Son birkaç aydır irtibat kurduğum, eğitim verdiğim veya danışmanlık hizmetleri sağladığım pek çok özel sektör işletmesi ile kamu idaresinde iç kontrole ilişkin bir husus dikkatimi çekiyor. Bu şirket ve kurumların yöneticilerinde iç kontrole ilişkin farklı algılamalar olduğunu görüyorum. İç kontrolün ne olduğu, ne işe yaradığı ve iç kontrol sistemlerinin nasıl kurulabileceği konusunda oldukça farklı düşüncelere sahip olduklarını tecrübe ediyorum. Düşünce algılamalardaki bu farklılık, özellikle de iç kontrol sistemlerinin kurulmasının zorunlu olduğu kamu idareleri için bir risk teşkil ediyor. Gerek özel gerekse de kamu sektöründe iç kontrol maalesef kalite yönetimi, süreç yönetimi, verimlilik çalışmaları veya kontrolörler eliyle yürütülen denetimler olarak algılanıyor. Oysa ki iç kontrol özü itibariyle bu kavramlardan oldukça farklı bir kavram. Elbette bu kavramlar ile kesiştiği alanlar olacaktır, ancak iç kontrol farklı bir konudur. Bu yazıda, iç kontrolün neden bu şekillerde algılandığı, esasen ne olduğu ve bu konulardan neden farklı değerlendirilmesi gerektiği konularına değinmek istiyorum.
Öncelikle şunu ifade etmek gerekir ki, “kontrol” tercihe bağlı, bir yönetim yaklaşımı veya türü değildir. Kontrol bir “yönetim fonksiyondur” ve mali ve operasyonel faaliyetler ile iç içedir. Yani bir şirketi nasıl yöneteceğiniz konusunda çeşitli alternatif yaklaşımlar söz konusu olabilir (örneğin süreçlerle yönetim, toplam kalite yönetimi, durumsal yönetim, bürokratik yönetim gibi) ancak her halükarda etkin bir iç kontrol sistemi kurmanız gerekmektedir. Yani yönetim felsefeniz ve yaklaşımınız değişse de, tüm mali ve mali olmayan operasyonlarınızda etkin bir iç kontrol sistemi oluşturmuş olmanız gerekmektedir. Planlama, Örgütleme, Yöneltme, Koordinasyon ve Kontrol(Denetim) bir yöneticinin kaçınamayacağı temel görevlerdir. Yani bir şirketi hangi yaklaşımla yönetirsek yönetelim, nasıl bir liderlik yaparsak yapalım, hangi bütçe ve kaynaklara sahip olursak olalım, mutlaka işlerimizde etkin kontrol sağlamamız gerekir. Şirketinizde bir kalite yönetimi yaklaşımı benimsemiyor olabilirsiniz, ya da şirketinizi süreçler ile değil fonksiyonlarla yönetiyor da olabilirsiniz ama ne olursa olsun şirketinizde iç kontrol sistemi kurmanız gerekmektedir.
Bilindiği üzere, şirketlerimizde/kurumlarımızda, özellikle de dünyada yaşanmakta olan kurumsal yönetim dalgası sonrası iç kontrol sistemlerine yönelik çalışmalar yapılmaya başlandı. Bankacılık sektöründe, SPK’ya tabi aracı kurumlarda, hisseleri halka arz edilmiş şirketlerde ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile tüm kamu idarelerinde iç kontrol sistemleri kurulması ve bu sistemlerin işleyişi ile ilgili güvence sahibi olmak zorunlu hale geldi. Konuyla ilgili olarak özel sektör işletmeleri, genel olarak dış uzman veya danışmanlardan destek alarak bu sistemlerin kurulmasına yönelik adımlar attı. Kamu İdareleri ise konuyla ilgili olarak önceleri koordinasyon ile görevli Maliye Bakanlığı’ndan rehberlik talep ettilerse de, yeterli destek sağlayamayınca ve iç kontrol sistemleri kurmaları için Maliye Bakanlığı tarafından belirlenmiş sürenin sonuna yaklaştıklarından, bazı adımlar atmaya başladılar. İdarelerin bir kısmı, konuyu kendi uzmanları ile, bir kısmı dış eğitim ile, bir kısmı da danışmanlık alarak halletmeye çalıştı ve halen çalışıyorlar. Ancak özel sektör işletmeleri ve kamu idarelerinin bu noktada ayrıştıklarını ifade etmek gerekiyor. Özel sektör işletmeleri iç kontrol sistemi oluşturmaya yönelik olarak danışman seçimlerini daha doğru yaparlarken, kamu idarelerimizin danışman seçiminde büyük hatalar yaptıklarını görüyoruz. Bunun sebepleri genellikle İdarelerimizin iç kontrol kavramını tanımıyor olmaları ve bu konuda yeterli rehberlik alamamaları olarak görülüyor. Ülkemizde iç kontrol konusunda yeterli akademik ve mesleki kaynak bulunmuyor olması, bulunanların ise İngilizce olması konuya ilişkin yeterli düzeyde bilgi sahibi olunmasına engel teşkil ediyor. Buna ek olarak, kamuda iç kontrol faaliyetlerini koordine etmekle görevli Maliye Bakanlığı’nın da süreçte aktif rol alamamış olması nedeniyle İdarelerimiz, farklı danışmanlık kuruluşlarının, iç kontrole ilişkin farklı yaklaşımlarının etkisi altında kaldılar. Son 6 aydır neredeyse 100’e yakın İdare ile temaslarımız oldu. Bu temas ve incelemeler neticesinde, konuya ilişkin olarak tüm İdarelerimiz için ortak bazı sorunlar tespit edebildik. Bunlar aşağıda özetlenmiştir:
- Farklı eğitmen ve danışmanlar, İdarelerimizin iç kontrole ilişkin algılamalarında karışıklık yaratmıştır. Her biri olaya kendi perspektifinden bakan, ancak esas uzmanlık alanları iç kontrol sistemleri olmayan “kalite yönetim danışmanları”, “strateji danışmanları” ve “süreç yönetimi konusunda uzman danışmanlar” ve bazı “mesleki dernekler” konuyla ilgili yetkin olduklarını ileri sürerek idarelerimizi maalesef yanlış yönlendirmişlerdir. İç kontrol sistemlerini kalite yönetim sistemlerinin bir parçası olduğuna inandırmak suretiyle, İdarelerimizde kalite yönetim sistemleri kurmaya yönelik önerilerde ve girişimlerde bulunmuşlardır. Benzer yönleri olmakla birlikte, birbirlerinden pek çok konuda farklılık gösteren bu yaklaşımları, bir tutarak, İdarelerimizi adeta kağıt bürokrasisine boğmuşlar ve iç kontrolün temel odağı olan “risk” kavramını tamamen göz ardı etmişlerdir.
- Konuyla ilgili gerçekten önemli düzeyde bilgi ve yetkinlik sahibi olan ülkemizdeki uluslararası danışmanlık firmaları; kalite ve yönetim danışmanlığı firmalarının lobi ve ikna faaliyetleri sonrası süreçte kasıtlı olarak dışlanmış, “pahalı” ve “kamuyu tanımıyorlar” yaftaları ile etiketlenmek suretiyle sürecin dışında bırakılmışlardır. Oysa ki, bahse konu bu firmalar gerek yurt içi gerekse de yurt dışında iç kontrol sistemleri kurmak konusunda büyük deneyim sahibidirler. Öte yandan kalite yönetim firmalarının iç kontrol konusu ile tanışıklığı birkaç aylık bir süreden öteye gitmemektedir. Elbette ki İdarelerimizin bu gerçeği bilmesi mümkün değildir ve bu anlamda mağdur edildiklerini bilememektedirler
- İç kontrol sistemleri oluşturmanın sadece süreçlerin tespiti, analizi, iş akışlarının çıkartılması ve görev tanımlarının oluşturulması gibi algılanıyor olması büyük bir hatadır. Bahse konu danışmanların iç kontrolü bu şekilde anlatmaları, İdarelerimizi ikna etmeleri ve bazı kurumlarda bu tür çalışmalar yapmış olmaları diğer tüm İdarelerimizde de bunların doğru olduğu yönünde kanaat oluşmasına neden olmuştur. Oysa ki bunlar, iç kontrol açısından önemli konular olmakla birlikte tek başlarına iç kontrol sistemini oluşturmazlar. Buna ek olarak, İdare genelinde yürütülmesi gereken ve bunlardan çok daha önemli faaliyetler vardır. “Sözde” iç kontrol danışmanları, iç kontrolün gerçekte ne olduğunu kendileri de bilmediklerinden, maalesef İdareleri bu çalışmaların yeterli olduğu yönünde ikna etmektedirler. Buzdağının görünen yüzü kadar, birde görünmeyen yüzü olduğunu bilmemekte ve İdarelerimizin bu çalışmalar ile yetinmelerini sağlamaktadırlar. Oysa ki, sadece bu çalışmaları tamamlamak, iç kontrolün standartlarından sadece 1 tanesini yerine getirmek demektir. Kalan 4 standarda ilişkin hiçbir çalışma yürütülmekte, hatta iç kontrol sistemlerinin kalbi olan “risk değerlendirmesi” ve “kontrol faaliyetleri” standartları ekseriyetle açıkta bırakılmaktadır. İç kontrol ve risk yönetimi kavramları ile uzaktan yakından alakası olmayan, bu alanda açık görerek, İdarelerimizin konuya ilişkin bilgi eksikliklerini istismar eden bu danışmanların, yetkinlikleri mutlaka sorgulanmalıdır. İşte bu “sözde” iç kontrol danışmanlarının yetkinliklerini sorgulamanız için aşağıda bazı sorular veriyoruz. Bu soruları size sunum yapmaya gelen, iç kontrol sisteminizi kurmaya yönelik size danışmanlık yapmaya talip olan ve konu ile ilgili uzman olduklarını iddia eden danışmanlara sorulacak bazı sorular şunlardır:
1)COSO İç Kontrol Modeli ile ilgili daha önce bir eğitim aldınız mı? Aldınız ise kimden aldınız?
