İÇ DENETİM Kavramsal Çerçeve Yapılanma Biçimi

İÇ DENETİM Kavramsal Çerçeve Yapılanma Biçimi Hazırlayan M. Aykut KELECİOĞLU Ağustos 2014 1

1. İÇ DENETİM NEDİR? Uluslararası İç Denetçiler Enstitüsü nün (The Institute of Internal Auditors-IIA) Haziran 1999 da kabul etmiş olduğu tanıma göre; "İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur. İç denetimin işletme organizasyonu içindeki konumunu değerlendirdiğimizde; İç denetim, bir organizasyon yapısı içinde bağımsız bir değerlendirme fonksiyonu için kurulan ve kurumun faaliyetlerini kontrol ve değerlendirme hizmetlerini sunan bir birimdir. Bu açıdan bakıldığında iç denetim; organizasyon içinde bağımsız olarak kurulan ve işletme faaliyetlerini bağımsızca inceleyen, analiz eden ve değerlendiren bir fonksiyondur. İç denetimin amacı gözden geçirilen faaliyetlerle ilgili nesnel analizler, değerlendirmeler, tavsiyeler ve yorumlar yaparak yönetimin tüm üyelerine sorumluluklarını etkili bir biçimde yerine getirmede yardımcı olmaktır. İç denetim yönetsel bir kontroldür; diğer kontrollerin etkinliğini ölçer ve değerlendirir. İç denetim yönetim hedeflerinin gerçekleşme yolunda olduğu konusunda yeterli güvence sağlamada yararlanılan bir yönetim aracıdır. Bu nedenle iç denetim yapısının yeterliliğinden ve etkinliğinden yönetim sorumludur. Diğer bir açıdan iç denetim mali nitelikteki faaliyetler ile mali nitelikte olmayan faaliyetlerin gözden geçirilerek değerlemesinin yapıldığı bir denetim türüdür. İç denetim işletmedeki kontrollerin etkinliğini ölçmeyi ve bu kontrolleri değerlemeyi hedef alır. Bu açıdan çok önemli bir yönetim kontrol aracıdır. İç denetim üst yönetim için aynı zamanda müşavirlik/danışmanlık hizmeti de vermekte ve yönetimin bilgiye dayanan kararlar almasını sağlamaktadır. İç denetim raporlarında faaliyetlerin etkinliği ve verimliliği araştırılarak bu konuda yönetime tavsiyelerde bulunur. Geleneksel anlamda iç denetim faaliyetlerinin hedefi her türlü riski bulmak ve ortadan kaldırmaktır. Günümüzde ise iç denetim bireye ve hataya dayalı yaklaşımdan, organizasyona, sürece ve sisteme odaklı bir yaklaşıma dönüşmektedir. Diğer bir ifadeyle işin doğru yapılıp yapılmadığı yerine doğru işin yapılıp yapılmadığını irdeleyen bir yaklaşım gündemdedir. Dünün işlem ve hata odaklı iç denetim yaklaşımı, bugün süreç odaklı, işin etkinliğinin artırılmasına yönelik stratejik akıl ortaklığına doğru değişim ve gelişim göstermiştir. İşletmelerde iç denetim; risk ve kontrol değerleme faaliyetlerine destek sağlar, işletme faaliyetlerini izler, faaliyetlere ilişkin risk ve kontrol faaliyetleri ile ilgili önerilerde bulunur, kontrollerin uygunluğunu ve etkinliğini test eder. İç Denetim faaliyetinin çok yönlü kapsamı; mali denetim, uygunluk denetimi, operasyonel denetim ve bilgi sistemleri denetimi gibi çeşitli denetim faaliyetlerini içerir. Olumsuz ekonomik koşulların hüküm sürdüğü kriz dönemlerinde iç denetçilerin rol ve sorumlulukları daha da önem kazanmaktadır. Ekonomik krizin şirketleri olumsuz etkilediği bu zor dönemlerde iç denetçilerin şirkete yapacağı katkılar, alınan önlemlerin uzun vadede başarı sağlaması ve etkili olmasında yardımcı olacaktır. Ekonomik kriz dönemlerinde risk yönetiminin önemi bir kat daha artmaktadır. Etkin bir risk yönetiminin yapılmamasının şirkete olan etkileri kriz dönemlerinde katlanacaktır. İç denetçilerin asli görevlerinden biri risk yönetiminin etkinliğini değerlendirmektir. İç denetçiler yönetim kurullarına risk yönetiminin etkinliğine ilişkin güvence verirken, şirket yönetimine de bu konuda destek ve yardımcı olacaklar, 2

önerilerde bulunacaklardır. Kriz dönemlerinde stok, alacak, nakit ve borçlanma yönetimi gibi konular ve bunlara ilişkin riskler ön plana çıkar. Denetim planında işletme sermayesi yönetimi, kredi riski yönetim gibi konulara ağırlık verilmesi şirkete olan katkıyı arttıracaktır. Kriz dönemlerinde verimlilik oldukça önem kazanır. Gelir arttırıcı unsurların değerlendirilmesi yanında özellikle tasarruf eğilimi ön plana çıkar. Birçok şirket iş süreçlerini tekrar gözden geçirerek verimlilik sağlayacak önlemleri alır. İç denetçiler, görevlerini ifa ederken şirketin iş süreçlerini analiz eder ve değerlendirirler. Katma değer yaratmak için bu süreçleri zaman zaman en iyi uygulamalar ile karşılaştırır, etkin risk yönetimini temin edecek, iç kontrol ortamını güçlendirecek ve verimlilik sağlayacak önerilerde bulunurlar. Kriz dönemlerinde verimlilik denetimlerine ağırlık verilmesi ve iç denetçilerin bağımsızlığı zedelemeyecek şekilde verimliliğe yönelik projelerde yer alması sağlanmalıdır. İç denetim tanımı incelendiğinde aslında iç denetim faaliyetinin temelde iki tane fonksiyonunun olduğu görülmektedir. 1. Güvence sağlama 2. Danışmanlık Güvence sağlama fonksiyonu aslında denetim faaliyetinin en klasik olarak nitelendirilebilecek fonksiyonudur. Uluslararası İç Denetim Standartlarına göre güvence hizmetleri; kurumun risk yönetimi, kontrol ve yönetişim süreçlerine dair bağımsız bir değerlendirme sağlamak amacıyla delillerin objektif bir şekilde incelenmesidir. Mali yapıya, performansa, mevzuat ve düzenlemelere uyuma, bilgi sistemleri güvenliğine ve ihtimam denetimine (due diligence; ayrıntılı durum tespit çalışması) yönelik görevler bu kapsamdaki örneklerdir. İç denetimin güvence vermesinin anlamı, günlük icrai faaliyetlerden bağımsız olarak idari sorumluluk almaksızın, kurumun amaç ve hedeflerinin gerçekleştirilmesi için oluşturulan kurumsal yönetim, risk yönetimi ve kontrol sistemlerinin söz konusu amaç ve hedeflere ulaşabilmek için yeterli, etkin ve verimli bir şekilde çalışıp çalışmadığının kanıtlara dayalı bir şekilde değerlendirilmesi ve kurum içinde bu değerlendirmeye ihtiyaç duyan başta yönetim kurulu ve üst düzey yöneticilere sunulmasıdır. Danışmanlık fonksiyonu için ise şunları söylemek mümkündür. Geleneksel anlamda iç denetim faaliyetlerinin hedefi her türlü riski bulmak ve ortadan kaldırmaktır. Başka bir ifade ile iç denetim birimi işletme içerisinde faaliyetlerin önceden belirlenen standartlara, politikalara ve hedeflere uygun bir şekilde yerine getirilip getirilmediğini kontrol eden bir birimdir. İç denetim üst yönetim için aynı zamanda müşavirlik/danışmanlık hizmeti de vermekte ve yönetimin bilgiye dayanan kararlar almasını sağlamaktadır. İç denetim raporlarında faaliyetlerin etkinliği ve verimliliği araştırılarak bu konuda yönetime tavsiyelerde bulunulur. Danışmanlık Hizmetleri; her hangi bir idarî sorumluluk üstlenmeden, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden, niteliği ve kapsamı denetlenen ile birlikte kararlaştırılan istişarî faaliyetler ve bununla bağlantılı diğer hizmetlerdir. Usul ve yol göstermek, tavsiyede bulunmak, işleri kolaylaştırmak ve eğitim vermek, bu kapsamdaki faaliyet örnekleridir. Burada belirtildiği gibi danışmanlık hizmetlerinde herhangi bir idari sorumluluk üstlenilmemesi son derece önemlidir. Danışmanlık fonksiyonu olmayan ve salt güvence sağlamaya yönelik bir iç denetim dış denetim faaliyetinden farksız bir nitelik kazanacak ve fonksiyon itibariyle zayıflayacaktır. 3

