Sayı 3 GLOBAL PERSPEKTİFLER VE ANLAYIŞFinansal uzmanlar, bu tür suiistimallerin meydana gelmesine fırsat vermemek amacıyla tasarlanan kontrollerin nasıl tamamen işlevsiz kaldığını

Sayı 3

GLOBAL PERSPEKTİFLER VE ANLAYIŞ:

Kültürün Denetlenmesi - Hassas Konuya Sert Bir Bakış

İçindekiler

Kültürün Denetlenmesi: Hassas Konuya Sert Bir Bakış ................................ 3

Kültür Nedir? ............................................................................................................... 3

Kültür Neden Her Görevin Bir Parçası Olmalıdır? ........................................... 5

Kültür Nasıl Denetlenir? .......................................................................................... 7

Diğer Mülahazalar ...................................................................................................10

Sonuç ...........................................................................................................................11

Katkıda BulunanlarPapiya Chatterjee, Kıdemli Politika Memuru, İç Denetçiler Enstitüsü – Birleşik Krallık James Roth, Ph.D., CIA, CCSA, CRMA Başkan, AuditTrends, LLC – Amerika Birleşik Devletleri

Angela Witzany, CIA, QIAL, CRMA Kıdemli Başkan Yardımcısı, IIA Uluslararası Yönetim Kurulu, İç Denetim Başkanı, Sparkassen Versicherung AG – Avusturya

Danışma KonseyiNur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – IIA– Malezya

Lesedi Lesetedi, CIA, QIAL – Afrika Federasyonu IIA

Hans Niewlands, CIA, CCSA, CGAP – IIA – Hollanda

Karem Obeid, CIA, CCSA, CRMA –IIA – Birleşik Arap Emirlikleri Üyesi

Carolyn D. Saint, CIA, CRMA – IIA – Kuzey Amerika

Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA – Kolombiya

Okuyucu GeribildirimiSorularınızı ve yorumlarınızı şu adrese gönderiniz: [email protected].

Telif hakları © 2016, Uluslararası İç Denetçiler Enstitüsü’ne (The Institute of Internal Auditors, Inc. --- “The IIA”) aittir ve kesinlikle saklı tutulmuştur. The IIA ismi veya logosunun çoğaltılması halinde, A.B.D. federal ticari marka tescil sembolü ®’nin kullanılması gerekmektedir. Bu dokümanın hiçbir bölümü, IIA’nın yazılı izni alınmadan herhangi bir formda çoğaltılamaz.

globaliia.org

Global Perspektifler: Kültürün Denetlenmesi – Hassas Konuya Sert Bir Bakış

2

Kültürün Denetlenmesi: Hassas Konuya Sert Bir BakışYaklaşık 15 yıl önce iş dünyasında yeralan herkes Enron, WorldCom ve Adelphia gibi kurumları akla getiren çöküşü hatırlayacaktır. (Örneklerin hepsinin Amerika Birleşik Devletleri temelli olmasına rağmen, benzer çöküşler dünya çapında meydana gelmiştir.) Küresel finansal piyasaları sallayan ve telafisi mümkün olmayan mali zararlarla masum çalışanlara ve paydaşlara adeta semer vuran kurumsal suç ve suiistimal iddialarından oluşan bir dünyayı gözler önüne seren hikaye ve söylentiler ortaya çıktıkça, insanlar bu haberleri şaşkın, umutsuz ve bıkkın bir şekilde izledi. Finansal uzmanlar, bu tür suiistimallerin meydana gelmesine fırsat vermemek amacıyla tasarlanan kontrollerin nasıl tamamen işlevsiz kaldığını merak ettiler. Alaycılar bilmiş bilmiş kafalarını sallayarak belki de bu durumun naif tüketicileri kurumsal hayatın çirkin gerçekleri konusunda uyandırıp harekete geçireceğini ve kapitalizm amok koşusunun olumsuz yönlerinin altını çizeceğini öne sürdüler.

Şüphesiz ki, tüm bunların üzerinden yaklaşık onbeş yıl geçti; rahat bir nefes alabilir ve bu tür kurumsal suiistimalleri arkamızda bıraktığımız konusunda kendimize güvenebiliriz. Ne yazık ki, tüm medya kanalları aracılığıyla sunulan ve hep var olan güncel olaylar göz önünde bulundurulduğunda, her şeyin tamamen geride kalmadığı görülüyor. .

Kurumsal uygunsuzluklar ve diğer kötü kurumsal kültür tezahürleri açısından hiçbir eksikliğin bulunmadığı ve bunun da sadece “Yönetim kurulu ve üst yönetim neredeydi?” sorusunu değil, aynı zamanda ve aynı samimiyetle “İç denetim neredeydi?” sorusunun da sorulmasına yol açtığı anlaşılmaktadır. İç denetim, hem bir zorluk hem de bir fırsat niteliğindeki böyle bir durumla belki de ilk defa her zamankinden çok daha fazla karşı karşıya kaldı. İç denetim hassas konuya – kültürün denetlenmesine – yönelik zor işleri yaparak kuruma değer katacak şekilde eşsiz bir biçimde konumlandırılmıştır.

