İç kontrol ve kurumsal risk yönetimi ile ilgili danışmanlık hizmeti verdiğim şirketlerde yakından tecrübe ettiğim bir durum var. Bu şirketlerde Yönetim Kurulları, Denetim Komiteleri ve Üst Yöneticiler iç denetim ve iç kontrol arasındaki farkı iyi bilmiyorlar. Elbette bunlar mesleki yetkinlik ve deneyim gerektiren, teknik boyutlu konular, ancak bu farkındalık eksikliği şirketlerde Yönetim Kurullarının beklentilerinin yanlış yönetilmesine neden oluyor.
Örneğin, şirketlerinde “fraud”a karşı etkin bir koruma isteyen, hileli işlem ve suistimalleri “önlemek” isteyen bir Yönetim Kurulu, iç denetçileri doğru adres olarak görüyor. İç denetçilerin, gerçekleştirecekleri denetimler ile potansiyel fraud vakalarını yakalamaları, sorumluları raporlamaları ve şirket yönetimine de varlıkları ile caydırıcı bir mekanizma işlevi göstermeleri bekleniyor.
Oysa burada şirket için gereken mekanizma açıkça iç denetimden çok, iç kontrol mekanizması oluyor. Aradaki fark iyi bilinmediğinden, veya iç kontrol konusu iç denetime oranla daha az bilindiğinden, genelde iç denetimden fraud avcılığı, geleneksel müfettiş-polis rolü ya da daha kötüsü iç kontrolün yerine geçmesi ve günlük operasyonlar üzerinde kontroller icra etmesi bekleniyor.
Farkındalığı düşük şirketlerde durum buyken, bünyesinde uzun yıllardır iç denetim bulunan büyük holdinglerde de durum pek farklı değil. Bu yapılarda iç denetim- iç kontrol farkı yönetim kurulu ve icra seviyesinde kısmen bilinmekle birlikte, iç kontrol daha çok iç denetimin kendi işi gibi algılanıyor. İç kontrol kelimesini duyan yöneticiler, “ha bu iç denetim ile akalaklı bir iş” diyerek arkalarını dönüyorlar. İç kontrol, sadece iç denetim tarafından denetlenen, kağıt üzerinde bir dokümantasyon işi olarak görülüyor. Tıpkı ISO sistemleri gibi.
Birlikte çalıştığım şirketlerde işe bir Yönetim Kurulu farkındalık semineri ile başlıyorum. Bu iki kavramın farkını, ilişkilerini, olması gereken durumu basit, yalın ve örneklerden faydalanarak anlatıyorum. İç kontrolün icranın işi olduğu, bu sistemin icra tarafından oluşturulması ve yönetilmesi gerektiği konusunu özelikle vurguluyorum. Bu farkındalık oluşmadan işe başlamıyoruım. Ayrıca yönetim kuruluna üç savunma hattını anlatarak, beklentileri netleştiriyorum. Üç savunma hattı modelinde, iç kontrolün rol ve sorumluluğunu net olarak gösteriyorum.
Yönetim Kurulu’ nun amacı ve beklentisi ne olursa olsun, ben ve Control Solutions International’ da birlikte çalıştığım danışman arkadaşlarım hizmet verdiğimiz tüm yapılarda iç kontrol sistemini oluştururken operasyonel etkinlik ve verimliliği destekleyen, fraudu önleyen, kurumsal varlıkları koruyacak, iç ve dış düzenlemlere uyumu artıracak, veri, bilgi ve raporlamaların sağlıklı gerçekleştirilmesini hedeflenen SOMUT- ANLAŞILIR- YÖNETİLEBİLİR iç kontrol yapıları ortaya koyuyoruz. Bu yapıların sahipliğini ve sorumluluğunu icraya veriyoruz.
Bir örnek vermek gerekirse, Çimento sektöründe faaliyet gösteren bir müşterimizde, satın alma ve satış – pazarlama süreçleri ile ilgili ciddi bir iç kontrol çalışması gerçekleştirdik. Bu süreçlerin, alt süreçleri ile birlikte iş analizleri ve risk değerlendirme çalışmaları tamamlandı. Bu süreçlerin iş akışları oluşturuldu, görev tanımları güncellendi ve prosedürler risk ve kontrolleri de içerecek şekilde yazıldı. Bu süreçler ile ilgili her biri için ortalama 10 adet kritik kontrol faaliyeti tanımlandı ve bu faaliyetler için, kontrolün türü ve yapısına yönelik, periyodik kontrol raporları üretilmesi prosedüre bağlandı.
Görev, yetki, rol ve sorumluluklar RACI matrisleri ile tanımlandı. Süreçlerin ERP ile olan akışları ve etkileşimleri özel olarak risk analizine tabi tutuldu ve ERP üzerine ek kontroller ve raporlamalar oluşturuldu. Log ve yetki mekanizmaları güçlendirildi.
İç denetim faaliyetinin kapasitesi artırılarak, iç denetçilere risk odaklı iç denetim, iç kontrol denetimleri, COSO İç Kontrol Çerçevesi ve mevcut kontrol sistemi ile ilgili uygulamalı eğitimler verildi. İç denetçilerin, yeni oluşturulmuş olan sistemi denetlemesi için metodoloji ve araçlar sağlandı. İç denetim planları revize edildi.
Şirketin Üretim Süreci ile birlikte belki de en önemli iki süreci olan Satış ve Pazarlama ile Satın Alma Süreçlerinde kontrol yapısı öyle bir güçlendirilmiş oldu ki, hem hata, karışıklık ve suistimal olasılıkları azaltıldı, hem de üst yönetim ile Yönetim Kurulu’ nun, güvence düzeyi artmış oldu. Fraud olasılığını düşürecek kritik kontroller ile süreçlerin ikisi de ciddi anlamda kontrol altına alınmış oldu.
Pek çok defa, şirket yönetim kurulları şirketlerinin geneli için böyle bir hizmet bekliyor, ancak bunu iç denetim ihtiyacı olarak tanımlıyorlar. Esasen beklenti güçlü bir İÇ KONTROL sistemi. İç kontrol ise, tasarımdan, uygulamaya, revizyondan raporlamaya kadar başka bir alan, farklı bir uzmanlık. İç kontrolü denetlemek ve güvence vermekle görevli meslek grubu olan iç denetçiler, genellikle iç kontrol tasarımı, yönetimi ve raporlaması ile ilgili uzmanlığa sahip olmuyor. Ancak bu çok kritik detay herkes tarafından gözardı ediliyor veya gözden kaçıyor.
İç kontrol, artık tıpkı risk yönetimi gibi iç denetim ile ilişkili, ancak bağımsız bir statü kazanmalı. İç kontrol, iç denetimin bir alt alanı değildir. Aksine, iç denetim, iç kontrolün izleme (gözetim) bileşeninin önemli bir parçasıdır. Yani iç denetim, iç kontrolün sigortası olan parçası olarak işlev gösterir. İç kontrol, operasyonların, dış denetçilerin, iç denetimin ve uyum fonksiyonlarının üzerinde çalışacağı zemindir. Bu zeminin önemini anlamak için öncelikle iç kontrolün sadece iç denetimin sorumluluğunda olmadığı şirket yönetimlerine iyi anlatılmalı, yönetimin kontrol fonksiyonu çerçevesinde tesis edilmesi gereken bir sistem ve süreçler bütünü olarak görülmesi ve anlaşılması için gerekli farkındalık sağlanmalıdır.