İç denetim nedir? -...

1

İç Denetim Nedir? Bertan KAYA/Merkez Bankası İç Denetçisi

Günümüzde iş dünyasında iç denetim ile ilgili ciddi bir kavram karmaşası yaşanıyor. İç

denetim kavramının ne olduğu ve ne olmadığı genellikle bilinmiyor. Özellikle 2000 li yıllardan

itibaren dünyada meydana gelen bazı kurumsal ve mali skandallar sonrası önemi artmaya

başlayan bir kavram iç denetim. Amerika gibi gelişmiş, büyük piyasalarda bu skandallar

sonrası iç denetim fonksiyonu ve iç denetçilerin önemleri oldukça artmış durumda. SOX gibi

güçlü yaptırım gücüne sahip düzenlemelerin iç denetçilerin kamuoyu nezdindeki itibarını bir

hayli arttırdığı bir gerçek. Özellikle Amerika’da başlayan ve diğer Batılı ülkeler tarafından da

itibar gören bu ve benzeri yasal düzenlemelerin ülkemizde de bazı yansımaları oldu. 2000

sonrası Bankacılık sektörü ile başlayan ve son 2 yıl içinde Kamu idareleri ile devam eden

çağdaş iç denetime yöneliş, bir süredir özel sektörün de ilgisini çekmeye başladı.

Aslında ülkemizde iç denetim kavramı çok da yeni bir kavram değil. Bankacılık sektöründeki

ve kamudaki teftiş kurulları geleneği neredeyse yarım asırlık bir geçmişe sahip. Özel sektöre

bakıldığında köklü bazı kurumlarda 20 yılı aşkın süredir bazı temel iç denetim girişimleri söz

konusu idi. Ancak tüm bu oluşumlar, dünyada iç denetimin ilerlediği çizgiden farklılık arz

etmekte idi ve ekseriyetle güncel metot ve teknikleri yakalayamamıştı. Buna rağmen oldukça

iyi niyetli çabalar olduğunu ve geçmişe dönük pek çok hata ve usulsüzlüğün tespitinde önemli

rol oynadıklarını kabul etmemiz gerekiyor. Bununla birlikte zaman içinde teknolojideki

gelişmeler, piyasaların küreselleşmesi, ticaret ve sermaye akımlarının serbestleşmesi ve iş

kültürünün değişmesi, kurumların yönetsel ve örgütsel süreçlerini değiştirmiş, farklı ve

yepyeni fonksiyonlara olan ihtiyacı arttırmıştır. Örneğin, 1980 lerden sonra önemi artan risk

ve risk yönetimi kavramlarına paralel olarak risk tanımlama, ölçüm ve yönetim teknikleri

finans sektörünün iş yapış tarz ve mekanizmalarını kökten bir şekilde değiştirmiştir. Yine

örneğin örgütsel yapılar daha bürokratik ortamlardan, yatay hiyerarşiye dönük bir gelişim

sergilemiştir. Teknoloji verimliliği inanılmaz boyutta arttırırken, iletişim ve iş yapış

2

şekillerinde hız kazanılması söz konusu olmuştur. Kâğıt kullanımının yerini elektronik

yöntemlerin alması, yazılım ve sistemlerin iş hayatında ağırlığının artması, yeni yönetim

teorilerinin tartışılmaya başlanması ve çalışanların iş sistemleri içindeki rol ve

sorumluluklarının yeniden tanımlanması değişim sürecinin ana gelişim noktaları olarak dikkat

çekmiştir. Böylesi büyük bir değişimden iç denetimin nasibini almaması elbette

düşünülemezdi.

Gerek bu ana değişimler, gerekse de bunların dolaylı etkileri sonucu ortaya çıkan yasal

düzenlemeler iç denetimi geçmişe dönük ve mevzuata uygunluk eksenli bir bakış açısından

ileriye dönük ve "risk odaklı" bir bakış açısına yöneltmiş, iç denetçinin bilgi ve teknoloji

çağındaki rol ve sorumluluklarını yeniden şekillendirmiştir. Bugün gelişmiş ülkelerde,

toplumun ve iş dünyasının, iç denetim fonksiyonu ve onu teşkil eden iç denetçilerden

beklentileri net bir şekilde belirlenmiş, ortak bir anlayış ve kabul ile gerek yasal, gerekse de

mesleki düzenlemelerde dile getirilmiştir. Ülkemizde çağdaş iç denetim anlayışı ve bunun

hayata geçirilmesine yönelik çabalar 1995 yılında Türkiye İç Denetim Enstitüsünün (TİDE)

kuruluşuna dek gitmektedir. 2000 lerin ilk yarısı Türkiye'de iç denetim kavramı ve çağdaş iç

denetim uygulamalarına yönelik ilginin hızla artmaya başladığı dönem olmuştur. TİDE ve

üyelerinin özverili çalışmaları sonucu iç denetçilik mesleği ülkemizde farklı boyutları ile ele

alınır ve yaygın şekilde yürütülür hale gelebilmiştir. Türkiye'de CIA sertifika sınavlarına olan

ilgi, basında iç denetim ile ilgili çıkan haberler, TİDE gibi sivil toplum örgütlerinin mesleki

organizasyonlarına katılım ve ülkemizde bu alanda ortaya koyulan yasal düzenlemeler

mesleğin geri dönülemez bir çizgide ve hızlanarak geliştiğini açıkça ortaya koymaktadır.

Bu yazının yazılmasına neden olan konu, özel ve kamu sektöründeki meslek profesyonelleri

tarafından ne olduğu, kapsamı ve odağı iyi bilinen "iç denetimin", özel ve kamu

kurumlarındaki diğer yönetici ve çalışanlar ile iş dünyasındaki paydaşlar tarafından sağlıklı bir

şekilde bilinmemesi gerçeğidir. Bu çevrelerde iç denetim ekseriyetle teftiş ve mali denetim

ile karıştırılabilmektedir. Bu nedenle meslek profesyonelleri ile iç denetim hizmetini alacak

olan veya alması yasal olarak zorunlu tutulan çevreler arasında bir kavram birliği sağlamak

gerektiği düşüncesindeyim. Yazımızın başlığı da bu sebeple "İç Denetim Nedir?" olarak

belirlendi. Elbette ki amacımız iç denetim ile ilgili bilgi sahibi olmak isteyen herkese

ulaşmaktır. Ancak spesifik olarak özel ve kamu sektöründeki paydaşları bilgilendirme

arzusundayız.

Uluslararası İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin esas ve genel kabul görmüş

meslek organizasyonudur. Bu enstitünün uzun araştırma, istişare ve çabalar sonucu ulaştığı

genel kabul görmüş bir iç denetim tanımı var:

3

" İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden

bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk

yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına

yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı

olur."

Meslek profesyonellerinin ve diğer ilgililerin araştırdıklarında karşılarına genelde hep bu

tanım çıkıyor. Bence oldukça makul ve geniş bir tanım. Yani mesleğin içinden kişilere çok şey

ifade ediyor ve iyi yol gösteriyor. Öte yandan iç denetim mesleği dışından kişiler için çok

anlam ifade ettiği kanısında değilim. Zaten meslek profesyonelleri dışında iç denetim ile ilgili

ve ilişkili kişiler için (paydaşlar) kavram karmaşası da buradan çıkıyor. Genel ve altı net bir

şekilde doldurulmamış klasik batı tanımları belirli bir kavramdan herkesin farklı bir şeyi

anlamasına neden olabiliyor. Yorum farklılıkları olabiliyor. Hele de işin içinde olmayanlar için

bu kavramlar manzumesi pek bir karışık gelebiliyor. Risk, etkinlik, sistematik, disiplinli... Pek

çok kavram üzerinde fikir birliği sağlamak zor gözüküyor. Bu nedenle de iç denetim kavramı

ülkemizde hala teftiş ve mali denetim ile benzer bir çizgide görülüyor. Belki de öyle görülmesi

tanımlanmasını kolaylaştırıyor. Oysa ki yukarıdaki tanım çok farklı bir hikayeyi anlatıyor.

Yapılması gereken bu hikayeyi sadece meslek profesyonelleri değil, herkesin anlayabileceği

bir dilde anlatmaya çalışmak ve ortak bir anlayış geliştirmek.

Öte yandan iç denetime ilişkin kısa, net, açıklayıcı ve tüm taraflarda benzer bir anlayışı

oluşturabilecek bir tanım bulmak oldukça zor.

İç denetim bir kurum ya da organizasyonda yürütülen faaliyet iş ve işlemlerin yönetimden

farklı ve tarafsız bir gözle değerlendirilmesi olarak özetlenebilir. Bu değerlendirme esas

olarak kurumda işlere ilişkin risklerin bilinmesi, iyi yönetilmesi ve bu riskleri yönelik olarak

tasarlanan iç kontrollerin varlığı ve etkinliği konularına odaklanır.

Aslında iç denetimin en önemli fonksiyonu da budur. Temel odak risk ve kontroller

olmaktadır. Zira bir kurumun iç kontrol sistemi o kurumun;

a. Operasyonlarının etkin ve verimli yürütüldüğü

b. Mali ve operasyonel raporlamaların doğruluğu

c. Mevzuata uygunluk

4

Hedeflerini gerçekleştirmesine yardımcı olur. İç kontrol sisteminin değerlendirilmesi, bu

unsurların tamamının değerlendirme kapsamına girdiğine işaret etmektedir.

Risk Yönetimi ve İç Kontrol bakış açısı ile şekillenen denetim fonksiyonu geleceğe dönüktür ve

insanların değil sistemlerin ve süreçlerin hataları ile ilgilenir. Bir kurum ya da organizasyonun

tüm iş ve işlemlerinde var olan riskler- ki bunlar arasında strateji ve planların misyon ve amaç

ile uyumlu olmaması riski de vardır- ve kurumun risklerini nasıl yönettiği, iç denetimin ana

odağıdır. Yani bir kurumun iç denetçilerinin sorması ve cevap araması gereken ilk 3 soru

şunlar olmalıdır:

1) Bu kurum bir bütün olarak, tüm alanlarda karşı karşıya olduğu riskleri iyi biliyor mu?

2) Bu riskleri yönetmek için neler yapılıyor? (iç kontroller gibi)

3) Bu riskleri yönetmek için alınan tedbirler etkin mi? (iç kontroller etkin çalışıyor mu?)

İş ve işlemlerin geçmişe dönük olarak mevzuata uygunluğunun denetlenmesi olan teftişten

en büyük fark odağın mevzuat değil, risk olmasıdır. Riskler geleceğe dönük, hedeflere

ulaşılmasını engelleyebilecek olaylardan kaynaklanan potansiyel sonuçlardır. Geçmişte

yapılan hata veya suistimaller mutlaka bir risk nedeni ile oluşan sonuçlardır.

İç denetim içinde farklı denetim türlerini barındırır. Mali denetimler, operasyonel

denetimler, mevzuat denetimleri (teftiş), bilgi sistem ve teknoloji denetimleri veya sadece

risk/kontrol değerlendirmeleri gibi. Bunlar denetim alanına göre ya ayrı ayrı ya da değişik

kombinasyonlar ile gerçekleştirilebilir. Örneğin bir satın alma denetimi içinde risk/kontrol

değerlendirmesi ve mevzuat denetimi farklı yüzdeler ile yer alabilir. Ya da bir muhasebe

departmanında finansal denetim ve operasyonel denetim birlikte gerçekleştirilebilir. Bu

tamamen denetimlerin nasıl planlandığı ve hangi amaçla gerçekleştirildiğine bağlıdır. İç

denetim farklı alanlarda farklı denetim türleri ile icra edilebilir. Ancak tekrar etmekte fayda

olduğunu düşünüyorum; tüm bu denetimlerin kapsamında az veya çok, mutlaka risk kontrol

değerlendirmeleri yer almalıdır. Örneğin iç denetçilerce gerçekleştirilecek bir finansal

denetimde mali raporlamalar ile ilgili iç kontrollerin değerlendirme kapsamı dışında

tutulması pek olası değildir. Benzer şekilde operasyonel denetimlerin de önemli bir bölümü iç

kontrollerin etkinliği ve verimliliğinin değerlendirilmesidir. Açıklığa kavuşmasında fayda olan

hususlardan birisi de budur.

İç denetim hissedarlar tarafından seçilen yönetim kurulu ve yönetim kurulunca atanan üst

yöneticilere kurumda yürütülen iş ve işlemlere ilişkin makul güvence sağlar. Yani üst yönetim

için çok değerli bir kontrol aracıdır. Önemli bir yönetsel fonksiyondur. Kurum içinde

5

mevzuata uygunsuzluk, hata, hile, verimsizlik ve risklere yönelik olarak engelleyici ve tespit

edici bir mekanizmadır. Üst yönetimin kurumsal yönetim ilkelerinden hesap verilebilirlik ve

sorumluluk ilkeleri çerçevesinde hareket etmesine fayda sağlar, varlığı ve faaliyetleri ile bu

ilkelerin sağlıklı bir şekilde tesis edilmesine katkıda bulunur.

İç denetim bir yönetim aracıdır. İç denetim yönetici ve çalışanların hatalarını bulmaya değil

eksiklerini kapatmaya çabalar. Bu bakımdan kurum çapında güvenilmesi ve desteklenmesi

gereken bir fonksiyondur.

6

Özel Sektörde İç Denetim

Ne İfade Ediyor?

Özel sektör işletmelerinde iç denetim faaliyetinin oluşturulması büyük önem taşımaktadır.

Etkin bir iç denetim faaliyeti, şirketlere büyük faydalar sağlamaktadır. Bu faydalara geçmiş

yazılarımızda değinmiş olmakla birlikte, tekrar etmeyi önemli buluyoruz.

