The Past, the Enron, and the Future of Audit

Denetim, terim olarak İngilizce’de audit kelimesi ile kendine karşılık bulur. Kökenini oluşturan Latince kelime olan audire ise, dinlemek, işitmek anlamına gelmektedir (Kaptein, 1998). Dünyanın en eski mesleklerinden biri olup, M.Ö. 3500 yıllarına kadar geri giden Mezopotamya kayıtlarından çıkarılabilmektedir. Çoğunluğu mali işlemleri içeren bu kayıtlar, günümüzdeki kapsamının ilk adımları olarak da nitelendirilebilecek şekilde , gerekli görüldüğü noktalarda bir soruşturma sistemi olarak yorumlanabilecek çeşitli işaretler içermektedir. Bunun yansıra, Antik Çağ zamanlarında, Yunan şehir devletlerinde tesis edilmiş etkin bir denetim sisteminin olduğu bilinir. Benzer denetim uygulamalarına Mısır ve Roma uygarlıklarında da rastlanırken; Çin’de denetimin M.Ö. 1100 yılında, Zhou Hanedanlığı döneminde başlamış olduğuna inanılmaktadır (Khan, 1995). İç kontroller ve görev dağılımının ortaya çıkışı, bazı kaynaklar göre aynı döneme rastlamaktadır. Bu yüzdendir ki, genel kabul görmüş fikir birliği, Mısır, Yunan, Çin, Pers ve İbrani kayıtlarının da benzer sistemlere işaret etmesi yönündedir. Antik Roma’da memurların kendi yapmış oldukları kayıtları diğerlerinin kayıtları ile karşılaştırdığı bir hesap sorgusu sistemi oluşturulmuştur. İşte audit teriminin oluşması da bu hesap sorgusunun bir sonucudur (Bozkan, 2014).

Genel anlamda denetim, bir işin doğru ve yönetime uygun olarak yapılıp yapılmadığını incelemek, murakabe etmek, teftiş etmek, kontrol etmektir. Muhasebe denetimi bu tanıma uyar; ancak anlam kapsamı daha özeldir. Birden fazla tanımı olmakla beraber, Denetim Kavramları Komitesi, muhasebe denetimini şu şekilde tanımlamaktadır: İktisadi faaliyet ve olaylarla ilgili iddiaların önceden saptanmış ölçütlere uygunluk derecesini araştırmak ve sonuçları paydaşlara bildirmek amacıyla tarafsızca kanıt toplayan ve bu kanıtları değerleyen sistematik sürece denetim adı verilir (Güredin, 2014).

Mesleki bir unvan olarak denetçi, ilk defa 13. yüzyılda İngiltere'de kullanılmıştır. Başlangıçta denetçiler, çoğunlukla muhasebe kayıtları ve defter tutma üzerine odaklanarak bu alanlarda yapılan hilelerin ortaya çıkartılması ile ilgileniyordu. Sonraki aşamalarda ise, özellikle işletme yapılarının gelişmesi ve ticari hacimlerin büyümesiyle birlikte, denetçiler genel kabul görmüş muhasebe ilkeleri çatısı altında basit anlamda muhasebe kayıtları ve defter tutma odağından çok daha gelişmiş alanlara kayarak; gelir ve kar performans ölçütlerinin doğru sunumunu doğrulama işlevine geçmişlerdir (Sorin ve diğerleri, 2008).

Profesyonel denetçiliğin ilk örgütü 16. yüzyılda İtalya’da kurularak faaliyete geçmiş ve özellikle Sanayi Devrimiyle birlikte, Avrupa'da muhasebe kayıtlarının incelenmesi ve belgelendirme gibi günümüzde yapılan denetim ile benzer özellikler taşıyan bir denetim yapısı o zamandan oluşturulmaya başlanmıştır.

Bugün denetim türleri mali tablo denetimi, uygunluk denetimi ve de faaliyet denetimi olmak üzere üç ana çatıda toplanmıştır. Mali tablo denetimi, işletmenin savlarının doğru, dürüst ve genel kabul görmüş muhasebe ilkelerine ve yasalara uygunluğu üzerinden ve bağımsız denetçi tarafından yapılır. Diğer taraftan, uygunluk denetimi, işletme içerisinde tepe yönetimin ve ya örneğin devlet kurumları gibi otoriteler tarafından konulmuş kurallara uygunluk derecesini denetler. Son olarak 1960lar ile önem kazanan faaliyet denetimi, işletme yönetimine öneri ve danışmanlık seviyesinde etken ve etkinlik üzerine yapılan bir denetim türüdür. Günümüzde denetçileri bağımsız, kamu ve iç denetçi olmak üzere üçe ayırmak mümkündür.

