Şirketimizin Yönetim Kurulu üyeleri ve yöneticileri ile gerçekleştirdiğimiz iç denetim tanıtım toplantımızın ilk bölümü istediğimiz gibi verimli geçmiş, ana hedefimiz olan dikkati çekmeyi başarmıştık. İlk bölüm sonrası verdiğimiz çay kahve arasında, katılımcılardan çok farklı, ilginç, daha önce üzerinde düşünmediğimiz konularla ilgili sorular geliyordu. Cevaplayabildiklerimizi cevaplıyor, cevap veremediklerimizi ise konu ile ilgili araştırma yapıp geri döneceğimizi nezaket içinde ifade ederek geçiyorduk.
Bir iç denetçi açısından her şeyi biliyor gözükmek veya bilmediğimiz hususlar üzerinde fikir beyan etmenin hatalı olacağını düşünerek iç denetim meslek hayatım boyunca hep temkinli davranmıştım. Ne de olsa bir iç denetçi açısından en önemli hususlar itibar ve güvenilirlik idi. Toplantının ikinci bölümüne iç denetçiler ve sunacağı hizmetler ile ilgili bilgi vererek devam ettik. İç denetçilerin görevleri süresince pek çok farklı rolü üstlendikleri hususuna dikkat çektik. İç denetçilerin temel odağının hata bulmak değil; değer katmak olduğuna sürekli vurgu yapıyorduk. Bu bağlamda iç denetçilerin denetim elemanları olmakla birlikte, yeri geldiğinde birer finansal analist, yeri geldiğinde danışman, gerektiğinde risk değerlendirmecisi gibi farklı roller üstlenebileceği, bunların temelde kuruma değer katmak amaçlı roller olduğuna dikkat çekmiştik. “ İç denetim, hem genel hedef ve amaçlara ulaşma konusunda, hem de iç kontrol ve yönetişimi güçlendirme konusunda üst yönetim ve yönetim kurulu için değerli bir kaynaktır” dediğimizde Yönetim Kurulu Başkanımız Bay T bize bir soru yöneltti: “ İyi güzelde bu değer katma işine nereden başlayacaksınız. Risk Yönetimi, İç Kontrol ve Yönetişimden bahsettiniz. Bizim şirkete bakarsak Risk Yönetimi ve Yönetişim süreçlerinin hali hazırda mevcut olmadığını, iç kontrollerin ise dağınık şekilde operasyonlar içinde yer aldığını görüyoruz. Ana amacınız bu üç konuda değer katmak ve bu üç alandaki süreçleri iyileştirmek ise, siz işe nereden başlayacaksınız, nasıl değer katacaksınız?” Aslında bu soruyu bekliyorduk ve hazırlıklıydık. Sözü arkadaşlarımdan isteyerek bu soruyu ben cevaplamak istedim. “Kurumlarda risk yönetimi, iç kontrol ve yönetişim süreçlerinin bir sisteme dayanmaması veya açıkça sınırları çizilir vaziyette bulunmaması iç denetim açısından elbette ki arzu edilen bir durum değildir. Yani etkinliğini arttırmaya çalıştığımız bir şeyin önce tanımlanabilir olması gereklidir. Bu bağlamda iç denetim faaliyetinin temel önceliği içinde bulunduğu kurumu ve faaliyetlerini tanımak, amaç ve hedefleri bilmek ve bu öncelikler paralelinde gerçekleştireceği denetimler ve danışmanlık hizmetleri sonucu elde edeceği bilgi ile kurumun risk yönetim, iç kontrol ve yönetişim süreçlerinin daha tanımlanabilir, sistemsel ve en iyi uygulamaları gözeten bir çerçevede ele alınmasını ve değerlendirilmesini sağlamaktır. Yani bu süreçlerin adının konmamış ve sistemli halde uygulanmıyor olması bunların kurumda bulunmadığı anlamına gelmez. Önemli olan iç denetçilerin mevcut durumu tespit edip, olayın sistemsel boyuta taşınmasına yardımcı olmalarıdır. İç denetçiler Kurumlarının risk yönetimi, iç kontrol ve yönetişim alanlarında bulundukları konumun fotoğrafını çeken, eksiklikleri tespit eden, bunları Yönetim Kurulları ve Üst Yöneticiler ile paylaşan ve sorumluları (Yönetim Kurulları Ve Üst Yöneticiler) yukarıdaki üç süreci genel kabul görmüş sistemler dahilinde daha iyi yönetmeye teşvik eden profesyonellerdir. Yani özetlemek gerekirse; kurumumuzun iç kontrol, risk yönetimi ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacı ile önce kurumumuzun iş süreçlerini denetleyeceğiz. Bu denetimlerin öncelikli amacı kurumun karşı karşıya olduğu riskler ve bu risklere yönelik kontrollerin sağlıklı olup olmadığı. Sonra bu denetimler sırasında elde ettiğimiz