Japonya’da önceki gün yaşanan ve 6 kişinin ölümü ile sonuçlanan 7.2 şiddetindeki deprem dikkatlerin olası bir İstanbul depremine çevrilmesine neden oldu. Japonya'da 1995 yılında 6400 insanın hayatını kaybettiği Kobe depreminden sonra özel bir yasa çıkartıldığı ve depreme karşı önlem almak amacı ile 90 milyar dolar harcandığı biliniyor. Yani olası diğer bir deprem riskine karşı gerekli tedbirlerin alındığı görülüyor.
Bu önlemlerin en başında gelen tüm halkın ciddi bir eğitimden geçirilerek yıkılan şehirlerin yeniden inşası sürecine doğrudan katılmaları oldu. Halk kente sahip çıkma bilinci ile depreme dayanıklı bir şehir inşasında devlet ile kol kola önemli bir çaba gösterdi. Buna ek olarak konutların teknik anlamda sınanması, gerekli takviyelerin yapılması, denetimlerin sıklaştırılması, gayrimenkullerin ve kişilerin sigortalanmasında önemli mesafe kat edilmesi ve depreme yönelik Ar-Ge çalışmaları yapılarak depreme yönelik bir erken uyarı sisteminin devreye alınması ile geçtiğimiz hafta yaşanan 7.2 şiddetindeki depremde can kaybı oldukça düşük oldu. Üstelik depremin şiddeti Kobe depremi ile aynı olmasına rağmen. Otoyolları, dağları, ovaları adeta kağıt gibi yırtan bu denli ciddi bir felakette 6 kişilik can kaybı gerçekten önemli bir başarı (ölenlere Allahtan rahmet diliyoruz).
Medya kuruluşlarında uzmanlarca yapılan bazı değerlendirmelerde benzer bir depremin İstanbul’da olması halinde bu depremin 55 bin ila 150 bin arası can kaybı ve ortalama 1 milyon kişinin evsiz kalmasına yol açacağı belirtildi. Buna ek olarak zararın ekonomik boyutunun 100 milyar dolar olacağı
Öte yandan 1999 yılında gerçekleşen 7.4 lük Marmara depremi 17 bine yakın vatandaşımızın kaybı ile sonuçlanmış, bu acı depremin akabinde uzmanlarca Marmara’da yeni bir deprem riskinin yüksek olasılığa sahip olduğu pek çok platformda defalarca gündeme getirilmişti. Japonya’nın Kobe den sonra olası diğer bir deprem riskine karşı aldığı bunca tedbire rağmen bizde Marmara depreminden sonra olası diğer bir deprem riskine karşı ancak 2006 yılında harekete geçildi. Bugüne kadar 144 okul binasının yeniden yapıldığı, 188 okul binasına takviyede bulunulduğu ifade edildi. Depreme ilişkin hükümet tarafından ortaya koyulacak bir "master plan" olduğu söyleniyor. Yapılaşmayı mercek altına alacak olan Deprem Yasası ise 2 yıldır TBMM’de beklemekte. Bu yasa taslağının beklentileri karşılamaktan uzak olduğu da uzmanlarca dile getirilmekte.
Şimdi bazı ramlara göz atalım:
- İstanbul’da bulunan yaklaşık 20 bin kamu binasından 3 bin 600 tanesinin acil olarak depreme karşı güçlendirilmesi gerektiği söyleniyor
- İstanbul’daki binaların en az p’inin henüz bu riske yönelik bir mühendislik hizmeti almadığı tahmin ediliyor.
- Türkiye genelindeki 17 milyon yapıdan sadece 2.5 milyonunun depreme karşı sigortalı olduğu bilinmekte.
- İstanbul’da yapıların sadece %2 si A sınıfı, yani depreme uygun koşullarda olan yapı. ˜ ise mimar veya mühendislerce el atılıp, deprem düşünülerek planlanmamış yapılar.
- Bu ˜'in de % 75’inin kaçak olduğu tahmin edilmekte.
Genel olarak deprem riskini yönetmede üç temel stratejiden bahsedilmekte:
1) Yapının belirli kural ve standartlara uygun olarak, sağlam yapılması
2) Sağlam olmayanın yıkılması
3) Riskin transfer edilmesi; yani sigorta hizmetlerinden faydalanılması
Bunlara ek olarak bizce ve belki de en öncelikle toplumda bir deprem bilincinin oluşturulması gerekmekte. Bu medya, eğitimler ve yasal zorunluluklar ile söz konusu olabilir.