Denetim, sektörel fark, işletme çeşidi ya da yapısal büyüklük gibi kriterler ile sınırlı kalmaz. Buna en güncel örnek, Vatikan ve Papalık’tır. 2007-2008 küresel kriz sürecinde zayıf iç kontroller yüzünden yerel düzenleyiciler tarafından kara listeye alınan Vatikan, 2014 yılında 26 milyon Euro’luk bir zarara maruz kalmıştır (Financial Times, 2015). 2015 yılı başlarında ise, yapılan incelemeler neticesinde hesaplarında yaklaşık 1 milyar Euro seviyesinde bir açık ortaya çıkmış olup sadece 2001 ile 2008 arasında 29 adet gayrimenkul satışı yaparak yüksek miktarlarda suiistimal meydana gelmiştir. Uzun yıllar boyu zaten adı yolsuzluklarla gündeme gelen Vatikan Bankası ve Papalık, ekonomik durumu hakkında şeffaf bir bilgi sahibi olabilmesi adına varlıklarını denetlemesi için PricewaterhouseCoopers ile anlaşmıştır (Wall Street Journal, 2015; Pullella, 2018).

En yalın anlatımıyla bağımsız denetim, bir makul güvence hizmetidir. Mali tablo okuyucularının verecekleri kararlarda, o tabloların tarafsız ve güvenilir birer rapor olduğuna emin olmaları gerekir. Aksi takdirde, kandırılmış olacaklar ve bütün bir piyasa düşünüldüğünde, ekonomik açıdan büyük tahribatlar meydana gelecektir. Bu bağlamda, bağımsız denetim, hisse senetleri menkul kıymet borsalarında ve/veya herhangi diğer piyasalarda işlem gören anonim ortaklıklar, hisse senetleri halka arz edilmiş olan veya arz edilmiş sayılan ortaklıklar, aracılık faaliyetlerine münhasır olmak üzere bankalar, aracı kurumlar, portföy yönetim şirketleri, yatırım fonları, emeklilik yatırım fonları, yatırım ortaklıkları, konut finansmanı fonları, varlık finansmanı fonları, ipotek finansmanı kuruluşları gibi kuruluşların finansal tablo ve diğer finansal bilgilerinin, finansal raporlama standartlarına uygunluğu ve doğruluğu hususunda, makul güvence sağlayacak yeterli ve uygun bağımsız denetim kanıtlarının elde edilmesi amacıyla, denetim standartlarında öngörülen gerekli bağımsız denetim tekniklerinin uygulanarak defter, kayıt ve belgeler üzerinden denetlenmesi ve değerlendirilerek rapora bağlanmasıdır. Bahsi geçen işletmelerin yıllık finansal tablo ve diğer finansal bilgilerinin mutlak yerine makul güvence seviyesine getirilmesini amaçlar (Bağımsız Denetim Yönetmeliği, 2012; Sermaye Piyasası Kurulu, 2015). Bu faaliyeti yürütecek olan bağımsız denetçi, bağımsız denetim faaliyetini ifa etmek üzere, mesleki bilgi ve deneyime sahip, şüpheci, bağımsız davranabilen ve yüksek ahlaki nitelikler taşıyan uzman bir kişidir. Uluslararası Denetim Standartları, denetçiden mesleki yargı ve mesleki şüpheciliğini kullanarak, işletmenin ve çevresinin, iç kontrol sistemi de dahil olmak üzere anlaşılabilmesine dayanak olmak üzere, hile ve hatalara bağlı olarak önemli yanlışlık riskini tanımlamasını ve değerlendirmesini, değerlendirilen risklere karşılık gelecek uygun bir karşılık ortamını oluşturarak, önemli yanlışlıkların olup olmadığını ortaya koyacak yeterlilik ve uygunlukta kanıtları elde etmesini, elde edilen kanıtlardan gelen sonuçları temel alarak, finansal tablolar hakkında bir görüşü de içeren denetim raporu düzenlemesini, sonrasında vermiş olduğu görüşünü, uygulanabilir finansal raporlama çerçevesi ve ilgili yasa ve de düzenlemelere bağlı olarak biçimlendirerek, son olarak da görüş içeren raporun ve varsa diğer bilgilerin ilgili taraflara iletilmesi konusunda iletişim sorumluluğunu yerine getirmesini beklemektedir (Bozkurt, 2011).

İç denetim, işletmenin faaliyetlerini geliştirmek amacıyla oluşturulmuş tarafsız, bağımsız bir faaliyettir. İç denetim, karar vericilere ve yönetim kuruluna tarafsız bir güvence ile kurumun risk yönetimi, kurumsal yönetim durumu ve kontrol süreçleri hakkında yelpazesi çok çeşitli konularda bilgi sağlar. Güçlü, güven tesis eden ve sağlam bir iç denetim yapısı uzun vadeli bir zaman ve sabır yatırımı ile ancak mümkün olabilir (Swanson, 2010). Kontrol faaliyetlerini sadece denetlemekle kalmaz; işletmenin risk profilini de gözlem altına alarak risk yönetimini güçlendirmek üzere önlemleri de gözden geçirir. Bu bağlamda eğer iç denetçi risk seviyelerini tahlil etmekte yetkinlik sahibi değilse, o zaman geleneksel bir “checklist” doldurmakla yetinmiş olacaktır (Lindow ve Race, 2002). 20. yüzyılın ilk yarısından itibaren geniş ve karmaşık yapıdaki işletmelerin hızla çoğalmasıyla birlikte denetim fonksiyonunun gelişimi hızlanmıştır. Bunun sonucunda denetim uluslararası nitelikte örgütlenmelere ihtiyaç duymaya başlamıştır. Modern anlamda iç denetim faaliyetlerinin önem kazanması, 1941 yılında Amerika Birleşik Devletleri'nde Uluslararası İç Denetim Enstitüsü' nün (IIA) kurulmasıyla başlamıştır. IIA, iç denetim mesleği için lisans sertifikaları, eğitim, araştırma ve teknolojik yardım sağlayan bir otorite olarak dünya çapında tanınmaktadır. Sloganı “Progress through sharing” yani "Paylaşım yoluyla gelişme" olup, profesyonel iç denetim uygulamaları için uluslararası standartlar ortaya koymaktadır (Ergüden ve diğerleri, 2017).

