Modern İç Denetim Yaklaşımı ile BDDK İç Denetim

Modern denetim yaklaşımında denetim birimlerinden beklenen temel işlevler ile 5411 sayılı Bankacılık Kanunu ve devamında çıkarılan ikincil düzenlemeler çerçevesinde BDDK tarafından Türk Bankalarının iç denetim birimlerine yüklenen işlevlerin karşılaştırmalı olarak gösterildiği 4 no’lu detaylı bir tablo Ek-2’de yer almaktadır.

Yeni bankacılık düzenlemeleri ile birlikte “iç sistemler” kavramı ile tanışan Türkiye’de faaliyet gösteren bankalar, maruz kaldıkları risklerin izlenmesi, kontrolünün sağlanması, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, tüm Şube ve konsolidasyona tâbi ortaklıklarını kapsayan yeterli ve etkin bir iç kontrol, risk yönetimi ve iç denetim sistemi kurmak ve işletmekle yükümlü tutulmuşlardır¹⁷⁸.

Modern denetim yaklaşımında iç denetçilerden kurumun;

• İç Kontrol,

• Risk Yönetimi ve

• Yönetim (ya da yönetişim¹⁷⁹) Süreçleri

177 BDDK, “BDDK yeterli ve etkin kurumsal yönetimi 2006-2008 için 5 stratejik amaç ve hedefinden biri olarak belirledi”,

www.bddk.org.tr/turkce/kurumbilgileri/StratejikPlan/StratejikPlan.doc, (Erişim tarihi: Mayıs 2005)

178 5411 Sayılı Bankacılık Kanunu, md. 29 ve BDDK, Bankaların İç Sistemleri Hakkında Yönetmelik, md. 4/1.

179 Orijinal metinde “governance” olarak yer alan ifade Türkçe’ye genelde yönetim ya da yönetişim şeklinde çevrilmektedir.

olmak üzere 3 temel alanda etkinlik ve verimliliği değerlendirmeleri ve Yönetime bu konuda makul bir güvence vermeleri beklenmektedir¹⁸⁰. Çalışmanın 1 no’lu bölümünde de detaylı olarak açıklandığı gibi bu yaklaşım iç denetimin uluslararası tanımında “... İç denetim, kurumun risk yönetim, kontrol ve yönetim süreçlerinin etkinlik ve verimliliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.” şeklinde ifade edilmektedir. Yeni Türk Bankacılık Düzenlemeleri ile iç denetçilere yüklenen temel işlevler ise Bankanın;

• İç Kontrol ve

• Risk Yönetim

Sistemlerinin etkinlik ve verimliliğinin değerlendirilmesi ve Yönetime bu konuda güvence verilmesidir. Görüldüğü üzere BDDK tarafından iç denetçilere yüklenen temel işlevler arasında uluslararası iç denetim tanımında yer alan yönetim süreçlerinin etkinlik ve verimliliğinin değerlendirilmesi işlevi bulunmamaktadır. Modern denetim yaklaşımı içerisinde yönetim süreçlerinin etkinlik ve verimliliğinin değerlendirilmesi işlevi en az iç kontrol ve risk yönetim süreçleri kadar önemlidir. Öyle ki 2130 numaralı uluslararası iç denetim standardı tamamen “yönetim süreçleri”nin denetimine ve iyileştirilmesine ayrılmış, bu denetimin özellikle,

• Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,

• Etkili bir kurumsal performans yönetimi ve hesap verebilirliğin sağlanması,

• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına etkili bir şekilde iletilmesi,

• Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdümün sağlanması ve

180 Carmen Rossiter, “Top 10 Priorities For Internal Audit In A Changing Environment”, Bank Accounting & Finance, August-September 2007, s.34.

bunlar arasında gerekli bilgilerin etkili bir şekilde iletişiminin sağlanması

amaçlarının gerçekleştirilmesi açısından önem arz ettiği belirtilmiştir.

Yönetim süreçleri denetiminin, BDDK tarafından önemli oranda uluslararası iç denetim mevzuatından yararlanmak suretiyle oluşturulan Türk bankacılık sektöründeki iç denetim mevzuatının kapsamından çıkarılması anlamlı değildir.