İç denetçiler, danışmanlık hizmetlerini normal veya rutin çalışmalarının bir parçası olarak ya da kurum yönetiminin talepleri üzerine yürütebilir. Her kurum, yapılacak danışmanlık faaliyetlerinin türünü göz önünde bulundurmalı ve her tür için ayrı bir politika veya prosedür gerekip gerekmediğinin kararını vermelidir. Muhtemel görev sınıflamaları arasında şunlar sayılabilir. Resmî danışmanlık görevleri: Planlanmış ve yazılı bir anlaşmaya tâbi olan görevler. Gayriresmî danışmanlık görevleri: Daimî komitelere katılmak, sınırlı süreli projeler, belli bir proje veya amaca yönelik toplantılar ve olağan bilgi alışverişi gibi rutin faaliyetler Özel danışmanlık görevleri: Bir birleşme ve devralma ekibine ya da sistem dönüştürme ekibine katılmak Acil durum danışmanlık görevleri: Bir felâket veya olağanüstü nitelikte başka bir olay sonrasında, faaliyetlerin sürdürülmesi veya toparlanması amacıyla kurulan bir ekibe katılmak ya da özel bir talebi karşılamaya veya acil bir işi yetiştirmeye yardımcı olmak için, geçici yardım vermek amacıyla kurulmuş bir ekibe katılmak. Danışmanlık hizmetleri kurum yönetiminin talebi üzerine veya normal çalışmalarının bir parçası olarak yerine getirilebilir. Danışmanlık fonksiyonunun yerine getirilmesi için çok çeşitli yöntemler söz konusu olabilir. Bunlardan bazılarına aşağıda yer verilmeye çalışılmıştır.. Şirket içindeki stratejilerin, politikaların veya uygulama usullerinin oluşturulması,. Bu amaçla yapılan toplantılara katılmak veya görüş vererek katkı sağlamak, Strateji, politika ve uygulama usulleri ile ilgili hazırlanan yönetmelik, uygulama talimatları vb. dokümanlara görüş vermek, İç denetim faaliyetinin gerçekleştirilmesi aşamasında, uygulayıcılara yapılan yanlışlıklar ve yapılması gerekenler ile ilgili yol göstermek, tavsiyede bulunmak, İç denetim faaliyetinin gerçekleştirilmesi aşamasında, iş yapış yöntemlerinin kolaylaştırılmasına yönelik önerilerde bulunmak, İletişimde olunan çalışanlar ile yapılan görüşmelerde dikkat edilmesi gereken hususlar ve uyulması gereken kurallar ile ilgili hatırlatma ve bilgilendirmelerde bulunmak, Çalışanların tereddüt ettikleri hususlar ile ilgili danışmak amacıyla sorduğu soruları cevaplamak, Çalışanlar arasında bilgi alışverişi sağlamak, Kurum personeli için gerekli olan, konusuyla ilgili çeşitli eğitim programları düzenlemek ve eğitimler vermek, 4

Daimi veya geçici yönetim komitelerine dahil olarak görüş bildirmek, Amaca yönelik toplantılara katılmak ve görüş bildirmek, Kurum içi sınırlı süreli veya belirli projelere katılmak, proje ekiplerinde yer alarak, gerçekleştirilen proje adımlarına ilişkin görüş vermek, Sistem dönüşümlerine yönelik proje ekibi içinde yer almak, Birleşme veya devir almalarda, bu amaçla oluşturulan ekipler içinde yer almak, Bir felaket veya olağanüstü nitelikteki olaydan sonra oluşturulan acil durum ekipleri içinde yer almak, Özel bir talebi karşılamak amacıyla oluşturulan ekiplere katılmak, Acil bir işi yetiştirmek amacıyla kurulan gecici ekiplere katılmak. İç denetim tanımından ve anlamından yola çıkarak, iç denetim üzerinde değinilmesi gereken önemli konulardan birisi de iç denetim birimlerinin bağımsızlığı ve objektifliğidir. 01.01.2013 den itibaren geçerli Uluslararası İç Denetim Standartları nın Nitelik Standartları bölümünde aşağıdaki açıklamalara yer verilmiştir. 1100 Bağımsızlık ve Objektiflik İç denetim faaliyeti bağımsız olmak zorundadır ve iç denetçiler görevlerini yaparken objektif davranmak zorundadır. Yorum: Bağımsızlık, iç denetim faaliyetinin sorumluluklarını tarafsız olarak yerine getirme kabiliyetini tehdit eden şartlardan uzak olmak demektir. İç denetim faaliyetinin sorumluluğunu etkili bir şekilde yerine getirmek için gerekli olan bağımsızlık mertebesine erişmek amacıyla iç denetim yöneticisi üst seviye yönetime ve yönetim kuruluna doğrudan ve sınırsız bir şekilde ulaşma imkânına sahiptir. Bu durum, çifte raporlama ilişkisi vasıtasıyla elde edilebilir. Bağımsızlığa yönelik tehditler, denetçi, görev, fonksiyon ve kurum seviyelerinde ele alınmak zorundadır. Objektiflik (nesnellik), iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir şekilde inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri şekilde yapmalarını sağlayan tarafsız bir zihinsel tutumdur. Objektiflik, iç denetçilerin, denetim konularına ilişkin karar ve yargılarını başkalarınınkilere bağlamamalarını gerektirir. Objektifliğe yönelik tehditler, denetçi, görev, fonksiyon ve kurum seviyelerinde ele alınmak zorundadır. 1110 Kurum İçi Bağımsızlık İç Denetim Yöneticisi, kurum içinde, iç denetim faaliyetinin sorumluluklarını yerine getirmesine imkân sağlayan bir yönetim kademesine bağlı olmak zorundadır. İç Denetim Yöneticisi, en az yılda bir, yönetim kuruluna iç denetim faaliyetinin kurum içi bağımsızlığını teyit etmek zorundadır. Yorum: 5

