Faydalı Bilgiler
İÇ DENETİME İHTİYACIMIZ VAR MI?
Cironuz 100 Milyon TL ve üzerinde, çalışan sayınız 100 ve üzerinde, operasyonlarınız birden fazla lokasyonda sürdürülüyorsa, İK, finans, BT, operasyon, satın alma, satışpazarlama departmanlarınızın yöneticileri ayrı ve profesyonel kişilerden oluşuyorsa, iç denetim hizmeti almanızda fayda var.
İÇ DENETİMİ İÇERİDE Mİ OLUŞTURALIM, DIŞARIDAN HİZMET Mİ ALALIM?
Dışarıdan iç denetim hizmeti almaya outsourcing, içeride oluşturmaya in-house, hem içeriden hem dışarıdan bir ekiple hizmet almaya ise cosourcing deniyor. Her üç yaklaşımdan da fayda sağlarsınız; burada belirleyici olan sizin yapınız, ihtiyaçlarınız, bütçeniz ve kabiliyetleriniz.
Dışarıdan hizmet alırken en çok dikkat edilmesi gereken hizmeti sağlayacak olan danışman/iç denetçilerin sektör ve meslek tecrübeleri ile uluslararası sertifikalara sahip olup olmadıklarıdır.
İÇ DENETİMİ OLUŞTURURKEN İÇ DENETÇİLERİ DIŞARIDAN MI ALALIM, İÇERİDEN FARKLI POZİSYONLARDAN GÖREVLENDİRME İLE Mİ DEVŞİRELİM?
İçeriden tercih edilecek olan iç denetçi adaylarında mutlaka şu üç özellik aranmalı; analitik düşünme becerisi, iletişim yeteneği ve dürüstlük. Buna ek olarak iyi mali yönetim ve/veya operasyon tecrübesi de önemli bir faktör olmalıdır.
İÇ KONTROL VE RİSK YÖNETİMİNE İHTİYACIMIZ VAR MI, BU SİSTEMLERİ KURMALI MIYIZ, BU KONUDA NASIL BİR MODEL UYGULAMALIYIZ?
Tek kişilik şahıs şirketinden, 390 bin kişilik çok uluslu bir şirkete kadar her organizasyon iç kontrol ve risk yönetimi süreçlerini oluşturmalı. Yukarıda belirttiğim faktörler bağlamında ölçekler büyüdükçe, bu süreçlerin bir uluslararası model (COSO gibi) etrafında sistemsel olarak ele alınması gerekiyor. İç kontrol ve risk yönetimi, ölçek bağımsız oluşturulması ve yürütülmesi gereken temel iş süreçleri arasında. Bir diğer ifade ile opsiyonel değiller, iyi yönetimin temeli durumundalar.
Organizasyonunuzda iç kontrol unsurlarına sahip olmanız, bir iç kontrol sistemine sahip olduğunuzu göstermiyor. Çoğunlukla da bize sunulan temel argüman bu oluyor; "bizde yönetim sistemlerine dair çıktılar var, o zaman bir iç kontrol sistemimiz var!" Şirket genelinde yazılı prosedürleriniz, görev tanımlarınız, organizasyon şemanız olması bir iç kontrol sisteminiz olduğu anlamına gelmiyor. COSO bazlı bir iç kontrol sistemi ve buna bağlı süreçler, bu saydıklarımızdan çok daha fazlasına işaret ediyor. Özellikle de kontrol ortamı ve bilgi & iletişim bileşenleri bağlamında.
Üçlü hattı tam olarak oluşturmadan, yani iç kontrol ve risk yönetimini devreye almadan, iç denetimden de fayda sağlanması zordur.
ÖNCE HANGİSİNİ OLUŞTURMALIYIZ; İÇ KONTROL MÜ, İÇ DENETİM Mİ?
