CACHEID=5f483aa2-5381-45df-b9f6-8b74eb76e316;haftalık para ve banka istatistikleri

İÇ DENETİM
Kavramsal Çerçeve
Yapılanma Biçimi
Hazırlayan
M. Aykut KELECİOĞLU
Ağustos 2014
1
1. İÇ DENETİM NEDİR?
Uluslararası İç Denetçiler Enstitüsü’nün (The Institute of Internal Auditors-IIA) Haziran
1999’da kabul etmiş olduğu tanıma göre; "İç denetim, bir kurumun faaliyetlerini geliştirmek ve
onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık
faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkinliğini
değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek
kurumun amaçlarına ulaşmasına yardımcı olur.”
İç denetimin işletme organizasyonu içindeki konumunu değerlendirdiğimizde; İç
denetim, bir organizasyon yapısı içinde bağımsız bir değerlendirme fonksiyonu için kurulan ve
kurumun faaliyetlerini kontrol ve değerlendirme hizmetlerini sunan bir birimdir. Bu açıdan
bakıldığında iç denetim; organizasyon içinde bağımsız olarak kurulan ve işletme faaliyetlerini
bağımsızca inceleyen, analiz eden ve değerlendiren bir fonksiyondur. İç denetimin amacı
gözden geçirilen faaliyetlerle ilgili nesnel analizler, değerlendirmeler, tavsiyeler ve yorumlar
yaparak yönetimin tüm üyelerine sorumluluklarını etkili bir biçimde yerine getirmede yardımcı
olmaktır. İç denetim yönetsel bir kontroldür; diğer kontrollerin etkinliğini ölçer ve
değerlendirir. İç denetim yönetim hedeflerinin gerçekleşme yolunda olduğu konusunda yeterli
güvence sağlamada yararlanılan bir yönetim aracıdır. Bu nedenle iç denetim yapısının
yeterliliğinden ve etkinliğinden yönetim sorumludur.
Diğer bir açıdan iç denetim mali nitelikteki faaliyetler ile mali nitelikte olmayan
faaliyetlerin gözden geçirilerek değerlemesinin yapıldığı bir denetim türüdür. İç denetim
işletmedeki kontrollerin etkinliğini ölçmeyi ve bu kontrolleri değerlemeyi hedef alır. Bu açıdan
çok önemli bir yönetim kontrol aracıdır. İç denetim üst yönetim için aynı zamanda
müşavirlik/danışmanlık hizmeti de vermekte ve yönetimin bilgiye dayanan kararlar almasını
sağlamaktadır. İç denetim raporlarında faaliyetlerin etkinliği ve verimliliği araştırılarak bu
konuda yönetime tavsiyelerde bulunur.
Geleneksel anlamda iç denetim faaliyetlerinin hedefi her türlü riski bulmak ve ortadan
kaldırmaktır. Günümüzde ise iç denetim bireye ve hataya dayalı yaklaşımdan, organizasyona,
sürece ve sisteme odaklı bir yaklaşıma dönüşmektedir. Diğer bir ifadeyle işin doğru yapılıp
yapılmadığı yerine doğru işin yapılıp yapılmadığını irdeleyen bir yaklaşım gündemdedir.
Dünün işlem ve hata odaklı iç denetim yaklaşımı, bugün süreç odaklı, işin etkinliğinin
artırılmasına yönelik stratejik akıl ortaklığına doğru değişim ve gelişim göstermiştir.
İşletmelerde iç denetim; risk ve kontrol değerleme faaliyetlerine destek sağlar, işletme
faaliyetlerini izler, faaliyetlere ilişkin risk ve kontrol faaliyetleri ile ilgili önerilerde bulunur,
kontrollerin uygunluğunu ve etkinliğini test eder. İç Denetim faaliyetinin çok yönlü kapsamı;
mali denetim, uygunluk denetimi, operasyonel denetim ve bilgi sistemleri denetimi gibi çeşitli
denetim faaliyetlerini içerir.
Olumsuz ekonomik koşulların hüküm sürdüğü kriz dönemlerinde iç denetçilerin rol ve
sorumlulukları daha da önem kazanmaktadır. Ekonomik krizin şirketleri olumsuz etkilediği bu
zor dönemlerde iç denetçilerin şirkete yapacağı katkılar, alınan önlemlerin uzun vadede başarı
sağlaması ve etkili olmasında yardımcı olacaktır. Ekonomik kriz dönemlerinde risk yönetiminin
önemi bir kat daha artmaktadır. Etkin bir risk yönetiminin yapılmamasının şirkete olan etkileri
kriz dönemlerinde katlanacaktır. İç denetçilerin asli görevlerinden biri risk yönetiminin
etkinliğini değerlendirmektir. İç denetçiler yönetim kurullarına risk yönetiminin etkinliğine
ilişkin güvence verirken, şirket yönetimine de bu konuda destek ve yardımcı olacaklar,
2
önerilerde bulunacaklardır. Kriz dönemlerinde stok, alacak, nakit ve borçlanma yönetimi gibi
konular ve bunlara ilişkin riskler ön plana çıkar. Denetim planında işletme sermayesi yönetimi,
kredi riski yönetim gibi konulara ağırlık verilmesi şirkete olan katkıyı arttıracaktır. Kriz
dönemlerinde verimlilik oldukça önem kazanır. Gelir arttırıcı unsurların değerlendirilmesi
yanında özellikle tasarruf eğilimi ön plana çıkar. Birçok şirket iş süreçlerini tekrar gözden
geçirerek verimlilik sağlayacak önlemleri alır. İç denetçiler, görevlerini ifa ederken şirketin iş
süreçlerini analiz eder ve değerlendirirler. Katma değer yaratmak için bu süreçleri zaman zaman
en iyi uygulamalar ile karşılaştırır, etkin risk yönetimini temin edecek, iç kontrol ortamını
güçlendirecek ve verimlilik sağlayacak önerilerde bulunurlar. Kriz dönemlerinde verimlilik
denetimlerine ağırlık verilmesi ve iç denetçilerin bağımsızlığı zedelemeyecek şekilde
verimliliğe yönelik projelerde yer alması sağlanmalıdır.
İç denetim tanımı incelendiğinde aslında iç denetim faaliyetinin temelde iki tane
fonksiyonunun olduğu görülmektedir.
1. Güvence sağlama
2. Danışmanlık
Güvence sağlama fonksiyonu aslında denetim faaliyetinin en klasik olarak
nitelendirilebilecek fonksiyonudur.
Uluslararası İç Denetim Standartlarına göre güvence hizmetleri; kurumun risk yönetimi,
kontrol ve yönetişim süreçlerine dair bağımsız bir değerlendirme sağlamak amacıyla delillerin
objektif bir şekilde incelenmesidir. Mali yapıya, performansa, mevzuat ve düzenlemelere
uyuma, bilgi sistemleri güvenliğine ve ihtimam denetimine (due diligence; ayrıntılı durum
tespit çalışması) yönelik görevler bu kapsamdaki örneklerdir.
İç denetimin güvence vermesinin anlamı, günlük icrai faaliyetlerden bağımsız olarak
idari sorumluluk almaksızın, kurumun amaç ve hedeflerinin gerçekleştirilmesi için oluşturulan
kurumsal yönetim, risk yönetimi ve kontrol sistemlerinin söz konusu amaç ve hedeflere
ulaşabilmek için yeterli, etkin ve verimli bir şekilde çalışıp çalışmadığının kanıtlara dayalı bir
şekilde değerlendirilmesi ve kurum içinde bu değerlendirmeye ihtiyaç duyan başta yönetim
kurulu ve üst düzey yöneticilere sunulmasıdır.