1. Şirketin amaç ve hedeflerine ulaşmasını engellemeye yönelik iç ve dış risklerin tespit

edilmesi ve etkin bir şekilde yönetilmesinin sağlanması;

2. Maliyetlerin optimize edilmesi ve operasyonlarda verimliliğin sağlanması;

3. Hata, suistimal veya hilelerden kaynaklanan kayıpların önlenmesi;

4. Öngörülemeyen ve şirket açısından yıkıcı sonuçlar doğurabilecek olayların erken tespiti

ve önlenmeye çalışılması. Bu tür olayların yaratabileceği hasarların minimize edilmesi;

5. Şirketin iç ve dış çevredeki fırsatları yakalamasının sağlanması;

6. Şirketin operasyonel etkinliğinin artırılması;

7. Kurumsal Yönetim uygulamalarının geliştirilmesi ve şirket itibarının artırılması;

8. Şirketin ekonomik, finansal ve reel sektör krizlerine dayanıklılığının artırılmasına destek

verilmesi;

9. Şirket tarafından kamuya yapılan finansal raporlamalar ile şirket yöneticilerinin karar

almada kullandığı operasyonel ve finansal verilerin güvenilirliği ve doğruluğunun

korunması;

10. Şirket varlıklarının korunması ve kayıt altında tutulması;

11. Şirketin tabi olduğu yasa ve düzenlemelere uygunluğun sağlanması;

12. İç denetim faaliyeti dışında, yukarıda bahsedilen faydaların tamamını sağlayabilecek

alternatif bir mekanizma bulunmamaktadır.

Şirket dışındaki uzmanlardan alınabilecek hizmetlere bakıldığında, çağdaş iç denetim

faaliyetinin hedef ve kapsamından çok farklı hizmetlerle karşılaşıldığı görülür;

Bağımsız denetim (dış denetim)

raporlamalar

dışındaki süreçleri genellikle değerlendirme kapsamı dışında kalır. Dış

denetim finansal tabloların, işlemler, kayıtlar, ilkeler ve muhasebe standartları ile uyumunu

sorgular. Şirketin operasyonel e

yakalanması veya daha etkin yönetsel stratejiler için güvence ve danışmanlık vermez.

Muhasebe ve Vergi Danışmanlığı hizmetleri

hizmetler)

finansal raporlamaların güvenilirliği, mali ve ticari karın tespiti ve

doğrulanması, vergi uygulamaları ve vergi matrahının kontrolü, tam tasdik işlemleri, iade ve

istisna raporları gibi vergisel konular üzerine oda

uzman kişilerce sağlanan bu hizmetlerde, şirketin muhasebe ve vergisel riskleri ele alınıp, bu

alanlardaki sorunlarına çözüm aranır.

Yönetim, Süreç ve Kalite Danışmanlığı hizmetleri

operasyonların, süreçlerin ve

sisteminin yapılandırılması (TKY, ISO, TSE, CE) üzerine odaklanmaktadır. Bazı

yönetim danışmanlığı faaliyetleri yönetsel stratejilerin belirlenmesi noktasında da fayda

sağlar. Pazarlama, marka, iletişim ve benzeri alanlarda da yönetim danışmanlığı hizmetleri

almak mümkündür. Bu hizmetler genel olarak belirli bir iş alanı veya iş kolunda sağlanan, o iş

alanını geliştirmeye yönelik, kurum genelinde yürütülmeyen hizmetlerdir

Görüldüğü üzere iç denetimin kuruma sağlayacağı faydaların pek çoğu, dış uzmanlarca

sağlanamamaktadır. Zaten dış uzmanlarca örgüte sağlanan faydalar, iç denetim sağlayacağı

faydalardan çoğunlukla farklı işlev gösterir

olmadığı görülmektedir. Şirket içindeki pek çok birim sadece kendi alanında uzman

olduğundan, örgüt geneline yönelik sistemli bir katma değer sağlayamaz. İç denetim

hizmetlerini telafi edecek veya ona alternatif teşkil edecek bir mekanizm

İç denetim şirketler açısından bu kadar önemli iken, konuya ilişkin en büyük problem,

iç denetimin ne olduğunun henüz yaygın şekilde

geleneksel bakış açısı son derece hatalıdır. Pek çok özel sektör kuruluşunda iç denetimin ne

olduğu ve kapsamına ilişkin farklı inanışlar bulunmaktadır. Bu inanış ve farklı görüşler

Bağımsız denetim (dış denetim) şirketin kamuya yaptığı

raporlamalar üzerine odaklanır. Şirketin finansal raporlama süreçleri



sorgular. Şirketin operasyonel etkinlik ve verimliliği, maliyetlerinin iyileştirilmesi, fırsatların


Muhasebe ve Vergi Danışmanlığı hizmetleri (SMMM ve YMM’lerden alınan

ise genellikle şirketin muhasebe sisteminin



istisna raporları gibi vergisel konular üzerine odaklanmıştır. Muhasebe ve vergi alanında


alanlardaki sorunlarına çözüm aranır.

Yönetim, Süreç ve Kalite Danışmanlığı hizmetleri

operasyonların, süreçlerin ve örgüt yapısının iyileştirilmesi



ağlar. Pazarlama, marka, iletişim ve benzeri alanlarda da yönetim danışmanlığı hizmetleri


alanını geliştirmeye yönelik, kurum genelinde yürütülmeyen hizmetlerdir.



farklı işlev gösterir. Örgüt içine bakıldığında ise d



hizmetlerini telafi edecek veya ona alternatif teşkil edecek bir mekanizma bulunmamaktadır.

İç denetim şirketler açısından bu kadar önemli iken, konuya ilişkin en büyük problem,

ne olduğunun henüz yaygın şekilde bilinmemesidir. İç denetime ilişkin



7

şirketin kamuya yaptığı finansal

üzerine odaklanır. Şirketin finansal raporlama süreçleri



tkinlik ve verimliliği, maliyetlerinin iyileştirilmesi, fırsatların


(SMMM ve YMM’lerden alınan

muhasebe sisteminin iyileştirilmesi,



klanmıştır. Muhasebe ve vergi alanında


Yönetim, Süreç ve Kalite Danışmanlığı hizmetleri ise genellikle

örgüt yapısının iyileştirilmesi ve kalite



ağlar. Pazarlama, marka, iletişim ve benzeri alanlarda da yönetim danışmanlığı hizmetleri




. Örgüt içine bakıldığında ise durumun pek farklı



a bulunmamaktadır.

İç denetim şirketler açısından bu kadar önemli iken, konuya ilişkin en büyük problem, çağdaş

İç denetime ilişkin



8

temelde iç denetim mesleğinin dünyada gittiği yönün bilinmemesi ve yıllardır “Muhasebe ve

Vergi Mevzuatı” odaklı çalışan şirket mali birimlerinin, iç denetimi de tekellerine almış

olmalarından kaynaklanmaktadır.

Şirket hissedar ve yönetim kurulları, iç denetim hizmetlerine olan ihtiyacın genellikle farkında

değildirler. Bir şekilde farkına varmaları halinde ise iç denetim ihtiyacını şirketin mali hizmet

birimlerinin (muhasebe, mali işler, finans, vb.) karşılayacağına inanırlar. Bu nedenle, iç

denetime ilişkin olarak bu birimlerin yöneticilerinin ufku, bilgisi ve yetkinliği, şirketin iç

denetim faaliyetlerinin amaç ve kapsamının sınırlarını belirler. İç denetimin şirketlerde yaygın

olarak bağımsız değil, mali birimler altında organize edilmesinin sebebi budur. Bu tür

kurumlarda iç denetim genellikle;

- Vergisel konulara odaklıdır. Matrahın doğrulanmasına çalışır;

- Muhasebe işlemleri ve kayıtlarını kontrol eder, hata bulmaya çalışır;

- Muhasebe uygulamalarının UFRS ve UMS’lere uygunluğa bakar;

- Kalite denetimleri (ISO) yapar;

- Teftiş yapar (İş ve işlemlerin mevzuat, politika ve prosedürlere uygunluğuna bakar);

İşte bu sebeple ülkemizde çağdaş risk odaklı iç denetim uygulamaları bankacılık sektörü, çok

uluslu şirketler, yabancı ortaklı şirketler ve bazı holding kuruluşları ile büyük ölçekli

bazı hizmet şirketleri dışında pek yaygın değildir.

Çağdaş iç denetim uygulamalarının çıkış noktası ne muhasebe, ne vergi ne de teftiştir. Çıkış

noktası kesinlikle şirket amaç ve hedeflerini tehdit eden riskler ve bunlara yönelik

kontrollerdir. Elbette mali, vergisel veya uygunluk riskleri de bunun içindedir. Ancak bunlar

dışında şirketi etkileyebilecek pek çok farklı risk türü bulunmaktadır. Operasyonel riskler,

piyasa riskleri, stratejik riskler, sistemsel riskler, itibar riskleri, teknoloji riskleri ve diğer pek

çok risk türü, şirketler açısından en az muhasebe ve vergi riskleri kadar ve hatta çok daha

fazla yıkıcı sonuçlar doğurabilmektedir. Bunların bütüncül bir yaklaşım ile ele alınması ve

şirketin karşı karşıya olduğu tüm risklerin etkin yönetildiğine dair güvence sağlanması

gerekir. İşte bu, çağdaş risk odaklı iç denetim uygulamalarının özüdür. İç denetim hata bulma

ve düzeltme amaçlı değil, şirketi geleceğe taşıma ve şirketin ekonomik sürekliliğini sağlama

odaklı çalışır. Yani değer katma misyonu ile hareket eder. Çağdaş iç denetimin başarısı, başka

birimlerin hatalarına bağlı değildir. Çağdaş iç denetim, ancak kurum amaçlarına ulaştıkça

9

başarılı sayılabilir. Bu bağlamda şirketin amaç ve hedefleri ile iç denetimin amaç ve hedefleri

aynıdır. İç denetçiler finansal denetimler, operasyonel denetimler, bilgi teknolojisi

denetimleri, uygunluk denetimleri ve özel incelemeler ile kuruma değer katarlar.

Özel sektördeki şirket hissedarları, yönetim kurulu üyeleri ve yöneticilerine çağdaş risk odaklı

iç denetimin etkin bir şekilde anlatılması gerekmektedir. Hatta bu şirketlerin dışarıdan çeşitli

uzmanlık hizmetleri aldığı dış denetçiler, yönetim danışmanları, yeminli mali müşavirler ve

SMMM’lerin de çağdaş risk odaklı iç denetim yaklaşımına dair bilgi sahibi olmalarında fayda

vardır.

İç denetim farklı bir uzmanlık gerektirmektedir. Bu uzmanlık riskler, risk yönetimi, kontrol

modelleri, iç kontrol sistemleri, raporlama, iletişim gibi alanlarda önemli ölçüde yetkinlik

sahibi olmayı gerektirir. Yani iç denetçi olmanın gerektirdiği meziyetler genellikle diğer

denetim ve danışmanlık mesleklerinden önemli ölçüde farklılık arz eder. Bu nedenle, bu

gruplardaki uzmanlardan iç denetim sistemi kurmak üzere danışmanlık hizmeti almak önemli

riskler taşır. Bu uzmanlar çağdaş risk odaklı iç denetim yaklaşımı, metot, araç ve

uygulamalarında yetkin değil iseler, bu iyi niyetli çaba boşa kürek çekmek olacaktır.

Bu şekilde, "risk odaklı" değil, "mali denetim odaklı" sistemlerin, şirketin ekonomik

sürekliliği, hissedarlar ve diğer paydaşlara sağlayacağı fayda tartışmalı hale gelecektir.

Dışarıdan vergi ve bağımsız denetim hizmetleri sağlanırken, içeride ekseriyetle bunları tekrar

ediyor olmanın ne gibi yararları olduğu da ayrıca tartışılabilir.

Bir şirkette sağlıklı ve çağdaş bir iç denetim faaliyeti veya fonksiyonu oluşturmanın temel

koşulu çağdaş iç denetimin ne olduğu, kapsamı ve iç denetim hizmeti verecek kişilerin sahip

olması gereken özellik ve yetkinliklerin en iyi şekilde anlaşılmasıdır. Şirket içinde etkin bir iç

denetim fonksiyonu oluşturmanın ön koşulu olan çağdaş iç denetim kavramı ve açılımlarını

kavramak için, şirketlerinde iç denetim faaliyeti kurmakla yükümlü olan kişilere aşağıdaki

çalışmaları yapmalarını tavsiye ediyorum:

1. Türkiye İç Denetim Enstitüsü (TİDE) tarafından İngilizceden çevirisi yapılan İç Denetim

Mesleki Uygulama Çerçevesinin (Kırmızı Kitap) dikkatle gözden geçirilmesi. İçinde iç

denetimin dünyaca kabul gören tanımı, uluslararası iç denetim standartları, iç

denetim standartlarının uygulama önerileri bulunmaktadır. Buradan dünyada iç

denetimin ne yöne gittiği anlaşılabilir. Bu rehber kitaba TİDE ile temasa geçilmek

suretiyle ulaşılabilir. (www.tide.org.tr)

10

2. Aynı veya farklı sektörlerdeki uluslararası ve yabancı ortaklı şirketler ile çağdaş ilke ve

standartlar paralelinde faaliyet gösteren iç denetim birimlerine sahip diğer şirketler

ile temasa geçmek suretiyle, bu şirketlerin iç denetim birimlerinden yardım istemek.

(mümkünse kısa ve verimli toplantılar ile)

3. İç denetim ve risk yönetimi hizmetleri sunan danışmanlık şirketlerine başvurmak ve iç

denetim faaliyeti kurulumuna ilişkin profesyonel yardım almak. (bu danışmanlık

hizmetleri ücretli olacaktır ancak son derece fayda sağlamaktadır)

4. Konu ile ilgili olarak kamu veya özel sektörde görev yapan tecrübeli ve yetkin iç

denetçilerden, mesleğin geleceği ve yararı adına yardım almak (resmi olmayan,

sohbet toplantıları ile)

5. Konu ile ilgili bilgili, araştırma ve çalışmaları bulunan akademisyenlerin görüşlerine

başvurmak.

6. Yurt dışındaki benzer veya farklı sektörlerdeki şirketlerin, iç denetim birimleri ile e-

posta yolu ile temasa geçmek ve mesleki bilgi paylaşımında bulunmak (geri dönüş

olmayabilir)

İç denetimi en başından sağlıklı kurmak önemlidir. Özel sektörde yer alan pek çok şirkette iç

denetimin gerçekte ne olduğu, iç denetim ihtiyaçları ve iç denetimin sağlayacağı faydalara

ilişkin farkındalık düzeyi düşük gözükmektedir. Bu nedenle, çağdaş iç denetimin ne olduğu,

ne fayda sağlayabileceği ve çağdaş bir iç denetim fonksiyonunun nasıl oluşturulacağı konuları

özel önem taşırmaktadır.

