Rapor yazmak hemen her denetim türünde denetim elemanını en çok zorlayan hususların başında gelir. Denetim boyunca elde edilen nihai kanaatin, yine denetim boyunca toplanan denetim kanıtları ile ilişkilendirilmesi ve ulaşılan sonuçların belirli bir mantık silsilesi içinde dikkat çekebilecek şekilde sunulması gerekmektedir.
Genellikle denetim raporlarının denetçi tarafından hazırlanma süresi ile raporlama mercii tarafından okunma süresi arasında büyük bir dengesizlik söz konusudur. Çoğu kez günler boyu, büyük emek ve özenle kaleme alınan raporlar, okuması gereken kişilerin masalarının üstünde günler ve haftalarca beklemeye alınmaktadır. Ya da şöyle bir göz atılıp gereği için alt kademedeki yöneticiye iletilmektedir. Her iki durumda da raporlara gereken önemin verildiği söylenemez.
Denetim raporları hemen tüm denetim türlerinin nihai sonucu, yani çıktısıdır. Üretim ne kadar iyi olursa olsun, ortaya koyulan ürün yeterli değilse, o ürüne talep olmaz. Denetim raporu denetimin ve denetçinin aynasıdır. Değer katma misyonunun son durağıdır. Hemen akla şöyle bir soru gelebilir; yukarıda ifade edildiği gibi raporlama mercileri denetim raporlarına gereken önemi vermiyor ise, denetçiler neden versin? Bu kimi zaman kafalarda soru işareti oluşmasına neden olan bir durumdur. Ancak bu yaklaşım, okunmayan denetim raporlarından yine denetim elemanlarının sorumlu olduğu gerçeğini değiştirmez! Denetim elemanı, sonucu ne olursa olsun “iyi” rapor yazmalı, raporlama merciine “iyi” rapor sunmalıdır. Ayrıca bazı teknikler ile raporların okunabilirliği ve ciddiye alınma düzeyi artırılabilir. Raporların masaların üzerinde tozlanması veya şöyle bir göz gezdirilip incelenmek amaçlı alt düzey yönetime gönderilmesi raporların kaderi olmayabilir.
İç denetim raporları bazı yönlerden diğer denetim türlerine dair raporlardan farklılık göstermektedir. Yaptırılması zorunluluk arz eden bir takım denetimlerin sonucu ortaya çıkan denetim raporlarının (BDDK, SPK veya YMM denetim raporları gibi) ilgililerince fazlasıyla ciddiye alınacağı ortadadır. Yasal ve düzenleyici otoritelerin talep ettiği bu tür raporların okunurluğu üst düzeydedir. Öte yandan gerek özel sektör gerekse de kamu kesimindeki iç denetim uygulamalarına bakıldığında, doğrudan üst düzey yöneticiye bağlı ve onun emrinde görev yapan iç denetçilerin sundukları raporlar, raporlama yapılan yöneticinin “iç denetime verdiği önem” veya “iç denetim farkındalığı” kadar ciddiye alınır. Üst düzey yöneticinin raporları okuma zorunluluğu yoktur. Gereğini yerine getirmesine ilişkin bağlayıcı hükümler yoktur (genellikle). Bu nedenle iç denetim raporları, diğer denetim türlerine ilişkin raporlardan farklıdır. Kendisini okutma mecburiyeti vardır. İlgi çekici olmak durumundadır. Yani belirli düzeyde pazarlamaya tabi olması gerekmektedir.
Mükemmel bir iç denetim faaliyeti düşünün. Ehil ve tecrübeli iç denetçiler, uluslararası standart ve etik kurallara uygun, çağdaş ve risk esaslı bir denetim gerçekleştirmiş olsunlar. Denetim yapılan kuruma ilişkin önemli riskler ve kontrol eksiklikleri tespit etmiş olduklarını varsayalım. Üstelik de bu risk ve kontrol zafiyetlerine yönelik çarpıcı ve maliyet etkin öneriler de getirmiş olduklarını düşünelim. Hatta denetledikleri alanda bazı önemli usulsüzlükler de tespit etmiş olsunlar. Şimdi böylesi “verimli” bir denetimin sonucunda ortaya çıkan raporun, iç denetimin bağlı olduğu üst düzey yöneticiden gereken ilgili görmediği yani ciddiye alınmadığını düşünelim. Denetim çabaları sizce de boşa gitmemiş midir? Denetlenen birimin iç denetime ilişkin düşünceleri ne olacaktır? İç denetim faaliyeti saygınlığını nasıl koruyacaktır? Nihai ürün başarısız olmuştur ve bu iç denetim sürecinin başarısını gölgeleyecektir.
