MAKALE:25.06.2020/01
İÇ DENETİM NEDİR?
İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistematik ve disiplinli bir yaklaşım getirerek kurum hedeflerinin gerçekleştirilmesine yardımcı olur. İç denetim bir kurum ya da organizasyonda yürütülen faaliyet iş ve işlemlerin yönetimden farklı ve tarafsız bir gözle değerlendirilmesi olarak da özetlenebilir.
İÇ DENETİMİN UNSURLARI NELERDİR?
İç denetimin temel unsurları aşağıdaki gibidir;
Güvence ve Danışmanlık Kavramlarının İçeriği
Makul bir güvence
Kurum Faaliyetlerinin Geliştirilmesi ve Değer Katılması
İç denetim faaliyeti tarafsız ve ilgili güvence sağladığında ve yönetişim, risk yönetimi ve kontrol süreçlerinin etkinliği ve yeterliliğine katkı sağladığında değer katmış olur.
İç denetim elini taşın altına sokar.
Şirketin geleceğine ilişkin sorumluluk taşır.
Bağımsızlık ve Tarafsızlık
İç Denetimin Sistematik ve Disiplinli Bir Faaliyet Olması
İÇ DENETİMİN AMACI NEDİR?
Denetlenen şirket, birim ve faaliyet alanlarında kontrollerin varlığı, yeterliliği ve işlerliği, kilit iş riskleri, stratejik amaç ve hedeflere göre değerlendirilerek güvence sağlama, değer yaratan danışman yaklaşımı ile denetlenen alanlardaki gelişim ihtiyaçlarının ortaya çıkarılması amaçlanmaktadır. Denetim enerjisinin geçmişten ziyade geleceğe odaklandığı proaktif anlayış hedeflenmektedir.
İÇ DENETİM TÜRLERİ NELERDİR?
Finansal Denetimler
Finansal tabloların mevcudiyeti ve hazırlanması, bütünlüğü ve tamlığı, finansal tablolarda kullanılan değerlendirme ve tahsis yöntemleri, finansal tablolardaki haklar veya yükümlülükler, sunum ve açıklanması süreçlerinin başarılı olup olmadığı konularında güvence sunmayı hedefleyen ve söz konusu süreçlerde bir veya birkaçını aynı anda kapsayan denetim faaliyetidir.
Kontrol Güvence Denetimleri
Operasyonel, finansal veya mevzuata uygunluk alanlarına ilişkin önemli kontrol faaliyetlerinin dizaynı ve işlerliğine yönelik sunulan güvence hizmetleridir.
Uygunluk Denetimleri
Kurumun günlük faaliyetlerinde uymakla yükümlü olduğu kurallar bütünü (iç ve dış mevzuat)
Bilgi Teknolojileri Denetimleri
Kurumun tüm teknolojik altyapısının, donanım, yazılım, güvenlik ve bilgiye erişim konularının belirli prensipler doğrultusunda ve bir 4. kurumsal BT yönetimi perspektifiyle sistematik olarak denetime tabi tutulmasıdır.
Operasyonel Denetimler
Kurum aktiflerinin olası herhangi bir zarar veya kayıp riskine karşı korunması performans ve karlılık hedeflerinin gerçekleştirilmesini de içerecek şekilde kurumların her türlü operasyonlarının etkinliğine ve verimliliğine yönelik güvence hizmeti sunulmasıdır.
Suiistimal Denetimleri
Bir işletmede faaliyetlerin sürdürülmesi esnasında şüphelenilen veya ortaya çıkan/ çıkartılan herhangi bir suiistimalin, konunun uzmanı iç denetçi tarafından hukuki takip aşamasına kadar ki süreci içerecek kapsamda araştırılması ve soruşturulmasıdır.
Sistem Denetimleri
Yönetişim, İç Kontrol ve Risk Yönetimi sistemlerinin ve içlerinde yer alan birimlerin iş süreçlerinde eksikliklerin, risklerin tespit edilmesi ve iç kontrol mekanizmalarının etkinliğinin incelenmesi, kaynakların ve uygulanan yöntemlerin yeterliliği etkililiği ve verimliliğinin ölçülmesidir.
Performans Denetimleri
İşletmenin misyonuyla uyumlu hedeflerini gerçekleştirmek için icra edilen ve tüm birimlerdeki faaliyetlerin planlanması, uygulanması ve kontrolü aşamalarındaki etkililik, etkinlik ve ekonomiklik düzeylerinin tespitidir. Faaliyet denetimi diye de adlandırılmaktadır.
