İç Denetimin Tarihsel Gelişimi ve Uluslararası Kuruluşlar

Tarihi çok eskilere dayanan iç denetim, ilk olarak 13’ncü yüzyılda Venedik, Milano, Floransa gibi büyük İtalyan ticaret merkezlerinde yapılan muhasebe kayıtlarının kontrol edilmesi ile ortaya çıkmıştır. Amerika’da ilk iç denetçilere demiryolu şirketlerinde rastlanmıştır. Gezgin Denetçiler denilen bu denetçiler, bilet acentelerine gidip bilet ve para kontrolü yapmaktaydılar. Endüstri Devrimi ile yaşanan hızlı gelişim ve büyüme sonucu, işletme faaliyetleri daha karmaşık hale gelmiş ve denetim uygulamalarındaki asıl köklü değişim başlamıştır.⁴⁸

Modern iç denetim anlayışının doğup yaygınlaşması, özellikle II.Dünya Savaşı’ndan sonra Amerika Birleşik Devletleri’nde (ABD) gerçekleşmiştir. ABD’de 1933 tarihli Menkul Kıymetler Yasası’nda ve 1934 yılında Menkul Kıymetler Borsası Yasası’nda halka arz edilmiş menkul kıymetlere ilişkin yapılan düzenlemelerde yoğun olarak muhasebe ve denetim konularına yer verilmiştir.

İşletmeye yapılan muhasebe kayıtlarının doğruluğunun incelenmesinin ve muhasebe kontrollerinin gerçekleştirilmesinin sadece bağımsız denetimle

46 Burcu Adiloğlu, İç Denetim Süreci ve Kontrol Prosedürleri, Türkmen Kitabevi, 2011, s.10.

47 Adiloğlu, s.11.

48 Adiloğlu (Yabancı yazarların, yazılarından derlenen ve alıntı yapılan bazı ifadeler), s.16.

sınırlandırılamayacağı anlaşılmıştır. Bu sebeple işletmeler, iç denetim birimlerini kurmaya başlamışlardır. Bağımsız denetim mesleğinin geçmişinin çok eski olmasına rağmen, iç denetim 1940’lı yıllardan sonra önem kazanmaya başlamıştır.

Bu yılların başında, savaş ekonomisiyle birlikte, işletme yöneticileri, üretim programlaması, stok yönetimi, kurallara ve yasalara uygunluk konuları ile yakından ilgilenmeye başlamışlar ve bunun sonucu olarak da iç denetçiler yönetime bu konuda hizmet vermeye başlamışlardır. İşletme faaliyet ve yapılarında yaşanan değişim ve gelişmeler sonucu iç denetim mesleği hızla gelişmiş ve 1941 yılında ABD’de kurulan Uluslararası İç Denetçiler Enstitüsü (Institute of Internal Auditors-IIA)ile kurumsal kimlik kazanmıştır. Enstitü, ilk olarak 1947’de yayımladığı “İç Denetçilerin Sorumlulukları Bildirgesi (Statement of Responsibilities of the Internal Auditor)”ile iç denetim bölümlerinin yapısını, amaçlarını ve çalışma alanlarını belirlemiştir. Bildirge, 1956 yılında Enstitü tarafından revize edilerek tekrar yayımlanmış; iç denetim bölümlerinin ve iç denetçilerin faaliyetleri ve sorumlulukları ile ilgili daha kapsamlı açıklamalar yapılmıştır.⁴⁹

IIA, başlangıçta 25 ülkede kurulmuş olup, zamanla 120 ülkede örgütlenmiş ve üye sayısı 170.000’i aşmış ve dünyanın birçok yerinde şubeler açmıştır. Diğer taraftan Avrupa ülkeleri enstitülerinin oluşturduğu, Avrupa İç Denetim Enstitüleri Konfederasyonun da (European Confedaration of Institutes of Internal Auditing-ECIIA), 33 Avrupa ülkesi ile Fas, Tunus ve İsrail temsil edilmektedir.⁵⁰

1982 yılında kurulan ECIIA (Avrupa İç Denetim Enstitüleri Konfederasyonu),iç denetim mesleğinin Avrupa kıtasında yer alan en üst meslek örgütüdür. ECIIA’in amacı, iç denetim mesleğini, AB içinde ve ECIIA üye ülkeleri dahilinde IIA’in küresel meslekî standartları ve etik kuralları çerçevesinde özel ve kamu sektörü için desteklemek ve benimsetmektir.⁵¹

ECIIA, IIA dışında kendi üye profilleri tarafından yönetilmektedir. Her üye ülkeyi temsil eden bir delege, çalışma programı ve bunun finansmanını onaylamak amacıyla bir araya gelip Konfederasyonun stratejik planını belirlerler. ECIIA, yönetim kurulu konfederasyonun yürütme organı olup, hedef ve amaçlara ulaşmak