Kurum içi bağımsızlık iç denetim yöneticisinin işlevsel olarak yönetim kuruluna raporlama yapmasıyla etkili şekilde sağlanır. İşlevsel raporlama örnekleri, yönetim kurulunun; İç denetim yönetmeliğini onaylaması, Risk amaçlı iç denetim planını onaylaması, İç denetim bütçe ve kaynak planlarını onaylaması, İç denetim yöneticisinden iç denetim faaliyetinin plana ve diğer konulara göre başarımı (performansı) hakkında bilgi alması, İç denetim yöneticisini atama ve azletme kararlarını onaylaması, İç denetim yöneticisinin ücretini onaylaması, Yönetimle ve iç denetim yöneticisiyle, kapsam uygunsuzlukları ya da kaynak kısıtları olup olmadığı hakkında görüşmeler yapmasıdır. 1110.A1 İç denetim faaliyeti (birimi), iç denetimin kapsamının belirlenmesi, iç denetim işlerinin yapılması ve sonuçların raporlanması konularında her türlü müdahaleden uzak ve serbest olmak zorundadır. 1111 Yönetim Kurulu ile Doğrudan Etkileşim İç Denetim Yöneticisi Yönetim Kurulu ile doğrudan iletişim ve etkileşimde olmak zorundadır. 1120 Bireysel Objektiflik İç denetçiler, tarafsız ve önyargısız bir şekilde davranmak ve her türlü çıkar çatışmasından kaçınmak zorundadır. Yorum: Menfaat çatışması, itimat gerektiren bir pozisyonda bulunan bir iç denetçinin rekabet halinde meslekî veya kişisel çıkarlarının olması durumdur. Bu tarz birbirine rakip çıkarlar, iç denetçinin görevlerini tarafsız olarak yerine getirmesini zorlaştırabilir. Menfaat çatışması, etiğe aykırı ya da uygunsuz hiçbir davranış vuku bulmasa bile söz konusu olabilir. Menfaat çatışması, iç denetçiye, iç denetim faaliyetine ve iç denetim mesleğine olan güven duygusuna zarar verebilecek bir uygunsuzluk görüntüsüne yol açabilir. Menfaat çatışması, kişinin görev ve sorumluluklarını tarafsız bir şekilde yerine getirmesine zarar verebilir. Kurum içerisinde iç denetimin bağımsızlığını tehdit eden çok sayıda unsur olabilir. Yönetim Kurulunun iç denetim faaliyetleri konusunda ilgisinin yetersiz olması, iç denetimin kurumsal yönetim sürecindeki yerinin belli olmaması, birim yöneticileri ve çalışanların iç denetim faaliyetlerine direnç göstermeleri ve bu direncin aşılması için yönetim kurulu ve üst yönetimce gereken önlemlerin alınmaması, risk yönetimi ve iç kontrol sistemleri konusunda kurum içinde genel bir fikir birliğinin olmaması, denetim planına ve uygulanmasına müdahale edilmesi gibi unsurlar iç denetim biriminin bağımsızlığını olumsuz etkileyen hususlardır. Yönetim kurulunun aktif desteği olmaksızın iç denetim biriminin bu sorunları tek başına çözmesi mümkün olmayıp yine tek başına çözmesi de dirençle karşılaşacağından doğru değildir. İç denetim birimlerinin bağımsızlıklarının sürdürülebilmesi için iki temel unsur vardır. İlk husus başta İç Denetim Yöneticisi olmak üzere tüm iç denetçilerin bağımsızlıkların önemini, yönetmelikleri ve standartlar paralelinde iyi kavramaları, ikinci önemli unsur ise yönetim kurulu ve üst düzey yöneticilerin iç denetim biriminin bağımsızlığına saygı göstermesi ve bu bağımsızlığı desteklediğini kurum içinde göstermesidir. Yeterince bağımsız 6

olmayan, etki ve yönlendirme altında bulunan, denetlediği alanlarla ilgili bilgilere erişimde sorunlar yaşayan, kaynak temininde engellemelerle karşılaşılan bir iç denetim biriminin iç denetim faaliyetinin tanımında yer alan diğer sorumluluklarını yerine getirmesini ve katma değer sağlamasını beklemek doğru olmayacaktır. Bağımsızlığın sürdürülmesi başta iç denetim yöneticilerinin sorumluluğunda olmakla birlikte; bunun sağlanması ve sürdürülmesi amacıyla aksayan hususlar derhal yönetim kurulu veya üst yönetime bildirilmeli, söz konusu aksayan hususların giderilmesinde üst yönetimin desteği sağlanmalıdır. İç Denetim departmanları, iç denetim bölümünün başkanına örgütsel bağımsızlık sağlayacak biçimde düzenlenmelidir. İç denetim standartları iç denetim bölümünün başkanının, iç denetim eylemiyle ilgili sorumluluklarını hakkıyla yerine getirebilmesine izin verecek biçimde yürüteceği bir düzeye rapor vermesini öngörmektedir. İç Denetim Biriminin doğrudan yönetim kuruluna bağlı olması ve kurula veya denetim komitesine raporlama yapması iç denetim biriminin bağımsızlığını kuvvetlendireceği gibi, yönetim kurulunun etki bir risk yönetimi ve iç kontrol sistemine sahip olması yönündeki sorumluluğunu da yerine getirmesine yardımcı olacaktır. İç denetim biriminin fonksiyonel açıdan yönetim kuruluna bağlı olması ve ona raporlama yapması, idari açıdan da genel müdür veya CEO ya bağlı olması en doğrusu olup IIA tarafından da önerilmektedir. İdari açıdan CEO ya bağlılık, fonksiyonel açıdan yönetim kuruluna bağlılık yerine geçmez. İdari açıdan bağlılık öncelikle kurum idaresinden sorumlu en üst düzey yönetici olan genel müdür veya CEO nun denetim sonuçlarından haberdar olması, iç denetim faaliyetleri amacıyla iç kontrol sisteminin işlerliği konusunda tarafsız bir değerlendirme alması, denetim bulgularına ilişkin ilgili birimlerce alınacak önlemlerin alındığından ve iç denetim faaliyetlerinin gerçekleştirilmesi için gerekli kaynakların ayrıldığından emin olunması anlamını taşır. 2. İÇ DENETİMİN KAPSAMI VE TÜRLERİ 2.1. İÇ DENETİMİN KAPSAMI Uluslararası İç Denetim Standartlarına göre; 2100 İşin Niteliği İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, yönetişim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak zorundadır. İç denetimin tanımımda yer alan ve iç denetim faaliyetinin içeriğini oluşturan ana unsurlar; - Risk yönetimi - Kontrol - Kurumsal yönetim kavramlarıdır. 7

Bu bakış açısıyla iç denetimi fonksiyonel açıdan üçe bölmek mümkündür. İç Denetim İç Kontrol Risk Yönetimi Kurumsal Yönetim 2.1.1. KURUMSAL YÖNETİM (YÖNETİŞİM) Uluslararası İç Denetim Standartları eki terimler sözlüğünde Kurumsal Yönetim (Yönetişim); yönetim kurulu tarafından, kurumun amaçlarına ulaşmaya yönelik olarak, kurumun faaliyetlerinin raporlanması, yönlendirilmesi ve izlenmesi amacıyla uygulanan yapı ve süreçlerin bir bileşimidir. Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda bulunulmuştur. 2110 Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır: Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi, Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini, Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi, Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak. 2110.A1 İç denetim faaliyeti, kurumun etikle ilgili amaç, program ve faaliyetlerinin tasarımını, uygulanmasını ve etkinliğini değerlendirmek zorundadır. 2110.A2 İç denetim faaliyeti, kurumun bilgi teknolojileri yönetişiminin kurumun strateji ve amaçlarını destekleyip desteklemediğini değerlendirmek zorundadır. Kurumsal yönetim, kurum faaliyetlerinin hedeflerinin belirlenmesi, hissedarlar, yönetim kurulu ve yöneticiler arasındaki ilişkilerin, karşılıklı hak ve yükümlülüklerin net olarak belirlenmesi, bu hedeflere ulaşmak için kurum faaliyetlerinin yönetilmesi ve kontrol edilmesi için geliştirilen politika, süreçler ve yapının oluşturulması, bu yapı ve kurum faaliyetlerinin gerçekleştirilmesine yönelik yönetim kurulunun güçlü bir gözetim sisteminin olmasıdır. Bunlara ilave olarak; kurum hedeflerinin gerçekleştirilmesine tutarlı ve sorumlu yönetim ve operasyonlar, etik kurallara bağlılık, hissedarların yanı sıra kurum çalışanları, müşteriler, tedarikçiler, kamu otoriteleri gibi muhtelif hedef ve beklentileri olan paydaşların menfaatlerinin 8

