İç Denetim Nedir? Ne Değildir? Ne Fayda Sağlar?

İç denetim sık sık başka faaliyetlerle karıştırılmaktadır. İç denetimin ne olduğunun ve ne olmadığının net bir şekilde anlaşılması; kavram kargaşalarının giderilerek yanlış anlamaların önlenmesi, iç denetimin potansiyel katkılarının daha iyi anlaşılması, iç denetimin paydaşlarının iç denetimden neleri bekleyebileceklerinin belirtilmesi, yanlış uygulamaların düzeltilmesi, iç denetim kurmak isteyen firma sahipleri ve iç denetçi olmak isteyen kişilerin meslek hakkında daha doğru bilgi edinmeleri ve organizasyon içerisinde rol ve sorumlulukların daha iyi anlaşılması gibi, önemli faydalarının olacağı kanaatindeyim.

Uluslararası İç Denetim Enstitüsü (Institüte of Internal Auditors, IIA) tarafından yapılan tanımlamaya göre; “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.”

Bu tanımın unsurlarına baktığımızda;

  • İç denetimin amacı bulundukları kurumun faaliyetlerini geliştirmek ve onlara değer katmaktır.
  • İç denetim bağımsız ve objektif bir faaliyettir.
  • İç denetim güvence ve danışmanlık hizmeti verir.
  • İç denetimin çalışma alanı, bulundukları kurumların risk yönetimi, iç kontrol ve yönetişim süreçleridir. Bu süreçlerin etkinliğini değerlendirerek kurumların amaçlarına ulaşmasına yardımcı olur.
  • İç denetim çalışmalarını yürütürken sistemli ve disiplinli bir yaklaşım kullanır.

Burada ne demek isteniyor, bu tanımın unsurlarına biraz daha yakından bakalım.

İç denetimin amacı bulunduğu kurumun faliyetlerini geliştirmek ve onlara değer katmaktır. İç denetim, kurumların stratejik amaçlarına ulaşmasına yardım eden, onlarla aynı amacı güden bir faaliyettir. İç denetimin hedefi, herhangi bir olumsuzluk olmadan, organizasyonun hedeflerine ulaşabilmesidir. Sistem, süreç, insan veya dış kaynaklı belirsizlikler, kurumların hedefleri üzerinde olumsuz etkiye neden olur. Diğer bir deyişle, hedeflere ulaşmayı engelleyebilecek riskler söz konusudur. İç denetimin odak noktası; bu riskleri, daha oluşmadan tespit etmek ve bunlara karşı alınan tedbirlerin, yani iç kontrollerin, yeterli olup olmadığını test etmek ve problemlerin kök nedenlerini giderecek önerilerde bulunmaktır. İç denetimin bu risk ve kontrol odaklı çalışması organizasyonların faaliyetlerini geliştirir ve onlara değer katar.

İç denetim bağımsız ve objektif bir faaliyettir. Bağımsızlık, iç denetimin tarafsız bir şekilde görevlerini yapmasına engel olabilecek tehditlerden uzak olması demektir. Diğer bir deyişle, işlerini yaparken müdahalelerden uzak, serbest bir şekilde  denetim planını hazırlaması ve çalışmalarını yürütebilmesidir. Uluslar arası standartlar ve en iyi uygulamalara göre, iç denetimin bağımsızlığının sağlanabilmesi için fonksiyonel olarak yönetim kuruluna ya da onun alt komitesi olan denetim komitesine, idari olarak da, en üst yöneticiye, yani genel müdüre, bağlı olması gerekmektedir. Fonksiyonel bağlılık; kısaca, iç denetimin çalışma esaslarının, denetim planlarının, iç denetim yöneticisinin atama ve görevden alınmasının yönetim kurulu veya denetim komitesi tarafından onaylanmasıdır. İdari bağlılık ise iç denetimin hiyerarşik olarak, günlük iş ve işlemlerini genel müdüre bağlı olarak yürütmesidir. Objektiflik ise, iç denetçilerin görevlerini taraf tutmadan ve önyargısız bir şekilde yapabilmeleri ve çıkar çatışmalarından kaçınmalarıdır. İç denetçiler görevlerini yaparken kendilerinin veya başkalarının menfaatlerinden etkilenmemelidirler. Bağımsızlıkla, objektiflik aynı şeyler değildir. Bağımsızlık iç denetimin biriminin bir özelliğiylen, objektiflik iç denetçinin özelliğidir. Bağımsızlık ve objektiflik iç denetimin çalışmalarına güven duyulmasının temelini oluşturur. Çünkü, iç denetim hiç kimseden etkilenmeden ve tarafsız bir şekilde kanaat oluşturur/oluşturmalıdır.

