Yönetim Kurulu Başkanı Bay T’nin benden istediği iç denetim sunumunu iç denetim birimindeki 3 arkadaşımız ile birlikte hazırladık. Eski bir iç denetçi olmam dolayısı ile bu konuda hatırı sayılır bilgiye sahip olmama rağmen sunumu üç denetçi arkadaşımdan en tecrübeli olanı olan Bay E nin yapmasını istemiştim.
Bay E ye çok teknik bir sunum yapmamasını, konuyu basit bir dille anlatması gerektiğini söyledim. Yönetim Kurulu Üyelerinin iç denetim ile ilgili sağdan soldan duydukları dışında bilgisi yoktu. İç denetimin ne olduğunu ve ne fayda sağlayacağını herkesin anlayacağı şekilde anlatmalıydık. Ancak elbette bu kolay bir iş değildi. Meslek dışından gelen, meslek tecrübesi olmayan veya daha önce iç denetçiler ile çalışmamış kişilere iç denetimi anlatmak ciddi zorlukları olan bir işti. Ancak bir o kadar da önemliydi.
Denetim birimlerinde çalışırken iç denetim ve iç denetim kavramları üzerinde önce denetim birimi içinde, sonra çalıştığımız kurum içinde ve nihayetinde de iç denetim camiası ile hemfikir olmamız gerektiğini savunurdum. Bir kavramdan tüm ilgili taraflar aynı şeyi anlamalı, aynı anlamı çıkarmalıydı. Bu nedenle de teknik ifadelerden ziyade somut örnekler ile iç denetimi anlatmak, kafalarda yer edinmesini sağlamak gerekecekti.
İç denetim ekibimiz ve ben sıkı bir hazırlık dönemi sonucu yönetim kurulunun karşısına çıkmaya hazırlanmıştık. Benim önerimle yönetim kuruluna ek olarak üst düzey diğer yönetici arkadaşlarımızın da brifinge katılımları sağlanarak herkes için uygun bir zamanda iç denetim tanıtım sunumumuzu gerçekleştirdik. Sunuma iç denetimin genel kabul görmüş tanımı ile başlamıştık: “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur” Bu tanımı paylaştıktan sonra bu tanımın üzerinde durmaya karar vermiştik. Zaten sunum sırasında Yönetim Kurulu Üyelerinden peşi sıra sorular gelmeye başlamıştı. Sorularda risk yönetimi, iç kontrol, yönetişim, sistemli, disiplinli, süreç gibi kavramların ne anlama geldiği sorulmuştu.
Bu sorular ve sunum sırasında verdiğimiz cevaplar şu şekildeydi:
Soru: Risk Nedir? Risk Yönetimi Nedir? isk bir kurum, birim veya faaliyetin hedeflerine ulaşmasını engellemeye yönelik bir tehdit içeren potansiyel sonuçlardır. Yani riskler hedefleri ulaşmayı engeller. Risk Yönetimi ise, bir kurumun karşı karşıya olduğu risklerin tanımlanması, ölçümlenmesi ve önceliklendirilmesi (yani risk değerlendirmesi) sonrası başlayan, bu risklere yönelik tedbirlerin alınması ile devam eden ve nihayetinde de bu risklerin sürekli olarak takibi ve mevcut tedbirlerin etkinliğinin değerlendirilmesi ile sona eren bir süreçtir. Kurum içi ve dışında kurumu ilgilendiren riskler belirlendikten sonra, bu riskler bir önem ve öncelik sırasına sokulmak üzere ölçülür, yani puanlanır. Tüm bu işlemlere de “risk değerlendirmesi” işlemi denir. Ardından belirlenen bu riskler tek tek veya gruplar halinde ele alınmak sureti ile bunları etkisiz hale getirmeye yönelik “risk yönetim” stratejileri geliştirilir. Kısaca risk yönetimini kurum çapında “risk avcılığı” olarak tanımlamak mümkündür. Avlanacak olan hedefler tespit edilir. Öncelik sırasına konur. Nişan alınır ve hedefler bu sıraya göre vurulur. İşte hedeflerin belirlenip öncelik sırasına koyulması “risk değerlendirmesi” vurulması esnasında kullandığımız tüm teknik ve araçlar “risk yönetimi” olarak ifade edilebilir. Soru: Riske birkaç örnek verebilir misiniz? Örneğin, şirketimiz boya üretiyor. Ürettiğimiz boyaların içinde sağlığa zarar veren bir madde bulunması nedeni ile insanların zarar görmesi hukuki sonuçlar ile itibar sorunlara yol açabilir. Burada ürettiğimiz boyaların içinde sağlığa zararlı madde bulunması bir “tehdit” olarak nitelendirilir. Bu tehditin gerçekleşmesi, yani bu maddelerin üretimde kullanılması ise bir “sonuç” a yol açabilir. Bu sonuç insanların zarar görmesi nedeni ile hakkımızda dava açılması ve kamuoyundaki imajımızın zedelenmesidir. İşte bu iki sonuç sırasıyla yasal risk ve itibar riskleridir.
