İş dünyasında çok sık karşılaştığımız bir söz “küresel düşün”dür.

İş dünyasında çok sık karşılaştığımız bir söz “küresel düşün”dür. Bu sözün açılımları küresel fırsatlardan yararlanma, yeniliklere açık olma, yerel pazarlarları aşma olarak kabul edilebilir. Ancak küresel olsun olmasın gerekli açılımları yapabilmek, sağlıklı büyüyebilmek için öncelikle sistemi sağlam kurumsal temeller üzerine oturtmak ve kontrol edilebilir kılmak gerekir. Buradaki anahtar kelime “kontrol”dür. Aslında kontrol edemediğimiz hiçbir şey uzun vadede bize ait olmayacaktır.

Kontrol kelimesi hayatımızın her köşesine girmiş durumdadır. Kontrollü geçiş, kontrol kalemi, kontrol ortamı, kontrolden çıkmak, iç kontrol, kontrol paneli, kontrol müdürü, kontrol kulesi, kontrol grubu, kontrol dışı, kontrol sistemi, kontrol noktası… Bunlar yalnızca bir iki dakika içinde aklıma gelenler…

Geçenlerde bir röportaj esnasında Türkiye’deki aile şirketlerinin kriz ortamında yabancı şirketlerle karşılaştırıldıklarında durumlarının nasıl olduğu gibi bir soru ile karşılaştım.

Türkiye’deki şirketlerin büyük çoğunluğunun aile şirketi olduğundan yola çıkarak bunların içinde kurumsallaşmış olanlarının diğerlerine göre her zaman bir takım rekabet avantajları olacağına inanıyorum. Kurumsallaşmış bir işletme mevcut ve gelecekte karşılaşabileceği riskleri iyi belirler. Bu tip bir işletme, kurumsallık ilkelerinin her biri ile ayrı ayrı iletişim içinde olan bir iç kontrol sistemine sahiptir.

OECD’nin kurumsal yönetişim prensiplerinden özetlersem bence kurumsal yönetişimin 4 ana ilkesi bulunmaktadır:

1- Adil Yönetim
2- Hesap Verebilirlik
3- Sorumluluk
4- Şeffaflık

Yukarıdaki kriterler kurumsallaşmak isteyen firmalar için “sine qua non” olup etkin bir “iç kontrol sistemi” ile direkt ilişki içindedir.

İç kontrol, içimizdeki düşman mı, mükemmel dost mu?

İç kontrol sistemine sahip olmamak hakikaten içimizde bir düşman yaratabilir.
Ben ise iç kontrol ile nasıl dost olabileceğimizi biraz anlatmaya çalışmak istiyorum.

Öncelikle, yukarıdaki kurumsal yönetişim kriterleri ile ilişki içinde bulunan, işletmenin hedeflerine ulaşmak için gerekli güvenceyi sağlamak üzere tasarlanmış ve yönetim kurulu, yöneticiler ve diğer çalışanlar tarafından etkilenen sürece iç kontrol denir.

İç kontrolün amacı
1) Finansal Tablo/Raporların güvenilirliğini
2) Operasyonların etkinliği ve verimliliğini
3) Mevcut yasa ve kurallara uygunluğunu sağlayarak, hataları küçükken, büyük problem haline gelmeden yakalayıp işletmeyi dış ve iç risklere karşı korumaktır.

