ÜST YÖNETİM İÇİN KONTROL MEKANİZMALARI ve İÇ DENETİM

Şirketlerin, vizyon ve misyonları doğrultusunda, başarıya ulaşabilmeleri için kontrol mekanizmalarının etkin şekilde tesis edilmesi, uygulanması ve performans değerlendirmesine tabi tutulması önem arz etmektedir. İç kontrol, risk yönetimi ve iç denetim sistemleri şirketlerde kontrol mekanizmalarının önemli unsurlarıdır.  Ki bu üç sistemi "üçlü savunma sistemi (ÜSS)" olarak adlandırabiliriz.  Örneklerle ve sorularla yazıda ilerlemeyi deneyelim. Kurumsal bir şirketiz ve ÜSS uygulamalarına önem vermek istiyoruz. Süreçlerimize iç kontrolleri gömdürdük, periyodik risk değerlendirmeleri yapıyoruz, risk yönetimi uygulamalarını önemsiyoruz ve iç denetim sistemimiz güvence ve danışmanlık hizmetleriyle şirketimize yardımcı oluyor. Hatta iç denetime ek olaraktan soruşturma sistemi de oluşturduk. İç denetçilerimiz çok yetenekli ve sürekli iç kontrol ve risk yönetim sistemlerini analiz ediyorlar ve tespit edilen eksiklikleri raporluyorlar.  Öyle raporlamalar oluyor ki... Yüzlerce bulgu var ve iç denetçiler bulgu takip sürecinin yılmaz bekçileri! Tamamlanma oranı da şahane! En azından %90 bulgular kapatılıyor. Ve soruşturma sistemimiz de şahane. İç denetçiler hile izleri sezdiklerinde, ilk olarak ön inceleme yapıyorlar ve hileye dönük kanaatleri çoğaldığında, hiç durmaksızın soruşturma uzmanlarımıza haber veriyorlar. Soruşturma uzmanlarımız öyle mahir ki... Çok önemli hileler tespit edildi ve çok sayıda insan, hileli işlemlerinden dolayı, işten atıldı. Evet, her şey güllük gülistanlık! Cidden, her şey güllük gülistanlık mı?

Türkiye'de en etkin ÜSS oluşumları hangi kurumlarda? Elbette bankalarda ve büyük şirketlerde... Peki, ÜSS oluşumlarının tepesinde kabul edilen iç denetim sistemleri gerçekten, olması gerektiği kadar, etkin mi? Evet, iç denetçiler çarşaf çarşaf denetim raporları yazmakta, bulgu takip süreçleri harıl harıl çalışmakta ve suçlular da soruşturmalar neticesinde atılmakta... Şimdi, rahatsız edici noktalara gelmeye başlayalım. İç denetçiler hangi makamların sınırında iç denetim faaliyetlerini icra edebilmekte ve soruşturma uzmanları hangi makamların sınırında soruşturma faaliyetlerini icra edebilmekte! Yine bir örnekle devam edelim. X bankasının hayali verilerine odaklanalım. 2011 yılında 25 şubede soruşturma faaliyeti, tespit edilen 5 milyon TL zimmet ve işten atılan 11 çalışan... 2015 yılında 34 şubede soruşturma faaliyeti, tespit edilen 4 milyon TL zimmet ve işten atılan 23 çalışan... Rakamlar hayali, ama birçok şirkette bulgular/hileler sürekli nükseder ve aynı noktalardan gol yenmeye devam edilir. Hemen itirazlar gelmesin: "İç denetçiler ne güne duruyor!". Evet, iç denetçiler her bulguyu/hileyi önlemekle yükümlü kutsal varlıklar! Şimdi, kök neden analizine başlayalım mı? Neden hep aynı noktalardan gol yenmekte:

1- İç denetim birimleri teoride yönetim kurullarına bağlılar, ama pratikte bu böyle değil. Nasıl mı? Amiyane bir tabirle, iç denetçileri dövebilecek dinozorlar her yerde! İç denetçiler yapısal sorunlara kolay kolay odaklanamıyorlar. Zira yapısal sorunların temelinde muhtemelen şirket politikaları yatmaktadır. Mesela zimmet suçlarını ele alalım. Eğer bir şirkette sıklıkla zimmet suçları tespit ediliyorsa (şeffaf bir ortam ve her zimmet tespit edilir varsayımlarıyla), hemen aklımıza "hile üçgeni" gelmesin. Yani farklı açılardan da bakalım. Demek ki sizin insan kaynakları politikalarınızda aksayan yönler var. İK politikalarınızı kim ya da kimler oluşturdu? İK genel müdür yardımcısı mı, İK GMY ve CEO birlikte mi?.. Hiç duydunuz mu İK genel müdür yardımcısının iç denetim tarafından kuşatıldığını? Kolay kolay duyulacak bir şey de değildir. Kısacası: Üst yönetim (YK üyeleri ve üst düzey yöneticiler) uygulamaları muhakkak iç denetim evrenine dahil edilmelidir. Ama nasıl? İç denetçi GMY'nin odasına gidip, "Sayın GMY, eller yukarı. Bu bir iç denetimdir ve geçici olarak görevden el çektirildiniz!" diyecek hali yok. Üst yönetim uygulamalarının iç denetim evrenine nasıl dahil edilmesi gerektiği yönetim kurulu, iç denetim birimi ve üst düzey yöneticiler nezdinde muhakkak tartışılmalı ve etkin çözüm yöntemleri aranmalı.

2- Yapısal sorunlara odaklanma konusunda yeterli çabanın gösterilmemesi... Belki kolaycılık, belki zihniyet, belki zaman darlığı ve belki de eğitim eksikliği... Ama iç denetim birimleri yapısal sorunlara odaklanamıyor maalesef... Raporlar yazılmakta, bulgu takip süreci işletilmekte ve suçlular cezalandırılmakta... Her denetim dönemi aynı süreç devam etmekte. Yapısal sorunlara odaklanmadan ve kök neden analizlerine girilmeden iş yaparsak, farklı bir şey beklememize gerek var mı? Aslında her bulgu muhakkak ilgili sürecin ya da süreçlerin eksik/hatalı tasarlanmasından kaynaklanmaktadır.

3- Ne güzel denmiş: "Kendini Bil!". Şirketlerde de her çalışan ve birim kendini bilecek. Ne demek şimdi bu? Son yıllarda gündeme getirilmeye çalışılan "Risk Kontrol Öz Değerlendirme" faaliyetlerine daha fazla zaman ayrılması gerekmekte. RKÖD faaliyetlerinin önemi, bu faaliyetlerin aslında denetim faaliyeti olmadığı ve altından kalkılamaz bulgular ortaya çıkarmayacağı, birimlerin kendi risklerinin farkında olmalarının ve kendi risklerine çözümler üretilmesinin amaçlandığı iş birimlerine sık ve etkin şekilde aktarılmalı. Peki, kim aktaracak? Elbette iç denetim birimleri... Fakat burada da üst yönetimin ciddi desteği şart. Zira RKÖD faaliyetleri zaman çalıcı angarya faaliyetler olarak algılanabilmekte.