Küçük ve orta alt ölçekli şirketler işe muhakkak iç kontrolle başlamalı. İç denetimi gerekirse dışarıdan hizmet olarak da alabilir. Orta, orta üst ve büyük ölçeklerde COSO bazlı iç kontrol olmasa bile, iç kontrol yapıları veya unsurları mevcut olduğundan, onların işe iç denetim ile başlaması ve iç denetim rehberlik ve önderliğinde iç kontrol ve risk yönetimini sistemsel boyuta taşımalarını öneriyoruz.
Elbette biz ikisini de aynı anda oluşturacağız şeklinde yaklaşan ve projelendirdiğimiz şirketlerimiz de var. Çok da başarılı şekilde çalışmaları yürütüyoruz. Yeter ki yönetim kurulu ve üst yönetimde farkındalık, istek ve destek olsun.
Yönetim Kurulları iç kontrol ve iç denetim arasındaki farkı iyi bilmeli, ihtiyaçlarını doğru tanımlamalıdır.
BU SİSTEMLERİ EĞİTİM ALARAK VEYA KONUNUN PROFESYONELİNİ İŞE ALARAK MI OLUŞTURALIM, YOKSA DIŞARIDAN UZMAN DESTEĞİ Mİ ALALIM?
Bu sorunun net yanıtı şu; bütçeniz elveriyor ise muhakkak dışarıdan bir uzmandan danışmanlık desteği alın. Ancak doğru uzman ile çalışmamak risklidir. Danışmanınızdan beklentiniz sizin ölçeğinizde veya üzerinden en az 7-8 şirkette daha bu sistemlerin oluşturulmasına dair ana danışman sıfatıyla tecrübe sahibi olmak ve CIA, CICS, CICP, CISA gibi sertifikasyonlara sahip olmak olmalıdır.
Doğru danışmanın katkısı size sadece bu sistemleri düşük maliyet ve büyük verimlilikle kurmayı sağlamak değildir, üst yönetimi işin içine çekmek, kurumsal kabulü hızlandırmak, bu sistemleri yönetim pratiği ile entegre etmek ve güvenilir bir referans noktası olmaktır.
İç denetim, iç kontrol ve risk yönetimini bir üçlü hat mantığı ile ele almak, yönetim sistemlerini de bu işe entegre etmek bilgi, maharet, iletişim becerisi ve tecrübe gerektirir. Bu unsurların tamamını elde etmek için ise toplamda 20-25 senelik bir birikim gerekmektedir.
Dışarıdan uzman desteği almak sistemlerin daha işin başından doğru projelendirilmesini sağlar. Doğru danışman ile uygulama modeli, iç düzenlemeler, eğitimler, uygulama çalışmaları, pilot çalışmalar, yazılım desteği ve izleme araçları sağlarsınız. İçselleştirme oranı artar.
BU SİSTEMLERİ OLUŞTURMAK MALİYETLİ Mİ?
Bu sistemleri oluşturmak orta üst ve büyük ölçekli şirketler için genel yönetim giderlerinin çok küçük bir oranını (belki bindelik ölçekte) teşkil edeceğinden, maliyetli değildir. Ya da gözüken maliyetler, şirketin kazanımları düşünüldüğünde, küçük kalacaktır. Şirketin 1 sene içinde bu sistemlerden sağlayacağı operasyonel düzen, verimlilik, kayıp kaçak önleme, itibar ve yasal kazanımlar genellikle EBITDA’yı yüzdesel bazda etkiler. Evet bu ciddi bir iddiadır ancak tecrübelerime dayanıyor. Pek çok şirkette daha birinci senede bu sistemlere yatırımın karşılığı alınmıştır. Tabi doğru danışman ile çalışmak, doğru bir yönetim desteği vermek ve ekip oluşturmak kaydıyla.
Bu noktada karşı karşıya kalacağınız maliyetler, iç kontrol ve iç denetimde içeride yapılanmaya giderseniz çalışacak uzmanların ücretleri, uzman istihdam edilmez ise içeride farklı görevlerde çalışan insanların ayıracakları vakitler ve bunların ücretlerinden işe dağıtılacak paylar, danışmanlık alırsanız danışman ücretleri ve konuyu bir yazılım üzerinden yönetmek isterseniz de yazılım maliyetleridir. Hepsi de kazanımlar düşünüldüğünde son derece cüzi miktarlardır.