11

İç Denetim Raporları Ciddiye

Alınıyor Mu?

Bu soruya verilebilecek kesin bir cevap yok. Aslında bu biraz da geçen günkü yazımda

belirttiğim “iç denetim farkındalığı” hususu ile ilgili. Şirket veya kamu kurumlarındaki

yönetimlerin denetimden pek de haz etmedikleri biliniyor. Özellikle de son derece vakit

alabilen ve zorlayıcı olan iç denetimden. Öyle ya siz bir sürü işin gücün koşuşturmacanın

içindeyken, birileri geliyor ve sizin iş, işlem, süreç, sistem, raporlama, veri, insan kaynağı,

teknolojik altyapı ve operasyonlarınızı sorguluyor. Bu sorgulama sırasında, bu unsurların her

biri için söz konusu olabilecek riskleri ortaya çıkartmaya çalışıyor. Sizi ve personelinizi

saatlerce süren toplantılarla meşgul ediyor. İşlerin en yoğun ve stresli olduğu anlarda iş ve

işlemleri yerinde gözlemek amacı ile ortalarda dolaşıyor. Size ve personelinize anketler

dağıtıyor. Hem de öyle anketler ki, doldur doldurabilirsen. Birde şıklı seçim soruları yerine

açık uçlu sorular var ise vay yöneticinin haline!

Yöneticinin çilesi burada da bitmiyor. İç denetçi tüm bu sorgulama ve araştırmalar

sonucunda elinde onlarca sayfadan oluşan bir Excel tablosu ile çıkıp geliyor. Neymiş efendim

risk ve kontrolleriniz bunlarmış. Hepsi buradaymış. İşin yoksa birde bunları iç denetçi ile

gözden geçir. Tek tek üzerinden geç. Geçmiyorsunuz elbet. Hemen işlerden en çok anlayan

bir iki uzman görevlendiriliyor. E ne olacak bu arkadaşların kayıp zamanları. Zaten iş yapmayı

bilen bu ikisi! Bunlar da iç denetçilerce rehin alınıyor. Tam ya sabır derken, yeni bir aşamaya

geçiliyor. Testler! İç denetçiler ortamda virüs bulmayı hedefleyen birer bilim adamı edasıyla,

dikkatli ve son derece konsantre bir şekilde etrafta ne kadar doküman, kağıt, dosya,

bilgisayar var ise saldırıya geçiyor. Dört bir yandan kuşatıyorlar yönettiğiniz Birimi. Günlük

işlerinizi mi yürüteceksiniz, bu saldırılara karşı mı koyacaksınız? Öyle ya maazallah bir açık

bulursa adamı perişan eder bunlar? Ne farkı var ki bunların müfettişlerden ayrıca! Bunlar da

dosya, fiş, mizan, tutanak, vs. inceliyor. E ne anladık çağdaş iç denetimden. Oysa biz

sanmıştık ki çağdaş iç denetim daha az zorlayan, daha az vakit alan, daha yumuşak bir

denetimdir! Çok daha fazla zorluyorlar bizi teftişten. Gerçi çok daha iyi davranıyorlar ama...

12

Testler bittiğinde birde denetim raporu yazılıyor. İşte belki de yöneticiler için en stresli anlar

bunlar. Rapor beklenirken anlaşılmaz bir şeyler oluyor. İç denetçi yazdığı taslak bir raporu

yönetici ile paylaşıyor. Yani bulgu ve değerlendirmeleri ile ilgili görüş soruyor. İnanılmaz

ama gerçek. Söz hakkı veriyor. Elbette hoş bir şey, ama birde raporu didik didik okumak ve

her argümana karşı çıkmak gerekiyor şimdi. Ne büyük zahmet ve vakit kaybı. Aslında arada

doğru söylenen şeyler de oluyor haksızlık etmemek lazım. Ama gene de işlerden önemli mi?

Geciken veya eksik kalan bir iş olmaya görsün. Patron (şirketlerde en üst düzey yönetici,

kamuda en üst idari amir) hayatta anlamaz şimdi iç denetçilerle uğraşıyordum desem de.

Patron da uğraşsın da görsün bakalım nasıl vakit alıyor bu iç denetçiler. Rapordaki bulgulara,

değerlendirmelere bir ton cevap hazırlanması gerekiyor. Nerede kaldı bizim uzman

arkadaşlar? Aman tüm konuları cevaplayalım, açıkta bir şey kalmasın. Kabul etmek, haklı

bulmak mı? Bizden daha mı iyi bilecekler canım!!!

Çok şükür son aşamaya geliniyor. İç denetçiler yöneticiye nihai raporu yolluyor. İşe bak bizim

cevaplar aynen orada. Denetçi de kendi görüşünü eklemiş. Bak sen ya, ikna olmamış iç

denetçi. Şöyle risk var, böyle risk var... Hayatımız risk kardeşim. Bugüne kadar bişey olmamış,

şimdi neden olsun kardeşim? Neyse, raporun bir kopyası da patrona gitmiş üst yazıya göre.

Gitsin! Patron bizden beter. Sanki vakti varda oturup inceleyip bakacak ne yazıyor diye. Ya

sen o kadar uğraş, toplantı, anket, araştırma, test, rapor, patron alsın masasının bir köşesine

atsın. E bende öyle yapacağım. Zaten bildiğimiz şeyleri eveleyip gevelemişler. Biliyoruz

bunları kardeşim, sadece vakit bulamıyoruz düzetmeye, değiştirmeye. Sen gel benim

koltuğuma otur da göreyim seni riskmiş, kontrolmüş, peh!

Bu esnada patron da denetim raporunu almış, diğer yöneticinin yaptığını yaparak şöyle bir

göz gezdirip masanın köşesine koymuştur. Zaten gün boyu sürecek toplantılara hazırlanması

gerekiyordur. Büyük patrona (Şirketlerde Yönetim Kurulu Başkanı, Kamuda Bakan olabilir)

yapacağı sunuma da hazırlık yapamamıştır. Bir yandan ekonomik kriz, diğer yandan

üzerindeki gerçekçi olmayan hedef baskıları. Hafta sonu dernekte yapacağı konuşmanın

metnini nereye koyduğuna bakarken, sekreteri iki hattından da arama geldiğini bildirir! Keşke

10 parçaya bölünebilseydim der kendi kendine.

Yukarıda şaka yollu anlatmaya çalıştığımız durumun kendisi şaka değil. Pek çok kurumda

böyle bir durum iç denetçiler açısından geçerli. Kamu veya özel sektör fark etmiyor.

Denklem basit:

Esasen iç denetçilerin az çaba göstermesi, biraz da çaresizlikten oluyor. Bir iki defa yüksek

motivasyonla iyi performans gösterip, ortaya kaliteli raporlar çıkartan iç denetçi, kendisi ve

raporu ile ilgilenilmediği veya çalışmalarına saygı duyulmadığını h

azaltıyor. Sonrası ise kısır döngü. İç denetçi yöneticiyi, yönetici iç denetçiyi suçlar hale

geliyor. Peki, bu denklem nasıl bozulur? Bu olumsuz eşitlik nasıl olumlu hale çevrilir.

Formül gene basit:

Dikkat edilirse bu değişkenlerden sadece

sağlama şansı var. Diğeri dışsal; politik ve toplumsal baskılar sonucu devreye girebilecek

etmenler. Elbette bu yönde bir gelişim olması muhtemel. Daha önce de yazdık, son finansal

kriz iç denetimin ve risk yönetiminin önemini

düzenleme ve paydaş çevreler üzerindeki etkisini 3

Peki, iç denetçiler olarak bizler ne yapabiliriz? Elimizden gelen nedir? Bunları kısaca aşağıda

belirtmek isterim:

Mesleğimize dört elle sarılmalıyız

saymalıyız. İç denetim dünyada son derece popüler ve güncel bir meslek. Önemi de gün

Yöneticinin İş Yoğunluğu

Farkındalığı

Yöneticinin İç Denetim

Farkındalığının Artırılması

İç Denetçinin

Performans Göstermesi



raporu ile ilgilenilmediği veya çalışmalarına saygı duyulmadığını hissettiği anda bu çabalarını


bu denklem nasıl bozulur? Bu olumsuz eşitlik nasıl olumlu hale çevrilir.

şkenlerden sadece 1. ve 2. konularda iç denetçinin doğrudan katkı



kriz iç denetimin ve risk yönetiminin önemini azaltmıyor, tam tersi artırıyor. Bunun kanun,

düzenleme ve paydaş çevreler üzerindeki etkisini 3-5 yıl içinde açıkça göreceğiz.

iç denetçiler olarak bizler ne yapabiliriz? Elimizden gelen nedir? Bunları kısaca aşağıda

ize dört elle sarılmalıyız. Böyle bir mesleğe sahip olduğumuz için kendimizi şanslı


Düşük İç Denetim

Farkındalığı

İç Denetçilerin

Az Çaba Göstermesi

İç Denetçinin Sürekli Yüksek

Performans Göstermesi

Destek: Yasalar+Sivil

Toplum

13



issettiği anda bu çabalarını


bu denklem nasıl bozulur? Bu olumsuz eşitlik nasıl olumlu hale çevrilir.

iç denetçinin doğrudan katkı



azaltmıyor, tam tersi artırıyor. Bunun kanun,

5 yıl içinde açıkça göreceğiz.

iç denetçiler olarak bizler ne yapabiliriz? Elimizden gelen nedir? Bunları kısaca aşağıda

Böyle bir mesleğe sahip olduğumuz için kendimizi şanslı


Ciddiye Alınmayan Denetim

Raporları

Ciddiye Alınan İç Denetim

Raporları

14

geçtikçe artıyor. Kamu veya Özel sektör olsun fark etmez, bir gün iç denetim hak ettiği yerde

olacak. İşte o zaman bizler, yani bu sıkıntılı zamanlarda mesleğe sahip çıkanlar, mesleğin

öncüleri olarak gelinecek noktada kendimiz ile gurur duyacağız.

Yani öncelikle yapılması gereken kuyruğu dik tutmak, kafayı yukarı kaldırmak. Kim ne derse

desin. İç denetimin dünyada ve Türkiye’de önü son derece açık. Tabi iş mesleğe dört elle

sarılacağım demekle bitmiyor. Yüksek adanmışlık, motivasyonu hep yüksek tutmak ve

geleceğe inançlı bakmanın yanı sıra çok çalışmaktan geçiyor. Hem işte hem de kişisel ve

mesleki gelişim adına çok çalışmak gerekiyor. İç denetim ile ilgili yayınları takip etmek,

okumak, araştırmak, eğitim almak ve mesleki bilgi paylaşımı içinde olmak. Bunlar çok önemli.

Ayrıca bizler işimizi en iyi şekilde yapmalıyız. Raporlarımız okunmuyor veya okunmayacak

kaygısı ile hareket etmek hatadır. Kendimizden çaldığımız zamandır. Sonucu ne olursa olsun

aldığımız paranın karşılığını en iyi şekilde vermeliyiz. Yani ortaya koyacağımız nihai ürün çok

önemli. Bu da denetimlerimiz sonucu ortaya koyduğumuz denetim raporlarımızdır.

Raporlarımız yaratıcı farklı, etkili, son derece dikkat çekici olmalıdır. Yani yöneticinin dikkatini

çekmenin en önemli yolu ortaya çarpıcı bulgular koymak, somut fayda sağlamaktır. Sıradan

raporlar, sıradan muamele görür. Çarpıcı ve yenilikçi raporlar ise size yönetici ile uzun bir

görüşmeyi garantiler. Ancak sıradan olmayan, çarpıcı raporlar yazmak, çok çalışmayı

gerektirir. Takipçi, araştırmacı, sorgulayıcı, detaycı ve dikkatli olmayı gerektirir. İnsanlarla iyi

iletişim kurmayı, ihtiyaç duyulan bilgileri zamanlı ve doğru bir şekilde alabilmeyi gerektirir.

Yani çok çalışmanın yanında, iyi insan ilişkileri gerektirir. Öyleyse önce mesleğe sahip çıkıp,

çok çalışacak, kurumlarımızda etkin bir iletişim kuracağız. Mesleğine saygı duyan, çok çalışan

ve etkin bir iletişimci olan herkes, çevresinde otomatikman saygı görür. Bunu unutmayın. Siz

kendinize saygı duymazsanız kimse duymaz!

Yöneticiler ile periyodik görüşmeler ayarlamak önemlidir. Ancak en önemlisi denetim

sonuçlarının rapora ek olarak kısa bir sunum ile yöneticiye bildirilmesidir. Raporu sunum

haline getirip (20 dk’lık kısa ama etkin sunumlar) yöneticinize sunmaya çalışın. Aktif olun.

Raporu yazdım ne olursa olsun demeyin. İşi şansa bırakmayın. Yönetici bu tür bir

bilgilendirmeden çok daha fazla hoşnut olacaktır. Etkileşim içinde yapılan işler her zaman

daha verimlidir. İç denetimde önemli olan sonuçları duyurmak ve sorumluları eyleme

geçirmektir. Rapor, şekli, formatı, vs. teferruattır. Sadece kâğıt işidir.

15

Özel sektörde ve kamuda iç denetçilerin raporlarını ciddiye aldırmaları için yapabilecekleri

bunlarla sınırlı değil elbet. Örneğin denetim bulgularının takibine (follow-up) ilişkin bir sistem

kurulması ve bu sisteme en üst düzey yöneticinin de dahil edilmesi faydalı bir uygulamadır.

Örneğin üst yönetim ile yıl içinde çeyrek dönemler itibariyle, o dönem ve geçmiş

dönemlerden kalan denetim bulguları ve bunlara yönelik yönetimin eylem planları ile ilgili

toplantılar yapılması sizin yaptığınız iş ve kendinizi anlatmanız için önemlidir. Bu takip

sistemini kurup, kabul ettirmeniz inanılmaz büyük bir aşamadır. Takip sistemini kurmak

üzerine yoğunlaşmanızı öneririm. Dünyada takip için en iyi uygulama kabul edeceğimiz bir

model maalesef yok. İş sizin kurum yapısı ve gerçekleri paralelinde bulacağınız çözümlere

bağlı.