Risk etki ve olasılık kavramları ile ölçülür. Olasılık riskin gerçekleşme sıklığı veya ihtimali, etki ise yol açacağı zararın boyutudur. Örneğimize dönersek, var olan bir tehdit gerçekleşmesi halinde, iki sonuca yol açmaktadır. Dolayısı ile iki risk söz konusudur. Hukuki riskin gerçekleşmesi sonucu maddi kayıplarımız riskin etki boyutunu, bu tip bir tehdit nedeni ile riskin gerçekleşme ihtimali de olasılık boyutuna işaret eder. Benzer şekilde itibar kaybı nedeniyle satışlardaki ve hisse değerlerindeki düşüş de söz konusu itibar riskin maddi bir etkisidir. Bir riskin gerçekleşmesi için mutlaka bir hedefe ulaşmayı engelleyecek bir tehditin belirli bir olasılık dahilinde gerçekleşmesi ve belirli bir etki yaratması gerekmektedir. Yani örneğe dönersek zararlı maddelerin tedarikçilerde satılıyor olması bir tehdit değildir. Bizim bu maddeleri alarak üretimde kullanmamız bir “tehdit” oluşturmaktadır. Etkiyi ölçmek olasılığı ölçmekten kolaydır. Olasılığı sağlıklı bir şekilde ölçmek çoğu zaman mümkün değildir. Bu nedenle olasılıklar belirli ölçüde subjektif değerlendirmelere tabidir.
Risk Yönetim Stratejileri Neler Olabilir? Risk yönetiminde farklı risklere farklı stratejiler geliştirmek mümkündür. Riskin yapısı ve yaratacağı etki kadar kurumun bu riski yönetmek için ayırabileceği kaynaklar, kurumun risk iştahı, risk kültürü gibi pek çok faktör strateji seçmini yakından etkilemektedir. Riskle ilgili stratejilere bakıldığında genel anlamda riskten kaçınma, riskin transferi, riskin paylaşılması, riskin kabul edilmesi ve riskin kontrol edilmesi gibi alternatifler söz konusudur. Bazı riskler sigorta bedeli karşılığı 3. şahıslara transfer edilirken, bazı riskler olduğu gibi kabul edilebilmektedir. Bazı risklerden kurtulmanın tek yolu o riski almamak yani riski doğuran faaliyete son vermektir. Riskten kaçınma stratejisi budur. Riskin pek çok kere paylaşılması yani doğurabileceği sonucun diğer şahıslarla birlikte karşılanması yolu seçilebilir. Riskin kontrol edilmesi ise genellikle en geçerli ve uygun maliyetli çözüm olup iç kontroller ve iç kontrol sistemi yoluyla risklerin azaltılıp, makul seviyelere indirilmesi anlamı taşır. Risk Yönetiminden Kim Sorumludur? Risk yönetimi diğer pek çok yönetim faaliyeti gibi kurumun üst yönetiminin sorumluluğudur. İç denetçiler riskleri bizzat yönetmez. Risk yönetimi ile ilgili kararlar almaz, risk yönetim fonksiyonunu işletmez. İç denetçilerin risk yönetimi ile ilgili sorumluluğu risklerin Yönetim Kurulu adına izlenmesi ve risk yönetim faaliyetinin etkinliğinin değerlendirilmesidir. İç denetçiler kurum için mevcut risklerin kurumun kabul edilebileceği düzeylerde yönetildiğine dair Yönetim Kuruluna makul güvence sağlar.