Danışmanlık fonksiyonu için ise şunları söylemek mümkündür. Geleneksel anlamda
iç denetim faaliyetlerinin hedefi her türlü riski bulmak ve ortadan kaldırmaktır. Başka bir ifade
ile iç denetim birimi işletme içerisinde faaliyetlerin önceden belirlenen standartlara, politikalara
ve hedeflere uygun bir şekilde yerine getirilip getirilmediğini kontrol eden bir birimdir. İç
denetim üst yönetim için aynı zamanda müşavirlik/danışmanlık hizmeti de vermekte ve
yönetimin bilgiye dayanan kararlar almasını sağlamaktadır. İç denetim raporlarında
faaliyetlerin etkinliği ve verimliliği araştırılarak bu konuda yönetime tavsiyelerde
bulunulur. Danışmanlık Hizmetleri; her hangi bir idarî sorumluluk üstlenmeden, bir kurumun
faaliyetlerini geliştirmek ve onlara değer katmak amacını güden, niteliği ve kapsamı denetlenen
ile birlikte kararlaştırılan istişarî faaliyetler ve bununla bağlantılı diğer hizmetlerdir. Usul ve
yol göstermek, tavsiyede bulunmak, işleri kolaylaştırmak ve eğitim vermek, bu kapsamdaki
faaliyet örnekleridir. Burada belirtildiği gibi danışmanlık hizmetlerinde herhangi bir idari
sorumluluk üstlenilmemesi son derece önemlidir. Danışmanlık fonksiyonu olmayan ve salt
güvence sağlamaya yönelik bir iç denetim dış denetim faaliyetinden farksız bir nitelik
kazanacak ve fonksiyon itibariyle zayıflayacaktır.
3
İç denetçiler, danışmanlık hizmetlerini normal veya rutin çalışmalarının bir parçası
olarak ya da kurum yönetiminin talepleri üzerine yürütebilir. Her kurum, yapılacak danışmanlık
faaliyetlerinin türünü göz önünde bulundurmalı ve her tür için ayrı bir politika veya prosedür
gerekip gerekmediğinin kararını vermelidir. Muhtemel görev sınıflamaları arasında şunlar
sayılabilir.
· Resmî danışmanlık görevleri: Planlanmış ve yazılı bir anlaşmaya tâbi olan görevler.
· Gayriresmî danışmanlık görevleri: Daimî komitelere katılmak, sınırlı süreli projeler,
belli bir proje veya amaca yönelik toplantılar ve olağan bilgi alışverişi gibi rutin
faaliyetler
· Özel danışmanlık görevleri: Bir birleşme ve devralma ekibine ya da sistem
dönüştürme ekibine katılmak
· Acil durum danışmanlık görevleri: Bir felâket veya olağanüstü nitelikte başka bir
olay sonrasında, faaliyetlerin sürdürülmesi veya toparlanması amacıyla kurulan bir
ekibe katılmak ya da özel bir talebi karşılamaya veya acil bir işi yetiştirmeye yardımcı
olmak için, geçici yardım vermek amacıyla kurulmuş bir ekibe katılmak.
Danışmanlık hizmetleri kurum yönetiminin talebi üzerine veya normal çalışmalarının
bir parçası olarak yerine getirilebilir. Danışmanlık fonksiyonunun yerine getirilmesi için çok
çeşitli yöntemler söz konusu olabilir. Bunlardan bazılarına aşağıda yer verilmeye çalışılmıştır.
. Şirket içindeki stratejilerin, politikaların veya uygulama usullerinin oluşturulması,
. Bu amaçla yapılan toplantılara katılmak veya görüş vererek katkı sağlamak,
· Strateji, politika ve uygulama usulleri ile ilgili hazırlanan yönetmelik, uygulama
talimatları vb. dokümanlara görüş vermek,
· İç denetim faaliyetinin gerçekleştirilmesi aşamasında, uygulayıcılara yapılan
yanlışlıklar ve yapılması gerekenler ile ilgili yol göstermek, tavsiyede bulunmak,
· İç denetim faaliyetinin gerçekleştirilmesi aşamasında, iş yapış yöntemlerinin
kolaylaştırılmasına yönelik önerilerde bulunmak,
· İletişimde olunan çalışanlar ile yapılan görüşmelerde dikkat edilmesi gereken hususlar
ve uyulması gereken kurallar ile ilgili hatırlatma ve bilgilendirmelerde bulunmak,
· Çalışanların tereddüt ettikleri hususlar ile ilgili danışmak amacıyla sorduğu soruları
cevaplamak,
· Çalışanlar arasında bilgi alışverişi sağlamak,
· Kurum personeli için gerekli olan, konusuyla ilgili çeşitli eğitim programları
düzenlemek ve eğitimler vermek,
4
· Daimi veya geçici yönetim komitelerine dahil olarak görüş bildirmek,
· Amaca yönelik toplantılara katılmak ve görüş bildirmek,
· Kurum içi sınırlı süreli veya belirli projelere katılmak, proje ekiplerinde yer alarak,
gerçekleştirilen proje adımlarına ilişkin görüş vermek,
· Sistem dönüşümlerine yönelik proje ekibi içinde yer almak,
· Birleşme veya devir almalarda, bu amaçla oluşturulan ekipler içinde yer almak,
· Bir felaket veya olağanüstü nitelikteki olaydan sonra oluşturulan acil durum ekipleri
içinde yer almak,
· Özel bir talebi karşılamak amacıyla oluşturulan ekiplere katılmak,
· Acil
bir
işi
yetiştirmek
amacıyla
kurulan
gecici
ekiplere
katılmak.
İç denetim tanımından ve anlamından yola çıkarak, iç denetim üzerinde değinilmesi
gereken önemli konulardan birisi de iç denetim birimlerinin bağımsızlığı ve objektifliğidir.
01.01.2013’den itibaren geçerli Uluslararası İç Denetim Standartları’nın “Nitelik
Standartları bölümünde aşağıdaki açıklamalara yer verilmiştir.
1100 – Bağımsızlık ve Objektiflik
İç denetim faaliyeti bağımsız olmak zorundadır ve iç denetçiler görevlerini yaparken objektif davranmak
zorundadır.
Yorum:
Bağımsızlık, iç denetim faaliyetinin sorumluluklarını tarafsız olarak yerine getirme kabiliyetini tehdit eden
şartlardan uzak olmak demektir. İç denetim faaliyetinin sorumluluğunu etkili bir şekilde yerine getirmek için
gerekli olan bağımsızlık mertebesine erişmek amacıyla iç denetim yöneticisi üst seviye yönetime ve yönetim
kuruluna doğrudan ve sınırsız bir şekilde ulaşma imkânına sahiptir. Bu durum, çifte raporlama ilişkisi
vasıtasıyla elde edilebilir. Bağımsızlığa yönelik tehditler, denetçi, görev, fonksiyon ve kurum seviyelerinde ele
alınmak zorundadır.
Objektiflik (nesnellik), iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir şekilde
inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri şekilde yapmalarını sağlayan tarafsız
bir zihinsel tutumdur. Objektiflik, iç denetçilerin, denetim konularına ilişkin karar ve yargılarını
başkalarınınkilere bağlamamalarını gerektirir. Objektifliğe yönelik tehditler, denetçi, görev, fonksiyon ve
kurum seviyelerinde ele alınmak zorundadır.
1110 – Kurum İçi Bağımsızlık
İç Denetim Yöneticisi, kurum içinde, iç denetim faaliyetinin sorumluluklarını yerine getirmesine imkân
sağlayan bir yönetim kademesine bağlı olmak zorundadır. İç Denetim Yöneticisi, en az yılda bir, yönetim
kuruluna iç denetim faaliyetinin kurum içi bağımsızlığını teyit etmek zorundadır.
Yorum:
5
Kurum içi bağımsızlık iç denetim yöneticisinin işlevsel olarak yönetim kuruluna raporlama yapmasıyla etkili
şekilde sağlanır. İşlevsel raporlama örnekleri, yönetim kurulunun;







İç denetim yönetmeliğini onaylaması,
Risk amaçlı iç denetim planını onaylaması,
İç denetim bütçe ve kaynak planlarını onaylaması,
İç denetim yöneticisinden iç denetim faaliyetinin plana ve diğer konulara göre başarımı
(performansı) hakkında bilgi alması,
İç denetim yöneticisini atama ve azletme kararlarını onaylaması,
İç denetim yöneticisinin ücretini onaylaması,
Yönetimle ve iç denetim yöneticisiyle, kapsam uygunsuzlukları ya da kaynak kısıtları olup olmadığı
hakkında görüşmeler yapmasıdır.
1110.A1 – İç denetim faaliyeti (birimi), iç denetimin kapsamının belirlenmesi, iç denetim işlerinin
yapılması ve sonuçların raporlanması konularında her türlü müdahaleden uzak ve serbest olmak
zorundadır.
