denetim günlükleri: biraz daha large mı olsak?

bazen acaba diyorum.. bizdeki iç denetim mevzuatı ve uygulaması bir parça baskıcı mı sevgili günlük? aslında doktriner bir tartışmaya ve gereksiz bir çatışmaya girmek istemem ancak sanki kimi zaman usul esası geçiyor.. tamam “usul esasa mukaddemdir” kabul ettik de.. bu usul esastan mukaddestir anlamına gelmiyor yani.. farz-ı muhal iç değerlendirme olayı.. kalite güvence geliştirme adına güzel bir uygulama.. iyi bir niyet ancak o kadar çok formalitesi var ki.. adeta esası usule feda eden bir mahiyette.. sayfalar dolusu bilgi, not, değerlendirme.. üstelik kendini tekrar eder nitelikte.. insan canından beziyor.. halbuki sistem biraz daha sadeleştirilse ve belki daha fazla otomasyona bağlansa çok daha pratik olur.. ayrıca denetçi müdahalesi azaltılabilirse –yani raporu sistem bir yıllık faaliyetlerden otomatik üretirse- daha sağlıklı sonuç alınabilir.. bir başka misal makro risk değerlendirmesi.. bu da çok ezbere dayalı, sübjektif gibi geliyor insana.. tonla veri giriyorsun.. ancak kendi kendine konuşuyormuşsun hissiyatına kapılıyorsun yazılımda.. “heyyy beni duyan var mı? ben bunu bunu bunu riskli görüyorum ama siz nedersiniz?” diye bağırasım geliyor bazen yazılımda.. şimdi ilk evvela denetçinin kurumun tüm risklerini değerlendirmesi, artı tamamen objektif olması fazla iddialı.. bunun yerine kurumlarda risk merkezlerini hayata geçirip, onların kurumsal riskleri çekmelerini ve bunu iç denetimle de paylaşmalarını sağlamak daha yerinde olacaktır.. böylelikle cro dedikleri risk yöneticisinin başında olacağı birim risk değerlendirmesini daha profesyonel yapabilecektir.. aynı geliştirmeye açık alan (sorun kelimesini Bahadır Başkan sevmediğinden kullanmıyorum😆) mevzuat bazında da var: tebliğdeki “İç denetim plan ve programı, aralık ayı sonunda onaylanmaması halinde onaylanmış kabul edilir ve uygulamaya konulur.” hükmünün uygulaması neredeyse imkansız.. (bu konuyla ilgili zorla denetim başlıklı blog yazıma bakabilirsiniz).. aynı şekilde denetim kaynağının en az şu kadarı denetme bu kadarı şuna şeklindeki programlara da giren ifadeler de fazla baskıcı.. tek tipçi.. oysa bir kurum daha fazla denetime ihtiyaç gösterirkene, diğer bir kurumumuzun asıl ihtiyacı danışmanlık olabilir..  sözün özü iç denetçiye daha fazla hareket kabiliyeti tanıyan, kurum içinde yerini sağlamlaştıran uygulama ve mevzuat düzenlemelerine ihtiyaç var.. bir üst yönetici yardımcımızın yıllar önce dediği gibi “kırmızı ışıklar kadar yeşilleri de gösterebilen” bir iç denetime ancak böyle geçebiliriz...