Kültür Nedir?Kültür en basit hâliyle “burada işleri halletme yöntemimiz” olarak tanımlanabilir. Bu tanım kültürün ne olduğunu anlamaya yönelik iyi bir temel teşkil etse de, kültür bundan daha fazlasıdır. Grup 30 (G30), banka kültürüne odaklanan güncel bir yazıda1 kültürü, değerler ve davranış kuralları açısından ele almıştır; bu unsurların kültürün yapı taşları olduğunu, gözlemlenebilir ve ölçülebilir olmaları nedeniyle ve prensipler ve standartlar aracılığıyla resmi hale getirilmeye elverişli oldukları için kültürü incelemek, iyileştirmek ve denetlemek adına pratik bir platform sunduklarını not etmiştir. Buna ek olarak, üst yönetim, kurum açısından oldukça önemli olan kurumun duruşu belirleyerek, değerleri ve davranış kurallarını somut bir şekilde gösterebilir.

– “Kuruma faaliyetlerini sürekli olarak izleyebilmesi için bir temel sunan ve iç denetçilerin erken uyarı işaretleri aramasına olanak tanıyan kültür denetimi, her denetim görevine dâhil edilmelidir.” – Angela Witzany, CIA, QIAL, CRMA Kıdemli Başkan Yardımcısı, IIA Uluslararası Yönetim Kurulu, İç Denetim Başkanı, Sparkassen Versicherung AG – Avusturya

1 G30, “Bankacılık Davranış Kuralları ve Kültürü: Bir Sürdürülebilir ve Kapsamlı Reform Çağrısı,” Temmuz 2015.

globaliia.org


3

Kültürün ne olmadığı üzerine düşünmek de faydalıdır. Kültür, her kuruma eşit şekilde ve mükemmel olarak uygulanan bir standartlar, düzenlemeler veya uygulamalar dizisi değildir. Kültür, her kurumun karakterinin eşsiz bir bileşenidir. Bir şirkette işe yarayanlar, diğer şirkette işe yaramayabilir. Güçlü bir kültür, üst yönetimin resmi açıklamalarından ziyade karşılıklı görüşmelere, karar alma sürecinde işbirlikçi bir yaklaşım benimsemeye ve işlerin yapılması için ekip-esaslı çaba ve gayret gösterilmesine dayanma eğilimindedir. Kurumun; kurumsal yönetime karşı tavrı, müşterileriyle kurduğu ilişkiler, (değerlerinde yansıtılan haliyle) kurum için neyin önemli olduğu, çalışanlarına nasıl davrandığı, olumsuz olaylara nasıl tepki verdiği ve rakiplerine karşı ve dâhil olduğu topluluk içinde nasıl davrandığı incelendiğinde bu kurumun kültürü hakkında daha fazla bilgi elde edilebilir.

2 Etik Kaynak Merkezi, “ABD İşgücü Ulusal İş Etik Kuralları Anket Çalışması,” 2014.

Şüpheli Eylemlerle İlgili Kötü HaberlerGörünüşe bakılırsa, kurumsal suiistimaller azalmaksızın devam etmektedir.

■ Eylül 2015 tarihinde, Volkswagen, ABD emisyon kural ve kanunlarını baypas etmek için tasarlanan bir yazılım geliştirdiğini ve bu yazılımı araçlara yüklediğini kabul etmiştir. Bu otomobil imalatçısı, 6,5 milyar ABD$ meblağından daha fazlaya mal olması beklenen bir taahhütte bulunarak, söz konusu yazılımla donatılan 11 milyon aracı onaracağını ve aynı adı taşıyan markasını gözden geçirerek düzeltmeye odaklanacağını duyurmuştur.

■ EY’nin “Avrupa, Orta Doğu, Hindistan ve Afrika Suiistimal Anket Çalışması 2015” yazısında, anket sorularını yanıtlayanların yüzde 51’inin rüşvet ve yolsuzluğun ülkelerinde yaygın olduğunu kabul ettiğini ve bundan daha fazla kişinin (yüzde 61) hızla büyüyen pazar ve piyasalarda yaygın biçimde uygulanan yolsuzluklara şahit olduklarını belirttiğini rapor edilmiştir. Soruları yanıtlayanların yüzde otuz yedisi, ülkelerindeki şirketlerin genellikle fiilen gösterdikleri mali performanstan daha iyilerini rapor ettiklerini not etmiştir.