Bir işletmede iç kontrol sisteminin varlığı risk yönetimini direkt olarak etkilediği gibi tanımından da anlaşılacağı üzere iç kontrol bir süreçtir. Dolayısı ile bu iş biraz sabır ister. Firma olarak bu hizmeti vermemizden kaynaklanan tecrübemiz doğrultusunda iç kontrol sistemini kurmanın en az 6 aylık bir çalışmayı gerektireceğini söyleyebilirim. Öte yandan kurulacak iç kontrol sisteminin devamlı bir gözetime tabi tutulması ve oluşturulan iç kontrol kriter kitapçığının da değişen ekonomik koşullara ve işletme ihtiyaçlarına göre revize edilmesi şarttır. Burada sırası ile önce iç kontrol sisteminin bir fotoğrafı çekilmeye çalışılır. Riskler belirlenir ve öncelik sırasına konur. Risklerin belirlenmesi esnasında kilit noktalardaki kişiler ile mülakatlar yapılır. Bu kişilerin varsa görev tanımları incelenir ve operasyon içindeki konum ve yetkileri belirlenir. İş akış şemaları hazırlanır. İş akış şemalarında kimin kime karşı sorumlu olduğu ve herhangi bir operasyonel süreç içinde nasıl bir bilgi ve evrak akışı olduğu tanımlanır. Varsa işletmenin mevcut iç kontrol kriterleri incelenir. İşletmenin iç kontrol risk haritası çıkartılarak hali hazırdaki uygulamaların ne gibi risklere maruz kaldığı ortaya çıkartılır. Sonraki adım ise iç kontrol kriterlerinin mevcut olduğu durumlarda bunları revize etmek, olmadığı hallerde ise baştan yazmaktır. Bahsi geçen her aşamada yönetimden ve operasyondaki yetkili kişilerden görüş alınır, her bir prosedür ilgili kilit kişilerin ortak mutabakatı sonucunda uygulamaya geçirilir.

Ancak konu ile ilgili karşılaştığımız en büyük sorun yaklaşım ile ilgilidir. Genelde işletme yöneticileri kurmuş oldukları aile düzeninden memnundurlar. İşler çok parlak gitmese bile patron biraz da ikinci kuşağın etkisi ile değiştirilmeye çalışılan statükoyu bozmak istemez. Bir de işin içinde asla vazgeçilmeyen açık işlemler varsa, sistem, küçük kağıtlara yazılan notlar ile “kontrol” edilmeye çalışılır. Bazı hatalar fark edilmeden uçup gider, bazıları ise çeşitli vesileler ile ortaya çıkar ama getirilen çözümler günü kurtarmaktan ileriye gidemez, kalıcı olamazlar. İşler büyüme potansiyeli gösterse de “nasıl” sorusu tüm yöneticilerin üzerine bir kabus gibi çöker. Ertesi gün ne gibi bir sorun ile karşılaşılacağı bilinmeden risk denilen bir bombanın üzerinde yıllarca oturulur. Ta ki kontrol ettiğimizi sandığımız bu sistem, ekonomik krizin, bankanın, maliyenin, ya da bir rakibin eline düşene kadar…

Çoğunlukla işletme sahiplerinin yaklaşımı yukarıda bahsettiğim gibidir. Bir hastalık olduğu apaçık ortadadır. Ancak kimse nereden başlayacağını bilmez. Zaten dediğim gibi değişim de aslında pek tercih edilmemektedir. Ne de olsa senelerce aynı sistem ya da sistemsizlik yürüyüp gitmiştir, ayakta da kalınmıştır ya…

Eğer çoğu aile şirketine hâkim olan bahsetmiş olduğum yaklaşımı değiştirmek adına bir adım atılmak isteniyorsa işe pekâlâ iç kontrol sisteminden başlanabilir. İç kontrol sistemi mali işlerden tedarik zinciri yönetimine, personel işlemlerinden muhaberata, bilgi işlemden, toplantı yönetimi ve bütçelemeye kadar şirketin tüm operasyonlarını etkiler. Bu doğrultuda iç kontrol sisteminin 5 adet bileşeni vardır.

Kontrol ortamı iç kontrol bileşenlerinin temelini oluşturur. Kontrol ortamı faktörleri; etik değerler, çalışanların yetkinliği, yönetim felsefesi, çalışma şekli, yönetimin sorumluluğu nasıl delege ettiği, çalışanları nasıl organize ettiği ve geliştirdiği, yönetim kurulunun gösterdiği ilgi ve yön gibi unsurları kapsar.

