplant›lar ve E¤itimler yap›lmaktad›r, Yap›lan toplant›larda Mesleki geliflimleri için bilgi aktar›mlar›nda bulunulmaktad›r, ‹ç Denetçilerimizin kendilerini gelifltirmesi için ald›klar› e¤itimlerden baz›lar›; denetçi davran›fllar›, Toplant› yönetimi, Zaman yönetimi, Çat›flma yönetimi, ‹letiflim becerileri, Empati, Etkili rapor yazma vbg. CIA veya benzeri sertifikalara sahip iç denetçileriniz var m›d›r? SMMM. Olan Denetçilerimiz var, CIA. Veya benzeri Sertifikalar için denetçilerimizde duyarl›l›k oluflmufltur, önümüzdeki süreçte denetim ekibimizden CIA. Sertifikas› alacaklar olabilir. Holding bünyesinde gerçekleflen flirket birleflme ve sat›n al›mlar›nda departman›n›z›n fonksiyonu nedir? Direktörlü¤ümüze Bu flekilde bir talep gelmemifltir, ‹stenildi¤inde gerekli ‹nceleme ve raporlamalar yap›labilir, bu tür faaliyetleri Yönetim Kurulu yürütmekte ve Mali ‹fller Direktörlü¤ünden destek almaktad›r. Ülkemizde reel sektörde iç denetimin uluslararas› standartlarda geliflimi için sizce neler yap›lmal›d›r? Öncelikle Tüm ‹ç Denetçiler, Uluslararas› Standartlarda yetkinliklere sahip olmal›d›r. Reel Sektör, Uluslararas› Boyutlarda oldu¤u gibi, ‹Ç DENET‹M‹ "Mesleki Otorite" olarak kabul etmelidir. Türkiye’de ‹ç Denetim Fonksiyonlar›ndaki Genel Durum de¤ifltirilmelidir, ‹ç Denetçilerin fiirket Polisi gibi alg›lanmalar› engellenmelidir. Türkiye ‹ç Denetim Enstitüsü’nün faaliyetleri hakk›ndaki görüflleriniz nelerdir? ‹Ç DENET‹M Mesle¤inin etkin bir flekilde uygulanmas› ve yayg›nlaflt›r›lmas›na yönelik çabalar›n›z için teflekkür ederim. Ülkemizde giderek önem kazanan ‹ç Denetim anlay›fl›n›n sizlerin katk›lar›yla, gerçek anlam›na ulaflaca¤›n› ifade etmek isterim. Yap›lan Mesleki Toplant›lar ve E¤itim çal›flmalar›, çok önemli bir bofllu¤u doldurmaktad›r. Ulusal Kimlik ve Uluslararas› ‹liflkilere yönelik çal›flmalar›n artt›r›lmas› gerekti¤i düflünmekteyim. Çabalar›n›z sayesinde, Yak›n bir zamanda üye say›s› artacak ve bu üyelerin ço¤u da Uluslar aras› Sertifika sahibi olacakt›r. ‹ç Denetim dergisi hakk›ndaki görüfl ve önerileriniz nelerdir? ‹ç Denetimin Mesle¤inin ve TiDE’nin tan›t›m›na hizmet eden Derginizin daha s›kl›kla yay›mlanmas› gerekti¤ini düflünüyorum, yay›mlanm›fl say›lar›n meslekdafllar aras› bilgi ve deneyim paylafl›m› ad›na önemli katk› sa¤lad›¤›n› ifade edebilirim. Y›lmaz Akçeken Hedef Alliance Holding, Denetim Direktörü ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 YAKIN PLAN 48 49 YAKIN PLAN ‹ç Denetim Koordinasyon Kurulu Dr. Hasan Gül ‹Ç DENET‹M / Yaz 2005 ‹ç Denetim Koordinasyon Kurulu, 10.12.2003 tarih ve 5018 say›l› Kamu Mali Yönetimi ve Kontrol Kanununun 66 nc› maddesi hükmünce Maliye Bakanl›¤›na ba¤l› olarak kurulmufltur. Kurul, kamu idarelerinin iç denetim sistemlerini izlemek, ba¤›ms›z ve tarafs›z bir organ olarak hizmet vermek üzere; iç denetime iliflkin standart ve yöntemleri, meslek ahlak kurallar›n›, denetim rehberlerini haz›rlamak ve gelifltirmek, risk de¤erlendirme yöntemlerini gelifltirmek, e¤itim programlar›n› haz›rlamak, iç denetim raporlar›n› de¤erlendirmek, kamu idarelerinde çal›flacak iç denetçi say›lar›n› belirlemek gibi görevleri yerine getirmek amac›yla oluflturulmufltur. Kurul, iyi iç denetim uygulamalar›n› tespit edip yaymaya çal›flarak, denetim ve yönetimin kamu idarelerinde sürekli geliflmesine yard›mc› olacakt›r. Kanunun verdi¤i yetkiye göre Kurul, genel ve özel bütçe kapsam›nda yer alan kamu idareleri, sosyal güvenlik kurumlar›, belediye ve il özel idarelerinde oluflturulacak iç denetim sistemlerine iliflkin düzenleme ve izleme görevini yerine getirecektir. Yedi kifliden oluflan Kurulun üyeleri 30.06.2004 tarih ve 25508 say›l› Resmi Gazetede yay›nlanan 01.03.2004 tarih ve 2004/7449 say›l› Bakanlar Kurulu Karar› ile atanarak göreve bafllam›fl bulunmaktad›r. Ancak Kurul üyelerinin asli görevleri de devam etmektedir. Kurul üyeleri ve önerildikleri Bakanl›klar ile asli görevleri flöyledir: Kurul baflkan› ve üç üyesinin denetim alan›nda kamuda uzun y›llar tecrübesi ve deneyimi mevcuttur. Prof Dr. Hasan TÜRED‹ 20 y›ld›r çeflitli fakülte ve yüksek okullarda denetim dersleri okutmufl ve halen de okutmaya devam etmektedir. Ayr›ca denetim alan›nda doktora ö¤rencileri yetifltirmifltir. Prof Dr. Hasan TÜRED‹ ve Ömer DUMAN’›n denetimle ilgili yay›nlanm›fl denetim kitaplar› mevcuttur. Erhan USTA ve Burhanettin AKTAfi 5018 say›l› Kanunun haz›rl›k aflamas›ndan bafllayarak çal›flmalar içerisinde yer alm›fllard›r. Kurulun sekreterya görevini Maliye Bakanl›¤› Bütçe ve Mali Kontrol Genel Müdürlü¤ü Daire Baflkan› H.Abdullah KAYA yürütmektedir. Kurul baflkan› ve üyelerine, en fazla dört toplant› için toplant› bafl›na ücret ödenmektedir. Ancak, Kurul ihtiyaca göre ayda dörtten fazla toplanarak çal›flmalar›n› Maliye Bakanl›¤›nda sürdürmektedir. Toplant›lar›na çeflitli uzmanlar› da davet ederek bilgi ald›¤› gibi, iç denetimi kamu idarelerine tan›tmak amac›yla tan›t›m toplant›lar› da düzenlemektedir. Bu ba¤lamda ilk toplant›s›n› 29 Temmuz 2005 tarihinde Trabzon’da Karadeniz Teknik Üniversitesi ile iflbirli¤i halinde gerçeklefltirmifltir. Kurul; Kurulun Çal›flma Usul ve Esaslar›, ‹ç Denetçi Adaylar›n›n E¤itimi ve ‹ç Denetçilerin Çal›flma Esas ve Usulleri olmak üzere, üç adet yönetmelik tasla¤›n› haz›rlam›fl ve yay›mlanmas› aflamas›na getirmifltir. Bu yönetmeliklerin yay›mlanmas›ndan sonra Kurul, iç denetimle ilgili Ad› ve Soyad› Görevi Kurumu Asli Görevi Dr. Hasan GÜL Prof. Dr. Hasan TÜRED‹ Baflkan Üye Maliye Bakanl›¤› Baflbakanl›k Erhan USTA Üye Devlet Bakanl›¤› Burhanettin AKTAfi Üye Devlet Bakanl›¤› Bütçe ve Mali Kontrol Genel Müdürü Karadeniz Teknik Üniversitesi ‹.