KASIM-ARALIK 2025 / RÖPORTAJ
Değer katan denetimle güçlü yönetim
Murat ÖZKAN
İbrahim BAĞCI
Modern kurumsal yönetim yapısı içinde stratejik bir rehber rolü üstlenen iç Denetim, uluslararası standartlardaki metodolojisi ve teknolojik yetkinliğiyle kamu yönetimine artı değer katıyor. Tarım ve Orman Bakanlığı İç Denetim Başkanı Göktuğ Bağlı ile risk esaslı planlamadan dijitalleşmeye kadar modern denetimin kurumsal yönetimdeki kritik rolünü ve gelecek vizyonunu tüm yönleriyle ele aldığımız keyifli bir söyleşi gerçekleştirdik.
Başkanlık olarak sizlerin sadece kontrol eden değil aynı zamanda Bakanlık faaliyetlerine değer katan bir fonksiyonunuz da var. Bakanlığın genel hedeflerine ulaşmasında kendinizi en çok hangi rolde görüyorsunuz?
Aslında sorunuzun içinde cevabı tarif ettiniz, iç denetimi tek bir kelimeyle tanımlamam gerekirse bu “değer katmak” olur. Önemli olan yaptığınız işin kuruma veya birime bir artı değer bırakması. İç denetim bir yere dokunduktan sonra oradaki etkiyi pozitif yönde değiştirmeli. Genel hatlarıyla iç denetim 1940’larda Amerika’da başlayan, 60’larda Avrupa’ya gelen ve 80’lerde bankacılık sektörü ve özel sektörle ülkemizin tanıştığı bir müessese. 2003 yılında kanun hazırlıklarının yapılması ve 2005 yılında yürürlüğe girmesiyle birlikte kamu yönetiminde de devletimiz iç denetimle danışmış oldu. Dünya literatüründe “Üç E” kuralı olarak bilinen ekonomiklik, etkinlik ve verimlilik (economy, efficiency, effectiveness) kavramları üzerine inşa edilen bu müessese 2005 yılında kamu yönetimine girerek “doğru işi doğru şekilde yapma” prensibini getirdi. Örneğin yaptığınız bir iş kurallara ve kanunlara uygun olabilir ama etkili veya verimli olmayabilir. Bir iş yapıyorsunuzdur ancak işiniz doğru olmayabilir. İşi doğru yapmak kadar doğru işi yapmanın da peşindedir aslında iç denetim.
Kamu yönetim anlayışına nasıl katkı sağladığı konusunda şunu söyleyebilirim; kamu mali yönetimine stratejik planlama esaslı bir disiplin geldi. Planlıyorsunuz, uyguluyorsunuz ve raporluyorsunuz. Örneğin neredeyse cumhuriyetle yaşıt orta veya uzun vadeli kalkınma planlarımız var. Bu kalkınma planları; Devlet Planlama Teşkilatı, sonra Kalkınma Bakanlığı, şimdi Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından hazırlanır ve takip edilir. Planladık, tasarladık ama doğru uyguladık mı? Uygulama sonuçlarını raporladık mı? Çıktılardan bize, yeni planlama yapmak için girdiler elde edildi mi? Etki analizi yaptık mı? Sonuçlar neydi? gibi birçok soru aklımıza geliyor. İşte burada iç denetim, izleme noktasında yapılan işlerin planlandığı gibi uygulanıp uygulanmadığını ve hedeflenen sonuçlara ulaşılıp ulaşılmadığını ölçmek, sistemin içinde var olan ama dışarıdan bakan bir müessese olarak geldi.
RİSK DOĞRU YÖNETİLDİĞİNDE BİR FIRSATA DÖNÜŞEBİLİR
Denetim planlarını hazırlarken riskleri nasıl sınıflandırıyor veya önceliklendiriyorsunuz? Bu süreci kısaca anlatabilir misiniz?
Risk, aslında bir işin doğasında olan içsel bir durumdur. Yaptığınız her işin bir riski vardır ve bizler riski hep olumsuz algılasak da risk doğru yönetildiğinde bir fırsata da dönüşebilir. Biz riski; planladığınız işte hesaplayamadığınız etkiler olarak görür, olasılık ve etki olmak üzere iki boyutta değerlendiririz. Riski tamamen ortadan kaldırma şansınız yoktur, çünkü risk işin doğasındadır. Ancak onu kontrol altına alabilirsiniz. Risk hiç gerçekleşmeyebileceği gibi çok düşük veya çok büyük bir olasılığı da olabilir. Bunu değerlendirmeniz ve planlamanız lazım. Her alanda olduğu gibi bizler de bir planlama, uygulama yapıyor ve sonrasında da raporlama yapıyoruz. Dolayısıyla riskleriniz de bu ölçekte sınıflanıyor. Bunu yaparken stratejik riskleriniz var, sonrasında faaliyet ve süreçlere ilişkin operasyonel risklerimiz var ve her operasyonun, her faaliyetin de kendine göre bir riski var. Bu riskleri belirli kontrol önlemleriyle önleyici tespit edici, telafi edici vs. olabilir. Bunları minimize etmek, kontrol altına almak şeklinde de olabilir. Riski ortadan kaldırma şansınız yok, risk işin doğasında vardır. Önceden iç kontrol sistemi vardı. Risk esaslı planlama, uygulama ve raporlama sisteminde üst yöneticiden en ücra uçtaki uygulayıcıya kadar iç denetimin de içinde bulunduğu sistemler daha sonra gelişti.