49 Adiloğlu (Yabancı yazarların, yazılarından derlenen ve alıntı yapılan bazı ifadeler), s.16,17.

50 Adiloğlu s.17.

51TÜSİAD, Yönetim Kurullarında İç denetim Hakkında Sorulması Gereken 12 Soru, Mayıs 2008, http://icden.meb.gov.tr/digeryaziler/12_soruda_ic_denetim.pdf, (15.05.2013).

amacıyla belirlenen stratejik plana uygun politika ve programlar geliştirir. Yılda en az dört kez toplanmak durumunda olan yönetim kurulu, IIA’dan bağımsız çalışır.⁵²

İç denetim mesleğinin standartları bu iki örgüt (IIA) ve (ECIIA)tarafından belirlenerek yayınlanmakta ve iç denetimle ilgili araştırma ve geliştirme çalışmaları yapılmakta, toplantılar düzenlenmek suretiyle uluslararası bir işbirliği ile eşgüdüm sağlanmaktadır. Bütün iç denetim profesyonelleri, IIA’nın Etik Kurallarına ve İç Denetim Mesleki Uygulamalarına Dair Uluslararası Standartlarına uymakla sorumludurlar. Bu uygulama, iç denetim mesleğinin, yetkin profesyoneller, mesleki düzenlemeler ile objektiflik, gerekli mesleki özen ve dönemsel kalite değerlendirmesini gerektiren davranış kurallarına uygun yapılmasını sağlar.⁵³

IIA’nin faaliyet göstermeye başlamasıyla birlikte iç denetim; standartları, etik kuralları ve sistematik uygulamaları olan bir meslek olarak gelişmeye ve önem kazanmaya başlamıştır. İlk olarak 1947 yılında yayımlanan “İç Denetim Sorumlulukları Bildirgesi” zamanla iç denetim standartlarına dönüşmüş ve 1978 yılında ilk “Genel Kabul Görmüş İç Denetim Standartları” yayımlanmıştır. İç Denetim Standartları, tüm dünyada iç denetim mesleğinin genel standartları olarak birçok yasal düzenlemede atıf yapılan temel bir düzenleme niteliğindedir. IIA’in sistematik ve uzun çalışmalarıyla bünyesine taşıdığı iç kontrol ve risk yönetimi gibi çağdaş unsurlarla beraber iç denetim anlayışı; geçmiş faaliyetlerin denetiminden çok geleceğin belirsizliğinin yönetilmesi olarak da yorumlanan kurum faaliyetlerinin geliştirilmesi ve kurum hedeflerine ulaşılmasını amaçlayan bir yapıya dönüşmüştür.⁵⁴

Kamuda iç denetimle ilgili en önemli kurumların başında, 1953 yılında kurulan Uluslararası Yüksek Denetim Kurulları Enstitüsüdür (The International Organization of Supreme Audit Institutions-INTOSAI).

Intosai’deki denetim standartlarında iç denetim tanımı yapılırken, denetimin özelliklerinden bahsedilmiştir. Bu özellikler; objektif olunması, güvence ve danışmanlık hizmeti verilmesi, kurumun faaliyetlerinin geliştirilmesi ve değer

52 Nazmi Zarifi Gürkan, Türk Kamu Mali Yönetiminde İç Denetim ve İç Denetim Algısı, (Yayınlanmamış Yüksek Lisans Tezi), Süleyman Demirel Üniversitesi, Sosyal Bilimler Enstitüsü, Isparta, 2009, s.27.

53 Gürkan, s.28.

54 Adiloğlu (Yabancı yazarların, yazılarından derlenen ve alıntı yapılan bazı ifadeler), s.18.

kazandırılması, risk yönetimi, iç kontrol ve yönetsel süreçlerin denetimi, sistematik ve disiplinli çalışma şeklinde sıralanmıştır.⁵⁵

1967 yılında başlayan örgütlenme çalışmaları 1969 yılında tamamlanarak, Amerika Birleşik Devletleri Los Angeles kentinde kurulmuş olan Bilgi Sistemleri Denetimi ve Kontrolü Derneği (Information Systems Audit and Control Association- ISACA) dünya çapında 140 ülkede 65.000’den fazla üyeye sahip olup yaklaşık 60 ülkede 170 chapters ile örgütlenmiştir.Avrupa’daki chapters kuruluşları içinde Türkiye yer almamakla birlikte ISACA tarafından verilen CISA (The Certified Information Systems Auditor) sertifikası ülkemizde de geçerli kabul edilmektedir.