‹ B.Fakültesi Ö¤retim Üyesi Y›ll›k Programlar ve Konjonktür Baflbakan Yard›mc›s› De¤erlendirme Genel Müdürü (DPT) Müsteflar Yard›mc›s› (Hazine Müsteflarl›¤›) ‹çiflleri Bakanl›¤› Müsteflar Yard›mc›s› Muhasebat Genel Müdürü K›r›kkale Üniversitesi ‹.‹.B.Fakültesi Ö¤retim Üyesi Üye Zekeriya fiARBAK Ömer DUMAN Prof Dr. Ekrem YILDIZ Üye Üye Maliye Bakanl›¤› Maliye Bakanl›¤› 20’nin üzerinde düzenleme yapmak amac›yla çal›flmalar›n› sürdürmektedir. Kurulun hedefi; uluslararas› standartlarla uyumlu olarak, iç denetim yönetmeliklerini, standart, rehber ve meslek ahlak kurallar› ve gerekli di¤er düzenlemeleri 2006 y›l›na haz›rlamakt›r. Bu süreçte iç denetçilerin özlük ve kadro durumlar›n› oluflturmak amac›yla teflkilat kanunlar›, devlet memurlar› kanunu, harc›rah kanunu ve kadro kanunu gibi ilgili kanunlarda yap›lmas› gereken de¤ifliklikleri tamamlamakt›r. Kurul kal›c› bir flekilde görevlerini sürdürebilmesi için; bina, teflkilatlanma, yeterli imkanlar› edinme gibi hususlar› 2005 sonuna kadar tamamlamay› hedeflenmektedir. Ayr›ca iç denetime yönelik bilgisayar destekli denetim tekniklerinin bafllang›çtan itibaren kullan›labilmesi için gerekli haz›rl›klar› da sürdürmekte ve bu amaçla Avrupa Birli¤i fonlar›ndan yararlanarak bilgisayar alt yap›s› kurma ihalesine ç›km›fl bulunmaktad›r. AB Komisyonu Türkiye Delegasyonu sayfas›nda yay›nlanmakta olan ihale ilan›na yerli ve yabanc› firma ve kifliler 07.10.2005 tarihine kadar tekli verebilecektir. Kurul, ‹ç Denetim Enstitüsünün (T‹DE - IIA) düzenlemeleriyle her yönüyle paralel bir iç denetim faaliyetini kamu idarelerinde uygulamaya koymay› hedeflemektedir. Bu amaçla, flekil ve içeri¤i Kurul taraf›ndan belirlenecek bir sertifikay› iç denetçilere e¤itim sonunda vermeyi planlamaktad›r. Bu sertifika, her üç y›lda bir iç denetçinin e¤itim ve çal›flma sonuçlar›na göre alaca¤› puana ba¤l› olarak derecelendirmeye tabi tutulacakt›r. Bir üst derece, iç denetçiye maafl ve çal›flma imkanlar›nda iyileflme ve geliflme olarak yans›t›lacakt›r. Yönetmeliklerin mevcut fleklinde, iç denetçiler, CIA gibi uluslararas› geçerlili¤i olan sertifikalar› almaya teflvik edilmektedir. ‹lerleyen süreçte bu tür uluslararas› sertifikalar› almalar›nda daha aktif yönlendirme yap›labilir. Kurul, üslendi¤i rol ve sorumluluklar› yerine getirirken, kamu idarelerinin üst yöneticilerin ilgisine ve konuyu sahiplenmesine ihtiyaç duymaktad›r. ‹ç denetçi esas itibariyle yönetime her yönü ile güvence ve dan›flmanl›k sa¤layarak sistemin sa¤l›kl› ifllemesinde yard›mc› rol oynayacakt›r. ‹ç denetim, bireysel ifllemler yerine, sisteme ve onun gelifltirilmesine odakland›¤›ndan, yönetimin kalitesindeki geliflme tüm ilgili taraflara ve vatandafllara olumlu katk› sa¤layacakt›r. Denetimde yap›lan sistem esasl› ve risk bazl› bu de¤iflimin, kamu oyunun ve ilgili taraflar›n ilgisi, takibi ve kabulü olmadan baflar›lmas› mümkün görülmemektedir. Bu aç›dan ülkemizdeki 10 y›l› aflk›n özel sektör deneyimine sahip T‹DE ile Kurulun e¤itim baflta olmak üzere her alandaki iflbirli¤i çok önem arz etmektedir. ‹lerleyen süreçte T‹DE’nin kamu iç denetçileri flubesini ANKARA’da Kurulla birlikte açmas› düflünülebilir. Böylelikle iç denetime yönelik seminer ve sempozyumlar› Ankara’da birlikte düzenleme imkan›na kavuflulmufl olacakt›r. Ülkemizde kamu uygulamalar›nda sürdürülen, hata arama amaçl›, ifllem bazl› ve kiflilere odaklanan denetim anlay›fl›n›n, risk odakl› iç denetime dönüfltürülmesi süreci, uzun ve ›srarl› çal›flmalar› gerektirmektedir. ‹ç denetim özü itibariyle, risk yönetimi, iç kontrol ve yönetim süreçlerinin bir bütün olarak denetlenmesiyle ilgilenir. Ancak, denetimin yap›labilmesi için gerekli olan günümüzün bu yönetim anlay›fllar› ve kavramlar›n›n kamu yöneticileri taraf›ndan da bilinip sahiplenilmesine ihtiyaç vard›r. Bu aç›dan kavramlar›n tan›t›m›na yönelik çal›flmalara öncelikli ihtiyaç duyulmaktad›r. ‹ç denetçiler, bafllang›çta bu kavramlar› idarelere tan›tmak ve yerlefltirmekte öncü ve tan›t›c› roller üstleneceklerdir. Bu nedenle ilk iç denetçilerin meslekleri alan›nda yeterlilikleri ve iç denetimi benimsemeleri çok önem arz etmektedir. T‹DE ile iç denetim kaynaklar›n›n ve dokümanlar›n›n paylafl›lmas› ve e¤itici deste¤i sa¤lanmas› bu aç›dan yararl› olacakt›r. Dr. Hasan Gül, ‹ç Denetim Koordinasyon Kurulu Baflkan› ‹Ç DENET‹M / Yaz 2005 YAKIN PLAN 50 51 YANSIMA YANSIMA Türkiye Ombudsman› R. Bülent Tarhan ‹Ç DENET‹M / Yaz 2005 Ça¤dafl Ombudsman kurumunun Osmanl› Devleti’ndeki fieyhül-‹slaml›k kurumundan esinlendi¤i bilinmektedir. 