1111 – Yönetim Kurulu ile Doğrudan Etkileşim
İç Denetim Yöneticisi Yönetim Kurulu ile doğrudan iletişim ve etkileşimde olmak zorundadır.
1120 – Bireysel Objektiflik
İç denetçiler, tarafsız ve önyargısız bir şekilde davranmak ve her türlü çıkar çatışmasından kaçınmak
zorundadır.
Yorum:
Menfaat çatışması, itimat gerektiren bir pozisyonda bulunan bir iç denetçinin rekabet halinde meslekî veya
kişisel çıkarlarının olması durumdur. Bu tarz birbirine rakip çıkarlar, iç denetçinin görevlerini tarafsız olarak
yerine getirmesini zorlaştırabilir. Menfaat çatışması, etiğe aykırı ya da uygunsuz hiçbir davranış vuku
bulmasa bile söz konusu olabilir. Menfaat çatışması, iç denetçiye, iç denetim faaliyetine ve iç denetim
mesleğine olan güven duygusuna zarar verebilecek bir uygunsuzluk görüntüsüne yol açabilir. Menfaat
çatışması, kişinin görev ve sorumluluklarını tarafsız bir şekilde yerine getirmesine zarar verebilir.
Kurum içerisinde iç denetimin bağımsızlığını tehdit eden çok sayıda unsur olabilir.
Yönetim Kurulunun iç denetim faaliyetleri konusunda ilgisinin yetersiz olması, iç denetimin
kurumsal yönetim sürecindeki yerinin belli olmaması, birim yöneticileri ve çalışanların iç
denetim faaliyetlerine direnç göstermeleri ve bu direncin aşılması için yönetim kurulu ve üst
yönetimce gereken önlemlerin alınmaması, risk yönetimi ve iç kontrol sistemleri konusunda
kurum içinde genel bir fikir birliğinin olmaması, denetim planına ve uygulanmasına müdahale
edilmesi gibi unsurlar iç denetim biriminin bağımsızlığını olumsuz etkileyen hususlardır.
Yönetim kurulunun aktif desteği olmaksızın iç denetim biriminin bu sorunları tek başına
çözmesi mümkün olmayıp yine tek başına çözmesi de dirençle karşılaşacağından doğru
değildir.
İç denetim birimlerinin bağımsızlıklarının sürdürülebilmesi için iki temel unsur vardır.
İlk husus başta İç Denetim Yöneticisi olmak üzere tüm iç denetçilerin bağımsızlıkların
önemini, yönetmelikleri ve standartlar paralelinde iyi kavramaları, ikinci önemli unsur ise
yönetim kurulu ve üst düzey yöneticilerin iç denetim biriminin bağımsızlığına “saygı
göstermesi” ve bu bağımsızlığı desteklediğini kurum içinde göstermesidir. Yeterince bağımsız
6
olmayan, etki ve yönlendirme altında bulunan, denetlediği alanlarla ilgili bilgilere erişimde
sorunlar yaşayan, kaynak temininde engellemelerle karşılaşılan bir iç denetim biriminin iç
denetim faaliyetinin tanımında yer alan diğer sorumluluklarını yerine getirmesini ve katma
değer sağlamasını beklemek doğru olmayacaktır. Bağımsızlığın sürdürülmesi başta iç denetim
yöneticilerinin sorumluluğunda olmakla birlikte; bunun sağlanması ve sürdürülmesi amacıyla
aksayan hususlar derhal yönetim kurulu veya üst yönetime bildirilmeli, söz konusu aksayan
hususların giderilmesinde üst yönetimin desteği sağlanmalıdır.
İç Denetim departmanları, iç denetim bölümünün başkanına örgütsel bağımsızlık
sağlayacak biçimde düzenlenmelidir. İç denetim standartları iç denetim bölümünün başkanının,
iç denetim eylemiyle ilgili sorumluluklarını hakkıyla yerine getirebilmesine izin verecek
biçimde yürüteceği bir düzeye rapor vermesini öngörmektedir.
İç Denetim Biriminin doğrudan yönetim kuruluna bağlı olması ve kurula veya denetim
komitesine raporlama yapması iç denetim biriminin bağımsızlığını kuvvetlendireceği gibi,
yönetim kurulunun etki bir risk yönetimi ve iç kontrol sistemine sahip olması yönündeki
sorumluluğunu da yerine getirmesine yardımcı olacaktır.
İç denetim biriminin fonksiyonel açıdan yönetim kuruluna bağlı olması ve ona
raporlama yapması, idari açıdan da genel müdür veya CEO’ya bağlı olması en doğrusu
olup IIA tarafından da önerilmektedir. İdari açıdan CEO’ya bağlılık, fonksiyonel açıdan
yönetim kuruluna bağlılık yerine geçmez. İdari açıdan bağlılık öncelikle kurum
idaresinden sorumlu en üst düzey yönetici olan genel müdür veya CEO’nun denetim
sonuçlarından haberdar olması, iç denetim faaliyetleri amacıyla iç kontrol sisteminin
işlerliği konusunda tarafsız bir değerlendirme alması, denetim bulgularına ilişkin ilgili
birimlerce alınacak önlemlerin alındığından
ve
iç denetim faaliyetlerinin
gerçekleştirilmesi için gerekli kaynakların ayrıldığından emin olunması anlamını taşır.
2. İÇ DENETİMİN KAPSAMI VE TÜRLERİ
İÇ DENETİMİN KAPSAMI
2.1.
Uluslararası İç Denetim Standartlarına göre;
2100 – İşin Niteliği
İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, yönetişim, risk yönetimi ve kontrol süreçlerini
değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak zorundadır.
İç denetimin tanımımda yer alan ve iç denetim faaliyetinin içeriğini oluşturan ana
unsurlar;
-
Risk yönetimi
Kontrol
Kurumsal yönetim
kavramlarıdır.
7
Bu bakış açısıyla iç denetimi fonksiyonel açıdan üçe bölmek mümkündür.
İç
Denetim
İç Kontrol
2.1.1.
Risk
Yönetimi
Kurumsal
Yönetim
KURUMSAL YÖNETİM (YÖNETİŞİM)
Uluslararası İç Denetim Standartları eki terimler sözlüğünde Kurumsal Yönetim
(Yönetişim); yönetim kurulu tarafından, kurumun amaçlarına ulaşmaya yönelik olarak,
kurumun faaliyetlerinin raporlanması, yönlendirilmesi ve izlenmesi amacıyla uygulanan yapı
ve süreçlerin bir bileşimidir.
Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda
bulunulmuştur.
2110 – Yönetişim/Kurumsal Yönetim
İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini değerlendirmek ve
iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
•
•
•
•
Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,
Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında
eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
2110.A1 – İç denetim faaliyeti, kurumun etikle ilgili amaç, program ve faaliyetlerinin tasarımını,
uygulanmasını ve etkinliğini değerlendirmek zorundadır.
2110.A2 – İç denetim faaliyeti, kurumun bilgi teknolojileri yönetişiminin kurumun strateji ve amaçlarını
destekleyip desteklemediğini değerlendirmek zorundadır.
Kurumsal yönetim, kurum faaliyetlerinin hedeflerinin belirlenmesi, hissedarlar,
yönetim kurulu ve yöneticiler arasındaki ilişkilerin, karşılıklı hak ve yükümlülüklerin net olarak
belirlenmesi, bu hedeflere ulaşmak için kurum faaliyetlerinin yönetilmesi ve kontrol edilmesi
için geliştirilen politika , süreçler ve yapının oluşturulması, bu yapı ve kurum faaliyetlerinin
gerçekleştirilmesine yönelik yönetim kurulunun güçlü bir gözetim sisteminin olmasıdır.
Bunlara ilave olarak; kurum hedeflerinin gerçekleştirilmesine tutarlı ve sorumlu yönetim ve
operasyonlar, etik kurallara bağlılık, hissedarların yanı sıra kurum çalışanları, müşteriler,
tedarikçiler, kamu otoriteleri gibi muhtelif hedef ve beklentileri olan paydaşların menfaatlerinin
8
etik kurallara uygun bir şekilde korunması kurumsal yönetim tanımının ortak özellikleri
arasındadır.
