Daha önce sitemizde, Societe Generale bankası ve yaşadığı kayıplar ile ilgili bir yazı yayımlamış, bankanın kayıplarının nedenleri üzerine “iç denetim” odaklı bir analiz gerçekleştirmiştik. Bu kayıplardan sorumlu kişi olarak bizlere sunulan, Jerome Kerviel adlı işlemci, geçtiğimiz günlerde bir Fransız gazetesine verdiği mülakatta şu ifadelerde bulunmuş;

Ø ”Milyonlarca avro ile oynayınca insan gerçeklik duygusunu kaybediyor, yaptığı iş sanki video oyununa dönüşüyor

Ø ”Her gün limitimi zorluyordum. Çılgınca riskler alıyordum ve bazı günler yaptığım astronomik kazançlar bana büyük hazlar veriyordu”

Ø ”Aslında hepimizin yaptığı çok sanal bir ortamdı. Sanki video oyunu oynar gibi”

Ø “Bir kaç saniye içinde milyonlarca avronun kaybedildiğini ve kazanıldığını gördüm”

Ø “Londra’ya 2005 yılında düzenlenen terörist saldırı sırasında banka adına hayatımın en kısa zamanda en büyük karını yaptım”

Ancak daha sonra, Kerviel, bu gazeteye mülakat vermediğini ve esas söylediklerinin kapsamından çıkartılarak sunulduğunu ileri sürmüş. İç denetçiler olarak bu sözlerin doğru olup olmadığından ziyade, olması halinde yaratacağı kayıp ve doğuracağı zararları düşünmek gerektiğine inanıyorum.

Kerviel’in Societe Genarale Bankasına verdiği zarar yaklaşık 5 milyar euro. Durumun vehametine ilişkin ülkemizdeki finansal kuruluşların üst düzey yönetimleri ile risk yöneticileri ve iç denetçilerinin muhakkak önemli dersler almış oldukları inancındayım. Finansal kuruluşların, geleneksel operasyonel kontrol bakış açılarını, riske dayalı kontrol yapılarına ve hatta risk yönetim eksenli bir yönetsel perspektife çevirmeye başladıklarını veya bu dönüşümü yakın zamanda gerçekleştireceklerini düşünüyorum. İç denetçiler açısından bu dönüşümde kurumlarına değer katmak için önemli fırsatlar bulunuyor.

Ülkemizde pek çok finansal kuruluş gerek gelenekler gerekse de yasal yükümlülükler nedeni ile iç denetim ve risk yönetimine önem veriyor. Bu alanlarda parlak gençleri, tecrübeli uzmanları istihdam ediyorlar. Uluslararası danışmanlık firmaları ile alanlarında tanınmış akademisyenlerden destek alıyorlar. Bundan 10 yıl öncesine göre epey yol alındığı göz ardı edilemez. Ancak, bugüne dek gerek mesleki tecrübeler eksenindeki gözlemlerim, gerekse de akademik araştırmalarım sonucu özellikle finansal kuruluşlarda iç denetim ve risk yönetimine dair bazı zaafiyetler gözlemleme şansı buldum. Bunlar kısaca;

· Ülkemizdeki finansal kuruluşlar, özellikle de Bankalar, çok yoğun bir denetim altındalar. Düzenleyici ve denetleyici otoritelerin denetimleri, bağımsız dış denetimler, BT denetimleri, vergi denetimleri, Merkez Bankası denetimleri, iç denetimler bunlar arasında. Tüm bu denetimler, esasen Bankaların iç denetçileri, risk ve kontrol yöneticilerini oldukça meşgul ediyor. Bu denetimlerin koordinasyonu, lojistik desteği ve bilgi aktarımları, özellikle iç denetim ve risk yönetimi birimlerinin görevlerinden bir tanesi haline dönüyor. Buna ek olarak, denetlenen Banka Birimleri de bu yoğun denetim aktivitesi altında kendi operasyonlarını yürütmekte zorlanabiliyor. Bu değerli zaman kaynaklarının daha fazla katma değer yaratabilecek aktarımı engellenmiş oluyor. Buna ek olarak bu kadar sık ve kapsamlı denetimlere tabi tutulmak bir süre sonra kurum personelinde denetim yorgunluğu ve kurum yönetiminde bir denetim körlüğü oluşturuyor. İç denetçilerin faaliyetleri, Kurum “nasılsa pek çok yönden sıkı bir şekilde denetleniyor” varsayımı ile beyhude bulunabiliyor veya yaratması beklenen etkiyi yaratamıyor. Oysa ki hiçbir denetim faaliyeti kurumun risk yönetimi ve kontrol yapısını iç denetçiler kadar iyi değerlendiremez. Bu husus gözden kaçabiliyor.

· Finansal kuruluşların üst yönetimleri, risk yönetimi ve kontrol faaliyetlerini münferiden yürütülen, kurum amaç ve hedefleri ile ve hatta performans ile ilişkilendirilemeyen kavramlar olarak mütalaa ediyorlar. Oysa ki, risk yönetiminin kurum stratejileri ile ve kontrol sistemlerinin de operasyonlarla entegre olarak değerlendirilmesi gerekliliğinin kendilerine çok iyi anlatılması gerekiyor. Bugün iç denetim faaliyetini geleneksel olarak bir maliyet merkezi olarak tanımlayan bakış açılarının, bu faaliyeti kuruma değer katan bir yapı olarak görecek şekilde değiştirilmesi gerekiyor. Bu bakış açısı değişmeden finansal kuruluşların bütünü kapsayacak etkin bir risk yönetimi ve kontrol yapılarına sahip olması zor gözüküyor. Bu halde, iç denetim de bütünden ziyade parçalara odaklanmış oluyor ve değer katma misyonundan uzaklaşıp geleneksel rolü dışına çıkamıyor.

· Bankaların Teftiş Kurullarındaki geleneksel denetim anlayışı ve klasik örgütlenme, çağdaş risk odaklı yaklaşımlara dönüşmeye başlamakla birlikte, dönüşümün halen yavaş ve sancılı olduğu görülüyor. Risk esaslı denetçi düşünce yapısını kazandırmak belli bir zaman alıyor. Klasik denetim teknikleri, örneğin teftiş, ile risk esaslı denetim yaklaşımlarının farklılığı, mesleğe yeni başlayan ve her iki yönde de yetiştirilmeleri arzu edilen denetim elemanlarının kafasını karıştırıcı mahiyette tezahür edebiliyor. Oysa ki bu finansal kuruluşların iç denetim yapılarında; misyonunu tüm dünyada uzun zaman önce tamamlamış bulunan klasik teftiş anlayışının terk edilerek, çağdaş risk esaslı denetim anlayışının ve merkezi denetim faaliyetlerinin (ACL ve benzeri araçlar ile verilerin uzaktan, eşzamanlı takibi ve kontrolü) ağırlıklı yer alması gerekiyor. Ancak böylesi bir gelişme ancak bu kurumların üst yönetimlerinin tüm dünyada iç denetim alanındaki çağdaş gelişmeleri takip etmeleri ve bunlarla ilgili düzenli bilgi edinmeleri koşuluna bağlı gözüküyor.