Aşağıdaki metin, önceki gün İstanbul Üniversitesi ve Türk İç denetim Enstitüsü tarafından yapılan bir akademik forumda sunduğum, “Reel Sektörde İç denetimin Evrimi ve IT Yönetişimin Önemi”başlıklı bildirinin gözden geçirilmiş halidir.

 

İç denetçinin iki temel fonksiyonu

 

Denetim mesleğinin değişmez işlevi, şirket içinde sağlam bir mali yönetime sahip olma ve bunu sürdürme çabasına hizmet etmektir.

Uluslararası Denetim Standartlarına göre iç denetim mesleğinin iki temel fonksiyonu vardır. Bunlar: Güvence (assurance)vermek ve danışmanlık (consulting).

Standartlara göre şirket paydaşları için güvence oluşumu; kurumsal yönetimi, risk yönetimini ve şirketin kontrol süreçlerini hedef alan; bulguya dayalı, objektif bir inceleme ve değerlendirmenin sonucudur. Bu anlamda kaliteli bir iç denetimin varlığı, şirkette olup biten önemli her şeyin kontrol altında olduğuna dair, bir tür itimat duygusuna hizmet eder.

İç denetçilik, şirket stratejileriyle de çok ilgilidir. Çünkü iç denetçi, sadece geçmişi değil, geleceği de dikkate alan, icradan bağımsız, ancak amaçlarına ulaşmakta şirket yönetimine destek olan bir faaliyet yapar. Bu faaliyetin gayesi şirkete değer katmaktır. 

 

Doğru bilgi her şeyin başıdır

 

Bilgi yaratılır, kullanılır, muhafaza edilir, açıklanır ve yok edilir. Teknoloji bu süreçte kilit roldedir.Bilgi kalitesinin sürekliliğini IT (bilgi teknolojileri) yönetişimi sağlar.

Stratejik ve operasyonel kararların dayanağı olan bilginin kalitesi ve oluşum süreci de iç denetim faaliyetinin kapsamı içindedir. IT denetiminin uzmanlık gerektiren, farklı bir denetim faaliyeti haline gelmesi, bilgi ve iletişim teknolojilerindeki hızlı değişimin bir sonucudur.

Bu çerçevede, zaman içinde güvence verme faaliyetinden beklenenin, “sağlam bir mali yönetimin” ötesine geçtiğini görüyoruz. Acaba bu güvence sadece yönetim için mi? Şüphesiz hayır. Tüm paydaşlar için. Zaman içinde iç denetim faaliyetinin kalitesi ve çıktısının çok daha fazla tarafı ilgilendirmeye başladığını görüyoruz. Bu çerçevede, iç denetimden beklenen güvence faaliyetinin, bağımsız dış denetimle tamamlandığını vurgulamamız lazım.

İç denetçi, aynı zamanda şirket içi bir tür danışman pozisyonuna gelmiş durumda. Çünkü değişim yönetimi birçok konuda çabuk, sürekli, güvenilir ve tarafsız bir geri bildirim (feedback) almayı gerektiriyor.

Mesleği icra edenlerden her zaman sağlam bir etik duruş bekleniyor. İç denetçilerin profesyonelliği, tarafsızlığı, bağımsızlığı ve objektifliği, çok daha önemsenir hale gelmiş durumda. 

 

Evrim sürecinin tetikleyen önemli faktörler

 

Mesleğin halen bir evrim sürecinde olduğunu söylüyoruz. Nitekim İç Denetçiler Enstitüsü (Institute of InternalAuditors) halen standartların revizyonuyla ilgili bir çalışma başlatmış durumda.

Mesleğin zaman içinde ilk ana fonksiyonu olan suiistimalleri önlemekten,güvence vermeye, sonra da danışmanlığa doğru evrildiğinigörüyoruz.

Standartlara göre artık iç denetçinin soruşturma süreç ve tekniklerinde uzman olması gerekmiyor. Standartlar, bununla ilgili bilgi sahibi olmayı yeterli görüyor. Bu anlamda iç denetçinin daha çok, ibra sürecinde (audittrail) yönetime destek olan bir fonksiyon haline geldiğini söyleyebiliriz.