İç denetimin öneminin artmasına neden olan kilometre taşlarından en öne çıkanlar Büyük Buhran sonucunda 1930’da kurulan Security Exchange Commission, 1941’de kurulan Uluslararası İç Denetim Enstitüsü (Institute of Internal Auditors – IIA, 1958’de kurulan The Committee of Sponsoring Organizations of the Treadway Committee (COSO), 1989’da IIA tarafından İç Denetim Standartları’nın yayınlanması, 1992’de COSO tarafından İç Kontrol Çerçevesinin yayınlanması ve yine aynı sene İngiltere'de Cadburry Komisyonu tarafından Cadburry Raporu’nun yayınlanması olarak özetlenebilir.

Ülkemize bakıldığında, 1995 yılında IIA'in Türkiye şubesi olarak Türkiye İç Denetim Enstitüsü (TİDE) kurulmuş olup Türkiye de artık faal olarak bu büyük sistemin bir parçası haline gelmiştir. Kronolojik olarak devam ettiğimizde, 2002’de Arthur Andersen’i de tarihin derinliklere gömerek patlak veren Enron Skandalı sonrası Amerika'da Public Accounting Reform and Investor Protection Act adı altında Sarbanes-Oxley Yasası’nın kabul edilmesi, 2006’da COSO tarafından Kurumsal Risk Yönetimi Çerçevesi’nin yayınlanması konumuzu yakından ilgilendiren en önemli olayların özeti olarak tanımlanabilir.

Günümüzde iç denetim, gerek hacim gerekse de etkinlik bakımından önemli bir meslek haline gelmiştir. Bu gelişim süresi içinde mesleki birlik oluşmuş olup; iç denetimin kapsamı mali denetimden faaliyet denetimine doğru genişlemiş ve iç denetim konusunda kapsamlı ve geniş bir literatür oluşmuştur (İçdenetim Merkezi, 2015).

Yaşanan skandallar sonrasında, daha şeffaf olmanın yolları aranırken, denetim komitesinin işlevsel gerekliliği ortaya çıkmıştır. Özellikle ülkemize bakıldığında, denetim komitelerinin geçmişinin ortalama on yıl gibi kısa bir ömrü olduğu görülür. Komite üyelerinin her birisinin iç kontrol, risk yönetimi, kurumsal yönetim, iç denetim ve dış denetim konularında teorik ve pratik eğitim almaları sağlanmalıdır. Türk Ticaret Kanunu da, kurumsal yönetim ilkelerini kanunun ana eksenine oturtmuştur ve dolayısıyla da işletme yonetiminin tum faaliyetlerinde, pay ve menfaat sahiplerine eşit davranmasını ve olası çıkar çatışmalarının önüne geçilmesini hedefleyen eşitlik, ticari sır niteliğindeki ve henuz kamuya açıklanmamış bilgiler hariç olmak uzere, işletme ile ilgili finansal ve finansal olmayan bilgilerin, zamanında, doğru, eksiksiz, anlaşılabilir, yorumlanabilir, duşuk maliyetle ve kolay erişilebilir bir şekilde kamuya duyurulmasını hedefleyen şeffaflık, yönetim kurulu üyelerinin esas itibariyle anonim şirket tu zel kişiliğine ve dolayısıyla pay sahiplerine karşı olan hesap verme zorunluluğunu hedefleyen hesap verebilirlik ve son olarak, yo netimin işletme adına yaptığı tu m faaliyetlerin mevzuata, esas so zleşmeye ve işletme içi du zenlemelere uygunluğunu ve bunun denetlemesini hedefleyen sorumluluk ilkelerinin altını kalın çizgilerle çizer. Turk Ticaret Kanunu’nda işletmelerde istenen kurumsal yo netim yapılanması, etkin iç denetim ve doğru yapılandırılmış̧ bir denetim komitesi ile daha butuncul ve guçlu bir hale donuşmekte olup; ulkemizde kurumsal yo netimin yaygınlaştırılması için etkin iç denetim faaliyetlerini uygulamak, denetim komiteleriyle de bu yönetim ve denetim sistemini desteklemek temel hedef olmalıdır (Yakar, 2015).

