Kamu İktisadi Teşekküllerinde ilk defa iç kontrol sisteminin kurulması ile ilgili olarak, 8 Kasım 2013 tarih ve 28815 sayılı Resmi Gazetede yayımlanan 30 Eylül 2013 tarih ve 2013/5513 sayılı Kararname ile başlamış, 31 Ekim 2017 tarih ve 30226 sayılı Resmi Gazetede yayımlanan 11 Ekim 2017 tarih ve 2017/10925 sayılı kararnamenin eki 2018 Yılına ait Genel yatırım ve Finansman Programına Dair Bakanlar Kurulu Kararı’nın iç kontrol sisteminin oluşturulması ile ilgili 23 üncü maddesi birinci fıkrasının (d) bendinde “Tüm bu faaliyetlerin sürekli ve sistemli bir şekilde izlenmesi ve geliştirilmesini sağlamak üzere iç kontrol sisteminin oluşturulmasında Kamu İktisadi Teşebbüsleri Yönetim Kurulları ile görev ve yetkileri çerçevesinde her düzeydeki yönetici sorumludur.” ifadesi yer almaktadır. Ayrıca, 19 Aralık 2017 tarih ve 30275 sayılı resmi Gazetede yayımlanan “2018 Yılına ait Genel Yatırım ve Finansman Programının Uygulanmasına İlişkin Usul ve Esasların Belirlenmesine Dair Tebliğ’in iç kontrol siteminin oluşturulması ile ilgili 20 nci maddesinin dokuzuncu fıkrasında Kamu İktisadi Teşebbüslerinin Haziran ve Aralık ayları sonuna kadar İç Kontrol Eylem Planı İlerleme Raporlarını Hazine Müsteşarlığına göndermeleri talimatlandırılmış ve böylece takip eden yıllarda da, benzer ifadelerle iç kontrol sisteminin anlaşılması ve geliştirilmesi için Genel Yatırım ve Finansman Kararnamelerinde yer almış ve kuruluşlar bu konudaki çalışmalarını sürdürmüşlerdir.
TPAO’nun hem yurt içinde hem de yurt dışında hidrokarbon arama ve üretimiyle ilgili çok sayıda çalışması mevcuttur. Uluslararası düzeyde kabul görmüş iç kontrol sisteminin hayata geçirilmesi, faaliyetlerin etkili, ekonomik ve risklere karşı iyi bir savunma oluşturulması bakımından son derece önemli görülmektedir. Uluslararası Sayıştaylar Birliği (INTOSAI), Avrupa Komisyonu ve çok sayıda uluslararası kuruluşlar tarafından kabul gören Comittee of Sponsoring Organization (COSO)’nun 5 bileşeni Türkiye’deki çoğu şirketlerde de kabul görmüştür.
Kuruluşlarda yeterli ve etkili bir iç kontrol sisteminin kurulması için temelde düzgün işleyen kontrol ortamının, sistemin sağlam bir zeminde gelişmesine katkı vereceği kuşkusuzdur. İdare tarafından organizasyonel yapının tamamlanmış olması ve bu yapıya uygun olarak görev ve sorumlulukların yazılı olarak tüm çalışanlar tarafından bilinmesi, ayrıca, etik değerlerin neler olduğu konusunda her bir çalışanın okuyup imzaladığı bir çalışma ortamının yaratılmasında sorumluluk, kuruluşun üst yöneticine verilmiştir. 2018 yılı sonu itibarıyla, TPAO, organizasyonel yapısını sürekli güncellemekte, iş ve süreç tanımlarını sık sık
değiştirmekte ve bu durum, iç kontrolün temel bileşeni olan kontrol ortamındaki asgari düzenlemeler konusunda yetersiz kalmaktadır.
