Çağdaş, yani risk odaklı iç denetim yaklaşımı genel olarak kuruma, özelde de denetlenenlere değer katmak amacını taşır. Klasik yaklaşımlardan farklı olarak, amaç mevzuata uygunsuzlukları veya münferit hata ve usulsüzlükleri tespit edip, suçluları ortaya çıkartmak değildir. Amaç, o kurumun risk yönetimi, kontrol ve kurumsal yönetim süreçlerini iyileştirmek ve geliştirmektir. Bu sayede verimsizlik, hata, yolsuzluk, vb. tüm olumsuzlukları sistemsel olarak düzeltmek hedeflenir. Sistem ve süreçleri iyileştirmek, şirkete değer katar. İç denetimi şirketin amaç ve hedeflerine bağlar, yakınsar. Tüm denetim ve danışmanlık faaliyetleri bu amaçla planlanır ve yürütülür. Elbette bu farklı anlayış, iç denetçilerin de denetlenen ile farklı bir iletişim kurmasını gerektirmektedir. Klasik yaklaşımlarda iletişim tek yönlü iken, çağdaş iç denetim yaklaşımında iki yönlü ve etkileşimli bir iletişim söz konusudur. Eski tip denetim yaklaşımında, kazan-kaybet tarzı bir çatışma yönetimi çözümü hedeflenirken, risk odaklı çağdaş yaklaşımlarda kazan-kazan tarzı bir çözüm peşinde koşulur. Yani amaç denetlenenin de denetimden maksimum faydayı sağlamasıdır.

Bu noktada, çağdaş yaklaşımları benimsemiş, bu yönde yapılandırılmış iç denetim birimleri ile iç denetçilerin karşı karşıya kaldığımız önemli bir sorun vardır. Genel olarak organizasyona, özel olarak da denetimler sırasında, muhtemelen de denetimin açılış toplantısında denetlenene verilecek birkaç mesaj vardır. Çoğunlukla aşağıdaki kalıplar kullanılarak denetlenenin çağdaş iç denetimi anlaması, desteklemesi ve denetçiye güvenmesi sağlanmaya çalışılır;

• Sizin açıklarınızı arayıp, sizi yakalamaya gelmedik
• Biz polis değiliz, amacımız suç ve suçlu peşinde koşmak değil
• Potansiyel olarak herkesin işini en iyi şekilde yaptığını düşünüyoruz ancak bir de tarafsız bir üçüncü gözün operasyonlara bakmasında fayda var
• Denetimden en çok siz fayda sağlayacaksınız
• Risklerinizi sizin için tespit edip, kontrolleri sizin için test edeceğiz. Biz sizi korumuş oluyoruz
• İç denetim sizin için var. Klasik teftiş yaklaşımlarından farklı olarak amaç size değer atmak
• Sizin işlerinize katkı sağlamak en büyük hedefimizdir
• Tespit ettiğimiz ufak tefek sorunları yazmayacağız, biz sistemsel sorunlar için buradayız
• Bize güvenip bizimle sıkıntıları, sorunları, önemli risklerinizi paylaşabilirsiniz. Bu konulara birlikte çözüm arayacağız.
• Üst yönetime karşı sizin sesiniz olacağız, iletmemizi istediğiniz mesajları ileteceğiz
• Raporlarımızda iyi yapılan işlere de yer vereceğiz
• Sizleri yargılamak için değil, desteklemek için buradayız

Bu ve benzeri pek çok ifade ile karşı tarafın güveni ve desteği kazanılmaya çalışır. Ancak burada önemli bir sorun vardır. Niyet iyi olsa da uygulamada pek çok meslektaşımızın bu ifadelerin aksine hareket edebildiği görülmektedir. Örneğin, bir orta düzey yönetici ve alt düzey çalışanın, denetçi ile sohbeti sırasında ileri sürdüğü bir iddia veya verdiği bir gizli bilgi, doğrudan test dahi edilmeden, sorgulanmadan denetim raporlarına alınmaktadır. Yine örnek olarak, denetlenen birim tarafından iç denetçiye güvenilmek suretiyle paylaşılan bazı sıkıntılar ve sorunlar, denetim raporlarına doğrudan bulgu olarak alınmaktadır. Bir başka örnek de, iç denetçilerin açılış toplantısında takındığı tavır ile denetimin ilerleyen aşamalarında takındığı tavır ve üslubun olumsuz yönde farklılaşmasıdır. Bu ve benzeri örnekler karşı tarafın iç denetçiye ve genel olarak da iç denetime duyduğu güvenin ciddi ölçüde azalmasına, karşılıklı ilişkinin zarar görmesine neden olmaktadır. İç denetim, aynı denetlenene ikinci defa denetime geldiğinde (gelebilirse) aynı birim iç denetçiyi farklı şekilde karşılayacak, kendisini kapatacak veya paylaşımcı olmayacaktır.

