Türkçe’de çok beğendiğim bir deyim var; “Ayinesi iştir kişinin lafa bakılmaz”. Esasen, Ziya Paşa’ya ait bir terkib-i bentten bir beyit olup, daha sonra deyim haline dönüşmüş. Orijinali şu şekilde:“Ayinesi iştir kişinin lafa bakılmaz,
Şahsın görünür rütbe-i aklı eserinde”.
Dünyada pek çok farklı kültürde buna benzer pek çok deyim bulmak mümkün. Örneğin, İngilizcedeki “Action speaks louder than words”, yani “eylem, kelimelerden daha etkilidir” veya “It’s not what you say, it’s what you do that counts”, yani “söylediğin değil, yaptığın önemlidir” deyimleri Ziya Paşa’nın deyimleşmiş beyitine hemen hemen denk söylemlerdir. Görülüyor ki bu düşünce, hakikaten evrensel bir özellik arz ediyor. Bu deyimin Türkiye’de iç denetim faaliyetleri ve iç denetçilerin performanslarının ölçülmesinde önemli bir yol gösteren olduğu kanaatindeyim. Bilindiği üzere çağdaş iç denetim, faaliyette bulunduğu örgüte değer katma misyonu ile hareket eden ve örgütün amaçlarına ulaşmasını sağlamaya yönelik işlev gösteren bir mekanizmadır. Bu bağlamda, herhangi bir iç denetim faaliyetinin “ayinesi” bu doğrultuda ürettiği işler, elde ettiği sonuçlar ve kuruma yaptığı katkılardır.
Bir iç denetim biriminin yıllık planlamarını risk bazlı yapıyor olması, en son denetim metod ve tekniklerini kullanıyor olması veya iç denetçilerin denetimlerini uluslararası standartlara uygun olarak gerçekleştiriyor olmaları önemli olmakla birlikte, nihai olarak örgüte değer katma noktasında bir eksiklik veya yetersizlik söz konusu ise, anlamlı olmayacaktır. Bir başka ifade ile iç denetim, ortaya koyduğu sonuçlar kadar etkindir, hizmet verdiği örgüte yaptığı katkılar paralelinde başarılıdır.
Gerek kamu gerekse de özel sektörde iç denetim faaliyetlerinin performanslarının değerlendirilmesi (ortaya koyulan işin ölçülmesi) büyük önem taşıyor. İç denetim faaliyetinin performansının değerlendirilmesinde genellikle iç denetim maliyetlerinin (iç denetçi ücretleri, eğitim harcamaları, donanım tesisi, vb.), iç denetçilerce denetimlerde tespit edilen hususlardaki mali etki ile (ortaya çıkartılan yolsuzluklar, verimlilik kazançları, maliyet azaltma, vb.) karşılaştırılması eğilimi hakimdir. Bu eğilim, değerlendirme çabalarını analitik bir düzleme oturtma endişesinden kaynaklansa bile, bu tür bir değerlendirme yaklaşımının pek de sağlıklı olmadığı, en azından tek başına kullanılmaması gerektiği kanaatindeyim. Öyleyse, örgütlerde faaliyet gösteren iç denetim fonksiyonlarının “lafı-ü güzaf” mı “iş” mi ürettiği ne şekilde tespit edilebilir? sorusu akıllara gelecektir.
Bu konuda pek çok farklı görüş, pek çok farklı değerlendirme modeli olabilir. Bu modeller faaliyette bulunulan ülke, sektör ve örgütsel yapıya göre farklılık gösterebilir. Ya da her kurum kendi kriterlerini ortaya koyabilir. Ancak kuruma değer katma misyonu ile ve örgütün amaç ve hedeflerine odaklanarak “değer katan iş üreten” iç denetim faaliyetlerinin bazı temel özellikleri değişmez ve genellikle aşağıdaki gibidir:
· İç denetim faaliyetinin denetim plan ve programları risk bazlı olarak kurumun amaç ve hedeflerine entegre şekilde hazırlanır.
