Sanayi işletmelerinde iç denetim ve kurumsal risk yönetiminin etkileşimi

1

T.C.

İSTANBUL TİCARET ÜNİVERSİTESİ

SOSYAL BİLİMLER ENSTİTÜSÜSÜ

MUHASEBE ANABİLİM DALI

MUHASEBE VE DENETİM DOKTORA PROGRAMI

SANAYİ İŞLETMELERİNDE İÇ DENETİM VE

KURUMSAL RİSK YÖNETİMİNİN ETKİLEŞİMİ

Doktora Tezi

Ahmet Oğuz KOBAN

100036336

2

T.C.

İSTANBUL TİCARET ÜNİVERSİTESİ

SOSYAL BİLİMLER ENSTİTÜSÜSÜ

MUHASEBE ANABİLİM DALI

MUHASEBE VE DENETİM DOKTORA PROGRAMI

SANAYİ İŞLETMELERİNDE İÇ DENETİM VE

KURUMSAL RİSK YÖNETİMİNİN ETKİLEŞİMİ

Doktora Tezi

Ahmet Oğuz KOBAN

100036336

Danışman: Prof. Dr. Hasan TÜREDİ

İstanbul, Nisan 2019

3

ii

Hazırlamış̧ olduğum tez özgün bir çalışma olup YÖK ve İTİCU Lisansüstü Yönetmeliklerine uygun olarak hazırlanmıştır. Ayrıca, bu çalışmayı yaparken bilimsel etik kurallarına tamamıyla uyduğumu; yararlandığım tüm kaynakları gösterdiğimi ve hiçbir kaynaktan yaptığım ayrıntılı alıntı olmadığını beyan ederim. Bu tezin ihtiva ettiği tüm hususlar şahsi görüşüm olup İstanbul Ticaret

iii

Özet

İç denetim ve kurumsal risk yönetimi sürekli gelişen ve karşılıklı olarak birbirleriyle etkileşim içinde bulunan işletme yönetimi kavramlarıdır. İç denetim faaliyetlerinde giderek daha fazla risk odaklı bir yaklaşım benimsenmektedir. Bu yaklaşım da risklerin tanınması, değerlendirilmesi, önceliklendirilmesi ve yönetilmesini gerektirmektedir ve ancak kurumsal risk yönetimi anlayışının benimsenip uygulanmasıyla sağlanabilir. Bu nedenle günümüzde kurumsal risk yönetiminin bulguları iç denetim planının başvuru noktasını oluştururken, kurumsal risk yönetimi faaliyetleri de ancak iç denetim biriminin önderliğinde gelişebilmektedir. Başka bir anlatımla iç denetim birimi, işletmede kurumsal risk yönetimi faaliyetlerinin temel esasını oluşturan, bu faaliyetlerin gelişimini destekleyen öncü birim konumundayken, kurumsal risk yönetimi birimi belirli bir yetkinlik seviyesine geldiğinde de bu birimin çalışmalarından en fazla yararlanan birimlerin başında yine iç denetim gelmektedir.

Ülkemizde sınai üretim, gerek ham madde, gerekse enerji kaynakları yönünden önemli düzeyde ithal ürünlere bağımlıdır. Bu durum, ülkenin cari açığı üzerinde baskı oluşturmakta ve ihracatın ithalatı karşılama oranını artırma gereğini ortaya koymaktadır. Ülkemizde iktisadi gelişimin sürdürülebilir olması ve 2023 yılında dünyanın en büyük on gelişmiş ülkesi arasına girme hedefine erişebilmesi, katma değeri yüksek ürünlerin üretilip gerek iç pazara, gerekse dış pazarlara sunulmasıyla mümkündür. Dolayısıyla ülkemizde sanayi işkolunun gelişimi, iktisaden büyümesi ve Türk Lirası’nın istikrarı açısından bir ön koşuldur. Sanayi işkolunun sürdürülebilir şekilde ve uzun vadeli olarak gelişiminin sağlanması da işletmelerin kurumsal olarak yönetilmesiyle mümkündür. Kurumsallığın temelinde bağımsız üyelerle desteklenmiş yetkin üyelerden oluşan etkin yönetim kurullarının işletme faaliyetini gözetip denetlemesi ve yönlendirmesi bulunmaktadır. Bu da ancak yönetim kurulu adına güvence ve danışmanlık faaliyetlerini yürüten etkin bir iç denetim faaliyetinin bulunmasıyla mümkündür. İç denetimin ana faaliyet alanları; iç kontrol, kurumsal risk yönetimi ve kurumsal yönetiminin denetlenmesidir. İşletmelerin sürekliliğinin ve istikrarlı gelişiminin sağlanmasında büyük önem taşıyan kurumsal risk yönetiminin bir işletmede gelişebilmesi için iç denetim faaliyeti önemli role sahiptir. Bilimsel

iv

kaynaklarda gerek iç denetimin, gerekse kurumsal risk yönetiminin işletmelerdeki yetkinlik düzeyine yönelik çalışmalar olmakla beraber, iç denetimin sanayi işkolunda kurumsal risk yönetiminin gelişimine katkısını irdeleyen araştırmalar sınırlıdır. Bu çalışmada, Türkiye’de sanayi işletmelerinde iç denetim ve kurumsal risk yönetimi faaliyetlerinin karşılıklı etkileşiminin ne düzeyde olduğu ve bu birimlerin yetkinlik seviyelerini belirleyen değişkenlerin neler olduğu araştırılmıştır.

Anahtar Kelimeler: İç Denetim, Kurumsal Risk Yönetimi, Kurumsal Yönetim, İç

v

Abstract

INTERACTION OF INTERNAL AUDIT AND CORPORATE

RISK MANAGEMENT IN INDUSTRIAL ENTERPRISES

Internal audit and corporate risk management are the management concepts that are being developed with interaction between each other. Risk based audit approach dominates the todays internal audit applications. Understanding the nature of risks, analyzing, prioritizing and managing them properly are some of the prerequisites of this approach. This can only be achieved by adopting the corporate risk management concept in the organization. Due to this fact, output of the corporate risk management activities is the main input of the internal audit plan. On the other hand, corporate risk management capabilities can only be developed in an organization by the support of the internal audit function. In other words, on one side internal audit is the function that supports the start-up of the corporate risk management applications in an organization, and on the other side internal audit is the main function that benefits from the outputs of corporate risk management.

Turkish economy is heavily dependent on the import of energy resources as well as the raw materials used in the production of goods. This fact leads to the deficits in the current accounts of the country resulting the need to increase the ratio of exports over imports. The ability of the country’s economy to produce and sell high value added goods in both domestic and export markets is a critical factor to achieve sustainable economical growth and reaching the goal of Turkey for year 2023 which is positioning in the top ten economies of the world. Therefore it is imperative for Turkish economy to develop the industry sector to reach satisfactory economical growth and to have stabilization in the Turkish Lira. Applying the corporate governance rules by the industrial corporations is one of the key success factors to achieve sustainable long-term growth of the industry sector. Corporate governance is dependent on having effective board of directors and their oversight, audit and directing of the entity’s activities. This is only possible by having an effective and objective internal audit function. The main areas of interest of internal audit are

vi

internal controls, corporate risk management and corporate governance. Hence, internal audit function has a critical role that the corporate risk management to develop in a company. Although there are some studies to examine the competence level of internal audit function or corporate risk management function of the companies, there are very limited studies to reveal the role of the internal audit to develop the corporate risk management in the industrial companies of Turkey. The aim of this study is to determine the role of internal audit function in developing the corporate risk management activities in the industrial companies of Turkey.

Key Words: Internal Audit, Corporate Risk Management, Corporate Governance,

Internal Controls, COSO, Industrial Companies, Borsa Istanbul (BİST), Competence Level

