İç Denetim Nedir? - İç Denetim Birimi Başkanlığı
Transkript
İç Denetim Nedir? - İç Denetim Birimi Başkanlığı
İç Denetim Nedir? Bertan KAYA/Merkez Bankası İç Denetçisi Günümüzde iş dünyasında iç denetim ile ilgili ciddi bir kavram karmaşası yaşanıyor. İç denetim kavramının ne olduğu ve ne olmadığı genellikle bilinmiyor. Özellikle 2000 li yıllardan itibaren dünyada meydana gelen bazı kurumsal ve mali skandallar sonrası önemi artmaya başlayan bir kavram iç denetim. Amerika gibi gelişmiş, büyük piyasalarda bu skandallar sonrası iç denetim fonksiyonu ve iç denetçilerin önemleri oldukça artmış durumda. SOX gibi güçlü yaptırım gücüne sahip düzenlemelerin iç denetçilerin kamuoyu nezdindeki itibarını bir hayli arttırdığı bir gerçek. Özellikle Amerika’da başlayan ve diğer Batılı ülkeler tarafından da itibar gören bu ve benzeri yasal düzenlemelerin ülkemizde de bazı yansımaları oldu. 2000 sonrası Bankacılık sektörü ile başlayan ve son 2 yıl içinde Kamu idareleri ile devam eden çağdaş iç denetime yöneliş, bir süredir özel sektörün de ilgisini çekmeye başladı. Aslında ülkemizde iç denetim kavramı çok da yeni bir kavram değil. Bankacılık sektöründeki ve kamudaki teftiş kurulları geleneği neredeyse yarım asırlık bir geçmişe sahip. Özel sektöre bakıldığında köklü bazı kurumlarda 20 yılı aşkın süredir bazı temel iç denetim girişimleri söz konusu idi. Ancak tüm bu oluşumlar, dünyada iç denetimin ilerlediği çizgiden farklılık arz etmekte idi ve ekseriyetle güncel metot ve teknikleri yakalayamamıştı. Buna rağmen oldukça iyi niyetli çabalar olduğunu ve geçmişe dönük pek çok hata ve usulsüzlüğün tespitinde önemli rol oynadıklarını kabul etmemiz gerekiyor. Bununla birlikte zaman içinde teknolojideki gelişmeler, piyasaların küreselleşmesi, ticaret ve sermaye akımlarının serbestleşmesi ve iş kültürünün değişmesi, kurumların yönetsel ve örgütsel süreçlerini değiştirmiş, farklı ve yepyeni fonksiyonlara olan ihtiyacı arttırmıştır. Örneğin, 1980 lerden sonra önemi artan risk ve risk yönetimi kavramlarına paralel olarak risk tanımlama, ölçüm ve yönetim teknikleri finans sektörünün iş yapış tarz ve mekanizmalarını kökten bir şekilde değiştirmiştir. Yine örneğin örgütsel yapılar daha bürokratik ortamlardan, yatay hiyerarşiye dönük bir gelişim sergilemiştir. Teknoloji verimliliği inanılmaz boyutta arttırırken, iletişim ve iş yapış 1 şekillerinde hız kazanılması söz konusu olmuştur. Kâğıt kullanımının yerini elektronik yöntemlerin alması, yazılım ve sistemlerin iş hayatında ağırlığının artması, yeni yönetim teorilerinin tartışılmaya başlanması ve çalışanların iş sistemleri içindeki rol ve sorumluluklarının yeniden tanımlanması değişim sürecinin ana gelişim noktaları olarak dikkat çekmiştir. Böylesi büyük bir değişimden iç denetimin nasibini almaması elbette düşünülemezdi. Gerek bu ana değişimler, gerekse de bunların dolaylı etkileri sonucu ortaya çıkan yasal düzenlemeler iç denetimi geçmişe dönük ve mevzuata uygunluk eksenli bir bakış açısından ileriye dönük ve "risk odaklı" bir bakış açısına yöneltmiş, iç denetçinin bilgi ve teknoloji çağındaki rol ve sorumluluklarını yeniden şekillendirmiştir. Bugün gelişmiş ülkelerde, toplumun ve iş dünyasının, iç denetim fonksiyonu ve onu teşkil eden iç denetçilerden beklentileri net bir şekilde belirlenmiş, ortak bir anlayış ve kabul ile gerek yasal, gerekse de mesleki düzenlemelerde dile getirilmiştir. Ülkemizde çağdaş iç denetim anlayışı ve bunun hayata geçirilmesine yönelik çabalar 1995 yılında Türkiye İç Denetim Enstitüsünün (TİDE) kuruluşuna dek gitmektedir. 2000 lerin ilk yarısı Türkiye'de iç denetim kavramı ve çağdaş iç denetim uygulamalarına yönelik ilginin hızla artmaya başladığı dönem olmuştur. TİDE ve üyelerinin özverili çalışmaları sonucu iç denetçilik mesleği ülkemizde farklı boyutları ile ele alınır ve yaygın şekilde yürütülür hale gelebilmiştir. Türkiye'de CIA sertifika sınavlarına olan ilgi, basında iç denetim ile ilgili çıkan haberler, TİDE gibi sivil toplum örgütlerinin mesleki organizasyonlarına katılım ve ülkemizde bu alanda ortaya koyulan yasal düzenlemeler mesleğin geri dönülemez bir çizgide ve hızlanarak geliştiğini açıkça ortaya koymaktadır. Bu yazının yazılmasına neden olan konu, özel ve kamu sektöründeki meslek profesyonelleri tarafından ne olduğu, kapsamı ve odağı iyi bilinen "iç denetimin", özel ve kamu kurumlarındaki diğer yönetici ve çalışanlar ile iş dünyasındaki paydaşlar tarafından sağlıklı bir şekilde bilinmemesi gerçeğidir. Bu çevrelerde iç denetim ekseriyetle teftiş ve mali denetim ile karıştırılabilmektedir. Bu nedenle meslek profesyonelleri ile iç denetim hizmetini alacak olan veya alması yasal olarak zorunlu tutulan çevreler arasında bir kavram birliği sağlamak gerektiği düşüncesindeyim. Yazımızın başlığı da bu sebeple "İç Denetim Nedir?" olarak belirlendi. Elbette ki amacımız iç denetim ile ilgili bilgi sahibi olmak isteyen herkese ulaşmaktır. Ancak spesifik olarak özel ve kamu sektöründeki paydaşları bilgilendirme arzusundayız. Uluslararası İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin esas ve genel kabul görmüş meslek organizasyonudur. Bu enstitünün uzun araştırma, istişare ve çabalar sonucu ulaştığı genel kabul görmüş bir iç denetim tanımı var: 2 " İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur." Meslek profesyonellerinin ve diğer ilgililerin araştırdıklarında karşılarına genelde hep bu tanım çıkıyor. Bence oldukça makul ve geniş bir tanım. Yani mesleğin içinden kişilere çok şey ifade ediyor ve iyi yol gösteriyor. Öte yandan iç denetim mesleği dışından kişiler için çok anlam ifade ettiği kanısında değilim. Zaten meslek profesyonelleri dışında iç denetim ile ilgili ve ilişkili kişiler için (paydaşlar) kavram karmaşası da buradan çıkıyor. Genel ve altı net bir şekilde doldurulmamış klasik batı tanımları belirli bir kavramdan herkesin farklı bir şeyi anlamasına neden olabiliyor. Yorum farklılıkları olabiliyor. Hele de işin içinde olmayanlar için bu kavramlar manzumesi pek bir karışık gelebiliyor. Risk, etkinlik, sistematik, disiplinli... Pek çok kavram üzerinde fikir birliği sağlamak zor gözüküyor. Bu nedenle de iç denetim kavramı ülkemizde hala teftiş ve mali denetim ile benzer bir çizgide görülüyor. Belki de öyle görülmesi tanımlanmasını kolaylaştırıyor. Oysa ki yukarıdaki tanım çok farklı bir hikayeyi anlatıyor. Yapılması gereken bu hikayeyi sadece meslek profesyonelleri değil, herkesin anlayabileceği bir dilde anlatmaya çalışmak ve ortak bir anlayış geliştirmek. Öte yandan iç denetime ilişkin kısa, net, açıklayıcı ve tüm taraflarda benzer bir anlayışı oluşturabilecek bir tanım bulmak oldukça zor. İç denetim bir kurum ya da organizasyonda yürütülen faaliyet iş ve işlemlerin yönetimden farklı ve tarafsız bir gözle değerlendirilmesi olarak özetlenebilir. Bu değerlendirme esas olarak kurumda işlere ilişkin risklerin bilinmesi, iyi yönetilmesi ve bu riskleri yönelik olarak tasarlanan iç kontrollerin varlığı ve etkinliği konularına odaklanır. Aslında iç denetimin en önemli fonksiyonu da budur. Temel odak risk ve kontroller olmaktadır. Zira bir kurumun iç kontrol sistemi o kurumun; a. Operasyonlarının etkin ve verimli yürütüldüğü b. Mali ve operasyonel raporlamaların doğruluğu c. Mevzuata uygunluk 3 Hedeflerini gerçekleştirmesine yardımcı olur. İç kontrol sisteminin değerlendirilmesi, bu unsurların tamamının değerlendirme kapsamına girdiğine işaret etmektedir. Risk Yönetimi ve İç Kontrol bakış açısı ile şekillenen denetim fonksiyonu geleceğe dönüktür ve insanların değil sistemlerin ve süreçlerin hataları ile ilgilenir. Bir kurum ya da organizasyonun tüm iş ve işlemlerinde var olan riskler- ki bunlar arasında strateji ve planların misyon ve amaç ile uyumlu olmaması riski de vardır- ve kurumun risklerini nasıl yönettiği, iç denetimin ana odağıdır. Yani bir kurumun iç denetçilerinin sorması ve cevap araması gereken ilk 3 soru şunlar olmalıdır: 1) Bu kurum bir bütün olarak, tüm alanlarda karşı karşıya olduğu riskleri iyi biliyor mu? 2) Bu riskleri yönetmek için neler yapılıyor? (iç kontroller gibi) 3) Bu riskleri yönetmek için alınan tedbirler etkin mi? (iç kontroller etkin çalışıyor mu?) İş ve işlemlerin geçmişe dönük olarak mevzuata uygunluğunun denetlenmesi olan teftişten en büyük fark odağın mevzuat değil, risk olmasıdır. Riskler geleceğe dönük, hedeflere ulaşılmasını engelleyebilecek olaylardan kaynaklanan potansiyel sonuçlardır. Geçmişte yapılan hata veya suistimaller mutlaka bir risk nedeni ile oluşan sonuçlardır. İç denetim içinde farklı denetim türlerini barındırır. Mali denetimler, operasyonel denetimler, mevzuat denetimleri (teftiş), bilgi sistem ve teknoloji denetimleri veya sadece risk/kontrol değerlendirmeleri gibi. Bunlar denetim alanına göre ya ayrı ayrı ya da değişik kombinasyonlar ile gerçekleştirilebilir. Örneğin bir satın alma denetimi içinde risk/kontrol değerlendirmesi ve mevzuat denetimi farklı yüzdeler ile yer alabilir. Ya da bir muhasebe departmanında finansal denetim ve operasyonel denetim birlikte gerçekleştirilebilir. Bu tamamen denetimlerin nasıl planlandığı ve hangi amaçla gerçekleştirildiğine bağlıdır. İç denetim farklı alanlarda farklı denetim türleri ile icra edilebilir. Ancak tekrar etmekte fayda olduğunu düşünüyorum; tüm bu denetimlerin kapsamında az veya çok, mutlaka risk kontrol değerlendirmeleri yer almalıdır. Örneğin iç denetçilerce gerçekleştirilecek bir finansal denetimde mali raporlamalar ile ilgili iç kontrollerin değerlendirme kapsamı dışında tutulması pek olası değildir. Benzer şekilde operasyonel denetimlerin de önemli bir bölümü iç kontrollerin etkinliği ve verimliliğinin değerlendirilmesidir. Açıklığa kavuşmasında fayda olan hususlardan birisi de budur. İç denetim hissedarlar tarafından seçilen yönetim kurulu ve yönetim kurulunca atanan üst yöneticilere kurumda yürütülen iş ve işlemlere ilişkin makul güvence sağlar. Yani üst yönetim için çok değerli bir kontrol aracıdır. Önemli bir yönetsel fonksiyondur. Kurum içinde 4 mevzuata uygunsuzluk, hata, hile, verimsizlik ve risklere yönelik olarak engelleyici ve tespit edici bir mekanizmadır. Üst yönetimin kurumsal yönetim ilkelerinden hesap verilebilirlik ve sorumluluk ilkeleri çerçevesinde hareket etmesine fayda sağlar, varlığı ve faaliyetleri ile bu ilkelerin sağlıklı bir şekilde tesis edilmesine katkıda bulunur. İç denetim bir yönetim aracıdır. İç denetim yönetici ve çalışanların hatalarını bulmaya değil eksiklerini kapatmaya çabalar. Bu bakımdan kurum çapında güvenilmesi ve desteklenmesi gereken bir fonksiyondur. 5 Özel Sektörde İç Denetim Ne İfade Ediyor? Özel sektör işletmelerinde iç denetim faaliyetinin oluşturulması büyük önem taşımaktadır. Etkin bir iç denetim faaliyeti, şirketlere büyük faydalar sağlamaktadır. Bu faydalara geçmiş yazılarımızda değinmiş olmakla birlikte, tekrar etmeyi önemli buluyoruz. 