Bu çerçevede Türk Bankacılık sektöründeki iç denetim düzenlemelerinin uluslararası iç denetim düzenlemelerinden farklılık arz ettiği ikinci bir nokta da uluslararası düzenlemelerde denetimlerin iç kontrol, risk yönetimi ve yönetim süreçleri üzerinde, yani süreç bazlı yapılacağının, Türk bankacılık düzenlemelerinde ise Sistemler üzerinde yani Sistem bazlı yapılacağının belirtilmesidir. Çalışmanın 1 no’lu bölümünde belirtildiği üzere modern denetim yaklaşımını klasik denetim yaklaşımından ayıran en önemli noktalarından birisi klasik yaklaşımdaki birim bazlı ve periyodik denetim uygulamasının modern yaklaşımda yerini süreç odaklı ve riske dayalı denetim uygulamasına bırakmasıdır. BDDK, etkin bir iç denetim sisteminin, iç denetim biriminin risk değerlendirmelerine dayalı olarak gerçekleştirileceğini, riske dayalı değerlendirmenin bankanın maruz kaldığı riskler ve bunlara ilişkin kontrollerin dikkate alınarak denetimlerde öncelik verilecek alan ve denetim sıklığının belirlenmesi anlamına geldiğini belirtmektedir.

Her ne kadar BDDK, düzenlemelerinde doğrudan “süreç odaklı denetim”

anlayışından bahsetmemiş olsa da riske dayalı denetimi açıkladığı Bankaların İç Sistemleri Hakkındaki Yönetmeliğin 26/2-c maddesinde yer alan “... risk değerlemesinin yapılabilmesi için tüm işlemler, ürün çeşitleri, sunulan hizmetler ve görevler tanımlanır, tanımlanan işlemler, ürün çeşitleri, hizmet ve görevler kapsamında icra edilen faaliyetler ve bunlara yönelik Kanun hükümleri ve ilgili diğer mevzuat konuları belirlenir, önemli iş birimleri ve ürünler ile bunlara ilişkin faaliyet ve kontrol riskleri belirlenir...” şeklindeki ifadeler ile risk değerlendirmelerinin iş birimleri değil işlem, ürün, hizmet ve görevler üzerinden yapılmasını, denetim planlarının da bu risk değerlemesine dayandırılmasını öngörmektedir.

Yine aynı çerçevede Türk bankacılık sektöründeki düzenlemelerin uluslararası düzenlemelerden farklılık arz ettiği üçüncü bir nokta da BDDK düzenlemelerinde denetimler

için sistematik ve standart yaklaşımların geliştirilmesi ve uygulanması hususundan hiç bahsedilmemesidir. Modern denetim yaklaşımında üzerinde önemle durulan konulardan birisi de farklı denetçilerin aynı denetimde benzer sonuçlar elde edebilmesinin, bir anlamda denetçinin subjektif ya da kişisel uygulamalardan mümkün olduğunca uzaklaştırılarak sistematik ve standart yaklaşımlar uygulamasının sağlanmasıdır. BDDK tarafından önemli oranda uluslararası iç denetim mevzuatından yararlanmak suretiyle oluşturulan Türk bankacılık mevzuatındaki iç denetim sistemi tanımına ilerleyen dönemlerde “denetimlerin sistematik ve standart yaklaşımlara göre gerçekleştirilmesi”ne ilişkin ifadenin eklenmesi gerektiği düşünülmektedir.

Türk bankacılık sektörüne getirilen yeni denetim anlayışına dahil edilmesi gereken önemli bir husus da uluslararası iç denetim standartları ve etik kuralları¹⁸¹ ile ilgilidir. Bu çalışmanın 1 ve 2 no’lu bölümlerinde çok detaylı olarak yer verildiği üzere bugün birçok ülke ve kurumda denetim ile ilgili içsel bir takım ilke ve standartlar oluşturulmakta ancak bu ilke ve standartların yetersiz kaldığı durumlarda Amerika’da yerleşik Uluslararası İç Denetçiler Enstitüsünce yayımlanan ve düzenli aralıklarla gözden geçirilerek güncellenen iç denetim standart ve etik kuralları geçerli olmaktadır. Hatta Türk kamu sektöründeki iç denetim ilke ve standartları oluşturulurken doğrudan uluslararası iç denetim standart ve etik kurallarının dikkate alındığı görülmektedir. İlerleyen dönemlerde Türk bankacılık sektöründeki iç denetim düzenlemelerine “ulusal düzenlemelerin değinmediği ya da yetersiz kaldığı durumlarda uluslararası iç denetim standart ve etik kurallarının dikkate alınması” hususunun eklenmesi gerektiği düşünülmektedir.