Risk değerleme iç ve dış risk olarak ikiye ayrılır. İç riskin değerlendirilmesi firma hedeflerinin gerçekleştirilmesi ile direkt ilgisi olan risklerin belirlenmesi ve analiz edilerek bu risklerin nasıl yönetileceğine dair bir altyapı oluşturulması ile ilgilidir. Dış riskin değerlendirilmesi ise ekonomik, endüstriyel, kanuni ve işlevsel faktörler zamanla değiştiği için sistemin değişimden kaynaklanabilecek riskleri belirleyebilecek ve bunları irdeleyebilecek bir yapıya sahip olunması anlamına gelir.

Kontrol aktiviteleri yönetimin vermiş olduğu direktiflerin yerine getirilmesini sağlayan politika ve prosedürlerin bütünüdür. Bunlar; onaylar, doğrulamalar, mutabakatlar, operasyonel performans değerlendirmeleri, varlıkların korunması, görev dağılımı gibi farklı aktiviteler olabilir. Bunlarla ilgili olarak önleyici, düzeltici veya detektif nitelikte kontroller olabilir.

Bilgi ve iletişimden kasıt kişilerin görevlerini yerine getirebilmeleri için gerekli olan bilgi belli bir zaman dilimi içinde belirlenmesi, depolanması ve ayrıca doğru zamanda iletilmesidir. Bu bağlamda oluşturulan bilgi işletim sistemi ise işletmenin işini devam ettirmesi ve kontrol edilebilmesi için gerekli finansal, işlevsel & uygunluk ile ilgili bilgileri kapsayan raporların oluşturulmasını sağlar.

Gözetimden anlaşılması gereken ise sistemin, performans ve değişimler karşısındaki durumu ile ilgili olarak sürekli gözetim altında tutulmasıdır. İşletmedeki yenilikler, ekonomik değişikler gibi unsurlar, devamlı olarak iç kontrol sisteminin işleyişini adapte etmeyi gerektirir. Bu da iç kontrol sisteminin dinamizminde yatan ana sebeptir.

Son olarak kısaca “iç kontrol” ile karıştırılan “iç denetim”den bahsetmek istiyorum. İşletmeler kapalı olmayı tercih ettikleri taktirde kendi içlerinde bir iç kontrol birimi oluşturabilirler. Bu birimin ya da bağımsız bir denetçinin sistemi kontrol etmesine ise iç denetim denir. Eğer BASEL II yürürlüğe girseydi derecelendirme kuruluşları işletmelerin etkin bir iç kontrol sistemi oluşturmaları halinde bunu kredi notunu arttırıcı bir unsur olarak değerlendireceklerdi. Ancak bu konu gündemde olduğu dönemde dediğim gibi etkin bir iç kontrol sistemi oluşturmak bir zorunluluktan öte işletmelerin rekabet gücünü arttıracak ve risklerin zamanında tespiti ile işletmeyi sağlıklı hale getirecek bir gereklilik olarak kabul edilmelidir. Bu sistemin işlerlik kazanarak devamlı olarak yeni iç ve dış koşullara adapte edilmesi ise işletmeyi günü kurtarmaktan öte kesinlikle geleceğe hazırlayacaktır.

Burada bir küçük ekleme daha yapmak istiyorum. İç kontrol sisteminin işlerlik kazanması bir takım ERP programlarına ya da dışarıdan alınacak danışmanlıklara bağlı değildir. Öncelikle değişmesi gereken işletmenin kurumsallık ile ilgili yaklaşımıdır. Bu yaklaşım değişmedikçe danışmanlara da, bilgisayar programlarına da ayrılacak kaynaklar asla istenen sonuçları vermeyecektir.

Konu ile ilgilenenlerin Türkiye İç Denetim Enstitüsü www.tide.org.tr ile The Institute of Internal Auditors www.theiia.org sitelerini ziyaret etmelerini tavsiye ederim.

Kaynak:COSO, definition of Internal Control, www.coso.org/resources.htm

Email: icoskun@mazarsdenge.com.tr
Website: www.mazarsdenge.com.tr

* Bu makale İş’te İnsan’da yayınlanmıştır.