İç denetimin IIA tarafından ortaya koyulmuş olan bir tanımı var.  IIA Mesleki Uygulama Çerçevesinin (UMUÇ) Zorunlu Rehberi içinde ilk sırada yer alan bu tanım, dünya genelinde tüm iç denetim meslek profesyonelleri tarafından kabul gören bir tanım. Ayrıca, IIA Standartlarına uygun bir mesleki profesyonellik sergilemek için bu tanımı ve yine Zorunlu Rehberde yer alan Etik Kurallar ve Standartları da peşinen kabul etmek, benimsemek ve uygulamak gerekiyor.

 

İç denetim meslek profesyonelleri tarafından anlaşıldığı düşünülen ancak mesleğin dışındaki kişilere biraz karmaşık gelen bu tanımın aslında, meslek profesyonelleri açısından da biraz karmaşık olduğunu düşünüyorum.

 

Tanıma bakarsak;

 

“İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur” deniliyor.

 

Burada pek çok iç denetim meslek profesyonelinin ya da bu alanda bir kariyere başlamayı düşünen kişilerin kafasında bazı soru işaretleri oluşuyor. Bu soruları, gerek eğitimlerimde, gerekse de danışmanlık hizmetlerim sırasında sıklıkla soruyorlar.

 

1. Güvence, denetlenen birim/sürecin kendisine mi yoksa “risk yönetimi, kontrol ve yönetişim” süreçlerine mi verilir? Sürecin geneline güvence vermek doğru mudur?
2. Danışmanlık faaliyetlerinin sınırı nedir? Hangi konular danışmanlık hizmeti olarak nitelendirilebilir?
3. UMUÇ- İç Denetim Standartlarında belirtilen ve iç denetçilerin icrai görev alamamaları konusu, kurumsal olmayan şirket ve yapılarda nasıl yorumlanabilir? İç denetim farkındalığı düşük yönetsel yapılarda, hem üst yönetimin beklentilerini karşılarken, bir taraftan da bu bağımsızlığı nasıl koruyabiliriz?
4. Güvence ve danışmanlık hizmetlerinin sınırı nedir? Her denetim görevi aynı zamanda bir danışmanlık görevini içermiyor mu?
5. Standartlardan taviz verilmesi gerektiğinde ne yapılması gerekiyor? Tavizsiz uygulama mümkün değilse, ne yapmak lazım?
6. Sistemli ve disiplinli çalışmanın bir ölçüsü var mıdır? Aşırıya kaçılması iç denetim etkinliği ve verimliliğini nasıl etkiler? Aşırıya kaçmamak için ne yapmalı?

 

Mesleki Uygulama Çerçevesinin en önemli boyutu olan Tanım ve Standartların, ve hatta Zorunlu Olmayan Rehber’ de yer alan Uygulama Önerilerinin bu sorulara net cevaplar vermediği ortak kanı. Bu standartlar seti biraz geniş kalabiliyor. Bağlam ve koşullar ülke, sektör ve hatta şirket/kurum bazında bile farklılık gösterdiğinden, bu soruları ayrıca yorumlamak suretiyle cevaplamak istedim. Elbette bu yorumlar şahsi deneyim ve düşüncelerime dayanmaktadır. Standart olarak kabul edilmesi mümkün değildir ve bakış açılarına göre farklılık arz edebilir.

 

İç denetimin tanımı, iç denetimin kapsamını (alanını) net olarak belirlemiştir. Bir kurumun tüm risk yönetimi, kontrol ve yönetişim sistemleri, süreçleri, faaliyetleri ve uygulamaları iç denetim faaliyetinin kapsamını teşkil etmektedir. İç denetim faaliyetinin kapsamı, kurumdaki fonksiyonel alanlar değil, bu sistemler bazında tanımlanmıştır. Yani tanımda, bir kurumun tüm birimleri ya da faaliyetleri denmemiş, risk yönetimi, kontrol ve yönetişim süreçleri denilirken, alan daraltılmıştır. Evet denetim, süreç ya da fonksiyon bazlı yapılacaktır, çünkü iş bağlamı budur, ancak güvence hizmeti, risk yönetimi, kontrol ve yönetişim süreçleri üzerine verilecektir.