Kamu yönetiminde artık Hazine ve Maliye Bakanlığı tarafından da uygulanan Kurumsal Risk Yönetim Sistemi ve Performans Yönetim Sistemi gibi yapılar oturmaya başladı. Ayrıca kurumsal yönetim ya da yönetişim dediğimiz iki yönlü yönetim anlamında bir sistem de var. Bunların üstüne dördüncü sistem olarak performans yönetim sistemi oturmaya başladı. İç denetim tam burada idarenin kendi kurguladığı stratejik ve operasyonel risklere ilişkin hem danışmanlık yapıyor hem de doğru önlemlerin alınıp alınmadığını denetliyor. Bunu yaparken makro ve mikro düzeyde riskler belirleyerek çalışıyor ve böylece risk esaslı planlanan işlerin sonuçlarına bakıyoruz.
Denetimlerinizle bu kontrol mekanizmalarının etkinliğini nasıl ölçüyor ve üst yönetime bu kritik konuda nesnel bir güvenceyi hangi yöntemlerle sağlıyorsunuz?
İç denetimin denetim ve danışmanlık olmak üzere iki ucu var. İkisi arasındaki farkı belirleyen şey ise metodoloji. Denetimde bir güvence veriyorsunuz, bu güvence nesnel ve makul olmak zorunda. İşin doğasından gelen risklerden dolayı kesin bir güvence veremezsiniz. Bir sisteme veya işleyişe bakarsınız, an itibarıyla riskler kontrol altına alınmış, minimize edilmiştir ve sonuçta objektif bir değerlendirme yaparsınız. Bunu yaparken de bağımsız fonksiyonel bir güvence ile nesnel ve bağımsız bir tarafta olmanız lazım.
AĞACA DEĞİL ORMANA ODAKLANIYORUZ
İsmi denetim olsa da Bakanlığın faaliyetlerini ve mali yönetimini iyileştirmek için hangi somut çalışmalara ağırlık vermektesiniz?
Denetim, çeviriden kaynaklanan bir durum. Soruşturma (investigation) ise denetim kelimesini tam olarak karşılamıyor. İç denetimin uluslararası literatürdeki adı “audit” veya “internal audit” olarak ifade edilmekte. İç denetçilere de “internal auditor” denmekte. Dinleyici olarak da ifade ediliyor. Dinliyorsunuz, resim çekiyorsunuz aslında denetim yapmıyorsunuz. İç denetimi bir örnekle ifade etmek gerekirse araca oturdunuz ve aracınızı kullanıyorsunuz diyelim. Aracı çalıştırdınız, benzin göstergeniz veya hız ibreniz çalışmıyor ise bu durumda ne hissedersiniz? Araç güzel çalışıyor, göstergeleriniz ise tam tersine çalışmıyor! İşte üst yönetici de tıpkı bu durumda olabilir. Siz idaredesiniz ve hedeflerinize doğru gideceksiniz ancak elinizde ne olduğunu bilmiyorsunuz. Yani göstergeleriniz yok. Bu noktada iç denetim, bir sistem mühendisliği gibi işlerin testi kırılmadan müdahale eden tarafı. Başka bir örnekle anlatmak gerekirse bir yol düşünün ve bu yolun belli bir virajında sürekli trafik kazası oluyor. Her kaza için trafik polisi geliyor ve rapor (tutanak) tutuyor. Ancak aslında yolun yapısında, mühendisliğinde veya aerodinamiğinde bir hata olabilir. Küçük bir hata yüzlerce kazaya sebebiyet verebilir. Dolayısıyla biz burada devreye giriyor ve sisteme bakıyoruz. Diyoruz ki bu yolda belirlediğimiz hata düzelmezse daha çok kaza meydana gelebilir. Biz bir ağaca değil ormana odaklanıyoruz. Küçük konulardan ziyade sistematik bir yaklaşımla sistemi analiz edip, değerlendirip, karar mercilerine yön ve eylem planı hazırlayacakları güçlü analizler sunuyoruz.