bilgi ve deneyimi, risk yönetimi, iç kontrol ve yönetişim alanlarındaki güncel en iyi uygulamalar ile karşılaştırmak suretiyle kurumumuzun mevcut durumunu ortaya koyacağız. Bir sonraki aşamada ise bu en iyi uygulamaları kurumuza adapte etmek ve uygulanmalarını sağlamaya yönelik olarak Üst Yöneticilere danışmanlık hizmetleri sağlayacağız. Yani denetim hizmetlerini danışmanlık hizmetlerini daha etkin ve sağlıklı sunabilmek için bir basamak olarak kullanacağız. Ancak tüm bu danışmanlık hizmetlerini sunarken de denetim hizmetlerini asla aksatmadan, kurumda işlerin amaç ve hedefleri gerçekleştirmeye yönelik olarak etkin ve verimli bir şekilde yürütüldüğüne ve iç kontrollerin kurumu doğru rotada tuttuğuna dair güvence vermeye devam edeceğiz” Cevabımı bitirir bitirmez, mali işlerden sorumlu yönetim kurulu üyesi olan ve göreve başladıklarından bu yana iç denetçiler ve iç denetim faaliyetlerine temkinli yaklaşan Prof M. Günün başından beri beklediğimiz o can alıcı soruyu sormuştu: “Sizi ve iç denetçi arkadaşları büyük bir keyifle dinledik. Anlattıklarınız hakikaten de ilgi çekici. Ancak bizim kurumun bahsettiğiniz diğer iç denetim hizmetlerine neden ihtiyaç duyduğu konusu benim için yeterince net değil. Yani şirketimiz için iç denetim birimi veya faaliyeti kurulması konusunda yasal bir zorunluluk yok. Evet teftişe, yani iş ve işlemlerin geçmişe dönük olarak sorgulanmasına bende sıcak bakıyorum. Ama risk yönetimi, iç kontroller, yönetişim alanlarında denetim ve danışmanlık yolu ile kuruma değer katmak hem maliyetli hem de uzun sürecek bir süreç gibi geliyor bana. Bu maliyeti neden göze alalım, veya daha doğru ifadeyle mevcut ölçeğimizde neden bu tür bir hizmete ihtiyaç duyalım. Şirket Yöneticilerimiz risklerin yönetilmesinde veya operasyonların verimliliği hususunda neden iç denetçi desteğine ihtiyaç duysun ki?” Prof M. nin kendi düşüncelerini bir soru ile özetlediği yorumu, salondaki tüm bakışları iç denetçilerin hamisi konumundaki bana yöneltmişti. Aslında kafalardaki şüpheleri yok etmek açısından iyi bir fırsat olmuştu bu soru. Cevabı verirken iç denetçi arkadaşların notlar aldıklarını görüyordum: “Bu gün çok çeşitli sektörlerde birçok orta ve büyük ölçekli firma bir iç denetim sistemine sahiptir. İtibara dayalı sorumlulukları olan borsaya kote firmalar, bankalar ve diğer finansal kurumlarda ise bildiğiniz üzere bu bir gerekliliktir. Diğer şirketlerde iç denetim sistemine sahiptirler çünkü iç denetim sistemi Denetim Komitesi ve üst yönetime güvence sağlayan yönetimsel kontrolün değerli bir parçası olarak algılanır ve yatırımcılar ile kreditörler için işletmenin kredibilitesine değer katar. Yani iç denetim klasik yönetim fonksiyonlarından biri olan kontrol etme fonksiyonunun önemli bir aracıdır. Kabul etmek gerekir ki daha küçük organizasyonlarda yöneticiler günlük faaliyetleri etkin bir şekilde yönetebilecek ve çalışanların işlevlerini takip edebilecek yeterlilikte yakındırlar. Ancak işletme büyüdükçe ya da faaliyetler karmaşıklaştıkça yönetim çalışanların faaliyetlerini kontrol etmekte zorlanacak ve birebir takipler yerini iç kontroller ve iç kontrol sistemlerine bırakacaktır. Bizim şirketimiz sektörde önemli bir oyuncu olup, yıllar itibariyle gerek mali durum, gerekse de operasyonlar itibariyle belirli bir büyüklüğe ulaşmış durumdadır. Büyük üretim hatları, karmaşık dağıtım kanalları, yurt dışı irtibatları ve önemli büyüklükte kabul edebileceğimiz bir örgütsel yapısı vardır. Bu nedenle, iç denetim hizmetlerinin değer katabileceği ve maliyetinin üzerinde fayda sağlayabileceği bir iş ve örgütsel büyüklüğe sahiptir. Böylesi bir ölçek yukarıda bahsi geçen üst yönetimin kontrol fonksiyonun icrasını güçleştirmekte, bu kontrol faaliyetlerinin desteklenmesini zorunlu kılmaktadır. İşte bu nedenle iç denetim sistemi bulunmayan organizasyonlar, eğer boyutları ve