· Örgütün kontrol ve risk yönetimi süreçlerinin tesisi ve geliştirilmesine öncelik verilir.
· Bireysel denetimlerde hata ve sorumluların bulunmasından ziyade hatanın kaynağını ortadan kaldırmak veya düzeltmek amaçlanır.
· Münferit değil, sistemsel iyileştirmelerin peşinden koşulur.
· Denetimlerde ortaya koyulan bulgular sadece zaafiyet, hata, darboğaz ve sorunları işaret etmez, bunlara yönelik çözümleri de içerir.
· Olumsuz hususlar kadar olumlu hususlara da yer verilir. Belirli bir alanda tespit edilen ve örgüt genelinde hayata geçirilmesi faydalı olacak iyi uygulamalar özellikle raporlanır.
· İç denetim, örgütün yönetim kurulu ve üst yönetimine, yalnızca önem arz eden hususları sunmakta ve iç denetim tarafından ortaya koyulan ve ivedilikle çözülmesi gerektiği vurgulanan problemler, yönetim tarafından ciddiye alınmakta, yönetsel gündem içinde öncelikli olarak ele alınmaktadır.
· İç denetim faaliyeti, iç ve dış kalite güvence değerlemesine tabidir. Bu şekilde kendi performansı, güçlü ve zayıf yanları ile tehdit ve fırsatlarının farkındadır.
Bu özellikleri gösteren veya taşıyan iç denetim faaliyetlerinin hangi performans değerlendirme yöntemi kullanılırsa kullanılsın, “değer katan iş ürettiği” görülecektir. Üst yönetimin gözüne girebilmek ve kabul görebilmek amacı ile sadece maliyet azaltma, yolsuzluk yakalama veya verimliliği artırma odaklı düşünen iç denetim birimleri, kendi maliyetlerinden daha fazla maddi katkı sağlamış olsalar dahi gerçek anlamda “değer katmış” olmayabilirler. Örneğin, iç denetim faaliyetinin, bir kurumun operasyonel verimliliği kadar, inovasyon süreçlerine de odaklanması gerekmektedir. Üretim hattında verimliliği sağlamak, üretim maliyetlerini düşürecek tedbirleri ortaya koymak elbette önemlidir, ancak unutulmaması gereken gider boyutu kadar, gelir boyutunun da ele alınmasıdır. İç denetimin örgütün amaç ve hedeflerine odaklanması, risk esaslı faaliyet göstermesi bu nedenle önemlidir. Hatta, COSO tarafından ortaya koyulan Kurumsal Yönetim Çerçevesinde (COSO KRY) “Olay Tanımlama” (Event Identification) bileşeni, örgütün yalnız karşı karşıya olduğu riskleri değil, fırsatları da tanımlayacak mekanizmalar kurması gerektiğini ileri sürmektedir. Görüldüğü üzere iç denetimin klasik maliyet eksenli odağı, önce risk, ardından COSO KRY Çerçevesi ile olay (fırsatlar ve riskler) odaklı bir yapıya doğru gelişim göstermiştir. İç denetim Biriminin performansının, yani ürettiği işlerin değerlendirilmesinde bu hususun da göz önünde bulundurulması yerinde olacaktır.
Özetle, iç denetimin yaptığı işin nihai sonucu, sağladığı fayda ve kattığı değer ile ölçülebilir. Bu katma değeri her zaman doğrudan değerlendirmek, ölçmek mümkün olabilir. Hatta pek çok farklı yapıda pek çok farklı değerlendirme yapmak da mümkündür. Bu nedenle, kilit performans kriterleri veya değerlendirme modelleri dahilinde mutlak performansı ölçmenin kolay olmadığı durumlarda, ki genellikle kolay olmaz, iç denetim faaliyetinin sahip olduğu veya olmadığı yukarıda sıralanmış olan temel özelliklerin, üretilen iş ve performansa ayna tutacağı görüşündeyim. Bu şekilde mutlak olmasa bile, makul bir değerlendirme yapmak mümkün olacaktır.