Geçtiğimiz hafta gazetede yayınlanan bir haber dikkatimi çekti. Haberin başlığı “Internet Aşkının Uğruna Şirketini Dolandırdı” idi. Şöyle diyordu haberde: “Turizm şirketinin 12 yıllık muhasebecisi, internette tanışıp aşık olduğu erkeğe, şirket kasasından 10 ay boyunca 3 milyon 200 bin YTL gönderdi. Sevgililer 12’şer yıl hapis istemiyle yargılanıyor. Ayrıca kendilerine yardım eden 5 kişi de dolandırıcılık nedeniyle tutuklandı”

Ayrıca haberde muhasebecinin bazı ifadelerine de yer verilmişti. “………şirket kasasından her hafta düzenli olarak para çektim………..Ayrıca şirket hesabından da para çekip gönderdim………….Daha sonraları elden de para verdim…..Çalıştığım şirket yüklü miktarlarda ihale aldığı için yakalanmadım…..Her şeyi….’e aşık olduğum için yaptım!” İç kontrol kavramı üzerine bir (case study) vaka incelemesi olarak bundan daha iyi! bir örnek düşünemiyorum. Bir iç denetçi olarak bu vaka ile ilgili gözlemlerimi paylaşmak istiyorum. Yukarıda koyu renkle işaretli kelimeler bu vakanın en kritik noktaları. Öncelikle gözden kaçması imkansız olan bir kontrol zaafiyeti ile başlıyoruz. Temel bir iç kontrol tedbirinin eksikliği gözümüze çarpıyor. Bu iç kontrol uygulaması pek çoğumuzun yakından bildiği “görevler ayrılığı” ilkesi. Bu vakada, bu ilkenin ciddi bir şekilde ihlal edildiği görülmektedir. Ne diyor görevler ayrılığı ilkesi; muhasebeyi tutan veya sorumlu olan kişi (muhasebe kaydı yaratma yetkisi olan kişi) ile nakit varlıklara erişim yetkisi olan kişiler mutlaka ayrı olmalıdır. İşte bu şirkette muhasebecinin, çalışan veya yönetici olup olmadığı bilinmemekle birlikte, şirketin her tür nakit değerine (banka hesapları ve kasa) erişim imkanı olduğu görülmektedir. Özellikle ülkemizdeki küçük ve orta ölçekli pek çok şirkette muhasebe sorumlusu olan, yani muhasebeyi tutan kişilerin bu şekilde çalıştığı düşünüldüğünde olayın ciddiyeti ortaya çıkmaktadır. Ülkemizde genellikle iç kontrol tedbirleri yerine kişisel güven faktörü ön planda olduğundan, “görevler ayrılığı” ilkesine dikkat edilmemektedir. Oysa yukarıdaki haberde koyu renkle işaretlenen diğer bir kelime, suçu işleyen muhasebecinin 12 yıldır bu şirkette çalıştığını ortaya koymaktadır. İç kontrol tedbiri yerine kişisel güven mekanizmasının ne denli anlamsız bir uygulama olduğuna iyi bir örnek teşkil etmektedir. Özellikle aile şirketlerinde aileden biri ya da ailenin en çok güvendiği kişilerin bu tür yetki ve sorumlulukları tek başına üstlendikleri düşünüldüğünde, riskin büyüklüğü ortaya çıkmaktadır. Konu ile ilgili olarak yukarıdaki örnekte dikkat çeken bir diğer husus ise şirket sahipleri tarafından güvenilir olarak görülen ve tam 12 yıldır bu şirkette çalışmakta olan bir kişinin “aşık olma güdüsü” ile çalıştığı şirketi, kariyerini ve hayatını riske atabilmesidir. Bu durum insan olmaktan ve insani zaaflardan kaynaklanmaktadır. Aşık olma motivasyonuna ek olarak daha pek çok motivasyonu daha sayabiliriz. Yıllarca hak ettiğini alamadığını düşünmek, çocuğu için acil paraya ihtiyacı olmak, patronlarından intikam almak ve daha pek çok neden ile şirketlerde, kurumlarda bu tür olaylar yaşanabilmektedir. İşte bu nedenle iç kontrol