vii

İÇİNDEKİLER

GİRİŞ

1. İÇ DENETİM VE KURUMSAL RİSK YÖNETİMİNİN

GELİŞİMİ, KAPSAMI VE ÖNEMİ

1.1. İç Denetim...4

1.1.1. İç Denetimin Tarihi Gelişimi...6

1.1.2. İç Denetimle İlgili Kavramlar...10

1.1.2.1. Kurumsal Yönetim...10

1.1.2.2. Kurumsal Risk Yönetimi...15

1.1.2.3. İç Kontrol...17

1.1.3. İç Denetim Türleri...19

1.1.3.1. Mali Denetim...19

1.1.3.2. Faaliyet Denetimi...20

1.1.3.3. Bilgi Teknolojileri Denetimi...21

1.1.3.4. Hile Denetimi...22

1.1.3.5. Uygunluk Denetimi...23

1.1.3.6. Sürekli Denetim...24

1.1.4. İç Denetimde Güncel Yaklaşımlar...24

1.1.4.1. Risk Odaklı İç Denetim Kavramı...35

1.1.4.2. Geleneksel ve Risk Odaklı İç Denetimin Kıyaslanması...37

1.1.4.3. Uluslararası İç Denetim Standartları Kurumsal Risk Yönetimi......41

1.1.5. İşletmelerin İç Denetim Yetkinlik Seviyeleri...44

1.2. Kurumsal Risk Yönetimi...49

1.2.1. Kurumsal Risk Yönetiminin Tarihi Gelişimi...52

1.2.2. Kurumsal Risk Yönetimiyle İlgili Kavramlar ...54

1.2.3. Kurumsal Risk Yönetimi Uygulama Modelleri...56

1.2.3.1. COSO Kurumsal Risk Yönetimi Modeli...56

1.2.3.2. ISO 31000 Risk Yönetimi İlke ve Uygulama Önerileri...60

1.2.3.3. Diğer Önde Gelen Kurumsal Risk Yönetimi Modelleri...63

1.2.4. Kurumsal Risk Yönetimi Yetkinlik Seviyeleri...66

1.2.4.1. Risklerinin Farkında Olmayan Kurumlar...66

1.2.4.2. Risklerini Anlamaya Çalışan Kurumlar...67

1.2.4.3. Risk Hedef ve Politikalarını Belirlemiş Olan Kurumlar...67

1.2.4.4. Örgüt Genelinde Risklerin Yönetildiği Kurumlar...68

viii

1.2.5. Reel İşkolunda Kurumsal Risk Yönetimine Yönelik Araştırmalar...69

1.2.5.1. Yeni Teknolojinin İşletmelere Etkisi...70

1.2.5.2. Kurumsal Risk Yönetiminde Yeni Yaklaşımlar...70

1.2.5.3. İç Denetim Birimlerinin Dikkate Alması Gereken Riskler...71

1.2.5.4. Risklerin Öncelik Sırasındaki Değişimler...73

1.2.5.5. Üst Yöneticilerin Öncelikli Gördüğü Riskler...74

2. TÜRKİYE’DE SANAYİ İŞLETMELERİ VE BORSA

İSTANBUL SINAİ ENDEKSİ İŞLETMELERİ

2.1. Türkiye’nin İktisadi Görünümünde Sanayinin Yeri...75

2.2. Türkiye Sanayi İşkolunun Güçlü ve Zayıf Yönleri, Fırsatlar ve Tehditler...78

2.3. Türkiye Sanayi Stratejisi...80

2.4. Borsa İstanbul Sınai Endeksinin Tanıtımı...81

2.5. Türkiye’de İç Denetimle İlgili Yasal Düzenlemeler...82

2.6. Türkiye’de Kurumsal Risk Yönetimiyle İlgili Yasal Düzenlemeler...84

3. ARAŞTIRMANIN TASARIMI VE YÖNTEMİ

3.1. İç Denetimin Kurumsal Risk Yönetimiyle İlişkisi Konusunda Çalışmalar....86

3.2. Hedef Çalışma Evreni...90

3.3. Araştırma Yöntemleri...90

3.4. Çalışmanın Kapsamı...91

3.4.1. Anket Yoluyla Sorulan Sorular ve Alınan Yanıtlar...91

3.4.1.1. İşletmeyle ve Yanıtlayanla İlgili Sorular...92

3.4.1.2. İç Denetim Biriminin Faaliyetlerine Yönelik Sorular...93

3.4.1.3. Kurumsal Risk Yönetimi Faaliyetlerine Yönelik Sorular...101

3.4.2. Kamuyu Aydınlatma Platformu’ndan Elde Edilen Bilgiler...108

3.5. Değerlendirme...113

3.5.1. İşletmelerde İç Denetim ve Kurumsal Risk Yönetimi Birimlerinin Varlığının Belirleyicileri...120

3.5.2. İşletmelerde İç Denetim ve Kurumsal Risk Yönetimi Birimlerinin Yetkinlik Düzeyinin Belirleyicileri...120

3.5.3. Hipotez Testleri...121

SONUÇ

EKLER

ix

TABLO LİSTESİ

Tablo 1. İç Denetimin Dünyada ve Türkiye’de Gelişim Süreci... 9

Tablo 2. Kurumsal Yönetimle İlgili Tanımların Kıyaslanması... 11

Tablo 3. İç Kontrol Modellerinden Bazılarının Kıyaslanması... 19

Tablo 4. İç Denetimden Beklenen Faydaların Yıllar İtibariyle Değişimi... 25

Tablo 5. Türkiye’de ve Uluslararası Alanda İç Denetim Yöneticilerinin Denetçilerden Beklediği Yetkinliklerin Kıyaslanması...34

Tablo 6. Geleneksel İç Denetimle Risk Odaklı İç Denetim Anlayışlarının Kıyaslanması...36

Tablo 7. Risk Odaklı İç Denetim Öncesi ve Sonrası Dönemde İç Denetçi Yaklaşımının Kıyaslanması...37

Tablo 8. Risk Yönetimine Geleneksel Bakış İle Kurumsal Yeni Anlayışın Kıyaslanması...52

Tablo 9. Geleneksel Risk Yönetimi İle Kurumsal Risk Yönetimi Yapılarının Kıyaslanması...53

Tablo 10. Geleneksel Risk Yönetimi, İleri Düzey Risk Yönetimi ve Kurumsal Risk Yönetimi Kavramlarının Kıyaslanması...54

Tablo 11. Türkiye’de KOBİ (Küçük Ve Orta Büyüklükteki İşletme) Olma Ölçütleri...76

Tablo 12. Geleneksel ve Yalın Üretim ve Yönetim Sistemlerinin Kıyaslanması..77

Tablo 13. Anketi Yanıtlayanların Görev Dağılımı...92

Tablo 14. İşletmede İç Denetim Birimi Bulunma Durumu...93

Tablo 15. İç Denetim Birimi Bulunmayan İşletmelerde Bu Birimin Kurulmasına Yönelik Planlar...93

Tablo 16. İç Denetim Biriminin Kaç Yıldır Bulunduğu...94

Tablo 17. İç Denetim Birimindeki Çalışan Sayıları...94

Tablo 18. İç Denetçilerin Sertifikasyon Durumu...95

Tablo 19. İç Denetçilerin Özlük Hakları Yönünden Bağlı Bulunduğu Yönetim Kademesi...95

x

Tablo 21. İç Denetim Çalışmalarının Hangi Konulara Odaklı Olduğu...97

Tablo 22. İç Denetim Bulgularının Takibinin Nasıl Yapıldığı...98

Tablo 23. İç Denetimin Uygulamada Hangi Konulara Odaklandığı...98

Tablo 24. İç Denetimin Kurumsal Risk Yönetimi Süreçlerine Katkısı...99

Tablo 25. İç Denetimin Kurumsal Risk Yönetimini Geliştirme Görevleri...100

Tablo 26. İç Denetimin Yardımcı Olduğu Kurumsal Risk Yönetimi Süreçleri...101

Tablo 27. İşletmelerde Kurumsal Risk Yönetimi Biriminin Bulunma Durumu..101

Tablo 28. Kurumsal Risk Yönetimi Birimi Olmayan İşletmelerde Bu Birimin Kurulmasına Yönelik Planlar...102

Tablo 29. Kurumsal Risk Yönetimi Biriminin Bulunma Süresi...102

Tablo 30. Kurumsal Risk Yönetimi Biriminde Çalışan Sayısı...103

Tablo 31. Kurumsal Risk Yönetimi Biriminin Yönetim Kademesinde Hangi Seviyeye Bağlı Olduğu...103

Tablo 32. Kurumsal Risk Yönetimi Biriminin Kurulduğunda Hangi Birime Bağlı Olduğu...104

Tablo 33. Kurumun Risklerinin Listelenme Durumu...104

Tablo 34. Kurumun Risk İştahının Tanımlanma Durumu...105

Tablo 35. İşletmede Kurumsal Risk Yönetimi Dokümantasyonunun Durumu...105

Tablo 36. Yöneticilerin Görev Tanımında Kurumsal Risk Yönetimine Dair Görevlerin Bulunma Durumu...105

Tablo 37. Risk Raporlamasının Yayınlanma Sıklığı...106

Tablo 38. Risk Raporlamasının Sayfa Sayısı...106

Tablo 39. Risk Raporlamasının Kuruma Katkıları...107

Tablo 40. En Fazla Odaklanılan Riskler...107

Tablo 41. Kurumsal Risk Yönetimi Faaliyetlerinin Gelişim Alanı...108

Tablo 42. İşletmelerin Hakim Ortaklık Yapısı...109

Tablo 43. İşletmelerin Yabancı Ortaklık Durumu...109

Tablo 44. İşletmelerin Bağımsız Denetçi Özellikleri...110

Tablo 45. Anketi Yanıtlayan İşletmelerin Alt İş Koluna Göre İç Denetim ve Kurumsal Risk Yönetimi (KRY) Birimine Sahip Olma Durumu...111

Tablo 46. Anketi Yanıtlayan İşletmelerin BİST KOBİ Endeksi’nde Bulunma Durumu...112

xi

Tablo 48. Anketi Yanıtlayan İşletmelerin Yönetim Kurulu Üye Sayısına Göre

Kıyaslanması...113

Tablo 49. İç Denetim Yetkinlik Modelinin Ölçütleri ve Ağırlıkları...114 Tablo 50. Kurumsal Risk Yönetimi Yetkinlik Modelinin Ölçütleri ve

Ağırlıkları...114

Tablo 51. İşletmelerin İç Denetim Yetkinlik Puanlarına Göre Dağılımı...115 Tablo 52. İşletmelerin Kurumsal Risk Yönetimi Yetkinlik Puanlarına Göre

Dağılımı...115

Tablo 53. İşletmelerin İç Denetim Biriminin Özelliklerine Göre İç Denetim

Yetkinlik Puanlarının Dağılımı...116

Tablo 54. İşletmelerin Kurumsal Risk Yönetimi Biriminin Özelliklerine Göre

Kurumsal Risk Yönetimi Yetkinlik Puanlarının Dağılımı...117

Tablo 55. İç Denetim Birimine Sahip Olmanın İşletme Büyüklüğüne Etkisi...121 Tablo 56 . İç Denetime Tabi Olan İşletmeler ile Olmayanların İşletme

Büyüklüğüne Göre Bağımsız Gruplar T Testi...122

Tablo 57. İşletme Büyüklüğü ile İç Denetim Biriminin Yetkinliği Arasındaki

Bağıntı...123

Tablo 58. Yabancı Ortaklı Olmanın İç Denetim Birimine Sahip Olma Durumuna

Etkisi...123

Tablo 59. Yabancı Ortaklı Olmanın İç Denetim Yetkinlik Seviyesine Etkisi...124 Tablo 60. Yabancı Ortaklığı Olan İşletmeler ile Olmayanların İç Denetim