Ülkemizin bu konuda maalesef etkin bir politika izleyemediğine şahit olmaktayız. Bunun elbette ki mali, sosyal veya siyasal nedenleri vardır. Ülkemizde olası bir depreme karşı Japonya’nın ayırdığı kaynağı ayırmak acıdır ki mümkün gözükmüyor. Siyasi iradenin yasayı en iyi haline getirmek için değil, çok farklı kesimlerin, muhatapların, çıkar gruplarının isteklerini gözetmek adına beklettiği de aşikar. Yine buna ek olarak söz konusu yasalar ile halka yüklenecek ciddi bir maddi fatura söz konusu olacak. Hiç bir hükümetin de bu yükü yaklaşan seçimler öncesi halka yüklemesi kolay gözükmüyor. Tüm bunlara ek olarak İstanbul, ekonomik büyüme ve yabancı yatırımı teşvik amacı ile bir cazibe merkezi haline getirilmek isteniyor. Bu iyi niyetli bir çaba olmasına rağmen elbette ki riskli bir karar. Bu faktörlerin bileşimi sonucu ortaya şu şekilde bir tablo çıkıyor:
1) Gündelik bazı siyasi çekişmeler ve kavgalar deprem riskinden daha fazla dikkat çekiyor. Deprem riski, ülkeyi bir kurum olarak düşünürsek, kurum risklerinin en tepesinde görülmüyor.
2) Ülkemizin sahip olduğu kaynaklar ve mali tablo göz önüne alındığında depreme yönelik kaynak ayırma noktasında imkanların yeterli olmadığı görülüyor.
3) Konuya ilişkin yasal düzenlemeler gecikmiş durumda. Bu düzenlemeler pek çok sivil toplum örgütünce kapsam, teknik boyut ve yaptırım gücü açısından yeterli bulunmuyor.
4) İstanbul bir cazibe merkezi haline getirilmek suretiyle göç ve nüfus artışı teşvik ediliyor.
5) Deprem riski ve bu riske bağlı etkiler, panik ve olumsuz ekonomik sonuçlara yol açmamak adına kamuoyu ve medyada gerektiği şekilde gündeme getirilmiyor, getirilmesine anlaşılmaz bir şekilde engel olunuyor.
6) Riske dair toplum genelinde de bir farkındalık söz konusu değil. Riskin olası etkisi, yani can ve mal kayıpları ile riskin gerçekleşme olasılığına dair net bir çalışma da ortaya koyulmuş değil.
7) Deprem riskinin yönetilmesine yönelik çabaların koordinasyonunda da problemler olduğu görülüyor.
Tüm bu tespitler ışığında, ülkemizin belki de en önemli riski olan deprem riskine karşı gerekli farkındalığın oluşmadığı, risklerin yönetimine ilişkin kurumsal bir çerçevenin bulunmadığı, risk yönetim stratejilerinin farklı senaryolar dahilinde ortaya koyulmadığı, koyulduysa bile bunun etkin bir iletişim faaliyeti ile duyurulmadığı, deprem sonrası acil eylem planlarının tam ve eksiksiz hazır hale getirilemediği görülmektedir. Kısaca deprem riskini iyi yönetemiyoruz! Unutulmamalıdır ki hiçbir maddi, siyasi veya sosyal kayıp, insan hayatı kadar önemli değildir.
Kamu ve özel sektör kurumlarında görev yapan meslektaşlarımızın, risk yönetiminin teşviki ve denetlenmesi ile ilgili görevleri paralelinde, görev yaptıkları kurumların bahse konu deprem riskine olan maruziyetleri ve alınması gereken tedbirlerle ilgili değerlendirmelerini amir ve yöneticileri ile paylaşmalarının faydalı olacağını düşünmekteyim. İç denetçiler olarak bu hususta bizler de kurumlarımıza ve genel olarak topluma elimizden gelen katkıyı yapmak durumundayız.
18 Haziran 2008 Çarşamba
Deprem Riskini Nasıl Yönetiyoruz?
16 Haziran 2008 Pazartesi
İç Denetimin Önemi
Bundan önce de benzer şekilde önemli hatalar yapıldığı görülmekte. Örneğin yine yakın zamanda gündeme alınan Odalar ve Borsalar Yasasında genel sekreter seçilmeye engel suçların “seçilebilecekler” arasında yer alması hatası gerçekleşmiş. Yine geçtiğimiz haftalar içinde TBMM Genel Kurulunda devletin, vergi borçları ve alacaklarına ilişkin bazı düzenlemeler içeren Amme Alacakları Yasası görüşülüp kabul edilmiş, ardından Yasa Çankaya Köşküne onay için gönderilmiş ve gönderilen bu yasa Cumhurbaşkanı tarafından bekletilmeden kabul edilmişti. Ancak Köşk’e onay için gönderilen Yasada yer alan cetvelin hatalı olduğu ortaya çıktı. Köşk’e gönderilen metnin en sonunda yer alan cetvelde, otomobillerin silindir hacimleri ile uygulanacak vergi miktarları birçok yerde hatalı yazılmıştı. Ek olarak ÖTV’ den muaf tutulacak bazı kalemler de unutulmuştu. Yasanın Resmi Gazete’de yayınlanmasını takiben yapılan hatanın fark edilmesi sonucu TBMM Genel Sekreterliği, 13 Haziranda Resmi Gazeteye ilan vererek, hatalı cetvelleri düzeltti.
