İç Kontrol Neden Önemlidir?

COSO İç Kontrol Çerçevesi, tüm dünyada en iyi uygulama olarak kabul edilen bir kontrol modeli. Bu modelde, iç kontrolün beş unsuru olduğu ve bu unsurlardan herhangi birindeki arızanın, diğerlerinin de işleyişini olumsuz etkileyeceği belirtiliyor. Tüm bu unsurlar bir piramit şeklinde yapılandırılmış. Yani tabandan, piramitin en uç noktasına kadar birbirleri üzerine inşaa ediliyorlar. En altta kurumsal değerler, stratejiler, üst yönetim, etik değerler ve örgüt kültürünü ifade eden “kontrol ortamı” unsuru var. Biz diğer tüm unsurları bu temel üzerine inşaa ediyoruz. Bir kurumun iç kontrol sisteminin, bir bütün olarak sağlıklı işlemesini istiyorsanız, her bir unsurun ayrı ayrı etkin bir şekilde yapılandırılmış veya mevcut olmasını sağlarsınız. Bu etkinliği sağlamanın ve bir bütün olarak iç kontrol sistemine dair güvenceye sahip olmanın en iyi yolu sağlam bir iç denetim faaliyeti oluşturmaktan geçiyor. İç denetim, hem kontrol unsurlarını denetlemek, hem de etkin bir iç kontrol modelini kurum genelinde tesis etmekte değerli bir araç olarak öne çıkıyor.