etik kurallara uygun bir şekilde korunması kurumsal yönetim tanımının ortak özellikleri arasındadır. Türkiye, bir bütün olarak kurumsal yönetim ilkeleri ile ilk kez 2003 yılında Sermaye Piyasası Kurulu nun girişimiyle tanışmıştır. Bu tarihten 2011 yılına kadar, halka açık şirketlerce gönüllülük esasına dayalı olarak uygulanması öngörülen kurumsal yönetim ilkelerine ilişkin hukuki ve teknik altyapı oluşturulmuştur. 2011 de yapılan düzenleme ile borsada işlem gören şirketlerden belli niteliğe haiz olanlar için kurumsal yönetim ilkelerine uyum zorunluluğu getirilmiş, 2013 yılında ise halka açık anonim şirketlerin yanı sıra, kıyasen uygulanmak üzere sermaye piyasası kurumlarını, borsaları, piyasa işleticilerini ve diğer teşkilatlandırılmış piyasaları da kapsayacak şekilde Sermaye Piyasası Kuruluna kurumsal yönetim ilkelerini uygulatma konusunda yetki verilmiştir. Ülkemizde kurumsal yönetim kapsamındaki firmalar, Sermaye Piyasası Kurulu tarafından yayımlanan kurumsal yönetim ilkelerine ve konu ile ilgili olarak yayımlanmış tebliğlere uymak durumundadırlar. 2.1.2 RİSK YÖNETİMİ Uluslararası iç denetim standartlarına göre; risk yönetimi kurumun amaçlarını gerçekleştirmek üzere makul bir güvence sağlamak amacıyla potansiyel olay ve durumları belirlemek, değerlendirmek, yönetmek ve kontrol etme sürecidir. Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda bulunulmuştur. 2120 Risk Yönetimi İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine katkıda bulunmak zorundadır. Yorum: Risk yönetimi süreçlerinin etkin olduğuna karar vermek, iç denetçinin aşağıdaki konulardaki değerlendirmelerinin doğurduğu bir yargıdır: Kurumsal amaçlar, kurumun misyonunu destekliyor ve onunla aynı paraleldeyse, Önemli riskler belirlenmiş ve değerlendirilmişse, Riskleri kurumun risk iştahı ile aynı paralele getiren uygun risk cevapları seçildiyse, Personelin, yönetimin, denetim komitesi ve yönetim kurulunun sorumluluklarını yerine getirmesine yardımcı olan ilgili risk bilgisi elde edilip zamanında kurum genelinde yayımlandıysa. İç denetim faaliyeti çeşitli görevleri süresince bu değerlendirmeyi desteklemek üzere bilgi toplayabilir. Bu görevlerin sonuçları, birlikte gözden geçirilmeleri durumunda kurumun risk yönetim süreçlerinin ve bunların etkililiğinin anlaşılmasını sağlar. Risk yönetimi süreçleri, devam eden yönetim faaliyetleri veya ayrı değerlendirmeler veya bunların her ikisi ile izlenir. 2120.A1 İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek zorundadır: Kurumun stratejik hedeflerine ulaşması, 9

Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu, Faaliyetlerin ve programların etkinlik ve verimliliği, Varlıkların korunması, Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum. 2120.A2 İç denetim faaliyeti, suiistimalin gerçekleşme ihtimalini ve kurumun suiistimal riskini nasıl yönettiğini değerlendirmek zorundadır. 2120.C1 İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla uyumlu şekilde riski ele almak ve diğer önemli risklere karşı uyanık olmak zorundadır. 2120.C2 İç denetçiler, danışmanlık görevlerinden elde ettikleri risk bilgilerini, kurumun risk yönetim süreçlerini değerlendirmede kullanmak zorundadır. 2120.C3 İç denetçiler, risk yönetim süreçlerini kurmada veya geliştirmede yönetime yardım ederken, riskleri gerçekte yönetmek suretiyle yönetim sorumluluğu almaktan kaçınmak zorundadırlar. Bütün firmalar hedeflerini gerçekleştirmek amacıyla tüm faaliyet ve operasyonlarında gerek kendi organizasyon yapıları ile iç işleyişlerinden ve gerekse dış etkilerden kaynaklanan muhtelif risklerle karşı karşıya kalmaktadırlar. Tüm bu risklerden doğabilecek zararların yok edilmesi veya azaltılması için söz konusu risklerin sistematik risk yönetim süreci takip edilerek kurumsal çapta yönetilmesi gerekmektedir. Risk yönetimi süreci ise, risklerin tanımlanması, uygun bir şekilde ölçülmesi ve yönetilmesi adımlarını içermektedir. Herhangi bir riskle karşı karşıya kalma ihtimali olmayan bir sektör ve iş kolunun olması mümkün değildir. Bütün kurumlar, faaliyetlerine ve kurumun geleceğine yönelik olumsuz sonuçlar doğurabilecek risklerin neler olduğunu ve bunlara karşı ne tür önlemler almaları gerektiğini bilmek zorundadır. TÜSİAD Risk Yönetimi Çalışma Grubu tarafından hazırlanan Kurumsal Risk Yönetimi Rehberinde yer alan tanımına göre Kurumsal Risk Yönetimi; şirketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin yönetim kurulu, üst yönetimi ve tüm diğer çalışanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. Kurumsal Risk Yönetiminin bir şirkete sağladığı başlıca faydalar; Sürdürülebilir karlılık ve büyümenin sağlanması, gelir dalgalanmalarının minimize edilmesi, risk kararlarının daha sağlıklı alınması, sürprizlere hazırlıklı olunması, stratejilerin ve alınan risklerin uyumlu olması, fırsatların ve tehditlerin daha iyi tespit edilmesi, rekabet gücünün arttırılması, etkili kaynak kullanımı, yasa ve düzenlemelere uyum, itibar ve güvenin korunması, kurumsal yönetim kalitesinin sürekliliği, şirket değerinin yükselmesidir. Konu ile ilgili olarak yeni TTK da da düzenlenmeler yapılmış olup, bu düzenlemelere aşağıda değinilecektir. 10

2.1.3 İÇ KONTROL Kontrol, yönetimin, denetim kurulunun, yönetim kurulunun ve diğer uygun birimlerin riski yönetmek ve belirlenen amaç ve hedeflere ulaşma ihtimalini artırmak amacıyla aldığı tedbirlerdir. Yönetim, hedef ve amaçların gerçekleştirilmesine yönelik makul bir güvence sağlamak için yeterli tedbirin alınmasını planlar, tertipler ve yönlendirir. Uluslararası Denetim Standartlarında ise konuya ilişkin aşağıdaki açıklamalarda bulunulmuştur. 2130 Kontrol İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmak zorundadır. 2130.A1 İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde bulunan risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki konularla ilgili olarak değerlendirmek zorundadır: Kurumun stratejik hedeflerine ulaşması, Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu, Faaliyetlerin ve programların etkinlik ve verimliliği, Varlıkların korunması, Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum. 2130.C1 İç denetçiler, danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, kurumun kontrol süreçlerini değerlendirmede kullanmak zorundadır. COSO 1 modelinde iç kontrolün tanımı şu şekildedir. İç kontrol, kurumun yönetim kurulu, üst yönetimi ve diğer personeli tarafından etkilenen ve aşağıdaki hedeflerin yerine getirildiğine dair makul güvence sağlamak amacıyla dizayn edilmiş kapsamlı bir süreçtir. - Operasyonların etkinliği ve verimliliği - Finansal raporların güvenilirliği - Yasa ve mevzuata uyum İç kontrol sisteminin temel hedefi firmanın hedeflerinin gerçekleştirilmesidir. Operasyonların etkinliği ve verimliliği, tüm operasyonel süreçlerin kurum aktiflerini, maddi kaynaklarını ve kıymetlerini koruyacak ve muhafaza edecek şekilde etkin, verimli, düşük maliyet ve performans ile kullanılmasını, üretim, satış, hizmet operasyonlarının etkin ve verimli bir şekilde gerçekleştirilmesi ile karlılık hedeflerine ulaşılmasını kasteder. Finansal raporların güvenilirliği, firma faaliyetlerine yönelik tüm dönemsel ve yıllık faaliyet raporlarında yer alan verilerin ve açıklamaların doğruluğunun saptanmasını, mevzuata uyum ise gerek finansal raporlama gerekse diğer tüm firma faaliyetlerinde tüm dış yasal yükümlülüklerin yerine 1 Committe of Sponsoring Organizations of the Treadway Commission (Treadway Komisyonu Sponsor Organizyonlar Komitesi) : İç denetim ve iç kontrol uygulamalarına yön veren ve ana amacı finansal raporlamanın kalitesini artırmak olan uluslararası kurum. 11