Bu hatalar ile ilgili olarak TBMM bürokratları, Çankaya Köşkü’ne Genel Kurulda kabul edilen metin yerine, yanlış metin gönderildiğini kabul ettiler.
“Mecliste doğru metin kabul edildiği için yasa değişikliğine gerek olmadığını iddia eden yetkililer, benzer hataların daha önceki yıllarda da aynı yolla düzeltildiğini söylediler”
Muhalefet ise bu durumu şiddetle eleştirerek bu tür bir düzeltmenin geçerli olmayacağı, Meclisten çıkan metin ile Cumhurbaşkanınca onaylanan metnin farklı olması nedeni ile Yasanın onaylanmamış ve yürürlüğe girmemiş olduğunu iddia etmekte.
Yukarıda hatayı kabul eden yetkililerce yapılan açıklamayı satır araları ile tekrar okumak gerektiğini düşünüyorum.
“Mecliste doğru metin kabul edildiği için yasa değişikliğine gerek olmadığını iddia eden yetkililer, benzer hataların daha önceki yıllarda da aynı yolla düzeltildiğini söylediler”
Bu açıklamanın satır aralarından çıkacak sonuçlar şunlar:
1) Hata oldukça ciddi bir hatadır. Ancak yetkililerce önemli bir hata olarak görülmemektedir. Sonradan düzeltilmiş olması yeterli görülmektedir.
2) Operasyonel bazı risklerden ve zayıf iç kontrol sistemlerinden kaynaklanan bu hatalar sürecin hiçbir aşamasında fark edilememiştir.
3) Operasyonel riskler net bir şekilde itibar ve yasal risklere dönüşmüştür.
4) Oldukça önemli bir etkiye sahip olduğunu düşündüğüm bu operasyonel riskler, uzun bir süredir gerçekleşmektedir. Yani benzer hataların da aynı şekilde gözden kaçmış olması riskin yüksek bir olasılığa sahip olduğunu göstermektedir.
5) Yüksek etki ve olasılığa sahip bu operasyonel riskleri yönetmekte yetersiz iç kontrollerin olduğu gerçeği uzun süre tespit edilmemiş, hatalar ancak gerçekleştikten sonra fark edilebilmiştir.
6) Yöneticilerin hata olduğunu kabul etmekle birlikte bu hataları hafife alan ve bu tür bunları normal karşılayan üslupları da dikkate şayandır. Yapılan açıklamalar ilgili kurumların yetkililerinin iyi niyetli olmakla birlikte, risk ve risk yönetimi farkındalıklarının olmadığı gerçeğini işaret etmektedir.
7) İç denetim ve iç denetim hizmetlerinin bu vaka ile birlikte ne denli önem taşıdığı ortaya çıkmıştır. Kamuda neden iç denetim? Farklılığı nedir? İç denetime ihtiyaç var mı? gibi bazı soruların cevabını bu ve benzeri vakalar en iyi şekilde vermektedir. Etkin bir iç denetim sisteminin risk yönetimi ve iç kontrol sistemlerinin tesisi yönündeki çabaları ve bu sistemlerin sağlıklılığına dair güvence sağlama fonksiyonlarının önemi net bir şekilde ortaya çıkmaktadır.
8) Ülkemizde özellikle de Kamu sektöründe görev yapan iç denetçilerin işlerinin ne kadar zor olduğu ortaya çıkmaktadır. Faaliyetleri esnasında iç denetçilerin kurumlarında bir risk farkındalığı bulunmadığı gerçeği ile yüzleşmeleri ve buna dönük tedbirleri almaları gerekmektedir. Devletin zirvesindeki bu bakış açısının tüm kamu’ya sirayet etmiş olması muhtemeldir. Ancak durumun bilgi eksikliğinden kaynaklandığını ve kamudaki yönetici ve yetkililerin son derece iyi niyetli olduklarını düşünmekteyim. İç denetçilerin farkındalık yaratmaktaki etkin çabalarının yöneticileri tarafından anlaşılacağına ve yönetimlerin iç denetçileri sonuna kadar destekleyeceğine inanıyorum. Ancak burada anlaşılabilir olmak ve derdi iyi anlatmak ön koşuldur. Aynı dili konuşmadan, meseleleri somutlaştırmadan anlaşılabilmek ve destek alabilmek imkansız hale gelecektir.
9) İç denetçilerin bu ve benzeri durumları engellemeye yönelik bir araç olarak iç denetimi ve bu mesleğin önemini kabul ettirmek adına atacakları adımların çok iyi koordine edilmesi, faaliyetlerde yeknesaklık sağlanması, mesleğe sivil toplum örgütleri ve mümkünse yasal, bağımsız bir mercii tarafından sahip çıkılması önem taşımaktadır.
