denetim günlükleri: kurumsal risk yönetimi mi o da ne?

kurumsal yönetim ve risk, COSO ERM 2017 ile birlikte yükselen değer oldu sevgili günlük.. ne zamandır biz bu evliliği kurumsal risk yönetimi (KRY) şeklinde tesmiye eder dururuz.. gerçekten de kurumsal yönetim mekanizmaları içinde risk en başat bileşen.. ve de kurumların bu bileşeni ne derece karşılayabildikleri sorusunun cevabı ise eylem planlarında açık.. maalesef bu açıklık bizi mutlu ve sevindirik edebilecek bir seviyeye işaret etmiyor.. işin ilginç yanı kurumların bu bağlamda ellerindeki ciddi entelektüel sermayeyi (yani kurumlarda birer güneş gibi parlayan iç denetçileri💓) gereği gibi kullanamamaları.. “netekim” “Kamu İç Denetim Reform Uygulamalarının Derinleştirilmesi Projesi Kapsamlı Değerlendirme Raporu” bu bağlamda önemli veriler sunuyor aslında.. rapora göre “iç denetçilerin %61’i kurumlarındaki risk değerlendirme faaliyetlerinin olgunluk seviyesini Düşük/Çok Düşük olarak değerlendirirken; %70’i, kurumlarında yürütülen risk yönetimi çalışmalarını yeterli bulmadıklarını belirtmiş.. aynı şekilde araştırma kapsamında yer alan iç denetçilerin yalnızca %22’si risk yönetimi süreçlerinin kurulumunda, %25’i de geliştirilmesinde danışmanlık hizmeti vermişler.." yani sen bir kurumsun, elinde KRY bağlamında değerlendirebileceğin iç denetçilerin var ve onları olaya sokmuyorsun.. halbuki kurum hakkında en tumturaklı bilgileri ve dolayısıyla riskleri bilebilecek olanlar iç denetçiler.. bu neden olabilir?.. açıkçası bununla ilgili yarı yapılandırılmış, nicel, odak grup çalışması vb. enstrümanlarım yok ancak tahminlerim var:

1- kurumsal olgunluk seviyesi risk yönetimidir, şudur budur gibi “ıspanaklı sözcükleri” anlayabilecek seviyede olmayabilir..  

2- iç denetçilerden korkuyor olabilirler.. "aman şimdi riskimizi miskimizi öğrenip durur bunlar sonra başımıza bi iş açmasınlar Allah vermeye" bağlamında bir titreme olabilir..

3- iç denetçilerin bu işi kıvıramayacağından korkuyor olabilirler.. yani “şimdiye kadar bazı denemeler yaptık, iç denetçileri bazı yönetsel mekanizmalara dahil ettik.. kendimizi uzayda kaybolmuş apollo personeli gibi bulduk da houstandan yardım isteyiverdiydik” modunda bulunabilirler..

birincisi cehalet kaynaklı.. ikincisi ise patolojiktir.. buna mukabil sonuncuda iç denetçilerin de dahli olabilir.. yani “neymiş gardaş risk, gül gibi denetliyoruz işte bak” formatı ve dahi eski günleri düşünmenin baş döndürücü tadıylan “ben böle antin kuntin iş bilmem aga.. atarım çeltiğimi, bakarım mevzuatıma geçerim giderim” mantığından hareket eden bir anlayış karşı tarafa epeyce koz verir yani.. yani diyeceğim o ki, başkalarının ne yaptıklarından ziyade kendimize düşeni ifa etmeliyiz.. artık inisiyatif alma zamanı gelmiştir.. yeni şeyler söylemek zamanıdır.. kurumların bizden bu faaliyetleri talep etmelerini beklememeli, talebi kendimiz oluşturmalıyız..