Malumunuz geçtiğimiz gün, Türkiye İstatistik Kurumu (TUİK) kamuoyuna sanayi üretim verilerini hatalı açıkladı. Tekstil imalatının % 40 arttığını belirtti. Oysa ki tekstil sektörü imalatı % 23.7 daralmıştı. TUİK yetkilileri sorunun yetersiz sistemlerden veya hatalı veri girişlinden kaynaklanabileceğini, konu ile ilgili soruşturma başlattıklarını ifade ederek, kamuoyundan özür dilediler. Bildiğiniz üzere bu açıklanan veriler piyasalar açısından büyük önem taşıyor. Piyasalardaki beklentileri, anlık tepkileri etkiliyor. Piyasa beklentileri Aralık ayında sanayi üretiminin % 15.3 daralacağı yönünde iken, sabah saatlerinde bu hata henüz fark edilmemişken açıklanan % 11.9 rakamı, piyasalarda iyimser bir hava esmesine ve alımların bu doğrultuda gerçekleştirilmesine neden oldu. Ancak öğleden sonra düzeltilen daralma rakamı % 17.6 idi ve piyasa beklentilerinin epey üzerinde gerçekleşmişti. Gerçi piyasalar bu düzeltmeden sonra bile çok negatif tepki vermedi, ancak verebilirdi de. Bu vakada genel olarak bakıldığında 3 şey dikkati çekiyor. Birincisi, operasyonel risk kavramı. Bilindiği üzere operasyonel risk, Yetersiz sistemlerden, iç süreçlerden veya çalışanlardan kaynaklanabilecek kayıpların gerçekleşme riskidir. Bir başka deyişle, operasyonel risk, iç kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin gözden kaçmasından, kurum yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilmemesinden, kurum yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıplara ya da zarara uğrama ihtimali olarak tanımlanmaktadır. TUİK açısından çok önemli olan bir kontrol hedefi, yani “operasyonel ve finansal raporlamaalrın güvenilirliği” tutturulamamıştır. Yani TUİK’in veri güvenliği ve raporlamalara ilişkin iç kontrolleri ki bunlara bilgi teknolojisi kontrolleri de dahildir, yetersiz gözükmektedir. Bu vaka, durumu açıkça ortaya koymuştur. İkinci dikkati çeken konu, gerçekleşen operasyonel risklerin, imaj/itibar ve yasal risklere dönüşme potansiyeldir. Operasyonel riskler hızla diğer risklere dönüşerek, telafisi olmayan kayıplara neden olabilirler. TUİK yetkililerinin özrü kamuoyunda kabul görür mü bilmiyoruz, ancak kurumun itibar kaybına uğradığı bir gerçek. Bunun yanı sıra o sabah işlem yapan piyasa oyuncuları kayıpları nedeni ile yasal olarak haklarını arama yoluna giderlerse yasal riskler de gerçekleşmiş olacak. İş dünyası ciddidir. Özür, kaybın telafisi değildir. Risk gerçekleşip, kayıp yaşandıktan sonra yapılacak soruşturmalar ise bataklığı kurutumadan sivrisinek avlamaya benzer! Üçüncü dikkat çeken husus, TUİK’in amaç ve hedeflerini tehdit eden böylesi ciddi bir riskin kontrol sisteminin süzgecinden geçiyor oluşudur. (kontrol sistemi bulunduğu varsayılarak) Burada kontrol sistemi sorgulanmalıdır. Elbette bu işi yapacak olan kişiler de iç denetçilerdir. Dikkat ederseniz bu tür olayları yaşayan kurumların kontrol sistemlerindeki zaafiyetler; bu kurumların iç denetim sistemlerine ve üst yönetimlerinin iç denetime bakışına dair de ipuçları verir. İç denetime gereken önemi vermeyen, bünyesinde etkin bir iç kontrol sistemi tesis etmeye yanaşmayan, bunları zaman kaybı veya zahmet olarak gören ya da ana faaliyet alanları dışında olduğunu düşünen üst yöneticiler bu tür riskleri de üstlenmiş olmaktadırlar. Bu nedenle bu tür risklerin gerçekleşmesi sonucu yaşanacak kayıpların sorumlusu da açıkça bu üst düzey yöneticilerdir. Böylesi olayların yaşandığı kurumlarda, COSO İç Kontrol Çerçevesinde yer alan kontrol unsurlarının temeli olan “kontrol ortamında” önemli bir zayıflık söz konusudur. Üst yönetimin kontrol ve iç denetime olan bakış açısı, “ıslak imzalar” ve “soruşturma” dan ibaret ise, bu tür olayların ileride de yaşanacağını rahatlıkla söyleyebilirsiniz. Bu husus sadece kamu değil, özel sektördeki pek çok kurum, şirket veya kuruluş açısından böyle. Özel sektörde de iç denetim faaliyeti ve kontrol sistemleri oluşturulması pek öncelik taşımıyor. Özellikle kriz zamanlarında şirketlerimizin “kar” kaygıları hayatta kalma mücadelesi paralelinde adeta “ar” kaygısına dönüşüyor. Bu nedenle bu tür konular ikinci plana atılabiliyor. Elbette diğer bir neden de bu kavramlara ve faydalarına dair yeterli kavrayışın ve farkındalığın bulunmaması. Bu zamanla aşılacağını düşündüğümüz bir durum. Özel sektörümüzün kriz zamanlarında dahi kendisine fayda sağlayacağını düşündüğümüz iç denetimi (bknz. Şirketler Ekonomik Krize Karşı Ne Yapmalı? (1) ve Şirketler Ekonomik Krize Karşı Ne yapmalı? (2) ) anlayıp, talep etmeye başlayacağı günlerin yakın olduğu kanaatindeyiz. Buna mukabil, özellikle kamu sektöründe 5018 sayılı kanun ile ön plana çıkan iç denetim ve iç kontol kavramlarına gereken önemin verilmemesi, üst düzey yöneticilerimizin bu konularda iç denetçilere gereken desteği vermemeleri kabul edilebilir değildir. Her ne sebep ile olursa olsun, etkin olmayan kontrol ve iç denetim sistemleri döner dolaşır o kurumun idarecisini vurur. Malum denetimi seven pek yoktur, ancak iç denetimin faydalarının yeteri kadar anlaşılması ile bu algının da değişeceğini düşünüyoruz. İşte TÜİK örneği ve hata sonucu suçlanan yöneticiler… Elbette her kurum, kişi hata yapabilir. Elbette tüm suç TÜİK üst yönetimine ait değildir. Hatayı yapan bizzat kendileri değildir. Bize göre hataları iç kontrol ve iç denetime gereken önemi vermemiş olmaktır. Meslek profesyonelleri, örgütleri, dernekleri olarak bizim hatamız da bu kavramları ve önemlerini değerli yöneticilerimize, yeterince anlatamamış olmaktır. Buna hususa başka bir yazımda da değinmeye çalışmıştım. (bknz. İş İşten Geçtikten Sonra Ancak Zarar Edilir!) Ülkemizdeki mevcut klasik denetim anlayış ve algısından sıyrılıp, çağdaş risk odaklı iç denetim anlayışına doğru gelişim göstermel zor ve zahmetli bir mücadele gerektirmektedir. Bu yol dikenlerle doludur. Bu yol bataklıkları kurutmaya adanmakla aşılır. Bataklığı kurutmaya çalışmak elbette sivrisineklerle tek tek uğraşmaya nazaran daha maliyetli ve zordur, ancak alınacak sonuçlar bu çabalara mutlaka değecektir.

Bir Cevap Yazın

E-Posta adresiniz yayınlanmadı

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


Yukarıya Git