Risk odaklı iç denetim yaklaşımında açık iletişim kullanarak ve denetlenenlere güven vererek bir takım risk ve sorunları tespit etmek, su yüzüne çıkartmak veya karşı taraftan kritik bazı bilgileri edinmek kolaylaşmıştır. Burada hiçbir sorun yoktur ve bu tercih edilen bir yaklaşımdır. Ancak burada sorun, elde edilen tüm bilgilerin, karşı tarafın ne düşündüğü sorulmadan, onlarla mutabakat sağlanmadan ya da rızaları olmadan hoyratça denetim raporlarına aktarılmasıdır. Elbette ki, iç denetçi tarafından gözlem, analiz, inceleme veya analitik tekniklerle doğrudan ortaya çıkartılan, sağlam denetim kanıtları ile desteklenen bulgular, hele de kritik ise mutlaka raporda yer alacaktır. Ancak denetlenenden walkthrouh, toplantı ya da mülakat teknikleri ile kolaylıkla elde edilen, karşı tarafın denetçiye güvenerek paylaştığı bazı konuların, hiç araştırılmadan veya süzgeçten geçirilmeden doğrudan raporlara alınması doğru değildir.

İç denetçi meslektaşlarımız da konuyu kabul etmekle birlikte, bu konuya bir çözüm bulamamaktadırlar. Burada şahsi tecrübelerimden yola çıkarak aşağıdaki çözümü önermekteyim.

Denetlenenlerin güvenini sağlamak ve korumak çok önemlidir. Onlardan doğrudan edinilen ve raporlanması halinde ciddi problem çıkartabilecek bazı bulguları eğer kritik değilse denetim raporuna almamak doğrudur. Ancak rapora almamak demek, bu risklere yönelik tedbirlerin göz ardı edilmesi demek değildir. Bu tür bulguları, kapanış toplantısında görüşerek, bu konularda eylem planları belirlemek ve bu planlar üzerinde mutabık kalmak gerekmektedir. Buradaki kazan-kazan durumu şu şekilde işlev gösterecektir. İç denetçi, kendisine doğrudan denetlenen tarafından belirli bir güven ilişkisi dahilinde sunulmuş olan verimsizlik, kontrol zafiyeti, sorun ve kronik darboğazlara ilişkin bulguları tespit edecek, mümkünse sağlam kanıtlar ile destekleyecek, bu risklere yönelik çözüm önerisinde bulunacak, ilgili birimden eylem planları isteyecektir. Birim ile bu eylem planları üzerinde mutabakat sağlanacak ve Birimin bu bulguları eylem planında yer alan süre içinde yerine getirmesi ve bu riskleri azaltması karşılığında, bu bulgular denetim raporlarına alınmayacaktır. Bu bulgulara ilişkin raporun değerlendirme bölümünde kısaca 1-2 paragraflık bilgi verilecek ancak ayrıntılara girilmeyecektir. Değerlendirmede sıkıntıların görüldüğü ancak birimin bu konuda eylem planları olduğu ve bunların takip edileceği hususuna yer verilecektir.

Ancak, bu bulgulara yönelik gerekli eylemler yerine getirilmez ve bu riskler zamanında kapatılmaz ise, bu bulgular bir sonraki denetim raporuna doğrudan dahil edilecektir.

Bu yaklaşımda amaç bağcıyı dövmek değil, üzüm yemektir. Riskler minimize ediliyor, kontroller güçlendiriliyor ve zafiyetler ortadan kaldırılıyor ise, iç denetçi görevini yapmış demektir. Bu noktada, doğrudan denetlenenden temin edilen, kendisinin iç denetçiye söylediği veya işaret ettiği konuların rapora alınmaması ve denetlenenlere kendilerini düzeltmek için bir fırsat verilmesi son derece yapıcı bir yaklaşım olacaktır. Bu sayede iç denetime mekanzimasına duyulan güven artacak ve yukarıda sıraladığımız tüm düşünce ve söz kalıpları bir anlam ifade edecektir.

Bu hususa ek olarak denetlenenler ile ilişkileri iyileştirecek diğer bir konu denetim raporlarında olumsuzluklar kadar, olumlu, iyi yapılan işlere de yer verilmesidir. Bir denetim düşünün ki, denetlenen alanda bazı iç kontrol zafiyetleri tespit edilmiş olsun. Buna mukabil Birim yönetimi son derece iyi niyetli, iyi performans gösteriyor, çalışanların motivasyonu üst düzey tutuyor ve iyi yönetim prensipleri sergiliyor olsun. Bu durumda denetim raporlarında sadece olumsuzluklara yer vermek, bu yöneticilere yapılmış bir haksızlık olacaktır ve iç denetime güveni sarsacaktır. Bunun yerine, Birimin iyi uygulamaları (verimliliği sağlamaya yönelik inisiyatifler, inovatif yaklaşımlar, iyi kontrol uygulamaları, genel risk duyarlılığı ve farkındalığı, iyi kontrol ortamı sağlanmış olması, personel motivasyonunun yüksekliği vb) da denetim raporlarında yer almalıdır. Bu sayede gerçek objektiflik sağlanmış olacaktır.

İç denetçilerin görev yaparken masanın diğer tarafını da düşünmeleri ve denetlenen ile sağlıklı ilişki kurmaları iç denetimin kurumsallaşması ve kabulü açısından kritik önem taşıyacaktır. Bu sebepledir ki özellikle yurt dışında denetlenenlere artık client yani “müşteri” denilmektedir. Bir tek bu ifade değişikliği bile iletişim paradigmalarındaki devrimi ve iç denetimin yeni vizyonunu en iyi şekilde ortaya koymaktadır.