Anasayfa » İç Denetim | İç Denetim Danışmanlığı | İç denetçilik | Kamu İç Denetim » İşe Nereden Başlamalı: İç Denetim, İç Kontrol veya Risk Yönetimi?

İşe Nereden Başlamalı: İç Denetim, İç Kontrol veya Risk Yönetimi?

Danışmanlık yaptığım, eğitim verdiğim ya da herhangi bir iş ilişkim olmamasına rağmen, takip ettiğim şirketlerde gözlemlediğim bir olgu var. Bu şirketlerin Yönetim Kurulları ve Üst Yönetimleri, kurumsal yönetim kavramının önemini kavramış durumdalar. Bu konuda bir farkındalık oluşmaya başlamış. Elbette henüz tam anlamıyla benimsenmiş veya kabullenilmiş değil, ancak biraz da yeni TTK’nın zorlaması ile 3-4 sene içinde kurumsal yönetim artık iş hayatımızın vazgeçilmez bir unsuru haline gelecek. Bilindiği üzere kurumsal yönetim; bir şirketin, tüm paydaşlarına (hissedarlar, müşteriler, çalışanlar, tedarikçiler, kamu, düzenleyici otoriteler, çevre, vd.) karşı sorumlu, şeffaf, adil ve hesap verebilir bir yönetim anlayışı sergilemesi ve bunu sürdürülebilir bir karlılık ile desteklemesi demek. Bir şirketin, kurumsal yönetim mekanizmalarını doğru tesis edebilmesi ise, bir takım alt sistemlerin oluşturulması ve iyi yönetilmesini gerektiriyor. Bu alt sistemler; iç kontrol, iç denetim ve risk yönetimi olarak kabul ediliyor ve bunların etkin çalışması ile kurumsal yönetim sürecinin sağlıklı işlemesi mümkün hale geliyor.

Girişte belirttiğim gibi, şirketlerin Kurumsal Yönetim, iç denetim, risk yönetimi ve iç kontrol konusuna duyarlılığı artmış durumda. Bunların önemli araçlar oldukları kabul ediliyor. Ancak bu kavramların ne olduğu, bu sistemlerin nasıl kurulacağı ve birbirleri ile olan ilişkileri maalesef yeterince bilinmiyor. İç kontrol-iç denetim ve risk yönetimi-iç kontrol kavramları sıklıkla birbirleri ile karıştırılıyor ve çoğu zaman birbirlerinin yerine kullanılabiliyor. İş dünyasını bu konuda bilinçlendirmek önemli, zira bunlar birbirleri ile ilişkili ancak birbirlerinden farklı kavramlar. İfade edilirken birbirlerinin yerine kullanılması doğru değil.

Bu kavramların arasındaki ilişkiye değinmeden, bir diğer hatalı gördüğüm uygulamaya değinmek istiyorum. Bu kavramlar konusunda farkındalık kazanan bazı şirketlerimiz, her üç mekanizmayı da aynı anda kurmak, aynı anda hayata geçirmek istiyorlar. Birbirleri ile olan ilişkilerini ve fonksiyonlarını kavrayamadıklarından, hepsini bir arada oluşturmak ve yürütmek istiyorlar. Elbette bu yaklaşım, beraberinde pek çok sorunu getiriyor. Bu konular ülkemizde özel bir yetkinlik ve tecrübe gerektirdiğinden, şirketlerimiz iç denetim, iç kontrol ve risk yönetimi sistemlerinin oluşturulmasında danışmanlardan destek almayı uygun görüyorlar. Tek bir danışmanlık hizmet paketi içinde, her üç sistemin de kurulmasını talep ediyorlar. Her üç sistemin de birbirleri ile yakın kavramlar olduklarını düşünen ve bu talepleri geri çevirmek istemeyen bazı danışmanlar da bu isteği yerine getirmek amacı ile projeler başlatıyorlar. Sonuç çoğunlukla verimsiz, sonuç almakta başarısız, sağlıklı işlemeyen sistemler oluyor. Şirketlerin ellerinde her biri yarım yamalak yürütülen iç denetim, iç kontrol ve risk yönetimi faaliyetleri kalıyor. Bu çabalar beklenen faydaları sağlayamıyor ve sonuçta şirket yönetimleri bu araçların kurumsal yönetime yönelik faydalarından yararlanamamış oluyorlar.

