İç Denetim Nedir?

Uygunluk Denetimi

Uygunluk denetimi, bir duruma uygunluğu denetlemektir. Uygunluk denetimi, bir kurumun, şirketin yönetilmesi esnasında karşısına bu yönetimi kolaylaştıracak araçlar olarak çıkan olgular, kurallar, mevzuatlar, yönergeler, talimatlar, prosedürler, bir işin veya sürecin nasıl yapılması gerektiğini anlatan dökümantasyonlardır. Bu dökümantasyon sadece dökümante olması bir oluş biçimidir. Esas önemli olanı uygulamaya geçmiş halleridir. Bu dökümantasyonlar, şirketin nasıl yönetilmesi ve işlemesi gerektiğini belirten ve her alanda (spesifik süreç ve departman değil) bütün operasyonel süreçleri ilgilendiren mevzuatın ve bu mevzuatta tanımlanan uygulama adımlarının ne derece o mevzuata uygun olarak gerçekleştirildiğini, ne derece farklı olarak gerçekleştirildiğini, nerelerde tıkanıklıklar olduğunu, nelerin mevzuata göre farklı yapıldığının tespit edilmesi bu tespitin gerekçelendirilmesi, örneklendirilmesi ve bu örneklendirilmenin de neticesinde somut iyileştirme önerilerinin sunulmasıdır.

Performans Denetimi

Performans denetimi, bir şirket, kurum, kuruluşu ve varlığı itibari ile bir amaca hizmet etmek için kurulur. Her firmanın mutlaka bir hedefi vardır. Bu hedefler, stratejik planlamalarda belirtildiği gibi 5-10-15 yıllık gibi uzun vadede hedefler olabileceği gibi yıllık hedeflerde olabilir. İç denetimde bunun ele alınış tarzı; üst yönetim olarak hedefleri koyduk, gidilmesi gereken yönü çizdik ve bu yönün başarılı olup olmayacağı nasıl anlaşılacağı noktasında sayısal ölçülebilir hedefler konuldu. Bu hedeflere yani bu performans hedeflerine aslında ne kadar uyumlu ilerleniyor, ne kadar her üst bakışta ve her bir sürecin ve departmanın alt bakışında ne kadar uyumlu rotada gidiliyor bunu bize gösteren denetim türüne verilen isim performans denetimidir. Performans denetimi, hedeflerle hedeflerin gerçekleşmesi arasındaki farkı ölçümlemeye çalışır. Bunu genel bazda yapacağı gibi (yani kurum-şirket genelinde) süreç ve departman özelinde yapmasıdır. Dolayısıyla alt başlıklara girerek her bir alt başlığın bileşkesinin nihai sonuca aslında ulaştıracağı ilkesinden hareketle firmanın alt başlıklarındaki performansının hedeflere uygunluğunu denetler. Dolayısıyla performans denetimi gerçekleştirilmiş olur.

Mali Denetim

Mali denetim, salt biçimde sayılara odaklanır. Her kurum-şirket neticede bir kar içgüdüsü ile veya bir finansal başarıya ulaşma içgüdüsü ile kurulur ve bu yolda hedefler koyar, operasyonunu yürütür ve bu yolda çaba gösterir. Bu çabanın karşılığının alınıp alınmadığını da gösteren, finansal-mali verilerdir. Bunlar şu şekilde sıralanabilir; şirketin ciro, yıllık satış gelirleri verileri, mali yapı verileri, nakit akışı verileri, karlılık verileri, mali tablo verileri gibi. Aynı zamanda şirketin borç alacak durumu, borçlarının ne kadar çevrilebileceği, kısa-uzun vadeli borç oranları gibi çok çeşitli mali verilerin bir bileşkesi sonucu şirket, faaliyetlerini yürütür ve başarının ortaya çıkıp çıkmadığını gözlemleyebilir. Tüm bu mali verilerin hem üst bakış açısında hem de her birinin alt kırılımlarında, doğruyu yansıtıp yansıtmadığı, gerçek manada o verilerin sağlıklı olup olmadığı, o verilerin sağlıklı olsa bile sonuca etki etmesi anlamında doğru uygulanıp uygulanmadığı, bunların nihai ölçüde gerçek operasyonlarla örtüşüp örtüşmediği ve mali anlamda denetlemeyi kendine hedef koyan iç denetim türüne mali denetim denir.

 Bilgi Teknolojileri Denetimi

80li 90lı yıllarda daha az zikredilen, ama artık 2020 li yıllarda hayatımızın vazgeçilmezi haline gelen teknolojinin can bulduğu bilgi teknolojileri denetimi, dijital dönüşüm denetimi ismine de bürünebilir. Kabul görmüş anlayışına göre bilgi teknolojileri denetimi, bir kurulun, firmanın, şirketin kendi içinde yürüttüğü tüm operasyonlarda uçtan uca, yani bir malın satın alınmasından o malın üretilip sevk edilmesine, bir insan kaynağı tarafından alınan yeni çalışanın performans değerlendirmesinden kariyer yönetimine kadarki tüm alanlarda kullanılan bilgi teknolojilerinin (yazılımlar, donanımlar, endüstri 4.0, büyük veri) ne derece sürdürülebilir ve sürekli olarak kullanılabileceğini denetleyen iç denetim türüdür.