getirilmesi ile kurum içinde geliştirilen politika ve prosedürlere uyumlu olarak göstermesini ifade etmektedir. faaliyet İç kontroller; şirket faaliyetlerinin etkin ve verimli olması, mali raporların güvenilir üretilmesi, yasal mevzuata uygun yürütülmesi işlevlerinden ötürü önem taşımaktadır. İç kontrol; standartlaşmış süreçler yardımıyla operasyonların etkinliğini ve verimliliğini arttırır. Bir organizasyonda kontrollerin varlığı, süreçlerin standart tanımları, görev tanımları, kuralların düzenlenmesi ve sonuç olarak işletme etkinliğinin ve verimliliğinin artırılmasında katma değer yaratır. Aynı zamanda kontrol faaliyetleri aracılığıyla işletmenin var olan varlıklarının korunmasını sağlar. Çünkü işletme büyüdükçe varlıklarını korumak sistemsel bir sorun haline gelmektedir. İç kontrol; mali raporların güvenilirliğini sağlar. Mali tabloların güvenilir olması yönetimin ticari kararlarda doğru kararlar alması, işletme içi herhangi bir yolsuzluğun önlenmesi veya tespitinde yardımcı olur. İç kontrol; gerek işletme içi, gerekse yasal düzenlemelerin getirdiği kurallara uygunluğun (uyumunun) sağlanmasında yardımcı olur, güvence sağlar. Diğer bir ifadeyle iç kontrol sisteminin bir işletmede var olmamasının olumsuz sonuçları; para ve mal kaybı, hatalı kararlar alınması, hile ve dolandırıcılıklarla karşı karşıya kalınması, gelir kaybı ve amaçlara ulaşılamamasıdır. Bu işlevsel özellikleri nedeniyle iç kontroller; şirket varlıklarının korunması, kaynak ve gelir kayıplarının önlenmesi, doğru ve amaca ulaştıran kararlar alınması, hile ve dolandırıcılıkların önlenmesi, tespit edilmesi için şirket yönetimine yardımcı olur. Kısaca özetlemek gerekirse; iç kontrol, süreç ve iş akışları içine yerleştirilen, kişilerden etkilenen, şirketin amaçlarına ulaşmasında kullanılan bir araçtır. Makul ölçüde güvenilirlik sağlar. Bu özellikleri ile iç kontrol şirket yönetiminin sorumluluğundadır. İç kontrol sisteminin ilk hedefi mali ve operasyonel bilgilerin doğruluğunun saptanmasıdır. Bir kurumda doğru karar alınabilmesi doğru ve tam bilgiye bağlıdır. Kurum içersinde üretilen ve kurumun tüm faaliyetlerine yönelik her türlü finansal ve operasyonel bilgi ve bu bilgilerle hazırlanan faaliyet raporları ile finansal raporlar kurumun geleceğine yönelik karar almasına temel teşkil edecektir. İç kontrolün diğer önemli hedefi, kurum operasyonlarının etkinliği ve verimliliğidir. Bu hedefe ise, söz konusu hedefe ulaşmayı engelleyen risklerin giderilmesiyle ulaşılabilecektir. Bunun yolu da iç kontrolden geçmektedir. Kurum kaynaklarının korunması iç kontrol değerlendirmelerinin bir parçası olarak iç denetimin değerlendirmesi gereken en önemli konular arasında bulunmaktadır. Kurum kaynakları, insan kaynağı, finansal kaynaklar, her türlü maddi kaynaklar, bina ve tesisler gibi maddi varlıklar olabileceği gibi, imaj, itibar, telif hakkı gibi maddi olmayan varlıkları da içerir. İç kontrol kavramı içerisinde yer alan mevzuata uyum konusu, geleneksel denetim faaliyetlerinde ağırlıklı yöntem olarak kullanılan mevzuata uyum denetimlerini de içermekte, ancak bunu sadece işlemlerin mevzuata uyumunun denetimi ile sınırlı tutmamakta, bunun yanı sıra kurum çapında mevzuata uyum programlarının geliştirilmesine yardımcı olmak, kurumun mevzuata uygun işlem yapılmasını sağlamak amacıyla kurduğu uygunluk sisteminin de ne ölçüde etkin çalıştığını değerlendirmek ve mevzuata uygun faaliyette bulunulmasını engelleyebilecek risklerin oluşmadan önlenmesine yönelik öneriler geliştirmek yoluyla daha proaktif yöntemleri de içermektedir. 12

2.2. İÇ DENETİMİN TÜRLERİ Uluslararası İç Denetim Standartlarına uygun olarak iç denetim türlerini 5 e ayırmak mümkündür. 1. Finansal Denetimler: Finansal tabloların mevcudiyeti veya hazırlanması, bütünlüğü veya tamlığı, finansal tablolarda yer alan haklar veya yükümlülükler, finansal tabloların sunumu ve açıklanması süreçlerinin başarılı olup olmadığı konularında güvence sunmayı hedefleyen ve söz konusu süreçlerden bir veya birkaç tanesini aynı anda kapsayan denetim faaliyetleridir. 2. Kontrol Güvence Denetimleri: Operasyonel, finansal veya mevzuata uygunluk alanlarına ilişkin önemli kontrol faaliyetlerinin dizaynı ve işlerliğine yönelik sunulan güvence hizmetidir. 3. Mevzuata Uygunluk Denetimleri: Kurum tüm iş ve işlemlerinin; gerek kurum içi iç mevzuata gerekse kurum dışı kurumu ilgilendiren dış mevzuata uyumunun kontrol edilmesidir. 4. Bilgi Teknolojileri Denetimi: BT denetimi, kurumun tüm teknolojik altyapısının, donanım, yazılım, güvenlik ve bilgiye erişim konularının belli prensipler doğrultusunda sistematik bir şekilde denetime tabi tutulmasıdır. 5. Operasyonel Denetimler: Kurumların aktiflerinin olası herhangi bir zarar ve kayıp riskine karşı korunması, performans ve karlılık hedeflerinin gerçekleştirilmesini de içerecek şekilde kurumların her türlü operasyonlarının etkinliğine ve verimliliğine yönelik güvence hizmeti sunulmasıdır. 3. YENİ TÜRK TİCARET KANUNU ANLAMINDA İÇ DENETİM Yeni TTK, firmaların sahip olması gereken iç kontrol sistemleri konusunda açık bir düzenleme getirmemekte, şirketlerde etkin bir iç kontrol sisteminin varlığı açıkça şart olarak aranmamakta, etkin bir iç kontrol sisteminin varlığı konusunda yönetim kurullarına her hangi bir görev yüklememektedir. Ancak doğrudan olmamakla birlikte iç kontrol sistemine yönelik zımni de olsa bazı atıfların bulunduğunu söylemek mümkündür. Kanunun gerekçesinde kurumsal yönetim prensiplerine ve bir bütün olarak iç kontrol sistemine verdiği önemi, risk yönetimini yasal olarak düzenlemeyi uygun görmek suretiyle dolaylı yoldan gösterdiği varsayılabilir. Her ne kadar ne yasada ne de gerekçesinde risk yönetiminin nasıl yapılacağı ve iç kontrol sistemi ile arasındaki fonksiyonel bağlantı konularında bir açıklama yer almamakla birlikte, risk yönetiminin gerçekleştirilmesi için iç kontrol sisteminin varlığı bir gereklilik olmaktadır. Yeni TTK nun, 366. maddesinin ikinci fıkrası, yönetim kurulunun işlerin gidişini izlemek, kendisine sunulacak konularda rapor hazırlamak, kararlarını uygulatmak veya iç denetim amacıyla içlerinde yönetim kurulu üyelerinin de bulunabileceği komiteler ve komisyonlar kurulabileceğini hükme bağlamıştır. Yönetim kurulu ile ilgili söz konusu madde hükmüne ilişkin kanunun gerekçelerinde herhangi bir açıklama yer almamaktadır. Ancak, kanunun 366. madde hükümlerinde yer alan ifadeler kurumsal yapılarda ihtiyaç duyulan hususlar olup, iç denetim faaliyeti ve denetim komitesi uygulamalarının sermaye şirketlerinde gerekli hale geleceğini öngörebiliriz. 13