Son olarak, her zaman yeniliğin, değişimin ve bilimselliğin bayraktarı olmaya çalışmak

gerektiğini düşünüyorum. Denklemi olumsuzdan olumluya ancak bu şekilde çevirebiliriz.

Raporlarımız ciddiye alınıyor mu sorusuna her iç denetçi farklı bir cevap verecektir. Ancak

ileride verilecek tüm cevapların yakınsayacağı görüşündeyim. İleride tüm iç denetim raporları

ve çabaları ciddiye alınacak, hak ettiği yeri bulacaktır. Ama zaman önce evimizin önünü

süpürme zamanı. Biz işimizi doğru yapalım, gerisi gelecektir.

16

Batan Finansal Kurumlarda İç Denetim

Yok Muydu?

Geçtiğimiz hafta içinde değerli meslektaşım Turan Yenice’den bir e-posta aldım. Turan Bey

mevcut ekonomik çalkantılar ve olası bir krize ilişkin bazı önemli değerlendirmeler yapmış,

değerlendirmesinin sonunda ise pek çok iç denetçinin bugünlerde önemli bir konuyu

tartıştığını dile getirmişti. Cevap aranan soru, dünyanın dört bir yanında etkileri hissedilen

küresel çalkantılar dahilinde batan ya da büyük kayıplar yaşayan dev finansal kurumların,

bünyelerinde iç denetim ve iç kontrol sistemleri bulunmasına rağmen, neden bu duruma

düştükleri idi.

Esasen sitede yayınladığım pek çok blog yazısı ve makalede bu çöküşün nedenlerini ele

almaya çalıştım. Özellikle “Dünyada Neler Oluyor” başlıklı yazı bu kurumların neden

battıklarını bir iç denetçi perspektifinden açıklama gayreti ile kaleme alınmıştı. Kurumların

risk yönetimi ile ilgili zaafiyetlerden dolayı battığını dile getirmiştik. Ancak bu yazılarda

kurumların iç denetim sistemlerine ilişkin bir değerlendirme yer almamıştı. Öyle ya, bizler her

fırsatta iç denetimin kurum içindeki önemine değiniyor, iç denetimin nelere kadir olduğunu

her fırsatta dile getiriyorduk. Peki, sahiden bu kurumlarda iç denetim faaliyeti yok muydu?

Eğer varsa ki olduğunu biliyoruz, bu risk yönetim zafiyetleri neden önceden tespit edilmemiş,

kurum yönetimleri neden uyarılmamıştı? Yoksa başlı başına bir denetim zafiyeti miydi bu

çöküşün sebebi?

Batan veya sıkıntıya düşen kurumlara şöyle bir göz atarsak, bunların dünyanın en büyük

finansal kurumları olduğunu görürüz. Bu kurumlarda ciddi, tecrübeli ve yetkin iç denetçiler

istihdam ediliyor. Bu kurumların iç denetim birimlerinin bütçeleri milyon dolarlarla ifade

edilmektedir. İç denetim raporlamaları çoğunlukla Denetim Komiteleri’ne yapılıyor. Yani

fonksiyonel bağımsızlık söz konusu. Bu kurumların iç denetçileri her tür teknolojik imkana da

sahipler. Bilgisayar destekli denetim tekniklerini kullanıyorlar. İç denetim eğitimleri, seminer

17

ve kongrelerinde eğitmen veya konuşmacı olarak sıklıkla bu Kurumların iç denetçilerini

görürüz. Pek çoğunun IIA üyesi ve hatta CIA sertifikası sahibi olduğunu (daha pek çok sertifika

sahibi olanlar da vardır) tahmin ediyoruz. Üstelik bu iç denetçilerin kurumlarında raporlama

yaptıkları Komite Üyeleri ile Üst Yöneticilere ulaşmada da sıkıntı yaşadıklarını sanmıyoruz.

Genellikle kendilerini anlatmakta ve kurum yetkilileri ile aynı dili konuşmakta da bir problem

yaşamıyorlar. 90’lı yılların ikinci yarısı ve 2000’lerin hemen başında yaşanan şirket skandalları

kurum yöneticilerinin iç kontrol, iç denetim, kurumsal yönetim ve hileli işlemler gibi

kavramlar ile tanışmasına, hatta haşır neşir olmalarına yol açtı. (Ör: SOX yasası) Yani çağdaş,

risk odaklı iç denetim anlayışı gelişmiş ülkelerin iş dünyası için yeni bir kavram değil. Bu

yönde bir iş kültürü ve ortamı oluşmuş durumda.

Peki, iç denetimin yaşanan bu kurumsal çöküşler ile ilgili ne sorumluluğu var? İç denetçilerin

ihmali söz konusu mu?

Bu sorulara cevap verebilmek için bu kurumların iç denetim sistemleri ve iç denetim

faaliyetlerinin yapısı ile kapsamını detaylı bir şekilde incelemek gerekir. Gerçekten de bu

kurumlarda, sahip olunan onca imkana rağmen, bir iç denetim zafiyeti olabilir. Bunu uzaktan

kestirmek çok zor. Biz ancak bazı varsayımlar ışığında bazı sonuçlara ulaşabiliriz. Yani süreci

bilmediğimizden sürece değil, sonuçlara odaklanabiliriz. Olayın iç denetim ile ilgili

sonuçlarını, kişisel perspektifimizden ele almaya çalışabiliriz.

Bu finansal çöküşün bizce temel iki nedeni var;

a. Otoritelerin genel olarak mali sektör ve kullanılan türev finansal araçlara ilişkin

denetim ve gözetim faaliyetlerinin yetersizliği;

b. Kurumların risk yönetim faaliyetlerinin, anlayışlarının ve ciddiyetlerinin yetersizliği.

Bunlardan ilki ile ilgili olarak iç denetçilerin bir sorumluluğu bulunmuyor. Olsa olsa mesleki

kongre ve seminerlerde türev enstrüman risklerinin dile getirilmesi ve bu konuda mesleki bir

kamuoyu oluşturarak düzenleyici ve denetleyici otoriteleri etkileme çabası söz konusu

olabilirdi.

18

İkinci konu ise bizce doğrudan iç denetçilerin görev ve sorumluluk sınırları içine giriyor. Evet,

bu kurumların risk yönetim sistemlerinin tesisi ve yürütülmesinden Üst Yönetimler

sorumludur, ancak iç denetçiler de bu sistemlerin etkin çalıştığına dair güvence vermek ve bu

sistemleri iyileştirip, geliştirmeye yönelik destek vermekle yükümlüdür. Kurum

bilançolarından dahi bir bakışta tespiti mümkün olabilen bu türev enstrüman risklerinin, iç

denetçilerce tespit edilememiş olması muhtemel değildir. Yani iç denetçilerin bu

enstrümanlara ilişkin riskleri bildiğini düşünüyorum.

Ancak burada üç tür durum söz konusu olabilir;

1) İç denetçiler bu riskleri raporlamış, bunlara yönelik olarak yetkilileri uyarmış, ancak

denetim komiteleri ve yönetim kurullarınca ciddiye alınmamışlardır. Yani bu

uyarılar göz ardı edilmiştir.

2) İç denetçiler, bu kurumların yatırım karar ve faaliyetlerinin, kurumların risk

modelleri (ör; COSO ERM) çerçevesinde tespit edilmiş risk iştahı ve risk toleransları

ile uyumlu olduğunu düşündüklerinden, bu yatırımların tür, miktar ve

çeşitliliğinden kaynaklanan risklerin kabul edilebilir olduğu değerlendirmesini

yapmışlardır. Bu halde, iç denetçiler, bu yatırımların tür, miktar ve çeşitliliğinden

kaynaklanan finansal ve stratejik riskleri dikkate almış, risk iştah ve toleransı ile

uygunluğunu denetlemiş, ancak kurumsal risk yönetimi modeli ve bu modelin

değişkenlerinin (risk iştahı, toleransları ve stratejileri) uygunluğunu değerlendirme

altına almamışlardır.

3) İç denetçiler risk yönetiminden ziyade kontrol testleri ve SOX raporlaması (özellikle

Amerika’daki iç denetçilerin son birkaç yılda en çok vakitlerini alan konu budur) gibi

çok zaman alan zahmetli ve çetrefilli faaliyetler yürüttüklerinden, risk yönetimi

sistemi ve faaliyetlerine gereken kaynağı ayırmamışlardır. SOX kanunu kurumlarda

iç kontrollerin durumu, işleyişi ve raporlamasından üst yöneticileri doğrudan

sorumlu tuttuğundan, üst yöneticilerin, genellikle bilgi sahibi olmadıkları bu

hususta münhasıran iç denetçilerden destek istemeleri durumu ortaya çıkmıştır.

SOX raporlama faaliyetleri ve kontrol testleri pek çok iç denetim biriminin faaliyet

kapsamının en önemli unsuru haline gelmiştir.

19

Bu durumlardan hangisi söz konusu olursa olsun, buradan özellikle ülkemiz için çıkartılacak

dersler söz konusudur. Her üç durum da iç denetimin mesleki geleceği ve itibarı açısından

hoş değildir. Ancak yaşanan bu son skandallar, iç denetimin önemini ve sorumluluklarını

azaltmamış, tam tersi artırmıştır. Görülmüştür ki, risk iştahı kendi kişisel çıkarları

doğrultusunda aşırı yüksek olan aç gözlü yöneticilere, bu yöneticileri istihdam eden, onlara

göz yummak suretiyle adeta onları teşvik eden yönetim kurullarına karşı iç ve dış denetimin

üstleneceği rol ve sorumluluklar çok yakında yeniden şekillenecektir. Bu olaylar göstermiştir

ki hissedarlar artık aşırı kar elde etmeye yönelik aç gözlü bir yönetim anlayışını değil,

kendileri açısından çok daha faydalı kurumsal yönetim anlayışını talep etmeye

başlayacaklardır.

Finansal piyasalar ve bu piyasalardaki aktörlerin kapsamlı bir yeniden yapılandırma ile karşı

karşıya olacakları açıktır. Olaylarda ihmali olsun olmasın, iç denetimin, bundan böyle çok

daha geniş yetki, imkan ve daha fazla örgütsel bağımsızlık ile donatılarak, kurumsal yönetim

güvencesi olarak hizmet vermeye devam edeceği inancındayım. Kanımca iç denetimin

güçlendirilmiş rol ve sorumlulukları, yeni kanuni düzenlemelerde de yer bulacaktır. Aklı selim

bunu gerektirmektedir. Gelişmeleri hep beraber izleyeceğiz. Konuya ilişkin olarak ise iç

denetçilerin ihmal veya yetersizlikleri var ise, bu durum ayrıca araştırılıp değerlendirilmelidir.

Söz konusu olan iç denetim faaliyetinin kendisi olsa bile hesap verebilirlik ve sorumluluk

ilkeleri bunu gerektirmektedir.

20

Bir Kurumun Tepe Yöneticisinin Bakış

Açısından İç Denetim

Merhaba,

Ben Bay X. Y şirketinde genel koordinatör olarak görev yapıyorum. Y şirketi boya sektöründe

bir firma. İnşaat boyaları üretiyor ve pazarda ilk üç firmadan biri. Pazar lideri olmak için

çabalıyor. Bu görevimden önce boya sektöründen farklı, ancak ilgili bir sektör olan inşaat

sektöründe köklü bir firma olan Z şirketinde mali koordinatör olarak görev yaptım.

Bu şirketten önce ise bir yapı malzemeleri tedarikçisinde muhasebe müdürü olarak

çalışıyordum. Ondan önce ise bir süre kamu sektöründe müfettiş ve iç denetçi olarak

çalıştım.

Yeni görevimde sorumluluklarım çok büyük. Halka açık bir anonim şirketiz ve SPK kanununa

tabiyiz. Bunun yanı sıra bir yabancı ortağımız var. Şirketimiz hisselerinin 0'u yabancı bir

ortağın. Hissedarlarımız genel kurula aktif katılım sağlayan, şirket işlerini yakından takip

eden, dikkatli ve meraklı bir kitle. Genel kurulumuz tarafından seçilen Yönetim Kurulumuzun

Başkanı şirketimizin en büyük hissedarı olan T bey. Başkan Yardımcımız ise kardeşi U bey.

Diğer üyeler genellikle diğer bazı önemli hissedarlar ve çeşitli alanlardan profesyoneller.

Yönetim Kurulu Başkanı ile dört yıl önce benim de bir sunum gerçekleştirdiğim sektörel bir

organizasyonda tanışmıştık. Kendisi beni ve çalışmalarımı oldukça beğenmiş olacak ki

ilerleyen günlerde benimle görüşmek istedi. Birkaç kez görüştük. Bana şirketi ve hedeflerini

anlattı. Yönetim Kuruluna benden bahsettiğini, çalıştığım şirketlerde sergilediğim performans

ve elde ettiğim başarılardan çok etkilendiklerini ifade etti. En son görüşmemizde de açıkça iş

teklifinde bulundu. Genel Koordinatör olarak görev almamı istediklerini belirtti. Şirket ile ilgili

bazı önemli bilgileri bana bıraktı ve düşünmem için 3 gün süre verdi. Acil bir koordinatör

21

ihtiyaçları olduğunu kısa süre içinde anlaşamaz isek diğer aday üzerinde duracaklarını da

belirtti. Özel sektörde işler hızlı yürüyordu ve ben bunu garip karşılamadım. Teklif edilen

pozisyon, ücret, sağlanacak faydalar ve şirketin ismi çok çok iyi idi. Ancak karar vermeden

önce bana bırakılan belgeleri incelerken bazı noktalar dikkatimi çekmişti. Şirket tam bir aile

şirketi idi. 1990 yılında kurulmuş, 1990 lar boyunca da hızlı bir büyüme sergilemişti. Bazı

yabancı ülkelere ihracat yapıyor, kazanılan paralar yine işe yatırılıyordu. Yönetim Kurulunu

oluşturan aile bireylerinde bitmek bilemeyen bir büyüme azmi vardı anlaşılan. 1994 ve 1999

da küçük çaplı krizler yaşamışlar, ama Yönetim Kurulu Başkanı Bay T nin güçlü liderliği ve

vizyonu ile bu krizleri aşmışlardı. Ancak hızlı büyüme 2000 krizinde durmuş, teklifi aldığım

seneye gelindiğinde ciddi bir gerileme başlamıştı. Şirket üretimde sorunlar yaşıyor, maliyetler

kontrolden çıkmış görünüyordu. Tedarikçiler ile ilişkilerde sorunlar vardı. Tedarikçiler

zamanında ve aynı kalitede ürün sağlayamıyordu. Şirket bayi ağında da sorunlar baş

göstermeye başlamış, bayiler rakip firmalar ile anlaşmalar yapma yoluna gidiyorlardı. Satışlar

azalmış, maliyetler yükselmiş, karlar erimiş, şirket borçlarını çevirmekte zorluk yaşamaya

başlamıştı. Böylesi riskli bir şirketin başına geçme noktasında ciddi tereddütlerim oluşmuştu.

