Kurumsal yönetimin en önemli üç sütununu oluşturan iç kontrol, iç denetim ve risk yönetimi süreçleri, çoğu zaman birbirleriyle karıştırılmakta ve yanlış kullanılabilmektedir. Bu yazıda iç kontrol, iç denetim ve risk yönetimi süreçlerinin kurumsal yönetim bağlamında birbirleriyle olan ilişki ve etkileşimlerini irdeleyeceğim.
Kurumsal Yönetim
Kurumsal yönetim, şirketlerin paydaşlar adına etkili ve etkin bir şekilde yönetilmesinin sağlanması açısından oldukça önemlidir. Bu nedenle, çeşitli kişi, kurum ve kuruluş tarafından birçok farklı kurumsal yönetim tanımı yapılmıştır. Örneğin, 1992 yılında yayınlanan Cadbury Raporuna göre kurumsal yönetim, şirketlerin hissedarlar ve diğer paydaşlar yararına yönetildiği ve kontrol edildiği bir sistemdir.
Kurumsal yönetimin temel ilkeleriyle ilgili olarak da birçok kurum ve kuruluşun yayını bulunmaktadır. Örneğin OECD’ye göre kurumsal yönetimin;
Ø Hissedarların hakları,
Ø Hissedarlara ve paydaşlara eşit ve adil davranma,
Ø Şeffaflık
Ø Yönetim kurulunun sorumluluğu
olmak üzere dört temel ilkesi bulunmaktadır. Kurumsal yönetimle ilgili bütün tanımlamaların ve ilkelerin özünde, paydaşların haklarının korunmasını sağlamak yatmaktadır. Paydaşların haklarının korunması, şirketin etkin, etkili ve ekonomik yönetilmesiyle mümkün olabilir. Bu noktada, şirket paydaşlarının şirketten beklentilerinin ne olduğunun belirlenmesi büyük önem taşımaktadır. Bu beklentiler, şirketin büyümesi, kar maksimizasyonu, pazar payının artırılması, rekabet avantajı sağlanması vb. birçok farklı şekilde olabilir. İşte bu noktada, “stratejik plan” kavramıyla karşı karşıya geliriz.
Stratejik Plan
Stratejik planın da birçok farklı tanımı yapılabilir. Ancak, kısaca, bir şirketin uzun dönemli hedeflerinin ve bu hedeflere ulaşmak için gerekli olan yol haritasının belirlenmesi olarak tanımlanabilir. Stratejik planla ilgili en önemli husus, şirketin hissedarlarının uzun dönemde şirketten ne beklediğinin (stratejik hedef) belirlenmesidir. Bazı hissedarlar, kar maksimizasyonunu sağlamak ve bu yolla şirketten maksimum temettü elde etmek isteyebilirken bazıları da şirketin uzun dönemde büyüyerek ekonomik değerinin artmasını veya pazar hakimiyetini elde etmesini isteyebilirler. Bu nedenle, hissedarların şirketten beklentilerinin belirlenmesi, stratejik planın oluşturulması açısından oldukça önemlidir.
Stratejik hedef ve planın belirlenmesi, uygun bir kurumsal yönetim sisteminin tesis edilmesi açısından da önemlidir. Örneğin, kozmetik sektöründe faaliyet gösteren bir şirketi ele alalım. Bu şirket, vizyonunu gelecekteki 10 yıl içinde yurtiçi pazar hakimiyetini elde etmek olarak belirlesin. Bu durumda, bu vizyonu gerçekleştirmek için alt aşamalardan oluşan ayrıntılı bir stratejik plan yapılması gerekecektir. Şirketin pazardaki konumu belirlendikten sonra varlıklar, kaynaklar, güçlü ve zayıf yönler ile riskler belirlenecek ve alt aşamalar stratejik planda detaylı bir şekilde belirlenecektir. Bütün bu çalışmalar sonucunda şirketin nasıl bir organizasyon yapısına ihtiyacı olduğu sorusu karşımıza çıkacaktır. İşte burası, yazımızda iç kontrol sistemiyle ilk karşılaştığımız yerdir.