İç Kontrol Nedir? İç Denetimin İç Kontroller ile ilgili sorumluluğu nedir? İç kontrol kurumun üst yönetimi ve çalışanlarınca yürütülen, kurumun genel olarak amacına ulaşmasına engel olabilecek riskleri hem stratejik düzeyde hem de iş süreçlerinde azaltmak, makul düzeylere indirmek üzere alınan tedbirlerdir. İç kontrol sistemi veya süreci dediğimizde kurumda var olan tüm iç kontrol faaliyetleri ve tedbirleri akla gelir. Bir kurumun iç kontrol sistemi genel olarak aşağıdaki alanlardaki hedefleri gerçekleştirmek amacıyla tesis edilir: Operasyonel ve finansal raporlamaların güvenilirliği Operasyonların etkinlik ve verimliliği Mevzuat ve düzenlemelere uygunluk İç denetçilerin iç kontroller ile ilgili yönetsel bir sorumluluğu yoktur. Yani iç kontrol sisteminin kurulması ve yönetilmesi kurum yönetiminin sorumluluğudur. İç denetçiler iç kontrol sisteminin ve sistemi oluşturan iç kontrollerin varlığı ve etkinliğinin değerlendirilmesi ve iç kontrol sisteminin riskleri yönetmede yeterli olduğu noktasında Yönetim Kuruluna makul güvence vermek amacını güder. İç kontroller üretimden pazarlamaya, insan kaynaklarından muhasebeye kadar kurumun tüm birimlerinde var olup, bunların etkinliği bir kurumun amaç ve hedeflerine giden yolda sağlıklı bir şekilde ilerlemesine imkan sağlar. Örneğin, şirketimizin üretim hattında yaşanan bazı operasyonel problemler üretim maliyetlerini, dolayısıyla da ürünün maliyetini ve doğrudan satış fiyatını da etkiler. Satış fiyatı da ürünün pazar payında önemli bir değişkendir. Görüldüğü üzere problemlerin daha kaynağında tespit edilmesi ve bunlara çözümler geliştirilmesi bir şirketin pazar payını etkilemektedir. İç denetimin rolü, Yönetim Kuruluna iç kontrollerin kurumu doğru bir istikamette tuttuğuna dair makul güvence vermektir.