1709 y›l›nda Ruslara yenilerek Osmanl› Devletine s›¤›nan ve ülkesini uzaktan yönetmek zorunda kalan ‹sveç Kral› XII nci fiarl, fieyhül-‹slaml›k ve Bafl Kad›l›k (Kad›asker/Kazasker) kurumlar›ndan etkilenerek memurlar›n› ve idari ifllemleri denetlemek amac›yla bir büro kurdurmufl ve bu büronun yöneticisine de ‹sveççe’de (Kamu Hakemi" anlam›na gelen "Ombudsman" denilmifltir. Ombudsman kurumunun; Divan-› Mezalim, (Haks›zl›klar Divan›) Dar’ül Adl, (Adalet Evi) Yak›nmalar Evi gibi daha eski örneklerine ise Emevi, Abbasi, Memlük ve Selçuklu gibi ‹slam Devletlerinde rastlanmaktad›r. (Kaynak: ‹brahim ALWAHAB, The Swedish Institution of Ombudsman) ‹sveç sisteminden etkilenerek Ombudsman› uygulayan ilk ülke, 1919’da Finlandiya olmufltur. Finlandiya’y› 1955’de Danimarka, 1962’de Norveç ve Yeni Zelanda takip etmifl; 1971’de Viyana’da toplanan ‹nsan Haklar› üzerine Avrupa Parlamentosu Konferans› 25 üye ülkeyi Ombudsman bürolar› kurmaya davet etmifltir. Avrupa Birli¤i Parlamenterler Meclisi’nin 1615 say›l› tavsiye karar› da bu yöndedir. Yolsuzlu¤a Karfl› Lima Beyannamesi baflta olmak üzere birçok uluslararas› belgede Ombudsman kurumunun inflas› önerilmektedir. Transparency International’in (Uluslararas› Saydaml›k Örgütü) Roma Tap›na¤› konseptindeki Ulusal Güvenlik Sistemi isimli modelinin sütunlar›ndan birini de Ombudsman oluflturmaktad›r. Ça¤dafl dünyada önemli bir uygulama alan› bulan Ombudsman kurumuyla ilgili olarak cumhuriyet dönemindeki ilk ciddi çal›flma, 57’nci hükümet döneminde yap›lm›fl; 57’nci Hükümetin Adalet Bakanl›¤›, Kamu Denetçili¤i Kurumu Kanun Tasar›s›’n› haz›rlam›flt›r. Mevcut hükümet döneminde an›lan tasar›, daha da gelifltirilerek "Türkiye Halk Denetçili¤i Kurumu Kanun Tasar›s›" ad› alt›nda kamuoyunun görüfl ve de¤erlendirmelerine sunulmufltur. Afla¤›da bu yasa tasar›s› ile ilgili kiflisel düflünce ve de¤erlendirmelerimize yer verilmifltir: Ay›rt edici 2 temel özelli¤i "anayasal ba¤›ms›zl›k" ve '"çok genifl bir araflt›rma yapma hakk›" olan Ombudsman. Di¤er belirleyici özellikleri dikkate al›narak yap›lan bir tan›mlamaya göre: "Parlamento veya yasa koyucu taraf›ndan atanan, atand›¤› kuruma karfl› sorumlu olan; ancak ba¤›ms›z olarak hareket eden; kamu kurumlar›, çal›flanlar› ve sorumlular›n›n çeflitli eylem ve ifllemlerinden flikayetçi kiflilerin baflvurular›n› kabul ederek, kendi bafl›na soruflturma yapma, flikayetin gerekçesini düzeltici ifllem önerme ve rapor haz›rlama yetkisine sahip özel bir büro veya görevlidir." mun siyasetten tümüyle ar›nd›r›lmas›, Ombudsman seçiminin mümkün oldu¤unca siyasi tercihlerin d›fl›nda tutulmas›d›r. Bu amaçla ve genifl bir mutabakat›n sa¤lanabilmesi için evrensel uygulamalarda Ombudsman'›n seçimi için gerekli say›, genellikle hükümetin kurulmas› için gerekli olan say›n›n üstünde tutulmaktad›r. Her ne kadar seçilme yeter say›s›n›n yükseltilmesi, Ombudsman'›n seçimini zorlaflt›rsa da, bu kurumun sa¤l›kl› ve kal›c› olabilmesi için bir zorunluluk olarak görülmektedir. Örne¤in ‹spanya'da an›lan kurum 1978 Anayasas›yla öngörülmesine ra¤men, Kanunu 1981 y›l›nda ç›kart›labilmifl; ilk Ombudsman da 1983 y›l›nda seçilebilmifltir. Ancak bu gecikmelere katlan›lmas› sonucunda, gerçekten sayg›n ve ifllevsel bir yap› kurulabilmifltir. Avusturya’da parlamentoda en fazla üyeye sahip ilk 3 partinin adaylar› 6 y›l süreyle atanmakta ve her biri ikifler y›ll›k sürelerle dönüflümlü olarak görev yapmaktad›rlar. Ombudsman Kurumu bir ofis olarak çal›flmakla birlikte ulusal parlamento Ombudsmanlar›, uygulamada, Ombudsman yard›mc›lar›na ve ku- UGS sisteminde her biri tek bafl›na bir unsur olan "sütunlar" tap›na¤›n çat›s›n› ayakta tutmaktad›r. Çat›n›n üzerinde bulunan "toplar" yaflam kalitesini, hukukun üstünlü¤ünü ve sürdürülebilir geliflmeyi temsil etmektedir. Tap›na¤›n kendisi "kamusal bilinç" ve "toplumsal de¤erler" temelleri üzerine infla edilmifltir. "Sütunlar" birbirlerinden ba¤›ms›zd›r ve farkl› güçlerde olabilirler. E¤er "sütunlar" dan birisi zay›flarsa di¤erlerine daha fazla yük biner. E¤er birden fazla "sütun" zay›flarsa, eninde sonunda, geride kalanlar›n tafl›d›¤› a¤›r yük çat›y› meyillendirir ve "yaflam kalitesi", "hukukun üstünlü¤ü" ve "sürdürülebilir geliflme" toplar› yuvarlan›p düfler. Tüm bu görkemli yap› çöker ve sistemde kaos ortaya ç›kar. ‹Ç DENET‹M / Yaz 2005 Üzerine... Uluslararas› Barolar Birli¤i Ombdusman Komitesi'nin (The Ombudsman Committe of the International Bar Association) Ombudsman tan›m›nda ise ''anayasal dayanak" ayr›ca bir unsur olarak yer alm›flt›r. Bu nedenle Ombudsman’›n ülkemizde de öncelikle bir anayasal kurum olarak örgütlendirilmesi ve bu amaçla anayasada gerekli de¤iflikliklerin yap›lmas› uygun olacakt›r. ‹darenin iyi ifllemesi, insan haklar›n›n geliflimi ile de do¤rudan ba¤lant›l› kabul edildi¤inden 59’ncu Hükümet taraf›ndan haz›rlanan tasar›da bir öncekinden farkl› olarak insan hak ve özgürlüklerine vurgu yap›lmas› önemli bir geliflme olarak de¤erlendirilmektedir. Ombudsmanl›k Kurumunun dünya genelinde etkinlik ve sayg›nl›k kazanmas›ndaki en önemli etken; "flikayet hakk›"n› kullanmak isteyen yurttafl için, kamu bürokrasisinin d›fl›nda, yürütmeden tümüyle ba¤›ms›z, h›zl› hareket etme yeteneklerine sahip, sayg›n bir mekanizman›n kurulmufl olmas›d›r. Bunun en temel koflullar›ndan biri de, bu kuru- 52 53 YANSIMA YANSIMA Teknoloji Ombudsman, yolsuzlukla mücadelenin ana aktörlerinden olan teftifl kurulunun bir alternatifi olmamakla birlikte yarg› baflta olmak üzere, çeflitli kurumsal yap›lar›n tümünün; idarenin iyi ifllemesi, iyi yönetiflim ve yolsuzlukla mücadele ba¤lam›nda birbirlerinin tamamlay›c›s›d›r. Denetimi Nedir? Mehmet Mesut Karakafl Girifl Teknoloji denetimi; Bilgisayarlar›n, bu bilgisayarlara ba¤l› a¤ ba¤lant›lar› dahil tüm donan›m› ve bu bilgisayarlar üzerinde çal›flan tüm yaz›l›mlar›n bir sistematik içerisinde topyekun olarak usulüne uygun flekilde çal›flt›r›l›p çal›flt›r›lmad›¤›n›n denetlenmesidir. Bu kapsamda yaz›l›m, donan›m, a¤ ba¤lant›lar› ve veri depolama üniteleri incelenir ve ideal durumlar ile aras›ndaki farklar tespit edilerek giderilmesi için öneriler yap›l›r. Teknoloji Denetime iliflkin ana bafll›klar flunlard›r; incelenmeyecek baflvurular