İç kontrol, kurumun faaliyetlerinin verimli, finansal raporlarının düzenli ve muhasebe kurallarına uygun olmasını sağlayan işletme yönetimi ve personeli tarafından hayata geçirilen, belirlenmiş hedeflere ulaşmasında ve misyonunu gerçekleştirmesinde makul bir güvence sağlamak üzere tasarlanmış ve kurumun genelini etkileyen bütünleşmiş bir süreçtir. İç kontrol açısından bakıldığında, kurumların önde gelen hedefleri faaliyetlerin etkin ve verimli hale getirilmesi, mali raporların güvenilir olması, yürürlükteki mevzuata uygun bir yol haritası izlenmesi ve varlıkların korunmasıdır. Kurumlar bu hiç de kolay olmayan hedeflerine ulaşmakta iç kontrol sistemini kullanırlar. Ancak iç kontrol sistemi, kurumun birbirinden çok farklı etkinlik seviyelerinde faaliyet gösterir. David Norton ve Robert Kaplan’ın Kurumsal Karne ismiyle Türk literatürüne giren Balanced Scorecard (Kaplan ve Norton, 1995) çalışmalarının inşasına ışık tutan çok önemli bir motto vardır: “Kurumlar yönetebilmek ve iyileştirebilmek için ölçebilmek zorundadır.” Bu bağlamda, bir benzerlik çerçevesi içerisinde iç kontrol için de geçerlilik gösterebilir. Bahsedilen faaliyetlerin ne kadar etkin yürütüldüğü, önemli kriterlerle çizilmiştir. Şöyle ki, öncelikle olarak tepe yönetim ve tüm karar vericilerin çalıştıkları kurumun iç yapısını, o kurumun hedeflerinin ne olduğunu, misyon ve vizyonunu, o hedeflere ulaşmak adına yapılan faaliyetlerin kapsamını, bu faaliyetlerin yer aldığı çevreyi ve bu hedeflere ulaşmakta karşılaşılabilecek riskleri anlamalarına doğrudan bağlıdır. Diğer yandan, tüm çalışanların eğitimlerden geçirilerek kurumda daimi bir iç kontrolün uygulanmasına yönelik sorumluluk bilincine, gerekli bilgiye ve yetkinliklere, yeteneğe ve de yetkiye sahip olmaları da gerekmektedir. Finansal olmayan kısımların yanı sıra, doğal olarak bir de finansal kısma ait bazı yerine getirilmesi gereken kriterler de mevcuttur. Kurum tarafından yayınlanan mali raporların güvenilir bir biçimde hazırlanması hayati önem taşımaktadır. Özellikle kamuya hesap verme yükümlülüğü göz önüne alındığında, kurum içi veriler kurum dışını direkt olarak etkileyeceğinden dolayı, finansal raporlar mutlak suretle doğru ve güvenilir olmalıdır. Kurum iç dinamiklerinin, özellikle bahsi geçen hesap verme yükümlülüğünden hareketle, yasa ve yönetmeliklere tam uygunluğu şarttır (COSO, 1992).

COSO raporunda bulunan iç kontrol tanımı; "Organizasyonların yönetim kurulu, yöneticileri ve çalışanları tarafından yönlendirilen, operasyonların etkinliğin ve verimliliğin, mali raporlama sisteminin güvenilirliği ile yasa ve düzenlemelere uygunluğun elde edilmesinde gereken makul güvenceyi sağlamak için tasarlanan bir süreçtir." olarak tanımlanmaktadır. İç kontrolün tarihini kısaca incelediğimizde görüyoruz ki, toplumdaki iç kontrolün bir süreç olarak karmaşıklığı; yine o toplumdaki mülkiyet haklarının karmaşıklığı ile bir ilişki göstermektedir (Wilson ve diğerleri, 2014).

Her ne kadar COSO iç kontrolün esaslarına ilişkin gelinen en kapsamlı yapıt olsa da, COSO’nun devrim niteliğindeki reformları önceki bölümlerde bahsedilmiş olan Enron ve Arthur Andersen gibi devlerin skandallara karışarak yok olmalarına engel olamamıştır (Babineck, 2002). Bahsi geçen skandallardan özellikle Arthur Andersen olayı, kanun dışı muhasebe uygulamaları ve görevi kötüye kullanmalar sonucunda Amerika Birleşik Devletleri’nde federal yasa ve kanunların denetim ve iç kontrol mevzuatlarıyla direk iç içe geçmesine; “Şirketlerin finansal raporlamaları üzerindeki kontrollerin iyileştirilmesini amaçlayan ve aynı zamanda etkin kurumsal yönetimi destekleyen bir çaba olarak görülen Halka Açık Şirketler Muhasebe Reformu ve Yatırımcıyı Koruma Yasası” (PWC, 2015) veya diğer adıyla Sarbanes-Oxley Yasası’yla neden olmuştur (SOX, 2002). SOX, Amerika Birleşik Devletleri’ndeki borsalarda işlem gören halka açık şirketlerin tamamını kapsayacak şekilde 30 Temmuz 2002’de imzalanmış olup ilgili yasanın 302 ve 404 numaralı maddeleri çerçevesinde şirketlerin finansal raporlamaları üzerindeki risklerin belirlenmesi, belirlenen risklere ilişkin kontrollerin yazılı olarak kaydedilmesi ve değerlendirilmesi zorunlu tutulmuş, kontrollerin etkinliğinden şirket yöneticileri direk olarak sorumlu tutulmuştur. Yasa ile birlikte gelen ağır cezai yaptırımlar şirket yöneticileri başta olmak üzere tüm çıkar sahiplerini ve bağımsız denetçileri derinden etkilemiş, yasaya tabi tüm şirketler finansal raporlamaya yönelik iç kontrollerinin iyileştirilmesi için kapsamlı projeler başlatmışlardır (PWC, 2015).

