İç Denetim Raporları Dağıtım Listesi Nasıl Oluşturulmalıdır?

Yazımıza bir giriş teşkil etmesi açısından; bilindiği üzere İç Denetim birimleri organizasyon içerisinde iç denetim faaliyetinin sorumluluklarını yerine getirebilmesine imkan sağlayan bir yönetim kademesine bağlı olması gerekmektedir. Bu nedenle de iç denetim yöneticisi, işlevsel olarak Denetim Komitesi ve Yönetim Kurulu’na, idari olarak ise işletmenin İcra Başkanı’na bağlı ve sorumlu olmalıdır.

İç denetim biriminin organizasyonel konumuna ilişkin husus hatırlatılıp netleştirildikten sonra iç denetim işi ile bilfiil iştigal edenlerin çok yakından tanık olduğu, denetim çalışmalarının meyvesi olan denetim raporlarının dağıtım listesinin nasıl oluşturulacağı, raporun içerisinde söz konusu dağıtım listesine yer verilip verilmeyeceği, raporun dağıtım listesi dışında yer alan birim ve kişilere ulaşmasının nasıl yorumlanacağı ve bu durumda ne yapılması gerektiği hususları bu yazımızın konusunu teşkil edecek olup adım adım açıklamaya çalışacağız.

Denetim raporları dağıtım listesi nasıl oluşturulmalıdır?

İç denetim faaliyeti, iç kaynak, dış kaynak ve eş kaynak yöntemi ile gerçekleştirilebilmektedir. Dolayısıyla öncelikle faaliyet şekline ve sonrasında da hizmet verilen yapıya uygun bir rapor dağıtım listesi kurgulanması önem arz etmektedir. Çeşitli yerli ve yabancı yayınlarda rapor dağıtımında;

• İç denetim faaliyetlerinin raporlandığı üst yönetim
• Raporu cevaplaması gereken kişi veya kişiler
• Faaliyetleri gözden geçirmeden sorumlu kişiler
• Düzeltici faaliyetleri yapacak kişiler

şeklinde dağıtım yapılacaklara yer verilmiştir. Yazımızda iç denetim faaliyetinin iç kaynak kullanılarak gerçekleştirilmesi halinde özellikle ülkemiz uygulamaları da dikkate alınarak rapor dağıtımının ne şekilde olacağı irdelenecektir.

İç denetim faaliyeti;

1. Sadece bir şirketin iç denetim biriminde faaliyet gösterilmesi,
2. Holding yapılanması altında Holding İç Denetim biriminde faaliyet gösterilmesi,
3. Holding yapılanması altında Holding’e bağlı şirketlerin ayrıca bir iç denetim departmanı bulunması ile Holding merkezi denetim birimi olarak faaliyet gösterilmesi,

olmak üzere üç farklı durumdan bahsetmek mümkündür.

Sırasıyla açıklamak gerekirse:

İlk durumda; iç denetim raporları şirketin Yönetim Kurulu, varsa Denetim Komitesi ve şirket Genel Müdürü’ne dağıtılmaktadır. Şirket Genel Müdür’ü tarafından da ilgili yöneticilerle sorumlulukları doğrultusunda rapor paylaşımı söz konusu olmaktadır.

İkinci durumda; İç Denetim Bölümü’nün Holding Yönetim Kurulu’na bağlı bir şekilde faaliyet göstermesi ve Holding Yönetim Kurulu tarafından onaylanan yıllık denetim planı doğrultusunda hareket etmesi münasebetiyle rapor dağıtımı Holding Yönetim Kurulu’na, varsa Denetim Komitesi’ne, varsa denetlenen şirketin bağlı olduğu Grup Başkanlığı ve/ veya benzer yönetim kademesi ile şirketin Genel Müdürü’ne yapılmaktadır. Öte yandan uygulamada Holding Denetim Komitesi Başkanı ve/veya Denetim Bölümü Başkanı kararıyla zaman zaman farklı yönetim kademelerine (örneğin Grup CFO vb.) de gerekli önlemlerin alınıp alınmadığının kontrolü, bilgilendirme vb. amaçlarla rapor dağıtımı gerçekleştirilebilmektedir. Bu aşamadaki mühim olan husus, denetlenen şirketin Yönetim Kurulu’na raporun dağıtılıp dağıtılmayacağıdır.

