1. Giriş ve Kitabın Odak Noktası Dr. Gürol Baloğlu'nun "Stratejik Yönetim, Kurumsal Yönetim, Risk Yönetimi, İç Kontrol İlişkileri ile İç Denetim: Fayda, Performans, Yönetim" başlıklı kitabı, işletmelerin amaçlarına ulaşmasında iç denetim fonksiyonunun rolünü, faydasını ve performansını detaylı bir şekilde incelemektedir. Kitap, özellikle Türk finans sektöründeki bir işletme (ABC İşletmesi) üzerinden yapılan araştırma ile teorik bilgiyi pratik uygulamalarla birleştirmeyi hedeflemektedir. Yazar, 2 004-2020 yılları arasında bankacılık ve sigortacılık sektörlerinde teftiş ve iç denetim görevlerinde bulunmuş, uluslararası iç denetim sertifikalarına (CIA, CCSA, CRMA) sahiptir, bu da kitabın içeriğine pratik bir derinlik katmaktadır. Kitabın ana tezi, iç denetimin bir işletmeye değer katma iddiasında olmasına rağmen, bu değerin ölçümünde zorluklar yaşandığı ve bu çalışmanın Türk finans sektöründeki bir işletmenin iç denetim fonksiyonu üzerinden bu iddianın nasıl güçlendirilebileceğini araştırmasıdır. 2. İşletme Amaçları ve Engeller (Riskler) Her işletmenin kuruluşu belirli ürün ve hizmetleri belirli müşterilere, belirli coğrafyalarda, belirli bir teknoloji kullanarak ve gelir elde edebileceği bir fiyattan sunmak üzere teşkilatlanmayı içerir. Bu fikirler vizyon, misyon ve değer metinlerini oluşturur. Vizyon: İşletmenin "ne olmak istediği" sorusuna yanıt verir (David, 2011: 43). Misyon: İşletmenin ana amacını, "şu anda neden var olduğu"nu tanımlar (Kaplan ve diğerleri, 2008: 1). Değerler: İşletme çalışanlarının davranışlarını ve karar alma süreçlerini şekillendiren güçlü inanışlardır (Bratianu, 2008: 22). Bu temel unsurlar belirlendikten sonra işletme yönetimi stratejik amaçları belirler. Stratejik amaçlar, işletmenin paydaşları için nasıl değer yaratacağına dair işletme yönetiminin tercihini yansıtır. Stratejik amaçlara ulaşmak için işletmeler üç genel amacı yerine getirmeye çalışır (COSO, 1992: 16): Operasyonel Amaçlar: Faaliyetlerin etkili ve verimli yürütülmesi, performans ve karlılık hedefleri ile kaynakların korunması. Raporlama Amaçları: Üretilen bilginin güvenilirliği, zamanlılığı ve şeffaflığı. Uygunluk Amaçları: Yürürlükteki yasa ve düzenlemelere uyum. Bu amaçların başarılmasının önünde ise "risk" adı verilen engeller vardır. Risk, "bir olayın gerçekleşme ve amaçların başarılmasını olumsuz olarak etkileme olasılığı" olarak tanımlanır (COSO, 2013: 59). Riskler, işletme amaçlarına göre stratejik, operasyonel, raporlama ve uygunluk riskleri olarak sınıflandırılabilir (Göğüş, 2012: 73). Riskler, etki ve olasılık cinsinden hesaplanır. Yönetimin müdahale etmediği durumdaki risk "doğal risk", müdahale sonrası kalan risk ise "artık risk" olarak adlandırılır. Doğal ve artık risk arasındaki fark "kontrol etkililiği"ni ifade eder. 3. Risk Yönetimi, Kontrol ve Kurumsal Yönetim (Yönetişim) İşletmeler, risklerle mücadele etmek ve amaçlarına ulaşmak için çeşitli mekanizmalar geliştirmişlerdir: Risk Yönetimi: "Kurumun amaçlarını gerçekleştirmek üzere makul bir güvence sağlamak amacıyla potansiyel olay ve durumları belirleme, değerlendirme ve kontrol etme sürecidir" (IIA, 2010: 2). Risk yönetim süreci temel olarak riskin tanımlanması, değerlendirilmesi