Basit mülkiyet hakkı kurallarına sahip toplumlarda, iç kontrol korumasına sahip paydaşların sayısı az olmakla birlikte, daha karmaşık yapılı mülkiyet hakkı kurallarına sahip toplumlarda, iç kontrol korumasına sahip paydaşların sayısı daha fazla olabilmektedir. Örnek olarak, Amerika Birleşik Devletleri’nde iç kontrol sisteminin büyüme ve gelişimi ve finansal raporlama süreçleri, ticari işlemlerin karmaşıklığındaki artışı ve başkalarına ait varlıkların korunmasındaki başarısızlıkları takip etmektedir. Gerek az karmaşık gerekse de çok karmaşık olması fark etmeksizin, en basit örnekle görevler ayrılığı ilkesini hayata geçirememiş bir işletmenin başı dertten kurtulamaz. Örneğin, işletme çatısında paraya imza yetkisi bulunan kişi, yapılacak ödemelere de yetki verebiliyorsa, bu durum görevler ayrılığı ilkesini görmezden gelmiştir (Singleton ve Singleton, 2010). İç kontrol, kurumun hedeflerine ulaşılmasında üst yönetime ve idarecilere makul bir güvence sağlar ve karşılaşacakları riskleri anlamalarına yardımcı olur. Kurumlarda süregelen iç kontrol sistemi, hataların ortaya çıkarılması ve risklerin önlenmesi bakımından makul bir güvence sağlar. Bu sistemin kuruma sağlayacağı faydayı sürekli kılmak adına yönetim kademelerine önemli işler düşmektedir. Şöyle ki, etkin bir iç kontrol sisteminin kurulması ve sağlıklı bir biçimde işletilmesi yönetimin sorumluluğundadır. Bu bağlamda, yönetime düşen en önemli vazifelerden birisi de iç kontrol yapısının etkinliğini muntazam bir şekilde izlemek ve gözden geçirmektir (İbiş ve Çatıkkaş, 2012).

Risk denetimi ise; finansal ve yönetsel sistem ve kontrol mekanizmalarının risk, hata ve zayıflıkların belirlenmesi ve iyi uygulama örneklerinin yaygınlaştırılması yoluyla mevzuata uygunluk, yönetim ve davranış standartları ile iç kontrollerin denetimi konularına yoğunlaşan bir denetim türüdür (Uyar, 2006). Yapı itibarıyla, risk odaklı bir denetim, kısmen daha geleneksel denetimden bir adım daha ileri giderek, risk, risk yönetimi, kontrol, iç kontrol, iç denetim ve COSO yaklaşımı derinlemesine inceleyerek bir yol haritası çizer. COSO çatısı altında sadece risk yönetimini ele almaz ve risk-değer ilişkisi, kontrol türleri ve iç kontrol prensiplerini ele alır. Risk odaklı bir denetim yaklaşımı, risk değerlendirmesini risk modelinin geliştirilmesi, riskleri önceliklendirme, risk bazlı iç denetim planının geliştirilmesi ve son olarak denetim ve kaynak planlaması olarak alt birimlere böler.

Günümüzde, denetim çalışmalarında esas alınacak bir anlayış için, Uluslararası Denetim Standartları artık risk tabanlı bir denetim yaklaşımını kabul etmektedir. Bu yaklaşım, risk değerlendirme aşaması, riske karşılık verme aşaması ve son olarak raporlama aşaması olmak üzere üç ana başlıkta toplanır ve genellikle “3R” olarak da bilinir (Bozkurt, 2011). Küreselleşmenin beraberinde getirdiği bir gerçek, sermayenin artık sınırsızca transferidir. Bugün bir yatırımcı dilediğinde kendi ülkesine ek olarak dünyanın herhangi bir yerinde mevcut olan bir kurumda hisse sahibi olabilmektedir.

Geleneksel iç denetim anlayışının başlangıç noktası vergi kaçakçılığının önüne geçmek, mali hile ve yolsuzlukları önlemektir. Zaman içinde kurumsallaşmaların artması, çokuluslu şirketlerin ortaya çıkması ve çoğalması, teknolojideki hızlı değişimler ve iktisadi hayatta sınırların ortadan kalkması gibi nedenlerle iç denetim anlayışında da birçok farklılıklar meydana gelmiştir. Günümüzde iç denetim; iç kontrol, kurumsal risk yönetimi ve kurumsal yönetim gibi yapılarla paralel bir şekilde uygulanmaktadır.