12 Haziran 2008 Perşembe
İtibar Riski Nasıl Yönetilmeli?
Bu üç olayda da dikkati çeken ortak bir nokta var. “İtibar” kavramı… İlkinde bir kamu kurumunun, ikincisinde tarımsal üretim yapan kişi ve şirketlerin, en son olayda da genel olarak bir ülkenin bazı olaylar (tehditler) nedeni ile nasıl itibar riski ile karşı karşıya kalabildiğini görmekteyiz. Bu olayların, yani tehditlerin belirli bir olasılık dahilinde gerçekleşmesi, diğer bir ifade ile riskin realize olması sonucu sistemsel, stratejik, finansal, yasal, itibar veya operasyonel bazı kayıpların olabileceği aşikar. Yani itibar riskinin bir tehdit senaryosuna bağlı olarak gerçekleşmesi sonucu bazı kayıplar yaşanması muhtemel.
Üzerinde durmak istediğim konu ne suyun zehirli madde içermesi, ne domatesin nitrat oranının yüksekliği ne de iç siyasi olumsuzluklar. Bunların gerçekliği veya nedenlerine ilişkin bir çerçeveden değil, mesleki bir perspektiften itibar riski ve itibar riskinin nasıl yönetilmesi gerektiği konularına göz atmak istiyorum. Gerçekten de suyun veya domateslerin insan sağlığına etkilerinden veya iç siyasi tartışmaların yerinde olup olmamasından çok bunların yaratabileceği sonuçlar ve bu sonuçların önceden öngörülüp engellenebileceği gerçeği üzerine odaklanmak gerektiği düşüncesindeyim.
Peki nedir itibar riski? İtibar riski, kamuoyu olumsuz görüşlerinin, kişi, kurum, ülke ve sistemler üzerinde mevcut ve olası etkilerini ifade etmektedir. Kısaca kurumların imaj ve itibarını zarara uğratan risklerdir. Örneğin güven esasına dayalı olarak faaliyet gösteren bankalar için dürüstlük konusundaki kamuoyu görüşü veya kurumun bu yönde sağladığı imaj sahip olunan en değerli aktiflerden biridir. Yine benzer şekilde bir ülkenin dış yatırımcı, borç veren ve ilişkide bulunduğu uluslararası kurumlar nezdindeki itibarı o ülkenin dünya ekonomisi, siyaseti ve sosyal düzeni içindeki konumunu etkilemektedir.
Bu denli önemli olan bir kavram ve bununla ilişkili itibar riskine dair ülkemiz kamu ve özel sektöründe ne denli bir farkındalık var? Bu risk iyi yönetilebiliyor mu? Bu sorulara verilecek cevaplar son günlerde tartışılan ve yukarıda bahsettiğimiz üç olayında açıkça desteklediği gibi olumsuz.
İtibar riskini yönetmek için önce “itibarın” risk altında olduğunun farkında olunması gerekiyor. Yani itibar kaybını önemli bir kayıp gerçekleşmeden fark etmek gerekiyor. Yani kendimiz, kurumumuz ve ülkemiz için söz konusu olan diğer riskler ile birlikte itibar riski ve verebileceği zararları da iyi kavramamız şart. Esasen itibar riskinin yönetimi de diğer risklerin yönetiminden farklılık arz etmiyor. En azından yaklaşım olarak. Elbette ki farklı riskler için farklı risk yönetim stratejileri söz konusu. Ancak ana yaklaşım değişmiyor.
Etkin bir risk yönetimi her zaman risk farkındalığı ve risk yönetimi ihtiyacının en iyi şekilde anlaşılması ile başlıyor. Bu bir kültür ve iletişim meselesi. Burada ülkemiz gerçekleri göz önüne alındığında en önemli görev biz iç denetçilere düşüyor. Farkındalığın oluşturulması ve bu ihtiyacın karşılanmasına yönelik adımların atılmasının teşvik edilmesi bizim görevimiz. Özellikle ülkemizdeki gibi risk ve risk yönetimine aşina olmayan kurumsal yapılarda, farkındalık oluşmasının orta vadeli bir iş olduğu gerçeğinden hareketle, bu çaba zamana bırakılarak diğer aşamaya geçiliyor. Bu aşama risklerin kurum çapında tanımlanması. Yani söz konusu risklerin tespit edilmesi. Yani bir kurumun, proje veya genel olarak ülkenin itibarını tehdit eden veya edebilecek durumların ortaya konması. İşte bu tanımlama farkındalık sürecinin oluşumunu da tetikliyor. Tanımlama aşamasından hemen sonra bu tanımlanmış risklerin ölçülmesi aşaması geliyor. Ölçümleme şu demek. Bu risklerin yaratabileceği etki, yani olası kayıplar ile bu riskin gerçekleşme olasılığının veya bir başka değişle sıklığının tespit edilmesi. Bu ölçüm işlemi nitel veya nicel yöntemler kullanılmak sureti ile belirlenebiliyor. En son aşama ise bu risklerin en ciddi yani yaratabileceği etki ve gerçekleşme olasılığı en yüksek olanından başlayarak en düşük olana dek sıralanması. Bu sıralama bize görece önemli veya çok kritik olan bazı riskleri açıkça görebilme ve bu risklere yönetimde öncelik verme şansı veriyor.