1978 yılında standartları belirlenmek suretiyle oluşturulmuş olan CISA sertifikasına 55.000 üzerinde profesyonel sahiptir.Ayrıca ISACA tarafından verilen CISM (The Certified Information Security Manager) sertifikası 2003 yılında verilmeye başlanmış olup, 7000’nin üzerinde profesyonel bu sertifikaya sahiptir. ISACA’nın 2008 yılından itibaren verilmeye başlanan diğer bir sertifika ise kamudaki IT güvenliği ile ilgili olan CGEIT™ (Certified in the Governance of Enterprise IT™ ) sertifikasıdır. ISACA tarafından yayınlanmış bulunan bilgi sistemleri denetimi ve bilgi sistemleri kontrolüne ilişkin standartlar, üye ülkelerin yanı sıra tüm dünyada da kabul edilmiştir.⁵⁶

Uluslararası Muhasebe Standartları Kurulu, (The International Accounting Standards Board- IASB), merkezi Londra - İngiltere’de bulunmakta, özerk muhasebe standartları hazırlama ve yayınlanma konusunda genel kabul görmüş tek otoritedir. IASB kamu yararına, genel amaçlı finansal tablolarda, şeffaf ve karşılaştırılabilir bilgiyi gerekli kılan, tek ve yüksek kalitede, anlaşılabilir ve uygulanabilir küresel muhasebe standartları geliştirmeyi, ulusal muhasebe standardı belirleyicileri (yapıcıları) ile birlikte çalışarak, dünya genelinde muhasebe standartlarını birbirine yakınlaştırmayı amaçlamaktadır. Uluslararası Muhasebe Standartları Kurulunun başlangıcı, Uluslararası Muhasebe Standartları Komitesine (IASC) dayanmaktadır. Komite; Avustralya, Kanada, Fransa, Almanya, Japonya,

55 Serap Şensoy, Kamu Mali Yönetim ve Kontrol Kanunu ve Bütçenin İdari Denetimi, (Yayınlanmamış Yüksek Lisans Tezi), Marmara Üniversitesi, Sosyal Bilimler Enstitüsü, 2006, s.24.

56 Gürkan, s.29.

Meksika, Hollanda, İngiltere, İrlanda ve ABD’de bulunan muhasebe örgütlerinin aralarında imzaladıkları bir anlaşma sonucunda 1973 yılında kurulmuştur.⁵⁷

Muhasebe örgütlerinin uluslararası alandaki çalışmaları, 1977 yılında Uluslararası Muhasebeciler Federasyonu (IFAC) çatısı altında organize olmuştur.1981 yılında, IASC ve IFAC; IASC’nin uluslararası muhasebe standartlarını oluşturmada ve uluslararası muhasebe sorunları üzerinde tartışma çalışmaları yayınlama konusunda tek ve tam yetkili olduğu konusunda anlaşmaya varılmıştır. Aynı dönemde, IFAC’ın tüm üyeleri IASC’nin de üyesi oldular. Bu ilişki, IASC Tüzüğü’nün -yenilenmenin bir parçası olarak- Mayıs 2000’de değişmesine kadar devam etmiştir.⁵⁸

İç kontrol ve dolayısıyla iç denetim alanında sağlanan gelişmelerde, önemli bir paya sahip, Treadway Komisyonu⁵⁹ olarak bilinen Sahte Mali Raporlama Ulusal Komisyonudur.COSO, Treadway Komisyonu Destekçi Kuruluşlar Komitesi’nin (The Committee Of Sponsoring Organizations) kısaltılmış ismidir. Sahte (Hatalı ve Hileli) Mali Raporlama Ulusal Komisyonu olarak bilinen COSO, 1985 yılında kurulmuştur.

COSO komite üyeleri aşağıdaki gibidir;

- İç Denetçiler Enstitüsü (The Institute of Internal Auditors,IIA)

- Amerikan Yeminli Mali Müşavirler Enstitüsü (The American Institute of Certified Public Accountants, AICPA),

- Amerikan Muhasebe Derneği (The American Accounting Association, AAA) - Muhasebe Yönetim Enstitüsü (The Institute of Management Accountants,

IMA)

- Mali Yöneticiler Enstitüsü (Financial Executives Institute, FEI)

Treadway Komisyonunun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmaktır. Komisyonunun himayesinde iç kontrol literatürünün yeniden gözden geçirilmesi için bir çalışma grubu oluşturulmuş, sponsor kurumların iç kontrol sisteminin kurulması ve etkinliğinin değerlendirilmesi için genel kabul görecek standartlar belirleyen bir projeyi üstlenmesi kararlaştırılmıştır.