Kanunun 375. maddesinin 1/c fıkrasında; Muhasebe, finans denetimi ve şirketin yönetiminin gerektirdiği ölçüde, finansal plânlama için gerekli düzenin kurulması yönetim kurulunun devredilemez ve vazgeçilemez yetkileri arasında yer almaktadır. Bu hükmün gerekçesine baktığımızda ise; finans denetimi ile iç denetimin kastedildiğini görüyoruz. Kanunun gerekçesinde; finans denetim düzeninin kurulması, şirketin iş ve işlemlerinin denetlenmesine ilişkin bir iç denetim sisteminin ve bunu yapacak örgütün (bölümün) bulunması öngörülmektedir. Kanunun söz konusu gerekçesinde bahsedilen iç denetim sistemiyle iç kontrol sistemi, bunu yapacak örgüt olarak ise iç denetim birimi anlaşılmalıdır. Yine kanun gerekçesinde; şirket hangi büyüklükte olursa olsun, muhasebeden tamamen bağımsız, uzmanlardan oluşan, etkin bir iç denetim örgütüne gereksinim olduğu, bir anonim şirketin denetiminin sadece bir bağımsız denetim şirketine bırakılamayacağı, çünkü bağımsız denetim şirketinin çok sayıda müşterisinin olduğu ve çok çeşitli hizmetler sunduğu ve tüm müşterilerini içerden ve yakından izleyemeyeceği, finansal denetimin bir anlamda teftiş kurulunun yaptığı denetim olduğu, finansal denetimin şirketin iş ve işlemlerinin iç denetimi yanında, finansal kaynakların, bunların kullanılma şeklinin, durumunun, likiditesinin denetimi ve izlenmesini de içerdiği ve finansal denetimin kurumsal yönetim kurallarının gereği olduğu belirtilmiştir. 375. maddenin (e) fıkrasında ise Yönetimle görevli kişilerin özellikle kanunlara, esas sözleşmeye, iç yönergelere ve yönetim kurulunun yazılı talimatlarına uygun hareket edip etmediklerinin üst gözetiminin de yönetim kurulunun devredilemez yetki ve görevleri arasında olduğu belirtilmektedir. (c) fıkrasında sadece finansal denetim kapsamında dar anlamda ele alınan yönetim kurulunun denetim sorumluluğunun bu fıkra ile daha geniş bir uygulama alanı bulacağı açıktır. Ancak, kanunun ilgili (e) bendi gerekçelerinde üst gözetim ile kastedilenin hem kuramsal açıdan hem de işletme iktisadı yönünden gerekli olan işlerin akışının gözetimi olduğu belirtilirken, yönetim kurulunun bir kontrol ve denetim organı olmadığı da söylenmektedir. Yönetim kurulunun şirketin işletim ve yönetimi açısından geniş bir alana yayılan (insan kaynakları, satış, satın alma, üretim, planlama vb.) bir çok süreci kendisinin doğrudan kontrol ve denetimini sağlayamayacağı anlaşılmakla birlikte bu süreçlerin yönetiminden doğan sonuçlardan sorumluluğunun devam edeceği açıktır. Yönetim kurulunun devredilemez ve vazgeçilemez görev ve yetkilerini düzenleyen kanunun 375. madde hükümleri ve gerekçelerinden de anlaşılacağı üzere; tüm sermaye şirketleri için iç denetimin gerekli olduğu açık bir şekilde ifade edilmektedir. Yeni Türk Ticaret Kanunu ile birlikte şirket yönetim kurullarının, tanımına uygun modern ve etkili bir iç denetim fonksiyonu için uluslararası standartlarda bir iç denetim faaliyetini başlatabilmeleri için ise uygulamanın ikincil düzenlemelerle yönlendirilmesine ihtiyaç bulunmaktadır. TTK nun 378. Maddesinde pay senetleri borsada işlem gören şirketlerde, yönetim kurulu, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi, bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. Diğer şirketlerde bu komite, denetçinin gerekli görüp bunu yönetim kuruluna yazılı olarak bildirmesi halinde derhal kurulur ve ilk raporunu kurulmasını izleyen bir ayın sonunda verir hükmü yer almaktadır. Madde gerekçesinde ise Hüküm, hisse senetleri borsada işlem gören şirketlerde kurumsal yönetim ilkelerinin bir uygulamasıdır. Tüm şirketler için öngörülmüş olan finans 14

denetimi (375. Madde) ve denetim komitesi yanında bir diğer iç kontrol mekanizmasıdır. Bu komitenin denetim komitesinden farkı, denetim komitesinin yönetimi gözetim altında tutmasına karşılık bu komitenin sadece risklere odaklanmış olmasıdır. Denetçinin bir diğer önemli görevi de gereklilik ortaya çıktığı takdirde komitenin kurulması, hisse senetleri borsada işlem görmeyen bir şirketten de istemesidir. Açıklamalarına yer verilmiştir. 6102 sayılı TTK nun 1529. Maddesinde kurumsal yönetim ilkeleri ayrı bir halinde düzenlenmiş ve halka açık anonim şirketlerde kurumsal yönetim ilkelerinin, yönetim kurulunun buna ilişkin açıklamalarının esasları ve şirketlerin bu yönden derecelendirme kural ve sonuçları Sermaye Piyasası Kurulu tarafından belirlenir denilmiştir. 3.1. DENETİM KOMİTESİ Birçok kurumsal yönetim prensibinde yönetim kurullarının belli sorumluluklarını yerine getirmesinde yardımcı olmak amacıyla, nihai sorumluluk yönetim kurulunda kalmak üzere, bağımsız yönetim kurulu üyeleri arasından seçilerek oluşturulacak komitelere yer verilmektedir. Bu komitelerin en önemlileri arasında denetim komitesi yer alır. Denetim komitelerinin en önemli sorumlulukları firmaların finansal tablolarının doğruluğu, tamlığı ve güvenilirliğinin sağlanması, firmanın finansal raporlama ve muhasebe kayıt sistemleri de dahil olmak üzere etkin ve işleyen bir iç kontrol sistemine sahip olması ve sürdürülmesidir. Denetim komitelerinin faydaları arasında firmanın finansal raporlamaya ilişkin iç kontrol süreçlerinin etkin olması veya güçlendirilmesi, yolsuzluk ihtimalini azaltan disiplinli ve kontrollü bir ortamın yaratılması, bağımsız üyelerin objektif bir değerlendirme yaparak olumlu bir rol oynamaları, finansal faaliyetlerden sorumlu yöneticilere, önemli konuları getirebileceği ve böylelikle sorunların çözülebileceği forum yaratarak yardımcı olunması, bağımsız denetçinin pozisyonunun güçlendirilmesi ve yönetimle görüş ayrılığı olsa dahi, bağımsız denetçinin bağımsızlığını koruyabileceği bir genel çerçeve sağlanması, yönetimden büyük oranda bağımsız olmasını sağlayarak iç denetim fonksiyonunun konumunun güçlendirilmesi ve nihayet kamuoyunun güveninin, kredibilitenin ve finansal tabloların tarafsızlığını artırması sayılabilecektir. Denetim komitelerinin sorumluluklarını iki başlık altında izlemek mümkündür. 1. Finansal raporlama ve bağımsız dış denetim faaliyetlerine ilişkin sorumluluklar 2. İç Kontrol, İç Denetim ve Risk yönetimi faaliyetlerine ilişkin sorumluluklar (firmanın etkin bir risk yönetimi ve iç kontrol sistemine sahip olduğunun ve işlerliğinin yönetim kurulu adına izlenmesi, firmanın iç denetim sisteminin bağımsızlığının ve etkinliğinin gözden geçirilmesi gibi) Denetim komitelerinin firmaların risk yönetimi sistemlerinin de yeterliliğini gözden geçirmesi sorumluluğu bulunmakla birlikte, son yıllarda risk yönetimi gözetiminin yine yönetim kurullarının bir alt komitesi olan risk yönetim komitelerine verildiği görülmektedir. Bir önceki bölümde de belirtildiği üzere; yeni TTK da da aynı yöntem izlenmiş kurumların 15