İşin sonunda binbir güçlükle oluşturduğumuz kariyeri mahvetmek de vardı.

Kamudaki siyaset baskısı beni kamudan bezdirmiş, risk alarak özel sektöre, bir akrabamın

şirketine geçmiştim. Ancak genç ve hırslıydım. Çok çalışmış, denetim tecrübem ve muhasebe

bilgimle şirkette başarılı olmuş, adımı duyurmuştum. Özel sektörde hızlı bir şekilde

yükselmiştim. Şimdi alacağım riskin kamudan özele geçmekte aldığımdan çok daha büyük

olduğunu, ancak başarırsam bana getirisinin inanılmaz olacağını düşünerek teklifi kabul

etmeye karar verdim. 1 ay içinde de genel koordinatör olarak zorlu görevime başladım.

Özel sektörde geçmişte yükselmeme, başarılı olmama yardımcı olan en büyük sırrı burada da

aynen uygulamaya karar verdim.

Bu sır eski mesleğim olan "iç denetim" idi. Eski bir iç denetçi olarak kurum içi denetimin

önemini çok iyi biliyor ve her gittiğim kuruma bu bakış açısını götürüyordum. Özel sektörde

göreve başladığım diğer 2 kurumda da iç denetim birimi veya iç denetçi görmemiştim. Bu

kurumda da yoktu. İşe etkin bir iç denetim sistemi kurmakla başlayacaktım. Ancak sağlıklı

işleyen bir iç denetim fonksiyonu tesis edene dek, diğer üst yönetim görevlerimin yanı sıra

adeta bir denetçi gibi çalışıyordum. Diğer kurumlarda hep bu şekilde çalışmıştım. Yeni işimde

de bu sırrımı uygulamakta tereddüt etmemiştim. İşe başladığım ilk gün Yönetim Kurulu ile

tanışma ve karşılıklı beklentilerin aktarılması merasimi sonrası ilk iş olarak şirketin örgüt

şemasını istemiş ve şirket içinde dolaşmak ve çalışanlar ile iş başında tanışmak istediğimi

söylemiştim. İç denetimden gelen eski bir adetti bu. Denetçi iken denetime gittiğim

22

birimlerde üst yönetim ile toplandıktan hemen sonra servisleri ve çalışma alanlarını gezer,

işleri yerinde görür, çalışanlarla tanışırdım. Yeni şirketimdeki ilk günüm tüm şirketi,

üretimden pazarlamaya, muhasebeden teknik servise kadar dolaşmak oldu. Gidilmedik yer

bırakmamıştım. Birinci günün akşamı odaya döndüğümde gözlemlerimi kâğıda aktardım. İç

denetçilikten kalma bir alışkanlıktır, ilk tanışma ve gözlemlerimde bazı şeylere özellikle dikkat

ederim; çalışanların morali ve motivasyonu, çalışma alanlarının düzeni, örgüt şemasının fiili

işleyiş ile uyumu, çalışanların yaptıkları işler, evrak dolapları, çalışanların iş yapış tarzları

benim için önemlidir.

Akşam çalışma odamda kâğıda bu gözlemlerimin yanı sıra Yönetim Kurulu, diğer yöneticiler

ve beklentileri ile ilgili görüş ve gözlemlerimi de geçirmiştim. Şirketten bana tahsis edilen

araba ile ayrılırken, dikkatimi o saatte içeri giren ve fabrika sahasına doğru ilerleyen bir

kamyon çekti. Şoförüm S ye merakla sordum nedir bu kamyon diye? Mal almaya giden

kamyon dedi. Tedarikçiden geliyor. Belli ki gene geç kalmış. Bu kamyoncular benim

yönetimimde olacaktı ki... Depoya malları yığarlar efendim birazdan dedi S. Şirketten en geç

çıkanlardan biri olduğuma emin olarak depoda birilerinin olup olmadığını sordum. Genellikle

bizim patronlardan birisinin yeğeni durur depoda. Malları teslim alır, depoyu kapatır ve en

geç o çıkar. Çalışkan çocuktur dedi S. Kafamda bazı soru işaretleri, yarınki programımı

şekillendirirken yol bitmiş. Eve gelmiştim.

Ertesi sabah işe erkenden geldim. Gün boyu kafamda şekillenen bazı noktaları gece kâğıda

dökmüştüm. İlk tespitlerim çalışanların motivasyon ve yönlendirmesinde ciddi problemler

olduğu, kurumda yazılı kural ve politikalar olmadığı, kurum hedeflerinin muğlaklığı ve orta/alt

kademelerin bu hedeflerden bihaber olmaları idi. Kısaca çalışanları yönlendirecek, stratejik

ve operasyonel direktif sağlayacak bir sistem mevcut değildi.

Politika ve prosedür eksikliği de bunun bir parçasıydı. İş yerindeki ilk birkaç haftam şirketi

tanımak ve sorunları net bir şekilde, detaylı olarak tespit etmeye odaklanmıştı. Buna ek

olarak şirketin kurumsal bir yöne sahip olmadığı gerçeğinden hareket ile sıklıkla Yönetim

Kurulu ile toplantılar gerçekleştirerek gidilmek istenen yönü onlarla birlikte tayin etmeye

çalıştım. Göreve başladığımın 2. ayı içinde şirketin finans departmanında çalışan ve birkaç

sene önce oldukça iyi bir üniversiteden mezun olmuş iki genç işletme mezunu ile bir iç

denetim takımı kurmak üzere harekete geçtim. Yabancı dili, bilgisayar bilgisi olan, meraklı ve

çalışkan arkadaşlardı. Akşam mesai saati sonrası 2 saat fazladan kalarak bu genç arkadaşlara

iç denetim, denetim teknikleri ve şirketin yapısı ve sorunları ile ilgili brifingler verdim. Bu

23

esnada Yönetim Kurulu ile yaptığımız strateji toplantıları meyvesini vermeye başlamış,

şirketin kurumsal yönü, yani vizyonu ve misyonu şekillenmeye başlamıştı.

Arkadaşlar ile gerçekleştirdiğimiz kısa fakat yoğun seansların tamamlanması sonrası onlara

çeşitli görevler vermeye başladım. Öncelikli görevleri tüm birimler ile görüşmeler yaparak

birimlerin görevleri ve yaptıkları işler hakkında bilgi toplamaktı. Birimlerin yazılı iş ve görev

tanımları bulunmaması işlerini zorlaştıracaktı ama ben bunun altından kalkabileceklerini

biliyordum. Bir yandan eski görevlerine devam ederken, diğer yandan da toplantılara

gidiyorlar, mesai sonrası ise toplantılarda görüşülenleri bana aktarıyorlardı.

Toplantılarda ağırlıklı olarak birimin amacı, görevleri, insan kaynağı, örgüt yapısı, teknolojik

donanımı, kullanılan yazılımlar, sorunları, iş iyileştirme önerileri, karşı karşıya oldukları riskler

ve bunlara karşı alınan tedbirler ile ilgili bilgi alınmaktaydı. Her bir toplantı ortalama 2-3 saat

sürüyordu. Toplantı grupları ilgili birim yönetimi ile bizim yeni denetçilerimizden

oluşmaktaydı. Bende ilgili birim başkanlarına bir mail atarak ve bizzat arayarak bu çalışmanın

amacı ve hedefleri ile ilgili bilgi vermiş, denetçilere olan desteğimi de göstermiştim. Genç

denetçiler ile ağırlıklı olarak mesai saatleri sonrası sıklıkla bir araya geliyor, yapılan işler ve iş

süreçlerini birlikte tartışıyorduk. Bir anlamda şirketimizin denetim evrenini belirliyorduk.

Yönetim Kurulundaki üyeler ile birlikte vizyon ve misyon tanımlarını kesinleştirip buna ilişkin

ortak anlayışımızı şekillendirmeyi tamamladığımızda, kurum amaç ve hedeflerini belirlemek

kolaylaşmıştı. Yönetim Kurulu üst yönetim ile kurum hedeflerini belirlerken, bizim küçük iç

denetim birimimiz şirketteki tüm birimler ile görüşmeleri tamamlamıştı.

Yaklaşık 1 aylık bir araştırma sonrası dışarıda bir danışmanlık firmasından iç denetim alanında

tecrübeli bir arkadaşı denetim ekibinin yöneticisi ve aynı zamanda denetçi olarak transfer

ettik. Diğer arkadaşları ise muhasebe/finans birimden transfer ederek iç denetim birimine

aldık. Muhasebe/finans birimine de yerlerine 2 genç arkadaş temin ettik. Artık denetim

ekibimiz 3 kişi olmuştu. Ekibin başında tecrübeli ve yetkin bir iç denetçinin olması doğrusu

beni rahatlatmıştı. Kendileri ile gerçekleştirdiğim toplantılarda ekipten beklentilerimi ve

ekibin hangi alanlara yönelmesi gerektiğini açıklıyordum. İç denetim ekibinden büyük

beklentilerim vardı. En temel görevlerinin kurum çapında operasyonel bir denetim

gerçekleştirmek olduğunu belirtmiştim. Daha önceden belirlenmiş olan denetim evreninde,

herhangi bir risk değerlendirmesi modeli kullanmadan, birimleri yargısal olarak en riskliden

risksize göre sıralamaları ve denetimlere en riskli birimlerden başlamaları konusunda öneride

bulundum. Zamanımız azdı ve hızlı sonuç almak zorundaydık. Risk değerlendirmesi işlemi çok

24

önemli olmakla birlikte sonraya bırakılması gerekiyordu. Arkadaşlar önerimi kabul ederek

şirketin tüm birimlerini en riskliden en risksize göre çeşitli tartışmalar sonucu aralarında

belirleyip, açıklaması ile bana ilettiler. Birkaç ufak değişiklik ile denetim planımız ortaya

çıkmıştı. Öncelikle üretim, pazarlama ve muhasebe (muhasebe, finans ve satın alma) alanları

denetlenecekti. Bunun nedeninin şirketin pazarlama ve bayi sistemi ile üretim alanlarında

önemli sorunlar yaşaması idi. Pazarlama gelirlerin, üretim ise giderlerin ana merkezi olarak

denetimden nasibini alacaktı. Muhasebe ise yine oldukça sorunlu olan satın alma ve idari

işlerin merkezi olması açısından dikkate alınmıştı.

Yürütülecek operasyonel denetimler sırasında 3 adet konuya odaklanılacaktı:

denetlenen birimlerin risklerinin belirlenmesi ve bu risklere yönelik iç kontrollerin tespiti bu

iç kontrollerin varlığı ve etkinliğinin teyit edilmesi iş ve işlemlerdeki sorunlar ile

operasyonların etkinliği ve verimliliğinin değerlendirilmesi.

İşe başlamamın üzerinden 4 ay kadar geçmiş, ben üst yönetim ile stratejik doğrultuyu

kesinleştirirken, bir kurum açısından en önemli fonksiyonlardan birisi olarak gördüğüm iç

denetim fonksiyonunu da tesis etmeyi başarmıştım. Ayrıca şirkette çalışan diğer üst yönetici

arkadaşlar ve orta kademe yöneticiler ile kapsamlı bir SWOT analizi gerçekleştirerek, şirketin

güçlü yanları, zayıf yanları, karşı karşıya olduğu fırsat ve tehditlere yönelik bir değerlendirme

yapmıştık. Bu değerlendirmeler benim kurum içi sorunlara ve sektördeki fırsatlara ilişkin

gözlemlerim ile birleştiğinde kısa, orta ve uzun vadeli aksiyon planları ortaya çıkmıştı.

Yönetim Kurulu üyelerinden bazıları göreve başlamamın üzerinden 4 aydan fazla bir zaman

geçmiş olmasına karşı şirkette somut bir gelişim göremediklerinden yakınıyorlardı. Bu

endişelerini de Yönetim Kurulu Başkanı Bay T ile paylaşmışlar, Bay T de konuya ilişkin bilgi

sahibi olmam açısından durumu nezaketli ve yumuşak bir dille bana aktarmıştı. Arkamda

durduğunu ve yapılan çalışmaların gerekliliğine olan inancını her fırsatta dile getiriyordu. Bazı

yönetim kurulu üyelerine göre geçen aylarda yaptığımız tüm çalışmalar fuzuli işler idi.

Kurumun vizyonu misyonu veya stratejilerinin belirlenmesi ve iç denetim fonksiyonu tesisi

gibi faaliyetler yerine acil olarak pazar geliştirme ve finansal yapılandırmaya yönelik çaba

gösterilmesi konusunda şiddetli görüşleri vardı. Biz elbette tehdit ve fırsat analizlerinde bu

gereklilikleri tespit etmiş, bunlara yönelik stratejileri belirlemiştik. Ancak acele etmiyor, hızlı

fakat temkinli hareketler ile ilerlemeye gayret ediyorduk. Bir toplantı sırasında yönetim

Kurulu üyelerinden bir muhasebe profesörünün kısa vadeli tüm borçların döviz cinsine

çevrilmesi teklifini kabul etmemiş ve bu teklifin şirketi önemli bir risk ile karşı karşıya

25

bırakabileceği uyarısında bulunmuştum. Birkaç üye daha bu konuda profesör ile aynı

fikirdeydi. Onlara göre döviz kurlarındaki düşüş sürdüğü müddetçe bundan faydalanmak

gerekmekteydi. Konunun risklerine yönelik bir değerlendirmeleri yoktu. Tek taraflı bir bakış

açısı ile yaklaşıyorlardı. Bu ve benzeri bazı fikirlerin ben ve diğer yönetici arkadaşlarım

üzerinde baskı oluşturmaya başlaması ile birkaç kere istifanın eşiğinden dönmüştüm. Her

defasında Bay T arkamda durduğunu ve benim kararlarında bağımsız olduğumu yineleyerek

beni kararımdan vazgeçiriyordu. Sorumluluk duygum ve bu destek birleştiğinde istifa

kararımdan vazgeçiyordum.