Türk Bankacılık Sektöründeki iç denetim düzenlemeleriyle denetim mekanizması, eski düzenlemelerdeki “geçmişe ilişkin işlemleri inceleyen, hata ve eksiklik üzerine odaklanan” klasik anlayıştan çıkarılarak yüzünün “geleceğe ve Kurumun faaliyetlerinin geliştirme ve iyileştirilmesine odaklanan” bir yapıya çevrilmiştir. Bununla birlikte modern yaklaşım çerçevesinde, iç denetçilerin kurumun gelişmesi ve iyileşmesine en iyi şekilde katkıda bulunmalarının yolu, kendilerini kurumun faaliyetleri ile ilgili olarak ulusal ve

181 James Roth ve Donald Espersen, “The Importance Of Ethics”, Internal Auditor, February 2002, s.57.

“uluslararası en iyi uygulamalar” konusunda güncel tutmalarıdır. Günümüz iş dünyasında kurum üst yönetimlerinin stratejik akıl ortağı haline gelen denetçiler için “uluslararası en iyi uygulamaları” bilmek ve takip etmek çok önemlidir¹⁸². Türk bankacılık sektöründeki iç denetim düzenlemelerine eklenmesi gereken önemli konulardan birisi de budur.

Aynı kapsamda gerek uluslararası gerekse Türk kamu iç denetim standartları ile iç denetim yöneticisine, iç denetim faaliyetinin tüm yönlerini kapsayan ve etkinliğini sürekli gözleyen bir kalite güvence ve geliştirme programı hazırlama ve sürdürme sorumluluğu verilmiştir. Bu standardın amacı iç denetim birimlerinin kurum yanında kendilerini de sürekli olarak iyileştirme ve geliştirmelerinin sağlanmasıdır. Öyle ki; İç denetim faaliyetlerinin kurum dışından denetim alanında yüksek bilgi birikimi ve tecrübeye sahip kişilerce her 5 yılda bir gözden geçirilmesi anlamına gelen ve dışsal kalite değerlendirmesi olarak adlandırılan uygulama hem uluslararası bir iç denetim standardı hem de uluslararası en iyi uygulama haline gelmiştir. Uluslararası uygulamalara paralel bir şekilde Türk bankacılık sektöründeki iç denetim birimlerinin de düzenli aralıklarla içsel ve dışsal kalite değerlemesinden geçirilmesinin zorunlu hale getirilmesi gerektiği düşünülmektedir.

Teknolojinin ve teknolojik araçların giderek artan bir şekilde kullanılmasının ve geçmişte elle gerçekleştirilen işlemlerin birçoğunun bugün bilgisayar marifetiyle gerçekleştirilmeye başlanmasının, bilgi sistemleri denetiminin önemini her geçen gün arttırdığına, klasik yaklaşımda genelde teknolojik araç ya da Sistemlerin fiziki güvenliğinin sağlanması şeklinde algılanan bilgi sistemleri denetiminin, modern yaklaşımda çok daha önemli bir boyut kazandığına çalışmanın giriş bölümünde değinilmiş idi. Birçok çağdaş kurumda denetçilerden; uygun bilgi sistemleri denetim metodolojileri çerçevesinde kurum tarafından kullanılan bilgi sistemlerinin etkinliği ve verimliliğini değerlendirmesi ve kurum bünyesinde üretilen bilgilerin izinsiz erişimlere karşı güvenilirliğinin ve gizliliğinin sağlanıp sağlanmadığını denetlemesi istenmektedir¹⁸³.