risklerinin yönetilmesi görevinin Risklerin Erken Saptanması ve Yönetilmesi Komitesi ne verildiği görülmektedir. 4. KALİTE KONTROL İLE İÇ DENETİM İLİŞKİSİ Kalite Kontrol; kalite faaliyetlerinin ve iş sonuçlarının ise mükemmelliğini esas alan bir modelle kıyaslanarak, kapsamlı, sistematik ve düzenli olarak gözden geçirilmesidir. Kalite denetçilerinin en önemli sorumluluğu kalite kontrol prosedürleri ile bağlantılı olan sistemleri kontrol etmektir. İç Denetimin amacı ise bir organizasyonda bulunan iç kontrol sistemlerinin yeterliliği ve etkinliğinin incelenmesi ve değerlendirmesi şeklinde özetlenebilir. İç Denetim birimlerinin; iç kontrol sistemlerinin yeterliliğinin tespiti, işletme politika ve kurallarına uyulup, uyulmadığının belirlenmesi, bu politika ve kurallarda değişiklik yapılması gerekiyorsa bunun üst yönetime iletilmesi, işletme varlıklarının korunması, muhasebe ve bilgi akış sisteminin güvenilir ve doğru olduğunun tespit edilmesi ve yapılan tüm bu tespit ve değerlendirmelerin yönetime objektif olarak sunulması gibi bir organizasyon içerisinde son derece önemli fonksiyonları vardır. Kalite kontrol ve İç Denetim kavramları karşılaştırıldığında İç Denetim birimlerinin görev tanımlarının daha geniş bir alanı kapsadığı açıktır. Kalite kontrol, kalite faaliyetlerinin belirlenen bir modele göre gözden geçirilmesi olarak tanımlanırken, İç Denetim bir organizasyonda yapılan tüm faaliyetlerin değerlendirilmesidir. Kalite Kontrol sadece bir yönetim sorumluluğu olmasına karşın İç denetimin işletme içi ve dışı tüm çıkar gruplarına karşı sorumluluğu bulunmaktadır. Bu anlamda İç Denetim birimlerince hizmet yelpazesi genişlemiş ve bugün İç Denetçilerin çalışmaları Uygunluk Denetimi, Operasyonel Denetim, Finansal Denetim, Yönetim Denetimi, Risk Değerlemesi, Hilekarlık Denetimi ve Özel Denetimler (Güvenlik, Çevre, İletişim Teknolojisi) gibi farklılıklar göstermektedir. Tüm bu irdelemelerimizden de anlaşılacağı üzere; Kalite Kontrol faaliyetlerinin yanı sıra İç Denetimin fonksiyonel varlığı ve rolü Toplam Kalite çalışmaları açısından gereklidir. Ayrıca çağdaş yönetim anlayışının bir gereği olarak işletme içi ve dışı çıkar gruplarına karşı yönetim, kontrol ve denetim sistemlerinin kalitesini İç Denetim fonksiyonu güvence altına almaktadır. Bunun yanında, toplam kalite yönetimi sahip olduğu felsefeleri ile iç denetim faaliyetinin daha kişilikli uygulanmasına, kendine özgü uygulamaları ile iç denetim faaliyetinin daha donanımlı bir şekilde gerçekleştirilmesine destek olur. Toplam kalite yönetimi önce insan felsefesi ile iç denetçilerin çalışanlara muhtemel suçlu gözüyle bakılmasını engeller, takım ruhu felsefesi ile tüm işletme çalışanlarının karaya ulaşma amacındaki gemi personeli gibi hissedip aynı hedefe kilitlenmesine yardımcı olur, sürekli gelişim felsefesi ile de varılacak hedefleri hep yenileyerek tüm çalışanların aynı dinamizm içinde tutulmasına katkı sağlar. 16

5. İÇ DENETİM BİRİMİ YAPILANMASINDA KURULACAK BİRİMİN ADI, ORGANİZASYON İÇİNDEKİ YERİ VE BİRİM ÇALIŞANLARININ ÜNVANLARI Çalışmamızın bu bölümünde gerekçeleri ile önerilen isme ilişkin görüşlerimize, gerek Türkiye gerekse Uluslarası uygulamalar, mevzuat ve bu birimin üstleneceği fonksiyonlar çerçevesinde birim isminin ne olması gerektiğine ve organizasyon şeması içindeki yerine ilişkin düşüncelerimize yer verilecektir. Bu bağlamda ayrıca birim çalışanlarının unvanlarının da ne olması gerektiği gerekçeleriyle açıklanacaktır. 5.1. BİRİMİN İSMİ VE ORGANİZASYON ŞEMASI İÇİNDEKİ YERİ Denetim biriminin bağımsızlığı ilkesi gereğince, Uluslararası Denetim Standartlarının da önerdiği şekliyle kurulacak olan denetim biriminin doğrudan yönetim kuruluna bağlı olması bir gerekliliktir. Denetimin yönetimin vazgeçilemez ve devredilemez bir görevi olduğu yönündeki yeni TTK düzenlemeleri de yukarıda belirtilen gerekliliği destekler mahiyettedir. Kanımızca başka hiçbir şirket birimine özgü TTK da düzenleme yapılmamışken, denetime özgü olarak yönetime böyle bir görev verilmesi denetimin tüm şirketler için olması gereken öneminden kaynaklanmaktadır. Kurumsal ölçekli kuruluşların incelenen organizasyon şemalarının büyük bir çoğunluğunda denetim biriminin yönetim kuruluna bağlı olduğu görülmektedir. Bu bağlamda gerek yasal düzenlemeler, gerek uluslararası standartlar, gerek uygulamada karşılaşılan örnekler dikkate alındığında, bunun yanında kurulacak birimin etkinliği, yapacağı çalışmalarda elde edeceği verim de düşünüldüğünde kurulacak denetim biriminin yönetim kuruluna bağlı olması gerekmektedir. Uygulamada birbirine benzer isimler yer almakla birlikte, kurulacak denetim biriminin yönetim kuruluna bağlı olacağı yukarıda belirtilen kapsamda ve fonksiyonda çalışmalar yapacağı göz önünde bulundurulduğunda birimin ismi İç Denetim Birimi olmalıdır. Bu deyim Uluslararası İç Denetim Standartların da öngörülen ve bu terminolojiye uygun bir deyimdir. Ayrıca Bankalar açısından İç Denetim Birimi deyimi Bankaların İç Sistemleri Hakkında Yönetmelik de aynen benimsenmiştir. Kamu Kurumları açısından da, 5018 Sayılı Kamu Mali Yönetim ve Kontrol Kanununda da birimin adı İç Denetim Birim Başkanlığı olarak geçmektedir. Ayrıca İç Denetim Biriminin iç kontrol bağlamında mevzuat uyumu yönünden faaliyette bulunmasının yanı sıra, İç Denetimin bir danışma fonksiyonu olduğu da gözden uzak tutulmamalıdır. Sadece yönetim kurulunun değil, üst yönetim için de danışmanlık görevi yapacak birimin, danışmanlık görevi kapsamında mevzuat araştırma, yeni mevzuatları takip etme, gerektiğinde bu konuda eğitimler verme, şirket işleyişine uyarlamak anlamında notlar hazırlama zaten görevinin bir parçasıdır. 17

