Günümüzde iş dünyasında iç denetim ile ilgili ciddi bir kavram karmaşası yaşanıyor. İç denetim kavramının ne olduğu ve ne olmadığı genellikle bilinmiyor. Özellikle 2000 li yıllardan itibaren dünyada meydana gelen bazı kurumsal ve mali skandallar sonrası önemi artmaya başlayan bir kavram iç denetim. Amerika gibi gelişmiş, büyük piyasalarda bu skandallar sonrası iç denetim fonksiyonu ve iç denetçilerin önemleri oldukça artmış durumda. SOX gibi güçlü yaptırım gücüne sahip düzenlemelerin iç denetçilerin kamuoyu nezdindeki itibarını bir hayli arttırdığı bir gerçek. Özellikle Amerikada başlayan ve diğer Batılı ülkeler tarafından da itibar gören bu ve benzeri yasal düzenlemelerin ülkemizde de bazı yansımaları oldu. 2000 sonrası Bankacılık sektörü ile başlayan ve son 2 yıl içinde Kamu idareleri ile devam eden çağdaş iç denetime yöneliş, bir süredir özel sektörün de ilgisini çekmeye başladı.
Aslında ülkemizde iç denetim kavramı çok da yeni bir kavram değil. Bankacılık sektöründeki ve kamudaki teftiş kurulları geleneği neredeyse yarım asırlık bir geçmişe sahip. Özel sektöre bakıldığında köklü bazı kurumlarda 20 yılı aşkın süredir bazı temel iç denetim girişimleri söz konusu idi. Ancak tüm bu oluşumlar, dünyada iç denetimin ilerlediği çizgiden farklılık arz etmekte idi ve ekseriyetle güncel metod ve teknikleri yakalayamamıştı. Buna rağmen oldukça iyi niyetli çabalar olduğunu ve geçmişe dönük pek çok hata ve usulsüzlüğün tespitinde önemli rol oynadıklarını kabul etmemiz gerekiyor.
Bununla birlikte zaman içinde teknolojideki gelişmeler, piyasaların küreselleşmesi, ticaret ve sermaye akımlarının serbestleşmesi ve iş kültürünün değişmesi, kurumların yönetsel ve örgütsel süreçlerini değiştirmiş, farklı ve yepyeni fonksiyonlara olan ihtiyacı arttırmıştır. Örneğin, 1980 lerden sonra önemi artan risk ve risk yönetimi kavramlarına paralel olarak risk tanımlama, ölçüm ve yönetim teknikleri finans sektörünün iş yapış tarz ve mekanizmalarını kökten bir şekilde değiştirmiştir. Yine örneğin örgütsel yapılar daha bürokratik ortamlardan, yatay hiyerarşiye dönük bir gelişim sergilemiştir. Teknoloji verimliliği inanılmaz boyutta arttırırken, iletişim ve iş yapış şekillerinde hız kazanılması söz konusu olmuştur. Kağıt kullanımının yerini elektronik yöntemlerin alması, yazılım ve sistemlerin iş hayatında ağırlığının artması, yeni yönetim teorilerinin tartışılmaya başlanması ve çalışanların iş sistemleri içindeki rol ve sorumluluklarının yeniden tanımlanması değişim sürecinin ana gelişim noktaları olarak dikkat çekmiştir. Böylesi büyük bir değişimden iç denetimin nasibini almaması elbette düşünülemezdi.
Gerek bu ana değişimler, gerekse de bunların dolaylı etkileri sonucu ortaya çıkan yasal düzenlemeler iç denetimi geçmişe dönük ve mevzuata uygunluk eksenli bir bakış açısından ileriye dönük ve “risk odaklı” bir bakış açısına yöneltmiş, iç denetçinin bilgi ve teknoloji çağındaki rol ve sorumluluklarını yeniden şekillendirmiştir. Bugün gelişmiş ülkelerde, toplumun ve iş dünyasının, iç denetim fonksiyonu ve onu teşkil eden iç denetçilerden beklentileri net bir şekilde belirlenmiş, ortak bir anlayış ve kabul ile gerek yasal, gerekse de mesleki düzenlemelerde dile getirilmiştir. Ülkemizde çağdaş iç denetim anlayışı ve bunun hayata geçirilmesine yönelik çabalar 1995 yılında Türkiye İç Denetim Enstitüsünün (TİDE) kuruluşuna dek gitmektedir. 2000 lerin ilk yarısı Türkiye’de iç denetim kavramı ve çağdaş iç denetim uygulamalarına yönelik ilginin hızla artmaya başladığı dönem olmuştur. TİDE ve üyelerinin özverili çalışmaları sonucu iç denetçilik mesleği ülkemizde farklı boyutları ile ele alınır ve yaygın şekilde yürütülür hale gelebilmiştir. Türkiye’de CIA sertifika sınavlarına olan ilgi, basında iç denetim ile ilgili çıkan haberler, TİDE gibi sivil toplum örgütlerinin mesleki organizasyonlarına katılım ve ülkemizde bu alanda ortaya koyulan yasal düzenlemeler mesleğin geri dönülemez bir çizgide ve hızlanarak geliştiğini açıkça ortaya koymaktadır.