aras›na, konusu do¤rudan adli veya idari yarg› mercilerini ilgilendiren baflvurular da al›nmal› ve en önemlisi, teftifl ve denetim kurullar›n›n yapaca¤› ifllemler de dahil olmak üzere, idari bütün çareler tüketildikten sonra Kamu Denetçili¤i Kurumu'na müracaat edilebilmelidir. Kuruma yap›lan flikayetin konusunun kapsam d›fl›nda olmas› halinde, ilgiliye konu hakk›nda nereye, nas›l ve ne flekilde müracaat edebilece¤ine iliflkin detayl› bilgi verilmesine dair bir düzenlemenin de tasar›ya eklenmesinde yarar görülmektedir. Bu vesileyle; Ombudsman kurumunun, Yolsuzlukla Mücadele Birimi’nin ya da yolsuzlukla mücadelenin ana aktörlerinden olan teftifl kurullar›n›n alternatifi olmad›¤›n›; yarg› baflta olmak üzere, çeflitli kurumsal yap›lar›n tümünün; idarenin iyi ifllemesi, iyi yönetiflim ve yolsuzlukla mücadele ba¤lam›nda birbirlerinin tamamlay›c›lar› olduklar›n› belirtmek isterim. Nitekim; Dünya Saydaml›k Örgütünün (Transparency International) "Ulusal Güvenlik Sistemi (UGS)" modelinde de bu anlay›fla vurgu yap›lmaktad›r. R. Bülent Tarhan Hukukçu, Baflbakanl›k Müfettiflleri Derne¤i Baflkan› A- Bilgisayarlar›n fiziksel olarak korunmas› B- Bilgisayarlardaki programlara ve verilere herkesin kendi yetki düzeyine göre eriflebilmesi C- Müflterilere ait verilerin korunmas› ve gizlili¤i D- Tüm yaz›l›m verisinin korunmas› E- Geçmifl kay›tlar›n güvenli muhafazas› F- Sistemlerin her zaman çal›fl›r durumda bulunmas› A- Bilgisayarlar›n fiziksel olarak korunmas› Kiflisel kullan›mda bulunan bilgisayarlar kritiklik skalas›nda birinci basama¤› temsil eder. Her kullan›c› kullanmakta oldu¤u bilgisayar›n bafl›na bir fley gelmesini önleyecek tedbirleri almal›d›r. Ancak bireysel kullan›mdaki cihazlarda meydana gelecek ar›zalar ana ifllerin aksat›lmadan yürütülmesine engel de¤ildir. Özellikle merkezi hizmet veren sunucular (server) ve bilgi depolamas›n›n yap›ld›¤› sistemler o kadar kritiktir ki, bunlar›n bafl›na bir fley gelmesi sonucunda firman›n kaybedece¤i fleyleri hesap etmek mümkün de¤ildir. Bilgi yo¤un çal›flan bankalarda veya devlet kurulufllar›nda meydana gelebilecek ar›za ve kesintiler geri dönülemez hatalara yol açabilecektir. Sistem çal›flmad›¤›nda kurum, müflterilerin gözünde rakiplerine göre puan kaybedecek ve müflteri kaç›rma riski ile karfl› karfl›ya kalacakt›r. Karfl›lafl›lacak di¤er riskler ise - Kritik Kaynaklar›n yerine konulmas› güçlü¤ü (Meydana gelen hasar sonras›nda kullan›lmakta ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 rum tüzel kiflili¤ine göre öne ç›kmaktad›r. Bu nedenle, tasar›daki Kamu Bafldenetçisi ile ilgili seçilme yönteminin kamu denetçilerine göre farkl› olmas› gerekti¤i düflünülmektedir. Bu ba¤lamda; kamu denetçilerinin, -‹spanya’da oldu¤u gibi- Adalet ve Anayasa Komisyonlar›n›n müfltereken yapacaklar› toplant›da Adalet ve Anayasa Komisyonlar› üye tam say›s›n›n 5’te 3 ço¤unlu¤u ile seçilmesinin daha uygun olaca¤› görüflündeyim. Bunlar›n d›fl›nda; Kamu Bafldenetçisine idare ile ilgili mevzuat›n gerekti¤inde yeniden gözden geçirilmesini ve de¤ifliklik yap›lmas›n› önerme yetkisi verilmeli; bas›n ve görsel yay›n organlar›nda yer alan haberler üzerine re'sen inceleme bafllat›labilmeli; ayr›ca cezaevlerinde, düflkünler ve kimsesizler yurtlar›nda, hastanelerde veya benzeri di¤er tüm yerlerde yaflayanlar›n da Kamu Denetçili¤i Kurumu'na özgürce ve rahatl›kla ulaflmas›n› sa¤layacak düzenlemeler yap›lmal›d›r. ‹spanya Ombudsman›’n›n (El Defensor Del Pueblo) kendi görev alan›yla ilgili yasalar›n iptali için Anayasa Mahkemesine baflvurma yetkisi de, üzerinde önemle durulacak bir husus olarak de¤erlendirilmektedir. 15 nci maddenin üçüncü f›kras›yla düzenlenen 54 55 YANSIMA YANSIMA B- Bilgisayarlardaki programlara ve verilere herkesin kendi yetki düzeyine göre eriflebilmesi "Güvenlik politikas›; her düzeydeki personele,her çeflit yetkinin verilmemesini öngörür. Bu husus personelin hem kendisinin güvenli¤i, hem di¤er personelin güvenli¤i aç›s›ndan önem tafl›maktad›r. Örne¤in bir suiistimal meydana geldi¤inde yaln›zca kritik kayna¤a eriflebilen personelin sorgulanmas› gerekirken, yetki k›s›tlamas›n›n bulunmad›¤› yerlerde tüm personel zan alt›nda kalabilmektedir. K›s›tlanmam›fl veya do¤ru organize edilmemifl sistem yetkileri, bilerek ve- C- Müflterilere ait verilerin korunmas› ve gizlili¤i - Müflteriye ait bilgilerin gizlili¤i hukuki bir zorunluluktur. Müflteriye ait bilgilerin kurum d›fl›na ç›kmas› halinde, müflteri taraf›ndan bafllat›lacak her türlü hukuku mücadele kurum için maddi manevi kay›plar tafl›yacakt›r. Bir örnek olarak; müflterinin bir banka bünyesinde açt›rm›fl oldu¤u tüm hesaplar›n hareketleri her platformda kurum hakl›l›¤›n› savunmak için gerekebilmektedir. Ancak içerisinde de¤ifliklikler yap›labilen bir veri ne kadar kabul görebilir? Ayr›ca müflteriye ait bilgilerin ele geçirilmesi kurum içi/d›fl› suiistimalleri mümkün k›lar. Bu bak›mdan iflletmede bir personelin bir seferde ancak bir kay›da eriflebilmesi sa¤lanmal›, özellikle müflterilere ait verilerin toplu olarak elde edilmesi engellenmelidir. D - Tüm yaz›l›m verisinin korunmas› Yaz›l›m verisinin iç ve d›fl sald›r›ya aç›k bulunmamas› ve korunmas› gerekir. - Virüs veya bilgisayar korsan› (hacker) sald›r›lar› ile ifllemez hale getirilebilir. Bu sebeple günümüz teknolojisinde a¤ ba¤lant›lar› ile tüm dünya ile iletiflime aç›k hale gelen sistemlerimizin denetlenerek kötü maksatl› iletiflimler tespit edilmeli ve engellenmelidir. - Kullan›lan