ve riske cevap verilmesi adımlarından oluşur. Riske cevap verme yöntemleri arasında riski azaltma, kaçınma, transfer etme ve kabul etme bulunur. Önemli kurumsal risk yönetimi çerçeveleri COSO'nun "Kurumsal Risk Yönetimi: Strateji ve Performansla Bütünleşme" (2017) ve ISO 31000:2018 – Risk Yönetimi – Prensipler ve Kılavuzlar'dır. COSO çerçevesi beş bileşen ve yirmi prensipten oluşurken, ISO belgesi prensipler, çerçeve ve süreçten meydana gelir. Kontrol: Riskleri azaltma amacıyla alınan tedbirlerdir. İç kontrol, "İşletmenin yönetim kurulundan, yönetiminden ve diğer personelinden etkilenen, operasyonlar, raporlama ve uygunluk ile ilgili amaçların başarılmasında makul bir güvence sağlaması için tasarlanan bir süreçtir" (COSO, 2013: 144). Kontroller, önleyici, tespit edici, yönlendirici ve düzeltici olabilir. COSO'nun "İç Kontrol – Entegre Çerçeve" (2013) ve Kanada Serbest Muhasebeciler Enstitüsü'nün "Kontrol Kriterleri (CoCo)" (1992) gibi iç kontrol çerçeveleri bulunmaktadır. İç kontroller mutlak güvence değil, makul güvence sağlar. Kurumsal Yönetim (Yönetişim): Yönetim organları tarafından, amaçlara ulaşma gayesiyle işletmenin faaliyetlerinin yönetilmesi, yönlendirilmesi, raporlanması ve izlenmesini teminen kurulan yapı ve süreçlerin bir birleşimidir (IIA, 2010: 41). Kurumsal yönetişim, kurumsal risk yönetimi ve iç kontrol kavramlarını kapsar. Tarihsel süreçte Treadway Komisyon Raporu, Cadbury Raporu, Sarbanes-Oxley (SOX) Yasası ve OECD Kurumsal Yönetim İlkeleri gibi önemli gelişmeler kurumsal yönetişimin gelişimine katkıda bulunmuştur. İyi bir yönetişim; şeffaflık, hesap verebilirlik, sorumluluk ve adillik prensiplerine dayanır (Millstein Raporu, 1998). 4. İç Denetim Fonksiyonu İç denetim, "bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur" (IIA, 2016-1: 26). İç denetimin temel unsurları: Değer Katma: İşletmenin amaçlarını başarma fırsatlarını geliştirme, riske maruz kalmayı azaltma. Bağımsızlık ve Objektiflik: İç denetçilerin tarafsız ve önyargısız davranması, çıkar çatışmalarından uzak durması. İç denetim birimi, genellikle yönetim kuruluna bağlı olarak faaliyet gösterir. İki Faaliyet Türü: Güvence hizmetleri (objektif değerlendirme) ve danışmanlık hizmetleri (tavsiye niteliğinde çalışmalar). İç Denetimin Rolü: İç denetim, risk yönetimi, iç kontrol ve yönetişim sistemlerinin işlerliğine ilişkin güvence vererek ve bunların işleyişine dair öneriler getirerek işletme amaçlarına ulaşılmasına katkı sağlar. Özellikle "Üçlü Hat Modeli" (IIA, 2020) iç denetimin kurumsal yönetimdeki konumunu açıklar: Birinci Hat: İşletmenin ürün ve hizmet sunumu ile destekleyici fonksiyonlar. İkinci Hat: Risk yönetimi, yasal uyum, etik uyum, iç kontrol, bilgi ve teknoloji güvenliği gibi konularda birinci hatta uzmanlık ve destek sunan veya izleyen birimler. Üçüncü Hat: İç denetim, yönetişim ve risk yönetimi konusunda bağımsız ve objektif güvence ve danışmanlık sunar. İç Denetim Süreci: İç denetim, sistemli ve disiplinli bir yaklaşımla belirli adımları takip eder: Planlama: Yıllık denetim planı risk bazlı olarak oluşturulur, üst yönetim ve yönetim kurulunun görüşleri alınır. Görev Planlaması ve İcra: Her bir denetim alanı için amaç, kapsam, kaynaklar ve iş