1. Şirketin amaç ve hedeflerine ulaşmasını engellemeye yönelik iç ve dış risklerin tespit edilmesi ve etkin bir şekilde yönetilmesinin sağlanması; 2. Maliyetlerin optimize edilmesi ve operasyonlarda verimliliğin sağlanması; 3. Hata, suistimal veya hilelerden kaynaklanan kayıpların önlenmesi; 4. Öngörülemeyen ve şirket açısından yıkıcı sonuçlar doğurabilecek olayların erken tespiti ve önlenmeye çalışılması. Bu tür olayların yaratabileceği hasarların minimize edilmesi; 5. Şirketin iç ve dış çevredeki fırsatları yakalamasının sağlanması; 6. Şirketin operasyonel etkinliğinin artırılması; 7. Kurumsal Yönetim uygulamalarının geliştirilmesi ve şirket itibarının artırılması; 8. Şirketin ekonomik, finansal ve reel sektör krizlerine dayanıklılığının artırılmasına destek verilmesi; 9. Şirket tarafından kamuya yapılan finansal raporlamalar ile şirket yöneticilerinin karar almada kullandığı operasyonel ve finansal verilerin güvenilirliği ve doğruluğunun korunması; 10. Şirket varlıklarının korunması ve kayıt altında tutulması; 11. Şirketin tabi olduğu yasa ve düzenlemelere uygunluğun sağlanması; 12. İç denetim faaliyeti dışında, yukarıda bahsedilen faydaların tamamını sağlayabilecek alternatif bir mekanizma bulunmamaktadır. Şirket dışındaki uzmanlardan alınabilecek hizmetlere bakıldığında, çağdaş iç denetim faaliyetinin hedef ve kapsamından çok farklı hizmetlerle karşılaşıldığı görülür; 6 Bağımsız denetim (dış denetim) şirketin kamuya yaptığı finansal raporlamalar üzerine odaklanır. Şirketin finansal raporlama süreçleri dışındaki süreçleri genellikle değerlendirme kapsamı dışında kalır. Dış denetim finansal tabloların, işlemler, kayıtlar, ilkeler ve muhasebe standartları ile uyumunu sorgular. Şirketin operasyonel etkinlik etkinlik ve verimliliği, maliyetlerinin iyileştirilmesi, fırsatların yakalanması veya daha etkin yönetsel stratejiler için güvence ve danışmanlık vermez. Muhasebe ve Vergi Danışmanlığı hizmetleri (SMMM ve YMM’lerden alınan hizmetler) ise genellikle şirketin muhasebe sisteminin iyileştirilmesi, finansal raporlamaların güvenilirliği, mali ve ticari karın tespiti ve doğrulanması, vergi uygulamaları ve vergi matrahının kontrolü, tam tasdik işlemleri, iade ve istisna raporları gibi vergisel konular üzerine odaklanmıştır. odaklanmıştır. Muhasebe ve vergi alanında uzman kişilerce sağlanan bu hizmetlerde, şirketin muhasebe ve vergisel riskleri ele alınıp, bu alanlardaki sorunlarına çözüm aranır. Yönetim, Süreç ve Kalite Danışmanlığı hizmetleri ise genellikle operasyonların, süreçlerin ve örgüt yapısının iyileştirilmesi ve kalite sisteminin yapılandırılması (TKY, ISO, TSE, CE) üzerine odaklanmaktadır. Bazı yönetim danışmanlığı faaliyetleri yönetsel stratejilerin belirlenmesi noktasında da fayda sağlar. ağlar. Pazarlama, marka, iletişim ve benzeri alanlarda da yönetim danışmanlığı hizmetleri almak mümkündür. Bu hizmetler genel olarak belirli bir iş alanı veya iş kolunda sağlanan, o iş alanını geliştirmeye yönelik, kurum genelinde yürütülmeyen hizmetlerdir. hizmetlerdir Görüldüğü üzere iç denetimin kuruma sağlayacağı faydaların pek çoğu, dış uzmanlarca sağlanamamaktadır. Zaten dış uzmanlarca örgüte sağlanan faydalar, iç denetim sağlayacağı faydalardan çoğunlukla farklı işlev gösterir. gösterir. Örgüt içine bakıldığında ise durumun d pek farklı olmadığı görülmektedir. Şirket içindeki pek çok birim sadece kendi alanında uzman olduğundan, örgüt geneline yönelik sistemli bir katma değer sağlayamaz. İç denetim hizmetlerini telafi edecek veya ona alternatif teşkil edecek bir mekanizma mekanizma bulunmamaktadır. İç denetim şirketler açısından bu kadar önemli iken, konuya ilişkin en büyük problem, çağdaş iç denetimin ne olduğunun henüz yaygın şekilde bilinmemesidir. İç denetime ilişkin geleneksel bakış açısı son derece hatalıdır. Pek çok özel sektör kuruluşunda iç denetimin ne olduğu ve kapsamına ilişkin farklı inanışlar bulunmaktadır. Bu inanış ve farklı görüşler 7 temelde iç denetim mesleğinin dünyada gittiği yönün bilinmemesi ve yıllardır “Muhasebe ve Vergi Mevzuatı” odaklı çalışan şirket mali birimlerinin, iç denetimi de tekellerine almış olmalarından kaynaklanmaktadır. Şirket hissedar ve yönetim kurulları, iç denetim hizmetlerine olan ihtiyacın genellikle farkında değildirler. Bir şekilde farkına varmaları halinde ise iç denetim ihtiyacını şirketin mali hizmet birimlerinin (muhasebe, mali işler, finans, vb.) karşılayacağına inanırlar. Bu nedenle, iç denetime ilişkin olarak bu birimlerin yöneticilerinin ufku, bilgisi ve yetkinliği, şirketin iç denetim faaliyetlerinin amaç ve kapsamının sınırlarını belirler. İç denetimin şirketlerde yaygın olarak bağımsız değil, mali birimler altında organize edilmesinin sebebi budur. Bu tür kurumlarda iç denetim genellikle; - Vergisel konulara odaklıdır. Matrahın doğrulanmasına çalışır; - Muhasebe işlemleri ve kayıtlarını kontrol eder, hata bulmaya çalışır; - Muhasebe uygulamalarının UFRS ve UMS’lere uygunluğa bakar; - Kalite denetimleri (ISO) yapar; - Teftiş yapar (İş ve işlemlerin mevzuat, politika ve prosedürlere uygunluğuna bakar); İşte bu sebeple ülkemizde çağdaş risk odaklı iç denetim uygulamaları bankacılık sektörü, çok uluslu şirketler, yabancı ortaklı şirketler ve bazı holding kuruluşları ile büyük ölçekli bazı hizmet şirketleri dışında pek yaygın değildir. Çağdaş iç denetim uygulamalarının çıkış noktası ne muhasebe, ne vergi ne de teftiştir. Çıkış noktası kesinlikle şirket amaç ve hedeflerini tehdit eden riskler ve bunlara yönelik kontrollerdir. Elbette mali, vergisel veya uygunluk riskleri de bunun içindedir. Ancak bunlar dışında şirketi etkileyebilecek pek çok farklı risk türü bulunmaktadır. Operasyonel riskler, piyasa riskleri, stratejik riskler, sistemsel riskler, itibar riskleri, teknoloji riskleri ve diğer pek çok risk türü, şirketler açısından en az muhasebe ve vergi riskleri kadar ve hatta çok daha fazla yıkıcı sonuçlar doğurabilmektedir. Bunların bütüncül bir yaklaşım ile ele alınması ve şirketin karşı karşıya olduğu tüm risklerin etkin yönetildiğine dair güvence sağlanması gerekir. İşte bu, çağdaş risk odaklı iç denetim uygulamalarının özüdür. İç denetim hata bulma ve düzeltme amaçlı değil, şirketi geleceğe taşıma ve şirketin ekonomik sürekliliğini sağlama odaklı çalışır. Yani değer katma misyonu ile hareket eder. Çağdaş iç denetimin başarısı, başka birimlerin hatalarına bağlı değildir. Çağdaş iç denetim, ancak kurum amaçlarına ulaştıkça 8 başarılı sayılabilir. Bu bağlamda şirketin amaç ve hedefleri ile iç denetimin amaç ve hedefleri aynıdır. İç denetçiler finansal denetimler, operasyonel denetimler, bilgi teknolojisi denetimleri, uygunluk denetimleri ve özel incelemeler ile kuruma değer katarlar. Özel sektördeki şirket hissedarları, yönetim kurulu üyeleri ve yöneticilerine çağdaş risk odaklı iç denetimin etkin bir şekilde anlatılması gerekmektedir. Hatta bu şirketlerin dışarıdan çeşitli uzmanlık hizmetleri aldığı dış denetçiler, yönetim danışmanları, yeminli mali müşavirler ve SMMM’lerin de çağdaş risk odaklı iç denetim yaklaşımına dair bilgi sahibi olmalarında fayda vardır. İç denetim farklı bir uzmanlık gerektirmektedir. Bu uzmanlık riskler, risk yönetimi, kontrol modelleri, iç kontrol sistemleri, raporlama, iletişim gibi alanlarda önemli ölçüde yetkinlik sahibi olmayı gerektirir. Yani iç denetçi olmanın gerektirdiği meziyetler genellikle diğer denetim ve danışmanlık mesleklerinden önemli ölçüde farklılık arz eder. Bu nedenle, bu gruplardaki uzmanlardan iç denetim sistemi kurmak üzere danışmanlık hizmeti almak önemli riskler taşır. Bu uzmanlar çağdaş risk odaklı iç denetim yaklaşımı, metot, araç ve uygulamalarında yetkin değil iseler, bu iyi niyetli çaba boşa kürek çekmek olacaktır. Bu şekilde, "risk odaklı" değil, "mali denetim odaklı" sistemlerin, şirketin ekonomik sürekliliği, hissedarlar ve diğer paydaşlara sağlayacağı fayda tartışmalı hale gelecektir. Dışarıdan vergi ve bağımsız denetim hizmetleri sağlanırken, içeride ekseriyetle bunları tekrar ediyor olmanın ne gibi yararları olduğu da ayrıca tartışılabilir. Bir şirkette sağlıklı ve çağdaş bir iç denetim faaliyeti veya fonksiyonu oluşturmanın temel koşulu çağdaş iç denetimin ne olduğu, kapsamı ve iç denetim hizmeti verecek kişilerin sahip olması gereken özellik ve yetkinliklerin en iyi şekilde anlaşılmasıdır. Şirket içinde etkin bir iç denetim fonksiyonu oluşturmanın ön koşulu olan çağdaş iç denetim kavramı ve açılımlarını kavramak için, şirketlerinde iç denetim faaliyeti kurmakla yükümlü olan kişilere aşağıdaki çalışmaları yapmalarını tavsiye ediyorum: 1. Türkiye İç Denetim Enstitüsü (TİDE) tarafından İngilizceden çevirisi yapılan İç Denetim Mesleki Uygulama Çerçevesinin (Kırmızı Kitap) dikkatle gözden geçirilmesi. İçinde iç denetimin dünyaca kabul gören tanımı, uluslararası iç denetim standartları, iç denetim standartlarının uygulama önerileri bulunmaktadır. Buradan dünyada iç denetimin ne yöne gittiği anlaşılabilir. Bu rehber kitaba TİDE ile temasa geçilmek suretiyle ulaşılabilir. (www.tide.org.tr) 9 2. Aynı veya farklı sektörlerdeki uluslararası ve yabancı ortaklı şirketler ile çağdaş ilke ve standartlar paralelinde faaliyet gösteren iç denetim birimlerine sahip diğer şirketler ile temasa geçmek suretiyle, bu şirketlerin iç denetim birimlerinden yardım istemek. (mümkünse kısa ve verimli toplantılar ile) 3. İç denetim ve risk yönetimi hizmetleri sunan danışmanlık şirketlerine başvurmak ve iç denetim faaliyeti kurulumuna ilişkin profesyonel yardım almak. (bu danışmanlık hizmetleri ücretli olacaktır ancak son derece fayda sağlamaktadır) 4. Konu ile ilgili olarak kamu veya özel sektörde görev yapan tecrübeli ve yetkin iç denetçilerden, mesleğin geleceği ve yararı adına yardım almak (resmi olmayan, sohbet toplantıları ile) 5. Konu ile ilgili bilgili, araştırma ve çalışmaları bulunan akademisyenlerin görüşlerine başvurmak. 6. Yurt dışındaki benzer veya farklı sektörlerdeki şirketlerin, iç denetim birimleri ile eposta yolu ile temasa geçmek ve mesleki bilgi paylaşımında bulunmak (geri dönüş olmayabilir) İç denetimi en başından sağlıklı kurmak önemlidir. Özel sektörde yer alan pek çok şirkette iç denetimin gerçekte ne olduğu, iç denetim ihtiyaçları ve iç denetimin sağlayacağı faydalara ilişkin farkındalık düzeyi düşük gözükmektedir. Bu nedenle, çağdaş iç denetimin ne olduğu, ne fayda sağlayabileceği ve çağdaş bir iç denetim fonksiyonunun nasıl oluşturulacağı konuları özel önem taşırmaktadır. 