İç denetim olarak ne durumdayız?
Eğer yönetim birimleriniz sizi; ajandalarında yer tutan ya da onları geceleri uykusuz bırakan kurumsal problemlere katkı sağlayan bir birim olarak görüyor, sizinle dertlerini paylaşıyor ve onlar için sizden çareler bekliyor ve yaptığınız görevler de kurumlarınızın ana problemlerinin giderilmesine önemli katkılar sağlıyorsa, size bir diyeceğim yok.
Ancak; kurumunuz zarar ediyor, her geçen gün müşteri kaybediyor, gelirlerini artıramıyor, maliyetlerini kısamıyor, hizmetlerinde ciddi aksaklıklar yaşıyor, en değerli insan kaynaklarını kaybediyor, hızla değişen dünyada rakipleri ile baş edebilecek değişimleri yapamaz durumda ve yönetim birimleri bu problemlerin giderilmesinde sizden bir fayda beklemiyor ve sizi danışmaya değer görmüyor, kendi dünyanızda ufak tefek süreç hatalarıyla uğraşan, ara sıra inceleme ve soruşturma vb işler olunca akla gelen bir birimseniz, onlar işlerini yaparlarken sizin çalışmalarınız yük olarak görülüyorsa, doğrusu, bunların hayra alamet olduğunu söylemek zor.
Bu gün acaba kaç tane denetim birimi arzu edilen seviyede bilemiyorum ancak bildiğim kadarıyla, maalesef, gerek kamu, gerekse özel sektörde birçok iç denetim birimi arzu edilen seviyede değil..
Bizim de artık kendimizi değiştirme zamanının geldiği ve maalesef geçmekte olduğu düşüncesindeyim. Bizler, kurumlarımızın ana problemlerinin çözümü için, yönetim birimlerine; iş yapış şekilleri ve bakış açılarında kökten değişikler yapmalarını önerirken, bu değişimden kendimizi izole edemeyiz. İç denetim olarak kendimize biçtiğimiz; “güvenilen danışman” (trusted advisor) “değişimin temsilcisi” (agent of change) gibi çok değerli rollerin içini doldurabilmek için, önce kendimizde değişim yapmamız gerekiyor. Elbette yönetim birimlerinin de iç denetime bakış açılarında değişim gerekmekte ancak onların değişmesi için, önce kendi bakış açımızı ve denetim yaklaşımlarımızı değiştirmemiz gerektiği kanaatindeyim.Biz bunu başardıktan sonra, onların da bize olan bakış açılarında değişme olasılığının artacağı kanatindeyim.
İç denetim birimleri olarak, arzu ettiğimiz konuma gelebilmek için, neleri değiştirmeliyiz? Neleri daha iyi yaparsak değer katan ve değer gören bir birim haline gelebiliriz?
DENETİM YAKLAŞIMIMIZI DEĞİŞTİRMEMİZ GEREKİYOR: Halen yürütmekte olduğumuz denetim metodolojisine göre, iş süreçlerinde yer alan risk ve kontrollere odaklanıyoruz. İlgili riskleri giderecek iç kontrollerin etkinliğini değerlendiriyoruz. Üst yönetime ve yönetim kuruluna iç kontrollerin etkinliği konusunda güvence veriyoruz. Bu yaklaşım 1990’lı yıllardan beri uluslararası seviyede uygulanan bir yaklaşım. Daha önce çalıştığım kurumda, 2007 yılında dünya standartlarında örnek bir iç denetim kurmak için danışmanlık hizmeti aldığımız, uluslararası denetim ve danışmanlık firması da bize aynı yaklaşımı önermişti. Şüphesiz bu yöntem, geçmişteki hata bulma ve uyum odaklı iç denetim yaklaşımına göre, önemli bir ilerleme, ancak o metodolojileri değiştirmemiz gerektiği gibi, risk-kontrol odaklı yaklaşımı da değiştirme zamanın da geldiği, hatta geçmekte olduğu düşüncesindeyim.