Biriminin Yetkinlik Seviyesine Göre Bağımsız Gruplar T Testi...124

Tablo 61. Dört Büyük Bağımsız Denetim Firmasınca Denetlenmenin İç Denetim

Birimine Sahip Olma Durumuna Etkisi...125

Tablo 62. Dört Büyük Bağımsız Denetim Firması Tarafından Denetlenmenin İç

Denetim Yetkinlik Seviyesine Etkisi...126

Tablo 63. Dört Büyük Bağımsız Denetim Firmasınca Denetlenen İşletmeler ile

Diğer Bağımsız Denetim Firmalarınca Denetlenen İşletmelerin İç

Denetim Yetkinlik Seviyesine Göre Bağımsız Gruplar T Testi...126

Tablo 64. Yönetim Kurulu Üye Sayısının İç Denetim Yetkinliğine Etkisi...127 Tablo 65. Yönetim Kurulu Bağımsız Üye Sayısının İç Denetim Yetkinlik

xii

Tablo 66. Yönetim Kurulu Bağımsız Üye Oranının İç Denetim Yetkinlik

Seviyesine Etkisi...128

Tablo 67. Yönetim Kurulu Üye Sayısı ile İç Denetim Biriminin Yetkinliği

Arasındaki Bağıntı...128

Tablo 68. İç Denetim Biriminin İşletme Bünyesinde veya Grup Seviyesinde

Olmasının İç Denetim Yetkinlik Seviyesine Etkisi...129

Tablo 69. İç Denetimi Bünyesinde Olan İşletmeler ile İç Denetimi Bağlı

Olduğu Şirketler Topluluğundan Alan İşletmelerin İç Denetim

Yetkinlik Seviyesine Göre Bağımsız Gruplar T Testi...129

Tablo 70. Kurumsal Risk Yönetimi Birimine Sahip Olmanın İşletme

Büyüklüğüne Etkisi...130

Tablo 71. Kurumsal Risk Yönetimi Birimi Olan İşletmeler ile Olmayanların

İşletme Büyüklüğüne Göre Bağımsız Gruplar T Testi...131

Tablo 72. Çalışan Sayısının Kurumsal Risk Yönetimi Yetkinliğine Etkisi...132 Tablo 73. Varlık Toplamının Kurumsal Risk Yönetimi Yetkinliğine Etkisi...132 Tablo 74. Net Satış Geliri Büyüklüğünün Kurumsal Risk Yönetimi Yetkinlik

Seviyesine Etkisi ...133

Tablo 75. İşletme Büyüklüğü İle Kurumsal Risk Yönetimi Biriminin Yetkinliği

Arasındaki Bağıntı...133

Tablo 76. Yabancı Ortaklı Olmanın Kurumsal Risk Yönetimi Birimine Sahip

Olma Durumuna Etkisi...134

Tablo 77. Yabancı Ortaklı Olmanın Kurumsal Risk Yönetimi Yetkinlik

Seviyesine Etkisi...134

Tablo 78. Yabancı Ortaklığı Olan İşletmeler ile Olmayanların Kurumsal Risk Yönetimi Yetkinlik Seviyesine Göre Bağımsız Gruplar T Testi...135

Tablo 79. Dört Büyük Bağımsız Denetim Firmasınca Denetlenen İşletmeler ile

Diğer Bağımsız Denetim Firmalarınca Denetlenen İşletmelerin Kurumsal Risk Yönetimi Yetkinlik Seviyesine Göre Bağımsız

Gruplar T Testi...136

Tablo 80. Yönetim Kurulu Üye Sayısının Kurumsal Risk Yönetimi (KRY)

xiii

Tablo 81. Yönetim Kurulu Bağımsız Üye Sayısının Kurumsal Risk Yönetimi

Yetkinlik Seviyesine Etkisi...137

Tablo 82. Yönetim kurulu bağımsız üye oranının kurumsal risk yönetimi yetkinlik

seviyesine etkisi...138

Tablo 83. Yönetim Kurulu Üye Sayısı İle Kurumsal Risk Yönetimi Biriminin

Yetkinliği Arasındaki Bağıntı...138

Tablo 84. Kurumsal Risk Yönetimi Biriminin İşletme Bünyesinde Olması veya

Grup Seviyesinde Olmasının Kurumsal Risk Yönetimi Yetkinlik

Seviyesine Etkisi...139

Tablo 85. Kurumsal Risk Yönetimi Birimini Bünyesinde Barındıran İşletmeler ile

Bağlı Bulunduğu Şirketler Topluluğundan Bu Hizmeti Alan İşletmelerin Kurumsal Risk Yönetimi Biriminin Yetkinlik Seviyesine Göre

Bağımsız Gruplar T Testi...140

Tablo 86. İç Denetim Yetkinlik Puanı Ve Kurumsal Risk Yönetimi Yetkinlik

Puanı Dağılımları...141

Tablo 87. İç Denetim Biriminin Yetkinlik Seviyesi İle Kurumsal Risk Yönetimi

Biriminin Yetkinliği Arasındaki Bağıntı...141

Tablo 88. İç Denetim Faaliyetinin İşletme Bünyesinde Olması Veya Grup

Seviyesinde Olmasının Kurumsal Risk Yönetimi Yetkinlik Düzeyine Etkisi...142

Tablo 89. İç Denetim Hizmetini Kendi Bünyesinde Barındıran İşletmeler ile İç

Denetimi Bağlı Bulunduğu Şirketler Topluluğundan Alan İşletmelerin Kurumsal Risk Yönetimi Biriminin Yetkinlik Seviyesine Göre

Bağımsız Gruplar T Testi...143

Tablo 90. İşletmede Kurumsal Risk Yönetimi Biriminin Olmasının İç Denetim

Biriminin Yetkinliğine Etkisi...143

Tablo 91. Kurumsal Risk Yönetimi Birimi Olan İşletmeler İle Bu Birimi

Olmayanların İşletmelerin İç Denetim Biriminin Yetkinlik Seviyesine Göre Bağımsız Gruplar T Testi...144

xiv

ŞEKİL LİSTESİ

Şekil 1. İç Denetimin Diğer Kurumsal Yapılarla Etkileşimi...6

Şekil 2. İç Denetimin Faaliyet Alanları...10

Şekil 3. Kurumsal Yönetimde Önemli Menfaat Grupları...12

Şekil 4. Kurumsal Yönetimin Etkileşim İçinde Bulunduğu Kurumsal Yapı...14

Şekil 5. Kurumsal Risk Yönetimi Süreci...16

Şekil 6. İç Denetimin Ürettiği Değerin, Kurumun Risk Yönetim Olgunluk Derecesiyle İlişkisi...32

Şekil 7. İç Denetim Anlayışında ve Uygulamalarında Zaman İçinde Yaşanan Değişim...35

Şekil 8. İç Denetimin Kurumsal Risk Yönetimine Etkisi...43

Şekil 9. Anahtar Risklerin İçsel ve Dışsal Kaynaklı Olması...50

Şekil 10. Üçlü Savunma Hattı Modeli...56

Şekil 11. COSO Kurumsal Risk Yönetimi Küpü...57

Şekil 12. COSO Kurumsal Risk Yönetiminin Genel Süreci...58

Şekil 13. COSO Kurumsal Risk Yönetimi Sarmalı...59

Şekil 14. ISO 31000 Bağlamında Kurumsal Risk Yönetimi Süreci...61

xv

KISALTMALAR

AB : Avrupa Birliği

a.g.e. : Adı Geçen Eser

BİST : Borsa İstanbul C. : Cilt

COSO : Committee of Sponsoring Organizations of the Treadway Commission Çev. : Çeviren

DRT : Deloitte Touche Tohmatsu Limited

E&Y : Ernst & Young

IIA : Institute of Internal Auditors

IMF : International Monetary Fund

KAP : Kamuoyu Aydınlatma Platformu

KOBİ : Küçük ve Orta Boy İşletmeler KPMG : Klynveld Peat Marwick Goerdeler KRYD : Kurumsal Risk Yönetimi Derneği OECD : Ekonomik İşbirliği ve Kalkınma Örgütü PwC : PricewaterhouseCoopers

SPK : Sermaye Piyasası Kurulu TİDE : Türkiye İç Denetim Enstitüsü TTK : Türk Ticaret Kanunu

1

GİRİŞ

Kurumsal risk yönetimi, gerek dünya genelinde risklerin çeşitlenip karmaşık hale gelmesiyle, gerekse Türkiye’nin içinde bulunduğu bölgede siyasi ve iktisadi değişim ve belirsizliklerin gittikçe arttığı bir ortamda işletmelerin devamlılığının sağlanabilmesi açısından önemi gittikçe artan bir yönetim faaliyetidir. İç denetimin geliştirmeyi amaçladığı ana süreçler “iç kontrol”, “kurumsal risk yönetimi” ve “kurumsal yönetim” faaliyetleridir. Dolayısıyla bir işletmede kurumsal risk yönetimi kavramının anlaşılması, alt yapısının kurulması ve geliştirilmesi kapsamında iç denetimin önemli bir payı vardır. Ülkemizde yasal olarak belirli kurumsal yapı ve organlara sahip olması zorunlu olan kamu kurumları ve mali işkolundaki uygulamalar haricinde kurumsal risk yönetiminin önemi yeterince kavranamamıştır. Türkiye’de hizmetler iş kolunun son yıllarda toplam ülke ekonomisindeki payının artmakta olduğu, tarım ve sanayi iş kollarında ise büyümenin daha yavaş olduğu görülmektedir. Kasım 2017 itibariyle ülkede istihdam edilen çalışan sayısı hizmetler, tarım ve sanayi iş kollarında sırasıyla %62.2, %18.6 ve %19.2’dir. Diğer yandan, 2012 ile 2017 yılları arasındaki beş yılda hizmet ve sanayi iş kollarında istihdamdaki artış sırasıyla %30 ve %12 olarak gerçekleşmiştir. Bu veriler, Türkiye’de sanayi iş kolunun toplam iktisadi büyüklük ve istihdam yönünden gelişmeye ihtiyacı olduğunu ve son yıllardaki gelişimin de yetersiz kaldığını göstermektedir.