Bu faaliyetlerin şirket içinde tanımlanmış olması gerekmektedir. Şirketin şöyle bir yazılım kullansa şahane olur gibi bir şey değildir. Bilgi teknolojileri denetiminde esas kastedilen, mevcut sistemleri sürdürülebilir ve güvenli bir şekilde kullanmaktır. Bilgi teknolojilerinin şirketlerin her yerine yayıldığı düşünülecek olursa, bilgisayar üzerinde çalıştırılan excel, word gibi programlar bile bilgi teknolojisidir. Şirkete girerken parmak okuma- kart okuma sistemleri de bilgi teknolojisidir. Bunlar ne derece sürdürülebilir, güvenilir, sistematik, kişisel veri güvenliği sağlanmış ve kullanılabilirler gibi başlıkların cevaplarının toplandığı alan bilgi teknoloji denetimidir.

 Sistem Denetimi

İç denetimin ihtiyaç duyulduğu alan, sistem kavramı ile çok alakalıdır çünkü düşünüldüğünde doğru bir strateji ve etkin bir yönetim ile çok güzel faaliyetler ortaya koyan bir şirket büyüdü ve daha sonrasında işleri daha da büyüterek yatırımlar yaptı ve yeni teknolojileri bünyesine aldı. Daha sonrasında şirket, bütün bu yeni gelen değişimler ile alakalı sistemin kontrolden çıktığını gözlemleyecek. Çünkü belki de daha mevcut sisteme entegre bile olmamış olacaktır. Örneğin anne sütü ile beslenen bir bebeğin aniden büyüdüğünü düşünün, kıyafetlerinin ona olmadığını gözlemleyeceksiniz. Buda sistemsel farklılığı beraberinde getirecektir, fakat eski kıyafetleri oldurmaya çalıştığınız noktada her şey sarpa saracaktır. Bu yüzden mevcut sistemi yenileyerek yani yeni bir kıyafet almanız gerekecektir. Çünkü sistemsel bir eksiklik veya gelişim mevcuttur. Bu noktada mevcut sistemde değer yaratmak ve geliştirmek gerekiyor ve yalın felsefe ile de iç denetimi birleştirmek gerekecek olursa, sürekli denetim ve sürekli iyileştirme bir şirketin olmazsa olmazı haline gelmek durumundadır. Dolayısıyla, 5. Ana başlık olarak denetim türünde sıraladığımız sistem denetimi kavramı, şirketlerin büyümesi, gelişmesi, yeni yatırımı ile ortaya çıkan ve bu durum ile beraber doğal olarak şirketin yöneticisinin kontrolü kaybettiğini düşündüğünü içeren türdür. Bir şirketin sahibisiniz ve bu noktada başta sisteminizi kurarak yeni bir atılım yaptınız. 100 kişiden 500 kişiye çıkacaksınız. Bu noktada 100 kişi için belli iç kontrol sistemlerinizi kurmuş olabilirsiniz. Örneğin, çalışanlarınız ve fabrikanız ile günde 100 kişi ile 10.000 ürün çıkartabiliyorsunuz. Çalışanlarınızı 100 den 500 e çıkardığınız noktada sisteminizde değiştirmeniz gereken birçok faktör devreye girecektir. Bu noktada sistem denetimi devreye girmektedir.

Sistem denetimi, mevcut sistemler ne kadar etkin, ne kadar mevcut operasyonu kapsıyor, mevcut yürüyen operasyonda sistemsiz kalan yerler var mı, nasıl sistemli hale getirilebilir, nasıl ne derinlikte ne ölçüde sistemler kurulabilir gibi kavramları irdeleyen analiz eden, anali sonucunu raporlayan sistem denetimi faaliyetidir. Sistem denetimi, iç denetimin kalbini oluşturan faaliyettir.