 

Örneğin, bir şirketin pazarlama departmanının ele alalım. Satış, halka ilişkiler, fiyatlandırma, pazar araştırmaları, konumlandırma, reklam, sosyal medya yönetimi, sosyal faaliyetler, vb. süreçlerin sahibi olan bir fonksiyondur. Burada, iç denetim güvenceyi pazarlama departmanı mı, yoksa pazarlama süreçlerine mi verecektir? Süreçlerin iyi yönetildiğine yönelik bir güvenceyi sürecin tamamı için nasıl verebilecektir. İşe nereden başlayacak, yeterli bir güvence için kapsamı nasıl belirleyecektir?

 

Burada iç denetimin tanımı devreye girmektedir. Güvence, pazarlama süreçlerine yönelik risk yönetimi, kontrol ve yönetişim süreçlerine verilecektir. İç denetim gerçekleştirdiği, iç kontrol denetimi, operasyonel denetim, BT denetimi, uygunluk denetimi ve mali denetim gibi farklı denetim türleri ve yaklaşımları ile “risk yönetimi, kontrol ve yönetişim” süreçlerinin iyileştirilmesi ve geliştirilmesine farklı perspektif ve açılardan yaklaşacak, 360 derece güvence kavramı çerçevesinde, ve denetim çabalarını bu alanlara (risk yönetimi, kontrol ve yönetişim) odaklamak suretiyle, esasen tüm süreci denetlemiş olacaktır. Zira, bu 3 alanın nüfuz etmediği bir konu yoktur. Yönetsel karar verme süreçleri, süreç yönetimi, iş ve görev tanımlarına uygunluk, risklerin yönetimi, kontrol faaliyetleri ve doğru kullanımı, planlama ve performans verileri, yönetim ve organizasyon yapısı, düzenlemelere uygunluk, etik ortam ve bilgi teknolojileri verimliliği ve güvenliği, iş sürekliliği, faaliyetlerin iş amaçları ile uyumu, raporlamaların doğruluğu, stratejik amaç ve hedeflere uygun alt hedefler belirlenmiş olması gibi konular bu 3 alanın altında yer alan bazı alt konulardır. İç denetim, bu 3 alana odaklanmak suretiyle, pek çok alt alana ait inceleme ve değerlendirme yapmakta, bu sayede de sürecin geneline ilişkin bir güvence verebilmektedir.

 

İç denetimin tanımı, iç denetçileri bu 3 alana odaklamak suretiyle esasen, tüm süreçlerin tüm unsurları ile ve önemli bir konu gözden kaçırılmaksızın değerlendirme altına alınmasını sağlamaktadır. İç denetçileri doğru yönlendiren ve kurumsal risk yönetimi, iç kontrol ve kurumsal yönetime yönelik diğer düzenlemeler ile (COSO, CoCO, Orange Book, ISO 31000, ISO’ nun diğer standartları, Turnbull, Cadbury, vb.) iyi ilişki kuran bütüncül bir tanım olduğu kanaatindeyim.

 

İç denetimin güvence boyutu genel anlamda herkes tarafından iyi anlaşılıyor. Neticede özü denetim ve sonrasında yapılan raporlamaya dayanıyor. Ülkemizde bu konuda bir algı ve tecrübe geliştiğinden, güvence faaliyetlerinin anlaşılmasında sorun yok. Öte yandan danışmanlık faaliyetleri pek çok kişinin kapsamı, yöntemi ve sınırları bağlamında anlayamadığı bir kavram. Bir denetçinin, aynı zamanda danışmanlık görevi yapıyor olması pek çok kişiye tuhaf geliyor.  İç denetim etkinliğine darbe vuracağı düşünülüyor. Genellikle eski paradigmadan gelen, eski usullerle ve klasik iç denetim kalıbı ile yetişen iç denetçilerde bu bakış açısı daha yoğun görülmekte.