Türkiye, bir bütün olarak kurumsal yönetim ilkeleri ile ilk kez 2003 yılında Sermaye
Piyasası Kurulu’nun girişimiyle tanışmıştır. Bu tarihten 2011 yılına kadar, halka açık şirketlerce
“gönüllülük” esasına dayalı olarak uygulanması öngörülen kurumsal yönetim ilkelerine ilişkin
hukuki ve teknik altyapı oluşturulmuştur. 2011’de yapılan düzenleme ile borsada işlem gören
şirketlerden belli niteliğe haiz olanlar için kurumsal yönetim ilkelerine uyum zorunluluğu
getirilmiş, 2013 yılında ise halka açık anonim şirketlerin yanı sıra, kıyasen uygulanmak üzere
sermaye piyasası kurumlarını, borsaları, piyasa işleticilerini ve diğer teşkilatlandırılmış
piyasaları da kapsayacak şekilde Sermaye Piyasası Kuruluna kurumsal yönetim ilkelerini
uygulatma konusunda yetki verilmiştir.
Ülkemizde kurumsal yönetim kapsamındaki firmalar, Sermaye Piyasası Kurulu
tarafından yayımlanan “kurumsal yönetim ilkelerine” ve konu ile ilgili olarak yayımlanmış
tebliğlere uymak durumundadırlar.
2.1.2 RİSK YÖNETİMİ
Uluslararası iç denetim standartlarına göre; risk yönetimi kurumun amaçlarını
gerçekleştirmek üzere makul bir güvence sağlamak amacıyla potansiyel olay ve durumları
belirlemek, değerlendirmek, yönetmek ve kontrol etme sürecidir.
Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda
bulunulmuştur.
2120 – Risk Yönetimi
İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine katkıda
bulunmak zorundadır.
Yorum:
Risk yönetimi süreçlerinin etkin olduğuna karar vermek, iç denetçinin aşağıdaki konulardaki
değerlendirmelerinin doğurduğu bir yargıdır:




Kurumsal amaçlar, kurumun misyonunu destekliyor ve onunla aynı paraleldeyse,
Önemli riskler belirlenmiş ve değerlendirilmişse,
Riskleri kurumun risk iştahı ile aynı paralele getiren uygun risk cevapları seçildiyse,
Personelin, yönetimin, denetim komitesi ve yönetim kurulunun sorumluluklarını yerine getirmesine
yardımcı olan ilgili risk bilgisi elde edilip zamanında kurum genelinde yayımlandıysa.
İç denetim faaliyeti çeşitli görevleri süresince bu değerlendirmeyi desteklemek üzere bilgi toplayabilir. Bu
görevlerin sonuçları, birlikte gözden geçirilmeleri durumunda kurumun risk yönetim süreçlerinin ve bunların
etkililiğinin anlaşılmasını sağlar.
Risk yönetimi süreçleri, devam eden yönetim faaliyetleri veya ayrı değerlendirmeler veya bunların her ikisi
ile izlenir.
2120.A1 – İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim süreçlerinin, faaliyetlerinin
ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek zorundadır:
• Kurumun stratejik hedeflerine ulaşması,
9
•
•
•
•
Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
Faaliyetlerin ve programların etkinlik ve verimliliği,
Varlıkların korunması,
Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
2120.A2 – İç denetim faaliyeti, suiistimalin gerçekleşme ihtimalini ve kurumun suiistimal riskini nasıl
yönettiğini değerlendirmek zorundadır.
2120.C1 – İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla uyumlu şekilde riski ele almak
ve diğer önemli risklere karşı uyanık olmak zorundadır.
2120.C2 – İç denetçiler, danışmanlık görevlerinden elde ettikleri risk bilgilerini, kurumun risk yönetim
süreçlerini değerlendirmede kullanmak zorundadır.
2120.C3 – İç denetçiler, risk yönetim süreçlerini kurmada veya geliştirmede yönetime yardım ederken,
“riskleri gerçekte yönetmek suretiyle yönetim sorumluluğu almaktan‟ kaçınmak zorundadırlar.
Bütün firmalar hedeflerini gerçekleştirmek amacıyla tüm faaliyet ve operasyonlarında
gerek kendi organizasyon yapıları ile iç işleyişlerinden ve gerekse dış etkilerden kaynaklanan
muhtelif risklerle karşı karşıya kalmaktadırlar. Tüm bu risklerden doğabilecek zararların yok
edilmesi veya azaltılması için söz konusu risklerin sistematik risk yönetim süreci takip edilerek
kurumsal çapta yönetilmesi gerekmektedir. Risk yönetimi süreci ise, risklerin tanımlanması,
uygun bir şekilde ölçülmesi ve yönetilmesi adımlarını içermektedir.
Herhangi bir riskle karşı karşıya kalma ihtimali olmayan bir sektör ve iş kolunun olması
mümkün değildir. Bütün kurumlar, faaliyetlerine ve kurumun geleceğine yönelik olumsuz
sonuçlar doğurabilecek risklerin neler olduğunu ve bunlara karşı ne tür önlemler almaları
gerektiğini bilmek zorundadır.
TÜSİAD Risk Yönetimi Çalışma Grubu tarafından hazırlanan Kurumsal Risk Yönetimi
Rehberinde yer alan tanımına göre Kurumsal Risk Yönetimi; şirketi etkileyebilecek potansiyel
olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve
şirketin hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile
oluşturulmuş; şirketin yönetim kurulu, üst yönetimi ve tüm diğer çalışanları tarafından
etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik
bir süreçtir.
Kurumsal Risk Yönetiminin bir şirkete sağladığı başlıca faydalar; Sürdürülebilir
karlılık ve büyümenin sağlanması, gelir dalgalanmalarının minimize edilmesi, risk kararlarının
daha sağlıklı alınması, sürprizlere hazırlıklı olunması, stratejilerin ve alınan risklerin uyumlu
olması, fırsatların ve tehditlerin daha iyi tespit edilmesi, rekabet gücünün arttırılması, etkili
kaynak kullanımı, yasa ve düzenlemelere uyum, itibar ve güvenin korunması, kurumsal
yönetim kalitesinin sürekliliği, şirket değerinin yükselmesidir.
Konu ile ilgili olarak yeni TTK’da da düzenlenmeler yapılmış olup, bu düzenlemelere
aşağıda değinilecektir.
10
2.1.3 İÇ KONTROL
Kontrol, yönetimin, denetim kurulunun, yönetim kurulunun ve diğer uygun birimlerin
riski yönetmek ve belirlenen amaç ve hedeflere ulaşma ihtimalini artırmak amacıyla aldığı
tedbirlerdir. Yönetim, hedef ve amaçların gerçekleştirilmesine yönelik makul bir güvence
sağlamak için yeterli tedbirin alınmasını planlar, tertipler ve yönlendirir.
Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda
bulunulmuştur.
2130 – Kontrol
İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi teşvik etmek
suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır.
2130.A1 – İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde bulunan risklere
cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak değerlendirmek
zorundadır:
• Kurumun stratejik hedeflerine ulaşması,
• Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
• Faaliyetlerin ve programların etkinlik ve verimliliği,
• Varlıkların korunması,
• Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
2130.C1 – İç denetçiler, danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, kurumun kontrol
süreçlerini değerlendirmede kullanmak zorundadır.
COSO1 modelinde iç kontrolün tanımı şu şekildedir.
“İç kontrol, kurumun yönetim kurulu, üst yönetimi ve diğer personeli tarafından
etkilenen ve aşağıdaki hedeflerin yerine getirildiğine dair makul güvence sağlamak amacıyla
dizayn edilmiş kapsamlı bir süreçtir.
-
Operasyonların etkinliği ve verimliliği
Finansal raporların güvenilirliği
Yasa ve mevzuata uyum ”
İç kontrol sisteminin temel hedefi firmanın hedeflerinin gerçekleştirilmesidir.