10 İç Denetim Raporları Ciddiye Alınıyor Mu? Bu soruya verilebilecek kesin bir cevap yok. Aslında bu biraz da geçen günkü yazımda belirttiğim “iç denetim farkındalığı” hususu ile ilgili. Şirket veya kamu kurumlarındaki yönetimlerin denetimden pek de haz etmedikleri biliniyor. Özellikle de son derece vakit alabilen ve zorlayıcı olan iç denetimden. Öyle ya siz bir sürü işin gücün koşuşturmacanın içindeyken, birileri geliyor ve sizin iş, işlem, süreç, sistem, raporlama, veri, insan kaynağı, teknolojik altyapı ve operasyonlarınızı sorguluyor. Bu sorgulama sırasında, bu unsurların her biri için söz konusu olabilecek riskleri ortaya çıkartmaya çalışıyor. Sizi ve personelinizi saatlerce süren toplantılarla meşgul ediyor. İşlerin en yoğun ve stresli olduğu anlarda iş ve işlemleri yerinde gözlemek amacı ile ortalarda dolaşıyor. Size ve personelinize anketler dağıtıyor. Hem de öyle anketler ki, doldur doldurabilirsen. Birde şıklı seçim soruları yerine açık uçlu sorular var ise vay yöneticinin haline! Yöneticinin çilesi burada da bitmiyor. İç denetçi tüm bu sorgulama ve araştırmalar sonucunda elinde onlarca sayfadan oluşan bir Excel tablosu ile çıkıp geliyor. Neymiş efendim risk ve kontrolleriniz bunlarmış. Hepsi buradaymış. İşin yoksa birde bunları iç denetçi ile gözden geçir. Tek tek üzerinden geç. Geçmiyorsunuz elbet. Hemen işlerden en çok anlayan bir iki uzman görevlendiriliyor. E ne olacak bu arkadaşların kayıp zamanları. Zaten iş yapmayı bilen bu ikisi! Bunlar da iç denetçilerce rehin alınıyor. Tam ya sabır derken, yeni bir aşamaya geçiliyor. Testler! İç denetçiler ortamda virüs bulmayı hedefleyen birer bilim adamı edasıyla, dikkatli ve son derece konsantre bir şekilde etrafta ne kadar doküman, kağıt, dosya, bilgisayar var ise saldırıya geçiyor. Dört bir yandan kuşatıyorlar yönettiğiniz Birimi. Günlük işlerinizi mi yürüteceksiniz, bu saldırılara karşı mı koyacaksınız? Öyle ya maazallah bir açık bulursa adamı perişan eder bunlar? Ne farkı var ki bunların müfettişlerden ayrıca! Bunlar da dosya, fiş, mizan, tutanak, vs. inceliyor. E ne anladık çağdaş iç denetimden. Oysa biz sanmıştık ki çağdaş iç denetim daha az zorlayan, daha az vakit alan, daha yumuşak bir denetimdir! Çok daha fazla zorluyorlar bizi teftişten. Gerçi çok daha iyi davranıyorlar ama... 11 Testler bittiğinde birde denetim raporu yazılıyor. İşte belki de yöneticiler için en stresli anlar bunlar. Rapor beklenirken anlaşılmaz bir şeyler oluyor. İç denetçi yazdığı taslak bir raporu yönetici ile paylaşıyor. Yani bulgu ve değerlendirmeleri ile ilgili görüş soruyor. İnanılmaz ama gerçek. Söz hakkı veriyor. Elbette hoş bir şey, ama birde raporu didik didik okumak ve her argümana karşı çıkmak gerekiyor şimdi. Ne büyük zahmet ve vakit kaybı. Aslında arada doğru söylenen şeyler de oluyor haksızlık etmemek lazım. Ama gene de işlerden önemli mi? Geciken veya eksik kalan bir iş olmaya görsün. Patron (şirketlerde en üst düzey yönetici, kamuda en üst idari amir) hayatta anlamaz şimdi iç denetçilerle uğraşıyordum desem de. Patron da uğraşsın da görsün bakalım nasıl vakit alıyor bu iç denetçiler. Rapordaki bulgulara, değerlendirmelere bir ton cevap hazırlanması gerekiyor. Nerede kaldı bizim uzman arkadaşlar? Aman tüm konuları cevaplayalım, açıkta bir şey kalmasın. Kabul etmek, haklı bulmak mı? Bizden daha mı iyi bilecekler canım!!! Çok şükür son aşamaya geliniyor. İç denetçiler yöneticiye nihai raporu yolluyor. İşe bak bizim cevaplar aynen orada. Denetçi de kendi görüşünü eklemiş. Bak sen ya, ikna olmamış iç denetçi. Şöyle risk var, böyle risk var... Hayatımız risk kardeşim. Bugüne kadar bişey olmamış, şimdi neden olsun kardeşim? Neyse, raporun bir kopyası da patrona gitmiş üst yazıya göre. Gitsin! Patron bizden beter. Sanki vakti varda oturup inceleyip bakacak ne yazıyor diye. Ya sen o kadar uğraş, toplantı, anket, araştırma, test, rapor, patron alsın masasının bir köşesine atsın. E bende öyle yapacağım. Zaten bildiğimiz şeyleri eveleyip gevelemişler. Biliyoruz bunları kardeşim, sadece vakit bulamıyoruz düzetmeye, değiştirmeye. Sen gel benim koltuğuma otur da göreyim seni riskmiş, kontrolmüş, peh! Bu esnada patron da denetim raporunu almış, diğer yöneticinin yaptığını yaparak şöyle bir göz gezdirip masanın köşesine koymuştur. Zaten gün boyu sürecek toplantılara hazırlanması gerekiyordur. Büyük patrona (Şirketlerde Yönetim Kurulu Başkanı, Kamuda Bakan olabilir) yapacağı sunuma da hazırlık yapamamıştır. Bir yandan ekonomik kriz, diğer yandan üzerindeki gerçekçi olmayan hedef baskıları. Hafta sonu dernekte yapacağı konuşmanın metnini nereye koyduğuna bakarken, sekreteri iki hattından da arama geldiğini bildirir! Keşke 10 parçaya bölünebilseydim der kendi kendine. Yukarıda şaka yollu anlatmaya çalıştığımız durumun kendisi şaka değil. Pek çok kurumda böyle bir durum iç denetçiler açısından geçerli. Kamu veya özel sektör fark etmiyor. 12 Denklem basit: Yöneticinin İş Yoğunluğu Düşük İç Denetim Farkındalığı İç Denetçilerin Az Çaba Göstermesi Ciddiye Alınmayan Denetim Raporları Esasen iç denetçilerin az çaba göstermesi, biraz da çaresizlikten oluyor. Bir iki defa yüksek motivasyonla iyi performans gösterip, ortaya kaliteli raporlar çıkartan iç denetçi, kendisi ve raporu ile ilgilenilmediği veya çalışmalarına saygı duyulmadığını hissettiği hissettiği anda bu çabalarını azaltıyor. Sonrası ise kısır döngü. İç denetçi yöneticiyi, yönetici iç denetçiyi suçlar hale geliyor. Peki, bu denklem nasıl bozulur? Bu olumsuz eşitlik nasıl olumlu hale çevrilir. Formül gene basit: Yöneticinin İç Denetim Farkındalığın ın Artırılması İç Denetçinin Sürekli Yüksek Performans Göstermesi Destek: Yasalar+Sivil Toplum Ciddiye Alınan İç Denetim Raporları Dikkat edilirse bu değişkenlerden şkenlerden sadece 1. ve 2. konularda iç denetçinin doğrudan katkı sağlama şansı var. Diğeri dışsal; politik ve toplumsal baskılar sonucu devreye girebilecek etmenler. Elbette bu yönde bir gelişim olması muhtemel. Daha önce de yazdık, son finansal kriz iç denetimin ve risk yönetiminin önemini azaltmıyor, tam tersi artırıyor. Bunun kanun, düzenleme ve paydaş çevreler üzerindeki etkisini 3-5 3 5 yıl içinde açıkça göreceğiz. Peki, iç denetçiler olarak bizler ne yapabiliriz? Elimizden gelen nedir? Bunları kısaca aşağıda belirtmek isterim: Mesleğimize ize dört elle sarılmalıyız. sarılmalıyız Böyle bir mesleğe sahip olduğumuz için kendimizi şanslı saymalıyız. İç denetim dünyada son derece popüler ve güncel bir meslek. Önemi de gün 13 geçtikçe artıyor. Kamu veya Özel sektör olsun fark etmez, bir gün iç denetim hak ettiği yerde olacak. İşte o zaman bizler, yani bu sıkıntılı zamanlarda mesleğe sahip çıkanlar, mesleğin öncüleri olarak gelinecek noktada kendimiz ile gurur duyacağız. Yani öncelikle yapılması gereken kuyruğu dik tutmak, kafayı yukarı kaldırmak. Kim ne derse desin. İç denetimin dünyada ve Türkiye’de önü son derece açık. Tabi iş mesleğe dört elle sarılacağım demekle bitmiyor. Yüksek adanmışlık, motivasyonu hep yüksek tutmak ve geleceğe inançlı bakmanın yanı sıra çok çalışmaktan geçiyor. Hem işte hem de kişisel ve mesleki gelişim adına çok çalışmak gerekiyor. İç denetim ile ilgili yayınları takip etmek, okumak, araştırmak, eğitim almak ve mesleki bilgi paylaşımı içinde olmak. Bunlar çok önemli. Ayrıca bizler işimizi en iyi şekilde yapmalıyız. Raporlarımız okunmuyor veya okunmayacak kaygısı ile hareket etmek hatadır. Kendimizden çaldığımız zamandır. Sonucu ne olursa olsun aldığımız paranın karşılığını en iyi şekilde vermeliyiz. Yani ortaya koyacağımız nihai ürün çok önemli. Bu da denetimlerimiz sonucu ortaya koyduğumuz denetim raporlarımızdır. Raporlarımız yaratıcı farklı, etkili, son derece dikkat çekici olmalıdır. Yani yöneticinin dikkatini çekmenin en önemli yolu ortaya çarpıcı bulgular koymak, somut fayda sağlamaktır. Sıradan raporlar, sıradan muamele görür. Çarpıcı ve yenilikçi raporlar ise size yönetici ile uzun bir görüşmeyi garantiler. Ancak sıradan olmayan, çarpıcı raporlar yazmak, çok çalışmayı gerektirir. Takipçi, araştırmacı, sorgulayıcı, detaycı ve dikkatli olmayı gerektirir. İnsanlarla iyi iletişim kurmayı, ihtiyaç duyulan bilgileri zamanlı ve doğru bir şekilde alabilmeyi gerektirir. Yani çok çalışmanın yanında, iyi insan ilişkileri gerektirir. Öyleyse önce mesleğe sahip çıkıp, çok çalışacak, kurumlarımızda etkin bir iletişim kuracağız. Mesleğine saygı duyan, çok çalışan ve etkin bir iletişimci olan herkes, çevresinde otomatikman saygı görür. Bunu unutmayın. Siz kendinize saygı duymazsanız kimse duymaz! Yöneticiler ile periyodik görüşmeler ayarlamak önemlidir. Ancak en önemlisi denetim sonuçlarının rapora ek olarak kısa bir sunum ile yöneticiye bildirilmesidir. Raporu sunum haline getirip (20 dk’lık kısa ama etkin sunumlar) yöneticinize sunmaya çalışın. Aktif olun. Raporu yazdım ne olursa olsun demeyin. İşi şansa bırakmayın. Yönetici bu tür bir bilgilendirmeden çok daha fazla hoşnut olacaktır. Etkileşim içinde yapılan işler her zaman daha verimlidir. İç denetimde önemli olan sonuçları duyurmak ve sorumluları eyleme geçirmektir. Rapor, şekli, formatı, vs. teferruattır. Sadece kâğıt işidir. 14 Özel sektörde ve kamuda iç denetçilerin raporlarını ciddiye aldırmaları için yapabilecekleri bunlarla sınırlı değil elbet. Örneğin denetim bulgularının takibine (follow-up) ilişkin bir sistem kurulması ve bu sisteme en üst düzey yöneticinin de dahil edilmesi faydalı bir uygulamadır. Örneğin üst yönetim ile yıl içinde çeyrek dönemler itibariyle, o dönem ve geçmiş dönemlerden kalan denetim bulguları ve bunlara yönelik yönetimin eylem planları ile ilgili toplantılar yapılması sizin yaptığınız iş ve kendinizi anlatmanız için önemlidir. Bu takip sistemini kurup, kabul ettirmeniz inanılmaz büyük bir aşamadır. Takip sistemini kurmak üzerine yoğunlaşmanızı öneririm. Dünyada takip için en iyi uygulama kabul edeceğimiz bir model maalesef yok. İş sizin kurum yapısı ve gerçekleri paralelinde bulacağınız çözümlere bağlı. Son olarak, her zaman yeniliğin, değişimin ve bilimselliğin bayraktarı olmaya çalışmak gerektiğini düşünüyorum. Denklemi olumsuzdan olumluya ancak bu şekilde çevirebiliriz. Raporlarımız ciddiye alınıyor mu sorusuna her iç denetçi farklı bir cevap verecektir. Ancak ileride verilecek tüm cevapların yakınsayacağı görüşündeyim. İleride tüm iç denetim raporları ve çabaları ciddiye alınacak, hak ettiği yeri bulacaktır. Ama zaman önce evimizin önünü süpürme zamanı. Biz işimizi doğru yapalım, gerisi gelecektir. 