Yazılar

İç Kontrol Çalışmalarında 3 Kritik Adım

 İç kontrol konusunda görüşme yaptığımız her kurumda, sektör ve faaliyet alanı ayırt etmeksizin karşılaştığımız temel sorunlar aynı;

  • Üst yönetici desteği sağlayamadık.
  • Yaptığımız çalışmaları yaygınlaştıramadık.
  • Kurum personelinin iç kontrol farkındalığı ve çalışma motivasyonu çok düşük.

Bu 3 temel sorun, iç kontrol konusunda yapılan çalışmaları anlamsız hale getiren, iç kontrol birimlerini çıkmaza düşüren dahası iç kontrole olan bireysel ve kurumsal inancın yitirilmesine sebep olan sorunlar. İç kontrol birimleri, iç kontrol ile ilgili sorumluluklarını yerine getirebilmek için çaba göstermekte, ancak yol gösterecek iyi uygulama örneklerine, teorik ve pratik kaynaklara erişme imkanları çok kısıtlı olduğu için, uygulamada sorun yaşamaktalar. Bunun sonucunda bir destek arayışı içine girmekte, kimi zaman benzer kurum örneklerinden yola çıkarak, kimi zaman da dışarıdan sağladıkları danışmanlık hizmetleri ile yol almaya çalışmaktalar. Bu aşamada açıkça söylemek gerekiyor ki, ortaya çıkan en kötü sonuçlar danışmanlık hizmeti tercihinde verilen hatalı kararlardan kaynaklananlar. İç kontrol konusunda birden fazla danışmanlık hizmet sağlayıcısı ile çalışmış ancak neredeyse hiç yol kat edememiş çok sayıda kurum bulunmakta. Kurumlar tarafından yapılan bu çalışmalar incelendiğinde, ortaya çıkan tablolar gerçekten üzücü; Her defasında en başından hazırlanan iş akış şemaları ve görev tanımları… Yaklaşık 8 yıldır kurumlarca tekrarlanan bu çalışmaların neticesi, karşılaştığımız 3 temel sorununun da kaynağını oluşturuyor. İlerleme kaydedilemeyen, çıktı üretilemeyen, risk konusunda hiçbir anlamlı sonuç vermeyen ve kuruma neredeyse hiç katkı sağlamamış olan ancak çokça maliyet ve zaman israfına sebep olan bu çalışmalar; üst yöneticinin ve kurum personelinin desteğinin sağlanamaması, sağlanmışsa bile kaybedilmesi sonucuna varıyor. Kurum yöneticileri ve personelince sahiplenilmeyen bir kurumsal yönetim çalışması ölü doğmuş olacağından yaygınlaştırılamamış olması da hiç şaşırtıcı değil.  

İç kontrolü, artık, iş akış şeması ve görev tanımlarının ötesine taşımak için bir adım atmak gerekiyor. İş süreçlerinin tanımlanması ve görevlerin tanımlanması tüm kurumsal yapılanma çalışmalarında olduğu gibi iç kontrol sisteminin başlangıç aşamasını oluşturuyor. İç kontrol sisteminin beş bileşeninden biri olan kontrol ortamı bileşeninin bir gerekliliği. Ancak sadece bir başlangıç, sadece bir araç. İş süreçlerinin tanımlanması ve görevlerin tanımlanması çalışması, organizasyonel yapının tanımlanması, sınırların ve sorumlulukların belirlenmesi amacı taşıyan bir temel çalışma. Bütün değil, bir son da değil. Tüm kurumsal yönetim çalışmalarında yapılması gerekenler temelde ortaktır; mevcut yapının tanımlanması, seçilen kurumsal araca uygun şekilde hedeflenen yapının belirlenmesi (ISO, Yalın Yönetim, KRY, İç Kontrol, Kalite vb.) ve hedeflenen yapı ile mevcut durum arasındaki olumsuz farkı giderecek, hedeflenen yapıya ulaşmayı sağlayacak çalışmaların yer aldığı bir eylem planının oluşturulması. Dolayısı ile iş süreçlerinin ve görev tanımlarının doğruluğu üzerinde uzun tartışmalar yürütülmesi, mükemmele ulaşmaya çalışılması vakit ve bütçe kaybına sebep olan bir çalışmadır. Kurumsal yapılandırma çalışmaları ile amaçlanan mevcut yapının iyileştirilerek hedeflenen yapıya ulaştırılması ise asıl ihtiyacımız olan ve asıl odaklanmamız gereken alan eylem planları olmalı.