En büyük maliyet üçlü hattınız olmaması ve risklere karşı iyi bir yönetişim mekanizmasından mahrum kalmanızdır.
İÇ DENETİM, İÇ KONTROL VE RİSK YÖNETİMİ İÇİN YAZILIM ŞART MI?
Dijital dönüşüm çağında bu süreçleri manuel olarak yürütmek, elbette akılcı ve rantabl değildir.
İç kontrol, risk yönetimi ve iç denetimi entegre yönetmenize imkan veren üçlü hat yazılımları, şirketinizin ERP sistemleri ile de konuşmak ve şirket operasyonları ile de entegre olmak özellikleri ile bu sistemleri kağıt üzerinde ve kendi dairesinde yürütülen uzmanlık işleri olmaktan çıkartıp, şirketin tüm çalışanlarının dahil olacağı içselleştirilmiş operasyonlara dönüştürecektir. Ek olarak, bu sistemlere aktarılan süreç, risk, kontrol, öz değerlendirme, bulgu ve aksiyon verileri, kurumsal hafızanız olarak işlev gösterecektir, iş sürekliliğinizi destekleyecektir. Yine, yeni yöneticiler ve personelinizin işe ve kontrollere uyumunu da hızlandıracaktır.
QGRC, yerli alternatiflerine ve yabancı muadillerine göre de son derece uygun maliyetlidir.
BU SİSTEMLER KİME RAPORLAMA YAPMALI, HANGİ YÖNETSEL SEVİYEYE BAĞLI OLMALIDIR?
Prensip olarak, Uluslararası İç Denetçiler Enstitüsü IIA’in üç hat modelini ele alırsak, operasyonlardaki iç kontrol uygulamaları ile iç kontrol ve risk yönetimi sistemlerini koordine edecek birimlerin icraya bağlı olması (tercihen CEO veya Genel Müdür gibi en üst icrai yönetici) best practice dir. Buna mukabil, iç denetim ise en üst yönetim organı olan yönetim kuruluna bağlı olarak çalışmalıdır. Bu iç denetimin, iç kontrol ve risk yönetimine kıyasla daha bağımsız bir güvence fonksiyonu olmasından kaynaklanır.
Burada esas problem şurada ortaya çıkar; Yönetim kurulu ve icra kurulu yapılarının karışık olduğu aile şirketlerinde, yani üyelerin her iki tarafta da yer aldığı organizasyon yapılarında, iç denetimin tam bağımsızlığını sağlamak zordur. YK ve İcranın ayrıldığı kurumsal şirketlerde ise bu bağımsızlık daha rahat sağlanır. Peki bu tür aile şirketleri iç denetimden fayda sağlamak için ne yapmalıdır?
Bağımsız Yönetim Kurulu Üyesi şirketin kurumsal yönetimine büyük katkı sağlar.
Yönetim Kurulu ve icra sorumluluklarını mümkünse ayırmak, yönetim kurulu ve icra kurulu yapılanmalarına gitmek en doğru çözümdür. Bunun sağlanamaması noktasında ise, yönetim kurulu bağımsız üye veya üyeler ile desteklenerek iç denetim, adeta bir rehber/tarafsız otorite gibi bu üyelerin çoğunlukta olduğu, Yönetim Kurulundan teşkil olan Denetim Komitesine bağlanmalıdır. İcraya bağlı raporlama yapan iç denetim departmanları etki altında kalır ve tam bağımsız görev yapamaz.
BU SİSTEMLERDEN VERİM ALMAK İÇİN KOMİTELERİN (DENETİM KOMİTESİ, RİSK KOMİTESİ, VD.) KURULMASI ŞART MIDIR?