İç denetim güvence  ve danışmanlık olmak üzere iki çeşit hizmet verir: Güvence hizmeti; iç denetimin, denetlediği bir sürecin etkin ve verimli bir şekilde çalışıp çalışmadığı konusunda kanaatini bildirmesidir. İç denetim esas olarak kurumun risk yönetimi, iç kontrol ve yönetişim süreçleri hakkında güvence verir. İç denetim, bu hizmeti, yönetim kurulu/denetim komitesi veya üst yönetim birimlerine verir. İç denetim, makul güvence verir, yani kesin (yüzde yüz) bir güvence vermez. Hangi konuda güvence hizmeti vereceğine iç denetim karar verir. Güvence hizmeti vereceği alanları belirlerken; ilgili yönetim birimleri, yönetim kurulu veya denetim komitesinin de görüşlerini, beklentilerini alarak  risk değerlendirmeleri yapar. Bu risk değerlendirmeleri sırasında, kurumun stratejik öncelikleri, hedefleri, kurum içi ve dışındaki uyulması gereken öncelikli düzenlemeler, iç kontrol eksiklikleri, geçmişte gerçekleşen suistimal olayları, denetimlerde tespit edilen öncelikli hususlar ve müşteri şikayet ve beklentileri gibi hususları dikkate alır. Risk değerlendirmelerini yaparken; itibar kaybı, mali kayıp, müşteri kaybı ve cezalara neden olabilecek risklerin etki ve olasılıklarını ve bunlara karşı kurumda bulunan sistem, süreç ve insan kaynaklarından oluşan iç kontrollerin yetkinliklerini değerlendirir. İç denetim, kaynaklarını, kurumun en çok ihtiyaç duyduğu ya da en öncelikli alanları için kullanır.  Danışmanlık hizmeti ise; görevlendirmeyi talep eden yönetim biriminin isteği üzerine, iç denetimin bir konu hakkında, tavsiye niteliğinde, önerilerde bulunmasıdır. Danışmanlık hizmetinin kapsamı, süreç sahibinin ihtiyaçları ve öncelikleri doğrultusunda, iç denetim ve süreç sahibi tarafından birlikte kararlaştırılır. Son yıllarda paydaşların, ihtiyaçları doğrultusunda, iç denetim birimlerinden güvenceden ziyade, danışmalık hizmeti beklentisi artmıştır.

İç denetimin görev alanı risk yönetimi, kontrol ve yönetişim süreçleridir. Risk yönetimini, kurumların hedeflerine ulaşmasını olumsuz etkileyebilecek potansiyel olayları tespit ederek,  bunlara karşı alınacak tedbirlerin belirlenmesi olarak tanımlayabiliriz. Risk yönetimiyle ilgili olarak, iç denetimin katkısı kurumun ihtiyaçlarına göre değişir. Eğer kurumda risk yönetimi birimi kurulmuşsa, bu birimin faaliyetleri hakkında güvence verir. Eğer böyle bir birim yoksa risklerin tanımlanması, değerlendirilmesi ve giderilmesi gibi süreçleri koordine edebilir. Risk yönetimi süreçlerinin  kurulmasına öncülük edebilir, üst yönetim ve yönetim kuruluna gerekli raporlamaları yapar. Risk yönetiminde esas sorumluluk, her zaman ilgili yönetim birimleri ve yönetim kuruluna aittir. İç denetim, hiç bir zaman risk yönetiminde nihai sorumluluğu üzerine alamaz.