182 Campbell, Adams, Campbell ve Rose., a.g.e., ss.44-45.

183 Business Credit, a.g.e., s.20.

BDDK’nın, Türk bankacılık sektöründe yakın dönemde yaşanan çifte bilgisayar kaydı tutulmasına kadar varan teknolojik hilelerle gerçekleştirilen suiistimalleri de göz önüne alarak sektördeki bilgi sistemleri denetim gerekliliğini saptadığı ve bu amaçla bilgi sistemlerinin denetimi hakkında 16 Mayıs 2006 yılında özel bir yönetmelik çıkardığı görülmektedir. Söz konusu yönetmelik çerçevesinde BDDK’nın, Bankaların bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerinin, kendi iç denetçilerinden ziyade BDDK tarafından yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ağırlık verdiği anlaşılmaktadır.

Her ne kadar uluslararası alanda denetim hizmetlerinin dış kaynaklama (outsourcing) yöntemi ile bağımsız (dış) denetim kuruluşlarından/uzmanlarından sağlanması yaygın bir uygulama ise de bilgi sistemleri gibi çok önem kazanan ve giderek önemini daha da fazla artıran bir alandaki denetimlerin dış denetçiler yanında Banka bünyesindeki iç denetçiler tarafından da gerçekleştirilmesinin gerektiği düşünülmektedir. Bu kapsamda her geçen gün daha fazla kurumun bünyelerinde bilgi sistemleri alanında uzmanlaşmış denetçi sayısını artırdığı ve bu denetçilerin mesleki bilgi ve tecrübesini artırmak için daha fazla kaynak ayırdığı görülmektedir. Mevcut haliyle Türk bankacılık sistemindeki bilgi sistemleri denetiminin henüz emekleme aşamasında olduğu, kısa bir süre içerisinde bilgi sistemleri denetimine ilişkin düzenlemelerin çok daha fazla detaylandırılması gerektiği düşünülmektedir.

Yukarıda sayılan eksikliklere karşın mevcut Türk bankacılık düzenlemelerinin modern denetim yaklaşımı ile uyum sağlayan yönü, denetim birimlerince danışmanlık hizmeti verilmesinin mümkün hale getirilmesidir. BDDK son çıkardığı yönetmelik ile yeni ürünler, hizmetler veya politika ve uygulama usulleri konusunda iç denetim biriminden danışmanlık hizmeti alınabileceğini belirtmiştir. Günümüz iş dünyasında kurumlar yeni bir ürün, hizmet, faaliyet ya da teknolojiyi uygulamaları sonrasında oluşabilecek risk ve kontrolleri, uygulamaya başlamadan önce (proaktif bir yaklaşımla) belirleme ve gerekli önlemleri alma

ihtiyacı duymaya başladıklarından denetim organlarınca bağımsız danışmanlık hizmeti verilmesi her geçen gün daha da önem kazanmaktadır¹⁸⁴.

Bankaların İç Sistemleri Hakkındaki Yönetmeliğin 27/3-d maddesi ile getirilen bir diğer önemli yenilik, iç denetim planlarında modern yaklaşıma uygun bir şekilde denetim faaliyetleri için gerekli olan kaynaklara ve kaynak kısıtlamalarının olası etkilerine yer verilmeye başlanmasıdır. Bugün birçok modern iç denetim birimi yöneticisinin, bütçeden yıllık olarak denetime harcanan tutar ile elde edilen fayda konusunda Üst Yönetime karşılaştırmalı bir yıl sonu performans sunumu yaptıkları düşünüldüğünde Türk bankacılık sektöründe de dünya uygulamalarına paralel bir şekilde kurum bünyesinde harcanan kaynakların etkinliği yanında denetime harcanan kaynakların da etkinliği konusunda bir farkındalığın oluşmaya başladığı görülmektedir.

Bu çalışmanın 1 no’lu bölümünde Türkiye’deki bazı yöneticilerin bu fikre halen hazır olmamasına karşın dünyada iç denetçilerin Yönetimler için stratejik akıl ortağı haline geldikleri detaylı olarak açıklanmış idi. Yeni düzenlemeler çerçevesinde Türk bankacılık sektöründe de bu anlayışın tohumlarının atılmaya başladığını söylemek mümkündür. Keza BDDK, iç denetimin amacının, Üst Yönetime banka faaliyetlerinin, banka içi strateji, politika, ilke ve hedefler doğrultusunda yürütüldüğü konusunda güvence vermek olduğunu söylemektedir.

3.1.2. BIS İç Denetim Prensipleri ile BDDK İç Denetim Prensiplerinin