En yüksek riskten en düşüğe göre yapılan sıralama sonucu, bu riskler uygun risk yönetim stratejileri ile yönetilebilir hale geliyor. İşte burada çok geniş bir yelpazede risk yönetim stratejileri mevcut. Risklerin sigorta edilmek sureti ile 3. şahıslara transferi, iş ortaklıkları kurulmak suretiyle paylaşılması, operasyonlara son verilmek suretiyle risklerden kaçınılması veya genelde en yaygın yöntem olarak iç kontroller ve genel bir iç kontrol sistemi tesis edilmek sureti ile kontrol edilmesi bunlardan birkaç tanesi. Bunların her biri belirli bir maliyeti olan ve farklı risk düzeylerinde işe yarayabilecek alternatifler.
En son aşamada ise bu risklerin yönetilmesi sürecinde ve sonrasında bunların ilgili mercilere yani kurumların üst yönetimlerine raporlanması ve bu faaliyetlerin bir bütün olarak bu yönetimlerce izlenmesi gerekiyor. İşte iç denetim birimleri ve iç denetçiler kurum yönetimleri adına bu izleme görevi kapsamında gerçekleştirdikleri sürekli ve periyodik denetimler ile yönetimlere yardımcı oluyorlar. Bu izleme ve raporlama faaliyetleri sonrası geri bildirim mekanizması işleyerek risk yönetim sürecinde bir hata veya eksiklik mevcut ise en başa dönülerek bu hatanın düzeltilmesine imkan sağlıyor.
Bahse konu itibar riskleri de bu şekilde tespit edilmek ve yönetilmek suretiyle yaşanabilecek önemli kayıplar engellenebiliyor. İtibar riskleri özellikle bazı sektörlerde çok önemli. Hızla mali, stratejik ve hatta sistemsel risklere dönüşebilmesi gözden kaçmamalı. Yani medyada çıkan bir haber veya sürdürülen bir tartışma gerçekte oldukça başarılı işler yaptığı bilinen bir kurumu kamuoyu önünde işini iyi yapmama imajı ile veya halkın kafasında bazı şüpheler ile baş başa bırakabiliyor. Çoğu kere bu tür tartışmalar kurumların lehine de sonuçlanabiliyor. Ancak unutulmamalıdır ki bazen itibarınız iade edilse de aynı düzeyde bir güvenin sağlanması mümkün olmuyor. Haklı olsanız da olmasanız da bu böyle. Örneğin, Kızılırmak suyunun tartışılması başta ben olmak üzere pek çok kişinin evinde musluk suyu kullanmamasına yol açtı. Dışarıdan su temin etmek oldukça ciddi bir maliyet teşkil ediyor. Bunun yanı sıra toplum genelinde sağlığa ilişkin yaşanabilecek olumsuzlukların itibar riskinin şiddetini arttırabileceği ve bununla beraber yasal bazı riskleri de ortaya çıkarabileceği ortada. Çevremizde, Rusya tarafından sağlığa zararlı nitrat maddesi taşıdığı iddiası ile ithali durdurulan ve bu nedenle çoğu yerli pazara verilen domatesleri asla çocuklarına yedirmeyeceğini söyleyen insanlar görüyor, duyuyoruz. Bu domateslerin yerli pazarda da talep sıkıntısı yaşayabileceğini, dolayısı ile üreticimiz açısından mali bir riske dönüşerek mali bir kaybı beraberinde getirdiğini söylemek mümkün. Tabi sağlıkla ilgili durum burada da geçerli olacaktır. Öte yandan belki de en önemli itibar riski bir ülke için söz konusu olan itibar riskidir. En önemli itibar kaybı bir ülkenin yaşayabileceği kayıptır. Çünkü toplumun tamamına sirayet eder. Daha da kötüsü gelişmekte olan ülkelerde olduğu gibi sistemsel bir boyut kazanabilir. Yani sistemsel (sistemik) riske dönüşebilir. Musluk suyu içmek veya domates yemekten kaçınmak mümkün olabilir ancak o ülkede yaşıyorsanız ve yaşamaya devam edecekseniz o ülkeye dair sistemsel risklerden kaçınmanız maalesef mümkün değildir. İşte son iç siyasi tartışma ve gelişmeler de itibar riskinin ve dönüşmesi halinde sistemsel bir riskin gerçekleşmesine yönelik tehditler olarak görülebilir. Bu riskin gerçekleşmesi halinde ülkenin tüm makro dengeleri yıkılabilecek, sadece ekonomik değil, sosyal ve siyasi tüm yapılar da bundan etkilenecektir. Böylesi bir riskin 2001 yılında gerçekleştiğine ve yarattığı etkiye milletçe şahit olmuştuk.