İç denetimin standartlarından bahsetmek gerekirse, iç denetim bazı istisnalar haricinde bazı ülkeler ve sektörlerde zorunlu bir faaliyet değildir. Dolayısıyla bunun dünya genelinde zorunlu tutulan bir standart olarak bahsetmek doğru olmaz, iç denetim bir uygulama bütünüdür. Tüm şirket ve kurumların karşılaştığı, sonuç olarak aklın yolu birdir mantığı ile aynı noktaya vardığı şekilde iç denetim olmazsa olmaz kurum fonksiyonu haline gelmiştir. Yıllar içerisinde farklı ülkelerde ve farklı şirketlerde, kurumlarda, kamuda, özel sektörde, özel sektörün kendi içerisindeki farklı kuruluşlarda farklı farklı uygulanmaya başladığı görülmüştür ve farklı metodolojilerin ortaya çıktığı gözlemlenmiştir. İç denetimde ilk adımları Amerika Birleşik Devletleri atmıştır. Amerika Birleşik Devletlerinde bir iç denetim enstitüsü ve iç denetçiler enstitüsü gibi kurumlar oluşturulmuştur 80li yıllarda. Ve bu kurumlar kendi içlerinde bu ortaklaşmayı sağlamak amacıyla belli iç denetim standartları yayınlamaya başlamışlardır. Daha sonra bu iç denetim standartları dünya çapında yaygınlaştıkça uluslararası iç denetçiler enstitüsü (Institute of Internal Auditors ( IIA )) adında bir oluşum kurulmuştur. Bu kuruluş tüm dünyada ortak bir şekilde kabul gören iç denetim standartlarını yayınlamıştır. Dolayısıyla burada standartlardan bahsettiğimiz zaman uluslararası iç denetçiler enstitüsünün yayınladığı standartları kastediyoruz. Bu standartlar çok geniş kapsamlıdır ve sürekli revizyon gören ek modüller alan, dünya geliştikçe devamlı yeni ortaya çıkan kavramları karşılamak üzere gelişen, yüzlerce sayfalık farklı alt başlıklardan oluşan standartlardır. Dünya genelinde iç denetim fonksiyonlarının, iç denetçilerin genelde bu standartlara uygun bir şekilde hareket etmesi beklenmektedir. Gelişen dünya ile beraber yeni değişimler ortaya çıktığı zaman belli bir takip süresince (yıllar-aylar) bu standartlar da sürekli güncellenmektedir. Standartların iki ana kategorisi vardır;

•       Nitelik Standartları (İç denetimin niteliği ne olmalı, ne kadar olmalı, nasıl olmalı sorusuna cevap veren standartlar)
•       Performans Standartları (İç denetimin performansı nasıl ölçülür, nasıl olmalı, ne derece performans sergilenmeli sorularına cevap veren standartlar)

Bazı sektörlerde iç denetim zorunludur. Örneğin Türkiye’de bankacılık sektörü için iç denetim, kanunlar çerçevesinde bir kuraldır. Çok yaygın bilinen ismi ile bankacılıkta teftiş kurulları ve müfettişleri vardır. Teftiş ve müfettiş, denetimin eski dilde ifade edilmiş halidir. Aslında teftiş kurulu, iç denetim kuruludur, banka müfettişleri de iç denetçilerdir. Banka içindeki müfettişlik kurumu çok eski yıllardan beri hem dünyada hem Türkiye’de vardır ve kanunen zorunludur.

İç denetim tamamen şirketlerin kendi performanslarını ve faaliyetlerini iyileştirmek için yapılan bir faaliyettir. Bununla beraber aynı amacı öngören farklı sektörlere hitap edebilecek olan uluslararası olarak ta kabul görmüş İSO’nun bazı kalite standartları da bulunmaktadır. Bunlar;

İSO 9-1001 2015

İSO 14-1001 2015

OHSAS 18-1001 2015 standartları gibi

Her üçünde de 2015 yılında gelen yeni yaklaşımla beraber süreç bazlı denetim ve iç denetim kavramı aslında bu kalite yönetim sistemlerinin ayrılmaz parçası haline gelmiştir. Ancak buradaki bakış açısı, kalite sistem belgesini almak amaçlı iç denetim fonksiyonunu kurmaktan ziyade şirket olarak, iç denetime muhtacım diyerek oluşturulmalıdır. Şirketler buna neden muhtaçtır? Faaliyetleri iyileştirmek için, değer katabilmek için, nerelerde yanlış yapıldığını tespiti ile beraber gelişim alanlarının fark edip büyümenin veya kontrolden çıkmanın tekrar kontrol altına alınıp rehberlik edilmesini sağlamak için. Kalite yönetim sistemi ile iç denetim standartları arasındaki bağlantıyı bu şekilde özetleyebiliriz.

İşletmeler İç Denetimin Organizasyondaki yerini Nasıl Konumlandırmalı?

İç denetimin tanımını yaparken, organizasyonda olmazsa olmaz fonksiyonlardan bahsetmiştik; biri tarafsızlık diğeri bağımsızlık. Bu ikisi gerçekleşmediği takdirde bir iç denetimden bahsedilemez. Doğrudan bir iç denetim birimi olmalıdır, bu iç denetim birimi de şirketin üst yönetimine bağlı olmalıdır. Genel müdüre bile bağlı olmamalıdır, çünkü genel müdür normal şartlarda işe alma işten çıkarma terfi ettirme maaşı belirleme gibi hakları bulunmaktadır. Halbuki doğrudan yönetim kuruluna bağlı olunursa sadece yönetim kuruluna hesap verilir ve mümkün mertebe bağımsız ve objektif olunabilir. Hatta bunun iyi uygulama örneklerinden biri de, şirketlerde yönetim kurulunun içerisinde riskin erken teşhisi ve denetimi komitesi gibi (veya bunların iki ayrı komite olduğu durumlarda olabilir)  komiteler oluşturup, bu komitelerde mümkünse şirketin yönetim kurulundaki bağımsız üyenin başkan olduğu yapılar kurarak bu yapılara hesap verilmeli ve doğrudan bu yapılar ile birlikte hareket edilmelidir.