Operasyonların etkinliği ve verimliliği, tüm operasyonel süreçlerin kurum aktiflerini,
maddi kaynaklarını ve kıymetlerini koruyacak ve muhafaza edecek şekilde etkin, verimli, düşük
maliyet ve performans ile kullanılmasını, üretim, satış, hizmet operasyonlarının etkin ve verimli
bir şekilde gerçekleştirilmesi ile karlılık hedeflerine ulaşılmasını kasteder. Finansal raporların
güvenilirliği, firma faaliyetlerine yönelik tüm dönemsel ve yıllık faaliyet raporlarında yer alan
verilerin ve açıklamaların doğruluğunun saptanmasını, mevzuata uyum ise gerek finansal
raporlama gerekse diğer tüm firma faaliyetlerinde tüm dış yasal yükümlülüklerin yerine
1
Committe of Sponsoring Organizations of the Treadway Commission (Treadway Komisyonu Sponsor
Organizyonlar Komitesi) : İç denetim ve iç kontrol uygulamalarına yön veren ve ana amacı finansal raporlamanın
kalitesini artırmak olan uluslararası kurum.
11
getirilmesi ile kurum içinde geliştirilen politika ve prosedürlere uyumlu olarak
göstermesini ifade etmektedir.
faaliyet
İç kontroller; şirket faaliyetlerinin etkin ve verimli olması, mali raporların güvenilir
üretilmesi, yasal mevzuata uygun yürütülmesi işlevlerinden ötürü önem taşımaktadır. İç
kontrol; standartlaşmış süreçler yardımıyla operasyonların etkinliğini ve verimliliğini arttırır.
Bir organizasyonda kontrollerin varlığı, süreçlerin standart tanımları, görev tanımları,
kuralların düzenlenmesi ve sonuç olarak işletme etkinliğinin ve verimliliğinin artırılmasında
katma değer yaratır. Aynı zamanda kontrol faaliyetleri aracılığıyla işletmenin var olan
varlıklarının korunmasını sağlar. Çünkü işletme büyüdükçe varlıklarını korumak sistemsel bir
sorun haline gelmektedir. İç kontrol; mali raporların güvenilirliğini sağlar. Mali tabloların
güvenilir olması yönetimin ticari kararlarda doğru kararlar alması, işletme içi herhangi bir
yolsuzluğun önlenmesi veya tespitinde yardımcı olur. İç kontrol; gerek işletme içi, gerekse
yasal düzenlemelerin getirdiği kurallara uygunluğun (uyumunun) sağlanmasında yardımcı
olur, güvence sağlar. Diğer bir ifadeyle iç kontrol sisteminin bir işletmede var olmamasının
olumsuz sonuçları; para ve mal kaybı, hatalı kararlar alınması, hile ve dolandırıcılıklarla karşı
karşıya kalınması, gelir kaybı ve amaçlara ulaşılamamasıdır. Bu işlevsel özellikleri nedeniyle
iç kontroller; şirket varlıklarının korunması, kaynak ve gelir kayıplarının önlenmesi, doğru ve
amaca ulaştıran kararlar alınması, hile ve dolandırıcılıkların önlenmesi, tespit edilmesi için
şirket yönetimine yardımcı olur. Kısaca özetlemek gerekirse; iç kontrol, süreç ve iş akışları
içine yerleştirilen, kişilerden etkilenen, şirketin amaçlarına ulaşmasında kullanılan bir araçtır.
Makul ölçüde güvenilirlik sağlar. Bu özellikleri ile iç kontrol şirket yönetiminin
sorumluluğundadır.
İç kontrol sisteminin ilk hedefi “mali ve operasyonel bilgilerin doğruluğunun”
saptanmasıdır. Bir kurumda doğru karar alınabilmesi “doğru ve tam bilgiye” bağlıdır. Kurum
içersinde üretilen ve kurumun tüm faaliyetlerine yönelik her türlü finansal ve operasyonel bilgi
ve bu bilgilerle hazırlanan faaliyet raporları ile finansal raporlar kurumun geleceğine yönelik
karar almasına temel teşkil edecektir.
İç kontrolün diğer önemli hedefi, kurum operasyonlarının etkinliği ve verimliliğidir.
Bu hedefe ise, söz konusu hedefe ulaşmayı engelleyen risklerin giderilmesiyle ulaşılabilecektir.
Bunun yolu da iç kontrolden geçmektedir.
Kurum kaynaklarının korunması iç kontrol değerlendirmelerinin bir parçası olarak iç
denetimin değerlendirmesi gereken en önemli konular arasında bulunmaktadır. Kurum
kaynakları, insan kaynağı, finansal kaynaklar, her türlü maddi kaynaklar, bina ve tesisler gibi
maddi varlıklar olabileceği gibi, imaj, itibar, telif hakkı gibi maddi olmayan varlıkları da içerir.
İç kontrol kavramı içerisinde yer alan mevzuata uyum konusu, geleneksel denetim
faaliyetlerinde ağırlıklı yöntem olarak kullanılan “mevzuata uyum” denetimlerini de içermekte,
ancak bunu sadece işlemlerin mevzuata uyumunun denetimi ile sınırlı tutmamakta, bunun yanı
sıra kurum çapında mevzuata uyum programlarının geliştirilmesine yardımcı olmak, kurumun
mevzuata uygun işlem yapılmasını sağlamak amacıyla kurduğu uygunluk sisteminin de ne
ölçüde etkin çalıştığını değerlendirmek ve mevzuata uygun faaliyette bulunulmasını
engelleyebilecek risklerin oluşmadan önlenmesine yönelik öneriler geliştirmek yoluyla daha
proaktif yöntemleri de içermektedir.
12
2.2. İÇ DENETİMİN TÜRLERİ
Uluslararası İç Denetim Standartlarına uygun olarak iç denetim türlerini 5’e ayırmak
mümkündür.
1. Finansal Denetimler: Finansal tabloların mevcudiyeti veya hazırlanması, bütünlüğü
veya tamlığı, finansal tablolarda yer alan haklar veya yükümlülükler, finansal tabloların
sunumu ve açıklanması süreçlerinin başarılı olup olmadığı konularında güvence sunmayı
hedefleyen ve söz konusu süreçlerden bir veya birkaç tanesini aynı anda kapsayan denetim
faaliyetleridir.
2. Kontrol Güvence Denetimleri: Operasyonel, finansal veya mevzuata uygunluk
alanlarına ilişkin önemli kontrol faaliyetlerinin dizaynı ve işlerliğine yönelik sunulan güvence
hizmetidir.
3. Mevzuata Uygunluk Denetimleri: Kurum tüm iş ve işlemlerinin; gerek kurum içi
“iç mevzuata” gerekse kurum dışı kurumu ilgilendiren “dış mevzuata” uyumunun kontrol
edilmesidir.
4. Bilgi Teknolojileri Denetimi: BT denetimi, kurumun tüm teknolojik altyapısının,
donanım, yazılım, güvenlik ve bilgiye erişim konularının belli prensipler doğrultusunda
sistematik bir şekilde denetime tabi tutulmasıdır.
5. Operasyonel Denetimler: Kurumların aktiflerinin olası herhangi bir zarar ve kayıp
riskine karşı korunması, performans ve karlılık hedeflerinin gerçekleştirilmesini de içerecek
şekilde kurumların her türlü operasyonlarının etkinliğine ve verimliliğine yönelik güvence
hizmeti sunulmasıdır.
3.
YENİ TÜRK TİCARET KANUNU ANLAMINDA İÇ DENETİM
Yeni TTK, firmaların sahip olması gereken iç kontrol sistemleri konusunda açık bir
düzenleme getirmemekte, şirketlerde etkin bir iç kontrol sisteminin varlığı açıkça şart olarak
aranmamakta, etkin bir iç kontrol sisteminin varlığı konusunda yönetim kurullarına her hangi
bir görev yüklememektedir.
Ancak doğrudan olmamakla birlikte iç kontrol sistemine yönelik zımni de olsa bazı
atıfların bulunduğunu söylemek mümkündür. Kanunun gerekçesinde kurumsal yönetim
prensiplerine ve bir bütün olarak iç kontrol sistemine verdiği önemi, risk yönetimini yasal
olarak düzenlemeyi uygun görmek suretiyle dolaylı yoldan gösterdiği varsayılabilir. Her ne
kadar ne yasada ne de gerekçesinde risk yönetiminin nasıl yapılacağı ve iç kontrol sistemi ile
arasındaki fonksiyonel bağlantı konularında bir açıklama yer almamakla birlikte, risk
yönetiminin gerçekleştirilmesi için iç kontrol sisteminin varlığı bir gereklilik olmaktadır.
