Taxademy Bülten

 

No : 2020-51

Tarih : 28 Nisan 2020

Konu : (COVİD-19) Sürecinde İç Denetim Ne Yapmalı?

COVID-19 GÜNDEMİNDE İÇ DENETİM

 Tüm dünyayı etkisi altına alan Covid-19’un, ülkemizde de başta “insan sağlığı” olmak üzere hayatın tüm alanlarını, özellikle ekonomik faaliyetleri olumsuz bir şekilde etkilediğine şahit olmaktayız. Çin’den başlayıp birkaç ay gibi kısa bir süre içinde bütün bir dünyayı etkisi altına alan Covid-19, gelişmiş ülkelerin bile bu salgın karşısında ne kadar hazırlıksız ve çaresiz olduğunu gözler önüne serdi.

Salgın süresince topluma ve vergi mükelleflerine karşı sorumluluğumuz gereği ve “bilgi paylaştıkça çoğalır” felsefesiyle bildiklerimizi, uzman görüşlerini, bilanço ve gelir tablosu ile müşterilerimizin iş sürekliliğini ilgilendiren konuları ele alıp sizlere ulaştırmaya devam ediyoruz.

Bugün de size işletmelerin en önemli olması gereken fonksiyonlarından birisi olan iç denetimin salgın sürecinde alabileceği roller ve üstlenebileceği işlerle ilgili konunun uzmanlarının görüşlerini aktaracağız.

Bilindiği üzere, olağanüstü zamanlar olağanüstü riskleri ihtiva ederler. Bu tür olağandışı durumlar nedeniyle ortaya çıkan riskleri öngörmek ve bunların olası etkilerini telafi edici plan, politika ve prosedürleri geliştirmek/hazırlamak ve bunları etkili, hızlı bir şekilde yürürlüğe koymak, işletmeler açısından her zaman kolay olmamaktadır. Kaldı ki, bu salgın dolayısıyla ortaya çıkan risklerin bertaraf edilmesinde işletmelerin tek başlarına alacakları tedbirlerin ve kontrol önlemlerinin yeterli olmayacağı açıktır. Salgın, insan sağlığı açısından en önde gelen korunma yöntemi olarak bireysel izolasyonu gerekli kılsa da; salgın nedeniyle ortaya çıkan/çıkabilecek kriz ancak kamu otoriteleri, özel sektör ve toplumun tüm kesimlerinin topyekün vereceği bir mücadele ve dayanışma ruhu ile birlikte aşılabilecektir.

Montaigne, “Tehlikelerden kaçınmakta aşırı telaşa düşmek, kendimizi tehlikenin kucağına atmanın en kestirme yoludur” demiş. İster bireysel, ister kurumsal olsun Covid-19 nedeniyle ortaya çıkan risklerle mücadele ederken; içinde bulunduğumuz koşullar iyi değerlendirilmeli, paniğe kapılmadan, soğukkanlı, bilgiye dayalı, makul ve rasyonel hareket tarzı geliştirilmelidir.

İşletmeler, Covid-19 nedeniyle ortaya çıkan riskler karşısında etkili ve yeterli tedbirler alabiliyorlar mı? Kurumsal risk yönetimini nasıl gerçekleştiriyorlar? İç Denetim bu süreçlere nasıl katkı sağlayabilir? Biz bu çalışmamızda, Covid-19 gündeminde İç Denetimin neler yapabileceği konusu üzerinde duracağız.

       1. İç Denetim Planındaki İşlerin Askıya Alınması:

Covid-19 nedeniyle karşı karşıya kalınan manzara, işletmenin hayatta kalmasının en önemli sorun olduğunu göstermektedir. Bu anlamda, işletmenin hayati önemi haiz iş birimlerinin faaliyetlerini sürdürebilmesini sağlamak, büyük önem arz etmektedir.

İç denetim, risk esaslı yıllık denetim planı çerçevesinde faaliyetlerini yürütmektedir. Ancak zaman, geleneksel denetim yöntemleri ile hareket etme zamanı değil işletmenin bu krizde, nefes alan iş birimlerinin sağlanması yoluyla ayakta kalmasına katkıda bulunma zamanıdır. Burada İç Denetimin, “denetim” fonksiyonundan ziyade “danışmanlık” fonksiyonunu ön plana çıkarıp, yönetimle iş birliği ve koordinasyon içinde sürece katkı sağlaması gerekir.