yaz›l›mlar›n türünün, ad›n›n, üretici firmas›n›n deflifre olmas›, olas› iç/d›fl bilgisayar sald›rganlar› (hacker) için altyap› kurar. Örne¤in kurumunuzda "A" isimli bir program kullan›ld›¤› deflifre oldu ise ve bu yaz›l›m›n aksayan yönlerini bilen kötü niyetli birisi taraf›ndan sabote edilebilir. - Kullan›lan yaz›l›m›n bozulmas›, (özellikle yede¤inin olmamas› durumunda) onar›lmas› güç hasarlar verebilir. Kullan›lan yaz›l›mlar›n bozulmas› durumunda bunlar›n yeniden yerine konulmas› k›sa bir sürede yap›lmal›d›r. E¤er bu süreç uzarsa iflletmenin teknoloji ba¤›ml› olma oran›na göre ifller aksayacakt›r. Bunu aflman›n en uygun yöntemi yedeklemelerin düzenli yap›lmas›d›r. Sistemde yüklü bulunan kritik bilgi ve yaz›l›mlar›n devaml› olarak izlenmesi ve yetkili ya da yetkisiz kullan›c›lar taraf›ndan gerçeklefltirilen ola¤an d›fl› hareketlerin tespit edilmesi amac›yla bu hareketleri gözlemleyen ve belirleyen cihaz yaz›l›m ve yöntemler temin edilmesi gerekir. Bu mekanizmalar tüm sistemleri ve a¤ ba¤lant›lar›n› düzenli olarak gözlemleyerek muhtemel bir zarar› önceden engelleyecektir. E - Geçmifl kay›tlar›n güvenli muhafazas› - Hakl›/haks›z müflteri taleplerini karfl›layamad›¤›m›zdan dolay› hukuki yükümlülük alt›nda kal›nabilmektedir. Örne¤in nüfus idaresi hiçbir vatandafla sizin geçmifl bilgileriniz hakk›nda kay›tlar›m›z silinmifltir mesaj›n› veremez. Sistemdeki sorun ne olursa olsun geçmifl verilere eriflilmelidir. - Baz› zamanlarda hukuki kanallarca müflterilere iliflkin (kanuni zamanafl›m› süresinde) veri talep edilebilmektedir. Ancak kay›p veri bir mazeret olarak gösterilememektedir. Örne¤in bankalarda 10 y›ll›k zaman afl›m› süresi dolmadan herhangi bir fiziksel evrak yok edilememektedir. - Yaz›l›m kodlar›n›n yedeklenmesi, herhangi bir virüs sald›r›s›, kas›tl›/kas›ts›z hatal› program yüklenmesi durumunda son derece önemli olmaktad›r. - Herhangi bir ola¤anüstü hal durumunda, geçmifl bilgilere tekrar ulaflmak gerekebilir. Bu bak›mdan geçmifl verilerin tamam›n›n yedeklenmesi e¤er kaynak k›s›tlamas› sebebi mevcut ise sadece en kritik verilerin yedeklenmesi gerekecektir. Bu ise kritik kaynaklar›n derecelendirilmesi ile mümkündür. F- Sistemlerin her zaman çal›fl›r durumda bulunmas› Sistemler her zaman çal›fl›r durumda olmal›d›r. Çünkü "Sistemlerin durmas›; para kayb›, imaj kayb› ve hukuki sorun demektir "Sistemlerin çal›flmas› için; veriler yedeklenir, program kodlar›n›n yedekleri saklan›r ve donan›m gereçlerine bak›m yap›l›r. ‹deal sistemlerde esas koflul yedekli çal›fl›lmaya uygun bir yap› oluflturulmas›ndan geçer. Burada sözü edilen problemler günlük olarak karfl›lafl›lan genel sorunlar olmay›p, daha ziyade ola¤anüstü durumlarda ortaya ç›kan aktiviteleri içermektedir. Bu durum, yaflanacak sorunlar için al›nacak tedbirlerin do¤al olarak, daha maliyetli olmas›n› beraberinde gerektirmektedir. Kurumsal olmayan yap›larda genel olarak "Hizmet Sürekli¤inin Sa¤lanmas›" hususu geri planda b›rak›lmas›na karfl›n ifl kesintisine tahammülü olmayan yap›larda "Uzun ve K›sa Vadeli Strateji Planlar›"nda mutlak suretle kesintileri önleyecek oluflumlar hayata geçirilir. Ola¤anüstü durumlarda tam teflekkülü sistem kullan›m› her durumda mümkün olmayabilir. Bu amaçla öncelikli ve vazgeçilmesinin mümkün olamayaca¤› kaynak ve donan›m belirlenmeli, asgari olarak çal›fl›r duruma getirilecek uygulamalar ve bu teçhizat›n çal›fl›r hale getirilmesi için yap›lacaklara iliflkin ayr›nt›l› dokümanlar haz›rlanmal›d›r. Asgari kaynaklar›n belirlenmesindeki hedef; geçici olarak iflletilen sistemin minimum maliyetle ola¤an ifl döngüsüne geçifle imkan vermesidir. Kullan›lan sistemin tamam›n›n yedeklenmesi optimum bir uygulama olmay›p hem fiziksel mekan hem de nakit maliyeti yaratabilmektedir. Sonuç Teknoloji Denetimi bu 6 unsurun iflletme ihtiyaçlar›na göre kurgulanarak kontrol listelerinin oluflturulmas› ve buna olan uygunlu¤un denetlenmesi ile oluflturulur. KAYNAKLAR [1] Ronald L. Krutz, "The CISSP Prep Guide", 2003 [2] ISO 15408 – Common Criteria Standart [3] US DoD 5200.28-STD, TCSEC Standart Mehmet Mesut Karakafl Yap› Kredi Bankas›, Müfettifl ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 olan cihaz›n yenilenmesi süre gerektirebilir. Hatta üretimi durdurulmufl bir cihaz dahi olabilir.) - Zarar görmüfl cihazlar›n tekrar yerine konulmas› için ödenecek bedeller. (E¤er sigorta bulunmuyor ise zarar görmüfl bir cihaz›n yeniden temin edilmesi bazen yeni bir iflletme kurulmas›na paralel bir bedel olabilmektedir. Yapt›r›lan sigorta ise cihaz›n kritikli¤ine göre yüksek prim bedelleri talep edebilmektedir.) - Kurumun(özellikle bankalar) para kazanacak faaliyetlerde bulunamamas› (Sistemler durdu¤u zaman ifllem yapamaz ve müflterilerin rakiplere gitmesini engelleyemezsiniz. Örne¤in bir bankada EFT iflleminin sizin yerinize rakip bankadan yap›lmas› sonucu gelir elde edememek gibi.) olarak öne ç›kmaktad›r. ya bilmeyerek bir personelin kendisine aç›k olmayan verilere ulaflarak, bu verilerden kendisine veya baflkas›na menfaat temin etmesine yol açabilecektir. Yetki düzeyine göre eriflim kontrollerin daha do¤ru yap›lmas›na imkan tan›r. Örne¤in kullan›c› yetkisi tan›mlama hakk›na sahip bir personelin kendisine bir kullan›c› ismi tan›mlamas› ve yoketmesi büyün sorun yaratabilecektir.Bu bak›mdan sistem güvenlik birimi kurulmal› bu birimin son kullan›c› yetkisi olmamas›na özen gösterilmelidir. Bu sayede suiistimaller için önlem al›nm›fl olur. Sistem