Öncelikle şunu ifade etmek istiyorum; her üç sistemin de aynı anda kurulamayacağına yönelik bir kural, standart veya kabul gören norm yok. Ancak gerek yurt içinde yürütülen bazı başarısız danışmanlık projeleri, gerek yurt dışında gördüğümüz bazı en iyi uygulama örnekleri bize aksi yönde bazı mesajlar veriyor. Bu mesajlara genel olarak bakarsak;

  • Bir şirket ne kadar büyük olursa olsun, kaynakları ne kadar fazla olursa olsun, yönetim kurulları ve üst yönetimlerin bu üç sistemi aynı anda oluşturmak ve aynı anda ilgilenmek için zamanları olmuyor
  • Temel iç kontrol ve risk kavramlarına ilişkin farkındalığı gelişmemiş, şirket genelinde ortak bir risk-kontrol dili konuşamayan şirketlerin, KRY veya İç Kontrol uygulamalarını anlamaları ve benimsemeleri kolay olmuyor
  • İç denetim konusunda tecrübesi olmayan veya modern iç denetim (uluslararası standartlara uygun) faaliyeti bulunmayan örgütlerde, iç kontrol ve risk yönetimi konularına önem verilmiyor. Bu konular ikinci hatta üçüncü düzeyde önem taşıyor.
  • Üç büyük projenin aynı anda yürütülmesi örgüt genelinde önemli kaynak israfları ve personelin kafa karışıklığı ve yorgunluğu nedeniyle motivasyon düşüklüklerine neden oluyor.
  • Örgütsel yorgunluk ve bıkkınlık, sistemlerin sahiplenilmesine engel teşkil ediyor
  • Belirli bir sistematik ve aşamalı yaklaşım tercih edilmediğinde, ortaya kaotik bir durum çıkıyor ve projeler arasında koordinasyon ve eşgüdüm sağlanamıyor.

Peki, bu işin doğrusu ne? Yine dünyadaki en iyi uygulama örnekleri bize net bazı mesajlar veriyor;