İtibar riskini ve diğer tüm riskleri ciddiye almak ve yukarıda bahsedilen tanımla-yönet-izle döngüsü dahilinde etkin bir şekilde ele almak hayati önem taşımaktadır.
Su ile ilgili tartışmalara muhatap olan kurumumuz ve diğer tüm özel ve kamu kurumları, üreticilerimiz ve genel olarak ülkemiz bu ve benzeri itibar riskleri ile bundan sonra da sürekli karşılaşacaktır. Bu ne ilk ne de son riske maruz kalmadır. Bu nedenle ülkemiz genelinde risk farkındalığının artırılması ve sağlıklı risk yönetim yapılarının kurulması elzemdir.
Bu gereğin yerine getirilmesi amacı ile kamuda atılmakta olan adım, yani iç denetim faaliyeti oluşturulması ve kamuda iç denetim sistemine geçilmesi çok büyük bir devrim niteliğindedir. Bunu iç denetçilerin teşvik ve rehberlik edeceği bir risk yönetim faaliyetinin kurulması aşaması izleyecektir. İşte bu aşamalar risklerin daha etkin yönetilmesi ve kayıpların azaltılması açısından hayati önem taşımaktadır.
Not: Genel olarak yukarıda bahsi geçen olayları göz önüne alarak; ilgili kurumun gerekli önlemleri almış olduğu ve alacağına, domateslerimizin büyük bölümünün sağlığı ciddi boyutlarda tehdit edecek kimyasal madde içermediğine ve içerenlerin de ivedilikle imha edileceğine inanmak istiyor ve ülkemizin pek çok kere uluslararası arenada haksız ve dayanaksız biçimde itibar kaybına uğratılmakta olduğunu düşünüyorum.
Ancak bu inanış, itibar riskinin etkin bir biçimde ve “reaktif değil” proaktif biçimde yönetilmesi gerektiği gerçeğini değiştirmemektedir.
3 Haziran 2008 Salı
İç Kontrol Kavramı Üzerine Bir Vaka İncelemesi
Geçtiğimiz hafta gazetede yayınlanan bir haber dikkatimi çekti. Haberin başlığı “Internet Aşkının Uğruna Şirketini Dolandırdı” idi. Şöyle diyordu haberde: “Turizm şirketinin 12 yıllık muhasebecisi, internette tanışıp aşık olduğu erkeğe, şirket kasasından 10 ay boyunca 3 milyon 200 bin YTL gönderdi. Sevgililer 12’şer yıl hapis istemiyle yargılanıyor. Ayrıca kendilerine yardım eden 5 kişi de dolandırıcılık nedeniyle tutuklandı”
Ayrıca haberde muhasebecinin bazı ifadelerine de yer verilmişti. “………şirket kasasından her hafta düzenli olarak para çektim………..Ayrıca şirket hesabından da para çekip gönderdim………….Daha sonraları elden de para verdim…..Çalıştığım şirket yüklü miktarlarda ihale aldığı için yakalanmadım…..Her şeyi….’e aşık olduğum için yaptım!”
İç kontrol kavramı üzerine bir (case study) vaka incelemesi olarak bundan daha iyi! bir örnek düşünemiyorum.
Bir iç denetçi olarak bu vaka ile ilgili gözlemlerimi paylaşmak istiyorum. Yukarıda koyu renkle işaretli kelimeler bu vakanın en kritik noktaları.
