İç kontrol de tıpkı iç denetim gibi iş dünyasında son dönemlerde en çok konuşulan konulardan biri. İç kontrol; 5018 sayılı Kanun nedeni ile kamu idarelerinde, SPK düzenlemeleri nedeni ile aracı kurumlarda, Bankacılık Kanunu ve Bankaların İç Sistemleri Hakkında Yönetmelik sebebi ile Bankalarda ve yeni TTK nedeni ile hisseleri borsada işlem gören şirketlerde zorunlu (risklerin erken teşhisi ve önlenmesi işi kapsamında). Kanuni düzenlemelere kadar girmiş, ülkemiz şirket ve kamu idarelerinin önemli bir işi haline gelen “iç kontrol” halen anlaşılamıyor. Ne olduğu, nasıl oluşturulacağı, ne şekilde fayda sağlanabileceği bilinmiyor. Bu yazıda bu konulara biraz açıklık getirmek istiyorum.
İç kontroller, bir kurumda riskleri azaltmaya yönelik işlev gösteren uygulama, prosedür, politika, süreç, sistem ve eylemlerdir. İç kontrol sistemi ise, kurum genelinde amaç ve hedeflerin gerçekleştirilmesi amacı ile tesis edilen, tüm bu kontrolleri de kapsayan, ancak yönetim ve organizasyon, risk değerlendirmesi, iletişim, bilgi sistemleri ve iç denetimi de kapsayan bir yönetim aracı, üst düzey bir yönetsel kontrol mekanizmasıdır. İç kontrolleri kapsar, onları belirli bir sistematik çerçevesine oturtur ve kurum iş süreçlerinin riske duyarlı olarak yönetimini sağlar.
Hem münferit iç kontrol uygulamalarının, hem de üst düzey ve operasyonlar ile entegre bir sistem olarak iç kontrol sisteminin özünü anlamak, sistemi oluşturmak, işletmek ve verim sağlamak adına önemlidir. Hatta iç kontrolü doğru anlamak, fayda sağlamanın ön koşuldur.
Bugün ülkemizde hem özel sektör, hem de kamu idarelerinde iç kontrol; kalite yönetimi, süreç yönetimi, dokümantasyon, yeniden yapılandırma ve denetim gibi farklı yönetsel araç ve kavramlar ile karıştırılmaktadır. Bu sayılanlar ülkemizde, bilindiği, tanındığı ve uygulama boyutu kazanmış olduğu için, iç kontrol bu kavramlar potasında eritilmek istenmektedir. Tüm bu yönetsel kavramlar ki buna iç kontrol de dahil, esasen aynı amacı hedefler: kurumsal performansın ve buna bağlı olarak başarının artırılması. Ancak bunu sağlamak için farklı yöntemler kullanırlar. Yolculukları farklı yönlerde gerçekleştir. Aynı şehre doğru farklı yollardan yola çıkan ve farklı yolları kullanan yolculara benzetebiliriz. Bu araçlar birbirlerine rakip değildir, birbirlerine ikame değildir.
Bazı yönlerden birbirlerine oldukça benzeseler de her birinin farklı bir temel yaklaşımı (özü), yöntemler seti ve uygulama yaklaşımı vardır.
İç kontrol de özü itibariyle diğer yöntemlerden ayrılır. İç kontrolün özü “risk” tir. İç kontroller ve bir bütün olarak iç kontrol sistemi riske karşı verilen kurumsal bir tepkidir. Diğer bir ifade ile iç kontrol, kurum strateji ve operasyonlarındaki (süreç seviyesi) risklerin, kurumun kabul edebileceği seviyeye, yani kuruma zarar verme potansiyeli minimize edilmiş seviyeye indirilmesini sağlar.
Diğer yönetim araçları performans ölçümü ve bu değerlendirme sonrası performansı iyileştirici düzeltici faaliyetler peşinde iken, iç kontrol, olası risklerin önceden tespiti ve performansı en baştan olumsuz etkileme potansiyeli taşıyan unsurlara karşı tedbir alınmasını amaçlar. Elbette istisnaları olmakla birlikte iç kontrol ex ante, diğerleri ex post yaklaşımları barındırır. Diğer bir farklılık, iç kontrol dışındaki yönetsel araçların, sürekli iyileşme ve revizyon peşinde koşmalarıdır. İç kontrol sürekli iyileşme peşinde koşmaz. Mevcut durumun tespiti, mevcut durumdaki risklerin tanımlanması ve azaltılması temel önceliktir. Mevcut durumda yönetim kapasitesi, risk esaslı bir düşünce tarzı ile iyileştirilmeye çalışılır. İç kontrol, sürekli iyileşme ile değil, risklerin azaltılması ile ilgilidir. Bazı riskler, elbette süreç tasarımı veya organizasyon yapısının kendisinden kaynaklanır. Böyle durumlarda, risk iyileştirme eylemleri açısından, süreç veya organizasyon yapısında iyileşme sağlanması gerekli olur. İç kontrolün özellikle kalite bazlı araçlara yakınsadığı nokta bu koşullardır.
İç kontrol denince akla gelecek ilk şey süreçler, dokümantasyon, iş akışları, görev tanımları, vb. konular olmamalıdır. İç kontrol denince akla ilk gelen kavram “risk olmalıdır”. Risk olmadan, iç kontrol olmaz. İç kontroller, risklere endeksli uygulamalardır. Riskin ön planda olmadığı bir sisteme iç kontrol sistemi demek doğru olmaz.
İç kontrol çalışmalarını diğer yönetsel araç ve sistemler ile karıştırmamalıyız. Onların faydasız olduğu iddiasında değiliz. Aksine, iç kontrol kadar önemlidirler. Ancak, iç kontrolün ikamesi değildirler. Kalite eksenli çalışmalar, iç kontrolün yerine geçmez. Kalite yönetimi uzmanları, elbette kendilerini risk konusunda da bilgilendirip, bu ek hizmeti de vermek suretiyle, sistemler arasında uyum kazanılmasını sağlayabilirler. Ancak burada oldukça ciddi bir öğrenme çabası içine girmeleri gerekir. Konuyla ilgilenen herkesin en başta COSO tarafından yayımlanan “İç Kontrol Entegre Çerçevesini” okuması şarttır (www.coso.org). ISO 9001, ISO 27001 veya diğer kalite dokümantasyon standartları ile iç kontrolün ancak bazı bileşenleri, o da eksik olarak çalışılmış olacaktır. İç kontrol, risk odaklı ve farklı bir konudur. Bunun anlaşılması ancak en iyi uygulamaların anlaşılması ile mümkün olabilir. Bu sebeple COSO’ nun 1992 tarihli olan ve 2013′ te güncellenen “İç Kontrol Entegre Çerçevesini” herkesin tam olarak ve üst üste birkaç kere okumasını öneriyorum. Bu çerçevede konuya “risk” ve “iç denetim” eksenli bakıldığı görülecek ve iç kontrolün bir dokümantasyon işi olmadığı anlaşılacaktır.