İş süreçlerinde yer alan spesifik risk ve kontrollere odaklanmak bizleri birkaç yönden olumsuz etkilemekte: Bu bakış açısı, herşeyden önce bizim büyük resmi görmemizi yani kurumsal düzeyde bakmamızı engelliyor. Diğer bir deyişle ağaçlara bakarken ormanı göremiyoruz ve kurumsal seviyede değer katacak işlere yeterince öncelik veremiyoruz. Kurumsal seviyede öncelikli konular yerine, spesifik süreç hataları ile uğraşıyoruz. Üst yönetim, ajandasındaki çok daha önemli kurumsal problemlerle uğraşırken bizim süreç hatalarıyla uğraşmamız üst yönetimin o kadar dikkatini çekmiyor. Diğer taraftan, yönetimin operasyonlarını bir şekilde yürüttüğü bir ortamda, bizim çok öncelik verdiğimiz kontrollerin etkinliği de yönetim birimlerinin öncelikleri arasında yer almıyor. Bunun yanında bizler de kontrol eksikliklerinin etkilerini yeterince ortaya koyamadığımızda, yaptığımız iş, yönetimin gözünde çok önem taşımıyor. Denetimlerde sadece kontrollerin bulunmadığını tespit etmek ve bunların geliştirilmesini önermek, ancak bu kontrol eksikliklerinin mali kayıp, müşteri kaybı, ceza vb etkilerini ortaya koymamak da işimizin önemli görülmemesine neden olan faktörlerden.
Dolayısıyla uyguladığımız risk ve kontrol odaklı denetim yaklaşımı üst yönetim ve yönetim birimlerinin gözünde, iç denetim olarak önem seviyesi daha düşük işlerle uğraşan bir birim görüntüsü vermemize neden oluyor. Bizim yaklaşımımız böyle olunca, üst yönetim de, kendi ajandasında önemli gördüğü, örneğin; maliyetleri azaltımı, gelirlerin artırılması, yeni bir ürünün piyasaya sürülmesi, şirket birleşmesi vb önemli şirket kararlarını alırken, iç denetimi kendisine proaktif öngörü sağlayan danışmaya değer bir birim olarak görmemektedir. Her ne kadar biz kendimizi öyle konumlandırmaya çalışsak da, onlar bizi kendilerinin güvenilir danışmanları olarak görmemektedirler. Bu durumdan kurtulmak için, öncelikle risk odaklı ve iş süreçlerindeki kontrollerin iyileştirilmesi amaçlı bir denetim yaklaşımı yerine, değer odaklı ve kurumu iyileştirme amaçlı denetim yaklaşımına geçmeliyiz. Denetlenecek alanları seçerken ve görevlerimizi yaparken, süreç boyutundaki risk ve kontrollerden ziyade, bu süreçle ilgili olarak nasıl bir katkı yaparsam kurumuma en yüksek katkıyı sağlarım, kurumumun acil çözülmesi gerek problemlerine katkı sunarım, bakış açısına sahip olmamız ve ona göre katkı yapacağımız alanları belirlememiz gerekiyor. Değer odaklı kurumsal seviyede işler yapabilmemiz için, önceliklendirmelerimizin çok kaliteli olması gerekiyor. Yaptığımız risk değerlendirmeleri, riskleri listelemekten öteye gidemiyor. Aslında bu risk değerlendirmelerinde riskler de tüm şeffaflığıyla ifade edilmiyor. Yaptığımız bu değerlendirmeler, her ne kadar denetim evrenimizi oluşturmamıza yardımcı olsa da, bize esas olarak katkıda bulunabileceğimiz alanları ortaya çıkarmak yerine, daha alt seviyedeki süreçlere, denetim alanlarına yönlendirmekte, kurumsal seviyede bakış açımızı zayıflatmaktadır. Bizler, yönetimle aynı dili konuşan, aynı dertleri paylaşan ve ona proaktif öngüler sunan bir departman olmalıyız. Bu durum risk odağından önce değer odağının, iş süreçlerdeki spesifik risk ve kontrollerden ziyade, kurumsal sevide bakış açısının ön plana çıkmasını gerektiriyor.