İç Kontrol
İç kontrol kavramı ülkemizde çoğu zaman yanlış anlaşılmakta ve denetim hatta bazen de teftiş yerine kullanılabilmektedir. Bana göre bunun altında yatan en önemli sebep, kavramın tanımının oldukça geniş ve soyut yapılması ve kavramın ülkemiz yönetim sisteminin çok da alışık olmadığı Anglosakson orijinden geliyor olmasıdır. Bu nedenle, “iç kontrol” kavramının genel tanımını yapmak yerine, kavramdan ne anlaşılması gerektiği üzerinde duracağım. İç kontrol, esas itibarıyla bir süreçtir. Süreç kelimesini altını çizerek tekrar etmek istiyorum; çünkü bu kelime, kavramın doğru anlaşılabilmesi açısından anahtar bir role sahiptir. Peki “süreç” ile neyi ifade etmek istiyoruz?
Süreç ifadesi, bir organizasyondaki bütün faaliyetleri içermektedir. Yönetim kurulu ve diğer icrai ve icrai olmayan kurulların tesisi, organizasyonun hiyerarşik yapılanması, satın alma, satış ve pazarlama, üretim yöntemleri, insan kaynakları, muhasebe ve finans vb. işletmedeki bütün birimler iç kontrol sisteminin bir parçasıdır. Örneğin, bir ödeme sürecinde, malların işletmeye gelip teslim alındığına dair tutanağın ve sevk irsaliyesinin faturaya eklenip finans bölümüne gönderilmesi, finans bölümünün gerekli kontrolleri yaptıktan sonra ödemeyi yapması ve ödemenin muhasebe tarafından yine ilgili belgelerle birlikte kayda alınması, belirli tutarın üzerindeki ödemelerin üst yöneticilerin onayına tabi olması bir iç kontrol sürecidir. Dolayısıyla, iç kontrol, tek seferlik bir denetim faaliyeti olmaktan ziyade, işletmenin faaliyetlerini nasıl sürdüreceğinin belirlendiği yaşayan ve sürekli devam eden bir süreçtir.
Görüldüğü üzere, etkin bir iç kontrol süreci, bir hile ve suistimal bulma aracı olmaktan ziyade, muhtemel hile ve suistimallerin en aza indirilmesine olanak sağlamaktadır. Etkin bir iç kontrol sürecinin nasıl olması gerektiğine dair pek çok görüş bulunmakla birlikte, işletmenin sektörüne, büyüklüğüne, stratejik hedeflerine vb. bağlı olarak farklı şekillerde kurulabileceği de açıktır.
Bir şirkette güçlü bir iç kontrol sisteminin kurulmasından şirketin yönetimi sorumludur. Yönetim kurulu, yukarıda yer alan açıklamaları da dikkate alarak, şirkete ve hedeflerine en uygun iç kontrol sistemini kurmakla yükümlüdür. Güçlü bir iç kontrol sisteminin, şirketin operasyonlarının içerisine gömülmesi ve yukarıda da belirtildiği gibi ayrı bir denetim faaliyeti olarak algılanmaması gerekir. Bunun yanında, değişen koşullara ve risklere hızlıca cevap verebilmelidir. İç kontrol sisteminin güçlü bir şekilde işleyip işlemediğinin ve değişen koşullara ve risklere uyum sağlayıp sağlamadığının kontrol edilmesi olgusu bizi iç denetim kavramıyla karşı karşıya getirmektedir.
İç Denetim
İç denetim oldukça geniş bir konsepttir ve birçok fonksiyonu vardır. Bu nedenle, yalın ve basit bir tanım yapmak güçtür. İç denetimin icra ettiği belli başlı fonksiyonlar aşağıdaki gibi sıralanabilir;
– İç kontrol sisteminin gözden geçirilmesi
– Şirketteki önemli risklerin tespit edilmesi
– Şirket operasyonlarının etkinliğinin ve etkililiğinin gözden geçirilmesi
– Finansal bilgi ve raporların denetlenmesi
– Hile ve suistimalin araştırılması gibi özellikli incelemeler yapılması
– Mevzuata uyumun değerlendirilmesi.