 

Oysa modern, risk odaklı iç denetimin odağında “değer katmak” ve “geliştirmek” var. Gelişim, sadece eksiklik, zafiyet ve hataları tespit etmekle olmuyor. Aynı zamanda, bunlara çözüm getiren, öneride bulunan, iyileştirmenin bir parçası olan kişiler gelişim sağlayabiliyor. Buna ek olarak, “tespit edici” yani reaktif yaklaşımlar yerine günümüzde “önleyici, koruyucu” yani proaktif yaklaşımlar daha fazla rağbet görüyor. Diğer bir ifade ile patronlar ve kurum üst yönetimleri artık kendilerine sadece sorun getiren, eksiklik raporlayan denetçiler değil, sorun ve eksik ile birlikte çözümünü de getiren kişiler ile çalışmak istiyorlar. Bu anlamda, bir iç denetçinin “geliştirmek” konusunda bir sınırı kalmıyor. Şirketinin, mali ve operasyonel, hatta stratejik her konusunda, her sürecinde geliştirme çabası içinde olması bekleniyor.

 

Geliştirmenin, sadece güvence hizmetleri ile sağlanması zor. Zaten risk odaklı iç denetim yaklaşımı, güvenceye ek olarak bir miktar danışmanlık hizmetinin de kaçınılmaz olduğunu ortaya koyuyor. Münferit olarak yürütülen her denetim görevi, sonunda bir danışmanlık içeriyor. Tespit edilen her bulguya karşı bir öneri geliştirilmesi zorunlu. Bu öneriler geliştirilirken, iyi araştırma yapılması, konunun tüm boyutları ile ele alınması, fayda/maliyet analizlerinin yapılması ve önerinin denetlenen ile iyi müzakere edilmesi gerekiyor. Yani kısaca her denetim görevinin sonunda bizleri bir danışmanlık faaliyeti bekliyor. Amaç, risk yönetimi, kontrol ve yönetişim süreçlerini iyileştirmek ve geliştirmek olduğundan, sadece güvence sağlamak ile yetinmek mümkün değil. Aynı zamanda zafiyetlerin ortadan kaldırılmasına yönelik çalışmalar da yapılmalı. Bu analizden, ankete, fizibiliteden, araştırmaya, teknik seyahatlerden, uzman görüşleri almaya kadar çok geniş bir yelpazede çaba gerektiriyor. “Ben denetçi olarak eksikliği, hatayı veya zafiyeti buldum,  bu yeterli” dönemi kapandı. Yani her güvence süreci, esasen bir danışmanlık boyutu da içeriyor. Artık bunları birbirlerinden ayırmak pek mümkün değil.

 

Münferiden ve ayrı olarak alınmış olan ve yürütülen danışmanlık görevlerinin de esasen, 3 alana odaklı yürütülmesi gerekiyor. Danışmanlık görevleri genel olarak “talep edilen” hizmetler olduğundan, bu danışmanlık görevlerinin, bu 3 alanda bir iyileşme ve katkı sağlama imkanına bakılması ve görevleri bu perspektiften kabul etmek veya red etmek önem taşıyor. Örneğin şirkete kiralanacak araçların seçilmesine yönelik iç denetçinin de satın alım ekibinde danışman olarak yer alması ve öneriler yapması ile şirketin yeni ERP sisteminin planlanması ve geliştirilmesi sürecinde ERP ekibine danışman sıfatı ile katılması bu 3 alana etki ve katkı anlamında çok farklı değerler içeriyor. İlkinde, bu 3 alana katkı sağlama imkanı çok sınırlı. Oysa ki, ikinci konu, hayati önem arz ediyor ve 3 alana yönelik çok önemli sonuçlar doğurabilir. Burada danışmanlık görevleri değerlendirilirken, mutlaka risk yönetimi, iç kontrol ve yönetişim süreçlerine olan katkıları düşünülmeli. Alanımız belli. Bu 3 alana katkı sağlamak mümkün olacak ise, bu açıkça ortaya koyulmalı ve sağlanacak fayda tanımlanmalı. Görevler ondan sonra kabul edilip, planlanmalı. Eğer bu 3 alana katkı sağlamayacak işler öneriliyor veya talep ediliyor ise, buraya zaman harcamak en azından “Standartlar” ve “Tanım” perspektifinde pek makul görülmüyor.