Bu aşamada başka bir sorun ile daha karşılaşıyoruz; Peki eylem planları nasıl hazırlanmalı? İç kontrol sisteminin dört ana amacı bulunmakta; mevzuata uyum, varlıkların korunması, raporlama sisteminin doğruluğu, operasyonların sürekliliği. İç kontrol sistemi ile ulaşmak istediğimiz hedef yapı bu dört konudaki risklerimizi yönetebildiğimiz, bu dört konuyu güvence altına aldığımız bir yapı. Dolayısı ile öncelikle yapılması gereken, finansal, raporlama, operasyonel ve uyum risklerimizi tespit etmek ve bu risklerin etki ve/veya olasılıklarını azaltacak eylem planları oluşturarak mevcut yapıyı iyileştirmek ve hedeflenen yapıya ulaşabilmek. İç kontrol sisteminin bu dört temel amacı ile ulaşmak istediği üst amaç ise kurumsal amaç ve hedeflere ulaşma başarısının güvence altına alınması. Dolayısı ile stratejik risklerin belirlenmesi ve eylem planına stratejik risklere ilişkin risk iyileştirme eylemlerinin de eklenmesi gerekmekte. Bu bakış açısı ile hazırlanacak iç kontrol ve risk yönetimine ilişkin eylem planları, kuruma katkı sağlayacak, kurumun yönetim sisteminde ciddi iyileşmeler yaratacak planlar olacaktır.

İç kontrol sistemine ilişkin çalışmaları bu perspektif ile ele almak, iç kontrolü içinden çıkılmaz gibi görünen bir döngü olmaktan çıkaracaktır. Bütün teorik bilgi, genel şartlar, standartlar, bileşenlerin yanında iç kontrol ve risk yönetimi oluşturma çalışması bir kurumsal yapılanma çalışmasıdır ve atılması gereken adımlar en sade hali ile bu şekilde ifade edilebilir.

Kurumlarımızda, yukarıda bahsettiğimiz 3 sorunu nasıl aşarız sorunun cevabını da aşağıdaki başlıklar atında vermeye çalışacağız.

 

Üst Yönetici Desteğinin Sağlanması

İç kontrol esasen bir yönetim fonksiyonudur. Kontrol, yönetimin beş unsurundan biridir. Bu sebeple, iç kontrol sisteminin sahibi üst yöneticidir. Üst yöneticiler de dahil her bir yönetici, yönetim yetkisi içinde bir kontrol yöntemi kullanır. Bu yöntemin ne kadar başarılı ya da başarısız olduğu ancak bir kriz anında anlaşılır. Oysa başarıyı garantilemenin yolu iyi tasarlanmış bir kontrol sistemi içinde çalışmak, yönetmek ve karar vermek ile mümkündür. Ancak iç kontrol çalışmaları fazlaca dokümantasyon içeren ve vakit alan çalışmalardır. Üst yöneticinin oluşturulacak çıktıların hepsini takip etmesini, (örneğin iş akışları kontrol etmesini) beklemek doğru bir yaklaşım olmayacaktır. Üst yönetici, yönetim fonksiyonlarını, fonksiyonel bölümler aracılığı ile yerine getirmektedir. Örneğin iç denetim birimleri, hukuk müşavirlikleri, ana hizmet birimleri, destek hizmetleri birimleri vb.. Üst yönetici sorumluluklarını bu görevliler eli ile yürütür, kontrol eder ve denetler. Ancak her üst yönetici şunu bilmek isteyecektir; Bu işleri kimlerle yürüteceğim? Görev dağılımı ve koordinasyonu nasıl sağlayacak ve nasıl takip edeceğim? Yönetim alanım içinde amaç ve hedeflere ulaşmamı engelleyebilecek risklerimiz neler? Bir üst yönetici için en basit anlamda iç kontrol ve risk yönetimi sistemi bunu ifade eder. Bu sorulara cevap bulabildiğinde, iç kontrol sistemine olan inancı ve beklentisi artacak, sistemi kurmaya ve sistemin bir parçası olmaya istekli ve destekleyici olacaktır.

Kurumlarda yaptığımız görüşmelerde bu konu ile ilgili temel önerimiz, iç kontrol ve risk yönetimi hakkında üst yöneticilere, yasal zorunluluklar ve kurum içinde daha önce iç kontrol konusunda yaşanmış sorunların dışında bir şeyler anlatmaktadır. Üst yöneticiye yapılacak 20 dk lık basit, sade ama doğru bir sunum, kurum içi çalışmaları çok farklı bir yöne götürebilecektir. Üst yönetimden öncelikli olarak stratejik risklerin belirlenmesi ve bu risklere ilişkin risk aksiyon planının hazırlanması için bir onay alınarak başlanılabilir. Ancak bu çalışma için görüşme öncesinde risk yönetimi konusunda donanımlı bir ekip hazır olmalı ve bu çalışmanın en geç bir ay içinde tamamlanması gerekmektedir. Gerekirse bu aşama için profesyonel destek alınması fayda sağlayabilir. Kısa süre içinde oluşturulacak bir risk haritası ve risk yönetimi aksiyon planı ile üst yönetici kurum hakkında çok önemli bir çıktı elde etmiş olacak ve bundan memnuniyet duyacaktır.