Yönetim kurulu benim ve ekibimin çalışmalarını ve kararlarını sorgulayıp, bizleri zorlarken

kısa zamanda gelmesini beklemediğim bazı iyi haberler almaya başladım. Evet sürprizi

gerçekleştiren bizim iç denetim ekibi idi. Denetimlere başlamışlar ve daha ilk denetimleri

olan pazarlama sürecinde önemli risk ve etkinsizlikler belirlemişlerdi. Önemli olduğunu

düşündükleri birkaç noktayı bana ilettiklerinde, kurumun birkaç senedir süre gelen kan

kaybının önemli bazı sebeplerinin ortaya çıkmış olduğunu görmüştüm.

En önemli ve vahim olarak gördüğüm problem şirketin ar&ge, üretim ve pazarlama birimleri

arasındaki korkunç boyuta varmış olan koordinasyon ve iletişim eksikliği idi.

Bir yandan denetimden gelen doneler ile ilgilenirken, diğer yandan da Yönetim Kurulundaki

bazı üyelerce önerilen ve üzerimde baskı unsuru yaratan hususlar üzerinde çalışmaya

başladım. Değerli bir insan olan Yönetim Kurulu Başkanı Bay T yi de zor durumda bırakmak

istemiyordum. Ne de olsa özel sektörde farklı, yazılı olmayan bazı kurallar söz konusu idi.

İç denetçilerim pazarlama bölümü ile ar&ge arasındaki ilişkinin zayıflığını ortaya koymuşlardı.

Pazara en yakın kişiler olan satış ekibi, müşterilerin yani toptancı ve perakendecilerin ihtiyaç

ve beklentilerini toplamıyor, sınırlı sayıda topladıklarını ise ar &ge cilere iletmiyorlardı. Bu

durumda ar & ge departmanındaki mühendis arkadaşlar piyasa beklentilerini öğrenemiyor,

yalnızca gelişmeleri takip etmekle yetiniyorlardı. Bir zamanlar bu firmanın itici gücü olan

yenilikçilik artık tarih olmak üzereydi. Pazarda neden gittikçe kan kaybettiğimiz ortaya

çıkıyordu. Ürünlerimiz demode kalmaya başlamıştı. Hala geçmişin mirası üzerine iş yapmaya

çalışıyorduk. Allahtan piyasada iyi bir ismimiz, bir marka değerimiz vardı.

Rakiplerimizin teknolojik açılımlar ile farklı ürün grupları ve ürünler tasarlayıp pazara

sürerken, bizim bu yarışta geri kalmış olmamız kabul edilemezdi. Yönetim ekibimi toplayarak

26

durumu kendileri ile paylaştım. Bu toplantı sırasında iç denetçilerin denetimleri sırasında

yaptıkları bazı analitik incelemelerin sonuçlarından da faydalanmıştım.

Bu analitik çalışmalar son 5 yıllık dönemi kapsayan çeşitli mali ve mali olmayan veriler

arasındaki ilişkileri sorgulayan rasyolardan oluşuyordu. Bu çalışma trend analizi, yüzde analizi

gibi analitik teknikler ile satış-muhasebe verilerini ilişkilendiren bazı çalışmalardan

oluşuyordu. Denetçilerimle toplandığımız günlerde onlara analitik teknikleri kullanmanın

öneminden bahsetmiştim. Denetlenecek süreç veya birimlere ilişkin en temel bilgi edinme

yollarından birisi idi analitik inceleme teknikleri. İçinde mali tablo analizlerini de barındıran,

ancak kurumun mali olmayan; ar &ge sonrası çıkartılan ürün, pazar payı, müşteri

memnuniyeti gibi verilerini de incelemeye alan tekniklerdi bunlar.

Denetimin henüz başlangıcında, denetlenecek birimler ve süreçler ile ilgili geçmişten bu güne

genel bir değerlendirme yapmayı ve olası sorunları ve sorunlu alanları önceden tespit etmeyi

hedefleyen çalışmalardı. Denetçilerimiz yaptıkları analizler sonucu Net Satışlar Büyüme

Oranı, Net Kar Büyüme Oranı ve Faaliyet Karlılığı gibi oranlarda son 5 yıl itibariyle devamlı bir

düşüş, Stok Devir Hızının da yine inceledikleri dönem itibariyle yıllar bazında düşmeye

başladığını tespit etmişlerdi. Buna ek olarak bir diğer oran analizi olan Nakit Çevirme Süresi

analizi sonucu nakit çevirme sürelerinin de gittikçe uzadığını belirlemişlerdi. Elimde

denetçilerin analitik çalışmaları ile risk/kontrol değerlendirmeleri sonucu tespit ettikleri iç

kontrol zafiyetlerine ilişkin değerlendirmeler vardı ve bunlar Pazarlama Departmanına yanlış

yolda oldukları mesajını verebilmemi sağlamıştı. Kendilerini bu sonuçlarla ilgili sözel ve yazılı

olarak bilgilendirdikten sonra bu alalarda acil gelişme sağlamak üzere harekete geçmelerini

istedik. Pazarlama yöneticilerinin pek çoğu durumun vahametinin farkına yeni varmıştı.

Pazarlama ve finansal yapıyı yeniden organize ederken, bir konuda danışmanlık almaya

ihtiyaç duymuştum. Denetçilerimin denetimlerine devam ediyorlardı. Pazarlama

departmanından sonra üretim departmanına geçmiş, denetim öncesi ön araştırma faaliyeti

(pre-survey) içindeydiler. Bu aşamada denetim açılış toplantısı ile denetimler başlar başlamaz

denetlenecek birim ve süreç hakkında bilgi toplanır. Bana göre de bir denetimin en önemli

kısmı bu pre-survey veya ön hazırlık denilen aşamadır. Bu aşamada denetime tabi birim veya

sürecin yönetici ve çalışanları ile seri toplantılar gerçekleştirilerek yürütülen operasyonlar ve

işler ile ilgili detaylı bilgi toplanır. İş ve işlemler yerinde gözlemlenir. Çeşitli anket çalışmaları

ile bilgi alınmaya çalışılır. Bu faaliyetin en önemli amaçları süreçte yürütülen işleri anlamak,

sürecin amaç ve hedeflerini öğrenmek ve bu hedeflerin kurumun ana amaç ve hedefleri ile

uyumunu gözlemlemek, yönetici ve çalışanları tanımak, sürecin sorunlarını tespit etmek, risk

ve kontrollerini dokümante ederek bir sonraki adım olan saha çalışmasına hazır olmaktır.

27

Denetçilerimin bu faaliyetler ile ilgili yoğunluğunu bilmeme rağmen, önemli bir konuda

danışmanlık hizmeti almak üzere iç denetçi ekibinden bir denetçiyi kendimce önem arz eden

bir konuda çalışmak üzere görevlendirmek durumunda kalmıştım. Denetçiler kurum içinde

adeta en önemli yardımcım olmuş, önemli katkılar sağlamaya başlamışlardı. Danışmanlık

istediğim konu şirket içi çalışanların motivasyon ve iş tatminlerinin tespit edilmesi idi.

Denetçime 1 haftalık bir süre vermiş ve şirket içindeki motivasyon düzeyi ve iş tatminini

ölçmesini, sonuçları kendi yorumu ile birlikte derleyip bana getirmesini istemiştim. Bu amaçla

kısa bir anket düzenlemesi ve odağı iyi belirlenmiş toplu mülakatlar yapmasını önermiştim.

Önerilerimi kabul eden genç arkadaşım 1 haftalık bir çalışma sonucu tüm şirketin personel

motivasyonu ve iş tatminine ilişkin enteresan sonuçları olan bir çalışmayı tamamladı.

Sonuçları kendi görüşü ile bana sözlü olarak sunarken (rapor istememiştim) şirketin ana

sorunlarından biri olan verimsizliğin bazı önemli nedenleri de ortaya çıkmaya başlamıştı.

Çalışanlar maaş veya çalışma saatlerinden değil şirket içi bazı uygulamalardan inanılmaz

rahatsızlardı. Özellikle de orta düzey yöneticiler aşırı bürokrasi ve kağıt trafiğinin işleri

aksattığından dem vurmuş, işleri hızlandırmak istediklerini belirtmişlerdi. Alt düzey çalışanlar

ise kendilerine net hedefler koyulmaması ve performanslarının ölçülüp,

ödüllendirilmediğinden şikâyetçiydi.

Pek çok çalışanın kuruma sadık olması ve şirkete bağlılığı sevindiriciydi. Mini danışmanlık

görevinde başarı sağlayan ve beni bilgilendiren denetçime teşekkür ettikten sonra

şirketimizin insan kaynaklarından sorumlu İdari ve Mali İşler Müdürü Bay M ve diğer üst

düzey yöneticiler ile konuyu masaya yatırdım. Sorun şirketimizin bir insan kaynakları

politikası olmaması idi. Bu ölçekteki bir firmada, üstelik bürokrasinin kol gezdiği bir kurum

kültüründe, yazılı olmayan ve çalışanlar tarafından bilinmeyen bir insan kaynağı politikasının

eksikliği en önemli problemlerden biri olarak kendisini gösteriyordu. Bu konu ile ilgili olarak

piyasadaki en iyi uygulamalar konusunda bilgi almak üzere eski bir arkadaşımı şirket

yöneticilerine brifing vermesi için davet ettim. Keyifli, yarım günlük bir konferans sonrası

piyasadaki en iyi uygulamalar ile kendi uygulamalarımız arasındaki farklar net bir şekilde

ortaya çıkmıştı. Arkadaşım bize bu konuda gönüllü olarak yardım edebileceğini söylemişti.

Arkadaşlar arası mesleki dayanışmanın önemini bilen ve kendim de elden geldiğince bilgili

olduğum alanlarda arkadaşlarıma yardımcı olmaya çalışan biri olarak, arkadaşımın yardımının

bize ne kadar büyük zaman kazandıracağını görebiliyordum. Şirketin amaç ve hedefleri ile

stratejik yönünün net bir şekilde çizilmesi, iç denetim fonksiyonunun tesisi, mali yapısının

reorganizasyonu (Yönetim Kurulu Baskı ile) ve pazarlama fonksiyonunun iyileştirilmesi

28

sonrası sıra, bir kurumun en önemli varlığı olarak gördüğüm insan kaynaklarına dair politika

ve uygulamaların oluşturulmasına gelmişti.

Yolumuz uzun ve zorluydu. Bu yolda iç denetçilerin varlığı yönetim ekibinin diğer üyelerine

de güven vermeye başlamıştı. Yönetim Kurulu Başkanımız şirkette esmeye başlayan değişim

rüzgarının farkında olduğunu ve bu konudaki memnuniyetini dile getirmişti. Ancak iç denetim

konusunu, denetçilerin fonksiyonunu hala pek anlayamadığını, kendisi ve diğer yönetim

kurulu üyelerine bir brifing vermemi rica ediyordu. Bir sonraki toplantıda iç denetim

fonksiyonu ve iç denetçilerin kurum içindeki rolleri konusunda bir sunum yapmak üzere

sözleştik. Sürpriz olan brifinge denetçi arkadaşlarımın da çağırılmasıydı. Anlaşılan Yönetim

Kurulu iç denetimi önemsemeye başlamıştı.

Yönetim Kurulu Başkanı Bay T’nin benden istediği iç denetim sunumunu iç denetim

birimindeki 3 arkadaşımız ile birlikte hazırladık. Eski bir iç denetçi olmam dolayısı ile bu

konuda hatırı sayılır bilgiye sahip olmama rağmen sunumu üç denetçi arkadaşımdan en

tecrübeli olanı olan Bay E nin yapmasını istemiştim. Bay E ye çok teknik bir sunum

yapmamasını, konuyu basit bir dille anlatması gerektiğini söyledim. Yönetim Kurulu

Üyelerinin iç denetim ile ilgili sağdan soldan duydukları dışında bilgisi yoktu. İç denetimin ne

olduğunu ve ne fayda sağlayacağını herkesin anlayacağı şekilde anlatmalıydık. Ancak elbette

bu kolay bir iş değildi. Meslek dışından gelen, meslek tecrübesi olmayan veya daha önce iç

denetçiler ile çalışmamış kişilere iç denetimi anlatmak ciddi zorlukları olan bir işti. Ancak bir o

kadar da önemliydi. Denetim birimlerinde çalışırken iç denetim ve iç denetim kavramları

üzerinde önce denetim birimi içinde, sonra çalıştığımız kurum içinde ve nihayetinde de iç

denetim camiası ile hemfikir olmamız gerektiğini savunurdum. Bir kavramdan tüm ilgili

taraflar aynı şeyi anlamalı, aynı anlamı çıkarmalıydı. Bu nedenle de teknik ifadelerden ziyade

somut örnekler ile iç denetimi anlatmak, kafalarda yer edinmesini sağlamak gerekecekti. İç

denetim ekibimiz ve ben sıkı bir hazırlık dönemi sonucu yönetim kurulunun karşısına çıkmaya

hazırlanmıştık.

Benim önerimle yönetim kuruluna ek olarak üst düzey diğer yönetici arkadaşlarımızın da

brifinge katılımları sağlanarak herkes için uygun bir zamanda iç denetim tanıtım

sunumumuzu gerçekleştirdik.

