İç Denetçilerin Suistimal ile İlgili Sorumlulukları: Suistimal Farkındalığından Bir Adım Öteye!
Bu yazıda iç denetim fonksiyonunun suistimal ile ilgili sorumlulukları açıklanacaktır.
İç denetim; kurumun faaliyetlerini geliştiren, değer katan, objektif ve bağımsız bir güvence ve danışmanlık faaliyetidir. İç denetimin görevi, suistimal risklerini tespit etmek, bu riskleri önlemek, izleme faaliyetlerini yürütmek ve bu riskleri sürekli olarak ele almaktır.
İç denetçiler; iç kontrollerin etkin ve verimli tasarlanıp tasarlanmadığını değerlendirir, şirket iç işleyişine önemli bir seviyede hakimdir ve en önemlisi organizasyonel olarak bağımsızlardır. Bu sebeple olası hileli işlemlerin önlenmesi için benzersiz ve kritik bir konumdadırlar.
İç denetim departmanına verilen önem, yönetimin iç kontrol ve suistimal risklerinin yönetilmesi sorumluluğuna cevap verdiğinin önemli bir göstergesidir. İç denetim fonksiyonu suistimal risk yönetiminde ve suistimal vakalarında yer alarak suistimal tertipleri, suistimal inceleme teknikleri ve yasalara ilişkin hem bilgi sahibi hem de yetkinlik sahibi olma sorumluluğunu almış olur.
ACFE tarafından hazırlanan 2020 Uluslara Rapor — Küresel İş Suistimali ve İstismar Üzerine Çalışma Raporuna göre suistimal vakalarının %43’ü ihbarlarla, %15'i iç denetim faaliyetleriyle ve %12’si yönetim incelemeleriyle tespit ediliyor. İç denetim için bir açıdan %15 göz ardı edilemeyecek kadar önemli bir oran olsa da, farkı bir açıdan bu oranın düşük olduğu da eleştirilebilir.
Hepimizin bildiği, Uluslararası İç Denetim Standartları’nın güvence maddelerinde suistimal önleme ve tespitine ilişkin iç denetçilerin sorumluluklarına yer verilmekte. Gelin tespit noktasında iç denetim faaliyetinin etkin olması için neler yapabiliriz, standartlar bize neler söylüyor, beraber göz atalım.
· 1210 Yetkinlik standardı iç denetçilerin suistimal risklerini ve şirketin bu riskleri yönetme şeklini değerlendirmesi için yeterli bilgiye sahip olmasını söylüyor. Bu standart, iç denetçinin suistimalin tespiti ve soruşturmanın yürütülmesi gibi uzmanlık isteyen durumlara değil, bu süreçlerin bir adım öncesine cevap vermesini bekliyor.
· 1220 Azami Mesleki Özen standardı iç denetçilerin şirket hedeflerini, operasyonunu, faaliyet alanlarını veya kaynaklarını etkileyebilecek kritik risklere karşı tetikte olması, kısaca denetim planı oluşturulurken operasyonel ve finansal risklerin yanında mutlaka suistimal risklerinin de dahil edilmesinin gerekliliğinden bahsediyor.
· 2060 Üst Yönetime ve Kurula Raporlama standardı iç denetim yöneticisinin iç denetim faaliyetinin planına göre amacını, yetki ve sorumluluklarını, performansını ve IIA’nın Etik Kurallarına ve ilgili mevzuata uygunluğunu üst yönetime ve yönetim kuruluna periyodik olarak raporlama sorumluluğunu anlatıyor. Bu raporlama; suistimal risklerini, kurumsal yönetişim bulgularını ve üst yönetimin ihtiyaç duyabileceği, talep edebileceği veya dikkatini gerektiren diğer konular dahil olmak üzere önemli risk ve kontrolleri içermeli.
· 2120 Risk Yönetimi standardına göre iç denetim fonksiyonu, etkinliği değerlendirmeli ve risk yönetimi süreçlerinin iyileştirilmesine katkıda bulunmalıdır. İç denetim ekibi, suistimalin meydana gelme potansiyelini ve kuruluşun suistimal riskini nasıl yöneteceğini mutlaka değerlendirebilecek seviyede olmalıdır.
· 2130 Kontrol standardı iç denetim faaliyetinin, kuruluşun yönetişim, operasyon ve bilgi sistemlerindeki risklere yanıt vermede kontrollerin yeterliliğini ve etkinliğini “varlıkların korunması” perspektifinden de değerlendirmesi gerektiğini belirtiyor. Bu başlık suistimal ağacının bir parçası olan “şirket varlıklarının kötüye kullanılması” ile doğrudan ilintili.
· 2210 Görev Hedefleri standardı her görev için hedeflerin belirlenmesinden bahsederken iç denetçilerin faaliyetlerle ilgili risklerin bir ön değerlendirmesini yapmalarını ve bu hedefleri suistimal riskleri penceresinden de değerlendirerek süreci yürütmelerini, hedefleri geliştirirken ise önemli hata, suistimal gibi diğer risklerin olasılığını da dikkate almalarını bekliyor.
Standartların da bahsettiği suistimal ile ilintili güvence maddelerine göre iç denetçiler suistimal risklerinin tespiti ve olası suistimallerin önlenmesi için daha geniş bilgi yelpazesine sahip olmalıdır.
Suistimal vakasına ilişkin inceleme sürecinin tamamlanması, raporun sunulması ve vakanın çözüme ulaştırılmasından sonra iç denetim fonksiyonunun aşağıdaki soruları gündeme getirerek suistimal vakasının tekrar etmemesi / gelecek suistimallerin önlenmesi için aksiyon planı oluşturması gerekir.
Bunlar:
· Suistimal nasıl gerçekleşti?
· Hangi kontroller mevcut değildi?
· Hangi mevcut kontroller etkin değildi veya verimsiz çalışıyordu?
· Hangi kontroller geçersiz kılındı (override)?
· Suistimal neden daha erken tespit edilmedi?
· Yönetim ve iç denetim fonksiyonu hangi kırmızı bayrakları atladı?
· Gelecekte suistimaller nasıl önlenebilir ve nasıl daha hızlı tespit edilir?
· İç denetim planında geliştirilmesi gereken alanlar nelerdir?
Şirket savunma hattının önemli bir parçası olan iç denetim fonksiyonu, meslek standartlarını takip ederek suistimal ile ilintili konuları denetim planında tutmalı ve suistimal vakalarının çözüme ulaşmasının ardından gerekli aksiyonları almalıdır.
Şunu unutmamalıyız ki; sadece suistimale ilişkin farkındalığı olan bir iç denetim fonksiyonu; savunma hattının önemli bir parçası olamaz. Meslek standartları daha etkin ve verimli çalışan bir iç denetim fonksiyonu için farklındalığın yeterli olmadığını, bunun ötesine geçerek aslında suistimalle mücadelenin bir parçası olmamamız gerektiğini söylüyor!