Bundan sonraki aşama, bu stratejik risk çalışmasının operasyonel süreçleri de kapsayacak şekilde genişletilmesi için üst yöneticinin ve diğer yönetim kademelerinin desteğini almak olacaktır. Başarılı bir şekilde hazırlanmış bir risk haritası ve ekinde bulunacak risk aksiyon planının içerisinde operasyonel süreçlerde de çözülmesi gereken birçok konu yer alacaktır. Tecrübelerimize dayanarak söyleyebiliriz ki böyle bir çalışma sonrası, üst yönetici çalışmanın devam ettirilmesi için istekli olacak hatta bu yönde talepte bulunacaktır.

 

İç Kontrol Çalışmalarını Nasıl Yaygınlaştırırız?

Herhangi bir işin en sorunlu ve en zor olan aşaması entegrasyondur. Parçalarınız ayrı ayrı ne kadar iyi olursa olsun, en başından itibaren gerekli uyumlaştırma programına sahip değilseniz, parçaların standartlarını ve ilişkilerini doğru belirlememişseniz entegrasyon konusunda sorun yaşarsınız. Bu nedenle iç kontrol ve risk yönetimi sistemi oluşturulması çalışmalarının tüm birimlerde, tüm fonksiyonlarda, tüm süreçlerde ve tüm faaliyetlerde nasıl oluşturulacağı, nasıl yürütüleceği, hangi standartların uygulanacağı en başından belirlenmelidir. Pilot çalışma uygulaması herhangi bir geniş ölçekli ve çok parçalı projede uygulamaya alınan bir seçenektir. Ancak pilot çalışma yapılabilmesi için de öncelikli olarak bütünü gösteren bir hedefinizin ve planınızın olması gerekir. Bu hedef ve planı küçük bir uygulama birimi üzerinde gerçekleştirmek, pilot çalışma mantığının temel prensibidir. Aksi halde pilot çalışmayı, sadece çalışma biriminin organik yapısını düşünerek tasarladığınızda bütünü görmekte zorluk çeker, bütünü göremediğiniz için de yaygınlaştırma aşamasında başarısı olursunuz.

Kurumun faaliyet alanı, birim sayısı, bölgesel yayılma alanı büyüdükçe yaygınlaştırma çalışmalarının maliyeti artarken başarı sansı azalmaktadır. Bir taraftan başlattığınız yaygınlaştırma çalışmasının henüz yüzde 30’luk kısmı bile aşılmadan, çalışmalar güncelliğini yitirmekte, organizasyon yapısında, yasal mevzuatta, iç kontrol ekibinde vb. olacak herhangi bir değişim tüm çalışmayı sekteye uğratmaktadır.

Bu nedenle, iç kontrol ve risk yönetimine ilişkin kurumsal bir yapının oluşturulmasında bir yazılım çözümünün kullanılması bir tercih değil, proje başarısı için hayati bir zorunluluktur. İç kontrol ve risk yönetimi çalışmaları konusunda kurumlarda yaşanan çıkmazlardan yukarıda bahsettik. Bu çıkmazları aşabilmenin yolu birkaç hususta kesişmektedir: Üst yönetime hızlı bir çıktı üretilmesi, yapılan çalışmaları özet olarak izleyebileceği, dilediğinde ulaşabileceği bir rapor ekranına sahip olması, iç kontrol çalışmalarını yürüten ekibin kurum genelinde yapılan çalışmaları anlık olarak izleyebilecek bir araca sahip olması, çalışma yönteminin standartlarının dışına çıkılmasına imkan vermeyecek bir kontrol mekanizmasına sahip olunması, dokümantasyonun ortadan kaldırılması, çalışmanın tüm kurum için az ek zaman maliyeti ile gerçekleştirilebilmesi. Bunlar, sadece iç kontrol çalışmaları için değil herhangi bir projenin yürütülebilmesi için önemli gerekliliklerdir. İç kontrol ve risk yönetimi gibi bir kurumsal yapılandırma çalışmasında ise başarı için olmazsa olmazlardır. Bu nedenle iç kontrol ve risk yönetimi konusunda kurumsal ihtiyacı karşılayacak, sadece bir iş süreci çizim aracı ya da doküman yönetimi aracı değil iç kontrol ve risk yönetimine ilişkin bir yöntem de sunacak ve hızlı raporlama ile birden çok kanaldan çalışmaya ve takibe imkan sağlayacak bir yazılım çözümü kullanılması, uygulamanın yaygınlaştırma ile eş zamanlı yürütülmesine imkan sağlayarak, kurumların bu konudaki sorunlarının çözülmesine yardımcı olacaktır.