■ Mart 2015 tarihinde, Almanya’nın Commerzbank AG bankası, ABD yaptırımlar kanunu ihlâl ettiği için ABD Federal ve New York Eyalet Yetkilileriyle hukuki ve cezai sulh anlaşmasına varmayı kabul etmiştir. Olympus Şirketi suiistimal olayıyla ilgili soruşturmayla birlikte, Commerzbank’ın, şüpheli eylem ve faaliyetleri önceden tespit edecek ve yüksek riskli işlemlere daha önce son verecek yeterli bir uyum programına sahip olmadığı gün yüzüne çıkmıştır ve söylentilere göre, bu şekilde 1970 tarihli Banka Gizliliği Kanunu ve diğer kara para aklama kanunlarını da ihlâl etmiştir.

■ Çalışanların iş yerlerinde vuku bulan görev suiistimallerine yönelik gözlemlerine odaklanan en güncel ABD İşgücü Ulusal İş Etik Kuralları Anket Çalışmasında2, çalışanlar, gözlemledikleri görev suiistimallerinin üçte ikisini en az iki kez gerçekleşen bir birden fazla olay / sürekli davranış paterni olarak karakterize etmiştir. Bir kez meydana gelen olaylar, etik kurallarına uyulmayan durumların sadece üçte birine tekabül etmektedir. Çalışanlar iş yerlerinde gözlemledikleri görev suiistimallerinin yüzde 60’ından yöneticilerin sorumlu olduğunu da rapor etmişlerdir – ki bu da, kurumsal merdivende yukarı doğru atılan her adımla kuralları çiğneme olasılığının arttığını göstermektedir.

globaliia.org


4

Kültür Neden Her Görevin Bir Parçası Olmalıdır?Etik olmayan davranışlar bir kurumu en nihayetinde risk altına sokar ve gerçekten birçok kurumsal başarısızlığın merkezine koyulabilir. Bir kurumun başarısı için hayati derecede önemli olan her şey derinlemesine ve sürekli olarak incelenmelidir. Forbes dergisi, yakın zamanda, kültürün denetimlerde en çok gözden kaçan unsur olduğunu söylemiş ve “Bir kültür denetiminin, bir şirketin karar alma, sorun çözme ve çapraz fonksiyonel iletişim süreçlerine kılavuzluk eden temel DNA’sına ışık tuttuğunu,” not etmiştir.3

Kültürün denetlenmesi, kurumların, her şey korkunç bir şekilde kötü gitmeden önce, riskleri önlemler alarak yönetmesine ve iç kontrollerdeki hataları bunlara tepki vererek düzeltmesine olanak tanıyarak, paydaşlara değer katmayı destekler. Bu kritik “erken uyarı” fonksiyonuna hizmet etmek adına, (birkaç istisna dışında)4 kültürle ilgili denetim ve değerlendirmeler yılda bir kez yapılan uygulamalara dönüştürülerek önemsizleştirilmemelidir. Bu tür denetimler her denetimin kapsamına dâhil edilmelidir; bu şekilde, iç denetçilerin kurum açısından anlamlı eğilimler ve ortak özellikler aramasına ve bunları kurumda yerleşik kılmasına imkân tanıyarak, kurumun faaliyetlerini kesintisiz bir şekilde izlemesi için bir temel sağlanır. Her ne kadar kültür genelde kurum çapında yaygın olan bir “anlayış” olarak kabul edilse de, aynı zamanda bölgeye, şubeye, departmana ve/veya yöreye göre çeşitlilik gösterebilen yerelleşmiş bir fenomendir.

Kültürün düzenli ve kesintisiz olarak değerlendirilmesi, özellikle birden fazla ülkede faaliyet gösteren kurumlar için faydalı olabilir. Kültür kendini yerel olarak gösterir ve uzak yerler, bölgeler veya coğrafyalarda çalışanlar kültür veya etik kurallarıyla ilgili gerçek sorunları veya algıladıkları sorunları rapor etmek üzere genel merkezle iletişime geçme konusunda tereddüt edebilirler. Kültürle ilgili açık toplantılar kurumdan beklenen davranışların kapsamlı bir şekilde anlaşılmasını sağlamaya ve raporlama faaliyetini desteklemeye yardımcı olabilir.

Değerlendirme sonuçları, her ülkede kültürel sorunları ele almaktan sorumlu olan kişilere destek sağlayabilir. Yerel bir kültürün genel kurumsal kültürü nasıl desteklediği veya ondan ne açıdan ayrıldığı, kültürü anlamak ve sorunlar meydana gelmesi durumunda, bu sorunları ele almak için önemlidir.