İÇ DENETİM STANDARTLARI NELERDİR?
Standartlar, ilke temelli ve aşağıdaki hususları içeren uyulması zorunlu gerekliliklerdir:
- İç denetim mesleğinin uygulanması ve uygulamanın etkinliğinin değerlendirilmesi amacıyla kurum ve fert seviyesinde uluslararası uygulanabilirliği olan ana gerekliliklere ilişkin beyanlar,
- Standartlarda geçen terim ve kavramları açıklığa kavuşturan “Yorumlar.”
Standartlar, Etik Kuralları ile birlikte, Uluslararası Mesleki Uygulama Çerçevesi’nin tüm zorunlu unsurlarını kapsar ve uygunluğu gösterir.
Standartlar; Nitelik ve Performans Standartları şeklinde ikiye ayrılmıştır.
- Nitelik Standartları, iç denetim faaliyetlerini yürüten kurumların ve kişilerin özelliklerine yöneliktir.
- Performans Standartları, iç denetimin tabiatını açıklar ve bu hizmetlerin performansını değerlendirmekte kullanılan kalite kıstaslarını sağlar.
Uygulama Standartları da güvence (A) veya danışmanlık (C) faaliyetlerine uygulanabilecek gereklilikleri belirterek, Nitelik ve Performans Standartlarını geliştirir. Standartlar her bir iç denetçi ve iç denetim faaliyeti için geçerlidir. Tüm iç denetçiler bireysel nesnellik, yeterlilik, gerekli mesleki özen ve görev sorumluluklarının performansı ile ilgili Standartlara ve iş sorumluluklarının performansı ile alakalı Standartlara uyum konusunda sorumludurlar.
İÇ DENETİM FONKSİYONUNA NEDEN SAHİP OLMALIYIZ?
Yönetim kurulu, şirket faaliyetleri hakkında bilgi sahibi olmak, iş ve işlemlerin gidişini izlemek, kararlarını uygulatmak veya iç denetim amacıyla kuracağı komite ve komisyonlar için bağımsız ve objektif bir güvenceye ihtiyaç duyacaktır. Bu ihtiyacın karşılığı “iç denetim” fonksiyonunda ifade bulmaktadır.
Yönetim Kurulu, stratejik karar almak, gözetim ve yönlendirme işlevini etkili bir şekilde yerine getirebilmek, şirketin iç işleyişi, raporlama ve karar alma süreçlerine ilişkin bağımsız ve objektif bir güvence elde edebilmek için iç denetim fonksiyonuna ihtiyaç duymaktadır.
Ülkemiz şirketlerinin genel itibariyle aile şirketi olması, kurumsallık sürecini tamamlayıp kurumsal bir yönetim tarzına geçememeleri, şirket strateji ve planları ile risklerin yönetilmesi faaliyetlerinin sistematik bir şekilde sürdürülememesi, söz konusu şirketler içerisinde nispeten daha küçük ölçekli olanlarının günlük faaliyetleri, çalışanların yönetimi ve takibi işlemlerinin aile üyeleri ve/ veya uzun süredir güven esasına dayalı olarak istihdam edilen çekirdek kadrolar tarafından gerçekleştirilmesi, ilk etapta kontrol ihtiyacının tanımlanması, gerekliliği ve nedenleri üzerinden bir iç denetim fonksiyonuna neden sahip olmalıyız sorusunu gündeme getirmektedir. Bu durumların varlığı da özellikle bu tip şirketlerde geçmişte yaşanan önemli bir suiistimal olayı neticesinde bu ihtiyacın hissedilmesi ve bu doğrultuda giderilmesi şeklinde olduğudur.
Sonuçta iç denetim fonksiyonunun kurumlara doğrudan gelir getirici bir birim olmaktan ziyade giderleri kontrol altına alma ve sınırlandırma faaliyeti göstermesi düz mantıkla bu istihdam nedeniyle katlanılacak maliyetten daha fazlasını talep etmek şeklinde olacaktır. Bu şekilde istihdam edilen iç denetim birim yöneticilerinin de ilk etapta denetim algı ve anlayışının yerleştirilmesi, beklentilerin ölçümü, durum analizi ve Üst Yönetim’e verilecek yakın 7. danışmanlık faaliyetleri ile bu süreci yönetmesi elzem olup başarı ve sürekliliğinin de kaynağıdır.