Evrim süreci, şüphesiz şirketlerin gelişim ve değişimiyle yakından alakalı. Operasyonları genişleyen bir şirketin geçmişe dönük, işlem bazlı denetlenmek yerine, sistem bazlı ve şirket amaçlarıyla bağlantılı olarak denetlenmesi, bir zorunluluğun sonucu.

Öte yandan, hızlı bir küreselleşme olgusu ve teknolojik değişim yaşıyoruz. Bilgiye erişim artık çok daha kolay. O nedenle iç denetçi daha hızlı ve önleyici olmak durumunda.

Evrim sürecinde halka açılma da çok önemli bir belirleyici. Paydaş sayısını artıran bu süreç, mesleğin icrasının standartlara uygun olmasını ve objektif bir iç değerlendirmeye tabi tutulmasını gerektiriyor. Bu amaçla denetim komitelerinin önemli bir ihtiyaç haline geldiğini belirtmek lazım. Şunu da vurgulayalım: Yeni TTK’ya göre bağımsız denetçi, iç denetim faaliyetinin performansıyla ilgili de değerlendirme yapmak ve bir tür güvence vermek durumunda.

Kredi ve borçlanma sürecinin de evrimi tetiklediğini görüyoruz. Şirkete kredi veren ve yatırım yapanlar da artık, sağlam bir iç denetimi güvence olarak görüyor.

Mali tabloların bağımsız bir gözle, uluslararası bir dile dönüştürülmesi ihtiyacı da bir başka önemli belirleyici. Bu anlamda bağımsız denetimle iç denetim faaliyetinin güvence verme konusunda birbirlerini tamamladıklarını tekrar vurgulayalım.

 

COSO I ile 'yönetimin denetimi'nden, “yönetim için denetim”e doğru evrim

 

Kapalı ekonomilerde, yerel – bölgesel faaliyet gösteren aile şirketlerinde iç denetçinin misyonu, daha çok yolsuzlukları önlemekle sınırlıydı. İç denetçi, yönetime mesafeli durur ve patronun istihbarat elemanı gibi çalışırdı. Kötü yönetimden dolayı sorumluluk taşımayan bir nevi polislik icra ederdi.

Yapılan denetim işlem bazlıydı ve geçmişe dönüktü. Meslek bağımsız değildi. İç denetçiye sonuç sipariş ederek denetim görevi verilebiliyordu.  İç denetçi bu anlamda patron adına yönetimi denetler, hata arar, ifşa eder ve ayıplayarak hesap sorardı.

Küreselleşme, halka açılma ve para ve sermaye piyasalarından borçlanma ihtiyacı artıkça paydaş sayısı da artı. Şeffaflık ve bu çerçevede güvenilir finansal raporlama önem kazandı. Sermayenin tabana yayılmasıyla yönetim kurulları ve daha da önemlisi genel kurullar formalite olmaktan çıktı. İbra sürecine hazırlık anlamında şirket içi dikey ve yatay hesap verme mekanizmaları çok gelişti.

Operasyonlarını sınır ötesine taşıyan ve birden fazla ülkede halka açılan şirketler için, giderek fazlalaşan ve karmaşıklaşan mevzuata uyumun önemi çok artı.

İşlerin en ekonomik, en etkin ve en etkili yollarla yapılması, paydaşlar tarafından daha fazla sorgulanır oldu.

Nakit ve hazine yönetimlerinde yeni modeller ve teknikler oluştu. Yeni sigortalama ve korunma (hedge) araçları gelişti.

Bu çerçevede risk yönetiminin önemi daha da artı. İşte “COSO I”, bu sürecin bir sonucu olarak ortaya çıktı. Yeni durumda iç denetçi yönetimin denetimini değil, yönetim için denetim yapar hale geldi. Bu, çok önemli bir evrimdir.

Bu sayede, ibra sürecinde yönetimin en önemli destekçisi haline gelen iç denetçi, polislik misyonundan kurtulmuş oldu. Yeni şirketler dünyasında iç denetçi, icracı hiçbir fonksiyona sahip olmasa da kötü yönetimden kendisinin de bir şekilde sorumlu olduğu yeni bir misyonla yönetişim organına destek olmaya başladı.