faaliyetlerinin türü, sermaye kaynakları ve risk faktörleri gerektiriyor ise, bir sistem kurmaya mutlak önem vermelidirler. Tüm bu koşulların bir iç denetim birimine sahip olmak adına firmamız açısından geçerli olduğunu düşünmekteyim. Tüm bu görüşlere ek olarak bir kurumun yönetsel ve operasyonel faaliyetlerinin, Yöneticilerden bağımsız ve objektif olan, yetkin kişilerce sistematik olarak değerlendirilmesinin iş ve işlemlerin çok daha etkin ve amaçları destekler şekilde yürütülmesine katkı sağlayacağını da düşünmekteyim. İç denetim tanıtım toplantımız sonrası size yapacağımız ve denetçi arkadaşlarımız tarafından dört aydır yürütülen denetim faaliyetlerinin sonuçlarına ilişkin sunumun, iç denetimin kurumumuz açısından önemini ortaya koyacağını göreceksiniz” Bay T tekrar bir soru sormak üzere söz almıştı. “Diyelim ki şirketimizin gerçekten de bu hizmetlere ihtiyacı var, ki ben kişisel olarak olduğunu düşünüyorum. Denetçi arkadaşlarımız bu yükü nasıl kaldıracaklar? Pek çok farklı ve yoğun faaliyet söz konusu. Denetimler, danışmanlıklar, vs. Ekibi takviye etmek gerekecek mi sizce? Soruyu oldukça beğenmiştim. Gerçekten de bir iç denetim Birimi açısından en önemli unsurlardan bir tanesi de tahsis edilecek iç denetim kaynakları idi. Soruya cevap verirken salonda konuya ilginin arttığını da gözlemlemekteydim; “İç denetim fonksiyonları, denetledikleri alan ve riskler açısından uygun tecrübe ve yetenekte birbirini tamamlayan yeterli personele ihtiyaç duyar. Personelin kendi uzmanlık alanlarında süregelen bir eğitim almaları icap ettiği gibi kurum içindeki teknolojik ilerlemeleri ve organizasyonel değişiklikleri birebir takip etmeleri zorunludur. Aynı zamanda, İç denetim fonksiyonu koordineli uygulamalarla dış denetçilere destek olmalıdır. Bu nedenle risk, iç kontrol ve yönetişim alanları ile ilgili mesleki bilgi dışında muhasebe, finans ve mali raporlamalar ile ilgili bilgi sahibi olmak da önem taşır. Bu nedenle etkin bir iç denetim fonksiyonu oluşturmak için önce yetkin iç denetçilerin istihdam edilmesi gerekir. Kesinleşmiş bir kural olmamakla birlikte, kurumun personel sayısının %1-2’si oranında yetkin iç denetçi istihdam edilmesi genel kabul görmektedir. Elbette ki bu sayı sektör, şirket organizasyonu ve faaliyet yapısı ile işin niteliğine göre önemli ölçüde değişiklik gösterebilir. Organizasyon denetim faaliyetleri için kurum içinde ayrı bir İç Denetim Departmanı oluşturabileceği gibi süregelen görevlerde bir kısım denetim uygulamalarını görev tanımına ekleyebilir. İç Denetim Departmanı diğer bölümlerde çalışan personeli de denetim ekiplerinin bir parçası olarak geçici veya kalıcı olarak bünyesinde bulundurabilir. Örneğin bizim iç denetçi arkadaşlar şirket içi farklı bir departmanda çalışırlarken tarafımca görevlendirildiler. Yine tarafımca önemli bir eğitime tabi tutuldular. İç denetçilerin dışarından temin edilmesi de diğer bir yöntemdir. Eğer uygun görülür ve resmi bir iç denetim departmanı kurmak konusunda sizlerle fikir birliği sağlar isek, iç denetim ekibinin geri kalan kısmını dışarıdan istihdam edeceğimiz tecrübeli iç denetçilerden oluşturacağız. İç denetim muhtelif bilgi, beceri ve deneyimi gerektirmektedir. Bu becerileri bünyemize katmamız gerekecek. Bu nedenle Sayın Bay T’ nin yorumuna katılıyorum. Kurumumuzun yapısı ve gereksinimleri göz önüne alındığında çağdaş ve etkin bir iç denetim fonksiyonu kurmak adına iç denetim ekibimizi güçlendirmemiz gerekecek. Bu sayede daha önce bahsettiğimiz değer katma misyonu paralelinde, çok farklı alanlarda iç denetim fonksiyonundan faydalanmak mümkün olacaktır. Söze devam ederken çay ve kahve servisinin açılması ile ikinci arayı vermiş oluyorduk. Arada Prof. M. yanıma gelerek kurumun iç denetçi ihtiyacına yönelik olarak kafasındaki diğer bazı şüpheleri paylaştı. Kendisini ikna etmek oldukça zor olacağa benziyordu.