15 Batan Finansal Kurumlarda İç Denetim Yok Muydu? Geçtiğimiz hafta içinde değerli meslektaşım Turan Yenice’den bir e-posta aldım. Turan Bey mevcut ekonomik çalkantılar ve olası bir krize ilişkin bazı önemli değerlendirmeler yapmış, değerlendirmesinin sonunda ise pek çok iç denetçinin bugünlerde önemli bir konuyu tartıştığını dile getirmişti. Cevap aranan soru, dünyanın dört bir yanında etkileri hissedilen küresel çalkantılar dahilinde batan ya da büyük kayıplar yaşayan dev finansal kurumların, bünyelerinde iç denetim ve iç kontrol sistemleri bulunmasına rağmen, neden bu duruma düştükleri idi. Esasen sitede yayınladığım pek çok blog yazısı ve makalede bu çöküşün nedenlerini ele almaya çalıştım. Özellikle “Dünyada Neler Oluyor” başlıklı yazı bu kurumların neden battıklarını bir iç denetçi perspektifinden açıklama gayreti ile kaleme alınmıştı. Kurumların risk yönetimi ile ilgili zaafiyetlerden dolayı battığını dile getirmiştik. Ancak bu yazılarda kurumların iç denetim sistemlerine ilişkin bir değerlendirme yer almamıştı. Öyle ya, bizler her fırsatta iç denetimin kurum içindeki önemine değiniyor, iç denetimin nelere kadir olduğunu her fırsatta dile getiriyorduk. Peki, sahiden bu kurumlarda iç denetim faaliyeti yok muydu? Eğer varsa ki olduğunu biliyoruz, bu risk yönetim zafiyetleri neden önceden tespit edilmemiş, kurum yönetimleri neden uyarılmamıştı? Yoksa başlı başına bir denetim zafiyeti miydi bu çöküşün sebebi? Batan veya sıkıntıya düşen kurumlara şöyle bir göz atarsak, bunların dünyanın en büyük finansal kurumları olduğunu görürüz. Bu kurumlarda ciddi, tecrübeli ve yetkin iç denetçiler istihdam ediliyor. Bu kurumların iç denetim birimlerinin bütçeleri milyon dolarlarla ifade edilmektedir. İç denetim raporlamaları çoğunlukla Denetim Komiteleri’ne yapılıyor. Yani fonksiyonel bağımsızlık söz konusu. Bu kurumların iç denetçileri her tür teknolojik imkana da sahipler. Bilgisayar destekli denetim tekniklerini kullanıyorlar. İç denetim eğitimleri, seminer 16 ve kongrelerinde eğitmen veya konuşmacı olarak sıklıkla bu Kurumların iç denetçilerini görürüz. Pek çoğunun IIA üyesi ve hatta CIA sertifikası sahibi olduğunu (daha pek çok sertifika sahibi olanlar da vardır) tahmin ediyoruz. Üstelik bu iç denetçilerin kurumlarında raporlama yaptıkları Komite Üyeleri ile Üst Yöneticilere ulaşmada da sıkıntı yaşadıklarını sanmıyoruz. Genellikle kendilerini anlatmakta ve kurum yetkilileri ile aynı dili konuşmakta da bir problem yaşamıyorlar. 90’lı yılların ikinci yarısı ve 2000’lerin hemen başında yaşanan şirket skandalları kurum yöneticilerinin iç kontrol, iç denetim, kurumsal yönetim ve hileli işlemler gibi kavramlar ile tanışmasına, hatta haşır neşir olmalarına yol açtı. (Ör: SOX yasası) Yani çağdaş, risk odaklı iç denetim anlayışı gelişmiş ülkelerin iş dünyası için yeni bir kavram değil. Bu yönde bir iş kültürü ve ortamı oluşmuş durumda. Peki, iç denetimin yaşanan bu kurumsal çöküşler ile ilgili ne sorumluluğu var? İç denetçilerin ihmali söz konusu mu? Bu sorulara cevap verebilmek için bu kurumların iç denetim sistemleri ve iç denetim faaliyetlerinin yapısı ile kapsamını detaylı bir şekilde incelemek gerekir. Gerçekten de bu kurumlarda, sahip olunan onca imkana rağmen, bir iç denetim zafiyeti olabilir. Bunu uzaktan kestirmek çok zor. Biz ancak bazı varsayımlar ışığında bazı sonuçlara ulaşabiliriz. Yani süreci bilmediğimizden sürece değil, sonuçlara odaklanabiliriz. Olayın iç denetim ile ilgili sonuçlarını, kişisel perspektifimizden ele almaya çalışabiliriz. Bu finansal çöküşün bizce temel iki nedeni var; a. Otoritelerin genel olarak mali sektör ve kullanılan türev finansal araçlara ilişkin denetim ve gözetim faaliyetlerinin yetersizliği; b. Kurumların risk yönetim faaliyetlerinin, anlayışlarının ve ciddiyetlerinin yetersizliği. Bunlardan ilki ile ilgili olarak iç denetçilerin bir sorumluluğu bulunmuyor. Olsa olsa mesleki kongre ve seminerlerde türev enstrüman risklerinin dile getirilmesi ve bu konuda mesleki bir kamuoyu oluşturarak düzenleyici ve denetleyici otoriteleri etkileme çabası söz konusu olabilirdi. 17 İkinci konu ise bizce doğrudan iç denetçilerin görev ve sorumluluk sınırları içine giriyor. Evet, bu kurumların risk yönetim sistemlerinin tesisi ve yürütülmesinden Üst Yönetimler sorumludur, ancak iç denetçiler de bu sistemlerin etkin çalıştığına dair güvence vermek ve bu sistemleri iyileştirip, geliştirmeye yönelik destek vermekle yükümlüdür. Kurum bilançolarından dahi bir bakışta tespiti mümkün olabilen bu türev enstrüman risklerinin, iç denetçilerce tespit edilememiş olması muhtemel değildir. Yani iç denetçilerin bu enstrümanlara ilişkin riskleri bildiğini düşünüyorum. Ancak burada üç tür durum söz konusu olabilir; 1) İç denetçiler bu riskleri raporlamış, bunlara yönelik olarak yetkilileri uyarmış, ancak denetim komiteleri ve yönetim kurullarınca ciddiye alınmamışlardır. Yani bu uyarılar göz ardı edilmiştir. 2) İç denetçiler, bu kurumların yatırım karar ve faaliyetlerinin, kurumların risk modelleri (ör; COSO ERM) çerçevesinde tespit edilmiş risk iştahı ve risk toleransları ile uyumlu olduğunu düşündüklerinden, bu yatırımların tür, miktar ve çeşitliliğinden kaynaklanan risklerin kabul edilebilir olduğu değerlendirmesini yapmışlardır. Bu halde, iç denetçiler, bu yatırımların tür, miktar ve çeşitliliğinden kaynaklanan finansal ve stratejik riskleri dikkate almış, risk iştah ve toleransı ile uygunluğunu denetlemiş, ancak kurumsal risk yönetimi modeli ve bu modelin değişkenlerinin (risk iştahı, toleransları ve stratejileri) uygunluğunu değerlendirme altına almamışlardır. 3) İç denetçiler risk yönetiminden ziyade kontrol testleri ve SOX raporlaması (özellikle Amerika’daki iç denetçilerin son birkaç yılda en çok vakitlerini alan konu budur) gibi çok zaman alan zahmetli ve çetrefilli faaliyetler yürüttüklerinden, risk yönetimi sistemi ve faaliyetlerine gereken kaynağı ayırmamışlardır. SOX kanunu kurumlarda iç kontrollerin durumu, işleyişi ve raporlamasından üst yöneticileri doğrudan sorumlu tuttuğundan, üst yöneticilerin, genellikle bilgi sahibi olmadıkları bu hususta münhasıran iç denetçilerden destek istemeleri durumu ortaya çıkmıştır. SOX raporlama faaliyetleri ve kontrol testleri pek çok iç denetim biriminin faaliyet kapsamının en önemli unsuru haline gelmiştir. 18 Bu durumlardan hangisi söz konusu olursa olsun, buradan özellikle ülkemiz için çıkartılacak dersler söz konusudur. Her üç durum da iç denetimin mesleki geleceği ve itibarı açısından hoş değildir. Ancak yaşanan bu son skandallar, iç denetimin önemini ve sorumluluklarını azaltmamış, tam tersi artırmıştır. Görülmüştür ki, risk iştahı kendi kişisel çıkarları doğrultusunda aşırı yüksek olan aç gözlü yöneticilere, bu yöneticileri istihdam eden, onlara göz yummak suretiyle adeta onları teşvik eden yönetim kurullarına karşı iç ve dış denetimin üstleneceği rol ve sorumluluklar çok yakında yeniden şekillenecektir. Bu olaylar göstermiştir ki hissedarlar artık aşırı kar elde etmeye yönelik aç gözlü bir yönetim anlayışını değil, kendileri açısından çok daha faydalı kurumsal yönetim anlayışını talep etmeye başlayacaklardır. Finansal piyasalar ve bu piyasalardaki aktörlerin kapsamlı bir yeniden yapılandırma ile karşı karşıya olacakları açıktır. Olaylarda ihmali olsun olmasın, iç denetimin, bundan böyle çok daha geniş yetki, imkan ve daha fazla örgütsel bağımsızlık ile donatılarak, kurumsal yönetim güvencesi olarak hizmet vermeye devam edeceği inancındayım. Kanımca iç denetimin güçlendirilmiş rol ve sorumlulukları, yeni kanuni düzenlemelerde de yer bulacaktır. Aklı selim bunu gerektirmektedir. Gelişmeleri hep beraber izleyeceğiz. Konuya ilişkin olarak ise iç denetçilerin ihmal veya yetersizlikleri var ise, bu durum ayrıca araştırılıp değerlendirilmelidir. Söz konusu olan iç denetim faaliyetinin kendisi olsa bile hesap verebilirlik ve sorumluluk ilkeleri bunu gerektirmektedir. 19 Bir Kurumun Tepe Yöneticisinin Bakış Açısından İç Denetim Merhaba, Ben Bay X. Y şirketinde genel koordinatör olarak görev yapıyorum. Y şirketi boya sektöründe bir firma. İnşaat boyaları üretiyor ve pazarda ilk üç firmadan biri. Pazar lideri olmak için çabalıyor. Bu görevimden önce boya sektöründen farklı, ancak ilgili bir sektör olan inşaat sektöründe köklü bir firma olan Z şirketinde mali koordinatör olarak görev yaptım. Bu şirketten önce ise bir yapı malzemeleri tedarikçisinde muhasebe müdürü olarak çalışıyordum. Ondan önce ise bir süre kamu sektöründe müfettiş ve iç denetçi olarak çalıştım. Yeni görevimde sorumluluklarım çok büyük. Halka açık bir anonim şirketiz ve SPK kanununa tabiyiz. Bunun yanı sıra bir yabancı ortağımız var. Şirketimiz hisselerinin 0'u yabancı bir ortağın. Hissedarlarımız genel kurula aktif katılım sağlayan, şirket işlerini yakından takip eden, dikkatli ve meraklı bir kitle. Genel kurulumuz tarafından seçilen Yönetim Kurulumuzun Başkanı şirketimizin en büyük hissedarı olan T bey. Başkan Yardımcımız ise kardeşi U bey. Diğer üyeler genellikle diğer bazı önemli hissedarlar ve çeşitli alanlardan profesyoneller. Yönetim Kurulu Başkanı ile dört yıl önce benim de bir sunum gerçekleştirdiğim sektörel bir organizasyonda tanışmıştık. Kendisi beni ve çalışmalarımı oldukça beğenmiş olacak ki ilerleyen günlerde benimle görüşmek istedi. Birkaç kez görüştük. Bana şirketi ve hedeflerini anlattı. Yönetim Kuruluna benden bahsettiğini, çalıştığım şirketlerde sergilediğim performans ve elde ettiğim başarılardan çok etkilendiklerini ifade etti. En son görüşmemizde de açıkça iş teklifinde bulundu. Genel Koordinatör olarak görev almamı istediklerini belirtti. Şirket ile ilgili bazı önemli bilgileri bana bıraktı ve düşünmem için 3 gün süre verdi. Acil bir koordinatör 20 ihtiyaçları olduğunu kısa süre içinde anlaşamaz isek diğer aday üzerinde duracaklarını da belirtti. Özel sektörde işler hızlı yürüyordu ve ben bunu garip karşılamadım. Teklif edilen pozisyon, ücret, sağlanacak faydalar ve şirketin ismi çok çok iyi idi. Ancak karar vermeden önce bana bırakılan belgeleri incelerken bazı noktalar dikkatimi çekmişti. Şirket tam bir aile şirketi idi. 1990 yılında kurulmuş, 1990 lar boyunca da hızlı bir büyüme sergilemişti. Bazı yabancı ülkelere ihracat yapıyor, kazanılan paralar yine işe yatırılıyordu. Yönetim Kurulunu oluşturan aile bireylerinde bitmek bilemeyen bir büyüme azmi vardı anlaşılan. 1994 ve 1999 da küçük çaplı krizler yaşamışlar, ama Yönetim Kurulu Başkanı Bay T nin güçlü liderliği ve vizyonu ile bu krizleri aşmışlardı. Ancak hızlı büyüme 2000 krizinde durmuş, teklifi aldığım seneye gelindiğinde ciddi bir gerileme başlamıştı. Şirket üretimde sorunlar yaşıyor, maliyetler kontrolden çıkmış görünüyordu. Tedarikçiler ile ilişkilerde sorunlar vardı. Tedarikçiler zamanında ve aynı kalitede ürün sağlayamıyordu. Şirket bayi ağında da sorunlar baş göstermeye başlamış, bayiler rakip firmalar ile anlaşmalar yapma yoluna gidiyorlardı. Satışlar azalmış, maliyetler yükselmiş, karlar erimiş, şirket borçlarını çevirmekte zorluk yaşamaya başlamıştı. Böylesi riskli bir şirketin başına geçme noktasında ciddi tereddütlerim oluşmuştu. İşin sonunda binbir güçlükle oluşturduğumuz kariyeri mahvetmek de vardı. Kamudaki siyaset baskısı beni kamudan bezdirmiş, risk alarak özel sektöre, bir akrabamın şirketine geçmiştim. Ancak genç ve hırslıydım. Çok çalışmış, denetim tecrübem ve muhasebe bilgimle şirkette başarılı olmuş, adımı duyurmuştum. Özel sektörde hızlı bir şekilde yükselmiştim. Şimdi alacağım riskin kamudan özele geçmekte aldığımdan çok daha büyük olduğunu, ancak başarırsam bana getirisinin inanılmaz olacağını düşünerek teklifi kabul etmeye karar verdim. 