3 Forbes, “Kültür: Denetimin En Çok Gözden Kaçan Unsuru,” Eylül 29, 2014. 4 Tek istisna, kurumun uyum ve etik programı hakkında güvence vermektir – ki bu, tek seferlik, periyodik bir denetime elverişlidir. Amerika Birleşik Devletleri Ceza Komisyonu Kılavuzları El Kitapçığı, Kısım 8, Bölüm B2.1, Etkin Uyum ve Etik Pro-gramı, başta suç teşkil eden davranışlara yönelik riskler olmak üzere, kurumun uyum ve etik programının periyodik olarak değerlendirilmesini gerektirir. Benzer şekilde, ISO 19600:2014, Uyum Yönetim Sistemleri – Kılavuzları, etkili ve hassas uyum yönetim sistemleri oluşturma, geliştirme, uygulama, sürdürme ve değerlendirme konusunda kılavuzluk eder. 5 IIA’nın Görüş açıklaması, “Etkili Risk Yönetimi ve Kontrolünde Üç Savunma Hattı,” 2013

Üç Savunma Hattı ve Kültürün DenetlenmesiÜç savunma hattını (veya risk ve kontrol görevlerini / sorumluluklarını ve raporlama hatlarını tasvir eden uygun başka modelleri)5 anlamak, standart denetim görevlerini desteklemede olduğu kadar kültürü değerlendirmede de etkildir.

1. İlk savunma hattı — iş kolu yönetimi — istenen değerleri ve davranış kurallarını belirlemekten, bildirmekten ve bunların modelini oluşturmaktan sorumludur.

2. İkinci hat, tıpkı bir etik ofisi gibi, etik programları geliştiren, kültürle ilgili riskleri ve kültürle ilgili politika ve prosedürlere uyumu izleyen ve ilk savunma hattına tavsiyeler veren bir gözetim fonksiyonudur.

3. Üçüncü hat — iç denetim — kurumun belirtilen ve uyulması beklenen standartlarına bağlılığı değerlendirir ve kurumsal kültürün, kurumun amacını, stratejisini ve iş modelini destekleyip desteklemediğini ölçer. İç denetim genel anlamda kültürü değerlendirir ve kültürün zayıf olduğu alanları tespit eder.

globaliia.org


5

Neler Değerlendirilmeli ve Ölçülmeli?Kültürü denetlerken birçok mülahaza dikkate alınabilir ve bu konudaki örnekler aşağıda liste hâlinde sunulmaktadır. İç denetçi denetimin kültürü ele alan yönünün, kuruma göre uyarlandığından ve kurumun spesifik ortamına, fırsatlarına ve karşılaştığı zorluklara odaklandığından emin olmalıdır. Memnuniyet / Düşünce Mülahazaları

■ Personelin görev suiistimallerini gözlemlemesi ve rapor etmesi.

■ Personelin, meslektaşlarının ortamı ve kültürününe yönelik algısı.

■ Personelin kurumun güçlü bir duruşu olduğuna inanması.

■ Personelin uyum ve etik programlarına yönelik ve kurum bünyesindeki uyum ve etikin önemi hakkındaki algısı.

■ Personel ve müşteri anket çalışması sonuçları.

■ Müşterilerin şikayetleri.

Eğitim

■ Yeni ve mevcut personel için, personelin kurumdaki rolüne uyarlanan kapsamlı bir eğitim programının mevcut olması.

■ Eğitim sıklığı ve katılımın belgelendirilmesi.

■ Eğitimin etkili olup olmadığını değerlendiren mekanizma.

Uyum

■ Muhbirin statüsünün ve haklarının korunması (örneğin iş ünvanının düşürülüp düşürülmediğinin izlenmesi, performans değerlendirmeleri veya başkalarının muhbir olduğuna inandığı kişilerin iş atamaları).

■ Kurum hukuki sorunlarla ne sıklıkta karşı karşıya kalmaktadır?

■ İç denetim ve başka güvence gruplarının tespit ettiklerine karşı, kurumun kendi kendine tespit ettiği, gönüllü olarak ifşa ettiği ve önlemlerle ele aldığı risk ve kontrol problemlerinin sayısı.

■ Düzeltici tedbirlerin güncelliği ve etkinliği.

İK Uygulamaları, Teşvikler ve Tatbiki

■ Kurum ne sıklıkta olumsuz olarak (sosyal medya da dâhil) medyada yer almaktadır?

■ Politikaların ihlâline yönelik cezaların uygunluğu ve tutarlılığı.

■ Kötü niyetli olmayan hatalara yapılan işlemlerin uygunluğı.

■ Personel devri.

■ (Bir personelin kurum ve kurumun kültürü hakkındaki dürüst algısını öğrenme imkanı sunduğu için) personelle işten çıkış görüşmeleri yapılıp yapılmadığı ve bu görüşmelerin, işten çıkan personelin kurumda meydana gelen potansiyel olarak etik olmayan olayların farkında olup olmadığını değerlendirecek sorunları içerip içermediği.

Yumuşak Kontrollere Yönelik Kanıtlar

■ Yetkinlik —adapte edilebilir ve öğrenmeye istekli..

■ Güven ve açıklık — ekip çalışması, sorunları çözme.

■ Güçlü liderlik — örnek davranışlarla yönetmek ve liderlik etmek.

■ Yüksek beklentiler — gelişme, çıtayı yükseltme arzusu.