Sunuma iç denetimin genel kabul görmüş tanımı ile başlamıştık:

“İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden

bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk

29

yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına

yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı

olur”

Bu tanımı paylaştıktan sonra bu tanımın üzerinde durmaya karar vermiştik. Zaten sunum

sırasında Yönetim Kurulu Üyelerinden peşi sıra sorular gelmeye başlamıştı. Sorularda risk

yönetimi, iç kontrol, yönetişim, sistemli, disiplinli, süreç gibi kavramların ne anlama geldiği

sorulmuştu. Bu sorular ve sunum sırasında verdiğimiz cevaplar şu şekildeydi:

Soru: Risk Nedir? Risk Yönetimi Nedir?

Risk bir kurum, birim veya faaliyetin hedeflerine ulaşmasını engellemeye yönelik bir tehdit

içeren potansiyel sonuçlardır. Yani riskler hedefleri ulaşmayı engeller. Risk Yönetimi ise, bir

kurumun karşı karşıya olduğu risklerin tanımlanması, ölçümlendirilmesi ve

önceliklendirilmesi (yani risk değerlendirmesi) sonrası başlayan, bu risklere yönelik

tedbirlerin alınması ile devam eden ve nihayetinde de bu risklerin sürekli olarak takibi ve

mevcut tedbirlerin etkinliğinin değerlendirilmesi ile sona eren bir süreçtir.

Kurum içi ve dışında kurumu ilgilendiren riskler belirlendikten sonra, bu riskler bir önem ve

öncelik sırasına sokulmak üzere ölçülür, yani puanlanır. Tüm bu işlemlere de “risk

değerlendirmesi” işlemi denir. Ardından belirlenen bu riskler tek tek veya gruplar halinde ele

alınmak sureti ile bunları etkisiz hale getirmeye yönelik “risk yönetim” stratejileri geliştirilir.

Kısaca risk yönetimini kurum çapında “risk avcılığı” olarak tanımlamak mümkündür.

Avlanacak olan hedefler tespit edilir. Öncelik sırasına konur. Nişan alınır ve hedefler bu sıraya

göre vurulur. İşte hedeflerin belirlenip öncelik sırasına koyulması “risk değerlendirmesi”

vurulması esnasında kullandığımız tüm teknik ve araçlar “risk yönetimi” olarak ifade

edilebilir.

Soru: Riske birkaç örnek verebilir misiniz?

Örneğin, şirketimiz boya üretiyor. Ürettiğimiz boyaların içinde sağlığa zarar veren bir madde

bulunması nedeni ile insanların zarar görmesi hukuki sonuçlar ile itibar sorunlara yol açabilir.

Burada ürettiğimiz boyaların içinde sağlığa zararlı madde bulunması bir “tehdit” olarak

nitelendirilir. Bu tehdidin gerçekleşmesi, yani bu maddelerin üretimde kullanılması ise bir

“sonuç” a yol açabilir. Bu sonuç insanların zarar görmesi nedeni ile hakkımızda dava açılması

ve kamuoyundaki imajımızın zedelenmesidir. İşte bu iki sonuç sırasıyla yasal risk ve itibar

riskleridir.

Risk etki ve olasılık kavramları ile ölçülür. Olasılık riskin gerçekleşme sıklığı veya ihtimali, etki

30

ise yol açacağı zararın boyutudur. Örneğimize dönersek, var olan bir tehdit gerçekleşmesi

halinde, iki sonuca yol açmaktadır. Dolayısı ile iki risk söz konusudur. Hukuki riskin

gerçekleşmesi sonucu maddi kayıplarımız riskin etki boyutunu, bu tip bir tehdit nedeni ile

riskin gerçekleşme ihtimali de olasılık boyutuna işaret eder. Benzer şekilde itibar kaybı

nedeniyle satışlardaki ve hisse değerlerindeki düşüş de söz konusu itibar riskin maddi bir

etkisidir.

Bir riskin gerçekleşmesi için mutlaka bir hedefe ulaşmayı engelleyecek bir tehditin belirli bir

olasılık dahilinde gerçekleşmesi ve belirli bir etki yaratması gerekmektedir. Yani örneğe

dönersek zararlı maddelerin tedarikçilerde satılıyor olması bir tehdit değildir. Bizim bu

maddeleri alarak üretimde kullanmamız bir “tehdit” oluşturmaktadır. Etkiyi ölçmek olasılığı

ölçmekten kolaydır. Olasılığı sağlıklı bir şekilde ölçmek çoğu zaman mümkün değildir. Bu

nedenle olasılıklar belirli ölçüde subjektif değerlendirmelere tabidir.

Risk Yönetim Stratejileri Neler Olabilir?

Risk yönetiminde farklı risklere farklı stratejiler geliştirmek mümkündür. Riskin yapısı ve

yaratacağı etki kadar kurumun bu riski yönetmek için ayırabileceği kaynaklar, kurumun risk

iştahı, risk kültürü gibi pek çok faktör strateji seçimini yakından etkilemektedir. Riskle ilgili

stratejilere bakıldığında genel anlamda riskten kaçınma, riskin transferi, riskin paylaşılması,

riskin kabul edilmesi ve riskin kontrol edilmesi gibi alternatifler söz konusudur. Bazı riskler

sigorta bedeli karşılığı 3. şahıslara transfer edilirken, bazı riskler olduğu gibi kabul

edilebilmektedir. Bazı risklerden kurtulmanın tek yolu o riski almamak yani riski doğuran

faaliyete son vermektir. Riskten kaçınma stratejisi budur. Riskin pek çok kere paylaşılması

yani doğurabileceği sonucun diğer şahıslarla birlikte karşılanması yolu seçilebilir. Riskin

kontrol edilmesi ise genellikle en geçerli ve uygun maliyetli çözüm olup iç kontroller ve iç

kontrol sistemi yoluyla risklerin azaltılıp, makul seviyelere indirilmesi anlamı taşır.

Risk Yönetiminden Kim Sorumludur?

Risk yönetimi diğer pek çok yönetim faaliyeti gibi kurumun üst yönetiminin sorumluluğudur.

İç denetçiler riskleri bizzat yönetmez. Risk yönetimi ile ilgili kararlar almaz, risk yönetim

fonksiyonunu işletmez. İç denetçilerin risk yönetimi ile ilgili sorumluluğu risklerin Yönetim

Kurulu adına izlenmesi ve risk yönetim faaliyetinin etkinliğinin değerlendirilmesidir. İç

denetçiler kurum için mevcut risklerin kurumun kabul edilebileceği düzeylerde yönetildiğine

dair Yönetim Kuruluna makul güvence sağlar.

31

İç Kontrol Nedir? İç Denetimin İç Kontroller ile ilgili sorumluluğu nedir?

İç kontrol kurumun üst yönetimi ve çalışanlarınca yürütülen, kurumun genel olarak amacına

ulaşmasına engel olabilecek riskleri hem stratejik düzeyde hem de iş süreçlerinde azaltmak,

makul düzeylere indirmek üzere alınan tedbirlerdir. İç kontrol sistemi veya süreci

dediğimizde kurumda var olan tüm iç kontrol faaliyetleri ve tedbirleri akla gelir. Bir kurumun

iç kontrol sistemi genel olarak aşağıdaki alanlardaki hedefleri gerçekleştirmek amacıyla tesis

edilir:

Operasyonel ve finansal raporlamaların güvenilirliği

Operasyonların etkinlik ve verimliliği

Mevzuat ve düzenlemelere uygunluk

İç denetçilerin iç kontroller ile ilgili yönetsel bir sorumluluğu yoktur. Yani iç kontrol sisteminin

kurulması ve yönetilmesi kurum yönetiminin sorumluluğudur. İç denetçiler iç kontrol

sisteminin ve sistemi oluşturan iç kontrollerin varlığı ve etkinliğinin değerlendirilmesi ve iç

kontrol sisteminin riskleri yönetmede yeterli olduğu noktasında Yönetim Kuruluna makul

güvence vermek amacını güder. İç kontroller üretimden pazarlamaya, insan kaynaklarından

muhasebeye kadar kurumun tüm birimlerinde var olup, bunların etkinliği bir kurumun amaç

ve hedeflerine giden yolda sağlıklı bir şekilde ilerlemesine imkan sağlar. Örneğin, şirketimizin

üretim hattında yaşanan bazı operasyonel problemler üretim maliyetlerini, dolayısıyla da

ürünün maliyetini ve doğrudan satış fiyatını da etkiler. Satış fiyatı da ürünün pazar payında

önemli bir değişkendir. Görüldüğü üzere problemlerin daha kaynağında tespit edilmesi ve

bunlara çözümler geliştirilmesi bir şirketin pazar payını etkilemektedir. İç denetimin rolü,

Yönetim Kuruluna iç kontrollerin kurumu doğru bir istikamette tuttuğuna dair makul güvence

vermektir.

Yönetişim Nedir? İç Denetimin Yönetişim ile ilgili görevleri nelerdir?

Yönetişim veya diğer bir deyişle Kurumsal Yönetim özünde şirketlerin hissedar ve diğer

menfaat sahiplerine, yani paydaşlarına en yüksek yararı sağlayacak biçimde yönetilmelerini

amaçlayan bir yönetim tarzı ve felsefesidir. Son birkaç yıl içinde yaşanan ve büyük yankılar

uyandıran şirket skandallarının ana sebebi şirket yönetimlerinin şirketleri asıl hak sahibi olan

hissedarların yararına değil, kendi bireysel çıkarları doğrultusunda yönetmeleriydi. İşte bizim

şirketimizde de benzer bir durumun yaşanmaması amacıyla yöneticilerin performansları ve

faaliyetlerinin denetlenmesi, yöneticileri bu tür davranmaktan alıkoymaya yönelik gözetim

mekanizmalarının kurulması önem taşımaktadır. İşte iç denetimin kurumsal yönetim ile ilgili

32

görev ve sorumlulukları burada devreye girmektedir. İç denetim operasyonel faaliyetler ile

yönetsel faaliyetleri risk odaklı bir yaklaşım ile denetleyerek, yönetimin şirketi belirlenmiş

amaç ve hedefler doğrultusunda yönettiğine dair Yönetim Kuruluna makul güvence sağlar.

Ayrıca iç denetçiler Kurumsal Yönetim ilkeleri olan şeffaflık, sorumluluk, hesap verilebilirlik

ve adillik ilkelerini kurum genelinde yaymak, desteklemek ve tanıtmak misyonuna da

sahiptir.

Neden Yönetim Kurulu? Risk Yönetimi, İç Kontrol ve Yönetişim süreçleri ile ilgili bizim

sorumluluklarımız nelerdir?

Yönetim Kurulları, hissedarlar tarafından onların haklarını korumak ve şirketi hissedarlara en

fazla fayda sağlayacak biçimde yönetmelerini sağlamak amacı ile teşkil olunmuş yapılardır.

Hissedarların bir kısmı bizim şirketimizde olduğu gibi aynı zamanda yönetim kurulunda da

olabilir. Ancak bazı şirketler halka açılmakta veya yabancı ortak almaktadır. Bu durumda hem

bu yeni hissedarların hem de eski hissedarların haklarını korumak amacı ile şirketi yöneten

profesyonel yöneticiler üzerinde bir kontrol mekanizmasına ihtiyaç duyulur. İç ve dış denetim

bu bağlamda önemli araçlardır. İşte bu kontrol mekanizmalarını sağlamak da Yönetim

Kurulunun sorumluluğudur. Bunun haricinde şirketin hissedarlara maksimum fayda

sağlayacak biçimde yönetilmesi için öncelikle kurum yönetiminin buna yönelik amaç ve

hedefleri olması, sonra da bu amaçlara dönük risklerini iyi yönetmesi gerekmektedir. Burada

risk yönetimi ve iç kontrol süreçlerinin sağlıklı olması önem taşır. Bu sistemlerin sağlıklı olup

olmadığına dair güvenceyi Yönetim Kuruluna iç denetçiler sağlar. Ayrıca tüm dünyada

Yönetimin seçilmesi ve performansının izlenmesi elbette ki Yönetim Kurulunun

sorumluluğundadır.

Ancak bazı kurumlarda Yönetim Kurullarının ağır iş yükü ve daha farklı stratejik boyutlu

işlerin takipçisi olmaları nedeniyle, yukarıdaki yönetişim, risk ve iç kontrollere ilişkin izleme

ve değerlendirme görevlerini kendi içlerinden veya dışarıdan uygun adaylar arasından

seçtikleri, bu kişilerce oluşturulan farklı organlara delege ettikleri görülmektedir. En iyi

uygulamalarda, Denetim Komitesi olarak bilinen bu kurullar, Yönetim Kurulları adına

kurumun bazı yasal düzenlemelere uyumu ile hissedar çıkarlarına uygun hareket edildiğine

dair görevler üstlenirler. İç denetim birimleri de fonksiyonel olarak bu kurullara raporlama

yapar. Bu kurullar kurum yönetim kuruluna bağlı olarak, ancak kurum üst yönetiminden

bağımsız görev yapmaktadır. Tüm bu soruların ardından yeni sorular geleceğini biliyorduk.

Ancak Yönetim Kurulu üyelerimiz brifingimizin bu ilk bölümünden fayda sağlamış

gözüküyordu. Bu da brifing sırasında bizleri motive etmişti. Bir sevindirici gelişme de gerek

yönetim kurulu üyeleri, gerekse de yönetim ekibinin kurumsal yönetim, risk yönetimi ve iç

kontrol kavramları ile bu kavramlara ilişkin görev ve sorumluluklarını daha iyi kavramaları idi.

33

Brifingin ikinci kısmı öncesi verdiğimiz kısa ara boyunca da bu kavramlar ile ilgili tartışmaya

devam etmemiz, konuya gösterilen ilgiyi göstermekteydi.

Şirketimizin Yönetim Kurulu üyeleri ve yöneticileri ile gerçekleştirdiğimiz iç denetim tanıtım

toplantımızın ilk bölümü istediğimiz gibi verimli geçmiş, ana hedefimiz olan dikkati çekmeyi

başarmıştık. İlk bölüm sonrası verdiğimiz çay kahve arasında, katılımcılardan çok farklı, ilginç,

daha önce üzerinde düşünmediğimiz konularla ilgili sorular geliyordu. Cevaplayabildiklerimizi

cevaplıyor, cevap veremediklerimizi ise konu ile ilgili araştırma yapıp geri döneceğimizi

nezaket içinde ifade ederek geçiyorduk.