Bu yazının yazılmasına neden olan konu, özel ve kamu sektöründeki meslek profesyonelleri tarafından ne olduğu, kapsamı ve odağı iyi bilinen “iç denetimin”, özel ve kamu kurumlarındaki diğer yönetici ve çalışanlar ile iş dünyasındaki paydaşlar tarafından sağlıklı bir şekilde bilinmemesi gerçeğidir. Bu çevrelerde iç denetim ekseriyetle teftiş ve mali denetim ile karıştırılabilmektedir. Bu nedenle meslek profesyonelleri ile iç denetim hizmetini alacak olan veya alması yasal olarak zorunlu tutulan çevreler arasında bir kavram birliği sağlamak gerektiği düşüncesindeyim. Yazımızın başlığı da bu sebeple “İç Denetim Nedir?” olarak belirlendi. Elbette ki amacımız iç denetim ile ilgili bilgi sahibi olmak isteyen herkese ulaşmaktır. Ancak spesifik olarak özel ve kamu sektöründeki paydaşları bilgilendirme arzsundayız.
Uluslararası İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin esas ve genel kabul görmüş meslek organizasyonudur. Bu enstitünün uzun araştırma, istişare ve çabalar sonucu ulaştığı genel kabul görmüş bir iç denetim tanımı var: ” İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur ” Meslek profesyonellerinin ve diğer ilgililerin araştırdıklarında karşılarına genelde hep bu tanım çıkıyor. Bence oldukça makul ve geniş bir tanım. Yani mesleğin içinden kişilere çok şey ifade ediyor ve iyi yol gösteriyor. Öte yandan iç denetim mesleği dışından kişiler için çok anlam ifade ettiği kanısında değilim. Zaten meslek profesyonelleri dışında iç denetim ile ilgili ve ilişkili kişiler için (paydaşlar) kavram karmaşası da buradan çıkıyor. Genel ve altı net bir şekilde doldurulmamış klasik batı tanımları belirli bir kavramdan herkesin farklı bir şeyi anlamasına neden olabiliyor. Yorum farklılıkları olabiliyor. Hele de işin içinde olmayalanlar için bu kavramlar manzumesi pek bir karışık gelebiliyor. Risk, etkinlik, sistematik, disiplinli… Pek çok kavram üzerinde fikir birliği sağlamak zor gözüküyor. Bu nedenle de iç denetim kavramı ülkemizde hala teftiş ve mali denetim ile benzer bir çizgide görülüyor. Belki de öyle görülmesi tanımlanmasını kolaylaştırıyor.
Oysa ki yukarıdaki tanım çok farklı bir hikayeyi anlatıyor. Yapılması gereken bu hikayeyi sadece meslek profesyonelleri değil, herkesin anlayabileceği bir dilde anlatmaya çalışmak ve ortak bir anlayış geliştirmek. Öte yandan iç denetime ilişkin kısa, net, açıklayıcı ve tüm taraflarda benzer bir anlayışı oluşturabilecek bir tanım bulmak oldukça zor.
İç denetim bir kurum ya da organizasyonda yürütülen faaliyet iş ve işlemlerin yönetimden farklı ve tarafsız bir gözle değerlendirilmesi olarak özetlenebilir. Bu değerlendime esas olarak kurumda işlere ilişkin risklerin bilinmesi, iyi yönetilmesi ve bu riskleri yönelik olarak tasarlanan iç kontrollerin varlığı ve etkinliği konularına odaklanır.