Evet. Üçlü hat kurmaya niyetliyseniz, kurumsal yönetim yapınızı da güçlendirmelisiniz. Özellikle Anadolu’daki hızlı büyüyen ve orta ölçeğe erişmiş, orta üst seviyelere doğru yolculuğu devam eden şirketler için Yönetim Kurulu’nun doğru yapılandırılması ve Komitelerin oluşturulması gerekir. Yönetim Kurulu ve Komitelerin doğru yapılandırılması, sadece üçlü hattan verim alınmasını sağlamaz. Aynı zamanda şirketin kurumsallaşması ve 2. veya 3. Kuşaklara yönetimin geçişi noktasında da büyük bir hazırlık ve pratik sağlar. Aile şirketlerinin 1. Kuşak kurucu ve liderleri, çocukları ve torunlarının şirketi daha iyi yönetebilmeleri için öncelikle bu üçlü hattın oluşturulması, sonrasında ise YK ve İcra yapılarının güçlendirilmesi için gerekli adımları, yine dışarıdan bu konuda bilgi ve tecrübe sahibi uzmanların desteği ile atmalıdırlar.
Komiteler, sadece iç denetimin etkinliği ve bağımsızlığını sağlamaz, Yönetim Kurulu ile İcra arasında tartışmalı veya karar verilmekte zorlanan meselelerde hakem görevi görür. Yine böyle meselelerde objektif ve bilimsel bir duruş ile, veriye dayalı analizler yaparak, arabuluculuk yapar. İcra için danışma, Yönetim Kurulu için ise gözetim rolünü üstlenir.
Bağımsız üyelerin de dahil olduğu Komiteler Yönetim Kurulu ile İcra Fonksiyonu arasında köprü vazifesi görür. Aynı zamanda bağımsız ve tarafsız bir kurum içi uzlaştırıcıdır.
HANGİ KOMİTELERİ OLUŞTURMALIYIZ?
Denetim Komitesi iç kontrol ve iç denetimin gözetiminden, sağlıklı işlemesinden, bağımsızlığından ve icra ile yaşanan tartışma ve fikir ayrılıklarının şirket lehine çözüme kavuşturulmasından sorumludur.
Risk Komitesi, riskin erken saptanması ve yönetilmesi için şirketin gerekli risk yönetim mercilerinin veya yöneticilerinin gerekli aksiyonları alıp almadıklarını, doğru sistemleri kurup kurmadıklarını ve kurumsal olarak riske, kurumun iştahı çerçevesinde doğru risk tepkilerinin verilip verilmediğini değerlendirir, İcraya ve Yönetim Kurulu’na rehberlik yapar. Risk Komiteleri operasyonel risklerden ziyade stratejik, yani kurumsal üst seviye riskleri izler ve gerekli aksiyonların alınması yönünde teşvik edici rol üstlenip, rehberlik yapar. Operasyonel risklerin yönetimi için ise sistemlerin etkin ve verimli çalışıp çalışmadığına dair değerlendirme yapar. Ayrıca şirketin KRI yani anahtar risk göstergelerini de yakından takip eder.
Denetim Komitesi ve Risk Komitesi düzenli olarak toplanmalı, toplantıları kayıt altına almalı, Yönetim Kurulu'nu görüşülen konular ile ilgili bilgilendirmelidir.
YÖNETİM KURULUNU KURUMSAL YÖNETİM İLKELERİ IŞIĞINDA GÜÇLENDİRMEK VE KOMİTELERİ OLUŞTURMAK VE ÇALIŞTIRMAK İÇİN DOĞRU BAĞIMSIZ ÜYEYİ NEREDEN BULACAĞIZ?