İŞ ZEKAMIZIN ÇOK YÜKSEK OLMASI GEREKİYOR: Kurumsal seviyede, katkı yapabileceğimiz görevler bulabilmemiz için, kurumumuzu çok iyi tanımamız gerekiyor.Kimse bize altın tepsi içerisinde katkı sağlayacağımız alanları sunmuyor. Neye katkı yaparsak kurumumuzun ana problemlerine katkı yapabileceğimizi kendimiz bulmamız gerekiyor.İç denetçilerin sahip olması gereken en önemli niteliklerden birinin iş zekası (business acumen) olduğu kanaatindeyim. Kurumumuz nereden, nasıl para kazanıyor, kazançları ne durumda, satışlar nasıl gidiyor, karlılığı nasıl, alt yapıları kazançlı bir satışı destekleyecek nitelikte mi vb kurumuza ait mali, operasyonel ve stratejik bilgilere hakim olmamız gerekiyor. Kurumumuzu iyi tanımak için yönetim birimleri ile en alt seviyeden, en üst seviyeye çok iyi bir iletişim içerisinde olmamız gerekiyor aksi halde kurumumuzun gidişatından yeterince haberdar olamıyoruz. İç denetim yöneticisinin ve denetçilerinin süreç sahipleri ve üst yönetim tarafından rahatlıkla her zaman iletişim kurabilecekleri konumda olmaları gerekiyor. Masalarımızda oturup kalmak yerine vaktimizin çoğunu sahada geçirmemiz onlarla birlikte olmamız gerekiyor. Problemleri yerinde görmeden, onların acılarını hissetmeden kurumumuzun önceliklerini iyi değerlendirmemiz mümkün olmuyor. Kurumumuz süreçlerine ait bilgilerimizin taze kalması ve paydaşlarımızın beklentilerini de iyi anlamamız için; süreç sahipleri, üst yönetim ve denetim komitesi ile kaliteli iletişim ve yakın temas içerisinde olmamız şart.
KAYNAK ÇEŞİTLİLİĞİMİZİ ARTIRMALIYIZ: Belirttiğim şekilde öncelikli nitelikte işler yapabilmek için, sadece iç denetim süreçlerini iyi bilen denetçilere sahip olmak bize yetmiyor. Kurumumuzun satış, pazarlama, finans, teknoloji vb önemli alanlarında tecrübe sahibi denetçilerimiz olmalı. Süreç sahiplerinden izole olmamış, onların hedeflerini anlayan ve bunun kurumsal hedefler üzerindeki etkilerini analiz eden denetçilerimiz olmalı. Bu konuda bir örnek vereyim: Bir defasında, bazı denetçi arkadaşları sahada bir göreve göndermiştim. Görevden döndüklerinde denetçi arkadaşlardan bir tanesi, birçok bilgiyle döndü, oradaki eksiklikleri, iyileştirme alanlarını kendiliğinden bana iletti, yaptığı öneriler gerçekten anlamlıydı. Belirttiği bu hususlar görev amaçlarıyla doğrudan ilgili de değildi ancak o bu gözlemleri yapmıştı. Aynı göreve birlikte giden diğer denetçiye, kendiliğinden bana bir öneri ve tespit getirmemekle birlikte, sahadaki durumu sorduğumda, “her şey yolunda, bir problem yok herkes iyi çalışıyor vb” bir değerlendirmede bulunmuştu. Biri bakarken görüyor, diğeri ise görmüyor, görmek istemiyor, belki de kendine iş çıkar diye korkuyor. Şimdi sizce bu iki denetçi aynı mıdır? İkinci tipdeki denetçiler maalesef iteklemeden, kendisine her şeyi tek tek tarif etmeden bir adım dahi atmıyor, atamıyor, birincisi ise sen sormadan sanki işletmenin sahibi gibi bakıyor ve size bir çok iyileştirme alanını iletiyor. İşte böyle denetçiye sahipseniz işiniz kolay, ancak diğer örnektekine sahipseniz işiniz çok zor.. Denetçiler olarak kendimizi genel müdür gibi, firma sahibi gibi görmeliyiz. Bu işi yapmak zorunda mıyız? Yapacaksak en uygun ve en maliyet etkin yöntem nedir? gibi sorular sormalıyız. Bu bakış açısı ve iş bilgisinin denetçisinden yöneticisine tüm denetim ekibinde olması gerekiyor. Gördüğümüz iyileştirme alanlarıyla ilgili olarak bir yönetim danışmanı gibi öneriler getirebilmeliyiz. Şahsen kurum personeli olarak, bir çok ünlü ve pahalı yönetim danışmanından daha fazla katkı sağlayabileceğimiz kanaatindeyim. Çalışma hayatım boyunca bir çok kez, çok paralar verilerek alınan danışmanlıkların raflarda kaldığı, uygulamaya alınmadığına çok kez şahit oldum. Bizler kurum personeli olduğumuz ve aksiyon takip süreçlerimiz olduğu için, dışardan danışmanlık veren bir danışmana göre yönetim aksiyonlarını aldırmamızın çok daha mümkün olduğu düşüncesindeyim. Bizim iç denetim olarak kurumlarımızın tüm alanlarında tecrübeli personeli istihdam etmemiz de mümkün değil. Bu kısıtı aşmak için çareler üretmeliyiz. Örneğin iş birimlerinden konusunda uzman personelin belli sürelerle bizim ekiplere katılması, denetçilerimizin de belli sürelerle iş birimlerinde görev yapmaları uygun olur. Yaptığımız işlerde proje ekipleri oluşturarak, iş birimlerinin bizlere sağladığı kaynaklarla birlikte, bizim koordinasyonumuzda, danışmanlık önerilerinin geliştirilmesi çok faydalı olacaktır. Üst yöneticilerimizin, iç denetim koordinayonunda, ana kurumsal problemleri için çareler üretecek ekipler görevlendirmesi ve çıkacak önerileri hayata geçirecek aksiyonları yakından takip etmeleri halinde, çok değerli katkıların ortaya çıkacağı kanısındayım. Örneğin maliyetleri azaltma proje grubu gibi.