üzerindeki hiçbir kullan›c›, sistemde mümkün olan tüm ifllemleri yapabilecek eriflim haklar›na sahip olmamal›d›r. Bir sistem yönetim mekanizmas›na eriflim olsa bile tüm sistemin kontrolünün buradan yap›lmas› engellenmifl olmal›d›r. Sisteme yeni bir kullan›c›, yaz›l›m veya cihaz ilavesi veya ç›kar›lmas› gibi kritik ifllemler gerçeklefltirilmeden önce en az iki kullan›c›n›n onay›n›n al›nmas›, d›fl sald›rganlara karfl› önemli ölçüde korunma sa¤layacakt›r. 56 57 YANSIMA YANSIMA ‹ç Denetim Departman Çetin Özbek ‹Ç DENET‹M / Yaz 2005 TCMB ‹ç Denetim Genel Müdürü Çetin Özbek ‹ç Denetim Departman Yönetiminde Etkinlik ve Verimlilik üzerine dergimizin sorular›n› yan›tlayarak konuya iliflkin görüfl ve önerilerini paylaflm›flt›r. ‹ç denetimin etkinlik ve verimlili¤i ölçülebilir mi? Ölçülebiliyorsa nas›l? ‹ç denetim birimlerinin verimliliklerini çok say›sal ve di¤er operasyonel birimlere oldu¤u gibi faaliyetler üzerinden ölçmek çok mümkün olmasada belli de¤erlendirmelerin yap›lmas› mümkündür. Y›lbafl›nda yap›lan denetim planlamas› ile y›l sonunda gerçeklefltirilen denetimler, denetimlerin sonucunda iç kontrol ortam›nda sa¤lanan iyileflme, denetçilerin önerilerinin ne kadar›n›n hayata geçmifl olmas› ve bu önerilerin yarataca¤› katma de¤er gözönüne al›narak bir de¤erlendirme yap›lmas› mümkündür. ‹ç denetim faaliyetinin en önemli ç›kt›s› tan›m›nda yer ald›¤› gibi risk yönetimi, iç kontrol ve yönetsel süreçlerde yapt›¤› denetimler ve bu süreçlere katk›lar›d›r. ‹ç denetim faaliyetinin etkinli¤inin de¤erlendirilmesi ise kurum içerisinde iç denetim faaliyetine biçilen rol ve iç denetim faaliyetlerinin yap›l›fl yöntemi ile yak›ndan ilgilidir. ‹ç denetim faaliyetinin kurumsal yönetimin önemli bir parças› olarak planland›¤›, uluslararas› standartlara uygun yap›lmas›n›n sa¤land›¤›, iç denetimin önerilerinin kabul gördü¤ü ve iç denetim faaliyetinin verdi¤i güvence faaliyetlerinin iç denetim standartlar›na uygun oldu¤u kurjmlarda iç denetim faaliyeti etkin demektir. IIA taraf›ndan yay›mlanan "Uluslararas› ‹ç Denetim Standartlar›" bir iç denetim faaliyetinin etkin bir flekilde yerine getirilebilmesi için gerekli koflullar› aç›klamaktad›r. Mevcut uygulamalar›n bu standartlara uygunlu¤unun karfl›laflt›r›lmas› youlyla etkinli¤in de¤erlendirilmesi de mümkündür. Yine esaslar› IIA taraf›ndan belirlenen "Kalite Güvencesi Program›"da bu etkinli¤in ölçülmesinin yöntemlerinden birisidir. ‹ç denetim departman yönetiminde etkinlik ve verimlili¤i art›rmak için yap›lmas› gerekenler nelerdir? Öncelikle iç denetim faaliyetinin kurum içerisindeki yetki ve sorumluluklar›n›n ne oldu¤unun, iç denetim faaliyetiyle hangi amac›n hedeflendi¤inin kurumun en üst düzey yönetim organ› taraf›ndan net bir flekilde belirlenmesi sonrada bunun tüm kuruma iletilmesi gereklidir. Kurumsal çerçevenin yeterli düzeyde sa¤lanmas›n›n ard›ndan bence yap›lacak birim içinde ve d›fl›nda baz› çal›flmalar yap›lmal›d›r. Birim içinde yap›lacak en önemli çal›flma yukar›da belirtildi¤i gibi mevcut iç denetim faaliyetlerinin standartlara uygunlu¤unun gerek iç denetim faaliyetlerinin planlanmas›, gerekse uygulanmas› aflamalar›n›da içerecek flekilde de¤erlendirilmesidir. Standartlar iç denetim birimince verilecek güvence ve dan›flmanl›k faaliyetlerinin lay›k›yla yerine getirilebilmesi için gereken tüm koflullar› detayl› olarak aç›klamaktad›r. Dolay›s›yla iç denetim birim yöneticilerinin standartlar› esas alarak bir karfl›laflt›rma yapmas› ve standartlara ‹Ç DENET‹M / Yaz 2005 Yönetiminde Etkinlik ve Verimlilik "Uluslararas› ‹ç Denetim Standartlar›" bir iç denetim faaliyetinin etkin bir flekilde yerine getirilebilmesi için gerekli koflullar› aç›klamaktad›r. 58 59 YANSIMA YANSIMA ‹Ç DENET‹M / Yaz 2005 uygun olmayan faaliyetlerin iyilefltirilmesi için bir geliflim plan› haz›rlamas›nda fayda görmekteyim. ‹ç denetimin kalitesinde denetçilerin kalitesinin büyük önem tafl›mas› nedeniyle denetçilere yönelik bir ihtiyaç analizi sonras›nda uygun e¤itim programlar›n›n sa¤lanmas›, iç denetimle ilgili uluslararas› sertifika programlar›n›n teflvik edilmesi (CIA, CISA vb) iç denetimin etkinlik ve verimlili¤ine katk› sa¤layacakt›r.Bizim gelene¤imizde denetçilerin bir programa ba¤l› olarak de¤il tecrübelerine göre çal›flmalar› ve denetim raporu yaz›l›ncaya kadar ifline kar›fl›lmamas› yayg›nd›r. Ancak denetimin bizzat kendiside denetime tabi tutulmal›d›r. ‹ç denetim faaliyetlerinin verimlili¤i amac›yla yine standartlarda yer alan iç denetim faaliyetlerinin gözetimi uygulamas› gelifltirilmeli, her denetim faaliyeti bir denetim program› do¤rultusunda gerçeklefltirilmeli, denetim faaliyetlerinin bu program do¤rultusunda ilerleyip ilerlemedi¤i supervisor denetçiler taraf›ndan sürekli gözetime tabi tutulmal›d›r. Birim d›fl›nda yap›lacak çal›flmalarda ise a¤›rl›kl› olarak iç denetim faaliyetlerinin ve iç denetimden sa¤lanacak katma de¤erin tan›t›lmas›, Yönetim kurulu ve üst düzey yöneticilerde iç denetim, iç kontrol ve risk yönetimi konusundaki bilgilerinin art›r›lmas›, denetlenenlerle iletiflimin ve iflbirli¤inin art›r›lmas›, etkinlik ve verimlili¤i art›racakt›r. Departman yönetiminde etkinlik ve verimlili¤i art›rmak için uygulad›¤›n›z yöntemler nelerdir? ‹ç denetim faaliyetlerinde uluslararas› iç denetim standartlar›na uyuma büyük önem veriyoruz. Mevcut yönetmeli¤imiz standartlara uygundur. Birim içinde iç denetim faaliyetlerinin kalitesinin art›r›lmas› için uluslararas› iliflkilere büyük önem