90’lı yılların başı, meslekteki ilk yıllar...

“Denetçi ne iş yapar?” Sorusunun cevabını ailelerimize bile zor anlattığımız zamanlar. Rahmetli annem “komşular soruyor ne iş yapıyor” dediğinde; ben de en kestirme yoldan cevaplamış, “müfettiş” dersin onu da anlamazlarsa “murakıp” dersin demiştim. Hala daha çok işe yaradığını düşünmüyorum bu cevabın ta ki son 10 yıla kadar. Artık, şirketlerde “iç denetim” birimleri, “denetim” mesleği ile ilgili meslek kuruluşları kurulmaya ve aktif olarak çalışmaya başladı. En azından “Denetçi ne iş yapar?” sorusu artık cevap buldu…

Şimdilerde, sorulan ve/veya sorulması gereken başka sorular var gündemde...

“Tam iç denetimi anlamıştık, bir de iç kontrol çıktı başımıza!” diyor birçok şirket sahibi ve iş dünyası profesyoneli. Çoğu zaman da farkı anlayıp netleştirmeye çalışmadan, kolaya kaçıp aynı kefede aynı iş gibi tanımlıyorlar. Hal böyle olunca, her ikisinin de gücü azalıyor ve potansiyel verimleri, katma değerleri düşüyor maalesef. Bu nedenle, bu 2 önemli kavram arasındaki farkı netleştirmeyi, kıdemli bir denetim profesyoneli olarak görev biliyorum...

Hadi başlayalım...

Yine 90’lı yıllara, yani denetim işinin sadece “denetim” olarak yapıldığı yıllara gidersek, o yıllarda yoğun olarak mali denetim yapar, muhasebenin yazılı hale gelmiş ulusal ve uluslararası standart kuralları olduğu için, bu kurallara uyulup uyulmadığının denetimini yapar, raporlarını yazardık.

Zamanla, bu mali sonuçların süreçlerden kaynaklandığını fark edip süreç denetimlerine başladığımızda ise elimizdeki tek yazılı hale gelmiş standartlar, şirketlerin yönetmelik ve prosedürleri oldu.

Genellikle şirket İK birimlerinin yayın ve takip sorumluluğunda olan bu yazılı kuralların doğruluğu, uygulanabilirliği ve güncelliği ise her zaman sorgulanır haldeydi. Zira, değil İK birimleri, şirketin diğer birimleri bile hangi işi nasıl, neden ve ne şekilde yaptığını bilemez haldeydiler. Bilenler de yazıya dökemezdi zaten. Şaka bir yana, hala daha sıkıntılı bir süreç olduğunu söylemek yanlış olmaz.

2000’li yılların ilk çeyreğini geçtiğimiz bugünlerde, sayılabilecek birçok neden ile “süreçler” daha da ön plana çıktı.

• Yazılım altyapısının gelişimi ile şirketlerde olmazsa olmaz hale gelen ERP uygulamalarına geçiş trendi.
• ERP’ye geçerken tüm süreçlerin tanımlanması ve elden geçmesi gereği.
• Personel performansının ölçümünde kullanılan KPI’lar belirlenirken, ilgili süreç tanımlarının netleşmesi gerekliliği.
• Özellikle işletme, endüstri vb mühendis eğitimli çalışanların iş hayatında daha aktif olmaları.
• Vb. buna yakın birçok neden sayılabilir...

Tüm bu nedenlerin bir araya gelmesi ile birlikte, denetim hayatında ilk defa “kontrol/iç kontrol” kelimeleri konuşulmaya başlandı. Şirketler; mevcut bağımsız denetim ve/veya iç denetim raporlarında işletmelerin “yönetim performansı” na dair daha fazla şey görmek istediler. İşletmenin genel yönetiminde, muhasebe vb süreçlerdeki gibi bir genel standart olmadığı için, tüm birimler bu genel yönetim standartlarının oluşumuna katkı vermeye başladı. Eski yönetmelik ve prosedürlerden daha net ve uygulanabilir iş akışları çizildi ve iş süreçleri netleştirildi. İşte tam da bu noktada, ERP disiplininin de katkısıyla, süreçlerin doğru işlemesini sağlayan (teminat altına alan) iç kontrol noktaları da konulmaya başlandı. Bazen bir belgenin üretilmesi bazen bir onay süreci derken her süreçte “iç kontrol” noktaları da belirlenmiş oldu. En azından beklenti buydu ve böyle de devam ediyor.

Her 2 dönemi de yaşadıktan sonra, sıra şimdi bu “iç kontrol” işini kimin yapacağını netleştirmekteydi...