Öncelikle gözden kaçması imkansız olan bir kontrol zafiyeti ile başlıyoruz. Temel bir iç kontrol tedbirinin eksikliği gözümüze çarpıyor. Bu iç kontrol uygulaması pek çoğumuzun yakından bildiği “görevler ayrılığı” ilkesi. Bu vakada, bu ilkenin ciddi bir şekilde ihlal edildiği görülmektedir. Ne diyor görevler ayrılığı ilkesi; muhasebeyi tutan veya sorumlu olan kişi (muhasebe kaydı yaratma yetkisi olan kişi) ile nakit varlıklara erişim yetkisi olan kişiler mutlaka ayrı olmalıdır. İşte bu şirkette muhasebecinin, çalışan veya yönetici olup olmadığı bilinmemekle birlikte, şirketin her tür nakit değerine (banka hesapları ve kasa) erişim imkanı olduğu görülmektedir. Özellikle ülkemizdeki küçük ve orta ölçekli pek çok şirkette muhasebe sorumlusu olan, yani muhasebeyi tutan kişilerin bu şekilde çalıştığı düşünüldüğünde olayın ciddiyeti ortaya çıkmaktadır. Ülkemizde genellikle iç kontrol tedbirleri yerine kişisel güven faktörü ön planda olduğundan, “görevler ayrılığı” ilkesine dikkat edilmemektedir. Oysa yukarıdaki haberde koyu renkle işaretlenen diğer bir kelime, suçu işleyen muhasebecinin 12 yıldır bu şirkette çalıştığını ortaya koymaktadır. İç kontrol tedbiri yerine kişisel güven mekanizmasının ne denli anlamsız bir uygulama olduğuna iyi bir örnek teşkil etmektedir. Özellikle aile şirketlerinde aileden biri ya da ailenin en çok güvendiği kişilerin bu tür yetki ve sorumlulukları tek başına üstlendikleri düşünüldüğünde, riskin büyüklüğü ortaya çıkmaktadır. Konu ile ilgili olarak yukarıdaki örnekte dikkat çeken bir diğer husus ise şirket sahipleri tarafından güvenilir olarak görülen ve tam 12 yıldır bu şirkette çalışmakta olan bir kişinin “aşık olma güdüsü” ile çalıştığı şirketi, kariyerini ve hayatını riske atabilmesidir. Bu durum insan olmaktan ve insani zaaflardan kaynaklanmaktadır. Aşık olma motivasyonuna ek olarak daha pek çok motivasyonu daha sayabiliriz. Yıllarca hak ettiğini alamadığını düşünmek, çocuğu için acil paraya ihtiyacı olmak, patronlarından intikam almak ve daha pek çok neden ile şirketlerde, kurumlarda bu tür olaylar yaşanabilmektedir. İşte bu nedenle iç kontrol vazgeçilmez bir kavramdır. Elbette ki güven unsuru da önemlidir ancak iç kontrollerle desteklenmeyen güven bir kumardır.
Ancak unutulmaması gereklidir ki iç kontroller yine insanlar tarafından tasarlanır. İç kontrolleri en iyi atlatabilecek kişiler onları tasarlayan, onlar üzerinde hüküm sahibi olan veya onları atlatabilmek amacı ile işbirliği yapan çalışanlar olmaktadır. Bu bağlamda yukarıda bahsi geçen vakada suçu işleyen iki kişiye destek veren ve bu sebeple gözaltına alınmış beş kişilik bir grubun varlığı bu duruma işaret etmektedir. Burada iç kontrol eksikliklerine ek olarak, birde var olduğu düşünülen iç kontrollerin (olduğundan şüphe etmekle birlikte) bir grup çalışanın ortak çabası ile atlatıldığı gerçeği dikkat çekmektedir. Belli ki suçu işleyen iki kişi, bu operasyonu oldukça uzun bir süre tek başlarına götürmemişlerdir. 10 ay boyunca kelimesi üzerine bu nedenle durulması gerekmektedir. Bu kadar uzun süre yüklü miktarlarda nakitin kasa ve banka hesaplarından çekilmek suretiyle şirket dışına çıkartılması ve hiç kimsenin bu durumu fark etmemiş olması bu iç kontrol faciasına ayrı bir boyut katmaktadır. Şirket ile ilgili ayrıntılı bilgiye sahip olmamakla birlikte yukarıdaki haberden tahmin ettiğimiz kadarı ile muhasebe sorumlusu bu olayı diğer bazı çalışanlardan habersiz gerçekleştirmemiştir. Elbette ki bahsi geçen 5 kişinin de suçlu olup olmadıkları kesin değildir, ancak en azından durumun ortak bir çaba sonucu gerçekleştiği ihtimali, suç sonucu kaçırılan nakit miktarı düşünüldüğünde, pek olasıdır. Buradan çıkartılması gereken sonuç iç kontrollerin etkin olsun olmasın, bir grup çalışan tarafından atlatılabilmesinin de mümkün olduğu ve bunun gözden asla kaçırılmaması gerektiğidir. Yine bu bağlamda dikkatimizi çeken diğer bir husus da 10 ay boyunca şirket hesaplarından önemli miktarda nakit çekilişinin şirketin üst düzey yönetici veya sahipleri tarafından takip edilmemiş olmasıdır. Burada açıkça diğer bir iç kontrol zafiyeti göze çarpmaktadır. İzleme veya diğer bir deyişle gözetim mekanizmalarının tahsis edilmemiş olduğu görülmektedir. Şirket büyüklüğü ne olursa olsun, yönetsel gözetim ve süpervizyon mekanizmalarının mutlaka bulunması gerekmektedir.