Borsa İstanbul’da (BİST) hisse senetleri işlem gören sanayi işletmeleri “BİST Sınai Endeksi” adındaki bir endekste toplanmıştır. 01.01.2018 itibariyle bu endekse dahil 151 işletme bulunmaktadır. Söz konusu işletmeler gerek Sermaye Piyasası Kurumu (SPK) mevzuatına, gerekse BİST yönergelerine uymak ve faaliyetleri hakkında kamuyu sürekli bilgilendirmek zorunda olduğundan, kurumsallık anlamında ülkemizin belirli bir seviyedeki işletmeleri arasında sayılmaktalardır.

BİST’te hisse senetleri işlem gören işletmelerin sahip olması gereken yapısal nitelikler arasında yönetim kuruluna bağlı “denetimden sorumlu komite” ve “risklerin erken tespiti komitesi” de bulunmaktadır. Nitekim BİST Sınai

2

Endeksi’ndeki işletmelerin tamamında bu komitelerin bulunduğu ve işletilmekte olduğu, kamuya yaptıkları beyanlarla sabittir. Bununla birlikte, yasaların öngördüğü bu komitelerin amacı, yönetim kuruluna belirli sınırlar içinde bir güvence vermektir. Bu çalışmada ise işletmenin örgütsel yapısı içerisinde yer alan ve sürekli bir faaliyet olarak yaşatılan bir “iç denetim” ve “kurumsal risk yönetimi” biriminin olup olmadığı sorgulanmaktadır. Nitekim araştırma kapsamındaki işletmelerin bir kısmında bu faaliyetlerin sadece yönetim kuruluna bağlı komitelerce yürütülmekte olduğu ve örgütsel yapı dahilinde bu faaliyetlerin ayrı bir birim tarafından temsil edilmediği bilinmektedir.

Söz konusu işletmelerde iç denetim ve kurumsal risk yönetimi faaliyetlerinin bulunup bulunmadığı ve bulunuyorsa hangi seviyede olduğunun belirlenmesi, işletmelerin yönetim kalitesini yansıtması açısından önemlidir. Ayrıca kurumsal risk yönetimi süreçlerinin gelişmesinde iç denetimin nasıl bir öneme sahip olduğunun belirlenmesi, iç denetim faaliyetinin işletmelerde ne ölçüde katma değer sağladığını belirlemek açısından yararlıdır. Bilimsel kaynaklarda kurumsal risk yönetimine ve iç denetime yönelik çalışmalar bulunmakla beraber, reel işkolunda ve özellikle sanayi işletmelerinde iç denetim ve kurumsal risk yönetimi faaliyetlerinin etkileşimini ve yetkinlik seviyeleri arasındaki ilişkiyi irdeleyen çalışmalar çok sınırlıdır. Dolayısıyla bu çalışmanın bilimsel kaynaklara olabildiğince katkı sağlaması ve bulguları neticesinde ülkemizdeki sanayi işletmelerinde iç denetim ve kurumsal risk yönetimi faaliyetlerinin gelişimine yönelik bir yol haritası sunması umulmaktadır.

BİST Sınai Endeksi’ndeki işletmelerin iç denetim ve kurumsal risk yönetimi faaliyetlerinin etkileşiminin hangi seviyede olduğunun ve bu birimlerin yetkinlik seviyelerinin belirlenmesi tezin temel amacı olmakla birlikte, çalışmanın diğer amaçları aşağıda belirtilmiştir:

- BİST Sınai Endeksi’ndeki işletmelerde iç denetim ve kurumsal risk yönetimi birimlerinin bulunup bulunmaması, bulunuyorsa yetkinlik derecesi ile işletmenin büyüklüğü, hissedar yapısı, bağımsız denetçi nitelikleri ve yönetim kurulu üye profili arasındaki ilişkiyi ortaya koymak,

- İşletmelerde iç denetim ve kurumsal risk yönetimi faaliyetlerinin yetkinlik düzeyi arasındaki bağlılık düzeyini ve birbirlerinin gelişimini ne ölçüde etkilediklerini belirlemek.

3

Bu kapsamda, BİST Sınai Endeksi’ndeki şirketlere yöneltilen anket soruları Ek 1’de listelenmiş olmakla birlikte özet olarak şu konuların araştırılmasını amaçlamaktadır:

- İşletmede iç denetim ve kurumsal risk yönetimi birimleri bulunmakta mıdır; bulunuyorsa ne kadar süredir vardır?

- İç denetçiler ve kurumsal risk yönetimi birimi çalışanları özlük hakları yönünden kime bağlıdır ve hangi mesleki sertifikalara sahiplerdir?

- İşletmede nasıl bir iç denetim kültürü bulunmaktadır, iç denetim çalışmaları hangi konulara odaklıdır?

- İç denetim yıllık planı nasıl yapılmaktadır, bulgular nasıl ele alınmaktadır? - İç denetim ve kurumsal risk yönetimi birimlerinde kaçar kişi çalışmaktadır? - İşletmelerin büyüklüğü, yabancı ortaklılık durumu, yönetim kurulunun yapısı

ve bağımsız denetçisinin niteliklerinin iç denetim ve kurumsal risk yönetimi birimlerinin işletmede bulunması ve yetkinlik düzeyiyle bağıntısı bulunmakta mıdır?

- İç denetim biriminin güvence verdiği ve danışmanlık yaptığı alanlar hangileridir?

- İç denetim ve kurumsal risk yönetimi faaliyetlerinin yetkinlik seviyeleri arasında bir ilişki var mıdır?

- Kurumsal risk yönetimi faaliyetinin gelişiminde iç denetim faaliyetinin nasıl bir etkisi vardır?

- İç denetim faaliyetlerinin yetkinlik düzeyine kurumsal risk yönetiminin etkisi bulunmakta mıdır?

- Kurumun riskleri listelenmiş midir, risk iştahı tanımlanmış mıdır, kurumsal risk yönetimi ile ilgili politika, yönerge ve talimatlar düzenlenmiş midir? - Riskler nasıl ve hangi sıklıkla raporlanmaktadır, kurumsal risk yönetimi

4

BİRİNCİ BÖLÜM

İÇ DENETİM VE KURUMSAL RİSK YÖNETİMİNİN

GELİŞİMİ, KAPSAMI VE ÖNEMİ

1.1. İç Denetim

Türk Dil Kurumu sözlüğünde “denetlemek”, bir işin doğru ve yöntemine uygun olarak yapılıp yapılmadığını incelemek, murakabe etmek, teftiş etmek, kontrol etmek olarak tanımlanmaktadır. Denetimin İngilizcede karşılığı olan “audit” sözcüğü, işitmek, dikkatlice dinlemek anlamına gelen “audire” kelimesinden türemiştir. Denetim, iktisadi faaliyet ve olaylarla ilgili beyan edilen bilgilerin önceden oluşturulmuş ölçütlere uygunluk derecesini belirlemek için iktisadi faaliyet ve olaylara ilişkin bilgilerle ilgili delillerin tarafsız olarak elde edilmesi, değerlendirilmesi ve sonuçların bu bilgilerle ilgilenen taraflara iletişimini sağlayan düzenli bir süreçtir. (Arens, Elder ve Beasley, 2014).

Bağımsız denetim, mali tablo ve diğer mali bilgilerin mali raporlama standartlarına uygunluğu ve doğruluğu hakkında, makul güvence sağlayacak yeterli ve uygun bağımsız denetim kanıtlarının elde edilmesi amacıyla, denetim standartlarında öngörülen gerekli bağımsız denetim tekniklerinin uygulanarak defter, kayıt ve belgeler üzerinden incelenmesi ve değerlendirilerek rapora bağlanmasıdır (www.kgk.gov.tr, 2018).

Muhasebe denetimi, iktisadi faaliyet ve olaylarla ilgili iddiaların önceden belirlenmiş ölçütlere uygunluk derecesini araştırmak ve sonuçları ilgi duyanlara bildirmek amacıyla tarafsızca kanıt toplayan ve bu kanıtları değerleyen düzenli bir süreçtir (Güredin, 2014).

Dolayısıyla denetim sürecinde denetlenen, denetleyen ve denetimin bulgularından yararlanan olmak üzere üç taraf bulunmaktadır. Denetim, içerisinde çeşitli safhaları olan bir süreçtir, önceden belirlenmiş ölçütler dikkate alınarak yapılır ve denetimin sonuçlarına ilgi duyanlara sunulur. Denetimde tarafsız şekilde kanıt toplanıp değerlendirilerek ve temelde iktisadi faaliyetlere dair sürdürülen bir süreçtir.

5

Üç ana denetim türü, “faaliyet denetimi”, “uygunluk denetimi” ve “mali tablo denetimi “dir (Arens, Elder ve Beasley, 2014). Ayrıca mali tabloların ve dipnotların bağımsız denetimi, iç denetim, vergi denetimi gibi kurum içinden veya dışından denetçilerin gerçekleştirdiği, kapsamı, raporlama biçimi ve hedef kitlesi değişen farklı türleri vardır.

Yapılma zamanına göre denetimler; “yıl sonu denetimi”, “ara dönem denetimi” ve “özel denetimler” olarak sınıflandırılabilir. Denetçinin konumuna göre ele alındığında ise “bağımsız denetim”, “iç denetim” ve “kamu denetimi” ayrımları yapılabilir (Özbek, 2012).