Mesleki tecrübesi, olaylara nesnel bakışı, riskleri değerlendirmedeki objektifliği, tüm faaliyet ve süreçlere hâkimiyetiyle İç Denetimin, bu süreçte işletme yönetimine en büyük katkısı; “yardım için her zaman hazır ve nazır olduğunu” bildirmek ve “nasıl yardım edebiliriz?” sorusunu sormak olacaktır.

       2. İç Denetim İlk Olarak Ne Yapmalıdır?

İç denetim ilk olarak; Covid-19 nedeniyle ortaya çıkan risklerin ve yüksek önem düzeylerinin işletme yönetimi tarafından yeterince anlaşılıp anlaşılmadığını değerlendirmeli ve bu konuda farkındalık oluşturmalıdır.

Birkaç ay gibi kısa bir sürede tüm dünyada ortaya çıkan felaket tablosu, işletmelerin bu konudaki farkındalık seviyelerini yukarı çıkarmış olmakla beraber, “bize bir şey olmaz” anlayışıyla yürütülecek organizasyon faaliyetlerinin en ağır maliyeti, istihdam edilen personelin hayatını kaybetmesi şeklinde sonuçlanabilecektir. İşin maddi tarafında ise – etkili ve yeterli tedbirler alınmadığı takdirde – orta ve uzun vadede pek çok işletmenin iflasına kadar gidebilecek bir süreç söz konusudur.

      3. İşletmenin, Riskleri Tam ve Eksiksiz Olarak Belirleyip Belirlemediğinin Değerlendirilmesi:

İşletme yönetimi, karşı karşıya oldukları süreçle ilgili olarak tüm muhtemel riskleri belirlemek ve bu risklerin etki ve olasılıklarını değerlendirmek ve bu risklere karşı alınacak tedbirler ile kontrol mekanizmalarını detaylı bir şekilde düşünmek durumundadır.

İç denetim, işletme yönetimiyle sürekli iletişim halinde olmalı ve kriz yönetimiyle ilgili faaliyet ve toplantılara katılmak suretiyle yönetimin;

  • Süreçle ilgili bütün riskleri tanımlayıp tanımlamadığını,
  • Bu risklerin veya öngörülmesi zor durumların meydana gelmesi halinde, ortaya çıkabilecek etkileri yönetmek ve olumsuz sonuçları bertaraf etmek için gerekli önlemleri ve tedbirleri alıp almadığını,

değerlendirip, eksik gördüğü alanlarda katkı sağlayabilir. Örneğin;

  • Kamu otoritelerince getirilen seyahat kısıtlamalarının işletme faaliyetlerinde ne tür olumsuzluklara sebep olacağı ve bunlara karşı alınacak tedbirlerin,
  • Özellikle sosyal medya platformlarından kaynaklı bilgi kirliliğinin personelde sebep olacağı korku ve panik havasını ortadan kaldırmak için yetkili otoritelerce (Sağlık Bakanlığı, İçişleri Bakanlığı vb.) yapılan açıklama, bilgilendirme ve uyarılara çalışanların kolayca erişebilmesi imkanlarının,
  • Hastalık belirtilerini göstermeye başlayan personelin, hızlı bir şekilde sağlık hizmetlerine ulaşmasına yönelik etkili tedbirlerin neler olduğunun,
  • Personelin evden çalışması gereken hallerde bilgi teknolojisi altyapısının ve kapasitesinin buna imkân sağlayacak nitelik ve yeterlikte olup olmadığının ve siber tehditlere karşı alınacak önlemlerin neler olduğunun,
  • Çalışanlar, yöneticiler ve üst düzey yönetim arasında etkili bir iletişim imkanının var olup olmadığının,
  • Kritik önemi haiz iş operasyonlarının farklı yerlere aktarılıp aktarılmayacağının,
  • Tedarik zincirlerinde meydana gelebilecek aksamalar ve alternatif tedarik yöntemlerinin neler olabileceğinin,
  • Salgının müşterilerin satın alma davranışlarını nasıl etkileyeceğinin,

İşletme yönetimi tarafından tüm yönleriyle yeterli bir şekilde ele alınıp alınmadığı, İç Denetim tarafından değerlendirilebilir. Yönetimin dikkatinden kaçan veya eksik kalan hususlarda iç denetimin sunacağı katkının önemi büyük olacaktır.

