Denetim interdisipliner bir alandır. Etkin ve katma değer sağlayan bir denetçi, bir çok farklı alandaki bilgiye sahip olacak donanımda olmalıdır. Denetçiden, bu alanların bazılarında uzman olması, bazılarında da bilgi sahibi olması beklenir.
Denetimle ilgili sertifika sınavlarında da yer alan bu disiplinler, denetçilere, olaylara geniş açıdan bakarak bütün resmi görme, değerlendirme ve böylelikle faaliyetleri geliştirmek için öneriler sunma fırsatı vermektedir. Ancak, sadece sertifika alma amacıyla edinilen bilgiler yüzeysel olarak kalabilmekte, günlük faaliyetlerde etkisini gösteremeyebilmektedir.
Bununla birlikte, iç denetim, sadece güvence veren ve işlemlerin doğruluğunu teyit eden bir meslek dalı olarak konumlandırılmamalı, yönetime destek olma fonksiyonunu tam anlamıyla icra edecek bir danışman olarak da uygulanmalıdır. Bu şekilde konumlandırıldığında, iç denetçinin bu disiplinlerde bilgi sahibi olması gerekliliği daha çok ortaya çıkacak ve denetçiler kendilerini daha üst standartlara göre geliştireceklerdir.
Bu yazıda, denetçilerin bilgi sahibi olması gereken temel disiplinleri özetlemeye ve genel olarak bir bakış açısı sunmaya çalışacağım. Şüphesiz, burada sıralananlar dışında, denetçilerin sahip olması gereken, iletişim becerileri, teknik araçların kullanımı gibi diğer nitelikler de bulunmaktadır. Benim bu yazıda odaklanmak istediğim ise, temel bilgi alanları ile sınırlı.
İşte başlıyoruz:
1-Denetim Standartları: Denetçi, denetimin amacı, kapsamı ve niteliğini kavramış olmalıdır. Denetçi, denetimin neden icra edildiğini, denetçide hangi niteliklerin bulunması gerektiğini, denetimin uygulanması için hangi standartların (SAS, ISAs, ISSAI, IIA IPPF vb.) var olduğunu, en iyi uygulamalarda ne gibi yöntem ve yaklaşımların yer aldığını bilmelidir. Denetçiler, uluslararası standartlara ve trendlere uygun faaliyet göstermeyen bir yerde çalışsalar dahi kendilerini dünya standartlarına göre ayarlamalıdır.
2-Suistimal: Denetçi, suistimal risklerini tespit edebilecek, suistimal risklerinin önlenmesi için alınması gereken tedbirler geliştirebilecek veya önemli suistimalleri tespit edebilecek derecede bilgiye sahip olmalıdır. Denetçi, temel olarak, suistimal nedir, hangi koşullarda meydana gelir, suistimalle mücadelede en etkin yöntemler nelerdir bunların farkında olmalıdır. Denetçi ayrıca, AMLuygulamaları, FATFkuralları, FCPA ve Bribery Acts vb. konuları takip etmelidir.
3-Muhasebe: Muhasebe, işletme yöneticileri ve diğer paydaşlar için önemli bilgiler sağlayan bir disiplindir. Çoğu zaman sıradan ve önemsiz gibi algılansa da yatırım kararlarını etkileyen önemli bir alandır. Finansal denetçiler için uzmanlık derecesinde bilgi gerektiren bu alan, iç denetçiler için bilgi sahibi olunması gereken bir alandır. Denetçi, muhasebenin temel kavramları, mali tabloların okunması, finansal analiz, vergilendirme kuralları, muhasebe standartları (IFRS, TFRS vb) gibi konularda bilgi sahibi olmalıdır. Ayrıca, maliyet, sermaye, değerleme, bütçeleme, nakit yönetimi gibi konularda da bilgili olmalıdır.
4-Mevzuat ve Uyum: Mevzuat, işletmenin içinde bulunduğu dış çevre ve düzenlemeler açısından taşıdığı bir risk alanıdır. Denetçi, denetim faaliyetlerini icra ettiği şirketin bulunduğu sektör ve ülkenin yasal ortamını dikkate almak durumundadır. Uyum geniş anlamıyla, şirketin iç ve dış düzenlemelere, anlaşmalara, standartlara uygun hareket etmesi anlamına gelmektedir. Denetçi, düzenleme değişikliklerini yakından takip etmeli, düzenlemelerin getirdiği riskleri belirleyebilecek ve uyumun sağlanması için öneri geliştirebilecek donanımda olmalıdır.
