Son zamanlarda bana sıklıkla sorulan bir soru var. “İç denetim faaliyeti/fonksiyonu oluştururken dikkat etmemiz gereken konular neler?” Hem danışmanlık hizmeti verdiğim müşterilerim, hem meslektaşlarım hem de öğrencilerimden bu soruyu çok sık duyuyorum. Bu soruya ayrı bir yazı yazmak gerektiğini düşünüyorum. Zira, çok önemli bir soru ve bu sorunun cevabı, bir şirket ya da kurumda iç denetim faaliyetlerinin kaderini belirleyecektir.
Bir şirkette iç denetim faaliyeti/fonksiyonu ilk defa oluşturuluyor ise, dikkat edilmesi gereken ilk konu, şirket sahiplerinin yani patronların beklentisinin net olarak anlaşılması, gerekiyor ise beklentilerin yönlendirilmesi ve yönetilmesidir. Birlikte çalıştığım tüm şirketlerde istisnasız olarak şunu tecrübe ettim, Yönetim Kurulu odasının iç denetim ile ilgili beklentileri netleştirilmeli. Yönetim Kurulu’ nun nabzı ile iç denetimin nabzı uyumlu atmalı.
Aksi halde, daha en baştan yönetilemez bir sorun oluşuyor. Eğer şirket sahipleri ve yönetim kurulu, çağdaş iç denetimin misyonu, tanımı, faydaları ve yöntemleri hakkında bilgi sahibi değil ise beklentileri doğal olarak klasik hesap soran, polis rolünü icra eden, soruşturma odaklı teftiş hizmetleri oluyor. Esasen sadece fraud u engellemeye ve daha çok da tespit edip, sorumluları ortaya çıkarmaya dönük bir beklenti içinde oluyorlar.
Oysa iç denetim ile ilgili elde edebilecekleri faydalar bunun çok ötesinde. Bu faydaların farkında olmadıklarında, çağdaş iç denetim hizmetlerini algılamaları mümkün olamıyor. Sistem ve süreçlerde iyileşme, gelişme sağlamak yerine daha ufak kazanımlara yönelebiliyorlar. Bunu bekleyebiliyor, hatta bazı noktalarda çağdaş iç denetime onay vermeyebiliyorlar. Bilinmeyen her zaman korkutuyor.
O zaman ilk unsur ve bana göre en önemlisi; çağdaş, risk odaklı, değer katmayı misyon edinmiş, sistem ve süreçleri geliştirmeyi hedefleyen, sistematik bir iç denetim anlayışı konusunda şirket sahipleri ve yönetim kurullarının farkındalığını artırmak ve bunu talep etmelerini sağlamak. Gerekiyor ise bazı pilot çalışmalar yaparak, bu yaklaşımın faydalarını, mali kazanımlara da işaret ederek göstermek. İkna etmek.
Aksi halde, dünyanın en ileri ve modern iç denetim faaliyetini de oluştursak, yaşam alanı bulamıyor. Bir süre sonra, patronlar tarafından erozyona uğratılıyor.
İkinci konu, gerçekten derde derman olmak iddiası ile işe başlamak. Pek çok yeni kurulan iç denetim birimi, kendi öncelikleri ve risk esaslı planlamaları ile, kendilerince önemli konulara eğildiklerini düşünüyor. Öte yandan, şirketin ve patronların öncelikleri ile bu iç denetim spesifik öncelikler farklı olabiliyor. Bu farklılık, iç denetimin zemin kaybetmesine neden olabiliyor. Son yıllarda iç denetim planları giderek stratejik amaç ve hedeflerin gerçekleştirilmesine yönelik olarak oluşturuluyor ve stratejik öncelikler de hesaba katılmak suretiyle hazırlanıyorsa da, bünyesinde stratejik yönetim olmayan pek çok şirkette hala tek pusula patron ya da CEO’ nun kafasındaki vizyon, misyon ve hedefler.
Bünyesinde etkili bir iç denetim faaliyeti oluşturmayı düşünen tüm şirketler, patronun ve yönetim kurulunun kafasının içindeki pusulayı hesaba katmalı. Bu anlamda derde derman olmak derken, şirketin sahipleri ve yöneticilerinin önceliklerine odaklanmayı kast ediyoruz. Bazen öyle durumlar olabiliyor ki, şirket sahipleri ve yöneticileri bazı konularda endişe ederken ve bu endişelerde haklı iken, iç denetçilerin ajandasında o endişeler çok alt sıralarda önceliklendirilmiş olabiliyor.