Önceki bölümlerde bahsedildiği gibi iç kontrol; bir işletmedeki tüm faaliyet yönetim kademelerinin etkin bir şekilde görev aldığı bütünsel bir yapıdır. Temel amaçları ise, faaliyetlerin etkinlik ve verimliliği, mali raporların güvenilirliği ve yürürlükteki kanun ve mevzuata uygunluğa yönelik olarak işletme yönetimine makul güvence sağlamaktır. Kurumsal risk yönetimi; işletme amaçlarına yönelik olarak karşılaşılabilecek risklerin yönetildiği bir süreçtir ve işletme faaliyetlerine paralel bir şekilde yürütülen ve her bir faaliyete özgü tasarlanan kontrol faaliyetlerinden oluşurken, kurumsal risk yönetimi daha ziyada işletme hedeflerine ulaşılmasında işletmelerin karşı karşıya kalabileceği risklerin yönetilmesi ile ilgilidir.

Risk odaklı iç denetimin gelişimi, iç kontrol ve kurumsal risk yönetiminin gelişimi ile paralel özellikler göstermektir. Geleneksel iç denetim anlayışında, iç denetim birimine atfedilen birçok görev günümüzde artık iç kontrol ve kurumsal risk yönetimi uygulamaları ile yürütülmektedir. İç denetimin görevi, gerek iç kontrol ve gerekse kurumsal yönetim uygulamalarının tasarımı ve isleyişi hakkında işletme içi güvence ve danışmanlık hizmeti sunmaktır. Risk odaklı iç denetim anlayışı, bu yapıların tasarlanması ve faaliyetlerinin işletme hedeflerine uygunluğunu inceleyerek riskli görülen alanlar için yönetime önerilerde bulunmaktır (Türedi ve diğerleri, 2015). Zarara uğrama tehlikesi anlamına da gelen risk, denetimin odağında bulunmalıdır. Özellikle günümüz şartları göz önüne alındığında, COVID- 19 başlı başına artık bir risk faktörüdür (Arnold, 2020).

Kurumun gerçek finansal durumunu ve kurumsal yapısını doğru şekilde değerlendirmek adına iç denetçi bağımsız bir duruş içinde olmalıdır. Diğer taraftan bağımsız denetçi, müşterisine bir “müşteri” den ziyade onu bir bütünün mütemmim cüzü ve kurumu aslında bir “danışan” olarak görmesi ve bu anlayışla hareket etmesi gereklidir. Sorumluluk bilinci içinde iç ve dış (bağımsız) denetçi ortak hedef ile denetim mekanizmalarında tarafsızlık ve güvenilir ortamın sağlandığına olabildiğince güvence vermelidir. Doğal olarak tüm risklerden arınmak mümkün değildir ancak en azından hangi alanların riskli olduğunu tanımlayarak bu hassas bilgiyi yönetim kuruluyla paylaşmak mümkündür. Denetim tarafında, sürekli denetim çok önem arz eden bir anlayış olup yönetimin gözetim fonksiyonunun yeterliliğini değerlendirme konusunda ve riskli alanların tanımlanmasında denetçiye belirgin bir artı katar (Aslan ve Kaya, 2014). Sürekli denetim alanında yapılan ilk girişim niteliğindeki çalışmalar, 1990 başlarında AT&T, Siemens, HCA Inc., Unibanco, New York Federal Reserve, ve IBM’de yapılmıştır. Özellikle Enron skandalı ile birlikte büyük bir boşluğa düşen denetim dünyası, yaşananların masaya yatırılmasıyla birlikte normal seyrinden daha sık yapılan raporlamanın ve denetimin, belirsizliği mutlak suretle azaltarak olası hileye müdahaleyi daha çabuklaştırabilecek ve böylece yatırımcıların kararlarını olumlu yönde etkileyeceği düşünülmekteydi (Woodroof ve Searcy, 2001).

İşletmelerin kullanıcıları için hazırladığı finansal bilgiler, belirli dönemlerde hazırlanan raporlar halinde sunulmaktadır. Bu dönemler arasında geçen sürede yaşanan mali olaylar, karar verme aşamasında etkileyici bir rol oynayacak önemlilikte olabilmektedir. Bu yüzden, bilgilerin eş zamanlı olarak doğru ve güvenilir bir şekilde aktarılması, risk göstergelerinin erken uyarı sağlaması için işletmelerin sürekli olarak denetlenmesi gerekmektedir. İşletme yönetimine güvence sağlama ve danışmanlık etme işlevini üstlenmiş olan sürekli denetimin, iç denetim uygulamaları ile bir arada yürütüldüğü takdirde, işletmede aksayan noktaların zamanında tespit edilmesi ve gerekli düzeltici eylemlerin zamanında alınmasını sağlayacak ve süreçlerde önemli artılar sunacaktır.