Uluslararası İç Denetçiler Enstitüsü’nün (The Institute of Internal Auditors, IIA) iç denetim tanımı şöyledir: “iç denetim, bir kurumun faaliyetlerini geliştirip değer katmayı amaçlayan bağımsız ve tarafsız bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetimi, iç kontrol ve kurumsal yönetim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik düzenli ve disiplinli bir yaklaşım getirerek kurumun hedeflerinin gerçekleştirilmesine yardımcı olur (www.na.theiia.org, 2018).

Bağımsız denetimde mali tablolarla ilgili olarak bağımsız denetçi görüşü kurumun yönetim kuruluna hitaben düzenlenirken, iç denetimde düzenlenen denetim raporu işletmenin yönetim kurulunun yanı sıra üst yönetime sunulur.

İç denetim faaliyetleri kurumun üst yönetimi, tüm paydaşları, yönetim kurulu, yönetim kurulunun; denetim komitesi başta olmak üzere çeşitli komiteleri, yönetim danışmanları ve dış denetçileriyle sürekli iletişim ve etkileşim halindedir. İç denetim bu birimlerden bir yandan bilgi almakta, bir yandan da bu birimlere bilgi ve rapor sunmaktadır. İç denetimin tüm paydaşlarla iletişim ve bilgi paylaşımı ne kadar güçlü olursa, kuruma sağlayacağı fayda da aynı oranda artmaktadır. Aşağıdaki şekil, iç denetim biriminin işletmenin tüm paydaşlarıyla ilişkisini özetlemektedir.

6

Şekil 1. İç Denetimin Diğer Kurumsal Yapılarla Etkileşimi

Kaynak: TKYD-Türkiye Kurumsal Yönetim Derneği, İç Denetim Açısından Yönetim Kurullarının Sorumlulukları Sunumu, 2018, s. 20.

Şekilden de görüleceği üzere, iç denetim birimi yönetim kurulu üyelerinin oluşturduğu denetim komitesine güvence hizmeti vermektedir. Diğer yandan iç denetim birimi işletmenin üst yönetimine de danışmanlık hizmeti vermektedir. İç denetimin, denetim komitesi adına yürüttüğü güvence hizmetlerinin sonucunda yönetim kurulu da pay ve menfaat sahiplerine gerek mali tablolar, gerekse işletme faaliyetlerinin yasalara ve mevzuata uyumu konusunda güvence verebilmektedir. Tabloda belirtilen “dış denetim”den kasıt, “bağımsız denetim”dir.

1.1.1. İç Denetimin Tarihi Gelişimi

İç denetimin ilk uygulamaları milattan önce 3500 yıllarında Mezopotamya’da mali kayıtların yanındaki küçük işaretlerin, bu kayıtları denetleyen kişiler tarafından konulduğunun ortaya çıkarılmasıyla başlamıştır. Eski Mısır, Çin, İran ve İbrani kültürlerinde de iç denetim uygulamalarına ilişkin kanıtlar bulunmuştur. Orta çağda çift taraflı borç ve alacak kayıtlı defter sisteminin 13. yüzyılda İtalya’da ortaya çıkması, muhasebe işlemlerinin kontrol edilmesini kolaylaştırmış ve denetimin gelişimine katkı sağlamıştır (Sawyer’s, 2016).

7

Sanayi devriminde İngiltere’de kurumlar, muhasebe kayıtlarının denetlenmesi için denetçilere ihtiyaç duymaktaydı. Bu amaçla, muhasebecilerin bir kısmı denetçi olarak yetiştirildi ve böylece denetim mesleğinin bugünkü şekline benzer ilk uygulamaları başladı. Daha sonra, deniz aşırı ülkelerde yapılan İngiliz yatırımlarıyla birlikte, bunların denetimi amacı ile denetim mesleği de diğer ülkelere yayılmaya başladı (Sawyer’s, 2016).

20. yüzyılda özellikle 1. dünya savaşından Avrupalı ülkeler kadar etkilenmeyen ABD ekonomisinin hızla büyümesi ile birlikte gelişen sermaye piyasaları, özellikle yatırımcıların ve yönetim kurullarının denetlenmiş mali tablolara duyulan ihtiyacı ortaya çıkardı. İç denetim bugünkü haliyle 1941 yılında İç Denetçiler Enstitüsü’nün (IIA) kuruluşuyla gelişmeye başladı (Sawyer’s, 2016).

“İç denetçi” (The Internal Auditor) adında ilk gazete 1943 yılında ABD’de yayınlandı. IIA tarafından da 1947 yılında “İç denetçilerin sorumlulukları” bildirisi yayınlandı. Bu bildiri daha sonra 1957, 1971, 1976, 1981 ve 1990 yıllarında güncellendi (Sungun, G., 2014).

Faaliyet denetimi anlayışı ve uygulamasının ortaya çıkışı ile birlikte, İç denetimin ilgilendiği konular, mali konuların ötesine geçmiş oldu. 1975 yılında IIA tarafından yapılan bir araştırmada, katılımcıların %95’i faaliyet denetimi yaptıklarını, ayrıca denetimde harcanan toplam zamanın ortalama %51’ini faaliyet denetimlerinde harcadıklarını belirtmişlerdir (Cangemi M, Singleton T., 2003, s. 23). Böylece iç denetimin faaliyet konuları arasına mali denetimin yanı sıra faaliyet denetiminin de katılmış oldu.

1974 yılında IIA tarafından iç denetçi sertifikalandırma süreci başlatıldı ve lisanslı iç denetçi (Certified Internal Auditor; “CIA”) kavramı ortaya çıktı. Günümüzde halen devam eden bu program, iç denetçilerin belirli eğitimleri alması ve sınavları başarmasını esas almaktadır. (Sungun, G., 2014). A.B.D ‘de başlayan örgütlenme, 1982 yılında (ECIIA) Avrupa İç Denetim Enstitüleri Konfederasyonu’nun kurulması ile mesleğin Avrupa Birliği’nde de tanınmasını sağlamıştır.

8

Treadway Komisyonu (Commission) raporu yayınlandı. Bu komisyon, alanında söz sahibi olan beş kurum; Uluslararası İç Denetçiler Enstitüsü, (IIA), ABD Mali Müşavirler Enstitüsü (AICPA), ABD Muhasebeciler Birliği (AAA), Yönetim Muhasebecileri Birliği (IMA), ve Mali İşler Yöneticileri Birliği (FEI) tarafından kurulmuştur. Bu birlik, kısaca COSO olarak bilinen The Committee of Sponsoring Organizations; (Sponsor Kurumlar Komitesi) olarak da bilinmektedir. Hileli mali raporlamayı önlemeye yönelik önerilerde bulunmayı amaçlayan bu komisyon, hisseleri menkul değerler borsalarında işlem gören tüm şirketlerde iç denetim biriminin bulunması gerektiğini ve bu işletmelerde bağımsız yönetim kurulu üyelerinden oluşan bir denetim komitesinin varlığının zorunlu olduğunu ortaya koymuştur.

Türkiye’de iç denetim mesleğine yönelik ilk önemli gelişme, 1995 yılında Türkiye İç Denetim Enstitüsü (TİDE)’nin kurulması ile gerçekleşmiştir. Böylece Türkiye’de iç denetim, uluslararası standartlarda uygulanmaya başlamış ve iç denetçiler uluslararası iç denetçi sertifikası (CIA) edinmeye başlamıştır.

Enron, WorldCom ve benzeri büyük çaplı hile vakalarının sonucunda kurumsal yönetim uygulamalarının güvence altına alınması için A.B.D’ de Sarbanes-Oxley yasası başta olmak üzere, yeni yasalar çıkarılmıştır. Bu yasaların çıkarılmasıyla hedeflenen, özellikle hisseleri menkul kıymetler borsasında işlem gören işletmelerin kurumsal yönetim ilkelerine uygun çalışmasını sağlamak ve böylece yatırımcıların uğrayabileceği büyük çaplı zararların önüne geçebilmektir. Bu sayede bağımsız denetim ve iç denetim mesleği ile iç kontrol yapısına verilen önem daha da artmıştır. Ülkemizde ise “Bankacılık Kanunu”, “Sermaye Piyasası Kurulu”nun (SPK) düzenlemeleri ve yeni “Türk Ticaret Kanunu”, Sarbanes-Oxley yasası ile paralel bir görüşle hazırlanmıştır.

Günümüzde iç denetim, bir meslek olarak uluslararası düzeyde kabul edilen belirli ölçütlere uygun olarak icra edilebilmektedir. Bu ölçütler, IIA tarafından yayınlanan “uluslararası mesleki uygulamalar çerçevesi” (UMUÇ) olarak bilinmektedir. UMUÇ, “uyulması zorunlu rehber” ve “kuvvetle önerilen rehber” bölümlerinden oluşmaktadır. Bu rehberler “iç denetimin tanımı”, “mesleki ahlak kuralları”,

9

“uluslararası iç denetim mesleki uygulama standartları”, pozisyon belgeleri”, “uygulama önerileri” ve “uygulama rehberleri”nden oluşmaktadır (Sawyer’s, 2016). Aşağıdaki tabloda iç denetimin uluslararası alanda ve ülkemizdeki gelişimi özetlenmiştir.

Tablo 1. İç Denetimin Dünyada ve Türkiye’de Gelişim Süreci

Kaynak: UZUN, A.K., Geleceğin Yönetiminde Başarı Faktörleri: İç Denetim Üzerine Kariyer Fırsatları, 2006, s. 39.

Tablodan görüldüğü üzere iç denetim faaliyetlerinin belirli bir uluslararası çerçeveye kavuşması ve iç denetçilik mesleğinin genel kabul görmüş standartlarda icra edilmeye başlanması ancak 20. yüzyılın ikinci yarısından itibaren gerçekleşebilmiştir. Bu gelişmelerin ülkemize yansıması ise yaklaşık yarım yüzyıl gecikmeyle olabilmiştir.