Şirket kurumsallık düzeyindeki gelişme ve faaliyetlerde görülen artışla birlikte, iç kontrol sistemi kurulması ve işlerliğinin sağlanmasına yönelik sorumlulukların önceliklendirilerek, iç kontrol sisteminin etkinliğine yönelik bağımsız ve tarafsız bir güvence verilmesi, yatırımcılar ile kredi verenler açısından işletmenin kredibilitesine değer katan özelliğinden ötürü iç denetim faaliyetinin başlatılmasına ihtiyaç duyulmaktadır.
İç denetim etkisi; kurum içerisindeki algı ve iş yapış biçimlerinde görülen değişim, hesap verebilirlikte ve performansta gözle görülür artış, personelin faaliyetlerinin Yönetim tarafından bu vesile ile sürekli kontrol edildiği hissi, basiretli ve ehil bir Yönetim ve işletme sahibi tarafından kolaylıkla anlaşılacaktır. Unutulmaması gereken en önemli husus ise iç denetim birimlerinin varlığı olup sadece etkin bir iç denetim biriminin bulunması bile önemli bir önleyici kontrol mekanizmasıdır.
İÇ DENETİM ve TEFTİŞ FARKLI MIDIR?
İç denetim ve teftiş kavramları uygulamada her zaman karıştırılabilmekte ve birbirini yerine kullanılabilmektedir. Özü itibariyle ise birbirinden tamamen ayrı olan iki kavrama ilişkin temel farklar aşağıdaki gibi sıralanabilmektedir.
- İç denetim sistem ve süreç odaklı, teftiş ise şikayet, birey, olay ve işlem odaklıdır.
- İç denetim geleceğe odaklı, teftiş geçmişe odaklıdır
- İç denetim hesap verebilirlikle, teftiş hesap sorabilirlikle ilgilidir.
- İç denetim uluslararası standartlara, teftiş lokal ve geçmişe dayalı uygulamalara dayanmaktadır.
- İç denetim proaktif, teftiş ise reaktiftir.
- İç denetim risk yönetimi odaklı, teftiş ise risklerden ziyade olgular üzerinden hareket etmektedir.
- İç denetim faaliyetleri geliştirme, teftiş ise faaliyetleri yönlendirme amaçlıdır.
İÇ DENETİM SİSTEMİMİZ NE YAPAR?
İç denetim fonksiyonu, birçok durumda, yönetimin kurmakla yükümlü olduğu iç kontrol sisteminin ölçülmesi amacıyla kurumsal yönetimce yerleştirilir. Kontrollerin gerçekleştirilmesi ilgili yönetimlerin sorumluluğunda olduğundan iç denetçiler kontrolleri yapmazlar ancak onların görevi yönetime ve denetim komitesine kontrollerin etkin olduğunun güvencesini vermektedir. İç Denetim, sunduğu güvence ve danışmanlık hizmetleriyle çalıştığı işletmeye değer katarak gelişimine katkıda bulunma amacındadır.
Güvence hizmetleri, iç denetçinin, bir kurum, faaliyet, fonksiyon, süreç, sistem veya bir başka unsur hakkında bağımsız görüş veya kanaat sunabilmek için, eldeki delilleri objektif bir şekilde değerlendirmesini içerir. Güvence görevlerinin nitelik ve kapsamı iç denetçi tarafından belirlenir. Güvence hizmetlerinin, genellikle, üç tarafı vardır:
- Bir kurum, faaliyet, fonksiyon, süreç, sistem veya bir başka unsurun doğrudan içinde olan kişi veya grup (süreç sahibi),
- Değerlendirmeyi yapan kişi veya grup (iç denetçi),
- Değerlendirmeyi kullanan kişi veya grup (kullanıcı).
Danışmanlık hizmetleri, tabiatı gereği tavsiye niteliğinde olup genellikle nitelik ve kapsamı da belirtilerek özel talep üzerine gerçekleştirilir. Danışmanlık hizmetlerinin genellikle iki tarafı vardır:
- Tavsiye veren kişi veya grup (iç denetçi)
- Tavsiye talep eden ve alan kişi veya grup (görevi talep eden).
İÇ DENETİMİN ORGANİZASYONDAKİ YERİ NASIL KONUMLANDIRILMALIDIR?
İç denetçilerin, bağımsızlıklarını ve objektifliklerini destekleyen, gerekli yetkileri sağlayan bir sisteme ihtiyaçları vardır. İç Denetim Yöneticisi, fonsiyonel olarak denetim planlaması, yöntemleri ve sonuçlarını Denetim Komitesine raporlar ancak ödenek, performans, yer, teçhizat ve bunlara ilişkin konularda amaca uygun olarak kurumun herhangi diğer bir çalışanı gibi kurum içinde ilgili birime raporlama yapmalıdır. Bu kişinin iç denetimin organizasyonel statüsünü güçlendirecek, şirketin kaynaklarına sınırsız ulaşımını destekleyecek fakat iç denetimin bağımsızlığını zayıflatmayacak bir konumda olması gerekmektedir.