Kurum içi ve siyasi, ekonomik, sosyal ve teknolojik faktörleri barındırmasından dolayı önceden tahmini oldukça zor olan kurum dışı risklerin değerlendirilmesi, çözümlerin üretilmesi ve makul güvencenin sağlanabilmesi için denetim birimlerine önemli görevler verilmeye başlanmıştır. Denetim birimlerinin beklentilere karşılık verebilmesi, hızlı ve anlamlı sonuçlar üretebilmesi için, bilgisayar teknolojisinden yararlanması zorunlu hale gelmiştir. Bilgi teknolojilerinde son yıllarda yaşanan gelişmeler işletmelerin daha güvenilir bilgiyi daha hızlı üretebilmelerine imkan tanımıştır. Böylelikle işletmelerin bilgi sistemlerinde muhasebe bilgileri gerçek zamanlı olarak anında ulaşılabilecek şekilde üretilmektedir. Günümüz koşullarına dikkatli bakıldığında zaten görülecektir ki, COVID-19 ile birlikte insan faktörü büyük güçlüklerle karşı karşıya kalmış olup; bilgi sistemlerine olan güven ve onlardan fayda sağlama beklentisi artmıştır.

Teknolojinin hayatımıza büyük kolaylıklar katıyor olduğu yadsınamaz bir gerçek. Ancak bu gerçek beraberinden bazı riskleri de getirmektedir. Sistemlerin işleyişinde karşılaşılabilecek risk ve tehlikelere karşı sürekli denetim önem kazanmaktadır. Gecikmiş bir denetim, gecikecek bir müdahale doğuracaktır. Müdahalenin gecikmesinin ise bir takım kayıplar doğurması mümkündür. Fayda-maliyet analizi yapılarak bilginin sürekli denetim altında tutulması günümüzde artık bir zorunluluk olarak karşımız çıkmaktadır (Pekdemir ve Önal, 1999). Tüm artı ve eksilerin ışığında, teknoloji destekli sürekli denetim sayesinde karar alma aşamasında önemli yeri olan sürekli bilginin güvenilirliği arttıracağından (Memiş ve Tüm, 2011), günümüzde evrim sürecini hızla yaşamaya devam eden denetim, sürekli olan bir yapı içerisinde bilgilerin eş zamanlı olarak doğru ve güvenilir bir şekilde aktarılmasını ve risk göstergelerinin erken uyarı ile fark edilmesini sağlayacaktır.

Enron, 1985 yılında Kenneth Lay tarafından doğal gaz boru hattı şirketi olarak kurulmuştur. Şirketi denetleyen bağımsız denetçi ise, 1990’ların denetimdeki piyasa lideri olan Arthur Andersen’dı. Elektrik, kömür, plastik ve diğer endüstriyel ürünleri faaliyet alanlarını oluştururken, Internet bandwidth hizmetleri ile de geniş bir alana yayılmışlardır. İlerleyen süreçlerde Enron, mevcut şartları değerlendirerek doğalgaz dağıtımında (uzun vadeli) fiyat garantisi veren türev piyasalarda da aktif olarak yer alma kararı verdi. Bu kararla birlikte spot ve futures olarak da isimlendirilen ve sözleşmenin taraflarına, bir standartta mutabık olunmuş miktar ve kalitedeki bir malı, kıymeti veya finansal göstergeyi, belirlenmiş bir ileri tarihte, şimdiden üzerinde anlaşılan fiyattan alma veya satma yükümlülüğü getiren sözleşme türü olan vadeli işlem sözleşmesi tanımına uyan işlemleri yapmaya başladı (Borsa İstanbul, 2015). Liberal ve hatta kimi çevreler tarafından sosyalist olarak da nitelendirilen Oscar ödüllü aktivist Michael Moore’un Capitalism: A Love Story adlı baş yapıtında ele aldığı önemli konulardan da biri olan türev piyasaların, aslında bir çok yatırım eksperi tarafından bile çok net bir şekilde anlaşılmadığı irdelenmiştir (Moore, 2009). Futures sözleşmelerde getiriyi yükseltmek için fiyat değişimi riski alan yatırımcılar, kaldıraç etkisi nedeniyle yüksek miktarda zararla karşılaşabilmekte olup; getiriyi yükseltmek için alınan çok yüksek riskli pozisyonlar nedeniyle, ortaya çıkacak zarar miktarı rahatlıkla teminat kaybına yol açabileceğinden işlemlerin durdurulması sıklıkla karşılaşılan bir durumdur. Tüm bu risk olasılıklarının oldukça yüksek olduğu girişimler içerisinde, piyasanın zaten fiyatlardaki iniş ve çıkışlardan rahatsız olduğu bir zamana denk gelen (Trade Master International, 2015) Enron’un vadeli finansal işlemler aracılığıyla doğalgaz fiyatlarındaki istikrarsızlığa karşı bir tavır sergilemesi, doğalgaz tüketicileri nezdinde hem şirketin itibarını artırdı, hem de faaliyet hacmini genişletici etki yaptı. 1990 sonlarında Enron, Amerika Birleşik Devletleri’nde faaliyet gösteren en büyük şirketlerden biri haline gelmeyi başarmıştı. Ancak, yatırımcılarının tamamen bilgisi dışında, special purpose entities (SPEs) adı altında bilanço dışı özel ortaklıklar kurması, bir bakıma çöküşü hızlandırmaya başladı. Enron’un zararlarını gizlemekte kullandığı yol, borçlarını kayıt dışı tutmaktı. Bu bahsi geçen yol, muhasebe konusunda neredeyse bir dahi olarak nitelendirilen şirket CFO’su Andrew Fastow tarafında tasarlanmıştı. Bu yöntem, borçlanmanın bir kısmının şirket dışı olduğu durumlarda uygulanan bir muhasebe tekniği olmasına rağmen Fastow, borçlanmaları bilinçli bir şekilde bu yapıda oluşturarak tüm bahsi geçen yükümlülükleri bilanço dışına aktararak apaçık hile yapmıştır. Enron aynı zaman bu özel ortaklıklarla ticaret ilişkisinde bulunuyor ve böylece önemli miktarlardaki kazançlarını manipüle ediyordu. Enron’un 2000 yıl sonu yıllık raporlarında grubun global cirosu 100 milyar USD olarak gösterilmekteydi (Carnegie ve Napier, 2013). İşin gerçeği şu ki, Enron CFO’su Andrew Fastow’un kurduğu bu “özel ortaklıklar” olmasaydı, cironun ve karın çok daha alt seviyelerde seyri kaçınılmaz olacaktı. Enron’un büyümesi günden güne artan bir şekilde bu özel iştiraklere bağlıydı. Sadece altı ay sonra, 2001 Kasım ayında, enerji devi Enron iflasını açıkladı. Enron’un çöküşü ile birlikte, Arthur Andersen’da da Enron’un işlemleri konusunda huzursuzluklar başlamıştı. İroni dolu bu skandal, dünyanın en büyük enerji şirketlerinden biri olan Enron’u ve aynı zamanda onu denetleyen ve dünyanın en büyük denetim şirketi olan Arthur Andersen’ı tarihin derinliklerine beraberce gömmüştür (Gibney ve McLean, 2005).