2)Kamu İdarelerini ve işleyişini tanıyor musunuz? Daha önce kamu idarelerinde ne tür danışmanlık faaliyetleri yürüttünüz?
3)Kurumsal risklerimizi nasıl tespit edip ölçeceksiniz? Hangi uluslar arası kabul görmüş metodoloji ve yöntemleri kullanacaksınız?
4)İç kontrol ile ilgili danışmanlarınızın kişisel tecrübeleri nelerdir? Daha önce özel veya kamu sektöründen hangi kurumlara iç kontrol eğitimi/danışmanlığı sunmuşlardır?
5)Kamu İç Kontrol Standartlarına ne kadar hakimsiniz? COSO modelini daha önce hangi kurum veya kuruluşta uyguladınız?
·Bu sorulara tatmin edici cevaplar alamazsanız bilin ki bu işe talip olan kişiler kesinlikle doğru kişiler değildir.
·Kamu İdarelerinde iç kontrol sistemleri oluşturma ile ilgili olarak bu tür yetkin olamayan firmaları tercih eden Yöneticiler (Strateji Geliştirme Başkanlıkları Başta olmak üzere) büyük bir risk almaktadırlar. Oldukça ciddi bedellerle hizmet alımı yapılmakta olup, Özellikle dış denetim olarak kabul edilen Sayıştay denetimleri ile iç denetimler sonucu kamu kaynaklarının kötüye kullanıldığı yönünde bir kanaat oluşur ise, bu durum değerli yöneticilerimiz açısından büyük bir sorun teşkil edecektir. Yeterli düzeyde bilgi sahibi olmadıkları, konuya ilişkin rehberlik alamadıkları ve doğru kişilerden doğru bilgileri alamadıkları için aslında hiçbir kabahati bulunmayan bu değerli Yöneticilerimiz, bazı kötü niyetli veya yetersiz danışmanlar ile çalıştıkları için, kısa vadede olmasa bile, uzun vadede mutlaka sorgulanmak durumunda kalacaklardır. Bu bağlamda, kamu idarelerinde iç kontrol sistemleri kurmakla görevli yöneticilerimizin bu konuda kendilerini bilgilendirmeleri ve danışman yetkinliklerini sorgulamaları şarttır.
Gerek Kamu, gerekse de özel sektör işletmelerine en büyük tavsiyemiz; 1992 tarihli COSO raporunu okumalarıdır. Orijinal adı Internal Control- Integrated Framework olan bu doküman, http://www.coso.org/IC-IntegratedFramework-summary.htm adresinden sipariş edilebilmektedir. Raporun Türkçesi bulunmamakta olup, İngilizcesinin temin edilerek Türkçe’ye çevirtilmesi ile kafa karışıklıkları ve algılama farklılıkları ortadan kalkacaktır. Keşke Maliye Bakanlığımız bu çalışmayı 3 sene önce yaparak, bu değerli eseri İdarelerimize kazandırsa idi, bu sayede iç kontrolün ne olduğu ve ne olmadığı rahatlıkla anlaşılabilecekti. Bu eserin önemi şudur ki, Kamu İç Kontrol Standartları Tebliği, tamamen bu esere dayanmaktadır. Yani, Standartların detaylı açıklamaları ve iç kontrol sistemlerinin ne olduğu, nasıl oluşturulması gerektiği ve tüm püf noktaları bu kaynakta yer almaktadır. Bu kaynağın elde edilmesi, Türkçeye çevrilmesi veya en kötü ihtimalle, ilgili İdarelerde İngilizcesi kuvvetli uzmanlarca okunup özetlenmesinin büyük önem taşıdığını düşünüyorum.