■ Ortak değerler —doğru şeyi doğru şekilde yapmak.

■ Yüksek etik standartlar — dürüstlük, eşitlik ve adalet.

globaliia.org


6

Kültür Nasıl Denetlenir?Güvence ve danışmanlık görevlerinin düzenli bir parçası olan kültürün değerlendirilmesi faaliyeti, iç denetçilerin, herhangi bir denetim sırasında uyguladıkları iyi uygulamaları kültüre yönelik denetimlerde de kullanmalarını gerektirmektedir: uygun standartlara ve prensiplere bağlılık, güçlü algılara dayanan görüşme tekniklerinin kullanılması, konuya odaklanmış soruşturma prosedürlerinin uygulanması ve objektif değerlendirmeye güven. Çalışanları içten katılıma teşvik etmenin en önemli unsurları güvenilirlik ve güvendir. Özellikle sorunlu alanların yönetim kademeleriyle olmak üzere iyi iletişim kurmak, neyse ki en azından, fikir ayrılıklarına neden olmayan ve işbirlikçi bir tavırda değişiklik yapmak için gereklidir.

İç denetim, kurumun değerlerinin ve kurumdan beklenen davranışların özünü derinlemesine kavramadan ve bunların kurumun iyi kurumsal yönetim, risk yönetimi ve kontrolle ilgili önceliklerini nasıl etkilediğini ayrıntılı bir şekilde değerlendirerek anlamadan, kültürü etkili bir şekilde değerlendiremez. Tüm bunlara yönelik bir anlayış, sadece iç denetim personelini değil, özellikle uyum ve etik kuralları olmak üzere uygun başka disiplinleri de içeren bir ekip çalışmasıyla geliştirilmelidir. Geliştirilen bu açık anlayış iç denetçilerin kültür göstergelerine odaklanmasına ve kök sebep analizi (sorunların neden meydana geldiğini ve bu sorunların altında yatan istenmeyen davranışların nasıl yönlendirilebileceğini diğer tüm konulardan ayrı tutarak anlamak için yapılan analiz) yapmayı üstlenmesine olanak tanır. İç denetimin perspektifi ve fonksiyonu onu özellikle kurumsal kültüre odaklanmaya uygun kılar, ancak bu faaliyette başarılı olmak için iyi hazırlanmak şarttır. Kültürü her görevin kapsamına dahil etmeye hazırlanmak için:

1. Mevcut kaynakların güçlendirilmesi. Örneğin, Finansal İstikrar Kurulu, finans kuruluşlarındaki6 risk kültürünü değerlendirme konusunda, herhangi bir endüstri veya sektörde mevcut olan genel kurumsal kültürü değerlendirmek için de uyarlanabilecek bir kılavuz sunmaktadır. Bu kılavuz bir kurumun risk kültürünü etkileyebilecek dört önemli alan belirler: kurumun duruşu, hesap verebilirlik, etkili iletişim ve sınama ile teşvikler. Kılavuz, her alan için birden fazla performans göstergesi de belirler. Bu kaynakların ele aldığı zorluklar, kısıtlamalar ve potansiyel engeller hakkındaki özel notları dikkate almak önemlidir; bu notlar şüphesiz geçmiş deneyimleri esas almaktadır.

2. Kurumların iş memnuniyetini ölçmek ve performansı öngörmek için kullandıkları personel görev anket çalışmalarını veya diğer benzer araçları gözden geçirmek. Bağlı (angaje) personel kurum hakkında iyi şeyler söyler, kendini işine adamıştır ve kurumda kalmayı ve kurumla birlikte olmayı planlar. İç denetim faaliyetlerini ifa ederken, personel bağlılık (angajman) seviyelerinin yüksek veya düşük olduğu alanlarda kök neden analizleri yapma fırsatları aranmalıdır. Personel bağlılık seviyeleri ve denetim bulguları arasındaki karşılıklı ilişkileri (“korelasyonları”) araştırınız ve kültürü güçlendirme faaliyetinin iç yüzünü anlamak için insan kaynaklarıyla işbirliği yapınız.

6 Finansal İstikrar Kurulu, “Finansal Kuruluşlarla Risk Kültürü Üzerine Denetimsel Etkileşimler Hakkında Kılavuz: Risk Kültürünü Değerlendirmeye Yönelik Bir Çerçeve Nisan 2014.

globaliia.org


7

3. Yönetim kurulunun, denetim komitesinin ve yönetim kadrosunun desteğini güvenceye almak. İyi protokol, konuyu tartışmak üzere yönetim kurulu ve denetim kuruluna sunmadan önce genel müdürle (CEO) görüşülmesini gerektirir; böylece, CEO bu konuda yeterli şekilde bilgilendirilmiş olur. İdeal olarak, CEO, yönetim kurulu ve denetim kurulunun hepsi kültürün kesintisiz olarak değerlendirilmesini desteklemelidir. Ardından, yönetim kadrosunun desteği aranmalıdır, çünkü yönetim kadrosunun, iç denetimin tüm denetimlerde kültürü değerlendirmesini desteklemeyi istemesi sürecin ne kadar etkin ve verimli olabileceğinin anahtarıdır. Denetime karşı direnç, iç denetçiyi kültürü değerlendirmekten alıkoymamalıdır, ancak denetçi çalıştığı ortamı iyi anlamalıdır. Bu tür bir direncin sebebi veya temeli, kültürel sorunların meydana gelmeye başladığı hakkında üstü kapalı bir ipucu olabilir.