5-Bilgi Teknolojileri: Bilgi teknolojileri, BT denetçileri için uzman olunması gereken, diğer denetçiler için bilgi sahibi olunması gereken bir alandır. Denetçi, bilgi güvenliği, yazılım geliştirme, sistem alt yapısı ve iş sürekliliği konularında bilgi sahibi olmalıdır. Denetçi, BT risklerini farkedecek, BT tabanlı kontroller geliştirebilecek yetkinlikte olmalı ve bu alandaki standartları (COBIT, ITIL, ISO 27001 vb.) takip etmelidir. Günümüzde, faaliyetlerin büyük bir bölümünün bilgi sistemleri üzerinde yürütüldüğü düşünülürse, denetçinin katma değer sağlayabilmesi için bu alanda geniş bilgiye sahip olması kaçınılmaz bir gerekliliktir.
6-Risk Yönetimi: Risk yönetimi, özet ifadesiyle, şirketin hedeflerine ulaşmak için önüne çıkabilecek engelleri tanımlaması ve uygun aksiyonları almasını kapsamaktadır. Denetçi, risk yönetimine ait temel kavramlar, risk yönetimi teknikleri, uluslararası standartlar (COSO ERM, ISO 31000, AS/NZS 4360 vb.) konusunda uzman olmalıdır. Risk yönetişimi, risk tanımlama ve değerlendirme, risk raporlama kavramları konusunda bilgili olmalıdır.
7-İç Kontrol: İç kontrol denetçiler için uzmanlık gerektiren bir alandır. Denetçi güvence vermek amacıyla şirketin uyguladığı kontrolleri değerlendirmek ve etkin bir risk yönetimi için şirket yönetimine iç kontrolleri geliştirmek üzere öneriler sunabilecek kapasitede olmalıdır. Denetçi, uluslararası iç kontrol çerçeveleri (COSO, CoCo, SOXvb.), iç kontrolün genel ve özel amaçları, iç kontrol türleri, temel kontrol faaliyetleri konularında bilgi sahibi olmalıdır.
8-İş Süreçleri: İş süreçleri, işletmenin, hedeflerine ulaşmak için icra ettiği, girdilerin işlenerek çıktılara dönüştüğü, tekrar eden iş aktivitelerinden oluşmaktadır. Denetçi, süreçlerin analiz edilmesi, süreç performansının ölçülmesi, iş akışlarının çıkarılması, darboğaz yönetimi, kısıtlar teorisi, 6 sigma, BPM, BPR, ISOgibi konularda bilgi sahibi olmalıdır. Denetçiler, denetim amacıyla süreçleri incelemek üzere ya da danışman olarak süreçleri geliştirmek üzere yeterli donanımda olmalıdırlar. Denetçiler, işletmenin temel iş süreçlerinin işleyişi (satınalma, hasılat, envanter yönetimi, finansal raporlama, insan kaynakları vb.) hakkında bilgi sahibi olmalıdır.
9-Ekonomi / Piyasa: Denetçi, işletmenin içinde yer aldığı sektör şartları, piyasa koşulları ve global ekonomik koşullar hakkında bilgi sahibi olmalıdır. Denetçi, denetim faaliyetlerini yerine getirirken, işletmenin içinde bulunduğu ortama uygun davranışı gösterebildiğini ve bu ortam içindeki riskleri etkili bir şekilde yönetebildiğini değerlendirebilecek, yorumlayabilecek donanımda olmalıdır. İşletmenin bir piyasaya girişi, organizasyonel ve kültürel adaptasyonu, eğitim ve yetkinlikler gibi konularda taşınan riskler hakkında denetçi bilgi sahibi olmalıdır.
10-Yönetişim / Yönetim: Denetçi, şirketin yönetim felsefesi ile ilgili temel kavramlar hakkında bilgi sahibi olmalıdır. Özellikle iç denetçiler şirket yönetiminin hedeflerine uygun olarak denetim faaliyetlerini icra etmelidir. Denetçi, stratejik analiz süreci, iş analizi teknikleri (SWOT, MOST, PESTLEvb.), stratejik karar alma süreçleri, organizasyonel davranış, performans yönetimi, proje yönetimi, kalite yönetimi, liderlik, kurumsal yönetim, kurumsal sosyal sorumluluk, etik, sürdürülebilirlik gibi konular hakkında bilgi sahibi olmalıdır.
10 maddede, denetçinin genel olarak gelişim ve uzmanlık alanlarını ele almaya çalıştım. Belirtmek gerekir ki, bu alanlarda sahip olunması gereken bilgi düzeyi, denetçinin ve denetimin türü bazında değişiklik gösterebilmektedir. Her durumda, denetçinin sürekli eğitim ve gelişim içinde olması zorunluluk olarak karşımıza çıkmaktadır. Bu donanımlarıyla denetçiler, kariyerlerinin ilerleyen dönemlerinde iyi bir üst düzey yönetici adayı olabileceklerdir.
Gökhan Yılmaz