     4. İşletmenin Kriz Yönetimi ve İş Sürekliliği Planlarının Değerlendirilmesi:

Bu salgının olası kısa ve uzun vadeli etkilerini hiçbir işletme görmezden gelemez. Sağlam temellere dayalı ve test edilmiş bir planı bulunan işletmeler, bu krizden sağ salim çıkmayı başarabileceklerdir.

İşletmelerin, sürece ilişkin riskleri tanımladıktan ve alınacak tedbirleri belirledikten sonra uygulanacak kontrol eylemlerinin, bir plan dahilinde yürütülmesi önem arz etmektedir. Salgın, pek çok öngörülemez riski de beraberinde getirmektedir. Dolayısıyla bu, dinamik bir süreçtir ve kriz yönetimi ile iş sürekliliği planlarının sıklıkla gözden geçirilmesini, geliştirilmesini ve test edilmesini gerekli kılar. Bu tür planlarda; atanan rollere, iletişim ve koordinasyonun ne şekilde gerçekleştirileceğine, karar alma protokollerine, acil durum eylem planlarına mutlaka yer verilmelidir.

İç denetim, işletmenin bu faaliyetlerini gözlemlemeli ve eksikliklere ilişkin önerilerde bulunmalıdır.

Örneğin, ülkemizde salgının kontrol altına alınması için kamu otoritelerince uygulanan sokağa çıkma yasağının bir-iki günlük sürelerden, bir-iki haftalık sürelere çıkarılması söz konusu olursa; bu durumun işletmenin iş sürekliliğini nasıl etkileyeceği, hangi birimlerin (satın alma, üretim, depolama, pazarlama, satış vb.) ne şekilde aksiyon alacağının yönetim tarafından ele alınıp alınmadığı, etkili ve yeterli tedbirlere yönetim planlarında yer verilip verilmediği iç denetim tarafından değerlendirilebilir.

     5. Salgının İhtiva Ettiği Risklerin Çeşitliliğinin ve Birbirlerini Etkileme Potansiyellerinin Değerlendirilmesi:

Riski,  bir işletmenin amaç ve hedeflerine ulaşmasını engelleyen her tür olay şeklinde tanımlayabiliriz. Bu bakımdan riskler işletmeye mali, yasal, itibari veya stratejik boyutlarda zarar veren tehditlerdir. Mutlak surette iyi yönetilmeleri gerekir.

Covid-19, işletmeleri öyle bir olağanüstü durumla karşı karşıya getirmiştir ki; ihtiva ettiği herhangi bir riske karşı alınacak tedbirlerdeki bir eksiklik, pek çok yönden işletmeleri zor durumda bırakabilecek ve zincirleme bir şekilde başka risklerin ortaya çıkmasına sebebiyet verebilecektir.

Örneğin; işletme yönetiminin, personelin çalışma odalarının dezenfekte edilmesinde göstereceği bir eksiklik, personelin virüsle enfekte olması gibi vahim bir sonuç doğurabilecektir. Bu durum yasal riski gündeme getirecek ve aynı zamanda iş sürekliliğinin sekteye uğraması nedeniyle mali ve itibari riskleri de beraberinde getirebilecektir.

Örneğin; salgından kaynaklı olarak personelin izolasyonu ve evde çalışma uygulamaları, hassas iş süreçlerinin dijital ortamlarda yürütülme zorunluluğunu ortaya çıkarmıştır. İşletme yönetiminin bilgi teknolojileri riskine karşı alacağı tedbirlerde bir zafiyet, müşteri hesap bilgilerinin çalınması sonucunu doğurabilecek ve bu durum işletmeyi mali, yasal, itibari, yolsuzluk gibi pek çok riskle de karşı karşıya getirebilecektir.

Bu sebeple, işletme yönetiminin herhangi bir riske (itibari, mali, sistemsel, yolsuzluk gibi) nasıl cevap verdiği çok büyük önem arz etmekte ve tedbirlerdeki bir zafiyetin zincirleme etkilerinin de göz önünde bulundurulmasını zorunlu hale getirmektedir.