Görüldüğü üzere, ülkemizde çoğunlukla algılandığı şekilde iç denetimin hile ve suistimallerin tespit edilmesi fonksiyonuna indirgenmesi oldukça yanlıştır. İç denetimin en temel fonksiyonlarından biri, şirketteki iç kontrol sisteminin ekonomikliğinin, etkinliğinin ve etkililiğinin (3E) değerlendirilmesi ve sağlanması hususunda yönetime rehberlik etmektir. İç denetimin, şirketin mevcut iç kontrol sisteminin şirketin stratejik hedeflerine ulaşmasını sağlayıp sağlamayacağını, aksayan yönleri ve riskleri tespit etmesi beklenir. Bu yönüyle, iç kontrol sistemi tesis edilmemiş bir şirkette uluslararası standartlara uygun bir iç denetimin icra edilmesi mümkün değildir. Öncelik, stratejik hedeflere uygun bir iç kontrol sisteminin tesis edilmesi olmalıdır. Kurulan iç kontrol sisteminin sağlıklı işleyip işlemediği, stratejik hedeflerle ve stratejik planla uyumlu olup olmadığının değerlendirilmesi ise iç denetimin icra edeceği bir fonksiyondur.
Ülkemizde son yıllarda birçok danışmanlık ve denetim şirketinin işletmelere dışarıdan iç denetim hizmeti sunduğu gözlemlenmektedir. Şirketlerin iç denetim hizmetini dışarıdan sağlamaları gayet tabi ki mümkündür. Ancak, sunulan iç denetim hizmetinin, yukarıda çerçevesi çizilen uluslararası standartlara uygun bir iç denetim hizmetinden ziyade, hile ve suistimal denetimi olduğu müşahede edilmektedir. Hile ve suistimal denetimi, iç denetimin icra ettiği önemli fonksiyonlardan biridir, ancak iç kontrol sistemi kurulmamış bir şirkete iç denetim hizmeti sunma iddiasında olmak, iç denetimin yeterince anlaşılmadığının en bariz göstergesidir.
Şirketin stratejik hedefleri ve bu hedefe ulaşmayı sağlayacak olan stratejik plan ile bu hedef ve planla uyumlu bir şekilde tesis edilen iç kontrol sistemi, iç denetim tarafından risk bazlı denetlenecek ve muhtemel riskler ortaya çıkarılacaktır. Bu ise bizi risk yönetimi olgusuyla karşı karşıya bırakacaktır.
Risk Yönetimi
Riskin zamanında ve doğru tespit edilmesi ve yönetilmesi bir şirketin stratejik hedeflerine ulaşabilmesi için oldukça önemlidir. Riskin birçok farklı tanımı yapılabilir ve birçok farklı kategoride ele alınabilir. Bununla birlikte, finansal, operasyonel ve regülasyon riski olarak üç temel kategoride ele alınması yanlış olmayacaktır. Bu üç kategoride ele alınan riskin, zamanında ve doğru tespit edilmesi ve yönetilmesi esas itibarıyla şirket yönetiminin sorumluluğundadır. İşte, iç denetim fonksiyonu burada devreye girer ve yönetimin riski erken saptayıp doğru bir şekilde yönetmesine yardımcı olur.
Riskin olmadığı bir iş ortamı yoktur, her işletmenin karşılaştığı, bazen üstlendiği ve bazen kaçındığı sayısız risk vardır. Önemli olan bu risklerin farkında olmak ve riski yönetmektir. Örneğin, pazarda rekabet üstünlüğü elde etmek isteyen bir şirketin düşük fiyat politikası izlemeye karar verdiğini varsayalım. Buradaki temel riskleri, işletmenin düşük karlılığı ve belki zararı, maliyet artışı, hammadde yetersizliği, bozulan işletme özsermayesi vb. olarak sıralayabiliriz. Bu strateji neticesinde, hedeflenen rekabet üstünlüğünün elde edilememe riski de vardır ve böyle bir durumda işletmenin sürekliliği tehlikeye girebilir. Bu nedenle, riskin doğru saptanması ve yönetilmesi hayati önemdedir. Riskin nasıl yönetileceği, yönetimin risk iştahı ile doğrudan ilgilidir. İç denetimin fonksiyonu riskin tespit edilmesi olup, riskin nasıl yönetileceğine yönetim karar vermelidir.