10

1.1.2. İç Denetimle İlgili Kavramlar

Günümüzde iç denetimin kapsamı, kurumsal yönetim süreçlerinin denetimi, kurumsal risk yönetimi süreçlerinin denetimi, iç kontrol yapılarının denetimi, bilgi teknolojileri süreçlerinin denetimi ve danışmanlık faaliyetleri olarak sınıflandırılabilir (Özbek, 2012). Aşağıdaki şemada iç denetimin hizmet alanları özetlenmiştir.

Şekil 2: İç Denetimin Faaliyet Alanları

Kaynak: TKYD-Türkiye Kurumsal Yönetim Derneği, İç Denetim Açısından Yönetim Kurullarının Sorumlulukları Sunumu, 2018, s. 9.

Şekilden de görülebileceği gibi iç denetim hizmetleri güvence ve danışmanlık olarak iki ayrı bölüme ayrılmaktadır. Güvence hizmetlerinin uygulandığı ana alanlar iç kontrol, kurumsal yönetim (yönetişim), ve kurumsal risk yönetimdir. Danışmanlık hizmetleri ise işletmenin çeşitli iş süreçlerinin ve faaliyetlerin verimlilik ve etkinliğini geliştirmeye yöneliktir.

İç denetimin hizmet alanına giren ana kavramların kısaca irdelenmesi, konunun iyice anlaşılması açısından gereklidir.

1.1.2.1. Kurumsal Yönetim

“İktisadi İşbirliği ve Kalkınma Örgütü” (OECD) Kurumsal Yönetim Komitesi tanımına göre kurumsal yönetim, şirketin yönetimi, yönetim kurulu, hisse sahipleri ve diğer tüm paydaşları arasındaki hak ve sorumlulukların belirlendiği bir yapıdır (OECD, 2015).

11

Kurumsal yönetimle ilgili farklı ülkeler ve mesleki kuruluşların tanımları arasında benzerlik ve farklılıklar bulunmaktadır. Aşağıdaki tablo bu konuda yapılmış bir özettir:

Tablo 2: Kurumsal Yönetimle İlgili Tanımların Kıyaslanması

Kaynak: Weil, Comparative Matrix of Corporate Governance, 2002, s.11-20.

Kurumsal risk yönetimi, işletmenin içinden ve dışından ilişki içinde bulunduğu tüm tarafları; yani menfaat sahiplerini (stakeholders) içermektedir. Kurumsal yönetimin güçlü olduğu kurumlarda menfaat sahiplerinden her biri, kuruma yapmış olduğu katkı oranında payını alır. Bir başka deyişle hiç bir menfaat sahibi lehine veya aleyhine uygulama yapılmaz. Bu menfaat gruplarından bazıları aşağıdaki şekilde gösterilmiştir.

12

Şekil 3: Kurumsal Yönetimde Önemli Menfaat Grupları

Kaynak: PricewaterhouseCoopers, Yönetim Kurulu ve Yöneticiler İçin TTK Eğitimi, İstanbul, 2

Mayıs 2011, s. 10.

Kurumsallık, işletmenin paydaşlarıyla belirli ilkeler dahilinde sağlıklı bir ilişki içinde olmasını, fakat onlardan tam anlamıyla bağımsız bir kişilik olarak tanınmasını gerektirir. Kurumsal olarak tanımlanan bir işletme, başta hissedarları, yöneticileri ve çalışanları olmak üzere tüm paydaşlarıyla arasındaki ilişkide makul bir mesafeyi gözetir. Bu mesafenin olmasındaki amaç, işletmenin çıkarlarını ilgilendiren kararlarda paydaşların her birinin kendi çıkarını ön planda tutabileceği varsayımıdır. Bu durumda baskın olan paydaşın şahsi çıkarları işletmenin çıkarları ile çatıştığında, işletmeyi kendi çıkarları doğrultusunda yönlendirebilir. Bu da işletmenin diğer paydaşlarının çıkarlarına aykırı bir duruma yol açabilir. İşletmeyi ilgilendiren tüm

13

kararlarda işletmenin çıkarlarının ön planda tutulabilmesi için, işletmenin yönetimi ile hissedarları arasında bir yönetim kurulu katmanının olması gereklidir. İşletme yönetimi ve hissedarlar, işletmeyi ilgilendiren kararlar alınırken kendi çıkarlarını ön planda tutma eğilimi içinde olacaklarından, sadece işletmenin çıkarlarını ön planda tutarak karar vermesi beklenen ve içerisinde bağımsız üyelerin de bulunduğu bir yönetim kurulunun bulunması, kuruma duyulan güven seviyesini tüm paydaşlar nezdinde artırır. Uluslararası kabul görmüş kurumsal yönetim ilkeleri “adillik”, “şeffaflık”, “sorumluluk” ve “hesap verebilirlik” olarak dört ana bölümde toplanmaktadır. Bu dört ana ilkeye “etkililik”, “tutarlılık” ve “katılımcılık/yayılım” ilkelerini de eklemek mümkündür (Argüden, Y.2007).

OECD modelinde ise kurumsal yönetim ilkelerini altı tanedir. Bunlar; - Etkin kurumsal yönetim çerçevesi,

- Pay sahiplerinin hakları ve adil muamele görmeleri, - Kurumsal yatırımcılar ve pay senedi piyasaları, - Menfaat sahiplerinin rolü,

- Kamuyu aydınlatma ve şeffaflık,

- Yönetim kurulunun sorumlulukları (OECD, 2015).

Sermaye piyasası kurulu (SPK) ise kurumsal yönetim ilkelerini aşağıda sıralanan ana başlıklarda incelemiştir:

- Pay sahipleri,

- Kamuyu aydınlatma ve şeffaflık, - Menfaat sahipleri,

- Yönetim kurulu (SPK, 2014).

Yönetim kurullarında bağımsız üye bulunması, işletmenin ulaştığı kurumsallık seviyesini göstermesi açısından önemlidir. Yapılan araştırmalar, Türkiye’de büyük ölçekli işletmelerde dahi bağımsız yönetim kurulu üyesi sayısının, iktisadi gelişmişlik düzeyi yüksek olan ülkelere kıyasla oldukça sınırlı kaldığını göstermektedir. Türkiye’deki “Fortune 500” büyük ölçekli işletmeler listesindeki kurumlarla yapılan bir araştırma sonuçlarına göre, bu işletmelerin sadece %42’sinde yönetim kurulunun görevleri ve %57’sinde yönetim kurulu toplantılarının nasıl düzenleneceği konuları yazılı olarak bulunmaktadır. Türkiye’de ortalama yönetim kurulu üye sayısının %33’ü bağımsız üyelerden oluşurken bu oran İngiltere ve Fransa’da %60, ABD ve İsviçre’de ise %85 seviyesindedir (Sungun, G. 2015).

14

Kurumsal Yönetim, kuruma paydaşları tarafından duyulan güvenin artırılmasını amaçlamaktadır. Kuruma paydaşları tarafından duyulan güvenin artması, kurumun başarısının ve devamlılığının sağlanmasını kolaylaştırmaktadır. Ayrıca kurumsallıkla kazanılan güçlü örgüt yapısı, görevlerin ayrılığı, hissedarlarla üst yönetim arasında köprü görevi gören bağımsız bir yönetim kurulunun bulunması gibi gelişmeler, kurum adına alınan önemli kararların daha doğru ve tutarlı olmasını sağlayarak kurumun amaç ve hedeflerine ulaşmasını kolaylaştırmaktadır.

Şekil 4: Kurumsal Yönetimin Etkileşim İçinde Bulunduğu Kurumsal Yapı

Kaynak: TKYD-Türkiye Kurumsal Yönetim Derneği, İç Denetim Açısından Yönetim Kurullarının Sorumlulukları Sunumu, 2018, s. 18.

Şekilden görüldüğü üzere kurumsal yönetim (yönetişim), iç denetimle yakın etkileşim halindedir. Bunun yanı sıra kurumsal yönetim iç kontrollerle, kurumsal risk yönetimiyle, bağımsız denetimle, yönetim kuruluyla ve yönetim kurulunun komiteleriyle de yakın iletişim ve etkileşim halindedir.

15

İç denetim biriminin görevini tarafsız ve bağımsız bir şekilde yerine getirebilmesi için, üst yönetimin ve hissedarların etkisinden uzak olması gereklidir. Bu da ancak işletmede bağımsız üyelerle güçlendirilmiş ve etkin bir şekilde işleyen bir yönetim kurulunun varlığıyla, bir başka deyişle kurumsal yönetim ilkelerinin uygulandığı bir yapıyla olur. Yönetim kurulu üyesinin “bağımsız yönetim kurulu üyesi” sayılabilmesi için, bu kişinin işletmenin yöneticisi, çalışanı, hissedarı veya işletmeden önemli ölçüde çıkarı olan bir paydaşı olmaması gerekir. Bu özelliklere sahip olan yönetim kurulu üyeleri, aynı zamanda kendi içlerinde gruplaşarak “iç denetim komitesi”, “kurumsal yönetim komitesi”, “kurumsal risk yönetimi komitesi” benzeri çeşitli komiteler oluştururlar. IIA standartlarına göre bir iç denetim biriminin tam olarak bağımsız sayılabilmesi için gereken şartlardan biri, iç denetim yöneticisinin, özlük hakları ve iş sözleşmesi koşulları yönünden yönetim kuruluna bağlı olmasını gerektirir. Dolayısıyla iç denetim ve kurumsal yönetim arasında sıkı bir bağlantı bulunmaktadır.