Kontrol, kurumların hedeflerine ulaşabilme olasılığını artırmak amacıyla alınan, tüm tedbirlerdir. Bu tedbirler genel olarak sistem, süreç ve insan unsurları şeklinde sınıflandırılır. İç kontrol sistemleri işletmenin iş akışları içerisine yerleştirilidir. İç kontrollerle ilgili sorumluluk, üst yönetim ve yönetim kuruluna aittir. İç denetim, iç kontrollerin sahibi ve uygulayıcısı değildir. İç denetimin ana rolü, yönetim tarafından risklere karşı dizayn edilen kontrollerin etkinliğini, bağımsız ve tarafsız bir şekilde  değerlendirmektir. Eğer ilgili süreçlerde iç kontroller tesis edilememişse, iç denetim kontrollerin kurulması konusunda  yönetime yardımcı olur, danışmanlık yapar. Organizasyonlarda kontrollerin oluşturulması, süreçlerin standartlaştırılması, görev tanımlarının, politika ve prosedürlerin oluşturulması gibi iç kontrol faaliyetleri kurumsallaşmayı sağlar. Dolayısıyla iç denetim kurumsallaşmanın da öncüsüdür.

Yönetişim ya da diğer adıyla kurumsal yönetim, kurumların hedeflerine ulaşmak amacıyla  oluşturulan tüm yapı ve süreçler olarak tanımlanabilir.  Bilindiği üzere, kurumsal yönetimin dört temel ilkesi; eşitlik, şeffaflık, hesap verebilirlik ve sorumluluktur. İç denetim kurumsal yönetim uygulamalarının geliştirilmesi için üst yönetim ve yönetim kurulunun elinde çok önemli bir kaynaktır. İç denetim, yönetişim süreçlerini inceler, bağımsız objektif tavsiyelerde bulunur. İç denetim kurumsal yönetimin temel taşlarındandır.

İç denetim sistematik ve disiplinli bir faaliyettir. İç denetçinin nitelikleri, uyulması zorunlu kurallar, iç denetimin çalışmalarının yürütülme şekli vb tüm hususlar uluslar arası iç denetim standartlarında kurallara bağlanmıştır. Bu şekilde kural ve yöntemlerin belirlenmiş olması, iç denetimin sistematik ve disiplinli bir faaliyet haline gelmesini sağlar. İç denetim çalışmalarının kalitesi iç ve dış kalite güvence çalışmaları ile sağlanır. Uluslar arası iç denetim standartlarına göre, iç denetimin “uluslar arası standartlara göre denetim yaptığını” raporlarında belirtebilmesi için, her beş yılda bir tüm süreçlerini bağımsız bir kişi veya kuruluşa denetlettirmesi, yani dış kalite güvence çalışması yaptırması gerekmektedir.

İç denetim ne değildir?

Yukarıda, iç denetimin tanımı çerçevesinde verdiğimiz bilgiler, iç denetimin ne olduğuna ilişkindi. İç denetimin ne olduğunun daha iyi anlaşılabilmesi için, bir de ne olmadığı hakkında kısaca bilgi verilmesi faydalı olacaktır. Çünkü iç denetim sık sık başka denetim türleri ve çalışmalarla karıştırılmaktadır.