1 ay içinde de genel koordinatör olarak zorlu görevime başladım. Özel sektörde geçmişte yükselmeme, başarılı olmama yardımcı olan en büyük sırrı burada da aynen uygulamaya karar verdim. Bu sır eski mesleğim olan "iç denetim" idi. Eski bir iç denetçi olarak kurum içi denetimin önemini çok iyi biliyor ve her gittiğim kuruma bu bakış açısını götürüyordum. Özel sektörde göreve başladığım diğer 2 kurumda da iç denetim birimi veya iç denetçi görmemiştim. Bu kurumda da yoktu. İşe etkin bir iç denetim sistemi kurmakla başlayacaktım. Ancak sağlıklı işleyen bir iç denetim fonksiyonu tesis edene dek, diğer üst yönetim görevlerimin yanı sıra adeta bir denetçi gibi çalışıyordum. Diğer kurumlarda hep bu şekilde çalışmıştım. Yeni işimde de bu sırrımı uygulamakta tereddüt etmemiştim. İşe başladığım ilk gün Yönetim Kurulu ile tanışma ve karşılıklı beklentilerin aktarılması merasimi sonrası ilk iş olarak şirketin örgüt şemasını istemiş ve şirket içinde dolaşmak ve çalışanlar ile iş başında tanışmak istediğimi söylemiştim. İç denetimden gelen eski bir adetti bu. Denetçi iken denetime gittiğim 21 birimlerde üst yönetim ile toplandıktan hemen sonra servisleri ve çalışma alanlarını gezer, işleri yerinde görür, çalışanlarla tanışırdım. Yeni şirketimdeki ilk günüm tüm şirketi, üretimden pazarlamaya, muhasebeden teknik servise kadar dolaşmak oldu. Gidilmedik yer bırakmamıştım. Birinci günün akşamı odaya döndüğümde gözlemlerimi kâğıda aktardım. İç denetçilikten kalma bir alışkanlıktır, ilk tanışma ve gözlemlerimde bazı şeylere özellikle dikkat ederim; çalışanların morali ve motivasyonu, çalışma alanlarının düzeni, örgüt şemasının fiili işleyiş ile uyumu, çalışanların yaptıkları işler, evrak dolapları, çalışanların iş yapış tarzları benim için önemlidir. Akşam çalışma odamda kâğıda bu gözlemlerimin yanı sıra Yönetim Kurulu, diğer yöneticiler ve beklentileri ile ilgili görüş ve gözlemlerimi de geçirmiştim. Şirketten bana tahsis edilen araba ile ayrılırken, dikkatimi o saatte içeri giren ve fabrika sahasına doğru ilerleyen bir kamyon çekti. Şoförüm S ye merakla sordum nedir bu kamyon diye? Mal almaya giden kamyon dedi. Tedarikçiden geliyor. Belli ki gene geç kalmış. Bu kamyoncular benim yönetimimde olacaktı ki... Depoya malları yığarlar efendim birazdan dedi S. Şirketten en geç çıkanlardan biri olduğuma emin olarak depoda birilerinin olup olmadığını sordum. Genellikle bizim patronlardan birisinin yeğeni durur depoda. Malları teslim alır, depoyu kapatır ve en geç o çıkar. Çalışkan çocuktur dedi S. Kafamda bazı soru işaretleri, yarınki programımı şekillendirirken yol bitmiş. Eve gelmiştim. Ertesi sabah işe erkenden geldim. Gün boyu kafamda şekillenen bazı noktaları gece kâğıda dökmüştüm. İlk tespitlerim çalışanların motivasyon ve yönlendirmesinde ciddi problemler olduğu, kurumda yazılı kural ve politikalar olmadığı, kurum hedeflerinin muğlaklığı ve orta/alt kademelerin bu hedeflerden bihaber olmaları idi. Kısaca çalışanları yönlendirecek, stratejik ve operasyonel direktif sağlayacak bir sistem mevcut değildi. Politika ve prosedür eksikliği de bunun bir parçasıydı. İş yerindeki ilk birkaç haftam şirketi tanımak ve sorunları net bir şekilde, detaylı olarak tespit etmeye odaklanmıştı. Buna ek olarak şirketin kurumsal bir yöne sahip olmadığı gerçeğinden hareket ile sıklıkla Yönetim Kurulu ile toplantılar gerçekleştirerek gidilmek istenen yönü onlarla birlikte tayin etmeye çalıştım. Göreve başladığımın 2. ayı içinde şirketin finans departmanında çalışan ve birkaç sene önce oldukça iyi bir üniversiteden mezun olmuş iki genç işletme mezunu ile bir iç denetim takımı kurmak üzere harekete geçtim. Yabancı dili, bilgisayar bilgisi olan, meraklı ve çalışkan arkadaşlardı. Akşam mesai saati sonrası 2 saat fazladan kalarak bu genç arkadaşlara iç denetim, denetim teknikleri ve şirketin yapısı ve sorunları ile ilgili brifingler verdim. Bu 22 esnada Yönetim Kurulu ile yaptığımız strateji toplantıları meyvesini vermeye başlamış, şirketin kurumsal yönü, yani vizyonu ve misyonu şekillenmeye başlamıştı. Arkadaşlar ile gerçekleştirdiğimiz kısa fakat yoğun seansların tamamlanması sonrası onlara çeşitli görevler vermeye başladım. Öncelikli görevleri tüm birimler ile görüşmeler yaparak birimlerin görevleri ve yaptıkları işler hakkında bilgi toplamaktı. Birimlerin yazılı iş ve görev tanımları bulunmaması işlerini zorlaştıracaktı ama ben bunun altından kalkabileceklerini biliyordum. Bir yandan eski görevlerine devam ederken, diğer yandan da toplantılara gidiyorlar, mesai sonrası ise toplantılarda görüşülenleri bana aktarıyorlardı. Toplantılarda ağırlıklı olarak birimin amacı, görevleri, insan kaynağı, örgüt yapısı, teknolojik donanımı, kullanılan yazılımlar, sorunları, iş iyileştirme önerileri, karşı karşıya oldukları riskler ve bunlara karşı alınan tedbirler ile ilgili bilgi alınmaktaydı. Her bir toplantı ortalama 2-3 saat sürüyordu. Toplantı grupları ilgili birim yönetimi ile bizim yeni denetçilerimizden oluşmaktaydı. Bende ilgili birim başkanlarına bir mail atarak ve bizzat arayarak bu çalışmanın amacı ve hedefleri ile ilgili bilgi vermiş, denetçilere olan desteğimi de göstermiştim. Genç denetçiler ile ağırlıklı olarak mesai saatleri sonrası sıklıkla bir araya geliyor, yapılan işler ve iş süreçlerini birlikte tartışıyorduk. Bir anlamda şirketimizin denetim evrenini belirliyorduk. Yönetim Kurulundaki üyeler ile birlikte vizyon ve misyon tanımlarını kesinleştirip buna ilişkin ortak anlayışımızı şekillendirmeyi tamamladığımızda, kurum amaç ve hedeflerini belirlemek kolaylaşmıştı. Yönetim Kurulu üst yönetim ile kurum hedeflerini belirlerken, bizim küçük iç denetim birimimiz şirketteki tüm birimler ile görüşmeleri tamamlamıştı. Yaklaşık 1 aylık bir araştırma sonrası dışarıda bir danışmanlık firmasından iç denetim alanında tecrübeli bir arkadaşı denetim ekibinin yöneticisi ve aynı zamanda denetçi olarak transfer ettik. Diğer arkadaşları ise muhasebe/finans birimden transfer ederek iç denetim birimine aldık. Muhasebe/finans birimine de yerlerine 2 genç arkadaş temin ettik. Artık denetim ekibimiz 3 kişi olmuştu. Ekibin başında tecrübeli ve yetkin bir iç denetçinin olması doğrusu beni rahatlatmıştı. Kendileri ile gerçekleştirdiğim toplantılarda ekipten beklentilerimi ve ekibin hangi alanlara yönelmesi gerektiğini açıklıyordum. İç denetim ekibinden büyük beklentilerim vardı. En temel görevlerinin kurum çapında operasyonel bir denetim gerçekleştirmek olduğunu belirtmiştim. Daha önceden belirlenmiş olan denetim evreninde, herhangi bir risk değerlendirmesi modeli kullanmadan, birimleri yargısal olarak en riskliden risksize göre sıralamaları ve denetimlere en riskli birimlerden başlamaları konusunda öneride bulundum. Zamanımız azdı ve hızlı sonuç almak zorundaydık. Risk değerlendirmesi işlemi çok 23 önemli olmakla birlikte sonraya bırakılması gerekiyordu. Arkadaşlar önerimi kabul ederek şirketin tüm birimlerini en riskliden en risksize göre çeşitli tartışmalar sonucu aralarında belirleyip, açıklaması ile bana ilettiler. Birkaç ufak değişiklik ile denetim planımız ortaya çıkmıştı. Öncelikle üretim, pazarlama ve muhasebe (muhasebe, finans ve satın alma) alanları denetlenecekti. Bunun nedeninin şirketin pazarlama ve bayi sistemi ile üretim alanlarında önemli sorunlar yaşaması idi. Pazarlama gelirlerin, üretim ise giderlerin ana merkezi olarak denetimden nasibini alacaktı. Muhasebe ise yine oldukça sorunlu olan satın alma ve idari işlerin merkezi olması açısından dikkate alınmıştı. Yürütülecek operasyonel denetimler sırasında 3 adet konuya odaklanılacaktı: denetlenen birimlerin risklerinin belirlenmesi ve bu risklere yönelik iç kontrollerin tespiti bu iç kontrollerin varlığı ve etkinliğinin teyit edilmesi iş ve işlemlerdeki sorunlar ile operasyonların etkinliği ve verimliliğinin değerlendirilmesi. İşe başlamamın üzerinden 4 ay kadar geçmiş, ben üst yönetim ile stratejik doğrultuyu kesinleştirirken, bir kurum açısından en önemli fonksiyonlardan birisi olarak gördüğüm iç denetim fonksiyonunu da tesis etmeyi başarmıştım. Ayrıca şirkette çalışan diğer üst yönetici arkadaşlar ve orta kademe yöneticiler ile kapsamlı bir SWOT analizi gerçekleştirerek, şirketin güçlü yanları, zayıf yanları, karşı karşıya olduğu fırsat ve tehditlere yönelik bir değerlendirme yapmıştık. Bu değerlendirmeler benim kurum içi sorunlara ve sektördeki fırsatlara ilişkin gözlemlerim ile birleştiğinde kısa, orta ve uzun vadeli aksiyon planları ortaya çıkmıştı. Yönetim Kurulu üyelerinden bazıları göreve başlamamın üzerinden 4 aydan fazla bir zaman geçmiş olmasına karşı şirkette somut bir gelişim göremediklerinden yakınıyorlardı. Bu endişelerini de Yönetim Kurulu Başkanı Bay T ile paylaşmışlar, Bay T de konuya ilişkin bilgi sahibi olmam açısından durumu nezaketli ve yumuşak bir dille bana aktarmıştı. Arkamda durduğunu ve yapılan çalışmaların gerekliliğine olan inancını her fırsatta dile getiriyordu. Bazı yönetim kurulu üyelerine göre geçen aylarda yaptığımız tüm çalışmalar fuzuli işler idi. Kurumun vizyonu misyonu veya stratejilerinin belirlenmesi ve iç denetim fonksiyonu tesisi gibi faaliyetler yerine acil olarak pazar geliştirme ve finansal yapılandırmaya yönelik çaba gösterilmesi konusunda şiddetli görüşleri vardı. Biz elbette tehdit ve fırsat analizlerinde bu gereklilikleri tespit etmiş, bunlara yönelik stratejileri belirlemiştik. Ancak acele etmiyor, hızlı fakat temkinli hareketler ile ilerlemeye gayret ediyorduk. Bir toplantı sırasında yönetim Kurulu üyelerinden bir muhasebe profesörünün kısa vadeli tüm borçların döviz cinsine çevrilmesi teklifini kabul etmemiş ve bu teklifin şirketi önemli bir risk ile karşı karşıya 24 bırakabileceği uyarısında bulunmuştum. Birkaç üye daha bu konuda profesör ile aynı fikirdeydi. Onlara göre döviz kurlarındaki düşüş sürdüğü müddetçe bundan faydalanmak gerekmekteydi. Konunun risklerine yönelik bir değerlendirmeleri yoktu. Tek taraflı bir bakış açısı ile yaklaşıyorlardı. Bu ve benzeri bazı fikirlerin ben ve diğer yönetici arkadaşlarım üzerinde baskı oluşturmaya başlaması ile birkaç kere istifanın eşiğinden dönmüştüm. Her defasında Bay T arkamda durduğunu ve benim kararlarında bağımsız olduğumu yineleyerek beni kararımdan vazgeçiriyordu. Sorumluluk duygum ve bu destek birleştiğinde istifa kararımdan vazgeçiyordum. Yönetim kurulu benim ve ekibimin çalışmalarını ve kararlarını sorgulayıp, bizleri zorlarken kısa zamanda gelmesini beklemediğim bazı iyi haberler almaya başladım. Evet sürprizi gerçekleştiren bizim iç denetim ekibi idi. Denetimlere başlamışlar ve daha ilk denetimleri olan pazarlama sürecinde önemli risk ve etkinsizlikler belirlemişlerdi. Önemli olduğunu düşündükleri