Yeni TTK’nun, 366. maddesinin ikinci fıkrası, yönetim kurulunun işlerin gidişini
izlemek, kendisine sunulacak konularda rapor hazırlamak, kararlarını uygulatmak veya iç
denetim amacıyla içlerinde yönetim kurulu üyelerinin de bulunabileceği komiteler ve
komisyonlar kurulabileceğini hükme bağlamıştır.
Yönetim kurulu ile ilgili söz konusu madde hükmüne ilişkin kanunun gerekçelerinde
herhangi bir açıklama yer almamaktadır. Ancak, kanunun 366. madde hükümlerinde yer alan
ifadeler kurumsal yapılarda ihtiyaç duyulan hususlar olup, iç denetim faaliyeti ve denetim
komitesi uygulamalarının sermaye şirketlerinde gerekli hale geleceğini öngörebiliriz.
13
Kanunun 375. maddesinin 1/c fıkrasında; “Muhasebe, finans denetimi ve şirketin
yönetiminin gerektirdiği ölçüde, finansal plânlama için gerekli düzenin kurulması” yönetim
kurulunun devredilemez ve vazgeçilemez yetkileri arasında yer almaktadır. Bu hükmün
gerekçesine baktığımızda ise; finans denetimi ile iç denetimin kastedildiğini görüyoruz.
Kanunun gerekçesinde; finans denetim düzeninin kurulması, şirketin iş ve işlemlerinin
denetlenmesine ilişkin bir iç denetim sisteminin ve bunu yapacak örgütün (bölümün) bulunması
öngörülmektedir. Kanunun söz konusu gerekçesinde bahsedilen iç denetim sistemiyle “iç
kontrol” sistemi, bunu yapacak örgüt olarak ise “iç denetim” birimi anlaşılmalıdır.
Yine kanun gerekçesinde; şirket hangi büyüklükte olursa olsun, muhasebeden tamamen
bağımsız, uzmanlardan oluşan, etkin bir iç denetim örgütüne gereksinim olduğu, bir anonim
şirketin denetiminin sadece bir bağımsız denetim şirketine bırakılamayacağı, çünkü bağımsız
denetim şirketinin çok sayıda müşterisinin olduğu ve çok çeşitli hizmetler sunduğu ve tüm
müşterilerini içerden ve yakından izleyemeyeceği, finansal denetimin bir anlamda teftiş
kurulunun yaptığı denetim olduğu, finansal denetimin şirketin iş ve işlemlerinin iç denetimi
yanında, finansal kaynakların, bunların kullanılma şeklinin, durumunun, likiditesinin denetimi
ve izlenmesini de içerdiği ve finansal denetimin kurumsal yönetim kurallarının gereği olduğu
belirtilmiştir.
375. maddenin (e) fıkrasında ise “Yönetimle görevli kişilerin özellikle kanunlara, esas
sözleşmeye, iç yönergelere ve yönetim kurulunun yazılı talimatlarına uygun hareket edip
etmediklerinin üst gözetiminin” de yönetim kurulunun devredilemez yetki ve görevleri
arasında olduğu belirtilmektedir. (c) fıkrasında sadece finansal denetim kapsamında dar
anlamda ele alınan yönetim kurulunun denetim sorumluluğunun bu fıkra ile daha geniş bir
uygulama alanı bulacağı açıktır. Ancak, kanunun ilgili (e) bendi gerekçelerinde üst gözetim ile
kastedilenin hem kuramsal açıdan hem de işletme iktisadı yönünden gerekli olan işlerin akışının
gözetimi olduğu belirtilirken, yönetim kurulunun bir kontrol ve denetim organı olmadığı da
söylenmektedir. Yönetim kurulunun şirketin işletim ve yönetimi açısından geniş bir alana
yayılan (insan kaynakları, satış, satın alma, üretim, planlama vb.) bir çok süreci kendisinin
doğrudan kontrol ve denetimini sağlayamayacağı anlaşılmakla birlikte bu süreçlerin
yönetiminden
doğan
sonuçlardan
sorumluluğunun
devam
edeceği
açıktır.
Yönetim kurulunun devredilemez ve vazgeçilemez görev ve yetkilerini düzenleyen
kanunun 375. madde hükümleri ve gerekçelerinden de anlaşılacağı üzere; tüm sermaye
şirketleri için iç denetimin gerekli olduğu açık bir şekilde ifade edilmektedir. Yeni Türk Ticaret
Kanunu ile birlikte şirket yönetim kurullarının, tanımına uygun modern ve etkili bir iç denetim
fonksiyonu için uluslararası standartlarda bir iç denetim faaliyetini başlatabilmeleri için ise
uygulamanın ikincil düzenlemelerle yönlendirilmesine ihtiyaç bulunmaktadır.
TTK’nun 378. Maddesinde “pay senetleri borsada işlem gören şirketlerde, yönetim
kurulu, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi,
bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman
bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. Diğer şirketlerde bu
komite, denetçinin gerekli görüp bunu yönetim kuruluna yazılı olarak bildirmesi halinde
derhal kurulur ve ilk raporunu kurulmasını izleyen bir ayın sonunda verir” hükmü yer
almaktadır.
Madde gerekçesinde ise “Hüküm, hisse senetleri borsada işlem gören şirketlerde
kurumsal yönetim ilkelerinin bir uygulamasıdır. Tüm şirketler için öngörülmüş olan finans
14
denetimi (375. Madde) ve denetim komitesi yanında bir diğer iç kontrol mekanizmasıdır. Bu
komitenin denetim komitesinden farkı, denetim komitesinin yönetimi gözetim altında tutmasına
karşılık bu komitenin sadece risklere odaklanmış olmasıdır. Denetçinin bir diğer önemli görevi
de gereklilik ortaya çıktığı takdirde komitenin kurulması, hisse senetleri borsada işlem
görmeyen bir şirketten de istemesidir.” Açıklamalarına yer verilmiştir.
6102 sayılı TTK’nun 1529. Maddesinde kurumsal yönetim ilkeleri ayrı bir halinde
düzenlenmiş ve “halka açık anonim şirketlerde kurumsal yönetim ilkelerinin, yönetim
kurulunun buna ilişkin açıklamalarının esasları ve şirketlerin bu yönden derecelendirme kural
ve sonuçları Sermaye Piyasası Kurulu tarafından belirlenir” denilmiştir.
3.1.
DENETİM KOMİTESİ
Birçok kurumsal yönetim prensibinde yönetim kurullarının belli sorumluluklarını yerine
getirmesinde yardımcı olmak amacıyla, nihai sorumluluk yönetim kurulunda kalmak üzere,
bağımsız yönetim kurulu üyeleri arasından seçilerek oluşturulacak komitelere yer
verilmektedir. Bu komitelerin en önemlileri arasında denetim komitesi yer alır.
Denetim komitelerinin en önemli sorumlulukları firmaların finansal tablolarının
doğruluğu, tamlığı ve güvenilirliğinin sağlanması, firmanın finansal raporlama ve muhasebe
kayıt sistemleri de dahil olmak üzere etkin ve işleyen bir iç kontrol sistemine sahip olması ve
sürdürülmesidir. Denetim komitelerinin faydaları arasında firmanın finansal raporlamaya
ilişkin iç kontrol süreçlerinin etkin olması veya güçlendirilmesi, yolsuzluk ihtimalini azaltan
disiplinli ve kontrollü bir ortamın yaratılması, bağımsız üyelerin objektif bir değerlendirme
yaparak olumlu bir rol oynamaları, finansal faaliyetlerden sorumlu yöneticilere, önemli
konuları getirebileceği ve böylelikle sorunların çözülebileceği forum yaratarak yardımcı
olunması, bağımsız denetçinin pozisyonunun güçlendirilmesi ve yönetimle görüş ayrılığı olsa
dahi, bağımsız denetçinin bağımsızlığını koruyabileceği bir genel çerçeve sağlanması,
yönetimden büyük oranda bağımsız olmasını sağlayarak iç denetim fonksiyonunun konumunun
güçlendirilmesi ve nihayet kamuoyunun güveninin, kredibilitenin ve finansal tabloların
tarafsızlığını artırması sayılabilecektir.