4. Ayrı, fakat birbirine bağımlı iki karar almak. Bu kararlardan biri, kuruma en iyi uyacak olan araçlar veya yaklaşımlar kombinasyonunu tespit etmektir. Öncelikle benimsenecek yaklaşımın gözlem yapma olması muhtemeldir, ancak kültürün göstergeleri olan ölçümleri derlemek adına, örneğin personel çalışma anketleri gibi ölçülebillir araçlara da dikkat edilmelidir. Kültür, denetçilerin normalde geleneksel kontrol testleriyle topladıkları basılı kanıtlara uygun değildir; somut kanıtların kıt olduğu bu durum, yönetim kurulunun ve yöneticilerin anladığı, beklediği ve kabul etmeye istekli olduğu bir durum olmalıdır. Bununla birlikte, iç denetçi ne kadar çok anket çalışması ve yapılandırılmış görüşme tekniği kullanırsa, kanıtlar da o kadar çok somut olacaktır. Diğer karar, denetimin kültür yönünün hangi yaklaşımları benimseyerek ele alınacağı üzerine odaklanır. Bu yaklaşımlardan biri, bir olgunluk modeli kullanmaktır. Bu model üst yönetim ve yönetim kurulundan, kurum kültürünün niteliklerini belirlemelerini, kurumun her bir nitelik açısından ne kadar olgun olduğunu tahmin etmelelerini ve ne kadar olgun olmak istediklerini öngörmelerini istemeyi içerir. Ardından, iç denetim çalışması, kurumun beklentileriyle ilgili olarak tam nerede durduğunu tespit edebilir. Boşlukların nerede olduğunu tespit etmek, belirli denetimlerde kültür değerlendirmelerine odaklanmanın en iyi olacağı alanları belirlemeye yardımcı olabilir.

Mikro ve Makro KültürlerKültür, bir kurum bünyesinde yer alan tek parçalı ve homojen bir kurum değildir. Her şirketin mikro ve makro kültürleri vardır.

Mikro kültür, adından da anlaşılacağı üzere, daha küçük, kapsamı daha sınırlı bir davranış şeklidir; personelin ve grupların bir kurum bünyesinde nasıl etkileşime geçtiklerini yansıtır. Birçok kurumun birçok mikro kültürü vardır. Her departmanın kendi mikro kültürü olabilir ve kendi mikro kültürünün, kurum bünyesindeki çok farklı başka mikro kültürlerle etkili bir şekilde çalışması için kimi zaman dalgalı sularda yol almalıdır.

Makro kültür daha geniş kapsamlı ve dışsaldır; bir kurumun pazarda müşterilerine, paydaşlarına ve rakiplerine karşı benimsediği davranış biçimini karakterize eder.

Bu ayrım iç denetçiler için özellikle önemlidir. Kültürü denetlerken, CEO’nun kurumun duruşunu tek başına belirlemediğini unutmamalıdırlar. Her mikro kültürde, üst yönetimde yer alan ve o grubun duruşunu belirleyen bir kişi vardır ve bu duruş, makro kültür için öngörülen duruşa her zaman mükemmel bir şekilde uymayabilir. İç denetçinin kurumu kapsamlı şekilde inceleyerek ele alması, her bir kültürü incelemeyi ve iyileştirilmiş etkileşim için tavsiyeler vermeyi mümkün kılar.

globaliia.org


8

5. Personeli eğitmek. Daha önce de belirtildiği üzere, iç denetçiler kültürü, denetim görevlerinde sürekli olarak uyguladıkları yetkinlikleri kullanarak değerlendirirler. Başarılı iç denetçilerin sahip olması gereken 10 temel yetkinlikten biri olan iş kavrama yeteneği,7 kurumun kültürel özelliklerinin dikkate alınmasını içerir. Her ne kadar bazı denetçiler, kurumsal kültürün nispeten daha öznel olan bu niteliğini ilk başta konfor alanlarının biraz dışında bulsalar da, bu durum, sürekli mesleki gelişim ve becerilerin kesintisiz olarak arttırılmasının ne kadar önemli olduğu üzerinde duran eğitimler ve deneyimlerle hafifletilebilir.