Bir şirkette, risk esaslı planlama ile ilgili en önemli risk, patron beklentilerinin yakalanamaması olabiliyor. Kurumsallaşmış, yönetim kurulu- icra yapıları ayrışmış, kurumsal yönetime önem veren, bilinçli şirketlerde böyle bir sıkıntı çok net yaşanmayabilir, ancak böyle şirketlerde bile her koşulda, yönetim kurulu ve icra kurulunun dert olarak gördüğü şeylere öncelik vermek gerekecektir. Üst yönetim satın alma süreçleri ile ilgili sıkıntı olduğundan yakınıyor veya şüpheleniyor ise, denetim çabalarını bu alana yöneltmek, risk değerlendirmelerinde üst sıralarda olmasa bile, bu konuya odaklanmak, iç denetim faaliyetine ciddi bir destek sağlayabilir.
Derde derman olmaktan daha önemli bir destek kazanma stratejisi yoktur. Üst taraftan önemsiz görülen konular ile vakit kaybetmek yerine, şirketin en sıkıntılı konularına el atmak, el vermek, bunlara yönelik zihinsel çaba sergilemek bazen iç denetimin zemin kazanması için gerekli tek geçer koşul olabilir. Özellikle de kurumsallaşma sürecindeki orta ve büyük ölçekli aile şirketleri açısından bu durum kaçınılmaz olabilir. En önemli sorunların üstüne giden, kanayan yaralara pansuman olan ve elini kirletmekten çekinmeyen iç denetçiler, şirketin önemli ve vazgeçilmez unsurları haline gelecekledir.
Öyleyse yeni kurulan veya kurulması planlanan iç denetim faaliyetlerinin, derde derman olma iddiası içinde olmaları ve bu şekilde bir strateji ile hareket etmeleri, kısa vadede kendilerine zemin kazandıracaktır.
Üçüncü ve son konu, iç denetimin yasal zemini ve dayanağı ile hareket edeceği iç ortamın yapılandırılmasıdır. Burada Denetim Komitesi ve Risk Komitesi yapılarından, İç Denetim Yönetmeliği ve Rehberinden, İç Kontrol Sisteminden, Risk Yönetiminden ve iç denetçilerin meşruiyet kazanacağı, Certified Internal Auditor gibi uluslararası mesleki yetkinlik sertifikalarından bahsediyorum.
İç denetim faaliyeti oluşturulurken, üst yönetim beklentileri ve üst yönetimce en sıkıntılı görülen konulara odaklanma zemin kazandırır, start verilirken rüzgarı arkaya almaya yardımcı olur ama genellikle uzun vadeli başarının belirleyicisi değildir. Uzun vadede iç denetimin başarısı, kaliteli dayanak noktaları oluşturulmasına bağlıdır.
Şirketlerde genellikle komiteler, yönetmelikler ve sistemler oluşturulmadan, bu konularda mesafe alınmadan başlatılan iç denetim çalışmaları başarısız olmaktadır. Kendi tecrübelerime dayanarak söyleyebilirim ki, şirket bünyesinde bir Denetim Komitesi oluşturulmaması, iç denetim yöneticisinin veya iç denetçilerin sağlam bir yönetmelik ile koruma altına alınmamış olmaları, iç denetçilerin çalışma sistematiklerinin tanımlanmaması ve iç denetçilerin yetkinlik göstergesi olan sertifikalara yönelmemeleri, iç denetimin şirket içinde uzun dönemde zemin kaybetmesine neden olmakta, bunun tam tersinin hayata geçirilmesi halinde ise, iç denetim faaliyetleri zemin kazanmaktadır.
Bunlara ek olarak, şirketin iç kontrol ve risk yönetimi olgunluğunun düşük olması, kötü kontrol ortamları ve bu sistemlerin oluşturulmasına yönelik iştah ve dikkat eksikliği, iç denetimin yeşerebileceği bir iklim bulmasının önünde engel teşkil eder. IIA’ in üçlü savunma hattı modeli, başlangıç için iyi bir modeldir ve şirket yönetim kurullarına anlatılması, aktarılması gereken temel bilgi setidir. Üçlü savunma hattı modelinin iyi anlaşılması, rol ve sorumlulukların netleşmesi, iç denetimden beklentilerin netleşmesi anlamına gelecektir. İç kontrol ve risk yönetimi sistemleri olmayan veya mevcutsa bile bir iyi uygulama modeli çerçevesinde yapılandırılmamış şirketlerde, iç denetimden sağlanacak verim düşebilir.
Şirketinizde iç denetim faaliyeti oluştururken, bu hususların öncelikle göz önünde bulundurulmasını öneriyorum.