57 Gürkan, s.31.

58 Gürkan, s.32.

59 Kurucu başkanın adı James C.Treadway olduğundan dolayı, Treadway Komisyonu olaraka da anılmaktadır.

Geleneksel denetim anlayışında denetçi, geçmiş faaliyetler üzerine yoğunlaşmakta ve gerçekleşmiş olan hatalı faaliyetleri ortaya çıkarmaya çalışmakta iken, risk odaklı iç denetimde hatalı faaliyetlerin gerçekleşmesi engellenmeye çalışılmaktadır.⁶⁰

Risk odaklı denetim, iç denetçinin denetim planlamasından yürütülmesine kadarki tüm süreçlerde, risk olasılığı yüksek alanlara öncelik verilmesine yönelik bir yaklaşımdır. İşletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenin risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkinliğini artırmayı amaçlayan denetim yaklaşımıdır. ⁶¹

Risk odaklı iç denetimle birlikte, denetimde geçmişe yönelik bakış açısı değişmiş ve denetim artık yönünü geleceğe doğru çevirmiştir. Gerçekleştirilecek olan denetimde, iç denetçi artık geçmişte meydana gelmiş olaylarla ilgilenmek yerine gelecekte olabilecek olaylara odaklanarak, kurumların hedeflerine ulaşmasını engelleye bilecek her türlü ayrıntıyı dikkate alır duruma gelmiştir.⁶² Risk merkezli bir yaklaşım, iç denetçilerin denetim, risk değerlendirme ve risk yönetimi ile ilgili konularda sadece kontrollere odaklanmaktan oldukça öteye giden kavramsal bir yaklaşımı benimsemeleri anlamına gelmektedir. Bu bağlamda iç denetim birimlerinin gelecekte odaklanacağı konu başlıkları da değişmektedir.⁶³

Geleneksel ve risk odaklı iç denetim arasındaki farklılıklar, aşağıdaki tabloda belirtilmiştir;

60 Görener, s.34.

61 Duygu Anıl Keskin, "İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim Yaklaşımı", Denetişim Dergisi, Sayı:4, Yıl:2010, s.41.

62 Görener, s.33, 34.

63 Işıl Kırdı, Kamu Sektöründe İç Denetimin Değişen Rolü, Denetişim Dergisi, Sayı:8, Yıl 2011, s.10.

Tablo 5: Geleneksel ve Risk Odaklı İç Denetimin Karşılaştırılması

Özellikler Geleneksel İç Denetim Risk Odaklı İç Denetim

İç Denetimde Odak Nokta İç Kontrol Risk

Risk Değerleme Risk Faktörleri Senaryo Planlaması

İç Denetim Testleri Kontrol Odaklı Risk Odaklı

İç Denetim Metotları Kaynak: Aktaran, Görener, s.34(Yunus Kishalı, Davut Pehlivanlı, Risk Odaklı İç Denetim ve İMKB Uygulaması, Kocaeli Üniversitesi, 7’den uyarlandı.)

Modern iç denetim anlayışında ve organizasyon içerisinde üstlendiği rolde, önemli bir değişim gözlenmektedir. İç denetim artık bilgi veren değil, yorum katan durumdadır. Yeni iç denetim yaklaşımında bilgi, analiz ve sentez edilerek üst yönetime sunulmaktadır. Bu yolla yöneticiler iş ortamındaki gelişen ve değişen eğilimler, fırsatlar, tehditler ve riskler konusunda daha etkin kararlar alabilmektedir.

Günümüzde yönetim kurulu üyeleri ve denetim komitesi üyeleri, artık iç denetim bölümünden sadece münferit konularda yazılmış raporlamalar yapması yerine,

“gerçek zamanlı-anlık” olarak kontrol ortamı hakkında geri bildirimleri talep etmektedir. Özellikle üst yönetim, kontrol ortamının güvenirliği konusunda bir kanaate varırken, iç denetim bölümünün görüşlerini dikkate alarak karar vermektedir.

Burada üzerinde durulan en önemli nokta, iç denetimin görüşlerini oluştururken “çok yönlü ve gerçek zamanlı” yorumlar yapmasıdır. Bu yaklaşıma “Bütünleşik Güvence Modeli” adı verilmektedir. Bütünleşik Güvence Modeli’ni uygulayabilmek için, iç denetimin organizasyonda bulunan diğer birimlerden (örneğin yönetim, risk yönetimi, mevzuat uyum, finans ve bilgi teknolojileri gibi) topladıkları veri ve bilgileri sentez yoluyla birleştirerek üst yönetime, yönetim kuruluna, denetim komitesine ve düzenleyici ve denetleyici otoritelere kontrol ortamı hakkında geniş bir perspektiften güvence vermeleri beklenmektedir. İç denetim ideal olarak,

organizasyonun kurumsal risk yönetimine (ERP) katkı sağlarken, iş süreçlerine ve bu süreçlerin sorumlusu konumundaki çalışanlara da danışmanlık rolünü üstlenmektedir.⁶⁴