  • Öncelikle iç denetim, “iç kontrol” değildir. Yukarıda açıkladığımız gibi, iç kontrolü kısaca “tedbir” şeklinde tarif edebiliriz. İç denetim ise, bu tedbirlerin, yani iç kontrollerin, etkinliğini denetleyen ve bu konuda güvence veren bir faaliyettir. Özünde, iç denetim de iç kontrol sisteminin bir unsurudur ve bir kurumda iç denetimin olması iç kontrol sistemini güçlendirir. İç kontrollerin sahibi ve uygulayıcısı, ilgili süreç sahibi birimler, üst yönetim ve çalışanlardır. Yönetim kurulu ise, iç kontrollerin etkinliğini gözetlemekle sorumludur.
  • İç denetim sadece mali denetimden ibaret değildir. İç denetim, kurumun ihtiyacına uygun olarak; mali denetim yanında, operasyonel, uyum, bilgi sistemleri, performans denetimi gibi çeşitli denetimler yürütür.
  • Vergi hesaplamalarının, muhasebe kayıtlarının ve finansal raporlamanın doğru bir şekilde yapılmasını sağlayan, yeminli mali müşavirlerin ve serbest muhasebeci ve mali müşavirlerin yaptıkları çalışmalar da iç denetim değildir.
  • Diğer taraftan, şirketlerde yürütülen kalite, yalın yönetim gibi çalışmalar da, iç denetim değildir. Bu faaliyetler; süreçlerin iyileştirilmesini, kalitenin artırılmasını hedefleyen çalışmalardır.
  • İç denetim teftişten de farklıdır. Teftiş, daha ziyade geçmişe yönelik ve uyum denetimi ağırlıklıdır. Oysa iç denetim, uyum denetiminden ziyade, proaktif bir şekilde hataların ortaya çıkmasını önleyecek şekilde çalışır, geleceğe dönüktür ve risk ve kontrol odaklıdır.
  • İç denetim, dış denetimden de farklıdır. Dış denetim, finansal raporlama süreçlerinin doğruluğuna ilişkin olarak, firma dışından, bağımsız denetçiler tarafından yürütülür. Dış denetimin esas amacı, firma dışındaki paydaşlara güvence sağlamaktır.
  • Bir diğer husus ise, iç denetimin ana görevi soruşturma yapmak değildir. İç denetim güvence ve danışmanlık faaliyetidir. Ancak iç denetim, bağımsız ve objektif olduğu için, üst yönetim ve yönetim kurulunun isteği üzerine veya denetimlerde tespit edilen usulsüz işlemler nedeniyle, inceleme ve soruşturma faaliyeti yürütür. Soruşturma faaliyetleri, kişisel sorumluluğu saptamaya yöneliktir ve iç denetimden farklıdır. İç denetim birimlerinin, iç denetim yanında, soruşturma faaliyetlerini de yürütmesi bazı zorluklara yol açmaktadır. İç denetçilerin süreç sahiplerinin karşısına, hem denetçi, hem de soruşturmacı olarak çıkması, süreç sahibinin denetçiden çekinmesine ve onunla rahat bir şekilde iletişim kurmasına engel olabilmektedir. Bu nedenle, iç denetim birimi içerisinde, soruşturma faaliyetleri de yürütülüyorsa, bu olumsuz etkilerin minumuma indirilmesini sağlamak amacıyla, soruşturma yapacak personel belirlenerek, mümkünse sadece bu personelin soruşturmaları yürütmesi uygun olacaktır.

İç denetim ne fayda sağlar?

Başarılı bir iç denetim ekibi, kurumlara büyük değer katar, fayda sağlar. Bunlardan bazılarını şöyle ifade edebiliriz:

  • İç denetim, yönetim kurulu/denetim komitesi ve üst yönetimin gözü ve kulağıdır. Onların, firmada; riskler etkin bir şekilde yönetiliyor mu? iç kontroller etkin mi? suistimale ilişkin tedbirler yeterli mi? varlıklar yeterince korunuyor mu? yönetsel ve finansal raporlamalar doğru mu? düzenlemelere uyum sağlanıyor mu?  operasyonlar verimli ve etkin bir şekilde yürütülüyor mu? vb sorularına bağımsız ve objektif bir şekilde cevap verecek tek birimdir.
  • İç denetim sağlık taraması yapar gibi, kurumun tüm öncelikli süreçlerini inceler, risk teşkil eden zayıflıkları tespit eder ve risklerin tekrar oluşmasını önleyecek şekilde önerilerde bulunur.
  • Etik kurallara uyum sağlanmasına yardımcı olarak kontrol ortamını güçlendirir, personel nezdinde denetim farkındalığı ve kültürü oluşturarak, suistimal vb zaafiyetlerin önüne geçer.
  • İlgili süreçlere ilişkin iç kontrolleri güçlendirerek; operasyonların etkin ve verimli bir şekilde yürütülmesini, mali ve yönetsel raporların doğruluğunu, yönetimin hızlı ve etkin karar almasını, her türlü varlıkların korunmasını, kaynakların etkin şekilde kullanılmasını, kayıpların önlenmesini, düzenlemelere uyumu sağlar ve böylece cezaları, hata ve suitimalleri önler ve erken uyarı işlevi görür.
  • Kurumsal yönetimle ilgili olarak, sorumluluğun, hesap verilebilirliğin, şeffaflığın artmasını sağlayarak, yatırımcılara güven verir ve organizasyonun itibarını artırır, bunun yanında, işlemlerin kişilere bağlı olarak değil, belirlenen prosedürlere uygun olarak yürütülmesini sağlayarak işletmenin kurumsallaşma ve sürdürülebilirliğe yardımcı olur.
  • İç denetim, bir çok alanda danışmanlık hizmeti vererek yönetime yardımcı olur. Örneğin; fayda ve maliyet analizleri yaparak maliyetlerin düşürülmesi, iş sürekliliği ve felaketten kurtarma planlarının hazırlanması, kurumsal kaynak planlama sistemlerinin seçimi ve kurulması, iç ve dış kaynak kullanımlarının etkinlik analizi, kurumsal risk yönetimi sistemlerinin kurulması, kalite sistemlerinin oluşturulması, kıyaslama (bençmark) çalışmalarının yapılması, süreç değerlendirme ve organizasyonel yapılanma çalışmalarının koordinasyonu, suistimal veya etik hattının kurulumu, iş süreçlerinde yer alan riskler ve kontrollerin tespiti ve iç kontrollerin oluşturulması, güvenlik/iç kontrol/regülasyonlara uyum vb alanlarda kurum personeline farkındalık eğitimlerinin verilmesi, yeni teknojilerin/innovatif fikirlerin araştırılması ve proje takipleri gibi alanlarda danışmanlık hizmeti verebilir. İç denetim, dışardan alınan danışmanlık hizmetleriyle karşılaştırıldığında, en uygun maliyetle bu hizmeti sağlayan bir birimdir.
  • İç denetim kurumda büyük resmi görebilen tek birimdir, diğer birimler kendi görev alanları içerisinde kuruma yardımcı olurken, iç denetim kurumun tüm süreçlerini inceleği için, departmanlar arası süreç zaafiyetlerini, koordinasyon ve iletişim eksikliklerini daha iyi görerek, problemlerin giderilmesi için en uygun önerilerde bulunur.

İç denetimin, yukarıda belirtilen faydaları sağlayabilmesi için, en kritik unsurlar; yeterli sayıda ve yetenekte personele sahip olması, üst yönetim ve yönetim kurulunun tam desteği,  denetim süreçlerinde teknolojinin ve data analizi araçlarının etkin kullanımı, doğru bir raporlama yapısının kurulması, iç denetim, üst yönetim ve denetim komitesi arasında etkin iletişim olması ve iç denetim süreçlerinin doğru bir şekilde yapılandırılmış olmasıdır.

Bir iç denetim faaliyetinin kendisinden beklenen faydaları sağlayamamasının kök nedenlerini, iç denetimin faaliyetinin kendisinde değil, iç denetimin başarısına etki eden bu kritik unsurların eksikliğinde aramak uygun olur. Bu nedenle, iç denetimin doğru kurulmasına dikkat edelim, kurulduktan sonra da ona sahip çıkalım, gerisi gelecektir..

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s