DAHA ÇEVİK OLMALIYIZ: İç denetim olarak bakış açımızı, iş bilgimizi ve personel çeşitliliğimizi artırmak yanında kendi iş yapış şekillerimizi de gözden geçirmemiz gerekiyor. İç denetim süreçlerimizin esnek ve etkili olması çok önem arz ediyor. Kurumlarımız için gördüğüm en büyük risklerden biri, iş yapış şekillerini değiştirmemeleri, maliyeti yüksek, daha az fayda sağlayan süreçlerle iş yapmaya devam etmeleridir. Aynı riskle biz de karşı karşıyayız.. Bizim de kendi iş yapış şekillerimizi gözden geçirmemiz gerekiyor. Örneğin, denetim planlaması süreçlerimizi gözden geçirmemiz gerekiyor. Yıllık risk değerlendirmelerine dayalı, yıllık denetim planlarıyla iş yapmak çok zor. Hızla değişen bir dünyada, yıllık periyotlarla plan yapmak, maalesef değişen önemli gündemlerin kaçırılması anlamına geliyor. Yıllık risk değerlendirmeleri ve planlamalar yerine, dinamik risk değerlendirmeleri ve planlamaları yapmamız gerekiyor. Denetim planlarımızı değişen önceliklere göre hemen değiştirmemiz gerekiyor. Önümüze öncelikli konular geldiğinde, denetim planımızda olmaması bize bir engel oluşturmamalı, bağlı olduğumuz birimle iletişim kurarak bu tür işlere hemen kaynak ayırabilmeliyiz. Ayrıca çok zaman alan raporlama süreçlerimizi, mutabakat süreçlerini çok pratik bir şekilde yapmalıyız. Gereksiz dokümantasyon süreçlerinden kurtulmalıyız. Yönetimin bizden beklediği katma değeri düşük olan işleri, bir an önce genel hatları ile tamamlayıp esas problemlere dönmeliyiz. Çok kıt kaynaklarla çalıştığımız bu günlerde, zaman kaybettiren her türlü katma değeri düşük aktiviteleri azaltarak, maksimum katma değer oluşturacak işlere zaman ayırmalıyız. Ayrıca, kurumlarımızın ihtiyacına ya da önceliklerine göre de işlerimizin niteliklerini değiştirmemiz gerekiyor. Örneğin Covid 19 da bunu bize gösterdi. Süreç sahipleri ciddi problemlerle baş ederken bizim hala belli tip görevlerde ısrar etmemiz departman olarak süreç sahiplerinin gözünde değerimizi düşürecekti, öyle olmaması için denetim planlarımızı değiştirdik ve onlara belli konularda yardımcı olmaya çalıştık. Bu arada iç denetim olarak veri analiz araçlarını etkin bir şekilde kullanmamız, örneklem yerine tüm popülasyonu analiz ederek daha doğru, güvenilir sonuçlar ortaya koymamız ve ona göre öngörüler yapmamız ve kurumlarımızı ve iç denetim süreçlerimizi etkileyen teknolojik gelişmeleri yakından takip etmemiz de büyük önem taşıyor.