Öncelikle, bu iş; ilk zamanlardaki yönetmelik, prosedür yayın, takip vb işler gibi şirketin İK birimine bırakılamayacak derecede, derin uzmanlık isteyen bir konuydu. Bu işi yapacak profesyoneller hem işletmenin tüm sürecine hâkim olacak hem de tüm süreci alt süreçleri ile birlikte eksiksiz bir şekilde tanımlayabilecek, yüksek bir eğitim ve deneyim altyapısına sahip olmalıydı.

Bugün adı “iç kontrol” olarak konmuş olsa da, bu kalifiyedeki profesyonelleri bulmak hala daha çok zor olmaktadır. Yaşanan gerçek, deneyimli iç denetim profesyonellerinin bu pozisyonlara geçmekte olduğudur ki; bu durum “iç kontrol” ve “iç denetim” arasındaki anlam kargaşasını daha da tetiklemektedir.

Danışan şirketlere naçizane tavsiyem; tecrübeli denetçileri alıp iç kontrole kotarmaktansa, süreçleri iyi bilen deneyimli personellerini “iç denetim” eğitimlerinden geçirip, gerçek bir “iç kontrol profesyoneli” yapmalarıdır.

Gelecekten umudumuz, aynen diğer fonksiyonlarda olduğu gibi, bu iki disiplinin de birbirlerinden net olarak ayrılması ve şirket organizasyonlarında ayrı ayrı konumlandırılmalarıdır.

Şimdi gelelim asıl soruya; İç Denetim ile İç Kontrol aynı şeyi mi ifade eder?

Cevap; kesinlikle ve tabii ki hayır!

Bu sadece; denetim ve kontrol kelimelerinin güzel türkçemizdeki yakın anlam birliğinin de büyük ölçüde desteklediği mesleki bir kavram kargaşası.

İngilizcedeki anlamları “audit/gözetim, denetim” ve “control/test etmek, kontrol” ayrım konusunda biraz daha yardımcı olabiliyor ama o da bir yere kadar...

En kesin hatlarıyla tanımlayacak olursak;

• İç Kontrol başlı başına bir süreç,
• İç Denetim ise tamamen bağımsız ve tarafsız bir faaliyettir.

Bu net ayrımdan hareketle çok rahat söylenebilir ki; bu 2 kavram birbirlerinin ne ikamesi ne de rakibi olabilir. Bir başka denetim profesyoneli (İlker DİVLİ) dostumun deyimiyle aynı masadaki 2 ayrı sandalye olabilirler, en basit tanımla. Aynı masaya hizmet ederler ama masaya katkıları kadar çalışma şekilleri de çok farklıdır.

Herşeyden önce, her ikisinin de sorumluluğu Yönetim Kurulu’na karşıdır.

• İç Kontrol, şirketin tüm süreçlerinde olması gereken iç kontrol noktalarını belirleyip güncel halde tutarken,
• İç Denetim de yine şirket yönetiminin 1. dereceden sorumlusu Yönetim Kurulu adına süreçlerin ve süreçlerdeki iç kontrol noktaların işlerliğini kontrol edip raporlar.

Ortak hedef, şirketin sağlıklı sürdürülebilirliğini sağlamaktır ki; bu da Yönetim Kurulu’nun net olarak tanımlanmış, başlıca görev ve sorumluluğudur.

Kanunlar, yazılı/sözlü tüm teamüller Yönetim Kurulu’nu bu konuda 1.derecede sorumlu tutarken, Yönetim Kurulu’nun elinde böyle 2 farklı ama birbirini tamamlayan fonksiyonun var oluşu, sürdürülebilirlik açısından ciddi bir kazançtır.

• İç kontrol, Yönetim Kurulu adına şirketin/işletmenin nasıl yönetileceğini tasarlarken,
• İç denetim, bu tasarımın doğruluğunu ve işlerliğini teyid eder, bu konuda Yönetim Kurulu’na güvence verir.

Yönetim Kurulu’nun asıl becerisi; bu 2 güçlü kaynağı, tüm imkânlarıyla ve dengeli bir şekilde desteklemek ve şirket adına doğru işler yapmaya teşvik etmektir. Bu nedenle, iç kontrolden gelen süreç revizelerine öncelikle onay vermeli, iç denetimden gelen iyileştirme konulu tespitlerin de gereğini en kısa zamanda yerine getirilmesini sağlamalıdır.

Başlıktaki soruya gelirsek, kimse kimseyi dövmez, dövemez. Teşbihte hata olmaz derler ama, bu iki kardeş birbirlerini dövmedikleri gibi, şirketlerin sürdürülebilirlikleri yolunda kendilerine engel olmaya çalışanlara da dünyayı dar ederler...

En azından, temennimiz bu yöndedir. Çünkü, şirketler kutsaldır.

Sevgiyle kalın.