veriyoruz. Tüm denetçilerimizin sertifikal› olmas› bizim için ayr› bir güvence kayna¤›. Her 5 y›lda bir Kalite Güvencesi Program› çerçevesinde d›fl denetime tabi olmak zaten yönetmeli¤imizde var. ‹ç denetimde gözetimi uy- guluyoruz. Banka içerisinde de iç denetimin tan›t›lmas› ve denetlenenlerle iflbirli¤inin art›r›lmas› konusunda titiz çal›flmalar yap›yoruz. Teknolojik imkanlardan (yaz›l›m,donan›m) ve bilgisayar destekli denetim yöntemlerinden faydalan›lmas›n›n denetim etkinli¤i ve verimlili¤ine etkileri nelerdir? ‹ç denetimin flayet standartlara uygun yap›lmas› arzulan›yorsa bu tür teknolojik imkanlardan faydalanmak zaten bir mecburiyet oluyor. ‹ki aç›dan teknolojiden a¤›rl›kl› olarak faydalan›yoruz. Birincisi denetim planlamas› ve yönetimi için bir software kullan›yoruz. ‹kincisi ise halen planlama aflamas›nda olmakla birlikte sürekli gözetim sistemi için bir data analiz yaz›l›m› kullanmay› planl›yoruz. Özellikle denetim yönetimi yaz›l›mlar›n›n etkinlik ve verimlili¤e çok katk›s› oluyor. Öncelikle denetimde bir standardizasyon ve önemli ölçüde zaman tasarrufu sa¤layabiliyoruz. Çünkü standartlara uygun yap›lmas› halinde iç denetimde oldukça yo¤un bir dökümantasyon var ve standart formatlar bu konuda büyük kolayl›klar sa¤l›yor. Denetim etkinli¤inin art›r›lmas› yönünde risk odakl› denetimle ilgili görüflleriniz nelerdir? Zaten iç denetimde son y›llarda denetimin tamamen risk odakl› olarak yap›lmas› uygulamas› a¤›rl›k kazan›yor. Bizde tüm denetim planlamam›z› ve bireysel denetimlerimizi risk odakl› olarak yap›yoruz. Denetimlerin risk odakl› olarak yap›lmas›n›n belli bafll› sebepleri var. Öncelikle denetimin kendiside asl›nda bafll›bafl›na bir maliyet. Etkinlik verimlilik art›fl› peflinde koflan her birimde oldu¤u gibi iç denetimde verimlilik art›fl› flart. Denetlenecek konular genelde denetim birimlerinin denetleyebilme potansiyelinin çok üstünde oluyor. Bu durumda denetlenecek konular›n önceliklerinin ve denetim kaynaklar›n›n ayr›laca¤› alanlar›n belirlenmesi bu belirlemeyi yaparkende en yüksek risk içeren alanlardan bafllanmas› genel prensip oluyor. Bir di¤er konu ise denetimin kuruma de¤er katma misyonuyla ilgili. Geçmifle odakl› denetimden daha ziyade kurumlar›n faaliyetlerini olumsuz etkileyebilecek risklerin tespiti ve giderilmesine yönelik denetimler denetim mesle¤inin de¤iflen yüzünü temsil ediyor. Dolay›s›yla denetimlerin risk odakl› olmas› art›k zaten bir zaruret ve dünyada da bu meslek zaten bu yönde önemli mesafeler kaydetmifl durumda. Bu tart›flma art›k biraz geride kalmas› gereken bir tart›flma. Departmanda görev yapan iç denetçilerin herhangi bir alanda mevcut yetenek veya tecrübelerinin yetersiz kalaca¤› anlafl›ld›¤›nda izlenilmesi gereken yöntemler nelerdir? D›flar›dan uzman bir destek al›nmal› m›d›r? Bizim denetçilermizin tamam› sertifikal›. fiu ana kadar böyle bir s›k›nt›m›z olmad› ancak standartlar ihtiyaç duyulan alanlarda d›fl uzman kullan›lmas›na imkan veriyor. Kurumun altyap›s›n›n müsait olmas› durumunda d›fl kaynak elbette kullan›labilir. Bizde böyle bir durumla karfl›laflmam›z halinde düflünebiliriz. ‹ç denetim faaliyetlerinin outsource veya cosource olarak gerçeklefltirilmesinin her bir seçenek için avantaj ve dezavantajlar› nelerdir? ‹ç denetimde outsource ülkemiz için flu anda erken diye düflünüyorum. Bence outsorce’in etkin olabilmesi için öncelikle kurum içinde iç denetim faaliyetlerinin etkinli¤ini lay›k›yla de¤erlendirebilecek uzman kiflilerin olmas› gerekiyor ki outsource etti¤iniz kiflilere güvenebilesiniz. Bu da genelde geliflmifl ülkelerde denetim komitelerinin sorumlulu¤unda. Ancak ülkemizde iç denetim konusunda sorumluluk tafl›yan denetim komitesi uygulamas› çok yayg›n de¤il. Henüz yeni yeni gündeme geliyor. Öncelikle yönetim kurullar›n›n ve dolay›s›yla denetim kurullar›n›n iç denetim konusunda bir de¤iflimden geçmeleri gerekti¤i sonras›nda iç denetimin outsource edilmesinin gündeme gelmesi gerekti¤i düflüncesindeyim. Cosource içinde ayn› fleyler geçerli. Çetin Özbek, TCMB ‹ç Denetim Genel Müdürü ‹Ç DENET‹M / Yaz 2005 Son y›llarda denetimin tamamen risk odakl› olarak yap›lmas› uygulamas› a¤›rl›k kazan›yor. 60 61 PANO PANO Bu y›l 18-19 May›s tarihlerinde yap›lan CIA ve CFSA sertifikasyon s›navlar›n›n sonuçlar› belli oldu. S›nava girenler, s›nav sonuçlar›n› T‹DE web sayfas› üzerinden flifreleri ile girifl yaparak ö¤renebilirler. Ayr›ca, s›nav de¤erlendirmelerinin yap›ld›¤› mektuplar tüm adaylara e-posta yolu ile de gönderilmifltir. CIA S›nav›na toplam kat›l›m 144 kifli olarak gerçekleflti. CIA sertifikas› almaya hak kazananlar›n say›s› 19 olarak gerçekleflti. Afla¤›daki tabloda bölümler halinde baflar› istatistiklerini görebilirsiniz : CIA S›nav› S›nav› Alan Kifli Say›s› Baflar› %’si K›s›m I 102 33% K›s›m II 78 37% K›s›m III 72 44% K›s›m IV 40 63% CFSA s›nav›na giren 8 kifliden 4’ü baflar›l› olarak E¤itimlerimiz: 2 Haziran 2005 tarihinde Dedeman Oteli’ nde "Uluslararas› ‹ç Denetim Standartlar›n›n Getirdi¤i Yükümlülükler" konulu e¤itim 28 meslektafl›m›z›n kat›l›m›yla gerçekleflmifltir. Akademik iliflkiler; T‹DE olarak iç denetim yüksek lisans program›n›n oluflturulmas› için IIA taraf›ndan desteklenen "Endorsed Internal Auditing Program" kapsam›nda üniversiteler ile görüflme yap›lmaya bafllanm›flt›r. Geliflmeler üyelerimiz ile paylafl›lacakt›r. bankac›l›k alan›nda CFSA ünvan› almaya hak kazand›. Sosyal faaliyetlerimiz; ‹Ç DENET‹M / Yaz 2005 4 Temmuz 2005 tarihinde