İç denetim, risklerin işletme genelinde iyi yönetilip yönetilmediğini, etkili ve yeterli tedbirlerin alınıp alınmadığını değerlendirmeli ve yönetime bu konuda da katkıda bulunmalıdır.

       6. Salgının Uzun Vadeli Etkilerinin Değerlendirilmesi:

Kriz yönetiminin doğası gereği işletmeler açısından öncelikli olan, ayakta kalmak, dayanmak ve var olmaya devam etmektir. Salgının, genelde tüm dünya ekonomileri ve özelde işletme faaliyetleri üzerindeki olası etkileri aylar, hatta yıllar boyunca devam edebilir. İşletmeler, kapsama alanı genişleyen ve süresi uzayan söz konusu olumsuzluklar silsilesinin; tedarik zincirlerinin durumunu ve alternatiflerini, üretkenliği, nakit kaynakların yeterliliğini, büyüme projeksiyonlarını, borçlu ve alacaklı yönetimini, finansal durum tahminlerini, kar beklentilerini, vergi ve diğer yasal yükümlülükleri ve bunlara benzer birçok konuyu nasıl etkileyebileceğini gözden geçirmelidirler.

İç denetim, işletme yönetimine salgının uzun vadeli etkilerinin değerlendirilmesi tavsiyesinde bulunmalıdır.

Son söz yazmak adet olmuş;

 Büyük salgınlar gibi kriz zamanları, yıkıcı etkilerinin yanı sıra birtakım fırsatları da beraberinde getirirler. İşletmeler, iyi bir kriz yönetimi planı yaptıkları, olası felâket senaryolarını dikkate alıp gerekli tedbirleri zamanında aldıkları, kısa-orta-uzun vadeli projeksiyonlar geliştirdikleri takdirde krizi fırsata çevirebileceklerdir. Nietzsche’nin de dediği gibi, “Bizi öldürmeyen acı, güçlendirecektir.”

Bu dönemler, işletmeler için mevcut durumlarının muhasebesini yapma, güçlü yönleri geliştirme, zayıf yönleri güçlendirme, herhangi bir krizi yönetme imkan ve kabiliyetlerinin neler olduğunu görme fırsatı da sunmaktadır.

Her zaman olduğu gibi bu krizde de İç Denetim, işletmenin amaçlarını, faaliyetlerini veya kaynaklarını etkileyebilecek önemli risklere karşı uyanık olmak zorundadır. Kriz yönetimi sürecinde işletme yönetimine sunacağı değerli katkılarla, güvenilir bir ortak ve iyi bir danışman olarak kurum içindeki pozisyonunu sağlamlaştırma fırsatını elde edecektir.

Salgının etkileri geçene kadar, işletmeleri ilgilendiren bu tür konuları ve diğer gelişmeleri de sizlere duyurmaya devam ediyor olacağız.

Bu bültende geçen herhangi bir konuyla ilgili sorularınız için danışmanlarımıza ulaşabilirsiniz.

Saygılarımızla,

Yararlanılan Kaynaklar:

  • Chambers, Richard. “In the Face of the Coronavirus, Internal Auditors Must Do More Than Don Masks”. (Erişim:09.04.2020)

https://iaonline.theiia.org/blogs/chambers/2020/Pages/In-the-Face-of-the-Coronavirus-Internal-Auditors-Must-Do-More-Than-Don-Masks.aspx

  • The IIA Australia. “Factsheet: Internal Audit And Pandemics”. (Erişim:19.04.2020)

http://iia.org.au/sf_docs/default-source/technical-resources/2018-fact-sheets/internal-audit-and-pandemics.pdf?sfvrsn=2

  • Litzenberg, Roy A. “Covid 19 ve Ötesi İçin ÇSG Planlaması – Krize Hazırlık ve Verilecek Cevapta İç Denetimin Rolü”. (Erişim:24.04.2020)

https://na.theiia.org/translations/PublicDocuments/EHS-Planning-for-COVID-19-and-Beyond-Turkish.pdf

  • Radigan, Joseph. “How the coronavirus may affect financial reporting and auditing”. (Erişim: 09.04.2020)

https://www.journalofaccountancy.com/news/2020/mar/how-coronavirus-may-affect-financial-reporting-auditing-23087.html