5.2. BİRİM ÇALIŞANLARININ UNVANLARI Gerek yasal mevzuat, gerek uluslararası uygulamalar ve firma örnekleri üzerinde daha kapsamlı bir çalışma yapılarak kurulacak birim içinde çalışanların unvanlarının olacağı/olması gerektiği saptanmaya çalışılmıştır. İç Denetim Birimi nin birim başkanının unvanı İç Denetim Yöneticisi olmalıdır. Bu terminoloji Uluslararası Denetim Standartlarının da kabul ettiği bir terminolojidir. Uluslararası İç Denetim Standartlarının yanı sıra, IIA tarafından yayımlanan Pozisyon Raporları, Uygulama Önerileri ve Uygulama Rehberleri nin tümünde de İç Denetim Yöneticisi tabiri kullanılmaktadır. İç Denetim Birim Yöneticisi deyimi Bankaların İç Sistemleri Hakkında Yönetmelik de aynen benimsenmiştir. 5018 Sayılı Kamu Mali Yönetim ve Kontrol Kanununun da İç Denetim Birim Başkanı ifadesi geçmektedir. Standartlara göre; İç Denetim Yöneticisi; iç denetim faaliyetinin iç denetim yönetmeliğine ve iç denetimin tanımına, etik kurallarına ve standartlarına uygun şekilde yönetilmesinden üst düzeyde sorumlu bir kişiyi tarif eder. İç denetim yöneticisi veya iç denetim yöneticisine raporlama sorumluluğu bulunanlar Sertifikalı İç Denetçi veya uygun mesleki sertifika veya unvanlara sahip olacaklardır. Standartlarda İç Denetim Yöneticisi ile ilgili olarak aşağıdaki açıklama ve yorumlarda yapılmıştır. 2000 İç Denetim Faaliyetinin Yönetimi İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır Yorum: Aşağıdaki durumlarda iç denetim faaliyetinin etkili bir tarzda yönetildiği söylenebilir: İç denetim faaliyeti çalışmasının sonuçları, iç denetim yönetmeliğinde yer verilen amaç ve sorumluluklara ulaştığında, İç denetim faaliyeti, İç Denetimin Tanımına ve Standartlar a uygun olduğunda, İç denetim faaliyetinin parçası olan kişiler, Etik Kuralları ve Standartlar ile uyum içinde olduklarını gösterdiklerinde. İç denetim faaliyeti tarafsız ve uygun güvence sağladığında kuruma (ve paydaşlara) değer katar ve yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve verimliliğine katkıda bulunur. İç Denetim Yöneticisi ne bağlı olarak çalışacak birim personelinin unvanları konusu incelendiğinde karşımıza hemen hemen tek tip uygulama çıkmaktadır. Uluslararası İç Denetim Standartları (ve bununla ilgili mevzuat), ulusal yasal uygulamalar (5018 sayılı Kamu Mali Yönetim ve Kontrol Kanunu ile Bankaların İç Sistemleri Hakkında Yönetmelik) ve ulusal uygulamalar (incelenen organizasyon şemaları) da birim çalışanların unvanları İç Denetçi dir. Bu bağlamda bu düzenlemelere paralel bir şekilde İç Denetim Biriminde İç Denetim Birim Yöneticisine bağlı olarak çalışan personelin unvanları İç Denetçi olmalıdır. 18

YARARLANILAN KAYNAKLAR 1. Melih ERDOĞAN, Denetim, Maliye ve Hukuk Yayınları, Eskişehir:2005. 2. Hasan KAVAL, IFRS/IAS Uygulama Örnekleri İle Muhasebe Denetimi, Gazi Kitapevi, 2. Baskı, Ankara: 2005. 3. Çetin ÖZBEK, İç Denetim (Kurumsal Yönetim, Risk Yönetimi, İç Kontrol), Tide Yayınları,Yayın No:3, Cilt 1, Cilt 2, İstanbul:2013 4. Ali Kamil UZUN, Şirketlerinizin Değeri Yönetim Kurulunuzun Güvencesi İçin: İç Denetim, www.icdenetim.net 5. Ali Kamil UZUN, Krizin Yönetilmesinde Yönetim Kurulları İçin İç Denetim Üzerine 5 Tavsiye, www.denetim.net 6. Ali Kamil UZUN, Şirketlerde İç Kontrollerin Yeterliğinde İç Denetimin Rolü, www.icdenetim.net 7. Ali Kamil UZUN, Yeni TTK da İç Denetim Üzerine Düzenlemeler, www.icdenetim.net 8. Gürdoğan YURTSEVER, İç Denetimin Danışmanlık Fonksiyonu, www.icdenetim.net 9. İç Denetim Nedir?, www.icdenetim.net 10. IIA Pozisyon Raporu: İç Denetim Faaliyeti/ Birimi İçin Gereken Kaynakların Temininde İç Denetimin Rolü, IIA Uluslararası İç Denetçiler Enstitüsü Yayınları, Ocak 2009. 11. Türkiye İç Denetim Enstitüsü Derneği, Yeni Türk Ticaret Kanunu ve İç Denetime İlişkin Düzenlemeler Hakkında Görüş ve Öneriler, İstanbul: Temmuz 2012. 12. 6102 Sayılı Türk Ticaret Kanunu ve Gerekçeleri 13. Ali Kamil UZUN, Kurumsal Risk Yönetimi ve İç Denetim, ÖNCE KALİTE Dergisi, Sayı 151 Mart Nisan 2011 14. Ali Kamil UZUN, İç Denetimin Toplam Kalite Yönetimindeki Yeri, www.denetim.net 15. Ali Kamil UZUN, İç Denetimin Toplam Kalite Yönetimindeki Yeri 16. Ali Kamil UZUN, Kurumsal Yönetim ve İç Denetimin Kalite Güvencesi, www.denetim.net 17. Selda TÜREDİ, İç Kontrol Sistemi ve Toplam Kalite Yönetimi İlişkisi, Uluslarası Alanya İşletme Fakültesi Dergisi, 2012, C:4, S:1ç 18. Sinan ASLAN-Hayrettin ÖZÇELİK, İç Denetimin Toplam Kalite Yönetimi İçindeki Yeri, ZKÜ Sosyal Bilimler Dergisi, Cilt 5, Sayı10, 2009. 19. Ali Alp-Saim Kılıç, Kurumsal Yönetim, Doğan Kitap Yayınları, Ocak 2014 20. Münevver Yılancı, İç Denetim, 2. Baskı, Nobel Yayınları, Ankara:2006 21. Davut Pehlivanlı, Modern İç Denetim, Beta Yayınları, İstanbul:2010 22. Mehmet Erkan, Aile İşletmelerinde Kurumsallaşma ve İç Denetim, Ekin Yayınları, Bursa:2012. 23. www.denetim.net 24. www.icdenetim.net 25. www.tide.org.tr 26. IIA Uluslararası İç Denetim Standartları (2011 ve revize 2013 standart metinleri) 27. IIA Pozisyon Raporları 19

28. IIA Uygulama Önerileri 29. IIA Uygulama Rehberleri 30. Sermaye Piyasası Kurulu Kurumsal Yönetim Prensipleri ve Kurumsal Yönetim İlkeleri Tebliğleri 31. Bankacılık Düzenleme ve Denetleme Kurulu tarafından yayımlanan Bankalarda İç Sistemler Yönetmeliği 32. 5018 Sayılı Kamu Mali Yönetim ve Kontrol Kanunu 33. Kamu Gözetim Kurulu Riskin Erken Saptanması Sistemi ve Komitesi Hakkında Kurul Kararı 34. Maliye Bakanlığı İç Denetim Birimi Yönergesi 20