TPAO, iç kontrol ile ilgili çalışmalarında, Kamu İç Kontrol Standartları Tebliği’ndeki standartları aynen almış, ancak bu standartlara ait uygulamalarda, kontrollerin çalışmasında var olan eksikliklerden dolayı mevcut kontrollerin etkinliği konusunda herhangi bir değerlendirme yapacak kadar veri elde edilememiştir. Elbette, hem üst yönetim hem de diğer idareciler, iç kontrolün ne anlama geldiği konusunda bilgi sahibi olmuşlardır ancak, etkili bir risk yönetimi ve iç kontrol ortamını sağlayacak yeterlilikte çalışma yapılmadığı gözlemlenmiştir. TPAO ‘da bulunan her birim için detaylı iş analizinin yapılması, analiz sonucunda tespit edilen iş süreçlerinin tanımlanması ve dokümante edilmesi ve gerekirse bu konularda çalışanlara eğitim verilmesi gerekmektedir.
TPAO, yurt içi ve yurtdışında yürüttüğü projelerde, muhtemel riskleri tespit etmesi ve bu riskleri önleyici kontrol faaliyetlerini bir an önce hayata geçirmesi gerekmektedir. İç kontrolle ilgili mevzuat, risk değerlendirmesi için yılda en az bir kez çalışma yapılmasını öngörse de, TPAO’daki her bir proje için sık sık risk değerlendirme toplantısı düzenlenmesi kaçınılmaz görülmektedir. Hidrokarbon arama ve üretim çalışmaları doğası gereği en riskli çalışma alanlarıdır. Hidrokarbon aramacılığının doğasından kaynaklanan riskler, kurumsal yaklaşımdan kaynaklanan üst düzey kararların yol açtığı risklerle birleştiğinde, telafisi mümkün olmayan sorunlarla karşılaşma olasılığını artırabilmektedir. Risklerin tanımlanması ve oluşmasını engelleyici kontrollerle birlikte, risk yönetimi süreçlerinin sistematik bir şekilde raporlanması ve başarılı ya da başarısız risk deneyimlerinin bütün çalışanlar tarafından paylaşılması sağlanmalıdır. 2018 yılı sonu itibarıyla, TPAO üst birim amirlerinin tamamına yakını değiştirilmiştir. Yeni atanan birim amirlerinin, risk yönetim süreçlerinin yazılı olmaması, uygulanacak risk strateji ve metodolojisinin ne olduğu konusundaki bilgi eksiklikleri, risklere ilişkin görev, yetki ve sorumlulukların açıkça yazılı olarak her bir birim için belirtilmemiş olmasından kaynaklanan işe adapte olma süreçlerinde sıkıntılara sebep olduğu görülmüştür.
Örneğin, yakın zamanda, Afganistan’ da 8 kuyuda yapılacak operasyonlar için düzenlenen 1,9 Milyon Dolar faturanın tahsil edilememesinin nedenleri ve diğer bir proje olan Afganistan Maden ve Petrol Bakanlığı arasında yapılan, 1 kuyunun kazılması, 1 kuyunun derinleştirilip tamamlanması, 1 kuyunun tamamlanması işleri için tahsil edilemeyen yaklaşık 10 milyon ABD Dolar konusunda, TPAO’da risk kütüğünde kayıt ya da ilgili yeni görevlendirilmiş personelin yararlanacağı bir raporlama sistemi bulunmadığından, yaşanan kötü deneyimden ders
deneyimler çalışanlar tarafından ulaşılabilir olmalı ve kurum hafızası kapsamında raporlanmalı ve arşivlenmelidir.
2018 yılı itibarıyla, TPAO Risk Yönetimi Stratejisinin ne olduğu, risklere yaklaşım ve politikaların nelerden oluştuğu ve bu konuları içeren TPAO Risk Strateji Belgesinin bulunmadığı tespit edilmiştir. TPAO’nun ana görev ve faaliyetleri ile ilgili risklerin en az yılda bir kere üst yöneticilerin de katılımıyla değerlendirilmesi gerekirken, bundan 5 yıl önce özel bir şirkete yaptırılan ve o tarihte belirlenen risklerle durumun idare edildiği anlaşılmıştır. Oysa, koşulların değişmesiyle önem seviyeleri ve önlem alma öncelikleri de değişen risk kontrolleri, risklerden sorumlu yöneticiler tarafından izlenmeli ve gerektiğinde yeni kontroller belirlemelidir. Kamu İç Kontrol Standartları Tebliğinde yer alan standartlara uyulmasıyla sadece iç kontrole ilişkin temelin atılmış olacağı, ancak, zamanla ihtiyaçlar, öncelikler, teknolojiler, mevzuatlar değişeceğinden iç kontrole ilişkin süreçlerin sürekli güncellenmesi gerekmektedir. Bu ve benzeri sebeplerden dolayı, en az yılda bir kere iç kontrol süreçlerine uyum toplantısı yapılıp mevcut durumun güncellenmesi için gerekli analizler yapılmalıdır.