Kamu İdarelerinde iç kontrole ilişkin oldukça vakit kaybı olduğu, hatalı eğitim ve danışmanlıklar ile kaynakların kaybedildiği doğrudur. Ancak zararın neresinden dönülür ise kardır. İç kontrolün ne olduğunun daha iyi anlaşılması ile, talep edilen rehberlik ve yardım da o denli bilinçli olacaktır. Nerede eksik olduğunu bilen, alacağı yardımın ne kapsamda olması gerektiğinin ayırdında olan ve çalışacağı danışmanı doğru doneler ile sorgulayan Yöneticilerimizin artmasını temenni ediyoruz.
Buraya kadar iç kontrolün ne olmadığı üzerinde durduk. İç kontrolün süreç ve kalite yönetiminden amaç ve kapsam olarak farklı olduğunu, ayrı bir uzmanlık gerektirdiğini ve hatalı oluşturulması halinde önemli kaynak israfları yaşanacağını vurguladık. Peki iç kontrol nedir? İç kontrol sistemlerinin özü nedir? İç kontrol sistemleri oluşturmada önemli aşamalar nedir bunlara bakalım.
İç kontrol, nihai sorumluluğu devredilmez bir yönetsel fonksiyondur. Nihai sorumluluk o kurumun üst düzey yöneticisindedir. İyi kurumsal yönetim için, yani hesap verebilir, sorumlu, şeffaf ve adil yönetim için olmazsa olmaz unsurdur. Yani iç kontrol sistemleri, 5018 sayılı Kanun gereği değil, tüm dünyayı etkisi altına alan ve ülkemizde de gerek kamu gerekse de özel sektörde kabul gören kurumsal yönetim ilkeleri gereği tesis edilmesi gereken bir kurumsal mekanizmadır. 5018 sayılı Kanun iç kontrol sistemlerini gündeme getiren, bir araç olmuştur. Bu anlamda, iç kontrol sistemleri oluşturmak bir amaç değil, iyi kurumsal yönetime giden yolda bir araçtır.
İç kontrol; kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi & iletişim ve izleme olarak tanımlanan 5 ana unsur veya Kamudaki karşılığı ile 5 standarttan oluşur. Bu unsur/standartları doğru bir şekilde hayat geçiren, etkin şekilde uygulayan, gereğini yerine getiren şirket/kurumların;
-raporlama faaliyetlerinin doğru ve tam olacağı,
-operasyonlarının etkin ve verimli yürütüleceği,
-varlıklarının korunacağı,
-faaliyetlerinde mevzuat ve iç düzenlemelere uygun hareket edileceği varsayılabilir.
Yukarıdaki bu sonuçlar, iç kontrolün amaçları olup, etkin iç kontrol sistemleri bu amaçları yerine getirirken, aslında şirket/kurumun stratejik amaç ve hedeflerinin de yerine getirilmesini sağlayacaktır. Burada yaklaşım şu şekildedir; kurum olarak amaç ve hedeflerim var, bunları tehdit eden riskler var (her kurum için farklı tür ve ölçeklerde riskler söz konusudur), bu risklere yönelik olarak bir iç kontrol sistemi oluşturur isem; varlıklarım korunacak, raporlamalarım doğru olacak, mevzuata uygun hareket ettiğimden otoritelerle başım derde girmeyecek (vergi, çevre, ticaret, iş hukuku, vb.), iç düzenlemelere uyulduğundan sistemli ve disiplinli bir kurumsal yapım olacak, faaliyetlerimde ise etkin ve verimli olacağım. Yani karlılık, sürüdürülebilirlik ve büyüme hedeflerimi yerine getirebileceğim. İtibarımı koruyabileceğim. İç kontrol sistemi bana, amaç ve hedeflerimi gerçekleştirmeme yönelik makul bir güvence verecek. Örneğin, yıllık %5 büyüme hedefim var ise, bu hedefe ulaşmamı engelleyecek yüzlerce de riskle karşı karşıyayım demektir. Etkin bir iç kontrol sistemine sahip olur isem, bu risklere yönelik yeterli düzeyde tedbir alınmasını sağlarım. Bu sayede beni bu hedeften uzağa düşürecek, başarısız kılacak tehditleri önceden öngörür ve iç kontrol sistemim ile bunların bana verebileceği hasarı önlerim