Yönetişim Nedir? İç Denetimin Yönetişim ile ilgili görevleri nelerdir? Yönetişim veya diğer bir deyişle Kurumsal Yönetim özünde şirketlerin hissedar ve diğer menfaat sahiplerine, yani paydaşlarına en yüksek yararı sağlayacak biçimde yönetilmelerini amaçlayan bir yönetim tarzı ve felsefesidir. Son birkaç yıl içinde yaşanan ve büyük yankılar uyandıran şirket skandallarının ana sebebi şirket yönetimlerinin şirketleri asıl hak sahibi olan hissedarların yararına değil, kendi bireysel çıkarları doğrultusunda yönetmeleriydi. İşte bizim şirketimizde de benzer bir durumun yaşanmaması amacıyla yöneticilerin performansları ve faaliyetlerinin denetlenmesi, yöneticileri bu tür davranmaktan alıkoymaya yönelik gözetim mekanizmalarının kurulması önem taşımaktadır. İşte iç denetimin kurumsal yönetim ile ilgili görev ve sorumlulukları burada devreye girmektedir. İç denetim operasyonel faaliyetler ile yönetsel faaliyetleri risk odaklı bir yaklaşım ile denetleyerek, yönetimin şirketi belirlenmiş amaç ve hedefler doğrultusunda yönettiğine dair Yönetim Kuruluna makul güvence sağlar. Ayrıca iç denetçiler Kurumsal Yönetim ilkeleri olan şeffaflık, sorumluluk, hesap verilebilirlik ve adillik ilkelerini kurum genelinde yaymak, desteklemek ve tanıtmak misyonuna da sahiptir. Neden Yönetim Kurulu? Risk Yönetimi, İç Kontrol ve Yönetişim süreçleri ile ilgili bizim sorumluluklarımız nelerdir? Yönetim Kurulları, hissedarlar tarafından onların haklarını korumak ve şirketi hissedarlara en fazla fayda sağlayacak biçimde yönetmelerini sağlamak amacı ile teşkil olunmuş yapılardır. Hissedarların bir kısmı bizim şirketimizde olduğu gibi aynı zamanda yönetim kurulunda da olabilir. Ancak bazı şirketler halka açılmakta veya yabancı ortak almaktadır. Bu durumda hem bu yeni hissedarların hem de eski hissedarların haklarını korumak amacı ile şirketi yöneten profesyonel yöneticiler üzerinde bir kontrol mekanizmasına ihtiyaç duyulur. İç ve dış denetim bu bağlamda önemli araçlardır. İşte bu kontrol mekanizmalarını sağlamak da Yönetim Kurulunun sorumluluğudur.
Bunun haricinde şirketin hissedarlara maksimum fayda sağlayacak biçimde yönetilmesi için öncelikle kurum yönetiminin buna yönelik amaç ve hedefleri olması, sonra da bu amaçlara dönük risklerini iyi yönetmesi gerekmektedir. Burada risk yönetimi ve iç kontrol süreçlerinin sağlıklı olması önem taşır. Bu sistemlerin sağlıklı olup olmadığına dair güvenceyi Yönetim Kuruluna iç denetçiler sağlar. Ayrıca tüm dünyada Yönetimin seçilmesi ve performansının izlenmesi elbette ki Yönetim Kurulunun sorumluluğundadır. Ancak bazı kurumlarda Yönetim Kurullarının ağır iş yükü ve daha farklı stratejik boyutlu işlerin takipçisi olmaları nedeniyle, yukarıdaki yönetişim, risk ve iç kontrollere ilişkin izleme ve değerlendirme görevlerini kendi içlerinden veya dışarıdan uygun adaylar arasından seçtikleri, bu kişilerce oluşturulan farklı organlara delege ettikleri görülmektedir. En iyi uygulamalarda, Denetim Komitesi olarak bilinen bu kurullar, Yönetim Kurulları adına kurumun bazı yasal düzenlemelere uyumu ile hissedar çıkarlarına uygun hareket edildiğine dair görevler üstlenirler. İç denetim birimleri de fonksiyonel olarak bu kurullara raporlama yapar. Bu kurullar kurum yönetim kuruluna bağlı olarak, ancak kurum üst yönetiminden bağımsız görev yapmaktadır.
Tüm bu soruların ardından yeni sorular geleceğini biliyorduk. Ancak Yönetim Kurulu üyelerimiz brifingimizin bu ilk bölümünden fayda sağlamış gözüküyordu. Bu da brifing sırasında bizleri motive etmişti. Bir sevindirici gelişme de gerek yönetim kurulu üyeleri, gerekse de yönetim ekibinin kurumsal yönetim, risk yönetimi ve iç kontrol kavramları ile bu kavramlara ilişkin görev ve sorumluluklarını daha iyi kavramaları idi. Brifingin ikinci kısmı öncesi verdiğimiz kısa ara boyunca da bu kavramlar ile ilgili tartışmaya devam etmemiz, konuya gösterilen ilgiyi göstermekteydi.