programı belirlenir. Yeterli, güvenilir, ilgili ve faydalı bilgiye ulaşılmaya çalışılır. Gözlem, görüşme, doğrulama, yeniden hesaplama gibi teknikler kullanılır. Raporlama: Denetim sonuçları, bulgular, tavsiyeler ve eylem planlarını içeren raporlar hazırlanır. Raporlar doğru, objektif, açık, özlü, yapıcı, tam ve zamanında sunulmalıdır. Takip: İç denetim tavsiyelerinin başarılı bir şekilde hayata geçirilip geçirilmediği izlenir. İç Denetim Riskinin Yönetilmesi: İç denetimin kendi amaçlarına ulaşmasını engelleyebilecek riskler de mevcuttur. Bu riskleri azaltmak için "Kalite Güvence ve Geliştirme Programı" tesis edilir. Bu program, iç değerlendirmeler (sürekli izleme ve dönemsel öz-değerlendirmeler) ve dış değerlendirmeleri içerir. İç Denetim Performansının Takibi: İç denetimin performansı, fonksiyonun olgunluk seviyesi ile ilişkilidir. Performans değerlendirmeleri, iç denetim fonksiyonunun belirli bir dönemde yürüttüğü faaliyetlerin başarısını ölçer. Performans, risk perspektifi, paydaş perspektifi ve öğrenme ve gelişim perspektifi olmak üzere üç farklı açıdan ele alınabilir. İç denetimin sağladığı faydanın parasal olarak veya doğrudan KPI'lar üzerinden ölçülmesi zordur, bu nedenle iç denetimin katma değeri genellikle dolaylı yollardan algılanır. İşletme İçi İç Denetim Farkındalığının Artırılması: İç denetimin sağladığı katkının ölçülebilmesinin zor olması nedeniyle, iç denetimin değer yaratma iddiasını güçlendirmek ve bir maliyet unsuru olarak algılanmasını önlemek için farkındalık çalışmaları önemlidir. Bu, denetlenenlerle iletişimi artırır, çalışanların üçlü hat sorumluluklarını anlamalarına yardımcı olur ve risk kültürünün oluşmasına katkı sağlar. Sürekli Denetim: Gelişen teknolojilerle birlikte iç denetim alanında "sürekli denetim" kavramı ortaya çıkmıştır. Sürekli denetim, dönemsel risk ve kontrol değerlendirmelerinin yerini teknoloji ile desteklenen sürekli risk ve kontrol değerlendirmelerine bıraktığı bir yapıyı temsil eder (IIA, 2015: 2). Bu, anlık değerlendirme yapılabilmesini ve değişime daha hızlı cevap verilmesini sağlar. 5. ABC İşletmesi Üzerine Yapılan Araştırma ve Bulgular Kitap, Türk finans sektöründe faaliyet gösteren bir ABC İşletmesi üzerinde bir araştırma yürütmüştür. Araştırma, işletmenin stratejik yönetim, risk yönetimi, iç kontrol ve kurumsal yönetim uygulamaları ile iç denetim fonksiyonunun rolü, nitelikleri ve performansını incelemiştir. ABC İşletmesi'ndeki Durum (Özet Bulgular): Stratejik Yönetim: İşletmede misyon ve vizyon belirlenmiş olsa da, stratejiler Dengeli Skor Kartı ile ana fonksiyonlara dökülmüş, ancak alt seviyelere (iş birimleri, departmanlar, süreçler) yeterince indirgenmemiştir. Bu durum, çalışanların stratejiyi benimsemesini zorlaştırmakta ve performansın ana amaçla uyumunu sorgulatmaktadır. Risk Yönetimi ve İç Kontrol: İşletme riskleri öz-değerlemeye tabi tutulmuş ve risk envanteri oluşturulmuştur, ancak stratejik yönetim uygulamalarıyla entegrasyonu sağlanmamıştır. Kurumsal risk yönetimi modeli tam olarak uygulanmamaktadır. İç kontrol uygulamaları ise COSO iç kontrol modeli çerçevesinde yürütülmektedir. İç Denetim Fonksiyonu:Konum ve Bağımsızlık: İç denetim fonksiyonu yönetim kurulu adına faaliyet