6. Öznel verilerin, denetçileri yanlış sonuçlara yönlendirmemesini sağlamak için denetçileri yakından takip ederek gözetimini sağlamak. Yetersiz bilgileri esas alarak sonuçlara varmak ve bunlarla ilgili rapor vermek kurum bünyesinde her türlü kin ve düşmanlığa neden olabilir. Geleneksel denetim uygulamalarında olduğu gibi, iç denetçiler, varsayımları teyit etmek için denetimin tüm aşamalarında her kademeden yöneticilerle birlikte çalışmalıdır; böylece varılan tüm yanlış sonuçlar raporları hazırlamadan önce ele alınmış olur.

7 IIA, “IIA Global İç Denetim Yetkinlik Çerçevesi,” 2013. 8 Keith Darcy, “Güçlük Etik Kültürler İnşa Etmenin Yolları,” Risk & Uyum Dergisi, Deloitte Insights, Nisan 6, 2015.

– “Kültür, tüm kurumlardaki tek ve en büyük belirleyici faktördür. … Açık olan tek bir şey vardır ki, eğer siz kültürü idare etmiyorsanız, kültür size idare ediyor.”8

– Keith Darcy, Bağımsız Kıdemli Danışman, Deloitte & Touche, LLP, Yönetim Kurulu Murahhas Azası, Etik ve Uyum Memuru

globaliia.org


9

Diğer MülahazalarBir kurumun bir alanında benimsenen kültürün denetlenmesi sonucu elde edilen sonuçların kurumun tamamında benimsenen genel kültürü yansıtmayabileceğini unutmamak önemlidir. En nihayetinde, kurum çapında bir görüş sağlamak için, birçok alanda yapılan denetimlerden elde edilen sonuçların bir araya getirilmesi gerekecektir. Esas itibariyle, kültürün denetlenmesi sürekli değerlendirme, mutabakat ve kalibrasyon gerektiren bir yukarıdan-aşağıya ve aşağıdan-yukarıya uygulamadır.

Bazı kurumlar, sonuçları birleştirmek için Treadway Komisyonu Sponsor Kurumlar Komitesinin (COSO’nun) İç Kontrol – Bütünleşik Çerçeve’sini kullanır. COSO çerçevesine göre, kültür, Kontrol Ortamı Bileşeninin Prensip 1 esasında ele alınır: Kurum, dürüstlük ve etik değerler taahhüdü verir. Bu prensip tahtında, kurumun tamamında, kurumun duruşuna, davranış standartlarına, davranış standartlarına bağlı olunan ve davranış standartlarından sapılan durumlara odaklanılır ve bu konular ele alınır.9 Eğer bu prensibi ilgilendiren sorunlar yüzeye çıkmaya devam ediyorsa, kültürel bir sorun oluştuğu açıktır; bu durum kök neden analiziyle tespit edilebilir.

Diğer kurumlar, bulguları bir araya getirmek için anket çalışmalarına güvenirler. Bu kurumlar, kurumla ve kültürle ilgili beyanlardan (örneğin “Şirket temel değerleriyle tutarlı hareket etmektedir,” ve “İşim için etik eğitim aldım.”)10 oluşan, kendilerine ait anket çalışmaları oluştururlar ve denetime tâbi tutulan alanda çalışan personelden “kesinlikle katılıyorum”dan “kesinlikle katılmıyorum”a doğru seçeneklendirilen bir ölçeğe cevap vermelerini isterler. İç denetçi, “katılmıyorum” veya “kesinlikle katılmıyorum” kategorilerinin işaretlenme yüzdesinin yüksek olduğu beyanlar için güçlendirici ilave kanıtlar arar. Herhangi bir kanıt bulamazsa, anket çalışması sonuçlarının yetersiz ve kötü olduğu konusunda uygun yönetim kademesini bilgilendirir. Personelin algısı yanlış olabilir ya da yürürlükteki süreçlerin yeterince anlaşılmadığını veya tamamen yanlış anlaşıldığını gösterebilir; bazen, örneğin iyi kurulan bir iletişim aracılığıyla olduğu gibi yönetimin doğrudan müdahalesi durumu ele almaya yardımcı olabilir. Eğer güçlendirici ilave kanıtlar bulunursa, anket çalışmasının sonuçları, kanıtları ve iyileştirme tavsiyeleri rapor edilmelidir.

Birçok kurumun, tipik olarak insan kaynakları aracılığıyla idare edilen ve kültürü değerlendirmek için bir tramplen olarak kullanılabilecek kurum çapında bir personel anket çalışması zaten vardır. İç denetçiler, kültür ve etikle ilgili sorular içerip içermediğini tespit etmek için anket çalışmasını gözden geçirebilir ve içermemesi durumunda, birkaç tane soru ilave edilmesini isteyebilirler. Olumsuz cevaplar verilen kültürle ilgili sorular birkaç şekilde kullanılabilir: gelecekte değerlendirilecek potansiyel riskleri tespit etmeye yardımcı olması için, belirli bir alana yönelik denetim planını planlamak ve bu planın kapsamını belirlemek için, yapılan testler ve denetim sırasında bulunan istisnalar esas alınarak karşılaştırma yapmak için ve (kanıtlanırsa) bunları hemen araştırmak için.