1.1.2.2. Kurumsal Risk Yönetimi

Kurumsal Risk Yönetimi, kurumun yönetim kurulu üyeleri, üst düzey yöneticileri ve diğer çalışanları tarafından etkilenen, kurumun amaçlarının ve hedeflerinin oluşturulması aşamasında ve bütün kurum faaliyetlerinde uygulanan, kurumu etkileyebilecek olası bütün olayların tanımlanması için tasarlanan ve kurum hedeflerinin gerçekleştirilmesine yönelik makul bir güvence sağlamak amacıyla risklerin belirlenen risk iştahı çerçevesinde yönetilmesini sağlayan bir süreçtir (COSO, 2014).

İç denetçi denetim planlarını yaparken, denetlediği kuruma en üst seviyede fayda sağlamayı amaçladığından, kurumun öncelikli risklerinin neler olduğunu bilip, denetimlerini bu alanlarda yoğunlaştırmalıdır. Bu iç denetim anlayışına “risk esaslı iç denetim” denmektedir. Dolayısıyla işletmenin sağlam bir kurumsal risk yönetimi altyapısının olması, iç denetim için sağlıklı bir plan yapılmasının altyapısının oluşturur. kurumsal risk yönetimi altyapısının yeterli olmadığı işletmelerde iç denetim, bu yapıyı geliştirmekle ilgili sorumluluklar üstlenmektedir.

Kurumsal risk yönetimi, işletmenin amaç ve hedeflerini (misyon ve vizyon) gerçekleştirmeyi amaçladığı için, bunlarla tutarlı ve uyumlu olmalıdır. İşletmeler

16

amaç ve hedeflerini gerçekleştirebilmek için kısa, orta ve uzun vadeli olarak ve işletmenin içinde bulunduğu piyasa ve rekabet koşullarını içeren kapsamlı stratejiler geliştirirler. Bu stratejiler de kurumsal risk yönetiminin faaliyetlerini hangi alanlarda yoğunlaştıracağını belirleyip aynı zamanda kurumsal risk yönetimine bir yol haritası olma özelliği taşırlar.

Şekil 5: Kurumsal Risk Yönetimi Süreci

Kaynak: AIRMIC The Association Of İnsurance And Risk

Managers, A Risk Management Standard, 2002, Londra, s.4.

Tablodan da görüldüğü gibi kurumsal risk yönetim süreci işletmenin stratejik hedeflerinden etkilenmekte ve risklerin değerlendirilmesi, raporlanması, risk tutumunun ve risklere cevap yöntemlerinin belirlenmesi ve izlemeden oluşmaktadır.

17

1.1.2.3. İç Kontrol

İç kontrol, kurumsal yapının kurulup uygulanabilmesi yönünden çok önemlidir. Gerek iç denetim, gerek kurumsal risk yönetimi ve gerekse kurumsal yönetim kavramlarının temelinde iç kontrol yapısı bulunmaktadır. Kıta Avrupası’nda iç kontrol kavramının kapsamı, tanımlanmış işlemlerin geçmişe yönelik kontrol edilmesiyle sınırlıyken, Anglosakson geleneğinde ise iç kontrol iş süreçlerinin tamamını kapsayan ve kontrol altında tutulmasını sağlayan bir yönetim uygulamasıdır.

İç kontrol, örgütün planı ile işletmenin varlıklarını korumak, muhasebe bilgilerinin doğruluğunu ve güvenilirliğini sağlamak, faaliyetlerin verimliliğini arttırmak, tespit edilmiş yönetim politikalarına bağlılığı özendirmek amacıyla kabul edilen ve uygulamaya konulan tüm önlem ve yöntemleri içerir (Güredin. E., 2014).

İç kontrol yapısının uygulamalarının; işletmenin varlıkları, mali durumu ve faaliyetleri ile ilgili kabul edilebilir bir güvence sağlanmasına büyük etkisi vardır; denetim dilinde buna “makul güvence” adı verilmektedir. Bu itibarla, bir işletmedeki tüm yöneticilerin etkin bir iç kontrol yapısı oluşturmak ve sürdürmekle ilgili sorumluluklarını kavramaları gereklidir. Etkin bir iç kontrol yapısı oluşturmaktaki amaçlar; “işletme varlıklarının korunması”, “yönetim raporlarının güvenilirliğinin sağlanması”, “kurumun hedeflerine verimli ve etkin şekilde ulaşılmasının sağlanması” ve “yasalara ve yönetimin belirlediği yönergelere uyumun sağlanması” olarak özetlenebilir (Türedi. H., 2000).

İç kontrol yapısını tanımlayan, unsurlarını ayrıntılı anlatan ve kurumlarda uygulanabilmesi için rehber niteliği taşıyan en kapsamlı model, kısaca COSO olarak da adlandırılan “Sponsor Örgütler Komitesi”dir (The Committee of Sponsoring Organizations). COSO, ABD’de beş̧ bağımsız meslek kurulusu tarafından 1990’larda oluşturulmuştur. 1992 yılında da etkin bir iç kontrol yapısının özellikleri ve kapsamını tanımlayan “COSO iç kontrol yapısı tipi” (COSO Internal Control Framework) yayınlandı. Söz konusu örnek, iş dünyasının yaşadığı küreselleşme, kurumsal yönetim ilkelerinin gelişmesi, örgüt yapılarının gittikçe daha karmaşık hale gelmesi, yasal mevzuatın çeşitlenip derinleşmesi, teknolojik gelişmeler ve hile ile mücadele ihtiyacının artmasıyla birlikte 2013 yılında yenilenmiştir. İlk yayınlandığı

18

şekliyle COSO piramidi olarak tek boyutlu ele alınan yapı, daha sonraki sürümde üçboyutlu COSO küpüne dönüşmüştür. (COSO Internal Controls, 2014).

İşletmelerde iç kontrol yapısının tatmin edici ölçüde uygulanabilmesi, iç kontrol bileşenleri ile mümkündür. COSO modelinde bu bileşenler, “Kontrol Ortamı”, “Risklerin Değerlendirilmesi”, “Kontrol Faaliyetleri”, “Bilgi ve İletişim” ve “İzleme” olmak üzere beş adettir (Moeller. R., 2014).

İç denetçi, denetlediği kurumun iç kontrol yapısının etkinliğini bilmeli ve denetim planlarını buna göre şekillendirmelidir. Kurumun iç kontrol yapısını düzenleyerek etkin şekilde çalışmasını sağlamak üst yönetimin sorumluluğunda olmakla beraber, bu yapının yeterliliğini ve etkin şekilde çalışıp çalışmadığını denetlemek de iç denetimin görevleri arasındadır. Bu anlamda iç denetim birimi, iç kontrol yapısının kurulması, geliştirilmesi ve etkin şekilde uygulanması konusunda yönetime güvence verilmesi kapsamında çalışmakta; hem iç kontrol yapısını çalışmalarında kaynak olarak kullanmakta, hem de bu yapının gelişimine sürekli ve önemli ölçüde katkı sunmaktadır.

Günümüzde uygulanabilirlik durumları farklı olmakla birlikte, çeşitli iç kontrol modelleri kullanılmaktadır. Bu modellerin bir kısmı kurumun tüm iç kontrol yapısına yönelik iken (COSO modeli gibi), diğer bir kısmı ise iç kontrolün belirli bir alanına; örneğin bilgi sistemlerine odaklıdır (CobiT, eSAC, SysTrust modelleri gibi). Tüm bu iç kontrol modellerinin kurulmasından işletmenin yönetimi sorumludur; fakat sistemin etkin çalışmasından kurumun farklı paydaşları sorumludur.

19

Tablo 3: İç Kontrol Modellerinden Bazılarının Kıyaslanması

Kaynak: Varlı T.A., Bilgi Sistemleri Denetiminde BDDK Yaklaşımı, Bilgi Teknolojileri

Denetimi Sempozyumu, İstanbul, 2006, s. 121-143.

1.1.3. İç Denetim Türleri

İç denetimin çalışma evreni kurumun tüm faaliyetlerini kapsar. Dolayısıyla farklı iç denetim türleri ortaya çıkmıştır. Bu alanlardan en yaygın olanlardan bazıları şunlardır:

1.1.3.1. Mali Denetim

Mali denetimde; denetlenen kurumun yönetiminin sorumluluğu dahilinde hazırlanmış olan mali tablolar ve bunlara bağlı olarak hazırlanmış olan dip notlar denetlenir. Söz konusu mali tabloların ve dip notların muhasebe kavram ve standartlarına kıyasla durumu, mali tablolarda yer alan kalemlerinin değerlemesi için kullanılan yöntemlerinin uygunluğu, dipnotların doğruluğu ve tamlığı konuları denetlenir. Bağımsız mali denetimin kapsamı bu kavramlarla sınırlı olmakla beraber mali iç denetimde ise mali tabloların doğruluğu hakkında görüş beyan edilebileceği gibi kurum içi belirlenmiş yönergelere uyum, işletmenin yıllık bütçe hedefleriyle

20

kıyaslama, işletmenin gelir ve giderlerinin verimlilik ve etkinliği, daha önce yönetim tarafından belirlenmiş olan hedeflere uygunluk gibi konular da denetimin kapsamına girebilir (Badara, M.S., 2012).

1.1.3.2. Faaliyet Denetimi

“Faaliyet denetimi, örgütün belirli bir faaliyetine ait süreçlerin verimlilik ve etkinliğinin değerlendirilmesidir. Faaliyet denetimi sonucunda denetçi, denetlendiği faaliyetlerin geliştirilmesine dair öneriler içeren bir raporu üst yönetime sunar. Faaliyet denetimi, mali tabloların denetimiyle sınırlı değildir; örgüt yapısının, bilgi sistemleri süreçlerinin, üretim yönetiminin, satış ve pazarlama süreçlerinin, kısacası iç denetçinin yetkin olduğu tüm konuların denetimini içerebilir. Denetlenen konuların çeşitliliği, faaliyet denetiminin özelliklerinin ve denetim tekniklerinin net olarak ortaya konmasını zorlaştırmaktadır. Ayrıca faaliyetlerin verimlilik ve etkinlik seviyesinin önceden belirlenmiş olan ölçütlere ne derecede uygun olduğunun tarafsız olarak değerlendirilmesi, mali tabloların belirli muhasebe ilkelerine uygunluğu hakkında görüş bildirmekten daha zordur. Bu nedenle faaliyet denetimi, bir güvence hizmeti olmasının yanı sıra bir danışmanlık hizmeti olarak da değerlendirilebilir (Arens, Elder ve Beasley, 2014).