Aslında iç denetimin en önemli fonksiyonu da budur. Temel odak risk ve kontroller olmaktadır. Zira bir kurumun iç kontrol sistemi o kurumun; a. operasyonlarının etkin ve verimli yürütüldüğü b. mali ve operasyonel raporlamaların doğruluğu c. mevzuata uygunluk hedeflerini gerçekleştirmesine yardımcı olur. İç kontrol sisteminin değerlendirilmesi, bu unsurların tamamının değerlendirme kapsamına girdiğine işaret etmektedir. Risk Yönetimi ve İç Kontrol bakış açısı ile şekilenen denetim fonksiyonu geleceğe dönüktür ve insanların değil sistemlerin ve süreçlerin hataları ile ilgilenir. Bir kurum ya da organizasyonun tüm iş ve işlemlerinde var olan riskler- ki bunlar arasında strateji ve planların misyon ve amaç ile uyumlu olmaması riski de vardır- ve kurumun risklerini nasıl yönettiği, iç denetimin ana odağıdır.
Yani bir kurumun iç denetçilerinin sorması ve cevap araması gereken ilk 3 soru şunlar olmalıdır: 1) Bu kurum bir bütün olarak, tüm alanlarda karşı karşıya olduğu riskleri iyi biliyor mu? 2) Bu riskleri yönetmek için neler yapılıyor? (iç kontroller gibi) 3) Bu riskleri yönetmek için alınan tedbirler etkin mi? (iç kontroller etkin çalışıyor mu?)
İş ve işlemlerin geçmişe dönük olarak mevzuata uygunluğunun denetlenmesi olan teftişten en büyük farkı, odağın mevzuat değil, risk olmasıdır. Riskler geleceğe dönük, hedeflere ulaşılmasını engelleyebilecek olaylardan kaynaklanan potansiyel sonuçlardır. Geçmişte yapılan hata veya suistimaller mutlaka bir risk nedeni ile oluşan sonuçlardır. İç denetim içinde farklı denetim türlerini barındırır. Mali denetimler, operasyonel denetimler, mevzuat denetimleri (teftiş), bilgi sistem ve teknoloji denetimleri veya sadece risk/kontrol değerlendirmeleri gibi. Bunlar denetim alanına göre ya ayrı ayrı ya da değişik kombinasyonlar ile gerçekleştirilebilir.
Örneğin bir satın alma denetimi içinde risk/kontrol değerlendirmesi ve mevzuat denetimi farklı yüzdeler ile yer alabilir. Ya da bir muhasebe departmanında finansal denetim ve operasyonel denetim birlikte gerçekleştirilebilir. Bu tamamen denetimlerin nasıl planlandığı ve hangi amaçla gerçekleştirildiğine bağlıdır. İç denetim farklı alanlarda farklı denetim türleri ile icra edilebilir. Ancak tekrar etmekte fayda olduğunu düşünüyorum; tüm bu denetimlerin kapsamında az veya çok, mutlaka risk kontrol değerlendirmeleri yer almalıdır. Örneğin iç denetçilerce gerçekleştirilecek bir finansal denetimde mali raporlamalar ile ilgili iç kontrollerin değerlendirme kapsamı dışında tutulması pek olası değildir. Benzer şekilde operasyonel denetimlerin de önemli bir bölümü iç kontrollerin etkinliği ve verimliliğinin değerlendirilmesidir. Açıklığa kavuşmasında fayda olan hususlardan birisi de budur.
İç denetim hissedarlar tarafınan seçilen yönetim kurulu ve yönetim kurulunca atanan üst yöneticilere kurumda yürütülen iş ve işlemlere ilişkin makul güvence sağlar. Yani üst yönetim için çok değerli bir kontrol aracıdır. Önemli bir yönetsel fonksiyondur. Kurum içinde mevzuata uygunsuzluk, hata, hile, verimsizlik ve risklere yönelik olarak engelleyici ve tespit edici bir mekanizmadır. Üst yönetimin kurumsal yönetim ilkelerinden hesap verilebilirlik ve sorumluluk ilkeleri çerçevesinde hareket etmesine fayda sağlar, varlığı ve faaliyetleri ile bu ilkelerin sağlıklı bir şekilde tesis edilmesine katkıda bulunur. İç denetim bir yönetim aracıdır. İç denetim yönetici ve çalışanların hatalarını bulmaya değil eksiklerini kapatmaya çabalar. Bu bakımdan kurum çapında güvenilmesi ve desteklenmesi gereken bir fonksiyondur.