TPAO İç Denetim Başkanlığı, ilk defa 2017 yılına ait dönemsel raporu ve dönemsel gözden geçirme raporunu Temmuz 2018 tarihinde tamamlamıştır. İç kontrol sisteminin yeterliliği, etkinliği ve işleyişi ile ilgili bir çok tespite yer vermiş, ancak, TPAO’da bulunan iç kontrol sisteminin yetersizliğinden kaynaklanan bazı önerilerin etkin sonuç üretemediği gözlemlenmiştir. İç Denetim Başkanlığınca hazırlanan raporun üst yönetimce değerlendirilmesi konusunun, zaman darlığı nedeniyle bir türlü gerçekleşemediği, yapılan kurum içi toplantılarda iç denetim kapsamında yapılan tespit ve değerlendirmelere ayrı bir başlıkta yer verilmediği tespit edilmiştir. İç denetim faaliyeti sonucu, önerilen düzeltici işlem ve tavsiyelerin zamanında değerlendirilmesi ve raporların daha etkin olması konusunda üst yöneticiler tarafından önlem alınması gerekmektedir.
İç kontrole ilişkin bir çok sürecin yer alması gereken yazılım, TPAO’da 2006 yılından beri Kurumsal Kaynakların Planlanması (ERP) projesi kapsamında kullanılmaktadır. Ancak, ERP veri sunucularından üretilen finansal tabloların hemen hemen hepsi (bilanço ve gelir tablosu dahil), Mali İşler Daire Başkanlığında görevli personelin kişisel becerilerine bağlı olarak hariçten işletilen SQL sorgulamalar neticesinde üretilmektedir. Oysa, finansal tabloların üretilmesi ile ilgili yazılımların, dışarıdan kullanıcılar tarafından değiştirilmesi mümkün olmayan, raporlama yazılımlarını yazan, test eden, canlı sunucuya aktaranların ayrı ayrı kişilerden oluşması ve böylece raporların üretilmesinde görevler ayrılığı ilkesine uygun
bu tabloları oluşturan verilerin doğruluğu ve güvenirliğiyle beraber, bu verileri kullanarak üretilen tabloların da doğru ve güvenilir olması için gerekli iç kontrol süreçlerinin hayata geçirilmesi gerekmektedir. TPAO bünyesinde kurulmaya çalışılan iç kontrol sisteminin, TPAO muhasebe sistemine uygun olması konusunda gerekli süreçleri kapsaması, güvenilir finansal tabloların üretilmesi yanı sıra, muhasebe denetimini de kolaylaştıracaktır. Örneğin, 2018 yılı içerisinde yapılan bazı mal alımlarında, stok numarası alınmadan ve sistem üzerinden ihtiyaç belgesi düzenlenmeden ve satın alma dosyası oluşturulmadan yapılan tedarik süreçlerinden anlaşılıyor ki, TPAO’da hali hazırda oluşturulan iç kontrol sistemi, TPAO stok kontrol yönergesine aykırı olarak alım yapılmasının önlenmesi konusunda yetersiz kalmıştır. İç kontrol sisteminin muhasebede varlıkların korunması, hata ve hilelerin önceden belirlenmesi ve önlenmesi bakımından önemli olduğu, dolayısıyla TPAO’da kurulacak olan etkin bir iç kontrol sistemi ile tedarik süreçlerinin iyileştirilmesi ve muhasebe hesap planına uyumlu hale getirilmesi ve böylece, muhasebe sistemi içerisinde kayda alma, raporlama, yazılım-donanım, belge-kayıt düzeni gibi muhasebe bilgi sisteminin güvenliğini sağlayacak çalışmaların bir an önce tamamlanması gerekmektedir.