Faaliyet denetimi, kurumun ana faaliyetleri, mali kontrolleri ve bilgi sistemleri dahil tüm yönleriyle bağımsız bir bakış açısıyla gözden geçirilmesidir. İşletme faaliyetlerinde önceden belirlenmiş hedeflere ne ölçüde ulaşılabildiğinin düzenli bir şekilde incelenmesini içerir. Bu inceleme, işletmenin iç kontrol yapısının yeterliliği, etkinliği, faaliyetlerinin verimliliği, mali verilerinin güvenilirlik düzeyi ve yasa ve mevzuata uyumun değerlendirilmesini içerir (Moeller R., Witt H., 1999, p.21-22). Faaliyet denetiminin amacı; işletme yönetiminin hedeflere ulaşabilme açısından başarı düzeyini ortaya koymaktır. İşletmenin kullandığı kaynakların verimlilik ve etkinliğinin ölçülüp varlıkların olası zarar ve kayıplardan ne ölçüde korunabildiği, karlılık hedeflerine ulaşabilme konusundaki etkinliği değerlendirilerek yönetime güvence verilir. Faaliyet denetimi, iç denetime özgü denetim konularındandır. Sadece mali sonuçlar değil, örgüt yapısının uygunluğu, üretim veya hizmet süreçleri,

21

personel politika ve uygulamaları gibi kurumun tüm işlevleri bu denetimin kapsamına girebilir.

Faaliyet denetimi, aşağıdaki konularda mali denetimden ayrılmaktadır (Arens, Elder ve Beasley, 2014):

-Denetimin amacı: Mali denetimin amacı, geçmiş mali verilerin belirlenmiş

muhasebe ilkelerine uygunluğu hakkında görüş bildirmek iken, faaliyet denetiminin amacı, örgütün faaliyetlerinin verimlilik ve etkinliği hakkında görüş bildirmektir.

-Denetimin odaklandığı zaman dilimi: Mali denetim, geçmişe yönelik hazırlanan

mali tablolarla ilgilenmekteyken faaliyet denetimi ise daha çok örgütün gelecek etkinlik ve verimliliğini geliştirmeye odaklıdır.

-Rapor sunulacak makam: Mali denetimde denetçilerin hitap ettiği makam yönetim

kurulu veya mali kurumlar gibi işletmenin dışındaki taraflarken faaliyet denetiminde ise işletme üst yönetimi muhatap alınır.

-Raporun düzeni: Bağımsız denetçi raporunda hitap edilen grup işletme dışından

çeşitli paydaşlar olduğundan ve iç denetimin konusu belirgin olduğundan, iç denetçi raporu gayet belirgin bir yapıdadır. İç denetimde ise hitap edilen grup işletme yönetimi olduğundan ve denetimin içeriği oldukça değişken olabildiğinden, rapor şekli de oldukça esnek ve değişkendir.

-Mali olmayan konuların dahil edilmesi: Bağımsız denetçi raporuna sadece mali

tablolara etkisi olan konular dahil edilmekteyken, faaliyet denetim raporunda ise sadece işletmenin verimlilik ve etkinliğine etkisi olan konular dikkate alınır.

1.1.3.3. Bilgi Teknolojileri Denetimi

Bilgi teknolojileri denetimi, kurumun tüm teknolojik altyapısının denetlenmesidir. Söz konusu altyapı; donanım, yazılım, güvenlik ve bilgiye erişim konularını içermektedir. Bilgi teknolojileri süreçlerindeki kontroller, genel bilgi teknolojileri kontrolleri ve uygulama kontrolleri olarak iki sınıfta incelenmektedir. Bilgi teknolojileri denetimi de bu kontrollerin tasarımı ve işletilmesine ilişkin sunulan güvence hizmetidir (Özbek, 2012).

22

Günümüzde işletmenin muhasebe kayıtlarının gün geçtikçe daha fazla oranda bilgi teknolojileri tarafından otomatik olarak oluşturulması ve kurumun verilerinin elektronik ortamda saklanması, bilgi teknolojileri denetiminin iç denetim içindeki ağırlığını ve önemini sürekli artırmaktadır.

Bilgi teknolojileri alanındaki iç denetimler, bu alana özgü olarak geliştirilen ve kullanılmakta olan kontrol modelleri üzerinden yapılmaktadır. Bunlardan bazıları GAIT (Bilgi sistemleri risklerini değerlendirme rehberi), ISACA (Bilgi sistemleri denetim ve kontrol derneği), COBIT, “Val IT”, “Risk IT”, “NIST SP 800-37” tir (Sawyer’s, 2016).

1.1.3.4.Hile Denetimi

Hile, veya diğer adıyla suiistimal (fraud), sahtekarlık, emniyeti kötüye kullanma ile nitelendirilebilecek hukuk dışı fiillerdir. Hile, para, mal veya hizmet sağlamak, hizmet kaybından veya ödeme yapmaktan kaçınmak, şahsi veya işle ilgili bir çıkar sağlamak amaçlarıyla çeşitli taraflar ve kurumlar tarafından gerçekleştirilebilir (Türkiye İç Denetim Enstitüsü, TİDE, 2011).

Hile, bir başka kişi veya grubun zararına neden olacak şekilde, çıkar sağlamak amacıyla, kasıtlı olarak aldatma faaliyetinde bulunmaktır. Mevcut hile vakalarının ortaya çıkarılması için yapılan çalışmalar ve hilenin yapılmasını önlemeye yönelik çalışmalar, hile denetiminin konusunu oluşturmaktadır. Hile; çalışan hileleri, hileli mali raporlama ve yolsuzluk ve ahlaki olmayan davranışlar şeklinde üç ana bölüme ayrılmaktadır. Çalışan hileleri de doğrudan nakit hileleri, fatura hileleri, bordro hileleri, çek hileleri, gider hileleri, satışlara yönelik hileler, alacak tahsilatlarıyla ilgili hileler ve işletme stoklarıyla ilgili hileler olarak bölümlere ayrılmaktadır.

Hile denetimini meslek edinenleri bir araya getiren uluslararası örgüt, “The Association of Certified Fraud Examinar”, veya kısaca ACFE’dir. ACFE’nin yaptığı araştırmalara göre ABD’de işletmelerin hile nedeniyle kayıpları ortalama olarak net satış gelirlerinin %6’si kadardır. (Bozkurt, N., 2011).

Hile denetimi, iç denetim biriminin doğrudan sorumlu olduğu bir alan değildir. iç denetim ekibinde hile denetimi konusunda uzman iç denetçilerin bulunması

23

durumunda, hile ile ilgili güvence hizmeti verilebilir. Aksi halde, iç denetim birimi bu hizmeti dış kaynak kullanarak yerine getirebilir.

İç denetçiler, çalıştıkları kurum içindeki hile belirti ve olasılıklarına karşı uyanık olmalıdır. İç denetçiler, iç kontrollerin yeterliliğini ve etkinliğini inceleyip değerlendirerek hileyi önleme konusunda hizmet vermelidir. İç denetçiler, kurumun varlıklarının zimmete geçirilmesine ve gerçeğe aykırı bilgiler beyan edilmesine yönelik teşebbüsleri engelleyebilmek için önleyici denetimler ve veri madenciliği benzeri bilgi sistemleri destekli kontrol sistemlerinden yararlanabilirler (TİDE, 2009).

1.1.3.5. Uygunluk Denetimi

Uygunluk denetiminin amacı; işletme içinden veya kamu otoritesi tarafından belirlenmiş olan yasa, politika ve yönerge benzeri kurallara kurumun ne ölçüde uyduğunun tespit edilmesidir. İşletmelerde bu tür denetimler iç denetim ekibi tarafından, kamu kuruluşlarında ise kamu denetçilerince yerine getirilir (Bozkurt, N., 2012).

Uygunluk denetimi yönergesi, işletme süreçlerinin belirli sözleşme, yasa veya kurallarla ne ölçüde uyumlu olduğunu belirlemek amacıyla yapılan gözden geçirme çalışmalarını içerir (Osmond, V., 2010).

Günümüzde vergi, sosyal güvenlik, toplumsal sosyal sorumluluk, çevre, sosyal uygunluk ve benzeri bir çok alanda yasal mevzuatın gittikçe ayrıntılı hale gelmesi ve sıklıkla değişmesi, işletmeleri yasalara uyum konusunda daha dikkatli olmaya yöneltmektedir. Bazı işletmelerin yurt dışındaki faaliyetlerini çeşitlendirmesi ise iş yapılan ortamlardaki farklı yasalara uyum konusunu gündeme getirmektedir. Özellikle büyük işletmeler, marka değerlerini koruyabilmek ve toplum nezdinde saygınlıklarını sürdürebilmek için yüzde yüz yasalara uyumu hedeflemektelerdir. Dolayısıyla uygunluk denetimlerinin, işletmelerin iç denetim birimleri açısından önemi hiç azalmamaktadır.

Uygunluk denetimi bazı kurumlarda özel uygunluk denetçileri (compliance officer) tarafından yerine getirilmektedir. Böyle kurumlarda uygunluk denetimleri, iç denetim birimi faaliyet alanının içinde veya dışında yer alabilmektedir.