Bir iç denetçi açısından her şeyi biliyor gözükmek veya bilmediğimiz hususlar üzerinde fikir

beyan etmenin hatalı olacağını düşünerek iç denetim meslek hayatım boyunca hep temkinli

davranmıştım. Ne de olsa bir iç denetçi açısından en önemli hususlar itibar ve güvenilirlik idi.

Toplantının ikinci bölümüne iç denetçiler ve sunacağı hizmetler ile ilgili bilgi vererek devam

ettik. İç denetçilerin görevleri süresince pek çok farklı rolü üstlendikleri hususuna dikkat

çektik. İç denetçilerin temel odağının hata bulmak değil; değer katmak olduğuna sürekli

vurgu yapıyorduk. Bu bağlamda iç denetçilerin denetim elemanları olmakla birlikte, yeri

geldiğinde birer finansal analist, yeri geldiğinde danışman, gerektiğinde risk

değerlendirmecisi gibi farklı roller üstlenebileceği, bunların temelde kuruma değer katmak

amaçlı roller olduğuna dikkat çekmiştik.

“İç denetim, hem genel hedef ve amaçlara ulaşma konusunda, hem de iç kontrol ve

yönetişimi güçlendirme konusunda üst yönetim ve yönetim kurulu için değerli bir kaynaktır”

dediğimizde Yönetim Kurulu Başkanımız Bay T bize bir soru yöneltti:

“İyi güzelde bu değer katma işine nereden başlayacaksınız. Risk Yönetimi, İç Kontrol ve

Yönetişimden bahsettiniz. Bizim şirkete bakarsak Risk Yönetimi ve Yönetişim süreçlerinin hali

hazırda mevcut olmadığını, iç kontrollerin ise dağınık şekilde operasyonlar içinde yer aldığını

görüyoruz. Ana amacınız bu üç konuda değer katmak ve bu üç alandaki süreçleri iyileştirmek

ise, siz işe nereden başlayacaksınız, nasıl değer katacaksınız?”

Aslında bu soruyu bekliyorduk ve hazırlıklıydık. Sözü arkadaşlarımdan isteyerek bu soruyu

ben cevaplamak istedim:

34

“Kurumlarda risk yönetimi, iç kontrol ve yönetişim süreçlerinin bir sisteme dayanmaması

veya açıkça sınırları çizilir vaziyette bulunmaması iç denetim açısından elbette ki arzu edilen

bir durum değildir. Yani etkinliğini arttırmaya çalıştığımız bir şeyin önce tanımlanabilir olması

gereklidir. Bu bağlamda iç denetim faaliyetinin temel önceliği içinde bulunduğu kurumu ve

faaliyetlerini tanımak, amaç ve hedefleri bilmek ve bu öncelikler paralelinde gerçekleştireceği

denetimler ve danışmanlık hizmetleri sonucu elde edeceği bilgi ile kurumun risk yönetim, iç

kontrol ve yönetişim süreçlerinin daha tanımlanabilir, sistemsel ve en iyi uygulamaları

gözeten bir çerçevede ele alınmasını ve değerlendirilmesini sağlamaktır.

Yani bu süreçlerin adının konmamış ve sistemli halde uygulanmıyor olması bunların kurumda

bulunmadığı anlamına gelmez. Önemli olan iç denetçilerin mevcut durumu tespit edip, olayın

sistemsel boyuta taşınmasına yardımcı olmalarıdır. İç denetçiler Kurumlarının risk yönetimi,

iç kontrol ve yönetişim alanlarında bulundukları konumun fotoğrafını çeken, eksiklikleri

tespit eden, bunları Yönetim Kurulları ve Üst Yöneticiler ile paylaşan ve sorumluları (Yönetim

Kurulları Ve Üst Yöneticiler) yukarıdaki üç süreci genel kabul görmüş sistemler dahilinde daha

iyi yönetmeye teşvik eden profesyonellerdir.

Yani özetlemek gerekirse; kurumumuzun iç kontrol, risk yönetimi ve yönetişim süreçlerinin

etkinliğini değerlendirmek ve geliştirmek amacı ile önce kurumumuzun iş süreçlerini

denetleyeceğiz. Bu denetimlerin öncelikli amacı kurumun karşı karşıya olduğu riskler ve bu

risklere yönelik kontrollerin sağlıklı olup olmadığı. Sonra bu denetimler sırasında elde

ettiğimiz bilgi ve deneyimi, risk yönetimi, iç kontrol ve yönetişim alanlarındaki güncel en iyi

uygulamalar ile karşılaştırmak suretiyle kurumumuzun mevcut durumunu ortaya koyacağız.

Bir sonraki aşamada ise bu en iyi uygulamaları kurumuza adapte etmek ve uygulanmalarını

sağlamaya yönelik olarak Üst Yöneticilere danışmanlık hizmetleri sağlayacağız. Yani denetim

hizmetlerini danışmanlık hizmetlerini daha etkin ve sağlıklı sunabilmek için bir basamak

olarak kullanacağız. Ancak tüm bu danışmanlık hizmetlerini sunarken de denetim

hizmetlerini asla aksatmadan, kurumda işlerin amaç ve hedefleri gerçekleştirmeye yönelik

olarak etkin ve verimli bir şekilde yürütüldüğüne ve iç kontrollerin kurumu doğru rotada

tuttuğuna dair güvence vermeye devam edeceğiz”

Cevabımı bitirir bitirmez, mali işlerden sorumlu yönetim kurulu üyesi olan ve göreve

başladıklarından bu yana iç denetçiler ve iç denetim faaliyetlerine temkinli yaklaşan Prof M.

Günün başından beri beklediğimiz o can alıcı soruyu sormuştu:

35

“Sizi ve iç denetçi arkadaşları büyük bir keyifle dinledik. Anlattıklarınız hakikaten de ilgi çekici.

Ancak bizim kurumun bahsettiğiniz diğer iç denetim hizmetlerine neden ihtiyaç duyduğu

konusu benim için yeterince net değil. Yani şirketimiz için iç denetim birimi veya faaliyeti

kurulması konusunda yasal bir zorunluluk yok. Evet, teftişe, yani iş ve işlemlerin geçmişe

dönük olarak sorgulanmasına bende sıcak bakıyorum. Ama risk yönetimi, iç kontroller,

yönetişim alanlarında denetim ve danışmanlık yolu ile kuruma değer katmak hem maliyetli

hem de uzun sürecek bir süreç gibi geliyor bana. Bu maliyeti neden göze alalım veya daha

doğru ifadeyle mevcut ölçeğimizde neden bu tür bir hizmete ihtiyaç duyalım. Şirket

Yöneticilerimiz risklerin yönetilmesinde veya operasyonların verimliliği hususunda neden iç

denetçi desteğine ihtiyaç duysun ki?”

Prof M. nin kendi düşüncelerini bir soru ile özetlediği yorumu, salondaki tüm bakışları iç

denetçilerin hamisi konumundaki bana yöneltmişti. Aslında kafalardaki şüpheleri yok etmek

açısından iyi bir fırsat olmuştu bu soru. Cevabı verirken iç denetçi arkadaşların notlar

aldıklarını görüyordum:

“Bu gün çok çeşitli sektörlerde birçok orta ve büyük ölçekli firma bir iç denetim sistemine

sahiptir. İtibara dayalı sorumlulukları olan borsaya kote firmalar, bankalar ve diğer finansal

kurumlarda ise bildiğiniz üzere bu bir gerekliliktir. Diğer şirketlerde iç denetim sistemine

sahiptirler çünkü iç denetim sistemi Denetim Komitesi ve üst yönetime güvence sağlayan

yönetimsel kontrolün değerli bir parçası olarak algılanır ve yatırımcılar ile kreditörler için

işletmenin kredibilitesine değer katar. Yani iç denetim klasik yönetim fonksiyonlarından biri

olan kontrol etme fonksiyonunun önemli bir aracıdır. Kabul etmek gerekir ki daha küçük

organizasyonlarda yöneticiler günlük faaliyetleri etkin bir şekilde yönetebilecek ve

çalışanların işlevlerini takip edebilecek yeterlilikte yakındırlar. Ancak işletme büyüdükçe ya

da faaliyetler karmaşıklaştıkça yönetim çalışanların faaliyetlerini kontrol etmekte zorlanacak

ve birebir takipler yerini iç kontroller ve iç kontrol sistemlerine bırakacaktır. Bizim şirketimiz

sektörde önemli bir oyuncu olup, yıllar itibariyle gerek mali durum, gerekse de operasyonlar

itibariyle belirli bir büyüklüğe ulaşmış durumdadır. Büyük üretim hatları, karmaşık dağıtım

kanalları, yurt dışı irtibatları ve önemli büyüklükte kabul edebileceğimiz bir örgütsel yapısı

vardır. Bu nedenle, iç denetim hizmetlerinin değer katabileceği ve maliyetinin üzerinde fayda

sağlayabileceği bir iş ve örgütsel büyüklüğe sahiptir. Böylesi bir ölçek yukarıda bahsi geçen

üst yönetimin kontrol fonksiyonun icrasını güçleştirmekte, bu kontrol faaliyetlerinin

desteklenmesini zorunlu kılmaktadır.

36

İşte bu nedenle iç denetim sistemi bulunmayan organizasyonlar, eğer boyutları ve

faaliyetlerinin türü, sermaye kaynakları ve risk faktörleri gerektiriyor ise, bir sistem kurmaya

mutlak önem vermelidirler. Tüm bu koşulların bir iç denetim birimine sahip olmak adına

firmamız açısından geçerli olduğunu düşünmekteyim. Tüm bu görüşlere ek olarak bir

kurumun yönetsel ve operasyonel faaliyetlerinin, Yöneticilerden bağımsız ve objektif olan,

yetkin kişilerce sistematik olarak değerlendirilmesinin iş ve işlemlerin çok daha etkin ve

amaçları destekler şekilde yürütülmesine katkı sağlayacağını da düşünmekteyim. İç denetim

tanıtım toplantımız sonrası size yapacağımız ve denetçi arkadaşlarımız tarafından dört aydır

yürütülen denetim faaliyetlerinin sonuçlarına ilişkin sunumun, iç denetimin kurumumuz

açısından önemini ortaya koyacağını göreceksiniz”

Bay T tekrar bir soru sormak üzere söz almıştı. “Diyelim ki şirketimizin gerçekten de bu

hizmetlere ihtiyacı var ki ben kişisel olarak olduğunu düşünüyorum. Denetçi arkadaşlarımız

bu yükü nasıl kaldıracaklar? Pek çok farklı ve yoğun faaliyet söz konusu, denetimler,

danışmanlıklar, vs. Ekibi takviye etmek gerekecek mi sizce?

Soruyu oldukça beğenmiştim. Gerçekten de bir iç denetim Birimi açısından en önemli

unsurlardan bir tanesi de tahsis edilecek iç denetim kaynakları idi. Soruya cevap verirken

salonda konuya ilginin arttığını da gözlemlemekteydim;

“İç denetim fonksiyonları, denetledikleri alan ve riskler açısından uygun tecrübe ve yetenekte

birbirini tamamlayan yeterli personele ihtiyaç duyar. Personelin kendi uzmanlık alanlarında

süregelen bir eğitim almaları icap ettiği gibi kurum içindeki teknolojik ilerlemeleri ve

organizasyonel değişiklikleri birebir takip etmeleri zorunludur. Aynı zamanda, İç denetim

fonksiyonu koordineli uygulamalarla dış denetçilere destek olmalıdır. Bu nedenle risk, iç

kontrol ve yönetişim alanları ile ilgili mesleki bilgi dışında muhasebe, finans ve mali

raporlamalar ile ilgili bilgi sahibi olmak da önem taşır. Bu nedenle etkin bir iç denetim

fonksiyonu oluşturmak için önce yetkin iç denetçilerin istihdam edilmesi gerekir. Kesinleşmiş

bir kural olmamakla birlikte, kurumun personel sayısının %1-2’si oranında yetkin iç denetçi

istihdam edilmesi genel kabul görmektedir. Elbette ki bu sayı sektör, şirket organizasyonu ve

faaliyet yapısı ile işin niteliğine göre önemli ölçüde değişiklik gösterebilir. Organizasyon

denetim faaliyetleri için kurum içinde ayrı bir İç Denetim Departmanı oluşturabileceği gibi

süregelen görevlerde bir kısım denetim uygulamalarını görev tanımına ekleyebilir.

İç Denetim Departmanı diğer bölümlerde çalışan personeli de denetim ekiplerinin bir parçası

olarak geçici veya kalıcı olarak bünyesinde bulundurabilir. Örneğin bizim iç denetçi arkadaşlar

37

şirket içi farklı bir departmanda çalışırlarken tarafımca görevlendirildiler. Yine tarafımca

önemli bir eğitime tabi tutuldular. İç denetçilerin dışarından temin edilmesi de diğer bir

yöntemdir. Eğer uygun görülür ve resmi bir iç denetim departmanı kurmak konusunda

sizlerle fikir birliği sağlar isek, iç denetim ekibinin geri kalan kısmını dışarıdan istihdam

edeceğimiz tecrübeli iç denetçilerden oluşturacağız.

İç denetim muhtelif bilgi, beceri ve deneyimi gerektirmektedir. Bu becerileri bünyemize

katmamız gerekecek. Bu nedenle Sayın Bay T’ nin yorumuna katılıyorum. Kurumumuzun

yapısı ve gereksinimleri göz önüne alındığında çağdaş ve etkin bir iç denetim fonksiyonu

kurmak adına iç denetim ekibimizi güçlendirmemiz gerekecek. Bu sayede daha önce

bahsettiğimiz değer katma misyonu paralelinde, çok farklı alanlarda iç denetim

fonksiyonundan faydalanmak mümkün olacaktır.

Söze devam ederken çay ve kahve servisinin açılması ile ikinci arayı vermiş oluyorduk. Arada

Prof. M. yanıma gelerek kurumun iç denetçi ihtiyacına yönelik olarak kafasındaki diğer bazı

şüpheleri paylaştı. Kendisini ikna etmek oldukça zor olacağa benziyordu.

� Bertan KAYA (TCMB İç Denetçisi), http://www.bertankaya.net/ (Erişim: Ekim 2008)

İç denetim nedir? -...

Documents