Yukarıda da ifade edildiği üzere özellikle büyük organizasyonel yapılarda denetlenen şirketin bağlı olduğu Grup Başkanlığı vb. kademeler ilgili şirket yönetimini ayrıca denetim raporlarında yer alan tespitlere ilişkin sorumlulukları açısından bilgilendirip gerekli ikazları yapacağı düşünülmektedir. Denetlenen şirkette ortaya çıkan denetim tespitlerinin durumuna göre Holding yönetimi, ilgili şirketin Yönetim Kurulu ve Denetim Komitesi’nden de denetim sonuçlarına ilişkin hesap vermesini, vaktiyle şirket Genel Müdür’ü üzerindeki denetim yetkisini hakkıyla neden kullanmadığının cevaplanmasını talep edebilir. Unutulmamalıdır ki, organizasyonel olarak operasyonların ve şirketin faaliyetlerinin birinci derece/ icrai sorumlusu olan şirket Genel Müdür’ü zaten işleyiş içerisinde öncelikle ilgili şirketin Yönetim Kurulu tarafından sürekli bir denetim ve kontrole tabi tutulmakta, İç Denetim birimleri açısından da denetlenen şirketin muhatabı olarak en üst aşamada şirket Genel Müdür’ü dikkate alınmaktadır. Ayrıca ülkemizde holding yapılanması içerisinde yer alan şirketlerin büyük bir kısmında Holding Yönetim Kurulu üyeleri ile belirli kişilerin diğer şirketlerin de Yönetim Kurulları’nda olduğu gerçeği göz ardı edilmemelidir.

Üçüncü durumda; hem Holding hem de Holding’e bağlı şirketlerin herhangi birisinde ayrı bir İç Denetim birimi bulunması halinde, ikinci durumda yer alan açıklamalara ek olarak öncelikle ifade edilmesi gereken, söz konusu yapıların birbiri ile olan koordinasyonu ve entegrasyonun sağlanması ve buna ek olarak da Holding düzeyindeki İç Denetim biriminin zaman zaman ilgili şirket İç Denetim birimini dış değerlendirmeye tabi tutmasıdır. Rapor dağıtımı konusunda da ilgili Grup Şirketi İç Denetim raporlarının Holding Denetim Komitesi ve merkezi İç Denetim departmanı ile paylaşılması önem arz etmektedir.

Denetim raporlarında dağıtım listesine yer verilmeli midir?

Denetim raporları içerisinde dağıtım listesine yer verilmesi mühimdir. Söz konusu dağıtım listesinin rapor içerisinde yer alması ilgili kişilere de söz konusu belgenin gizliliği ve ancak liste mevcudunda yer alan kişilerin bilgisi dahilinde dağıtılmış olabileceği, ilerleyen zamanlarda raporda yer alan bilgilerin uygun olmayan kişilerin eline geçmesi ve şirket mahremiyeti konusunda sakıncalar doğurabileceğinin bir işaretidir.

Rapor dağıtım listesinde yer alan kişilerin de kendi yazılı onayı olmadıkça üçüncü kişiler ile paylaşmasının uygun olmadığı konusunda ilgililer de uyarılmalıdır. İfade edilen durumların varlığı halinde doğabilecek zararlardan Denetim Biriminin sorumlu olmayacağı da açıklanmalıdır.

Denetim raporlarının dağıtım listesi dışındaki kişilere ulaşması nasıl yorumlanmalıdır?

Şayet iç denetim raporları dağıtım listesi dışında yer alan kişilere bir bütün halinde ulaşır ve yanlış bir kullanıma uğrama durumu söz konusu olur ve bu durum farkedilirse denetim komitesi ivedi bir şekilde bilgilendirilmelidir. Denetim komitesi de mevcut duruma ilişkin yönetim kuruluna bilgi vermelidir. Sızmanın en yaygın olan ihtimalleri;

1. Taslak rapor aşamasında ulaşılan tespitlere ilişkin şirket genel müdüründen bilgi talep edilmesi durumunda, aksiyon sorumlusu ve terminlerin bildirilmesi amacıyla ilgili kişiler gözetilmeden tüm tespitlerin çeşitli birimler ile paylaşılması,
2. Nihai raporun üst yöneticiler tarafından istifade edilmesi amacıyla başka bir grup şirketi çalışanına verilmesi,
3. Basılı denetim raporlarına harici bir şekilde ulaşılması,
4. İç denetim birimi çalışanı tarafından bilgi sızması,

şeklinde özetlenebilir. Söz konusu durumların varlığı halinde ise yönetim kurulu tarafından denetim komitesi aracılığıyla durumun tespiti ve uyarı başta olmak üzere çeşitli yaptırımların (kınama, işten çıkarma, onur kuruluna sevk vb.) uygulanması gerekmektedir.