HİZMET ÇEŞİTLİLİĞİMİZİ ARTIRMALIYIZ: İç denetimin uluslararası standartlara göre esas olarak güvence ve danışmanlık olmak üzere, iki tip görevi var. Standart bir denetim departmanının işlerinin ağırlığını güvence görevleri oluşturur. Danışmanlık ise daha düşük oranlıdır. Aslında bunun tamamen tersi olmalı. Ancak durum hiç de öyle değil. Bilmiyorum yönetim birimleri sizlere gelip de benim şöyle ihtiyacım var, bana şöyle bir danışmanlık görevi yapar mısın diyor mu? Ne oranda diyor? Eğer sık sık sizden bu tür görevler istenecek seviyede güven ve iletişimi sağlayabildiyseniz sizleri tebrik ederim. Ancak çoğu zaman öyle olmadığını düşünüyorum. Danışmanlık, iç denetim ve yönetimin mutabık oldukları bir konuda iç denetimin bir süreç veya konu hakkında öneriler geliştirmesidir. Ancak çoğu zaman yönetim birimleri kendiliğinden danışmanlık istemiyor, bizim teklif etmemiz gerekiyor. Örneğin iş sahibi birim, kendi alanıyla ilgili olarak maliyetleri azaltma çalışması yapılması gerektiği konusunda tarafsız bir bakış açısıyla yaklaşamıyor. Orada bir danışmanlık ihtiyacı olduğunu kabul etmiyor. İç denetimden de böyle bir beklentisi yok. Bu durumda, iç denetim böyle potansiyel bir konuda, onların talebinden ziyade, üst yönetimin desteği/onayıyla, ancak ilgili iş birimlerinin de katkısıyla, aynen bir yönetim danışmanı gibi danışmanlık hizmeti vermesi gerekiyor. İç denetim olarak bir hizmet kataloğumuz olmalı ve iş birimleri bu katalogdan ihtiyaç duydukları hizmetleri almalıdırlar. İç denetim olarak verbileceğimiz bazı hizmetler şunlar: Maliyet azaltımı önerileri, iş birimi sağlık taramaları, proje yönetimi güvenceleri, kontrol öz değerlendirmeleri, suistimal risk değerlendirmeleri, politika prosedür geliştirmeleri, fayda ve maliyet analizleri, risk değerlendirmeleri, satın alma danışmanlıkları, süreç iyileştirme önerileri ve satınalma ve birleşmeler öncesi yerindelik incelemeleri vb.
Hizmet çeşitliliğimiz artırmak hedefimiz olmakla birlikte, yaptığımız bir diğer görev olan, suistimal inceleme ve soruşturmaları da bizim yüksek öncelikli kurumsal problemlere katkı sağlayan departman olarak görülmek yerine, sadece soruşturma yapan, şüpheli işlemleri inceleyen bir birim gibi görülmemize neden olmakta. Bizim esas işimiz suistimal soruşturmaları yapmak olmaması gerektiği halde, zamanımızın büyük bir kısmını bu görevlere ayırmamız gerekiyor. Hatta bazen daha da kötüsü, iç denetim şirket polisi gibi görülmekte ve patronun emrinde, görevden alma vb amaçlarla kullanılan bir departmana dönüştürülmektedir. Soruşturma görevlerini yürütmek, öncelikli konulara yeterince zaman ayırmamızı engellediği gibi, departmanlarla sağlıklı iletişim kurmamıza da engel oluyor. İç denetim; çekinilen, problemleri ve iyileştirme alanlarını isteyerek paylaşmadıkları birimler haline geliyor. Bu da bizim maksimum katkı yapmamızı engelliyor. Bunu da düzetmek için uzmanlığı soruşturma olan ekipler tarafından suistimal soruşturmalarının yapılması değerlendirilmelidir.
Yukarıda saydığım iyileştirme alanları yanında, iç denetimin raporlama yapısının doğru oluşturulması, bağımsızlık ve objektifliğinin korunması da önemli ancak bunlar hakkında ayrıca detaylara girmeyeceğim.
Özetle; iç denetim yaklaşımımızı değer odaklı denetimle değiştirdiğimizde, iş zekamızı ve personel kalitemizi artırdığımızda, süreçlerimizi daha çevik hale getirdiğimizde ve kurumumuza yaptığımız hizmetleri çeşitlendirdiğimizde varmak istediğimiz “güvenilir danışman” ve “değişimin temsilcisi” rollerine çok daha yaklaşacağımız kanaatindeyim.
Siz de değerli görüşlerinizi paylaşırsanız çok memnun olurum.
Dr. Nazif Burca 