Yeni dönemde iç denetçi, hata arayarak, ifşa ederek ve ayıplayarak, patron adına hesap soran adam olmaktan çıktı; sistem iyileştirmesi için tavsiye eden, yol gösteren, destek olan ve bu yolla şirket içi hesap verme mekanizmalarının sağlıklı çalışmasına hizmet eden bir adam haline geldi.

Şirketlerin uluslararası faaliyetlerinin artması, bilgi teknolojilerinin hızla gelişmesi, sermaye harekelerinin hızlanması, artan rekabet, derecelendirme kuruluşlarının ortaya çıkışı, ABD’de yaşanan skandallar, vesaire, mesleğin önemini daha da artırdı.

Yaşanan hızlı ve zaman zaman tökezlemelere neden olan bu süreç, şirketlerin nasıl yönetilmesi gerektiğiyle ilgili bir tür konsensüse(kurumsal yönetim) yol açtı veiç denetim fonksiyonunu, bütünsel ve geleceğe dönük, daha sistematik bir çalışmaya zorladı. Bu çerçevede “governance” ve “management” ayrımı netleşmeye başladı.

 

Kurumsal yönetimin artan önemi, COSO I’in tamamlanma gereği ve COSO II

 

Böylece, COSO I’in yetersiz olduğu ve tamamlanması gerektiği fikri doğdu. COSO I’e strateji unsuru eklendi ve risk yönetimiyle ilgili boyutları güçlendirildi. COSO II ile iç denetçi, şirketin potansiyel rekabet avantajlarına ve karşı karşıya olduğu tehditlere daha fazla bakar hale geldi.  

Şirketlerdestrateji odaklı bir kurumsal yönetim anlayışının yerleşmesi,kurumsal yönetim komitelerini ve risk komitelerini ortaya çıkardı.

Bu süreç, iç denetçinin rol ve sorumluluklarıyla ilgili de önemli bir değişime yol açtı. İkili raporlama kavramı ortaya çıktı. İç denetçiler hem CEO’ya, hem de denetim komitesine raporlamaya başladı. Böylece iç denetçi patrondan uzaklaşıp, profesyonel ve bağımsız üyelerle desteklenmiş yönetim kurullarına daha fazla yaklaşmış oldu.

İç denetçi bu yeni dönemde, yine yönetim için denetim yapmaya devam etti; ancak sadece üst yönetim adına değil, başta yönetim kurulu olmak üzeretüm paydaşlar adına denetim yapar hale geldi.

İç denetimin yeni gündeminde kurumsal yönetim çok daha fazla önem kazandı.    

Şirketlerin nasıl yönetilmesi gerektiğiyle ilgili oluşan konsensüsten bahsettik. Sözünü ettiğimiz şey governance ve managament ayrımında netleşiyor.

 

Netleşen yönetişim ve yönetim ayrımı

 

Yönetişim (governance) ve yönetim (management) farklı disiplinler. Amaçları farklı, hizmet ettikleri şeyler farklı. Farklı faaliyetler içeriyor ve farklı organizasyonel yapılar gerektiriyorlar.

Yönetişim (governance) başkanın önderliğinde yönetişim organının işidir. Bu organ, Yönetim Kurulu da olabilir, İcra Kurulu da. Yönetim Kuruluna İngilizce “Board of Directors” denmesinin nedeni, ana görevinin şirket yönetimine (management) yön, istikamet, doğrultu (direction) göstermek olmasındandır. 

Yönetişimin amacı, şirketin amaçlarına ulaşmasını sağlamaktır. Bunu yaparken paydaşların beklentilerini, koşulları ve olası seçenekleri değerlendirir. Karar verme sürecinde yol gösterici olur ve önceliklendirme yapar. Performansı izler. Şirketin mutabık kalınan istikamette, tayin ettiği amaçlara itibar edip etmediğini, bu doğrultuda (direction) ilerleyip ilerlemediğini izler.

Yönetim ise CEO önderliğinde üst yönetimin işidir. Üst yönetim, mutabık kalınan amaçlara ulaşmak için yönetişim organı tarafından tayin edilmiş olan istikamete uygun bir şekilde şirket faaliyetlerini planlar, yapılandırır, yürütür ve izler. Yönetişim organı şirket faaliyetlerine bu anlamda karışmaz.