Öyleyse ne yapılmalıdır? Çözüm “iyi” iç denetim raporları yazarak üst düzey yöneticinin dikkatini çekmek, iç denetim raporlarının ciddiye alınmasını sağlamaktır. Burada “iyi” iç denetim raporundan kastımız içi kritik bulgularla dolu, onlarca önemli riske işaret eden, kapsamlı ve detaylı raporlar değildir. Elbette raporların önemli tespitlerden oluşması gerekmektedir, ancak burada “iyi” denetim raporu derken kolaylıkla okunabilen, sıkıcı olmayan, dikkat çekici, kısa ve öz bir raporu kast ediyoruz. Siz ne kadar detaylı, uzun ve kapsamlı raporlar yazarsanız yazın, okunmadığı sürece bir anlam taşımayacaktır. Bizce “iyi” denetim raporu “okunan” denetim raporudur.
Dünyaca ünlü iç denetim eğitmeni ve danışmanı sevgili dostum Larry Hubbard bir defasında şöyle demişti; “En iyi denetim raporu, olmayan denetim raporudur”. Burada Larry içinde kritik tespit bulunmayan, kontrollere ilişkin önemli sorunlar tespit edilmemiş olan ve denetçi tarafından risklerin iyi yönetildiğine kanaat getirilmiş denetim raporlarını kast etmektedir. Yani “olumlu” bir iç denetim raporundan bahsedilmektedir. Bu iç denetim alanında bir devrimdir. Performansı çok sayıda hata raporlamasına endeksli olan geleneksel denetçi profilinin değişmesi gerektiğini göstermektedir. Eğer siz uluslararası standartlarda bir denetim gerçekleştirdiyseniz, denetiminize ilişkin güvenilir bir gözetim mekanizması var ise ve yeterli düzeyde denetim tekniklerinden faydalandıysanız, denetim raporunuzda hiçbir kritik bulgu olmasa dahi işinizi “makul düzeyde” yapmışsınızdır demektir. Larry’ nin “olmayan denetim raporları” ile ilgili görüşü esasen denetim raporlarının önemsiz, etkisi ve olasılığı düşük pek çok risk ve önemsiz maddi hatalar ile tıka basa doldurulmaması gerektiğine dair inancına dayanmaktadır. Önemli bir husus yok ise, rapor bunu yansıtmalı, gereksiz zorlamalara yer verilmemelidir.
Ben ise “en iyi” denetim raporunu “okunan” denetim raporu olarak tanımlıyorum. Bence raporların pazarlanması önem taşıyor. Evet, yanlış duymadınız, denetçiler olarak raporlarımızı en iyi şekilde pazarlamamız gerekiyor. Bunun yolu da okunabilirliğini artırmaktan geçiyor. Raporu okuyucuya kolaylık sağlayacak şekilde organize etmek, mümkün olduğunca kısa ve öz bir anlatım tercih etmek, raporu görsel açıdan kolaylık sağlayacak ve okunabilirliğini artıracak grafik, şema ve tablolar ile zenginleştirmek, ulaşılan nihai sonucu metin içine saklamak veya en sona bırakmak değil, en başta vurgulamak önem taşıyor. Yurt dışında gerçekleştirdiğim pek çok mesleki inceleme gezisinde, iç denetim raporlarının üst düzey yöneticilere standart 1 sayfalık, evet yine yanlış duymadınız, 1 sayfalık raporlar ile sunulduğunu tecrübe ettim. Tabi detay rapor talep edilir ise rahatlıkla çalışma kağıtlarına geri dönülmek suretiyle daha detaylı raporlar hazırlanabilmekteydi. Dünya bu yönde ilerliyor. Peki neden?
Cevap basit. Yöneticilerin vakti yok. Halen beraber çalıştığım, önemli idarecilik tecrübesine sahip bir üstadımın güzel bir sözü var. “İç denetçi masanın diğer tarafını da bilmeli. Yöneticileri de anlamaya çalışmalı”. Gerçekten de yöneticilerin vakti oldukça kısıtlı. Uzun, dolambaçlı içi pek çok önemsiz bulgu ile dolu raporları okumaya vakitleri yok. İyi denetim raporu sadece önemli bulguları içeren, bilgiyi mümkün olan en çarpıcı şekilde özet dahilinde sunan ve yöneticinin vaktini almamakla birlikte, ajandasına not düşmesini sağlayacak kadar etki bırakabilen rapordur. Kendi raporlarımızı ve rapor formatlarımızı değerlendirme altına almalıyız. Raporlarımız okunmuyor veya yeterli ilgili çekmiyor ise acaba sorun bizde olabilir mi? Farklı ürünler ortaya koymayı deneyebilir miyiz? Ya da ürünlerimizi nasıl farklı sunabiliriz?