 

Burada karşımıza yukarıdaki sorulardan bir tanesi çıkıyor. Peki, şirketimizin patronu ya da üst yönetimi bizden uluslararası standartlar ya da tanımı ihlal edecek taleplerde bulunur ise ne yapalım? Türkiye içinde ve yurt dışında yaklaşık 7.000 kişiye eğitim vermiş biri olarak, bu soruyu çok sık duyuyorum. Şirketlerimiz ve kamu kurumlarımızın kurumsallaşma düzeyi henüz arzu edilen seviyede olmadığından ve şirket/kurumları yöneten kişiler iç denetim konusuna vakıf olmadıklarından icrai görev talepleri gelmesi sık karşılaşılan bir durum. Ülkemizde iç denetçilerden beklentiler farklılaşabiliyor. Büyük kurumsal holdingler, bankalar ve uluslararası boyutu olan şirketler haricinde, çok büyük şirketlerde dahi iç denetçilerin icrai görev üstlenmesine, kurumsal bir projeyi yürütmesine ya da kurum içi mevzuatı hazırlamasına yönelik taleplerin karşılanması bekleniyor. Patron şirketlerinde durum daha da vahim. İç denetçiler, doğrudan icranın içine çekilmeye çalışılabiliyor. Burada başta TİDE olmak üzere, hepimizde hata var. İş dünyasında ve kamuda iç denetim farkındalığını oluşturmakta başarılı olamıyoruz. Ya çabalarımız yeterli değil, ya da stratejilerimiz sonuç vermiyor. Beraber çalıştığım 50-60 kadar şirket ve kurumda gözlemlediğim ve doğruladığım bu bakış açısı, iç denetçilerin hayatını zorlaştırıyor.

 

Burada iç denetçi meslektaşlarımın yapmaları gereken, standartlar ile beraber patron/üst yönetim ihtiyaçlarını ve taleplerini de fazlaca göz ardı etmemek olacaktır. UMUÇ’ a uyum özellikle mesleki eğitimlerde sürekli vurgulanır. Bu konuda esneklik olmadığı iç denetim camiasında yaygın kabul görmektedir. İç denetimin bağımsızlığı, adeta dış denetçi bağımsızlığı ile bir tutulur. İç denetçiler, kurum içinde kurum üstü bir yere konumlandırılır. Doğrudan en üst seviyelere yani Yönetim Kurulu veya Denetim Komitesine raporlama yapmak konusu hepimizin adeta kutsal değeri, kırmızı çizgisi haline gelmiştir. İç denetçinin icrai görevler almaması konusu adeta bir yasak alandır. Ancak uygulama ile Standartlar genelde pek örtüşmez. Türkiye’ de iç denetim pratiğinin yaşandığı binlerce şirket ve kamu idaresinde, iç denetimin icrai görev üstlenmesi tabusu yıkılmış ya da yıkılmaktadır. Pek çok kurumsallık düzeyi düşük şirket ve kurumda, iç denetim patronlara iyi anlatılamadığı ve bu konuda farkındalık gelişmemiş olduğu için, iç denetçilerden beklentiler farklılaşmaktadır. Örneğin, bazı meslektaşlarım bana YK veya üst yönetimden şu şekilde talepler/emirler aldıklarını ve ne yapmaları gerektiğini sormaktadırlar;