vazgeçilmez bir kavramdır. Elbette ki güven unsuru da önemlidir ancak iç kontrollerle desteklenmeyen güven bir kumardır. Ancak unutulmaması gereklidir ki iç kontroller yine insanlar tarafından tasarlanır. İç kontrolleri en iyi atlatabilecek kişiler onları tasarlayan, onlar üzerinde hüküm sahibi olan veya onları atlatabilmek amacı ile işbirliği yapan çalışanlar olmaktadır. Bu bağlamda yukarıda bahsi geçen vakada suçu işleyen iki kişiye destek veren ve bu sebeple gözaltına alınmış beş kişilik bir grubun varlığı bu duruma işaret etmektedir. Burada iç kontrol eksikliklerine ek olarak, birde var olduğu düşünülen iç kontrollerin (olduğundan şüphe etmekle birlikte) bir grup çalışanın ortak çabası ile atlatıldığı gerçeği dikkat çekmektedir. Belli ki suçu işleyen iki kişi, bu operasyonu oldukça uzun bir süre tek başlarına götürmemişlerdir. 10 ay boyunca kelimesi üzerine bu nedenle durulması gerekmektedir. Bu kadar uzun süre yüklü miktarlarda nakitin kasa ve banka hesaplarından çekilmek suretiyle şirket dışına çıkartılması ve hiç kimsenin bu durumu fark etmemiş olması bu iç kontrol faciasına ayrı bir boyut katmaktadır. Şirket ile ilgili ayrıntılı bilgiye sahip olmamakla birlikte yukarıdaki haberden tahmin ettiğimiz kadarı ile muhasebe sorumlusu bu olayı diğer bazı çalışanlardan habersiz gerçekleştirmemiştir. Elbette ki bahsi geçen 5 kişinin de suçlu olup olmadıkları kesin değildir, ancak en azından durumun ortak bir çaba sonucu gerçekleştiği ihtimali, suç sonucu kaçırılan nakit miktarı düşünüldüğünde, pek olasıdır. Buradan çıkartılması gereken sonuç iç kontrollerin etkin olsun olmasın, bir grup çalışan tarafından atlatılabilmesinin de mümkün olduğu ve bunun gözden asla kaçırılmaması gerektiğidir. Yine bu bağlamda dikkatimizi çeken diğer bir husus da 10 ay boyunca şirket hesaplarından önemli miktarda nakit çekilişinin şirketin üst düzey yönetici veya sahipleri tarafından takip edilmemiş olmasıdır. Burada açıkça diğer bir iç kontrol zafiyeti göze çarpmaktadır. İzleme veya diğer bir deyişle gözetim mekanizmalarının tahsis edilmemiş olduğu görülmektedir. Şirket büyüklüğü ne olursa olsun, yönetsel gözetim ve süpervizyon mekanizmalarının mutlaka bulunması gerekmektedir. Yukarıdaki tespitlere ek olarak gözümüze çarpan diğer bir nokta ise yüklü miktarlarda ihale alan ve ciddi bir mali kazanç elde eden şirketin, muhtemelen büyümüş olan örgütsel yapısını, değişimin gerektirdiği şekilde yeniden yapılandırmamış olmasıdır. Genellikle ülkemizde görülen diğer bir sorun da şirketlerin veya kurumların büyümelerini takiben, örgütsel bir yeniden yapılanma sürecine gitmemeleridir. Bu yeniden yapılanmanın en önemli unsuru ise elbette ki iç kontroller olmalıdır. Ancak genellikle uygulama bu yönde olmamaktadır. Eski yapı ve sistemler korunmakta, sadece çalışan sayısı artırılmak suretiyle işler devam ettirilmeye çalışılmaktadır. Yetki ve sorumluluk dağılımı, örgütsel iletişim dizaynı ve kurumsal kademelere ise hiç dokunulmamaktadır. Bu durum şirket sahiplerinin kurum üzerindeki kontrolünün azalmasına ve kurum içinde önceden yetki kazanmış ve önemli sorumluluk alanlarının merkezinde bulunan kişilerin güç