Batan Finansal Kurumlarda İç Denetim Yok Muydu?

Geçtiğimiz hafta içinde değerli meslektaşım Turan Yenice’den bir e-posta aldım. Turan Bey mevcut ekonomik çalkantılar ve olası bir krize ilişkin bazı önemli değerlendirmeler yapmış, değerlendirmesinin sonunda ise pek çok iç denetçinin bugünlerde önemli bir konuyu tartıştığını dile getirmişti. Cevap aranan soru, dünyanın dört bir yanında etkileri hissedilen küresel çalkantılar dahilinde batan ya da büyük kayıplar yaşayan dev finansal kurumların, bünyelerinde iç denetim ve iç kontrol sistemleri bulunmasına rağmen, neden bu duruma düştükleri idi.

Esasen sitede yayınladığım pek çok blog yazısı ve makalede bu çöküşün nedenlerini ele almaya çalıştım. Özellikle “Dünyada Neler Oluyor” başlıklı yazı bu kurumların neden battıklarını bir iç denetçi perspektifinden açıklama gayreti ile kaleme alınmıştı. Kurumların risk yönetimi ile ilgili zaafiyetlerden dolayı battığını dile getirmiştik. Ancak bu yazılarda kurumların iç denetim sistemlerine ilişkin bir değerlendirme yer almamıştı. Öyle ya, bizler her fırsatta iç denetimin kurum içindeki önemine değiniyor, iç denetimin nelere kadir olduğunu her fırsatta dile getiriyorduk. Peki sahiden bu kurumlarda iç denetim faaliyeti yok muydu? Eğer varsa, ki olduğunu biliyoruz, bu risk yönetim zaafiyetleri neden önceden tespit edilmemiş, kurum yönetimleri neden uyarılmamıştı? Yoksa başlı başına bir denetim zaafiyeti miydi bu çöküşün sebebi?

Batan veya sıkıntıya düşen kurumlara şöyle bir göz atarsak, bunların dünyanın en büyük finansal kurumları olduğunu görürüz. Bu kurumlarda ciddi, tecrübeli ve yetkin iç denetçiler istihdam ediliyor. Bu kurumların iç denetim birimlerinin bütçeleri milyon dolarlarla ifade edilmektedir. İç denetim raporlamaları çoğunlukla Denetim Komiteleri’ne yapılıyor. Yani fonksiyonel bağımsızlık söz konusu. Bu kurumların iç denetçileri her tür teknolojik imkana da sahipler. Bilgisayar destekli denetim tekniklerini kullanıyorlar. İç denetim eğitimleri, seminer ve kongrelerinde eğitmen veya konuşmacı olarak sıklıkla bu Kurumların iç denetçilerini görürüz. Pek çoğunın IIA üyesi ve hatta CIA sertifikası sahibi olduğunu (daha pek çok sertifika sahibi olanlar da vardır) tahmin ediyoruz. Üstelik bu iç denetçilerin kurumlarında raporlama yaptıkları Komite Üyeleri ile Üst Yöneticilere ulaşmada da sıkıntı yaşadıklarını sanmıyoruz. Genellikle kendilerini anlatmakta ve kurum yetkilileri ile aynı dili konuşmakta da bir problem yaşamıyorlar. 90’lı yılların ikinci yarısı ve 2000’lerin hemen başında yaşanan şirket skandalları kurum yöneticilerinin iç kontrol, iç denetim, kurumsal yönetim ve hileli işlemler gibi kavramlar ile tanışmasına, hatta haşır neşir olmalarına yol açtı. (Ör: SOX yasası) Yani çağdaş, risk odaklı iç denetim anlayışı gelişmiş ülkelerin iş dünyası için yeni bir kavram değil. Bu yönde bir iş kültürü ve ortamı oluşmuş durumda.

Peki iç denetimin yaşanan bu kurumsal çöküşler ile ilgili ne sorumluluğu var? İç denetçilerin ihmali söz konusu mu?

Bu sorulara cevap verebilmek için bu kurumların iç denetim sistemleri ve iç denetim faaliyetlerinin yapısı ile kapsamını detaylı bir şekilde incelemek gerekir. Gerçekten de bu kurumlarda, sahip olunan onca imkana rağmen, bir iç denetim zaafiyeti olabilir. Bunu uzaktan kestirmek çok zor. Biz ancak bazı varsayımlar ışığında bazı sonuçlara ulaşabiliriz. Yani süreci bilmediğimizden sürece değil, sonuçlara odaklanabiliriz. Olayın iç denetim ile ilgili sonuçlarını, kişisel perspektifimizden ele almaya çalışabiliriz.

Bu finansal çöküşün bizce temel iki nedeni var;

a. Otoritelerin genel olarak mali sektör ve kullanılan türev finansal araçlara ilişkin denetim ve gözetim faaliyetlerinin yetersizliği

b. Kurumların risk yönetim faaliyetlerinin, anlayışlarının ve ciddiyetlerinin yetersizliği Bunlardan ilki ile ilgili olarak iç denetçilerin bir sorumluluğu bulunmuyor. Olsa olsa mesleki kongre ve seminerlerde türev enstürman risklerinin dile getirilmesi ve bu konuda mesleki bir kamuouyu oluşturarak düzenleyici ve denetleyici otoriteleri etkileme çabası söz konusu olabilirdi.