Bir Örnek
Buraya kadar stratejik plan, iç kontrol, iç denetim ve risk yönetimi kavramlarını genel çerçevede ele aldım. Bu kavramların her biri sayfalarca makaleye konu olabilecek kadar derindir. Ancak, bu yazının başlığında da belirttiğim üzere, ben bu kavramların birbirleriyle nasıl bir ilişki içinde olduklarını resmetmeye çalıştım. Bu açıklamaları, aşağıda bir örnek üzerinde somutlaştıralım.
Madeni yağ sektöründe faaliyet gösteren bir A şirketi, gelecek 10 yılda pazar hakimiyetini ele geçirmek istemektedir. Bunun için gerekli iç ve dış faktörler detaylıca değerlendirilmiş ve şirketin mevcut pozisyonu, zayıf ve güçlü yönleri belirlenmiştir. Bu hedefe ulaşabilmek adına 10 yıllık bir stratejik plan yapılmış ve stratejik planın bütün aşamaları detaylı bir şekilde belirlenmiştir.
Stratejik plana göre, hedefe ulaşmak için 10 yıl içinde yeni fabrikalar inşa edilmesi, pazarlama, satış ve dağıtım başta olmak üzere birçok birimde nitelikli personel istihdam edilmesi, bunun neticesinde de kademeli olarak çalışan sayısının 3 katına çıkması öngörülmüştür. Bu husus göz önünde bulundurularak, profesyonel destek alınmak suretiyle, stratejik plana uygun bir iç kontrol sistemi oluşturulmuştur. Ayrıca uluslararası standartlara uygun bir iç denetim birimi de kurulmuştur.
İç denetim biriminden beklenen temel fonksiyon, kurulan bu iç kontrol sürecinin şirketin stratejik hedefleriyle uyumlu olup olmadığının değerlendirmesini yapmak olacaktır. Bunu yaparken, gelişen ve değişen şartları göz önünde bulunduracak, iç ve dış koşullarda meydana gelen değişimlerin şirkete olan etkileri değerlendirilecek ve muhtemel riskler erkenden saptanacaktır.
İç denetim biriminin, insan kaynakları süreçlerini değerlendirirken, personel devir hızının çok yüksek seyrettiğini tespit ettiğini varsayalım. Bunun nedeni araştırıldığında, çalışanların iş tanımlarının net bir şekilde yapılmadığı, ücretlerin piyasa koşullarının altında olduğu, bunun sonucu olarak da işyerinde huzursuzluklar yaşandığı ve nihayetinde şirketin nitelikli personeli şirkette tutmakta zorlandığı tespit edilmiş olsun. Görüldüğü üzere, iç denetim birimi şirketin stratejik planını gerçekleştirmeye engel olacak çok önemli bir risk tespit etti. Çünkü stratejik plana göre, şirketin 10 yıl sonraki hedefine ulaşabilmesi, diğer bütün şartların gerçekleşmiş olduğu varsayımı altında, çalışan sayısının 3 katına çıkmasına ve nitelikli personelin şirkette kalmasına bağlı. İç denetim birimi burada, mevcut durumun stratejik plana uyumluluğunun değerlendirmesini yapmaktadır. Mevcut bir stratejik planı olmayan şirketlerde bu tarz risklerin tespit edilme imkanı bulunmamaktadır. İşte bu nedenle, stratejik planı ve buna uygun bir iç kontrol sistemi olmayan şirketlerde iç denetimin uluslararası standartlara uygun bir fonksiyon icra edemeyecektir.
Sonuç
Stratejik plan, iç kontrol, iç denetim ve risk yönetimi süreçleri birbirlerini doğrudan etkileyen ve birbirinden farklı kavram ve süreçlerdir. Ne yazık ki, ülkemizde bu kavram ve süreçlerin doğru anlaşılamadığı gözlemlenmektedir. Etkili bir kurumsal yönetim sistemi kurmanın yolu, bu kavram ve süreçleri doğru tayin etmekten ve uygulamaktan geçmektedir.
Ceyhun DENİZ
LinkedIn
