Şirketiniz var ve şirketiniz bünyesinde iç denetim faaliyetine ihtiyacınız olduğunu düşünüyorsunuz. Gerçekten böyle bir ihtiyaç var mı?” ve var ise, “ne şekilde karşılanabilir?” sorularının yanıtlarını almak istiyorsunuz. İlk yapacağınız iş, önceki yazılarımızda belirttiğimiz üzere iç denetim alanında uzman bir kişiye danışmak ve durum değerlendirmesi yaptırmak.
“Danışılan uzman kişi, şirketinize ilişkin kısa bir analiz sonrası, eğer iç denetim ihtiyacınız olduğuna kanaat getirir ise, bu ihtiyacı karşılamaya yönelik olarak üç ayrı strateji önerebilir. Yazı dizimizin ikinci bölümünde belirttiğimiz bu stratejiler şunlardır:
1- Bünyede bir iç denetim sistemi kurmak ve iç denetim faaliyetlerinin kurum personelince yürütülmesi.
2- İç denetim hizmetlerini rutin olarak dışarıdan profesyonel danışmanlardan temin etmek (dış kaynak kullanımı).
3- Bünyede bir iç denetim sistemi kurmak ve bazı alanlarda dış uzmanlardan da yararlanmak (eş kaynak kullanımı).
Gözlemlediğim kadarı ile şirketler tarafından tercih edilen öncelikli strateji iç denetimin bünyede oluşturulmasıdır. Şirketin büyüklüğü, coğrafi yaygınlığı, operasyonlarının çeşitliliği, işin gerektirdiği uzmanlık düzeyi veya grup şirketlerinin sayısı bu stratejinin tercih edilmesinde önemli bir etkendir. Operasyonların çeşitli oluşu, şirketin içinde bulunduğu sektörün özel uzmanlık gerektirmesi, grup şirketleri ve iştirakler bulunması, faaliyetlerin coğrafi olarak dağılmış olması ve daha geleneksel bir şirket kültürüne sahip olunması bu stratejinin tercih edilebileceğinin göstergeleridir.
İç denetimi bünyede oluşturmak, şirket içinde bir iç denetim birimi (sistemi) oluşturmak demektir. İç denetçi istihdam etmek anlamına gelir. İç denetim faaliyeti, şirketin bordrolu elemanlarınca gerçekleştirilir. Şirket iç denetim birimi kurmak zorunda değildir. Yerine ve koşullara göre bir veya iki iç denetçi ile dahi iç denetim faaliyeti yürütülebilir. Bu strateji şirkete bazı avantajlar sağlar. Öncelikle iç denetim faaliyetlerinin yönetimi şirketin kontrolünde olur. Şirket iç denetim amaçlı istihdam edeceği denetçiler veya uzmanları istediği gibi eğitebilir ve şirket faaliyetleri konusunda uzmanlaştırabilir. Gerçekten de devamlı surette bir şirketin bünyesinde görev alan iç denetçiler o şirketi zamanla çok iyi tanımaya başlar ve şirket operasyonları konusunda yetkinlik kazanır. Ayrıca bir şirketin, kendi bordrolu personeline daha fazla güven duyabileceği söylemek de mümkündür. Özellikle rekabetin yoğun olduğu, teknik bilgi ve ticari sırların özel önem taşıdığı sektörlerde yer alan firmaların, dışarı bilgi sızma kaygıları olur. Bu gibi durumlarda, iç denetimi şirket içinde istihdam edilen ve güvenilen şirket personelin yürütmesi tercih edilir. Bunlara ek olarak, kurumsal yönetim açısından önemli bir adım atılmış olur. İç denetim departmanı sahibi olmak, kurumsal yönetim açısından iyi bir gösterge, faydalı bir araçtır (uluslararası standartlarda faaliyet gösteriyor ise). Bunlara ek olarak iç denetçilerin şirket bünyesinde istihdam edilmesi, iç denetim-üst yönetim ilişkilerinde yakın çalışma ve fikir alış verişi imkanlarını artırır. Yine, denetlenen- denetçi arasındaki bilgi paylaşımının, diğer iki alternatife göre daha fazla olacağı ortadadır. Ne de olsa, bilgi verilenler yine şirketin içindeki kişilerdir (bizim çocuklar yaklaşımı).