birkaç noktayı bana ilettiklerinde, kurumun birkaç senedir süre gelen kan kaybının önemli bazı sebeplerinin ortaya çıkmış olduğunu görmüştüm. En önemli ve vahim olarak gördüğüm problem şirketin ar&ge, üretim ve pazarlama birimleri arasındaki korkunç boyuta varmış olan koordinasyon ve iletişim eksikliği idi. Bir yandan denetimden gelen doneler ile ilgilenirken, diğer yandan da Yönetim Kurulundaki bazı üyelerce önerilen ve üzerimde baskı unsuru yaratan hususlar üzerinde çalışmaya başladım. Değerli bir insan olan Yönetim Kurulu Başkanı Bay T yi de zor durumda bırakmak istemiyordum. Ne de olsa özel sektörde farklı, yazılı olmayan bazı kurallar söz konusu idi. İç denetçilerim pazarlama bölümü ile ar&ge arasındaki ilişkinin zayıflığını ortaya koymuşlardı. Pazara en yakın kişiler olan satış ekibi, müşterilerin yani toptancı ve perakendecilerin ihtiyaç ve beklentilerini toplamıyor, sınırlı sayıda topladıklarını ise ar &ge cilere iletmiyorlardı. Bu durumda ar & ge departmanındaki mühendis arkadaşlar piyasa beklentilerini öğrenemiyor, yalnızca gelişmeleri takip etmekle yetiniyorlardı. Bir zamanlar bu firmanın itici gücü olan yenilikçilik artık tarih olmak üzereydi. Pazarda neden gittikçe kan kaybettiğimiz ortaya çıkıyordu. Ürünlerimiz demode kalmaya başlamıştı. Hala geçmişin mirası üzerine iş yapmaya çalışıyorduk. Allahtan piyasada iyi bir ismimiz, bir marka değerimiz vardı. Rakiplerimizin teknolojik açılımlar ile farklı ürün grupları ve ürünler tasarlayıp pazara sürerken, bizim bu yarışta geri kalmış olmamız kabul edilemezdi. Yönetim ekibimi toplayarak 25 durumu kendileri ile paylaştım. Bu toplantı sırasında iç denetçilerin denetimleri sırasında yaptıkları bazı analitik incelemelerin sonuçlarından da faydalanmıştım. Bu analitik çalışmalar son 5 yıllık dönemi kapsayan çeşitli mali ve mali olmayan veriler arasındaki ilişkileri sorgulayan rasyolardan oluşuyordu. Bu çalışma trend analizi, yüzde analizi gibi analitik teknikler ile satış-muhasebe verilerini ilişkilendiren bazı çalışmalardan oluşuyordu. Denetçilerimle toplandığımız günlerde onlara analitik teknikleri kullanmanın öneminden bahsetmiştim. Denetlenecek süreç veya birimlere ilişkin en temel bilgi edinme yollarından birisi idi analitik inceleme teknikleri. İçinde mali tablo analizlerini de barındıran, ancak kurumun mali olmayan; ar &ge sonrası çıkartılan ürün, pazar payı, müşteri memnuniyeti gibi verilerini de incelemeye alan tekniklerdi bunlar. Denetimin henüz başlangıcında, denetlenecek birimler ve süreçler ile ilgili geçmişten bu güne genel bir değerlendirme yapmayı ve olası sorunları ve sorunlu alanları önceden tespit etmeyi hedefleyen çalışmalardı. Denetçilerimiz yaptıkları analizler sonucu Net Satışlar Büyüme Oranı, Net Kar Büyüme Oranı ve Faaliyet Karlılığı gibi oranlarda son 5 yıl itibariyle devamlı bir düşüş, Stok Devir Hızının da yine inceledikleri dönem itibariyle yıllar bazında düşmeye başladığını tespit etmişlerdi. Buna ek olarak bir diğer oran analizi olan Nakit Çevirme Süresi analizi sonucu nakit çevirme sürelerinin de gittikçe uzadığını belirlemişlerdi. Elimde denetçilerin analitik çalışmaları ile risk/kontrol değerlendirmeleri sonucu tespit ettikleri iç kontrol zafiyetlerine ilişkin değerlendirmeler vardı ve bunlar Pazarlama Departmanına yanlış yolda oldukları mesajını verebilmemi sağlamıştı. Kendilerini bu sonuçlarla ilgili sözel ve yazılı olarak bilgilendirdikten sonra bu alalarda acil gelişme sağlamak üzere harekete geçmelerini istedik. Pazarlama yöneticilerinin pek çoğu durumun vahametinin farkına yeni varmıştı. Pazarlama ve finansal yapıyı yeniden organize ederken, bir konuda danışmanlık almaya ihtiyaç duymuştum. Denetçilerimin denetimlerine devam ediyorlardı. Pazarlama departmanından sonra üretim departmanına geçmiş, denetim öncesi ön araştırma faaliyeti (pre-survey) içindeydiler. Bu aşamada denetim açılış toplantısı ile denetimler başlar başlamaz denetlenecek birim ve süreç hakkında bilgi toplanır. Bana göre de bir denetimin en önemli kısmı bu pre-survey veya ön hazırlık denilen aşamadır. Bu aşamada denetime tabi birim veya sürecin yönetici ve çalışanları ile seri toplantılar gerçekleştirilerek yürütülen operasyonlar ve işler ile ilgili detaylı bilgi toplanır. İş ve işlemler yerinde gözlemlenir. Çeşitli anket çalışmaları ile bilgi alınmaya çalışılır. Bu faaliyetin en önemli amaçları süreçte yürütülen işleri anlamak, sürecin amaç ve hedeflerini öğrenmek ve bu hedeflerin kurumun ana amaç ve hedefleri ile uyumunu gözlemlemek, yönetici ve çalışanları tanımak, sürecin sorunlarını tespit etmek, risk ve kontrollerini dokümante ederek bir sonraki adım olan saha çalışmasına hazır olmaktır. 26 Denetçilerimin bu faaliyetler ile ilgili yoğunluğunu bilmeme rağmen, önemli bir konuda danışmanlık hizmeti almak üzere iç denetçi ekibinden bir denetçiyi kendimce önem arz eden bir konuda çalışmak üzere görevlendirmek durumunda kalmıştım. Denetçiler kurum içinde adeta en önemli yardımcım olmuş, önemli katkılar sağlamaya başlamışlardı. Danışmanlık istediğim konu şirket içi çalışanların motivasyon ve iş tatminlerinin tespit edilmesi idi. Denetçime 1 haftalık bir süre vermiş ve şirket içindeki motivasyon düzeyi ve iş tatminini ölçmesini, sonuçları kendi yorumu ile birlikte derleyip bana getirmesini istemiştim. Bu amaçla kısa bir anket düzenlemesi ve odağı iyi belirlenmiş toplu mülakatlar yapmasını önermiştim. Önerilerimi kabul eden genç arkadaşım 1 haftalık bir çalışma sonucu tüm şirketin personel motivasyonu ve iş tatminine ilişkin enteresan sonuçları olan bir çalışmayı tamamladı. Sonuçları kendi görüşü ile bana sözlü olarak sunarken (rapor istememiştim) şirketin ana sorunlarından biri olan verimsizliğin bazı önemli nedenleri de ortaya çıkmaya başlamıştı. Çalışanlar maaş veya çalışma saatlerinden değil şirket içi bazı uygulamalardan inanılmaz rahatsızlardı. Özellikle de orta düzey yöneticiler aşırı bürokrasi ve kağıt trafiğinin işleri aksattığından dem vurmuş, işleri hızlandırmak istediklerini belirtmişlerdi. Alt düzey çalışanlar ise kendilerine net hedefler koyulmaması ve performanslarının ölçülüp, ödüllendirilmediğinden şikâyetçiydi. Pek çok çalışanın kuruma sadık olması ve şirkete bağlılığı sevindiriciydi. Mini danışmanlık görevinde başarı sağlayan ve beni bilgilendiren denetçime teşekkür ettikten sonra şirketimizin insan kaynaklarından sorumlu İdari ve Mali İşler Müdürü Bay M ve diğer üst düzey yöneticiler ile konuyu masaya yatırdım. Sorun şirketimizin bir insan kaynakları politikası olmaması idi. Bu ölçekteki bir firmada, üstelik bürokrasinin kol gezdiği bir kurum kültüründe, yazılı olmayan ve çalışanlar tarafından bilinmeyen bir insan kaynağı politikasının eksikliği en önemli problemlerden biri olarak kendisini gösteriyordu. Bu konu ile ilgili olarak piyasadaki en iyi uygulamalar konusunda bilgi almak üzere eski bir arkadaşımı şirket yöneticilerine brifing vermesi için davet ettim. Keyifli, yarım günlük bir konferans sonrası piyasadaki en iyi uygulamalar ile kendi uygulamalarımız arasındaki farklar net bir şekilde ortaya çıkmıştı. Arkadaşım bize bu konuda gönüllü olarak yardım edebileceğini söylemişti. Arkadaşlar arası mesleki dayanışmanın önemini bilen ve kendim de elden geldiğince bilgili olduğum alanlarda arkadaşlarıma yardımcı olmaya çalışan biri olarak, arkadaşımın yardımının bize ne kadar büyük zaman kazandıracağını görebiliyordum. Şirketin amaç ve hedefleri ile stratejik yönünün net bir şekilde çizilmesi, iç denetim fonksiyonunun tesisi, mali yapısının reorganizasyonu (Yönetim Kurulu Baskı ile) ve pazarlama fonksiyonunun iyileştirilmesi 27 sonrası sıra, bir kurumun en önemli varlığı olarak gördüğüm insan kaynaklarına dair politika ve uygulamaların oluşturulmasına gelmişti. Yolumuz uzun ve zorluydu. Bu yolda iç denetçilerin varlığı yönetim ekibinin diğer üyelerine de güven vermeye başlamıştı. Yönetim Kurulu Başkanımız şirkette esmeye başlayan değişim rüzgarının farkında olduğunu ve bu konudaki memnuniyetini dile getirmişti. Ancak iç denetim konusunu, denetçilerin fonksiyonunu hala pek anlayamadığını, kendisi ve diğer yönetim kurulu üyelerine bir brifing vermemi rica ediyordu. Bir sonraki toplantıda iç denetim fonksiyonu ve iç denetçilerin kurum içindeki rolleri konusunda bir sunum yapmak üzere sözleştik. Sürpriz olan brifinge denetçi arkadaşlarımın da çağırılmasıydı. Anlaşılan Yönetim Kurulu iç denetimi önemsemeye başlamıştı. Yönetim Kurulu Başkanı Bay T’nin benden istediği iç denetim sunumunu iç denetim birimindeki 3 arkadaşımız ile birlikte hazırladık. Eski bir iç denetçi olmam dolayısı ile bu konuda hatırı sayılır bilgiye sahip olmama rağmen sunumu üç denetçi arkadaşımdan en tecrübeli olanı olan Bay E nin yapmasını istemiştim. Bay E ye çok teknik bir sunum yapmamasını, konuyu basit bir dille anlatması gerektiğini söyledim. Yönetim Kurulu Üyelerinin iç denetim ile ilgili sağdan soldan duydukları dışında bilgisi yoktu. İç denetimin ne olduğunu ve ne fayda sağlayacağını herkesin anlayacağı şekilde anlatmalıydık. Ancak elbette bu kolay bir iş değildi. Meslek dışından gelen, meslek tecrübesi olmayan veya daha önce iç denetçiler ile çalışmamış kişilere iç denetimi anlatmak ciddi zorlukları olan bir işti. Ancak bir o kadar da önemliydi. Denetim birimlerinde çalışırken iç denetim ve iç denetim kavramları üzerinde önce denetim birimi içinde, sonra çalıştığımız kurum içinde ve nihayetinde de iç denetim camiası ile hemfikir olmamız gerektiğini savunurdum. Bir kavramdan tüm ilgili taraflar aynı şeyi anlamalı, aynı anlamı çıkarmalıydı. Bu nedenle de teknik ifadelerden ziyade somut örnekler ile iç denetimi anlatmak, kafalarda yer edinmesini sağlamak gerekecekti. İç denetim ekibimiz ve ben sıkı bir hazırlık dönemi sonucu yönetim kurulunun karşısına çıkmaya hazırlanmıştık. Benim önerimle yönetim kuruluna ek olarak üst düzey diğer yönetici arkadaşlarımızın da brifinge katılımları sağlanarak herkes için uygun bir zamanda iç denetim tanıtım sunumumuzu gerçekleştirdik. Sunuma iç denetimin genel kabul görmüş tanımı ile başlamıştık: “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk 28 yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur” Bu tanımı paylaştıktan sonra bu tanımın üzerinde durmaya karar vermiştik. Zaten sunum sırasında Yönetim Kurulu Üyelerinden peşi sıra sorular gelmeye başlamıştı. Sorularda risk yönetimi, iç kontrol, yönetişim, sistemli, disiplinli, süreç gibi kavramların ne anlama geldiği sorulmuştu. Bu sorular ve sunum sırasında verdiğimiz cevaplar şu şekildeydi: Soru: Risk Nedir? Risk Yönetimi Nedir? Risk bir kurum, birim veya faaliyetin hedeflerine ulaşmasını engellemeye yönelik bir tehdit içeren potansiyel sonuçlardır. Yani riskler hedefleri ulaşmayı engeller. Risk Yönetimi ise, bir kurumun karşı karşıya olduğu risklerin tanımlanması, ölçümlendirilmesi ve önceliklendirilmesi (yani risk değerlendirmesi) sonrası başlayan, bu risklere yönelik tedbirlerin alınması ile devam eden ve nihayetinde de bu risklerin sürekli olarak takibi ve mevcut tedbirlerin etkinliğinin değerlendirilmesi ile sona eren bir süreçtir. Kurum içi ve dışında kurumu ilgilendiren riskler belirlendikten sonra, bu riskler bir önem ve öncelik sırasına sokulmak üzere ölçülür, yani puanlanır. Tüm bu işlemlere de “risk değerlendirmesi” işlemi denir. Ardından belirlenen bu riskler tek tek veya gruplar halinde ele alınmak sureti ile bunları etkisiz hale getirmeye yönelik “risk yönetim” stratejileri geliştirilir. Kısaca risk yönetimini kurum çapında “risk avcılığı” olarak tanımlamak mümkündür. Avlanacak olan hedefler tespit edilir. Öncelik sırasına konur. Nişan alınır ve hedefler bu sıraya göre vurulur. İşte hedeflerin belirlenip öncelik sırasına koyulması “risk değerlendirmesi” vurulması esnasında kullandığımız tüm teknik ve araçlar “risk yönetimi” olarak ifade edilebilir. Soru: Riske birkaç örnek verebilir misiniz? Örneğin, şirketimiz boya üretiyor. Ürettiğimiz boyaların içinde sağlığa zarar veren bir madde bulunması nedeni ile insanların zarar görmesi hukuki sonuçlar ile itibar sorunlara yol açabilir. Burada ürettiğimiz boyaların içinde sağlığa zararlı madde bulunması bir “tehdit” olarak nitelendirilir. Bu tehdidin gerçekleşmesi, yani bu maddelerin üretimde kullanılması ise bir “sonuç” a yol açabilir. Bu sonuç insanların zarar görmesi nedeni ile hakkımızda dava açılması ve kamuoyundaki imajımızın zedelenmesidir. İşte bu iki sonuç sırasıyla yasal risk ve itibar riskleridir. Risk etki ve olasılık kavramları ile ölçülür. Olasılık riskin gerçekleşme sıklığı veya ihtimali, etki 29 ise yol açacağı zararın boyutudur. Örneğimize dönersek, var olan bir tehdit gerçekleşmesi halinde, iki sonuca yol açmaktadır. Dolayısı ile iki risk söz konusudur. Hukuki riskin gerçekleşmesi sonucu maddi kayıplarımız riskin etki boyutunu, bu tip bir tehdit nedeni ile riskin gerçekleşme ihtimali de olasılık boyutuna işaret eder. Benzer şekilde itibar kaybı nedeniyle satışlardaki ve hisse değerlerindeki düşüş de söz konusu itibar riskin maddi bir etkisidir. Bir riskin gerçekleşmesi için mutlaka bir hedefe ulaşmayı engelleyecek bir tehditin belirli bir olasılık dahilinde gerçekleşmesi ve belirli bir etki yaratması gerekmektedir. Yani örneğe dönersek zararlı maddelerin tedarikçilerde satılıyor olması bir tehdit değildir. Bizim bu maddeleri alarak üretimde kullanmamız bir “tehdit” oluşturmaktadır. Etkiyi ölçmek olasılığı ölçmekten kolaydır. Olasılığı sağlıklı bir şekilde ölçmek çoğu zaman mümkün değildir. Bu nedenle olasılıklar belirli ölçüde subjektif değerlendirmelere tabidir. Risk Yönetim Stratejileri Neler Olabilir? Risk yönetiminde farklı risklere farklı stratejiler geliştirmek mümkündür. Riskin yapısı ve yaratacağı etki kadar kurumun bu riski yönetmek için ayırabileceği kaynaklar, kurumun risk iştahı, risk kültürü gibi pek çok faktör strateji seçimini yakından etkilemektedir. Riskle ilgili stratejilere bakıldığında genel anlamda riskten kaçınma, riskin transferi, riskin paylaşılması, riskin kabul edilmesi ve riskin kontrol edilmesi gibi alternatifler söz konusudur. Bazı riskler sigorta bedeli karşılığı 3. şahıslara transfer edilirken, bazı riskler olduğu gibi kabul edilebilmektedir. Bazı risklerden kurtulmanın tek yolu o riski almamak yani riski doğuran faaliyete son vermektir. Riskten kaçınma stratejisi budur. Riskin pek çok kere paylaşılması yani doğurabileceği sonucun diğer şahıslarla birlikte karşılanması yolu seçilebilir. Riskin kontrol edilmesi ise genellikle en geçerli ve uygun maliyetli çözüm olup iç kontroller ve iç kontrol sistemi yoluyla risklerin azaltılıp, makul seviyelere indirilmesi anlamı taşır. Risk Yönetiminden Kim Sorumludur? Risk yönetimi diğer pek çok yönetim faaliyeti gibi kurumun üst yönetiminin sorumluluğudur. İç denetçiler riskleri bizzat yönetmez. Risk yönetimi ile ilgili kararlar almaz, risk yönetim fonksiyonunu işletmez. İç denetçilerin risk yönetimi ile ilgili sorumluluğu risklerin Yönetim Kurulu adına izlenmesi ve risk yönetim faaliyetinin etkinliğinin değerlendirilmesidir. İç denetçiler kurum için mevcut risklerin kurumun kabul edilebileceği düzeylerde yönetildiğine dair Yönetim Kuruluna makul güvence sağlar. 30 İç Kontrol Nedir? İç Denetimin İç Kontroller ile ilgili sorumluluğu nedir? İç kontrol kurumun üst yönetimi ve çalışanlarınca yürütülen, kurumun genel olarak amacına ulaşmasına engel olabilecek riskleri hem stratejik düzeyde hem de iş süreçlerinde azaltmak, makul düzeylere indirmek üzere alınan tedbirlerdir. İç kontrol sistemi veya süreci dediğimizde kurumda var olan tüm iç kontrol faaliyetleri ve tedbirleri akla gelir. Bir kurumun iç kontrol sistemi genel olarak aşağıdaki alanlardaki hedefleri gerçekleştirmek amacıyla tesis edilir: Operasyonel ve finansal raporlamaların güvenilirliği Operasyonların etkinlik ve verimliliği Mevzuat ve düzenlemelere uygunluk İç denetçilerin iç kontroller ile ilgili yönetsel bir sorumluluğu yoktur. Yani iç kontrol sisteminin kurulması ve yönetilmesi kurum yönetiminin sorumluluğudur. İç denetçiler iç kontrol sisteminin ve sistemi oluşturan iç kontrollerin varlığı ve etkinliğinin değerlendirilmesi ve iç kontrol sisteminin riskleri yönetmede yeterli olduğu noktasında Yönetim Kuruluna makul güvence vermek amacını güder. İç kontroller üretimden pazarlamaya, insan kaynaklarından muhasebeye kadar kurumun tüm birimlerinde var olup, bunların etkinliği bir kurumun amaç ve hedeflerine giden yolda sağlıklı bir şekilde ilerlemesine imkan sağlar. Örneğin, şirketimizin üretim hattında yaşanan bazı operasyonel problemler üretim maliyetlerini, dolayısıyla da ürünün maliyetini ve doğrudan satış fiyatını da etkiler. Satış fiyatı da ürünün pazar payında önemli bir değişkendir. Görüldüğü üzere problemlerin daha kaynağında tespit edilmesi ve bunlara çözümler geliştirilmesi bir şirketin pazar payını etkilemektedir. İç denetimin rolü, Yönetim Kuruluna iç kontrollerin kurumu doğru bir istikamette tuttuğuna dair makul güvence vermektir. Yönetişim Nedir? İç Denetimin Yönetişim ile ilgili görevleri nelerdir? Yönetişim veya diğer bir deyişle Kurumsal Yönetim özünde şirketlerin hissedar ve diğer menfaat sahiplerine, yani paydaşlarına en yüksek yararı sağlayacak biçimde yönetilmelerini amaçlayan bir yönetim tarzı ve felsefesidir. Son birkaç yıl içinde yaşanan ve büyük yankılar uyandıran şirket skandallarının ana sebebi şirket yönetimlerinin şirketleri asıl hak sahibi olan hissedarların yararına değil, kendi bireysel çıkarları doğrultusunda yönetmeleriydi. İşte bizim şirketimizde de benzer bir durumun yaşanmaması amacıyla yöneticilerin performansları ve faaliyetlerinin denetlenmesi, yöneticileri bu tür davranmaktan alıkoymaya yönelik gözetim mekanizmalarının kurulması önem taşımaktadır. İşte iç denetimin kurumsal yönetim ile ilgili 31 görev ve sorumlulukları burada devreye girmektedir. İç denetim operasyonel faaliyetler ile yönetsel faaliyetleri risk odaklı bir yaklaşım ile denetleyerek, yönetimin şirketi belirlenmiş amaç ve hedefler doğrultusunda yönettiğine dair Yönetim Kuruluna makul güvence sağlar. Ayrıca iç denetçiler Kurumsal Yönetim ilkeleri olan şeffaflık, sorumluluk, hesap verilebilirlik ve adillik ilkelerini kurum genelinde yaymak, desteklemek ve tanıtmak misyonuna da sahiptir. Neden Yönetim Kurulu? Risk Yönetimi, İç Kontrol ve Yönetişim süreçleri ile ilgili bizim sorumluluklarımız nelerdir? Yönetim Kurulları, hissedarlar tarafından onların haklarını korumak ve şirketi hissedarlara en fazla fayda sağlayacak biçimde yönetmelerini sağlamak amacı ile teşkil olunmuş yapılardır. Hissedarların bir kısmı bizim şirketimizde olduğu gibi aynı zamanda yönetim kurulunda da olabilir. Ancak bazı şirketler halka açılmakta veya yabancı ortak almaktadır. Bu durumda hem bu yeni hissedarların hem de eski hissedarların haklarını korumak amacı ile şirketi yöneten profesyonel yöneticiler üzerinde bir kontrol mekanizmasına ihtiyaç duyulur. İç ve dış denetim bu bağlamda önemli araçlardır. İşte bu kontrol mekanizmalarını sağlamak da Yönetim Kurulunun sorumluluğudur. Bunun haricinde şirketin hissedarlara maksimum fayda sağlayacak biçimde yönetilmesi için öncelikle kurum yönetiminin buna yönelik amaç ve hedefleri olması, sonra da bu amaçlara dönük risklerini iyi yönetmesi gerekmektedir. Burada risk yönetimi ve iç kontrol süreçlerinin sağlıklı olması önem taşır. Bu sistemlerin sağlıklı olup olmadığına dair güvenceyi Yönetim Kuruluna iç denetçiler sağlar. Ayrıca tüm dünyada Yönetimin seçilmesi ve performansının izlenmesi elbette ki Yönetim Kurulunun sorumluluğundadır. Ancak bazı kurumlarda Yönetim Kurullarının ağır iş yükü ve daha farklı stratejik boyutlu işlerin takipçisi olmaları nedeniyle, yukarıdaki yönetişim, risk ve iç kontrollere ilişkin izleme ve değerlendirme görevlerini kendi içlerinden veya dışarıdan uygun adaylar arasından seçtikleri, bu kişilerce oluşturulan farklı organlara delege ettikleri görülmektedir. En iyi uygulamalarda, Denetim Komitesi olarak bilinen bu kurullar, Yönetim Kurulları adına kurumun bazı yasal düzenlemelere uyumu ile hissedar çıkarlarına uygun hareket edildiğine dair görevler üstlenirler. İç denetim birimleri de fonksiyonel olarak bu kurullara raporlama yapar. Bu kurullar kurum yönetim kuruluna bağlı olarak, ancak kurum üst yönetiminden bağımsız görev yapmaktadır. Tüm bu soruların ardından yeni sorular geleceğini biliyorduk. Ancak Yönetim Kurulu üyelerimiz brifingimizin bu ilk bölümünden fayda sağlamış gözüküyordu. Bu da brifing sırasında bizleri motive etmişti. Bir sevindirici gelişme de gerek yönetim kurulu üyeleri, gerekse de yönetim ekibinin kurumsal yönetim, risk yönetimi ve iç kontrol kavramları ile bu kavramlara ilişkin görev ve sorumluluklarını daha iyi kavramaları idi. 32 Brifingin ikinci kısmı öncesi verdiğimiz kısa ara boyunca da bu kavramlar ile ilgili tartışmaya devam etmemiz, konuya gösterilen ilgiyi göstermekteydi. Şirketimizin Yönetim Kurulu üyeleri ve yöneticileri ile gerçekleştirdiğimiz iç denetim tanıtım toplantımızın ilk bölümü istediğimiz gibi verimli geçmiş, ana hedefimiz olan dikkati çekmeyi başarmıştık. İlk bölüm sonrası verdiğimiz çay kahve arasında, katılımcılardan çok farklı, ilginç, daha önce üzerinde düşünmediğimiz konularla ilgili sorular geliyordu. Cevaplayabildiklerimizi cevaplıyor, cevap veremediklerimizi ise konu ile ilgili araştırma yapıp geri döneceğimizi nezaket içinde ifade ederek geçiyorduk. Bir iç denetçi açısından her şeyi biliyor gözükmek veya bilmediğimiz hususlar üzerinde fikir beyan etmenin hatalı olacağını düşünerek iç denetim meslek hayatım boyunca hep temkinli davranmıştım. Ne de olsa bir iç denetçi açısından en önemli hususlar itibar ve güvenilirlik idi. Toplantının ikinci