 

IT yönetişiminin artan önemi

 

Sözünü ettiğimiz evrim süreci, bilgi teknolojilerinin (IT) de amaç ve işlevlerinin sorgulanmasına yol açtı. Bu sorgulama, IT süreçlerinin ve IT organizasyonel yapısının, şirketin stratejilerine ve amaçlarına hizmet edecek şekilde yeniden dizayn edilmesine neden oldu. Bu anlamda IT alanında da COSO benzeri uygulamalar, önem ve itibar kazanmaya başladı. Bunların son ve en yaygın örneği Cobit 5’tir.

Stratejik kararları tespit eden yönetişim organının tayin ettiği istikamette (direction) şirket faaliyetlerinin planlanması, yapılandırılması, yürütülmesi ve izlenmesi IT yönetişimini elzem hale getirdi. Çünkü biliyoruz ki, bilgi kalitesinin sürekliliğini IT yönetişimi sağlar.

Böylece, IT süreçleri de iç denetim faaliyetinin kapsamına girdi ve önemi giderek artmaya başladı.

 

Ülkemizdeki durum ve yeni TTK ile gelen düzen

 

Şirketlerimizin büyük bir kısmı halen I. aşamada. Dolayısıyla birçok şirketimizde iç denetim fonksiyonu uluslararası standartlardan oldukça uzakta. Birçok şirkette “governance” ve “management” iç içe. CEO varken yönetim kurulu başkanları ve üyeleri sınır tanımaksızın operasyona müdahale edebiliyor.

Özellikle reel sektörde CFO’lardan, iç denetçilerin sorumlulukları da bekleniyor. Bu durum, özellikle iç denetim faaliyetinin holding şirketlerin bünyesinde organize olduğu aile – grup şirketlerinde çok daha yaygın. Bu durumun yeni TTK’yla değişmesi beklenmeli.

Reel sektör için elzem olan maliyet ve fiyat oluşum sürecini destekleyen etkin bir IT alt yapısı birçok şirkette yetersiz. Muhasebe programlarında büyük ölçüde “herkes için aynı beden” (one size, fitsall) türü bir pratik var.

Birçok şirkette IT halen bağımsız bir cumhuriyet şeklinde yönetiliyor. Kendi gündemini kendisi belirleyen bir çalışma alışkanlığı var. Şirketlerin stratejik kararları ve amaçlarıyla bağlantısı zayıf olan süreçler dizayn ediliyor ve gerekliliği tartışılır yatırımlar yapılıyor.

Birçok şirkette IT süreçleri stratejik kararları destekleme üzerine kurulu değil. Süreçler, daha çok yönetim raporlaması ve vergisel uyum kaygısıyla, Vergi Usul Kanunu’na ve Tek Düzen Hesap Planına göre dizayn edilmiş durumda. Yeni TTK’ya uyumla bu durumun düzelmesi gerekiyor.

IT denetimi birçok şirkette yok. Esasen bu konuda tecrübe ve kapasite eksikliği de çok fazla. IT yönetişimi ve denetimi gençler için gelecek vaat eden bir meslek.

Keza, risk değerlemesi ve yönetimi, birçok şirkette yok ve nasıl yapılacağı da bilinmiyor. TTK,İMKB şirketleri için risklerin erken teşhisinden sorumlu bir komite kurulmasını zorunlu tutsa da pratikte işlerin nasıl yapılacağı çok açık değil. 

Strateji,buna uygun bütçeleme, anahtar performans göstergelerinin (KPI)dizaynıve performans yönetimi gibi hayati konular, çoğu şirkette iç denetimin konu ve kapsamı dışında. Oysa bir danışman olarak şirket operasyonları için süreç mimarisi ve yönetim dizaynı konusunda iç denetçinin söyleyecek çok sözü olmalı. Öte yandan, şirket yönetimiyle ilgili yukarıda sözünü ettiğimiz ve yeni TTK ile önemli ölçüde kavranan konsensüse karşı bir tür direnç var. Bunun da kırılması lazım.

Şirket süreçleriyle ilgili birçok uluslararası standart var. Ancak bu standartlara uyum için şirketleri bu yönde teşvik etmek, iç denetimin gündeminde değil. Oysa iç denetçi, değişim yönetiminde şirketin en önemli danışmanıdır ve danışmanlık faaliyetinin yegâne gayesi de şirkete değer katmaktır.