  • Belirli bir ölçeğin üzerindeki tüm şirketlerde “iç kontrol sistemi” bulunmasa dahi fonksiyonlar ve süreçler bazında iç kontrol uygulamaları bulunuyor. Bu iç kontroller bir iç kontrol çerçevesi (COSO, CoCo, vb) dahilinde bütünleştirilmiş olmasa dahi operasyonlara entegre durumdalar. İşte burada mevcut kontrol faaliyetleri ve iç kontrollerin denetlenmesi, geliştirilmesi ve bir iç kontrol modeli çerçevesinde sistemli hale getirilmesi gerekiyor. Burada dünya genelinde şirketlerin izledikleri iki yol var.
  1. Önce iç denetim faaliyetini oluşturmak ve mevcut kontrol süreçlerini denetleyerek işe başlamak. Daha sonra, iç denetimin yarattığı risk-kontrol farkındalığından ve yetkinliğinden faydalanarak, bir iç kontrol modeli çerçevesinde kurumsal bir iç kontrol sistemi oluşturmak ve bunun gözetimini gerçekleştirmek,
  2. Önce iç kontrol sistemini oluşturmak ve daha sonra gözetim fonksiyonu bağlamında bir iç denetim fonksiyonu kurarak, iç denetim faaliyetini bu oluşturarak bu sisteme sonradan entegre etmek. Zaten iç denetim faaliyeti, iç kontrolün gözetimi içinde yer alan zorunlu bir süreç olarak dikkat çekiyor (Bkz. COSO İç Kontrol Çerçevesinde “İzleme” unsuru).
  • Her iki yöntemin de avantaj ve dezavantajları bulunmakla birlikte, en iyi uygulamalar, işe bu iki yoldan bir tanesi ile başlanması gerektiği yönünde rehberlik sağlıyor. Bu işte başarı sağlamış pek çok şirketin, işe risk yönetiminden önce, iç denetim veya iç kontrol mekanizmalarını kurmak ve işler hale getirmek ile başladıklarını görmekteyiz. Yani öncelikle iç kontrol ve iç denetim süreçlerinin olgunlaşmasını sağlıyor, sonra risk yönetimi sistemlerini oluşturuyorlar.
  • Esasen, bu durum şirketlerde yukarıda bahsedilen olumsuzlukların yaşanma ihtimalini oldukça azaltıyor. Verimsizlik, yorgunluk, motivasyon düşüklüğü, koordinasyonsuzluk ve kaos durumlarının önüne geçilmesini sağlıyor. İşe iç denetim veya iç kontrol sistemlerinin kurulması ile başlanması, örgütlerin risk-kontrol konularında önemli ölçüde farkındalık kazanmalarına da imkan veriyor.
  • Risk yönetimi esasen iç kontrolü de kapsayan, daha geniş kapsamlı, daha stratejik ve daha zahmetli bir süreçtir. İç kontrolde Üst Yönetim, iç kontrol ile ilgili sorumluluklarını delege edebiliyor veya aktif katılım sağlamayabiliyor. Ancak risk yönetiminde, Üst Yönetimin sorumlulukları son derece yüksek. Sadece destek vermek, oluşturulmasını sağlamak ve gözetim bağlamında düzenli rapor almak yetmiyor. Risk yönetimine aktif katılım sağlanması ve risk gözetiminin çok daha sık gerçekleştirilmesi gerekiyor. Henüz iç kontrol ve iç denetim konularında yeterli farkındalık kazanmamış, sorumluluklarını tam idrak edememiş yönetim kurulları ve üst yönetimlerin, işe diğer iki unsuru da kapsayan, ancak onlardan çok daha fazla yetkinlik ve adanmışlık gerektiren risk yönetimi ile başlamaları pek sık rastlanan bir durum değil.
  • İyi uygulama örneklerinde, önce iç denetim ve iç kontrolün sağlıklı bir şekilde tesisi, sonra risk yönetimine geçilmesi söz konusu. İyi uygulamalara ev sahipliği yapan şirketlerde bu durum bir zaman kaybı ya da verimsizlik gibi algılanmıyor. Aksine, sağlıklı işleyen sistemlere sahip olmanın belirli bir sabır ve olgunluk süreci gerektirdiği kabul ediliyor. Yani, bu şirketlerin, çok büyük kaynaklara ve yetkinliklere sahip olsalar bile bu işe risk yönetimi ile değil, daha temel iç kontrol ve iç denetim süreçleri ile başladıklarını görüyoruz.
Şahsi tecrübelerimiz bize iç denetimin öncelikle kurulması gereken mekanizma olduğunu düşündürtüyor. İç denetimin yokluğu halinde, iç kontrol ile ilgili adım atmak, mesafe almak veya harekete geçmek mümkün olamayabiliyor. Oysa iç denetim, hizmet verdiği şirketlerde iç kontrol süreçlerinin güçlendirilmesi ve iç kontrollerin bir sistem çerçevesinde bütünleştirilmesi yönünde bir teşvik edici olarak işlev gösteriyor. Yönetim Kurulu, Denetim Komitesi veya Üst Yönetime sunulan İç denetim raporları hem şirketin karşı karşıya kaldığı risk maruziyetlerine yönelik, hem de önemli iç kontrol zafiyetlerine dikkat çeken bir uyarı mekanizması olarak kritik önem taşıyor. İç denetçiler, şirketlerin iç kontrol sistemleri kurmaları yönünde hem denetim, hem de danışmanlık rolleri ile katkı sağlıyorlar. İç denetim, örgüt genelinde risk yönetimi ve iç kontrol kavramlarını tanıtan, önemini ortaya koyan ve farkındallık yaratan bir kurumsal araç olarak öncelik taşıyor.
Elbette burada belirtilen görüşün aksine inanan veya farklı düşünen meslek mensupları olacaktır. Ancak, gerek danışmanlık ve eğitim faaliyetlerimiz sırasında müşterilerimizden edindiğimiz tecrübeler, gerek dünya genelindeki en iyi risk yönetimi-iç kontrol- iç denetim uygulamalarından öğrendiklerimiz, gerek akademik çalışmalarımız, gerekse de gözlemlerimiz bize bu yönde bir bakış açısı kazandırıyor. Şirketlerde önceliğin iç denetim kapasitesinin geliştirilmesine verilmesi, ardından iç kontrol sistemleri oluşturulması ve en son da risk yönetimi süreçlerinin ve kurumsal risk yönetimi sisteminin hayata geçirilmesi gerektiğini düşünüyoruz. Elbette bu ilerlemenin; bir metodoloji dahilinde, bir proje yönetimi yaklaşımı çerçevesinde, en iyi uygulamalar paralelinde (COSO İK veya KRY gibi) ve disiplinli bir şekilde yürütülmesi gerekmekte. Bu yaklaşımın tercih edilmesi halinde şirket Yönetim Kurullarının sürece kaynak ayırması ve sabırlı bir şekilde desteklemesi gerekiyor. Kısa bir sürede hem sağlıklı bir iç denetim, hem etkin bir iç kontrol sistemi hem de yaşayan, dinamik bir risk yönetim sistemine sahip olmak pek olası gözükmüyor. Kısa vadede iç denetim (1 sene), orta vadede iç kontrol (2-3 sene), uzun vadede risk yönetimi (3-5 yıl) geçilmesinin uygun olabileceğini düşünüyoruz. Bir aşamada yeterince olgunlaşmadan diğerine geçilmemesi kadar şirketin bu kurumsal yönetim araçlarını mümkün olan en verimli şekilde ve makul bir süre zarfında hayata geçirmesinin önemli olduğu kanaatindeyiz. Yani acele edip, üçünü bir arada yürütmek kadar, rahat ve kaygısız davranıp süreci zamana yaymak da o kadar hatalı olacaktır. İç denetim, iç kontrol ve risk yönetimi sistemlerini belirli bir proje çerçevesinde, aşamalar halinde ve zaman planlaması yaparak yürütmek gerekmektedir.

Bir Cevap Yazın

E-Posta adresiniz yayınlanmadı

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


Yukarıya Git