1990lı yılların sonlarına gelindiğinde, Arthur Andersen 84 ülkede 300’ün üzerinde ofis ile faaliyet gösteriyordu. İstihdam ettiği çalışan sayısı 85,000’in üzerindeydi ve toplam iş gücünün 28,000’i Amerika Birleşik Devletleri’nde çalışıyordu. Bu dev kurum, tam Enron skandalı patlak verdiği dönemde $9.3 milyar gelir elde ediyor ve toplamda 100,000’in üzerinde bir müşteri portföyüne sahipti. Ancak Enron olayından önce Arthur Andersen imajını zedelemiş olan zaten büyük çaplı problemler yaşamıştı. Enron’un yanı sıra, Andersen aynı zamanda Investors Overseas Services, Four Seasons Nursing Centers of America Incorporated, Frigitemp Corporation, McKesson Corporation, DeLorean, Marsh & McLennan Corporation, Drysdale Securities Corporation, Penn Square, Gibson Greetings, Procedo, Balsam, Colonial Realty Company, Colonial Realty Company, Waste Management Incorporated, Worldcom ve Sunbeam Corporation skandallarıyla da gündeme gelmiştir. Bir çok müşteri, Andersen’in denetim firmaları olması durumunda paydaşları tarafından olumsuz karşılandığını düşünmeye başladılar. Muhasebe ve denetim mesleği, tarihindeki en büyük kriz ile yüz yüze kalmıştır.

Bilindiği üzere, denetçinin ulaşmış olduğu sonuçları ve yargısını belirttiği ve denetim sürecinin son evresi görüş bildirmedir (Cosserat ve Rodda, 2009). Müşterinin mali durum ve faaliyet sonuçlarının gerçeği yansıttığı anlamını taşıyan olumlu görüş bildirimi sonrasında, olumlu denetim raporuna sahip bir kurumun finansal raporlarına güvenemeyeceksek, aklımıza tek bir soru geliyor: Denetçiyi kim denetleyecek?

Evrimini ivme içinde sürdüren denetim, bugünün çok hızlı gelişen teknoloji ağı ve finansal raporlama standartlarındaki entegrasyon ile birlikte hiç olmadığı kadar önem kazanmıştır. Finansal piyasalara bakıldığında, bugün gelinmiş olan nokta artık yatırımcıya istediği sektörde, istediği pazar ve istediği ülkede yatırım yapma özgürlüğünü tanıyabilmektedir. Tüm bu sevindirici gelişmeler artan risk ve tehlikeleri de beraberinde getirmektedir. Bir yatırımcı, yatırım yapmayı düşündüğü bir şirketin finansal tablo ve kararını etkileyebilecek diğer tüm finansal bilgilerinin finansal raporlama standartlarına uygunluğu ve doğruluğu hususunda bir güvence içinde değilse, o zaman bir dizi felaket ile karşı karşıya kalacaktır. Bir yandan geleneksel finansal raporlamaya ek olarak, şeffaflığın daha da artması için entegre raporlama gibi artık finansal olmayan raporlar da hayata geçirilmiş olsa da, bu sefer geleneksel denetim anlayışı atıl kalacaktır. Geleneksel denetimden risk odaklı denetime geçerek, denetim komitelerini daha faal hale getirerek, sürekli denetimi yaygınlaştırarak yarının denetimi artık entegre denetim olarak evrimini ivme içinde sürdürmeye devam edecektir. COVID-19 ile birlikte daha da zorlaşan denetim mesleği, özellikle fiziksel veri toplama noktasında belirgin şekilde etkilenecektir.