kazanmasına yol açmaktadır. Evet ülkemizdeki acı bir gerçeği doğrular nitelikteki bu olaydan çıkartılması gereken pek çok ders var. Nedir bu acı gerçek? İç kontrol kavramı ülkemizde genellikle iç ve/veya dış denetçilerin işi gibi görülüyor. Kamu veya Özel sektör olması fark etmiyor. İç kontroller ile ilgili olarak Yöneticilerin topu sıklıkla denetim elemanlarına attıkları görülüyor. Bu olayın bir yönü. Diğer yandan, iç kontrol kavramı özellikle ülkemiz iş dünyasında önemi henüz anlaşılabilmiş bir kavram değil. İç kontrollerin genellikle işleri yavaşlatıcı, zaman alıcı ve gereksiz olduğu gibi bir düşünce hakim. Bunu hem kişisel kamu ve özel sektör tecrübe ve gözlemlerim, hem de pek çok farklı kurum ve yapıda görev yapan meslektaşım ile yaptığım sohbetlerden anlıyorum. İşte bu iki konu, yani iç kontrollere gereken önemin verilmemesi ve iç kontrollerin sorumluluğunun yönetimler tarafından alınmak istenmemesi (eksik bilgi sahibi olmaktan da kaynaklanıyor olabilir) ülkemizdeki acı gerçeği doğruluyor. Şirketlerimiz ve kurumlarımızın yumuşak karnı iç kontroller ve iç kontrol sistemleri. Ülkemizde hemen her gün bu tespiti doğrulayan, yukarıdaki olaya benzeyen pek çok vaka yaşanıyor. Bir kısmı basına yansıyor, bir kısmı yansımıyor. Oysa aynı sorunlar sıklıkla gelişmiş yabancı ülkelerde de yaşanmış ve hala yaşanmakta. Aklımıza en son gelen örnek Enron skandalı. Ama yabancı ülke otoriteleri duruma el atarak kısa süre içinde SOX ve benzeri düzenlemeler ile duruma müdahale ediyorlar. İç kontrol kavramını yasa ile önemli hale getiriyorlar. Batı iş dünyası ise bu kavramın önemini çoktan kavramış. İç kontrolle ilgili pek çok model (COSO, CoCo) ve pek çok yasal düzenleme şu an uygulamada. Ülkemiz kamu ve özel sektörü ise bırakın iç kontrol kavramını, henüz iç denetim kavramı ile bile yeni tanıştığından alınması gereken mesafenin büyüklüğü ortaya çıkıyor. Ancak son dönemlerde ülkemiz kamu, sermaye piyasası ve bankacılık sektöründe hayata geçirilen bazı düzenlemeler konuya ilişkin farkındalığın artmasını sağlamıştır. Temennimiz bu farkındalığın diğer tüm sektör ve iş kollarındaki küçüklü büyüklü firmalar ile sosyal ve sivil toplum kuruluşlarında da artırılmasına yönelik inisiyatiflerin oluşması. Tekrarlamakta fayda duyuyoruz ki iç kontroller işleri yavaşlatan, engelleyen veya gereksiz mekanizmalar değildir. Aksine iç kontroller hayat memat meselesidir ve konuya bu şekilde yaklaşılması gerekmektedir. Buna ek olarak ifade etmek gerekiyor ki iç kontroller, iç veya dış denetçilerin değil, doğrudan şirket yöneticilerinin sorumluluğudur. Bunun bu şekilde görülmesi ve bu sorumluluğun gereğinin yerine getirilmesi gerekmektedir. İç kontrol kavramı ile ilgili olarak gerek kamu gerekse de özel sektörde önemli bir farkındalık oluşturma politikasının hayata geçirilmesi yerinde olacaktır. Ülkemizde mükemmel bir iç kontrol vakası olarak incelediğimiz bu tür olayların engellenmesi adına atılması gereken ilk adım budur. Bu farkındalığı yaratmakta en büyük görev ise özellikle kurumsal yönetim, iç denetim ve risk yönetimi alanlarında faaliyet gösteren mesleki sivil toplum örgütleri ile kanun koyucuya düşmektedir.