Yukarıdaki tespitlere ek olarak gözümüze çarpan diğer bir nokta ise yüklü miktarlarda ihale alan ve ciddi bir mali kazanç elde eden şirketin, muhtemelen büyümüş olan örgütsel yapısını, değişimin gerektirdiği şekilde yeniden yapılandırmamış olmasıdır. Genellikle ülkemizde görülen diğer bir sorun da şirketlerin veya kurumların büyümelerini takiben, örgütsel bir yeniden yapılanma sürecine gitmemeleridir. Bu yeniden yapılanmanın en önemli unsuru ise elbette ki iç kontroller olmalıdır. Ancak genellikle uygulama bu yönde olmamaktadır. Eski yapı ve sistemler korunmakta, sadece çalışan sayısı artırılmak suretiyle işler devam ettirilmeye çalışılmaktadır. Yetki ve sorumluluk dağılımı, örgütsel iletişim dizaynı ve kurumsal kademelere ise hiç dokunulmamaktadır. Bu durum şirket sahiplerinin kurum üzerindeki kontrolünün azalmasına ve kurum içinde önceden yetki kazanmış ve önemli sorumluluk alanlarının merkezinde bulunan kişilerin güç kazanmasına yol açmaktadır.
Evet ülkemizdeki acı bir gerçeği doğrular nitelikteki bu olaydan çıkartılması gereken pek çok ders var. Nedir bu acı gerçek? İç kontrol kavramı ülkemizde genellikle iç ve/veya dış denetçilerin işi gibi görülüyor. Kamu veya Özel sektör olması fark etmiyor. İç kontroller ile ilgili olarak Yöneticilerin topu sıklıkla denetim elemanlarına attıkları görülüyor. Bu olayın bir yönü. Diğer yandan, iç kontrol kavramı özellikle ülkemiz iş dünyasında önemi henüz anlaşılabilmiş bir kavram değil. İç kontrollerin genellikle işleri yavaşlatıcı, zaman alıcı ve gereksiz olduğu gibi bir düşünce hakim. Bunu hem kişisel kamu ve özel sektör tecrübe ve gözlemlerim, hem de pek çok farklı kurum ve yapıda görev yapan meslektaşım ile yaptığım sohbetlerden anlıyorum. İşte bu iki konu, yani iç kontrollere gereken önemin verilmemesi ve iç kontrollerin sorumluluğunun yönetimler tarafından alınmak istenmemesi (eksik bilgi sahibi olmaktan da kaynaklanıyor olabilir) ülkemizdeki acı gerçeği doğruluyor. Şirketlerimiz ve kurumlarımızın yumuşak karnı iç kontroller ve iç kontrol sistemleri. Ülkemizde hemen her gün bu tespiti doğrulayan, yukarıdaki olaya benzeyen pek çok vaka yaşanıyor. Bir kısmı basına yansıyor, bir kısmı yansımıyor. Oysa aynı sorunlar sıklıkla gelişmiş yabancı ülkelerde de yaşanmış ve hala yaşanmakta. Aklımıza en son gelen örnek Enron skandalı. Ama yabancı ülke otoriteleri duruma el atarak kısa süre içinde SOX ve benzeri düzenlemeler ile duruma müdahale ediyorlar. İç kontrol kavramını yasa ile önemli hale getiriyorlar. Batı iş dünyası ise bu kavramın önemini çoktan kavramış. İç kontrolle ilgili pek çok model (COSO, CoCo) ve pek çok yasal düzenleme şu an uygulamada. Ülkemiz kamu ve özel sektörü ise bırakın iç kontrol kavramını, henüz iç denetim kavramı ile bile yeni tanıştığından alınması gereken mesafenin büyüklüğü ortaya çıkıyor. Ancak son dönemlerde ülkemiz kamu, sermaye piyasası ve bankacılık sektöründe hayata geçirilen bazı düzenlemeler konuya ilişkin farkındalığın artmasını sağlamıştır. Temennimiz bu farkındalığın diğer tüm sektör ve iş kollarındaki küçüklü büyüklü firmalar ile sosyal ve sivil toplum kuruluşlarında da artırılmasına yönelik inisiyatiflerin oluşması.
Tekrarlamakta fayda duyuyoruz ki iç kontroller işleri yavaşlatan, engelleyen veya gereksiz mekanizmalar değildir. Aksine iç kontroller hayat memat meselesidir ve konuya bu şekilde yaklaşılması gerekmektedir. Buna ek olarak ifade etmek gerekiyor ki iç kontroller, iç veya dış denetçilerin değil, doğrudan şirket yöneticilerinin sorumluluğudur. Bunun bu şekilde görülmesi ve bu sorumluluğun gereğinin yerine getirilmesi gerekmektedir. İç kontrol kavramı ile ilgili olarak gerek kamu gerekse de özel sektörde önemli bir farkındalık oluşturma politikasının hayata geçirilmesi yerinde olacaktır. Ülkemizde mükemmel bir iç kontrol vakası olarak incelediğimiz bu tür olayların engellenmesi adına atılması gereken ilk adım budur. Bu farkındalığı yaratmakta en büyük görev ise özellikle kurumsal yönetim, iç denetim ve risk yönetimi alanlarında faaliyet gösteren mesleki sivil toplum örgütleri ile kanun koyucuya düşmektedir.