 

Kurum Personelinin Desteğini ve Çalışma Motivasyonunu Nasıl Artırırız?

İç kontrol çalışmaları konusunda personel motivasyonu düşük olan kurumlardaki en temel sorun esasen personelin iç kontrole değil, içinde bulunduğu kurumsal sisteme olan güven eksikliği. Kurum personeline uzun yıllardır yerleşmiş olan; böyle gelmiş böyle gider, değişmesi mümkün değil bakış açısının üzerine defalarca tekrarlanmış ancak sonuç alınamamış, iç kontrol, stratejik plan, performans programı, faaliyet raporu, performans bütçe vb. dokümantasyonları, söz konusu inanç kaybı seviyesini daha da yukarıya çekmiş durumda. Oysa tüm bu yönetim araçları personelin bugüne kadar memnuniyetsizlik duyduğu yapısal problemlerin tek çözüm yolu. Ancak şüphesiz ki kurum çalışanlarını bu gerçeğe ikna etmek çok kolay olmuyor.

Kurumsal yapılanma çalışmalarının başarıya ulaşması açısından, çalışan motivasyonu ve sahiplenme derecesi en önemli faktörlerden biri. Kurumsal yeniden yapılanma, değişim, dönüşüm başarı hikayelerine baktığımızda gördüğümüz ortak nokta ‘‘Doğru iletişim’’. Bir çok başarı hikayesinde tepe yöneticilerin bizzat sahaya inip liderlik ettiğini görürsünüz. Bu kurum personeli için müthiş bir motivasyon kaynağıdır. Tepe yöneticilerini sahaya indirme şanımız yok ise (ki çoğu zaman da mümkün olamıyor) yapmamız gereken, kurum içinde bu çalışmalara liderlik edecek kişiler, ekipler yaratmak olmalıdır. İç kontrole liderlik edecek kişiler profesyonel eğitimler almalı, mesleki sertifikasyonlar ile desteklenmelidirler. Kurum içi, iç kontrol liderlerinin oluşturulması için sağlanacak destekler hem kuruma, hem personele önemli bir katma değer sağlayacaktır. Bir alanda kendini tam olarak yetkin hisseden personel işi sahiplenecek ve gerekli ölçüde insiyatif alabilecektir.

Her kurumda çağdaş yönetim araç ve teknikleri konusunda donanımlı, değişimi okuyabilen, kurum içi yönetim araçlarını bütüncül olarak görebilen, bu araç ve sistemlerin entegrasyonu ve koordinasyonunu sağlayabilecek yetkinliğe sahip bir ekibin oluşturulması gerekmektedir. Bu ekip kurumun her bir fonksiyonel biriminden gelen temsilcilerden oluşturulmalı, merkezde alınan tüm kararlar, uygulamaya geçirilen projeler bu kişiler aracılığı ile yaygınlaştırılmalıdır.

Kurumlarda yapılacak stratejik plan, iç kontrol, risk yönetimi vb tüm kurumsal çalışmaların bizzat kurum personeli tarafından gerçekleştirilmesi, çalışmanın içselleştirilmesi açısından gereklidir. Dışarıdan herhangi bir hizmet sağlayıcısı aracılığı ile yapılan fabrikasyon çalışmaların, kurum kültürüne uyum sağlayabilmesi mümkün değildir. Bu nedenle kurumlar tarafından sağlanacak eğitim ve danışmanlık hizmetleri işin paket bir uygulama ile yaptırılması şeklinde değil, kurum içi yönetim danışmanlarının yetiştirilmesi kapsamında planlanmalıdır. Bu model, iç kontrolün etkinlik, verimlilik ve ekonomiklik kuralına da uyan bir model olacaktır. Kurumda yeterli yetkinliğe, kişisel istek ve motivasyona sahip çalışanlar içerisinden seçilerek yetiştirilecek kişiler, aldıkları eğitimler, uygulamada edindikleri tecrübeler, sertifikalar vb. sürekli gelişecek ve uzun vadede kurum için çok önemli kazanımlar sağlayacaklardır. Aksi şekilde etkinlik, ekonomiklik, verimlilik amacı ile yürüttüğümüz iç kontrol sistemi çalışmaları; kaynak, zaman ve emek kayıplarına sebep olan durumlar yaratmaya devam edecektir. Bunun sonucunda da iç kontrolün bahsettiğimiz 3 temel sorununu aşabilmek ve ilerleme kaydetmek mümkün olmayacaktır.