Bağımsız üyelik konusu SPK’ya tabi halka açık şirketlerde ve BDDK’ya tabi Bankalarda zaten uzun yıllardır mevcut olan bir müessese. Doğru üye seçimi yapılır ise, elbette çok fayda sağlıyor. Ancak şirketler burada temel bir hata yapıyorlar. Bağımsız üye olarak ya kendi sektörlerinden tecrübeli bir iş insanı veya profesyoneli ya da finans background una sahip kişileri bağımsız üye yapıyorlar. Bu kişilerin iç kontrol, risk yönetimi, iç denetim, yönetim sistemleri veya kurumsal yönetim gibi konularda yeterli tecrübesi bulunmuyor. Tecrübe eksiği olan, kendi alanında kariyer ve itibar sahibi bu üyeler ile komiteler oluşturuyorlar ve maalesef verim alamıyorlar. Bir diğer hata da bağımsız üye olarak eş, dost, akraba veya tanıdık diğer iş insanlarını yönetim kuruluna dahil etmek.
Esasen, üçlü hat ve bunun şirket içinde tam olarak uygulanması ve verim alınması bir uzmanlık meselesi. Ayrı bir uzmanlık gerektiriyor. Bu nedenle, yukarıda bahsettiğim profilde üyelerin, yerine muhakkak üçlü hat tecrübesine sahip bir üyenin bağımsız üye olarak alınması gerekiyor. Elbette Türkiye’de yaygın uygulamada gördüğümüz sektör deneyimi sahibi veya ekonomi/finans alanında ün yapmış akademisyenlerin tercih edilmesi de anlaşılabilir bir tercih ancak iki tane bu minvalde üye almak yerine, bir tane de üçlü hat deneyimine sahip, bu sistemleri şirket içinde çalıştırabilir, Yönetim Kuruluİcra ilişkilerinde tecrübeli, aile şirketlerinde çatışma yönetimi konusuna hakim, iletişimi güçlü, Yönetim Kurulu’nu ve İcrayı birlikte verimli çalıştırma strateji ve araçlarına sahip üye tercih edilmelidir.
Doğru formül bir ekonomi/finans/sektör deneyimi sahibi üye, bir tane de yukarıda bahsedilen profilde üye olmalıdır. Tek bir bağımsız üye alacaksak, üçlü hat, aile şirketleri dinamikleri, yönetim sistemleri ve kurumsal yönetim alanlarında deneyimli olan üyeyi tercih etmekte ve Komiteleri bu tecrübeli uzmanlara emanet etmekte fayda var.
BAĞIMSIZ ÜYE BİZE NE KATKI SAĞLAR?
En başta iç denetim ve iç kontrolün şirket içinde etkin hale getirilmesi, risk yönetiminin işlevsel ve fayda sağlar vaziyette çalışması, stratejik risklerin izlenmesi ve yönetiminde İcra ve YK’ya rehberlik yapılması, YK ve İcra uyumunun sağlanması ve çatışmaların çözülmesine katkı sağlanmasını sayabiliriz. Bağımsız üye olmadan iç denetimden, özellikle de orta üst ve büyük ölçekli aile şirketlerinde fayda sağlamak zor. Bunu da eklemek gerek.
Bu görevlerine yerine getirilmesi sonrası, elbette ekonominin yorumlanması, finansman, yatırım, satın alma, vergi stratejileri, muhasebe politikaları, birleşmeler veya uluslararası açılımlar gibi konulara katkı sağlamalarını da bekleyebiliriz. Tüm özellikleri bir arada sağlayan bağımsız üye bulmak zor olduğundan en az 2 bağımsız üye ile Yönetim Kurulu’nu güçlendirmek, bunu da SPK’nın Kurumsal Yönetim İlkelerine uygun olarak yapmayı öneriyoruz.
Bağımsız üyelik sistemi Yönetim Kurulu'nun etkin ve kurumsal bir yapıda çalışmasını teşvik eder.
Bağımsız Yönetim Kurulu üyelerini icrai veya murahhas üye olarak kullanmamak önemlidir. Bu üyelerin icraatı dışarıdan gözlemlemesi, değerlendirmesi ve yol göstermesi için icradan bağımsız konumlanmış olmaları gerekmektedir. Sektör deneyimi sahibi, yönetim kurulunuzda olmasında fayda gördüğünüz "marka" kişileri, eğer kendilerine icrai roller verecekseniz, bağımsız değil, normal yönetim kurulu üyesi olarak konumlayınız.