Denetim komitelerinin sorumluluklarını iki başlık altında izlemek mümkündür.
1. Finansal raporlama
sorumluluklar
ve
bağımsız
dış
denetim
faaliyetlerine
ilişkin
2. İç Kontrol, İç Denetim ve Risk yönetimi faaliyetlerine ilişkin sorumluluklar
(firmanın etkin bir risk yönetimi ve iç kontrol sistemine sahip olduğunun ve
işlerliğinin yönetim kurulu adına izlenmesi, firmanın iç denetim sisteminin
bağımsızlığının ve etkinliğinin gözden geçirilmesi gibi)
Denetim komitelerinin firmaların risk yönetimi sistemlerinin de yeterliliğini gözden
geçirmesi sorumluluğu bulunmakla birlikte, son yıllarda risk yönetimi gözetiminin yine
yönetim kurullarının bir alt komitesi olan risk yönetim komitelerine verildiği görülmektedir.
Bir önceki bölümde de belirtildiği üzere; yeni TTK’da da aynı yöntem izlenmiş kurumların
15
risklerinin yönetilmesi görevinin “Risklerin Erken Saptanması ve Yönetilmesi Komitesi”ne
verildiği görülmektedir.
4.
KALİTE KONTROL İLE İÇ DENETİM İLİŞKİSİ
Kalite Kontrol; “kalite faaliyetlerinin ve iş sonuçlarının ise mükemmelliğini esas alan
bir modelle kıyaslanarak, kapsamlı, sistematik ve düzenli olarak gözden geçirilmesidir”. Kalite
denetçilerinin en önemli sorumluluğu kalite kontrol prosedürleri ile bağlantılı olan sistemleri
kontrol etmektir.
İç Denetimin amacı ise bir organizasyonda bulunan iç kontrol sistemlerinin yeterliliği
ve etkinliğinin incelenmesi ve değerlendirmesi şeklinde özetlenebilir. İç Denetim birimlerinin;
iç kontrol sistemlerinin yeterliliğinin tespiti, işletme politika ve kurallarına uyulup,
uyulmadığının belirlenmesi, bu politika ve kurallarda değişiklik yapılması gerekiyorsa bunun
üst yönetime iletilmesi, işletme varlıklarının korunması, muhasebe ve bilgi akış sisteminin
güvenilir ve doğru olduğunun tespit edilmesi ve yapılan tüm bu tespit ve değerlendirmelerin
yönetime objektif olarak sunulması gibi bir organizasyon içerisinde son derece önemli
fonksiyonları vardır.
Kalite kontrol ve İç Denetim kavramları karşılaştırıldığında İç Denetim birimlerinin
görev tanımlarının daha geniş bir alanı kapsadığı açıktır. Kalite kontrol, kalite faaliyetlerinin
belirlenen bir modele göre gözden geçirilmesi olarak tanımlanırken, İç Denetim bir
organizasyonda yapılan tüm faaliyetlerin değerlendirilmesidir.
Kalite Kontrol sadece bir yönetim sorumluluğu olmasına karşın İç denetimin işletme içi
ve dışı tüm çıkar gruplarına karşı sorumluluğu bulunmaktadır.
Bu anlamda İç Denetim birimlerince hizmet yelpazesi genişlemiş ve bugün İç
Denetçilerin çalışmaları Uygunluk Denetimi, Operasyonel Denetim, Finansal Denetim,
Yönetim Denetimi, Risk Değerlemesi, Hilekarlık Denetimi ve Özel Denetimler (Güvenlik,
Çevre, İletişim Teknolojisi) gibi farklılıklar göstermektedir.
Tüm bu irdelemelerimizden de anlaşılacağı üzere; Kalite Kontrol faaliyetlerinin yanı
sıra İç Denetimin fonksiyonel varlığı ve rolü Toplam Kalite çalışmaları açısından gereklidir.
Ayrıca çağdaş yönetim anlayışının bir gereği olarak işletme içi ve dışı çıkar gruplarına
karşı yönetim, kontrol ve denetim sistemlerinin kalitesini İç Denetim fonksiyonu güvence altına
almaktadır.
Bunun yanında, toplam kalite yönetimi sahip olduğu felsefeleri ile iç denetim
faaliyetinin daha kişilikli uygulanmasına, kendine özgü uygulamaları ile iç denetim faaliyetinin
daha donanımlı bir şekilde gerçekleştirilmesine destek olur. Toplam kalite yönetimi “önce
insan” felsefesi ile iç denetçilerin çalışanlara muhtemel suçlu gözüyle bakılmasını engeller,
“takım ruhu” felsefesi ile tüm işletme çalışanlarının karaya ulaşma amacındaki gemi personeli
gibi hissedip aynı hedefe kilitlenmesine yardımcı olur, “sürekli gelişim felsefesi” ile de
varılacak hedefleri hep yenileyerek tüm çalışanların aynı dinamizm içinde tutulmasına katkı
sağlar.
16
5.
İÇ DENETİM BİRİMİ YAPILANMASINDA KURULACAK BİRİMİN
ADI, ORGANİZASYON İÇİNDEKİ YERİ VE BİRİM ÇALIŞANLARININ
ÜNVANLARI
Çalışmamızın bu bölümünde gerekçeleri ile önerilen “isme” ilişkin görüşlerimize,
gerek Türkiye gerekse Uluslarası uygulamalar, mevzuat ve bu birimin üstleneceği fonksiyonlar
çerçevesinde “birim isminin” ne olması gerektiğine ve organizasyon şeması içindeki yerine
ilişkin düşüncelerimize yer verilecektir. Bu bağlamda ayrıca birim çalışanlarının unvanlarının
da ne olması gerektiği gerekçeleriyle açıklanacaktır.
5.1. BİRİMİN İSMİ VE ORGANİZASYON ŞEMASI İÇİNDEKİ YERİ
Denetim biriminin “bağımsızlığı” ilkesi gereğince, Uluslararası Denetim Standartlarının
da önerdiği şekliyle kurulacak olan denetim biriminin doğrudan yönetim kuruluna bağlı olması
bir gerekliliktir. Denetimin yönetimin “vazgeçilemez ve devredilemez” bir görevi olduğu
yönündeki yeni TTK düzenlemeleri de yukarıda belirtilen gerekliliği destekler mahiyettedir.
Kanımızca başka hiçbir şirket birimine özgü TTK’da düzenleme yapılmamışken, denetime
özgü olarak yönetime böyle bir görev verilmesi denetimin tüm şirketler için olması gereken
öneminden kaynaklanmaktadır. Kurumsal ölçekli kuruluşların incelenen organizasyon
şemalarının büyük bir çoğunluğunda denetim biriminin yönetim kuruluna bağlı olduğu
görülmektedir. Bu bağlamda gerek yasal düzenlemeler, gerek uluslararası standartlar, gerek
uygulamada karşılaşılan örnekler dikkate alındığında, bunun yanında kurulacak birimin
etkinliği, yapacağı çalışmalarda elde edeceği verim de düşünüldüğünde kurulacak denetim
biriminin yönetim kuruluna bağlı olması gerekmektedir.
Uygulamada birbirine benzer isimler yer almakla birlikte, kurulacak denetim biriminin
yönetim kuruluna bağlı olacağı yukarıda belirtilen kapsamda ve fonksiyonda çalışmalar
yapacağı göz önünde bulundurulduğunda birimin ismi “İç Denetim Birimi” olmalıdır. Bu
deyim Uluslararası İç Denetim Standartların da öngörülen ve bu terminolojiye uygun bir
deyimdir. Ayrıca Bankalar açısından “İç Denetim Birimi” deyimi Bankaların İç Sistemleri
Hakkında Yönetmelik de aynen benimsenmiştir. Kamu Kurumları açısından da, 5018 Sayılı
Kamu Mali Yönetim ve Kontrol Kanununda da birimin adı “İç Denetim Birim Başkanlığı”
olarak geçmektedir.
Ayrıca İç Denetim Biriminin iç kontrol bağlamında mevzuat uyumu yönünden faaliyette
bulunmasının yanı sıra, İç Denetimin bir “danışma” fonksiyonu olduğu da gözden uzak
tutulmamalıdır. Sadece yönetim kurulunun değil, üst yönetim için de danışmanlık görevi
yapacak birimin, danışmanlık görevi kapsamında mevzuat araştırma, yeni mevzuatları takip
etme, gerektiğinde bu konuda eğitimler verme, şirket işleyişine uyarlamak anlamında notlar
hazırlama zaten görevinin bir parçasıdır.