göstermekte ve doğrudan yönetim kuruluna bağlıdır. Denetim Komitesi (yönetim kurulunun icra görevi olmayan üyelerinden oluşur) iç denetim performansını izlemede yönetim kuruluna yardımcı olmaktadır. Ancak iç denetim yöneticisinin görevden alınma kararının yönetim kuruluna ait olduğuna dair bir düzenleme bulunmamaktadır, bu da tarafsızlığa zarar verebilir. Misyon ve Strateji: İşletme özelinde iç denetim için işletme amaçlarıyla paralel bir misyon veya iç denetim stratejisi belirlenmemiştir. Bu durum, iç denetimin işletme stratejileriyle yeterince uyumlanmamasına yol açmaktadır. İç denetçilerin işletme stratejileri ve amaçları konusunda farkındalıkları düşüktür. Kapsam: İç denetim kapsamına tüm birimler ve dış kaynak hizmetleri dahil edilmiştir. İç denetçilerin tüm bilgiye erişim yetkisi bulunmaktadır. Nitelik ve Yetkinlikler: İç denetim birimi deneyimli denetçilerden oluşmaktadır. Ancak mesleki sertifikasyonlarda yetersizlikler gözlenmiştir. Davranışsal-zihinsel yetkinliklere yönelik eğitimler tercih edilmemektedir. Yeni katılan denetçilerin deneyimleri düşüktür ve özel eğitim programları bulunmamaktadır. Bilgi sistemleri denetimi konusunda uzmanlaşma olmasına rağmen, bunun organizasyonel yapıyı şekillendirmede etkisi yoktur. Planlama: Yıllık denetim planı risk bazlı bir yaklaşımla oluşturulmaktadır ve süreç bazlı denetim evreni kullanılmaktadır. Ancak risk değerlendirmeleri, kurumsal risk yönetimi modelinin olmaması nedeniyle farklı kaynaklardan alınan bilgilerle yapılmaktadır ve bilgi sistemleri risklerine münhasır bir değerlendirme yoktur. Plan statiktir ve yıl içindeki değişimlere adapte olamamaktadır. Kapasite hesaplaması tam olarak yapılmamaktadır ve iç denetçi kapasite eksiği bulunmaktadır. İcra: Denetim faaliyetleri belirlenen adımlar (planlama, mektup gönderimi, açılış toplantısı, saha çalışması, ön kapanış, kapanış, taslak rapor, nihai rapor) doğrultusunda yürütülmektedir. Saha çalışması sonrası raporlama aşamasının uzun sürdüğü görülmüştür. Raporlama: Bulgular ve tavsiyeler, genellikle iç kontrollerdeki iyileştirmelere odaklanmaktadır. Bulgular önem derecelerine göre sınıflandırılsa da riskler kalibre edilmediğinden karşılaştırılabilir bir "devam eden riskler envanteri" oluşturulamamaktadır. Denetim raporlarının yönetici özetleri kısmının geliştirilmesi gerektiği tespit edilmiştir. Bulguların kapatılma oranı %83 olup, iç denetim önerilerinin büyük oranda kabul gördüğüne işaret etmektedir. Performans Ölçümü: İç denetimin işletmeye sağladığı katma değerin parasal olarak veya KPI'lar üzerinden doğrudan ölçülmesi mümkün değildir. Mevcut performans kriterleri daha çok iç denetim planının tamamlanması ve denetim günlerindeki sapmalara odaklanmaktadır ve risk bazlı, kapasite sapmalarını dikkate alarak gerçekçi bir hesaplama yapılmamaktadır. Önerilen risk bazlı hesaplama ile plan tamamlama başarısı %57 iken, kapasite sapmaları dikkate alındığında %96'dır. Farkındalık: İç denetim farkındalığını artırmaya yönelik geçmişte bazı çalışmalar yapılmış ancak bunların sonuçları ölçülmemiş ve sürekliliği sağlanmamıştır. Sürekli Denetim: ABC İşletmesi'nde sürekli denetim uygulamalarına yönelik herhangi bir hazırlık veya yönelim bulunmamaktadır. 