bölümüne iç denetçiler ve sunacağı hizmetler ile ilgili bilgi vererek devam ettik. İç denetçilerin görevleri süresince pek çok farklı rolü üstlendikleri hususuna dikkat çektik. İç denetçilerin temel odağının hata bulmak değil; değer katmak olduğuna sürekli vurgu yapıyorduk. Bu bağlamda iç denetçilerin denetim elemanları olmakla birlikte, yeri geldiğinde birer finansal analist, yeri geldiğinde danışman, gerektiğinde risk değerlendirmecisi gibi farklı roller üstlenebileceği, bunların temelde kuruma değer katmak amaçlı roller olduğuna dikkat çekmiştik. “İç denetim, hem genel hedef ve amaçlara ulaşma konusunda, hem de iç kontrol ve yönetişimi güçlendirme konusunda üst yönetim ve yönetim kurulu için değerli bir kaynaktır” dediğimizde Yönetim Kurulu Başkanımız Bay T bize bir soru yöneltti: “İyi güzelde bu değer katma işine nereden başlayacaksınız. Risk Yönetimi, İç Kontrol ve Yönetişimden bahsettiniz. Bizim şirkete bakarsak Risk Yönetimi ve Yönetişim süreçlerinin hali hazırda mevcut olmadığını, iç kontrollerin ise dağınık şekilde operasyonlar içinde yer aldığını görüyoruz. Ana amacınız bu üç konuda değer katmak ve bu üç alandaki süreçleri iyileştirmek ise, siz işe nereden başlayacaksınız, nasıl değer katacaksınız?” Aslında bu soruyu bekliyorduk ve hazırlıklıydık. Sözü arkadaşlarımdan isteyerek bu soruyu ben cevaplamak istedim: 33 “Kurumlarda risk yönetimi, iç kontrol ve yönetişim süreçlerinin bir sisteme dayanmaması veya açıkça sınırları çizilir vaziyette bulunmaması iç denetim açısından elbette ki arzu edilen bir durum değildir. Yani etkinliğini arttırmaya çalıştığımız bir şeyin önce tanımlanabilir olması gereklidir. Bu bağlamda iç denetim faaliyetinin temel önceliği içinde bulunduğu kurumu ve faaliyetlerini tanımak, amaç ve hedefleri bilmek ve bu öncelikler paralelinde gerçekleştireceği denetimler ve danışmanlık hizmetleri sonucu elde edeceği bilgi ile kurumun risk yönetim, iç kontrol ve yönetişim süreçlerinin daha tanımlanabilir, sistemsel ve en iyi uygulamaları gözeten bir çerçevede ele alınmasını ve değerlendirilmesini sağlamaktır. Yani bu süreçlerin adının konmamış ve sistemli halde uygulanmıyor olması bunların kurumda bulunmadığı anlamına gelmez. Önemli olan iç denetçilerin mevcut durumu tespit edip, olayın sistemsel boyuta taşınmasına yardımcı olmalarıdır. İç denetçiler Kurumlarının risk yönetimi, iç kontrol ve yönetişim alanlarında bulundukları konumun fotoğrafını çeken, eksiklikleri tespit eden, bunları Yönetim Kurulları ve Üst Yöneticiler ile paylaşan ve sorumluları (Yönetim Kurulları Ve Üst Yöneticiler) yukarıdaki üç süreci genel kabul görmüş sistemler dahilinde daha iyi yönetmeye teşvik eden profesyonellerdir. Yani özetlemek gerekirse; kurumumuzun iç kontrol, risk yönetimi ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacı ile önce kurumumuzun iş süreçlerini denetleyeceğiz. Bu denetimlerin öncelikli amacı kurumun karşı karşıya olduğu riskler ve bu risklere yönelik kontrollerin sağlıklı olup olmadığı. Sonra bu denetimler sırasında elde ettiğimiz bilgi ve deneyimi, risk yönetimi, iç kontrol ve yönetişim alanlarındaki güncel en iyi uygulamalar ile karşılaştırmak suretiyle kurumumuzun mevcut durumunu ortaya koyacağız. Bir sonraki aşamada ise bu en iyi uygulamaları kurumuza adapte etmek ve uygulanmalarını sağlamaya yönelik olarak Üst Yöneticilere danışmanlık hizmetleri sağlayacağız. Yani denetim hizmetlerini danışmanlık hizmetlerini daha etkin ve sağlıklı sunabilmek için bir basamak olarak kullanacağız. Ancak tüm bu danışmanlık hizmetlerini sunarken de denetim hizmetlerini asla aksatmadan, kurumda işlerin amaç ve hedefleri gerçekleştirmeye yönelik olarak etkin ve verimli bir şekilde yürütüldüğüne ve iç kontrollerin kurumu doğru rotada tuttuğuna dair güvence vermeye devam edeceğiz” Cevabımı bitirir bitirmez, mali işlerden sorumlu yönetim kurulu üyesi olan ve göreve başladıklarından bu yana iç denetçiler ve iç denetim faaliyetlerine temkinli yaklaşan Prof M. Günün başından beri beklediğimiz o can alıcı soruyu sormuştu: 34 “Sizi ve iç denetçi arkadaşları büyük bir keyifle dinledik. Anlattıklarınız hakikaten de ilgi çekici. Ancak bizim kurumun bahsettiğiniz diğer iç denetim hizmetlerine neden ihtiyaç duyduğu konusu benim için yeterince net değil. Yani şirketimiz için iç denetim birimi veya faaliyeti kurulması konusunda yasal bir zorunluluk yok. Evet, teftişe, yani iş ve işlemlerin geçmişe dönük olarak sorgulanmasına bende sıcak bakıyorum. Ama risk yönetimi, iç kontroller, yönetişim alanlarında denetim ve danışmanlık yolu ile kuruma değer katmak hem maliyetli hem de uzun sürecek bir süreç gibi geliyor bana. Bu maliyeti neden göze alalım veya daha doğru ifadeyle mevcut ölçeğimizde neden bu tür bir hizmete ihtiyaç duyalım. Şirket Yöneticilerimiz risklerin yönetilmesinde veya operasyonların verimliliği hususunda neden iç denetçi desteğine ihtiyaç duysun ki?” Prof M. nin kendi düşüncelerini bir soru ile özetlediği yorumu, salondaki tüm bakışları iç denetçilerin hamisi konumundaki bana yöneltmişti. Aslında kafalardaki şüpheleri yok etmek açısından iyi bir fırsat olmuştu bu soru. Cevabı verirken iç denetçi arkadaşların notlar aldıklarını görüyordum: “Bu gün çok çeşitli sektörlerde birçok orta ve büyük ölçekli firma bir iç denetim sistemine sahiptir. İtibara dayalı sorumlulukları olan borsaya kote firmalar, bankalar ve diğer finansal kurumlarda ise bildiğiniz üzere bu bir gerekliliktir. Diğer şirketlerde iç denetim sistemine sahiptirler çünkü iç denetim sistemi Denetim Komitesi ve üst yönetime güvence sağlayan yönetimsel kontrolün değerli bir parçası olarak algılanır ve yatırımcılar ile kreditörler için işletmenin kredibilitesine değer katar. Yani iç denetim klasik yönetim fonksiyonlarından biri olan kontrol etme fonksiyonunun önemli bir aracıdır. Kabul etmek gerekir ki daha küçük organizasyonlarda yöneticiler günlük faaliyetleri etkin bir şekilde yönetebilecek ve çalışanların işlevlerini takip edebilecek yeterlilikte yakındırlar. Ancak işletme büyüdükçe ya da faaliyetler karmaşıklaştıkça yönetim çalışanların faaliyetlerini kontrol etmekte zorlanacak ve birebir takipler yerini iç kontroller ve iç kontrol sistemlerine bırakacaktır. Bizim şirketimiz sektörde önemli bir oyuncu olup, yıllar itibariyle gerek mali durum, gerekse de operasyonlar itibariyle belirli bir büyüklüğe ulaşmış durumdadır. Büyük üretim hatları, karmaşık dağıtım kanalları, yurt dışı irtibatları ve önemli büyüklükte kabul edebileceğimiz bir örgütsel yapısı vardır. Bu nedenle, iç denetim hizmetlerinin değer katabileceği ve maliyetinin üzerinde fayda sağlayabileceği bir iş ve örgütsel büyüklüğe sahiptir. Böylesi bir ölçek yukarıda bahsi geçen üst yönetimin kontrol fonksiyonun icrasını güçleştirmekte, bu kontrol faaliyetlerinin desteklenmesini zorunlu kılmaktadır. 35 İşte bu nedenle iç denetim sistemi bulunmayan organizasyonlar, eğer boyutları ve faaliyetlerinin türü, sermaye kaynakları ve risk faktörleri gerektiriyor ise, bir sistem kurmaya mutlak önem vermelidirler. Tüm bu koşulların bir iç denetim birimine sahip olmak adına firmamız açısından geçerli olduğunu düşünmekteyim. Tüm bu görüşlere ek olarak bir kurumun yönetsel ve operasyonel faaliyetlerinin, Yöneticilerden bağımsız ve objektif olan, yetkin kişilerce sistematik olarak değerlendirilmesinin iş ve işlemlerin çok daha etkin ve amaçları destekler şekilde yürütülmesine katkı sağlayacağını da düşünmekteyim. İç denetim tanıtım toplantımız sonrası size yapacağımız ve denetçi arkadaşlarımız tarafından dört aydır yürütülen denetim faaliyetlerinin sonuçlarına ilişkin sunumun, iç denetimin kurumumuz açısından önemini ortaya koyacağını göreceksiniz” Bay T tekrar bir soru sormak üzere söz almıştı. “Diyelim ki şirketimizin gerçekten de bu hizmetlere ihtiyacı var ki ben kişisel olarak olduğunu düşünüyorum. Denetçi arkadaşlarımız bu yükü nasıl kaldıracaklar? Pek çok farklı ve yoğun faaliyet söz konusu, denetimler, danışmanlıklar, vs. Ekibi takviye etmek gerekecek mi sizce? Soruyu oldukça beğenmiştim. Gerçekten de bir iç denetim Birimi açısından en önemli unsurlardan bir tanesi de tahsis edilecek iç denetim kaynakları idi. Soruya cevap verirken salonda konuya ilginin arttığını da gözlemlemekteydim; “İç denetim fonksiyonları, denetledikleri alan ve riskler açısından uygun tecrübe ve yetenekte birbirini tamamlayan yeterli personele ihtiyaç duyar. Personelin kendi uzmanlık alanlarında süregelen bir eğitim almaları icap ettiği gibi kurum içindeki teknolojik ilerlemeleri ve organizasyonel değişiklikleri birebir takip etmeleri zorunludur. Aynı zamanda, İç denetim fonksiyonu koordineli uygulamalarla dış denetçilere destek olmalıdır. Bu nedenle risk, iç kontrol ve yönetişim alanları ile ilgili mesleki bilgi dışında muhasebe, finans ve mali raporlamalar ile ilgili bilgi sahibi olmak da önem taşır. Bu nedenle etkin bir iç denetim fonksiyonu oluşturmak için önce yetkin iç denetçilerin istihdam edilmesi gerekir. Kesinleşmiş bir kural olmamakla birlikte, kurumun personel sayısının %1-2’si oranında yetkin iç denetçi istihdam edilmesi genel kabul görmektedir. Elbette ki bu sayı sektör, şirket organizasyonu ve faaliyet yapısı ile işin niteliğine göre önemli ölçüde değişiklik gösterebilir. Organizasyon denetim faaliyetleri için kurum içinde ayrı bir İç Denetim Departmanı oluşturabileceği gibi süregelen görevlerde bir kısım denetim uygulamalarını görev tanımına ekleyebilir. İç Denetim Departmanı diğer bölümlerde çalışan personeli de denetim ekiplerinin bir parçası olarak geçici veya kalıcı olarak bünyesinde bulundurabilir. Örneğin bizim iç denetçi arkadaşlar 36 şirket içi farklı bir departmanda çalışırlarken tarafımca görevlendirildiler. Yine tarafımca önemli bir eğitime tabi tutuldular. İç denetçilerin dışarından temin edilmesi de diğer bir yöntemdir. Eğer uygun görülür ve resmi bir iç denetim departmanı kurmak konusunda sizlerle fikir birliği sağlar isek, iç denetim ekibinin geri kalan kısmını dışarıdan istihdam edeceğimiz tecrübeli iç denetçilerden oluşturacağız. İç denetim muhtelif bilgi, beceri ve deneyimi gerektirmektedir. Bu becerileri bünyemize katmamız gerekecek. Bu nedenle Sayın Bay T’ nin yorumuna katılıyorum. Kurumumuzun yapısı ve gereksinimleri göz önüne alındığında çağdaş ve etkin bir iç denetim fonksiyonu kurmak adına iç denetim ekibimizi güçlendirmemiz gerekecek. Bu sayede daha önce bahsettiğimiz değer katma misyonu paralelinde, çok farklı alanlarda iç denetim fonksiyonundan faydalanmak mümkün olacaktır. Söze devam ederken çay ve kahve servisinin açılması ile ikinci arayı vermiş oluyorduk. Arada Prof. M. yanıma gelerek kurumun iç denetçi ihtiyacına yönelik olarak kafasındaki diğer bazı şüpheleri paylaştı. Kendisini ikna etmek oldukça zor olacağa benziyordu. Bertan KAYA (TCMB İç Denetçisi), http://www.bertankaya.net/ (Erişim: Ekim 2008) 37