İkinci konu ise bizce doğrudan iç denetçilerin görev ve sorumluluk sınırları içine giriyor. Evet, bu kurumların risk yönetim sistemlerinin tesisi ve yürütülmesinden ÜST YÖNETİMLER sorumludur, ancak iç denetçiler de bu sistemlerin etkin çalıştığına dair güvence vermek ve bu sistemleri iyileştirip, geliştirmeye yönelik destek vermekle yükümlüdür. Kurum bilançolarından dahi bir bakışta tespiti mümkün olabilen bu türev enstürman risklerinin, iç denetçilerce tespit edilememiş olması muhtemel değildir. Yani iç denetçilerin bu enstürmanlara ilişkin riskleri bildiğini düşünüyorum.

Ancak burada üç tür durum söz konusu olabilir;

1) İç denetçiler bu riskleri raporlamış, bunlara yönelik olarak yetkilileri uyarmış, ancak denetim komiteleri ve yönetim kurullarınca ciddiye alınmamışlardır. Yani bu uyarılar göz ardı edilmiştir.

2) İç denetçiler, bu kurumların yatırım karar ve faaliyetlerinin, kurumların risk modelleri (ör; COSO ERM) çerçevesinde tespit edilmiş risk iştahı ve risk toleransları ile uyumlu olduğunu düşündüklerinden, bu yatırımların tür, miktar ve çeşitliliğinden kaynaklanan risklerin kabul edilebilir olduğu değerlendirmesini yapmışlardır. Bu halde, iç denetçiler, bu yatırımların tür, miktar ve çeşitliliğinden kaynaklanan finansal ve stratejik riskleri dikkate almış, risk iştah ve toleransı ile uygunluğunu denetlemiş, ancak kurumsal risk yönetimi modeli ve bu modelin değişkenlerinin (risk iştahı, tolerasnları ve stratejileri) uygunluğunu değerlendirme altına almamışlardır.

3) İç denetçiler risk yönetiminden ziyade kontrol testleri ve SOX raporlaması (özellikle Amerika’daki iç denetçilerin son birkaç yılda en çok vakitlerini alan konu budur) gibi çok zaman alan zahmetli ve çetrefilli faaliyetler yürüttüklerinden, risk yönetimi sistemi ve faaliyetlerine gereken kaynağı ayırmamışlardır. SOX kanunu kurumlarda iç kontrollerin durumu, işleyişi ve raporlamasından üst yöneticileri doğrudan sorumlu tuttuğundan, üst yöneticilerin, genellikle bilgi sahibi olmadıkları bu hususta münhasıran iç denetçilerden destek istemeleri durumu ortaya çıkmıştır. SOX raporlama faaliyetleri ve kontrol testleri pek çok iç denetim biriminin faaliyet kapsamının en önemli unsuru haline gelmiştir.

Bu durumlardan hangisi söz konusu olursa olsun, buradan özellikle ülkemiz için çıkartılacak dersler söz konusudur. Her üç durum da iç denetimin mesleki geleceği ve itibarı açısından hoş değildir. Ancak yaşanan bu son skandallar, iç denetimin önemini ve sorumluluklarını azaltmamış, tam tersi artırmıştır. Görülmüştür ki, risk iştahı kendi kişisel çıkarları doğrultusunda aşırı yüksek olan aç gözlü yöneticilere, bu yöneticileri istihdam eden, onlara göz yummak suretiyle adeta onları teşvik eden yönetim kurullarına karşı iç ve dış denetimin üstleneceği rol ve sorumluluklar çok yakında yeniden şekillenecektir. Bu olaylar göstermiştir ki hissedarlar artık aşırı kar elde etmeye yönelik aç gözlü bir yönetim anlayışını değil, kendileri açısından çok daha faydalı kurumsal yönetim anlayışını talep etmeye başlayacaklardır.

Finansal piyasalar ve bu piyasalardaki aktörlerin kapsamlı bir yeniden yapılandırma ile karşı karşıya olacakları açıktır. Olaylarda ihmali olsun olmasın, iç denetimin, bundan böyle çok daha geniş yetki, imkan ve daha fazla örgütsel bağımsızlık ile donatılarak, kurumsal yönetim güvencesi olarak hizmet vermeye devam edeceği inancındayım. Kanımca iç denetimin güçlendirilmiş rol ve sorumlulukları, yeni kanuni düzenlemelerde de yer bulacaktır. Aklı selim bunu gerektirmektedir. Gelişmeleri hep beraber izleyeceğiz. Konuya ilişkin olarak ise iç denetçilerin ihmal veya yetersizlikleri var ise, bu durum ayrıca araştırılıp değerlendirilmelidir. Söz konusu olan iç denetim faaliyetinin kendisi olsa bile hesap verebilirlik ve sorumluluk ilkeleri bunu gerektirmektedir.

Bir Cevap Yazın

E-Posta adresiniz yayınlanmadı

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


Yukarıya Git