Bağımsızlık, denetim sonuçlarının güvenilirliği için şart. Bu bağımsızlığı korurken denetim raporlarınızda sunduğunuz tavsiyelerin ilgili birimlerce sahiplenilmesi ve eyleme dönüştürülmesi sürecini nasıl yönetiyorsunuz?
Sayıştay veya teftiş gibi kurumların kendini ispat gibi ya da farkındalık sağlamak gibi dertleri yok. Kamu yönetiminde iç denetim ise henüz 20 yıllık bir geçmişe sahip, bu yüzden kendimizi ispat etme ve farkındalık sağlama sürecimiz devam ediyor. Bu noktada üst yöneticinin desteği hayati önemde. Sayın Bakan bizim için büyük bir şans; kendisinin özel sektör tecrübesinden gelen aşinalığı, kamuda nadir görülecek bir iradeyi arkamıza almamızı sağladı.
Objektif bağımsızlık, bağlı bulunduğunuz yer ile idari yönden etkili olduğu gibi bir de fonksiyonel olarak önemli. Yapılan denetimler sonucu elde edilen bulguyu veya herhangi bir tespiti önce birimle paylaşırız. Bizim metodolojimizde interaktif denetim esastır. Denetime başlamadan önce bir açılış toplantısı yapar, karşı tarafın beklentilerini öğrenir ve işi yapan kadar sürece hâkim olacak ön çalışmaları tamamlarız. Denetim anlatılır, yapılacak işi anlatırız, karşı tarafın beklentilerini öğreniriz. Sonra yine birlikte çalışırız. Tespitleri yaptık bitti değil önce teknik düzeyde alttaki idareci ve işi yapanlarla mutabakata varırız. En son birimin üst yöneticisiyle Denetim Başkanının da bulunduğu bir kapanış toplantısı yapılır ve burada bir mutabakata varılır. Burada katılmama durumunda fonksiyonel bağımsızlık devreye girer ve siz bunu üst yöneticiye intikal ettirirsiniz. Üst yönetici sizin tespitlerinizi doğru kabul ederse talimata bağlayıp birime yönlendirir.
Son olarak, sürekli değişen ve dijitalleşen kamu yönetiminde iç denetimin geleceğini nasıl görüyorsunuz? Önümüzdeki dönemde Başkanlık olarak risklerin değişimi doğrultusunda hangi yeni ve stratejik konulara odaklanmayı planlıyorsunuz?
İç denetimin doğasında mesleki gelişim esastır. Önceki denetim tarzında da çalışmış biri olarak söyleyebilirim ki başladığınız noktada kendi çabanız yok ise mesleki gelişiminizde önünüz kapalıdır. Önceden biriktirdiğiniz tecrübe ile hareket edersiniz. İç denetim belli şeyleri zorunlu kılmakta; bunlardan en önemlileri mesleki ve akademik gelişim, mesleğinizle ilgili sertifikasyon, yabancı dil ile ilgili gelişim, bilgi sistemleri ve teknolojileri kullanımı gelişimleri vs. olabilir. Ulusal veya uluslararası sertifikasyon alınması yanında iç denetim mensubunun yıllık asgari 30 saatlik bir eğitim alması zorunlu. Gelişen denetim ve bilgi sistemleri teknolojilerindeki akıl almaz hızlı bir dönüşümle birlikte biz de denetim metodolojimizi ve tarzımızı daha teknolojik ve hızlı denetimlere dönüştürme yönünde gelişimler sağlıyoruz. Teknolojik imkânlar, bir denetim veya raporlama sistemi, otomasyon üzerinden çalışma, yapay zekâ kullanımı gibi birçok noktada kendimizi geliştiriyoruz. Eski denetim birimleriyle kesiştiğimiz alanlar var mı? Elbette, uygunluk denetimlerinde, sistem denetimlerinde, mali denetimde yolumuz kesişebilir. Ancak iki denetim tarzında iç denetim açık ara öne çıkar. Bunlardan biri bilgi sistemleri denetimi, bir diğeri de performans denetimi. Bunlar için ayrı bir yetkinlik ve sertifikasyonumuz var.
İç denetim dinamik bir süreç olduğundan sizin de buna ayak uydurmanız gerekiyor. Bu konuda Bakanlığımız da bize çok destek oluyor. Örneğin denetimcilerimizin yüzde 60’ını dil kursuna gönderdik, sınava girerek dil puanlarını yükselttiler. CİSA (Certified Information Systems Auditor) İspanya kökenli bilişim sistemleri denetim sertifikasını denetçilerimizin almasını sağladık. İç denetim dünyasında CIA (Certified Internal Auditor) diye ifade edilen ve bu mesleğin “altın standardı” kabul edilen en prestijli sertifikayı denetçilerimizin almasını sağladık. Ulusal veya uluslararası standartlardaki değişiklikleri, teknolojik yenilikleri veya mevzuat değişikliklerini takip ederek kendimizi buna uyarlamaya çalışıyoruz.