17
5.2.
BİRİM ÇALIŞANLARININ UNVANLARI
Gerek yasal mevzuat, gerek uluslararası uygulamalar ve firma örnekleri üzerinde daha
kapsamlı bir çalışma yapılarak kurulacak birim içinde çalışanların unvanlarının olacağı/olması
gerektiği saptanmaya çalışılmıştır.
“İç Denetim Birimi” nin birim başkanının unvanı “İç Denetim Yöneticisi”
olmalıdır. Bu terminoloji Uluslararası Denetim Standartlarının da kabul ettiği bir
terminolojidir. Uluslararası İç Denetim Standartlarının yanı sıra, IIA tarafından yayımlanan
“Pozisyon Raporları” , “Uygulama Önerileri” ve “Uygulama Rehberleri” nin tümünde de “İç
Denetim Yöneticisi” tabiri kullanılmaktadır. “İç Denetim Birim Yöneticisi” deyimi Bankaların
İç Sistemleri Hakkında Yönetmelik de aynen benimsenmiştir. 5018 Sayılı Kamu Mali Yönetim
ve Kontrol Kanununun da “İç Denetim Birim Başkanı ” ifadesi geçmektedir.
Standartlara göre; İç Denetim Yöneticisi; iç denetim faaliyetinin iç denetim
yönetmeliğine ve iç denetimin tanımına, etik kurallarına ve standartlarına uygun şekilde
yönetilmesinden üst düzeyde sorumlu bir kişiyi tarif eder. İç denetim yöneticisi veya iç denetim
yöneticisine raporlama sorumluluğu bulunanlar Sertifikalı İç Denetçi veya uygun mesleki
sertifika veya unvanlara sahip olacaklardır. Standartlarda İç Denetim Yöneticisi ile ilgili olarak
aşağıdaki açıklama ve yorumlarda yapılmıştır.
2000 – İç Denetim Faaliyetinin Yönetimi
İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak etkili bir tarzda
yönetmek zorundadır
Yorum:
Aşağıdaki durumlarda iç denetim faaliyetinin etkili bir tarzda yönetildiği söylenebilir:



İç denetim faaliyeti çalışmasının sonuçları, iç denetim yönetmeliğinde yer verilen amaç ve
sorumluluklara ulaştığında,
İç denetim faaliyeti, İç Denetimin Tanımına ve Standartlar’a uygun olduğunda,
İç denetim faaliyetinin parçası olan kişiler, Etik Kuralları ve Standartlar ile uyum içinde olduklarını
gösterdiklerinde.
İç denetim faaliyeti tarafsız ve uygun güvence sağladığında kuruma (ve paydaşlara) değer katar ve yönetişim,
risk yönetimi ve kontrol süreçlerinin etkililiği ve verimliliğine katkıda bulunur.
İç Denetim Yöneticisi’ne bağlı olarak çalışacak birim personelinin unvanları konusu
incelendiğinde karşımıza hemen hemen tek tip uygulama çıkmaktadır. Uluslararası İç Denetim
Standartları (ve bununla ilgili mevzuat) , ulusal yasal uygulamalar (5018 sayılı Kamu Mali
Yönetim ve Kontrol Kanunu ile Bankaların İç Sistemleri Hakkında Yönetmelik) ve ulusal
uygulamalar (incelenen organizasyon şemaları) da birim çalışanların unvanları “İç Denetçi” dir.
Bu bağlamda bu düzenlemelere paralel bir şekilde İç Denetim Biriminde İç Denetim Birim
Yöneticisine bağlı olarak çalışan personelin unvanları “İç Denetçi” olmalıdır.
18
YARARLANILAN KAYNAKLAR
1. Melih ERDOĞAN, Denetim, Maliye ve Hukuk Yayınları, Eskişehir:2005.
2. Hasan KAVAL, IFRS/IAS Uygulama Örnekleri İle Muhasebe Denetimi, Gazi
Kitapevi, 2. Baskı, Ankara: 2005.
3. Çetin ÖZBEK, İç Denetim (Kurumsal Yönetim, Risk Yönetimi, İç Kontrol), Tide
Yayınları,Yayın No:3, Cilt 1, Cilt 2, İstanbul:2013
4. Ali Kamil UZUN, Şirketlerinizin Değeri Yönetim Kurulunuzun Güvencesi İçin: İç
Denetim, www.icdenetim.net
5. Ali Kamil UZUN, Krizin Yönetilmesinde Yönetim Kurulları İçin İç Denetim
Üzerine 5 Tavsiye, www.denetim.net
6. Ali Kamil UZUN, Şirketlerde İç Kontrollerin Yeterliğinde İç Denetimin Rolü,
www.icdenetim.net
7. Ali Kamil UZUN, Yeni TTK’da İç Denetim Üzerine Düzenlemeler,
www.icdenetim.net
8. Gürdoğan
YURTSEVER,
İç
Denetimin
Danışmanlık
Fonksiyonu,
www.icdenetim.net
9. İç Denetim Nedir? , www.icdenetim.net
10. IIA Pozisyon Raporu: İç Denetim Faaliyeti/ Birimi İçin Gereken Kaynakların
Temininde İç Denetimin Rolü, IIA Uluslararası İç Denetçiler Enstitüsü Yayınları,
Ocak 2009.
11. Türkiye İç Denetim Enstitüsü Derneği, Yeni Türk Ticaret Kanunu ve İç Denetime
İlişkin Düzenlemeler Hakkında Görüş ve Öneriler, İstanbul: Temmuz 2012.
12. 6102 Sayılı Türk Ticaret Kanunu ve Gerekçeleri
13. Ali Kamil UZUN, Kurumsal Risk Yönetimi ve İç Denetim, ÖNCE KALİTE
Dergisi, Sayı 151 – Mart – Nisan 2011
14. Ali Kamil UZUN, İç Denetimin Toplam Kalite Yönetimindeki Yeri,
www.denetim.net
15. Ali Kamil UZUN, İç Denetimin Toplam Kalite Yönetimindeki Yeri
16. Ali Kamil UZUN, Kurumsal Yönetim ve İç Denetimin Kalite Güvencesi,
www.denetim.net
17. Selda TÜREDİ, İç Kontrol Sistemi ve Toplam Kalite Yönetimi İlişkisi, Uluslarası
Alanya İşletme Fakültesi Dergisi, 2012, C:4, S:1ç
18. Sinan ASLAN-Hayrettin ÖZÇELİK, İç Denetimin Toplam Kalite Yönetimi
İçindeki Yeri, ZKÜ Sosyal Bilimler Dergisi, Cilt 5, Sayı10, 2009.
19. Ali Alp-Saim Kılıç, Kurumsal Yönetim, Doğan Kitap Yayınları, Ocak 2014
20. Münevver Yılancı, İç Denetim, 2. Baskı, Nobel Yayınları, Ankara:2006
21. Davut Pehlivanlı, Modern İç Denetim, Beta Yayınları, İstanbul:2010
22. Mehmet Erkan, Aile İşletmelerinde Kurumsallaşma ve İç Denetim, Ekin Yayınları,
Bursa:2012.
23. www.denetim.net
24. www.icdenetim.net
25. www.tide.org.tr
26. IIA Uluslararası İç Denetim Standartları (2011 ve revize 2013 standart metinleri)
27. IIA Pozisyon Raporları
19
28. IIA Uygulama Önerileri
29. IIA Uygulama Rehberleri
30. Sermaye Piyasası Kurulu Kurumsal Yönetim Prensipleri ve Kurumsal Yönetim
İlkeleri Tebliğleri
31. Bankacılık Düzenleme ve Denetleme Kurulu tarafından yayımlanan Bankalarda İç
Sistemler Yönetmeliği
32. 5018 Sayılı Kamu Mali Yönetim ve Kontrol Kanunu
33. Kamu Gözetim Kurulu Riskin Erken Saptanması Sistemi ve Komitesi Hakkında
Kurul Kararı
34. Maliye Bakanlığı İç Denetim Birimi Yönergesi
20