9 Treadway Komisyonu Sponsor Kurumlar Komitesi (COSO), İç Kontrol – Bütünleşik Çerçeve, Mayıs 2013. 10 Bazı iç denetçiler denetlenen alanın yönetimine bu alana veya mevcut sorunlara özgü bir veya iki beyan ekleme olanağı da tanır.

globaliia.org


10

Kullanılan anket çalışmasının türüne bakılmaksızın, çalışmanın etkili olabilmesi için iki faktör bulunmalıdır:

■ Dürüst cevaplar verebilmeleri için çalışanlar kendilerini güvende hissetmelidir. Eğer işlerini kaybetmekten veya biraz daha düşük seviyede başka bir missillemeden korkarlarsa, gerekli bilgileri vermekten ziyade vermeme eğiliminde olacaktırlar.

■ Çalışanlar rapor ettikleri meselelerin usulüne uygun şekilde dikkate alınacağını ve bunlara karşı uygun tedbirler alınacağını hissetmelidirler.

Bir denetim sonuçlandığında, iç denetim personeli elde ettikleri sonuçları açık ve objektif bir şekilde yönetim kurulu ve/veya kurumun başka uygun organlarına rapor eder. Kültürün denetim kapsamına dâhil edilmesi bu durumu değiştirmez; kültür, bu raporun içerdiği konulardan sadece biridir. Bununla birlikte, kültürün ele alınması denetim komitesi başkanı ve CEO ile, daha öznel yargıların kullanıldığı ve üstün iletişim becerilerini gerektiren farklı bir diyalog kurulmasını gerektirebilir. Zaman içerisinde yürütülen kültür değerlendirmelerini, daha bütüncül bir bakış açısı elde edecek şekilde periyodik olarak bir araya getirmek rapor verilecek bu kişilerin olayın iç yüzünü anlaması açısından çok daha etkili olabilir.

İç denetçilerin hakkında rapor verdiği tüm konularda olduğu gibi, denetim sırasında karşı karşıya kalınan potansiyel sorunlar düzenli olarak yönetime bildirilmelidir. Bu rapor yönetime teslim edildiğinde, denetimle ilgili gözlemler ve denetim sonuçları yönetim açısından bir sürpriz olmamalıdır. Kültür üst yönetimin tayin ettiği düşünce ve duruşu esas aldığından, iç denetim, kurumun tamamını görmek ve kültürün nasıl desteklendiği veya nasıl bozulduğu hakkında objektif bir rapor sunabilmek için en iyi yetki alanı ve görev kapsamına sahip olabilir.

Sonuçİç denetimin yıllık çalışma planı kurumun birçok özelliğini zaten içerir. Bu iş yüküne kültür neden eklenmelidir? Çünkü kültürün denetlenmesi kurumun kültürü idare etmesine yardım eder. Bir kurumun, nerede boşluklar, hatalar, yanlış iletişimler veya daha kötüsü suiistimal olduğunu tespit etmeye yönelik bilgi elde edilmesini sağlayacak gerekli ve sürekli denetimler olmaksızın mali durumunu, iç süreçlerini veya bilgi sistemlerini idare etmeye çalıştığını düşünün. Kültürün kurumsal başarı açısından çok önemli olduğu göz önünde bulundurulduğunda, bir şirketin kültürü tutarlı ve sürekli bir bazda denetlememesi paydaşlarına değerleri ve öncelikleri hakkında açık – ve muhtemelen hoş karşılanmayan – bir mesaj gönderir.

11 Kurumların kültürü nasıl denetledikleri hakkında gerçek hayattan örnekler görmek için “Kültür ve İç Denetimin Rolü: Yüzeyin Ardına Bakmak” başlıklı yazıya bakınız.

Daha Fazla Bilgi İçinEtik ve Uyum İnisiyatifi (www.ethics.org)

Kurumsal Uyum ve Etik Derneği (www.corporatecompliance.org)

Compliance Week (www.complianceweek.com)

Ethisphere (www.ethisphere.com)

Finansal İstikrar Kurulu (www.financialstabilityboart.org)

İç Denetçiler Enstitüsü (www.iia.org.uk)11

Uyum ve Etik Blogu (www.complianceandethics.org)

Kurumsal Danışmanlık Birliği (www.acc.com)

globaliia.org


11

12/2015-2226

globaliia.org

Documents

Sayı 3 GLOBAL PERSPEKTİFLER VE ANLAYIŞFinansal uzmanlar, bu tür suiistimallerin meydana gelmesine fırsat vermemek amacıyla tasarlanan kontrollerin nasıl tamamen işlevsiz kaldığını