İç kontrol sistemi, kontrol ortamı ile başlar ve izleme ile son bulur. Ancak burada dinamik bir süreç söz konusudur ve iç kontrolün 5 unsurunun her biri de, zaman içinde yeniden değerlendirme altına alınarak sürekli revize edilir. Örgüt genelinde süreçlerin belirlenmesi, süreç analizlerinin yapılması, iş prosedürlerinin yazılı hale getirilmesi, iş akışlarının çıkartılması, iş ve görev tanımlarının belirlenmesi, etik kuralların oluşturulması gibi faaliyetler ile kontrol ortamı iyileştirilmiş olur. Ancak bu iç kontrol sistemi açısından sadece bir başlangıçtır. Bu çalışmalara ek olarak kurum genelinde;
-risklerin tespit edilmesi, ölçülmesi ve önceliklendirilmesi,
-iç kontrollerin tespit edilmesi ve yeterliliklerinin değerlendirilmesi,
-gereksiz, verimsiz ve yetersiz kontrollerin ayıklanması ve yerlerine yenilerinin oluşturulması,
-süreçlerin iç kontrol sistemini güçlendirir şekilde yeniden yapılandırılması,
-kurum içi bir risk ve kontrol veritabanı oluşturulması,
-kurumda kullanılan bilgi sistemleri ve iletişim mekanizmalarının etkinlik, verimlilik, ekonomiklik anlamında değerlendirilmesi, geliştirilmesi
-bilgi sistemlerindeki kontrollerin değerlendirilmesi
-kurumun iş sürekliliği, olağanüstü durum planları ve kriz yönetimi planlarının değerlendirilmesi, geliştirilmesi,
-yönetim ve iç denetçiler tarafından iç kontrollerin sürekli ve periyodik takibinin yapılması, değerlendirilmesi
gerekmektedir. Bu çalışmaların gerçekleştirilmemesi halinde etkin bir iç kontrol sisteminin varlığından söz etmek mümkün olmayacaktır.
Son olarak iç kontrol ile ilgili bazı kritik noktalara parmak basalım;
1-İç kontrol sistemi kurmak demek gereksiz bürokrasi veya kağıt trafiği üretmek demek değildir. Gereksiz bürokrasi iç kontrolün düşmanıdır. Binlerce sayfa dokümantasyon, gereksiz iş prosedürleri ve verimsiz metotlar önerildiği zaman sorgulayın. İç kontrolün amacı verimlilik ise, size kağıt bürokrasisi yaratan danışmanlık uygulamalarından kaçının. İç kontrol sistemi demek kalite yönetim sistemi demek değildir. Kalite yönetim sistemi için gereken pek çok unsur, iç kontrol için gerekli değildir.
2-İç kontrol asla sadece 5018 sayılı Kanun emrediyor diye kurulmamalıdır. İç kontrol, kurumun risklerini daha iyi yönetmesi ve amaçlarına ulaşması için kurulmalıdır. İç kontrol kağıt üzerinde kalacak ve zaman içinde eskiyecek bir sistem değildir. İç kontrol, yaşayan, faaliyetler ile entegre ve her daim güncel tutulması gereken bir yönetsel fonksiyondur.
3-İç kontrol sistemi oluşturmak kolay değildir. Ciddi bir bilgi birikimi ve yetkinlik gerektirir. İç kontrol konusunda uzman olduğunu iddia eden kişilerden eğitim veya danışmanlık almadan evvel bu kişilerin ne kadar yetkin olduklarını sorgulayın. Yukarıda verdiğimiz sorular ile bunu sağlayabilirsiniz.
4-İç kontrol sisteminin özünün amaç ve hedefler ile bunları tehdit eden riskler olduğunu unutmayın. İç kontrolün özü ne süreç yönetimidir, ne de kalite yönetimi. İç kontrol riskler için vardır ve özünde riskler yer alır. Risklerini tespit etmeyen, doğru yöntemler ile ölçmeyen ve bunlara yönelik iç kontrollerini değerlendirme altına almayan bir kurumda iç kontrol sistemi var denemez.
5-Eylem planlarına sahip olmak demek iç kontrol sistemine sahip olmak demek değildir. Eylem planlarında yer alan tüm faaliyetleri yerine getirmek ve bunları makul sürelerde gerçekleştirmek gerekmektedir.
6-Kurumun bilgi sistemleri yani kurumda kullanılan sistem, yazılım ve donanımı asla kontrol sisteminin dışında tutmayın. Bilgi sistemleri, iç kontrol sisteminin en önemli parçalarından bir tanesidir.
7-Güçlü bir iç kontrol sistemi, ancak güçlü bir iç denetim faaliyeti var ise söz konudur. Çağdaş, risk odaklı iç denetim faaliyeti tarafından denetlenmeyen bir iç kontrol sistemi etkin kabul edilemez.
İç kontrol sistemleri oluşturma ile ilgili her tür sorunuz için:
bkaya@controlsolutions.com