 

• Patronum benim öncelikle hileli işlemlere yönelik denetimler yapmamı, denetim planımı bir süre askıya almamı istiyor. 
• Üst yöneticimiz kurum içi mevzuatın oluşturulması ile ilgili görevler verdi. Satın Alım Yönetmeliğini bizim oluşturmamız bekleniyor.
• Risk yönetimi sistemi kurmamız lazım dedim, çok zorladım, çok uyardım, şimdi sen kur başka kaynak ayıramayız diyorlar. Projeden sen sorumlu ol diyorlar.
• İç kontrollerin güçlendirilmesi ile ilgili prosedürler yazmam istendi
• Yazılım ekibi ile çalışarak spesifik bir konuda yazılım geliştirmemiz bekleniyor.
• Rutin stok sayımlarını ambar değil sen yap deniyor.
• Tedarikçi ödemeleri senin onayından geçsin.
• İç denetim sadece benim verdiğim görevleri yapsın. Kendi planlama yapmasın.
• İç denetim, bir süre denetim yapmasın, sadece danışmanlık yapsın.
• İç denetçiler belirli süreler ile belirli fonksiyonlarda kontrol görevi üstlensinler.
• Yeni alacak yaşlandırma ve tahsilat takip sistemini siz oluşturun.

Elbette, bu talepler, UMUÇ kapsamında icrai görev kapsamına giren ve denetçi bağımsızlık ve tarafsızlığını zedeleyecek talepler. İç denetçilerin bunlardan mümkün olduğunca kaçınması şart. Öte yandan, patron-yönetici şirketlerinde, bunlardan kaçınılması zor olabilir. Böyle durumlarda, mümkün olduğunca “danışman” rolü üstlenmek ve icrai personeli çalıştırmak, onları motive etmek ve onları gerekli kaynaklar ile donatıp, destek vermek gerekiyor. Yani mümkün olduğunca dışında kalmak ancak işin tamamlanmasını sağlayacak stratejiler üretmek lazım.

 

Bu tür sorunlar yaşayan bir şirkette, örneğin bir Kurumsal Risk Yönetimi sistemi oluşturulması görevi alma noktasında, işi red etmeden akıllı bir strateji izlemek gerekiyor. Bu anlamda, bir proje ekibi oluşturulması konusunda ısrarcı olmak, ekibi eğitmek ya da eğitim almalarını sağlamak, motive etmek ve proje koordinasyonunu yürütmekle birlikte,  KRY kapsamındaki çalışmaları ilgili uzman ve yöneticilerin yürütmelerini sağlamak ve teşvik etmek önem taşıyor. Bu konuda patronları ve üst yöneticileri en iyi ikna edecek argüman “ben koordine edeyim ancak bu işi onlar biliyor, çalışma daha sağlıklı olur” yaklaşımını ortaya koymak olacaktır. İşi kabul etmek, hevesli olmak ve sorumluluk almak üst yönetimi mutlu edecektir. Öte yandan, işin icrai yönüne girmeden, konuyu proje yönetimi ve çıktı kalitesinin gözetimi boyutu ile üstlenmek iç denetçinin nefes almasını sağlar.

 

Bu tür şirketlerde çalışan ve bu tür talepler ile karşı karşıya kalan meslektaşlarım “denge” siyaseti izlemeli, hissettirmeden patron ve üst yöneticileri eğitmeli, farkındalık kazandırmalıdır. Kısaca görevleri red etmeyin, ancak uzmanları çalıştırın. Uzmanları yönlendirin. Ekipler kurulmasını sağlayın. Yönlendirici ve arabulucu olun. Onay makamı değil, uzlaşma makamı olun. İcrai taraftan çıkmak, takım çalışmasını sağlamak ve kararları takıma bırakmak, bu tür durumlarda, bağımsızlık sorunları için işe yarar bir panzehirdir. Kısaca akıllı hareket etmek ve patron taleplerini karşılamak zorundayız. Orta vadede kendimizi kanıtladıkça ve patronlarımızı eğittikçe rahatlayacağız. Bu tür taleplerin ayrıca TİDE yönetimi ile de paylaşılması ve mümkünse, TİDE’ nin reel sektör ve kamu ilişkilerinden sorumlu çalışma gruplarının, iş dünyasına yönelik farkındalık seminerlerinin sayı, kapsam ve kalitesini artırması da diğer bir önemli husustur.