6. Sonuç ve Öneriler Kitap, ABC İşletmesi özelinde iç denetimin katma değerini artıracak önemli öneriler sunmaktadır. Bu öneriler, İç Denetçiler Enstitüsü (IIA) tarafından ortaya konulan mesleki uygulama prensipleriyle büyük ölçüde örtüşmektedir: Stratejik Uyumlanma: İç denetim fonksiyonu, işletme amaçları ve stratejileri ile uyumlu bir misyon ve kendi alt stratejisini oluşturmalıdır. Bu, risk değerlendirmelerinin işletme amaçları ve stratejisi doğrultusunda şekillenmesini ve iç denetimin proaktif, etkili ve değer katan bir iş ortağı rolüne bürünmesini sağlayacaktır. Bu, işletmede kurumsal risk yönetimi modelinin kurgulanmasına da destek olacaktır. Dinamik Planlama: İç denetim planı, periyodik risk değerlendirmeleriyle güncellenebilen, dinamik bir yapıya kavuşturulmalıdır. Bu, iç ve dış çevredeki değişimlere daha hızlı yanıt verilmesini ve kapasite sapmalarının daha etkin yönetilmesini sağlayacaktır. Risk Kalibrasyonu ve Envanter Oluşturma: Denetim bulgularının risk sınıflandırmaları kalibre edilerek, farklı denetim alanlarının risk seviyeleri karşılaştırılabilir hale getirilmeli ve analiz edilebilir, bütüncül bir "devam eden riskler envanteri" oluşturulmalıdır. Bu, iç denetimin katkısını daha görünür kılacaktır. Geliştirilmiş Performans Ölçümü: İç denetim performansının ölçümünde risk bazlı bir yaklaşım benimsenmeli ve kapasite sapmaları doğru şekilde dikkate alınmalıdır. Üç farklı perspektiften (risk, paydaş, öğrenme/gelişim) oluşan bir performans karnesi oluşturulması önerilmektedir. Bu, iç denetimin değerini daha sağlıklı bir şekilde ifade etmesini sağlayacaktır. Raporlama Süreçlerinin İyileştirilmesi: Raporlama aşamasında geçirilen sürenin kısaltılması ve rapor formatlarının (özellikle yönetici özetleri) üst düzey yöneticilerin ihtiyaçlarına daha uygun hale getirilmesi gerekmektedir. Aksiyon alınmayan bulguların takip ve raporlama prosedürleri geliştirilmelidir. Personel Yetkinliklerinin Geliştirilmesi: İç denetçilerin mesleki sertifikasyon süreçlerine katılımları teşvik edilmeli, teknik eğitimlerin yanı sıra iletişim, müzakere, takım yönetimi gibi davranışsal-zihinsel yetkinliklere yönelik eğitimler de sağlanmalıdır. Farkındalık Çalışmalarının Sürekliliği: İç denetimin işletmeye sağladığı katkının ve değerin daha iyi anlaşılması için farkındalık çalışmalarına bir iletişim stratejisi dahilinde, sonuçları ölçülerek ve sürekli olarak devam edilmelidir. Sürekli Gözlemleme ve Sürekli Denetime Yönelim: İşletmedeki önemli değişiklikleri takip edecek kapsamlı bir "sürekli gözlemleme" faaliyeti tesis edilmeli ve uzun vadede sürekli denetim uygulamalarına geçiş için olanaklar araştırılmalıdır. Kapasite Planlaması: İç denetim personel sayısı ve kapasite planlaması daha gerçekçi projeksiyonlarla yapılmalı, kapasite eksikliği giderilmelidir. Sonuç olarak, kitap, iç denetimin işletmelerin karmaşık risk ortamında değer yaratma potansiyelini vurgulamakta ancak bu değerin tam olarak anlaşılması ve ölçülmesindeki zorluklara dikkat çekmektedir. Stratejik uyumlanma, doğru performans ölçütlerinin belirlenmesi ve farkındalık yaratma çabalarıyla iç denetimin işletmeler için daha etkin ve görünür bir değer ortağı olabileceği belirtilmektedir. ... Devamını Oku