Taksim Point Hotel'de 20 kiflinin kat›l›m›yla Aile toplant›s› gerçekleflti. Y›ll›k denetim planlamas› konusunda görüfl al›flveriflinde bulunuldu. Sn. Funda Yavafl Ayla GYA‹D'nin 6 Haziran 2005 tarihinde düzenledi¤i "Markalasakta m› satsak, markalamasakta m› satsak" konulu seminere T‹DE’yi temsilen kat›lm›flt›r. IIA taraf›ndan düzenlenen Global Leadership Workshop ve Global Council (9-10 Temmuz 2005) toplant›lar›na Türkiye ‹ç Denetim Enstitüsü’nü temsilen Enstitü Baflkan› Sn. Özlem Aykaç ve Genel Sekreter Sn. Elif Buluç kat›lm›flt›r. Global Leadership Workshop program› içerisinde Sn. Özlem Aykaç "Gönüllü Üyeler ile Enstitü’nün hizmet vermesi" konusunda bir tebli¤ sunmufltur. Chicago’daki Uluslararas› Konferanstan ‹zlenimler IIA’in düzenledi¤i 64.Uluslararas› ‹ç Denetim Konferans› bu sene 11-13 Temmuz tarihlerinde ABD fiikago’da 83 ülkeden 1.900’den fazla kat›l›mc› ile gerçeklefltirildi. Konferansa Türkiye’den Merkez Bankas›’ndan Çetin Özbek, Prof. Dr. Necdet fiensoy ve Bilal San, CocaCola’dan Özlem Aykaç, Anadolu Grubu’ndan Elif Buluç, Do¤ufl Holding’ten Alp Kinay, Türk Pirelli’den Konferansa Türkiye’den Merkez Bankas›’ndan Çetin Özbek ve Can Akkerman ve Oyak’tan Tamer Prof. Dr.Necdet fiensoy, Coca Cola’dan Özlem Aykaç, Anadolu Grubu’ndan Elif Buluç, Do¤ufl Holding’ten Alp Kinay kat›lm›flt›r. Aksoy kat›ld›. Konferans›n aç›l›fl konuflmas›nda, IIA Uygulamalar, Sarbanes Oxley Uygulamalar›, IT Yönetim Kurulu Baflkan› Betty McPhilimy, konfeDenetimi, Yolsuzluk ve Suistimaller, ‹ç Denetimransa rekor düzeyde kat›l›m sa¤land›¤›n› ve IIA de Son Geliflmeler ve benzeri konularda 10 paüyelerinin 160 ülkede 107.000 kifliye ulaflt›¤›n› ralel oturum halinde düzenlendi. Ayr›ca konfebildirerek, konferans kat›l›mc›lar›n› ‘günü yakaransta toplamda 85 panel gerçeklefltirildi. lad›klar›’ için tebrik etti. Ayr›ca Mc Philimy IIA taraf›ndan düzenlenen Global Liderler Çal›fl100.000. üye ve 50.000. CIA sahibine de ödülletay› ve IIA Genel Kurul (9-10 Temmuz 2005) rini takdim etti. Konferans Baflkan› John Covell, toplant›lar›na Türkiye ‹ç Denetim Enstitüsü’nü kat›l›mc›lara konferans›n sundu¤u geliflim imtemsilen Enstitü Baflkan› Özlem Aykaç ve Genel kanlar›ndan ve yaratt›¤› networking f›rsatlar›nSekreter Elif Buluç kat›ld›. 84 ülkenin Enstitü Bafldan en üst düzeyde istifade etmeleri gerekti¤i kokanlar›n›n kat›ld›¤› Liderler Çal›fltay› Program›’nda Özlem Aykaç "Gönüllü Üyeler ile Ensnusunda hat›rlatmada bulundu. titü’nün hizmet vermesi" konusunda ‘en iyi uyKonferans, sabah aç›l›fl ortak oturumlar› ve kapagulama örne¤i’ olarak T‹DE’nin çal›flmalar› ile iln›fl oturumu haricinde, ‹ç Denetim ve Kurumsal gili bir tebli¤ sundu. Yönetim, Risk Yönetimi, ‹ç Denetimdeki En ‹yi Konferansa Türkiye’den Merkez Bankas›’ndan Prof. Dr.Necdet fiensoy, Anadolu Grubu’ndan Elif Buluç, Coca Cola’dan Özlem Aykaç, Türk Pirelli’den Can Akkerman, Merkez Bankas›’ndan Bilal San ve Çetin Özbek ve Oyak’tan Tamer Aksoy kat›lm›flt›r. ‹Ç DENET‹M / Yaz 2005 May›s-2005 Sertifikasyon s›nav sonuçlar› belli oldu 62 63 ÖZET/SUMMARY D‹KKENAR English Summary • In Aysberg section, internal audit directors discuss the ways for increasing effectiveness and productivity in internal audit departments. Outsourcing and cosourcing the internal audit resources, pros and cons of both choices are also examined in the discussion. • In his article, " What Qualifications do Internal Auditors Need" N. Burak Ünlü states that internal auditors need to have some basic qualifications like honesty, problem solving, independence, communication skills, etc. • Dr. Süleyman Uyar, in his article titled "How should be the relationship between internal auditor and audit committee" describes the duties and responsibilities of an audit committee, executive and reporting relationships between the two. Ne ekersen onu biçersin... • Interview with the Hedef Alliance Holding gives us information about the internal audit department’s status within the organization and audit implications in one of the biggest companies in our country. • Interview with the Internal Audit Coordination Board gives us information about the boards’ duties and responsibilities, objectives and activities. • Bülent Tarhan in his article, explains the ombudsman practices in Europe and discusses how it should be in our country. • Mehmet Mesut Karakafl, in his article, mentions about what is IT Audit, how should it be done and which points sould be taken into consideration in IT Audits. • In his article, Çelik Kurto¤lu explains the increasing importance of governance rating and the recent developments in this area. Ali R›za Eflkazan in his article, explains the recent regulations about internal audit in Turkey and discusses the effects of these regalutaions on internal audit profession. • In his article "art of cheating" Tanol Türko¤lu mentions about the employees’ responsibilities in preventing company from the fraudulent activities. • Ali Kamil Uzun in his article, congratulates the Internal Audit Institute of Turkey on reaching the 10th year, its professional success and contribution to the profession. • In his article "creative contradiction" Ahmet Ery›lmaz, looks at management styles from a different social psychological perspective. Ali Kamil Uzun / [email protected] ‹Ç DENET‹M / Yaz 2005 ‹Ç DENET‹M / Yaz 2005 • Hande Yaflargil in her article, explains how to be a good mentor, describes the basic principles to follow.