Bunlara mukabil, iç denetim faaliyetini şirket bünyesinde oluşturmanın önemli bazı dezavantajları vardır. Öncelikle uluslararası standartlarda işlev gösteren, çağdaş risk bazlı iç denetim tekniklerine hakim, kuruma değer katma bilinci ile yetişmiş iç denetçi veya uzmanı bulmak kolay değildir. İç denetim ülkemiz açısından görece yeni bir kavramdır ve yetişmiş iş gücü sıkıntısı söz konusudur. İç denetimin teftiş veya mali odaklı denetim olarak algılanması sonucu, maalesef şirketlerimizde bu yönde adım atma çabaları olduğu görülmektedir. Şirketlerimiz kendi bünyelerinde iç denetim faaliyeti oluşturmak için sıklıkla, mali müşavir, yeminli, mal, müşavir ve banka müfettişlerinden hizmet talep etmekte, bu kesimleri istihdam etmektedirler. Bu halde, bünyede iyi bir “teftiş” sistemi kurulabilse dahi, bu çağdaş ve uluslararası standartlarda “iç denetim” demek olmayacaktır. Risklerinizi tespit edecek, iç kontrol sisteminizi denetleyecek, bünyenizde kurumsal yönetimi geliştirilmesine yardımcı olacak, operasyonlarınızı iyileştirecek kişiler ancak uluslar arası yetkinliği olan (CIA belgesi) iç denetçiler olabilir. Bünyede iç denetim faaliyeti oluşturulmasının diğer bir dezavantajı personel kayıplarıdır. Bünyenizde yetişen, eğitim yatırımları yaptığınız, şirketiniz ile ilgili pek çok özel bilgiye sahip kişiler, daha iyi bir iş bulduklarını düşündükleri anda sizi terk edebilirler. Kurumsal vatandaşlık kültürü ve şirket imkanlarının yeterliliği bu hususta etkili olacaktır. Ancak yine de yetişmiş bir iç denetçiyi kaybetmenin maliyeti büyüktür. Gerçi bu durum şirketin kilit tüm personeli için geçerlidir. Bünyede iç denetim kurmanın diğer bir dezavantajı, şirket üst yönetimi ve diğer yöneticilerinin “şirket personeli” olacak olan bu iç denetçilere olan tutumudur. Pek çok şirkette, iç denetçiler şirket yöneticilerince “bizim çocuklar” olarak algılandıklarından, yürüttükleri denetimler esnasında denetlenenlerden gerekli özen ve ciddiyeti görememektedirler. Ancak, daha önce belirttiğimiz üzere bilgi paylaşımı konusunda da bu durum bir avantaja dönüşebilmektedir.
Peki, koşulların iç denetim faaliyetini şirket bünyesinde oluşturmak için uygun olduğunu varsayalım. Danıştığımız uzman, bunun uygun olacağı yönünde görüş vermiş olsun. Bu stratejinin avantaj ve dezavantajlarını da biliyoruz. İşe nasıl başlamalıyız? İlk adımı nasıl atmalıyız?
Öncelikle, çağdaş risk odaklı iç denetimin tanımını göz önüne getirelim. Neydi iç denetim?
“İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir.
İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur”.
Bu denli ciddi, zahmetli ve uzmanlık gerektiren bir görev söz konsuu ise, işe ilk önce bu işi layığı ile yerine getirebilecek bir lider bulmakla başlanır. Kurum bünyesinde çağdaş risk esaslı iç denetim faaliyetini hayata geçirebilecek, yetkin iç denetçileri işe alacak, yeni elemanları yetiştirecek ve şirket bünyesinde uluslararası düzeyde ve en iyi uygulamalar paralelinde iç denetim yürütülmesini temin ederek sistemi gözetecek kişiye Chief Audit Executive (CAE) denir. Türkçe “İç denetim birim başkanı, iç denetim direktörü, iç denetim müdürü” gibi unvanlar CAE yerine kullanılabilmektedir. Eğer ki iç denetim sistemi bünyede tesis edilmek isteniyor ise, bu işin başlangıcı uygun bir CAE seçmektir. Bugün tüm dünyada kabul edilen çağdaş, risk bazlı iç denetim anlayışının temeli CAE’ lere dayanmaktadır. CAE’ niz ne kadar iyi ise, iç denetim faaliyetiniz o kadar fayda sağlar. CAE’ lerin bazı şirketlerde orta düzey yönetici, bazılarında ise üst düzey yönetici olarak konumlandırıldığını tecrübe ettim. Şahsi kanaatim, iç denetim birimi ve başındaki CAE’ nin raporlama açısından (fonksiyonel olarak) var ise denetim komitesine, yok ise Yönetim Kurulu’ na, idari olarak ise İcra Komitesi Başkanı veya Genel Müdür’ e bağlı olmasıdır. Bu koşulun varlığı bağımsızlığı sağlar. İç denetim bünyede oluşturulacak ise bağımsız olmalı, şirket yönetimine karşı korunmalıdır. En üst düzeye raporlama yapan, bulgularını sunan bir CAE ve onun birimine örgüt içinde saygı duyulacak, bu ise işlerin daha sağlıklı yürütülebilmesini sağlayacaktır. Şirket bünyesinde etkin bir iç denetim faaliyeti oluşturulması ile ilgili diğer bir kritik husus, CAE’ e üst yönetimce sahip çıkılması ve destek olunmadır. Mümkünse bu destek yazılı ve sözlü olarak fonksiyonel ve operasyonel yönetim kademelerine iletilmelidir. Özetle, şirket bünyesinde iç denetim kurulacak ise;
1- “İç denetim alanında” yetkin ve tecrübeli bir CAE bulunmalı (lider)
2- Bu kişi örgüt hiyerarşisinde mümkün olan en üst düzeye sorumlu olacak şekilde konumlanmalıdır.
3- CAE ve iç denetim faaliyeti örgüt içinde en üst düzeyde ve açıkça desteklenmelidir.