 

Son olarak sistemli ve disiplinli çalışma hususuna ve burada karşılaştığımız aşırılıklara değinmek istiyorum. Yüzlerce meslektaşım sistematik çalışma noktasında, iç denetimin özünden uzaklaşıldığı görüşünde. “Denetim sırasında düzenlenmesi gereken tüm çalışma kağıtları, planlama faaliyetleri ve rapor formatları yoğunluğu işin özünden uzaklaşmaya neden olabiliyor, şekil, özün önünde geçebiliyor diyorlar”. Gerçekten de pek çok kurumda UMUÇ’ a uyum sağlamak adına, iç denetim birimleri müthiş bir dokümantasyon yükü altına girmiş durumdalar. Bu konuda bir denge bulmak gerekiyor. Dokümantasyon ve sistematik çalışma meslek açısından çok önemli. Sadece denetçi güvencesini destekleyen bir kanıt seti olmakla kalmıyor, denetçi performansının belirlenmesinden, kalite güvence değerlendirmelerine kadar her noktada önem taşıyor. Bu yadsınamaz. Ancak, sistematik çalışma sonucu yapılması gereken planlama ve dokümantasyonun asla denetim yerine geçmemesi, denetime ayrılan zamandan, ciddi zaman çalmaması gerekiyor. İşin özü halen denetim, halen denetim bulguları ve önerilerimiz. Bunu unutmayalım. Örnek olarak, biz Control Solutions International olarak müşterilerimize sunduğumuz tüm outsourcing ya da co-sourcing iç denetim hizmetlerinde, verimliliği ön plana almak adına yazılım çözümü kullanıyoruz. Yazılım çözümünde tüm dokümantasyon seti, hızlı bir şekilde oluşturulabiliyor. Gereksiz bir doküman yükü içinde değiliz. Toplantı tutanaklarımız, ön araştırmada (pre-survey) topladığımız bilgiler, RKM’ miz ve Denetim Programlarımız hep sistem üzerinden (KIOS GRC yazılımını kullanıyoruz) oluşturuluyor ve arşivleniyor.

 

Bu yazılım çözümünden önce de tüm denetim çalışmalarımı tek bir RKM’ de (Excel ortamında) toplamak suretiyle denetimi tek noktadan koordine ederdim. Bu şekilde derli toplu çalışma imkanım olurdu. Tek bir RKM üzerinde denetlediğim süreç, alt süreçler, ref edilmiş iş akışları, ref edilmiş görev tanımları, doğal riskler, kontroller ve türleri, sıklığı, kontrol testleri, ulaştığım sonuçlar, ref edilmiş destekleyici kanıtlar ve analizler, ref edilmiş çalışma kağıtları, önerilerim ve birim görüşleri yer alırdı. Tek bir tablodan raporumu kolaylıkla ve dağılmadan, istediğim her bilgiye kolaylıkla ulaşarak yazabilirdim. İç denetim otomasyonu için bir yazılım çözümü kullanmıyor veya kullanmayacaksanız, bu şekilde bir sistematik izleyebilirsiniz.

 

Özetle, önemli olan denetimin özüdür. Ulaştığınız sonuç, kattığınız değerdir. Önemli olan doğru analiz ve değerlendirmelere dayanan, kurumun önemli risklerine işaret eden, ayağı yere basan, maliyet etkin çözümler getiren denetim sonuçları üretmektir.