Yönetim kadrolarındaki kişilerin faaliyetlerini ölçümlemek ve tavsiyelerde bulunmak gerginlik yaratabileceği gibi bu taraflarca profesyonelce ele alındığı takdirde sağlıklı da olabilir. İç Denetim personelinin kendi maaş, ikramiye, diğer özlük hakları ile kariyer planları, bağımsız, tarafsız ve objektif bir şekilde gerçekleştirdiği faaliyetlerin sonuçlarından etkilenmeyecek şekilde organizasyonel bir bağlılık oluşturulmalıdır. Kurum içinde, iç denetim faaliyetinin sorumluluklarını yerine getirmesine imkan sağlayan bir yönetim kademesine bağlı olması gerekir. Bu noktada da Uluslararası Standartlarda da belirtildiği üzere ikili bir bağlılık söz konusu olacaktır. Bu nedenle iç denetim yöneticisi, işlevsel olarak Denetim Komitesi ve Yönetim Kuruluna, idari olarak ise işletmenin İcra Kurulu Başkanı’na bağlı ve sorumlu olmalıdır.
İç denetim yönetmeliği, iç denetim planının ve bütçesinin onaylanması, iç denetim yöneticisinin atanması, performansının değerlendirilmesi, görevden alınması, ücret ve özlük haklarının onaylanması gibi konular işlevsel, günlük iş ve işlemleri kolaylaştıran ilişkiler ise idari bağlılığı oluşturmaktadır.
RİSK YÖNETİMİ ODAKLI İÇ DENETİM YAKLAŞIMI NEDİR? ÜÇLÜ SAVUNMA HATTI NEDİR?
İşletmelerde yürütülen risk odaklı iç denetim yaklaşımının temelinde, işletmelerin amaçlarına ulaşmak için gerçekleştirdikleri faaliyetler esnasında öngörülen risk iştahlarının üzerinde karşı karşıya kalınan veya kalınabilecek risklerin tespit edilmesi ve önlem alınması vardır. Burada belirlenmesi gereken öncelikli husus risk iştahıdır. Söz konusu risk iştahının seviyesi gerçekleştirilecek iç denetim faaliyetlerinin kapsamı konusunda da belirleyici olacaktır. Fayda- maliyet açısından yapılacak bir değerlendirme, hangi seviyede bir risk için hangi düzeyde bir kontrolün tanımlanacağı ve riske nasıl karşılık verileceğidir.
Üçlü Savunma Hattı (The Three Lines of Defense) modeli kurumsal yönetişim faaliyetlerinin sağlıklı, etkili ve etkin yürütülmesi bakımından iç kontrol mekanizmalarının (yönetişim, iç kontrol, risk yönetimi ve iç denetim) önemine vurgu yapmaktadır.
Birinci Savunma Hattı: Yönetim kontrolleri ve iç kontroller. Birinci savunma hattını riskleri üstlenen ve yöneten operasyonel birimler oluşturur. Bu birimler günlük olarak risk ve kontrol prosedürlerini uygulamaktan ve iç kontrollerin etkinliğinin idame ettirilmesinden sorumludurlar. İç kontroller, operasyonel yönetim birimlerinin gözetiminde, sistemler ve süreçler içerisinde tasarlandığı için, doğal olarak ilk savunma hattında bu birimler yer alırlar.
İkinci Savunma Hattı: Risk Yönetimi ve uyum birimleri (finansal, kontrol, güvenlik, risk yönetimi, kalite, uyum vb.) dir. Birinci savunma hattında yer alan kontrollerin oluşturulmasına ve izlenmesine yardımcı olmak amacıyla oluşturulan birimlerdir. Örneğin ikinci savunma hattında yer alan risk yönetimi birimi; etkili risk yönetimi uygulamalarını hayata geçirmesi için operasyonel yönetim birimlerini izleyen, yönlendiren ve kurum içerisinde risk yönetimine ilişkin bilgilerin raporlanmasına yardımcı olan bir birimdir.
Üçüncü Savunma Hattı: İç Denetim. İç denetim, birinci ve ikinci savunma hatlarının risk yönetimi ve kontrol hedeflerine ulaşıp ulaşamadıkları konusunda, üst yönetim ve yönetim kuruluna güvence sağlar.