Kurumsal Kültür ve Kontrol Ortamı
Bir organizasyonun DNA’sı nedir diye sorsak, pek çok yönetici masasındaki kalın strateji dosyalarından, renkli KPI dashboard’larından ya da son çeyrek bilançosundaki kâr rakamından bahseder. Saygı duyarım; bunlar işin röntgenidir, tansiyonudur. Ancak gerçek cevap, hiçbir bilançoda yazmaz. Ofis koridorlarındaki o sessiz fısıltılarda, sabah kahvesi sırasında çaycıyla yapılan esprilerde, kriz anında kimsenin size bakmadığını düşündüğünüz o bir saniyelik tereddütte gizlidir.
Kurumsal kültür, bir kurumun nasıl düşündüğünü nasıl karar aldığını ve en önemlisi “kimse bakmıyorken” nasıl davrandığını belirleyen görünmez bir çerçevedir. Kağıt üzerindeki her şey –SWOT analizleri, prosedürler, iş akış şemaları– aslında bu kültür süzgecinden geçer. Eğer bu süzgeç delik deşikse veya eğri büğrüyse, en parlak Harvard iş planları bile duvara toslar.
İç denetim ve risk yönetimi dünyasında ise bu görünmez çerçeve, tam olarak Kontrol Ortamı dediğimiz yapının takendisidir. COSO İç Kontrol Çerçevesi’nin en dibindeki, en temel taşıdır. Peki, neden bazı şirketlerde 50 sayfalık harcama prosedürüne rağmen sahte faturalar dönerken, diğerlerinde basit bir e posta teyidi bile milyon dolarlık riskleri anında önleyebiliyor? Cevap, kültürün derinliğinde ve kontrol ortamının sağlamlığında saklı.
Bu yazıda, bu “görünmez omurga”yı didik didik edeceğiz. Masaya teoriyi de koyacağız, acı tecrübeleri de. Hazırsanız! organizasyonların ruhuna doğru uzun ama keyifli bir yolculuğa çıkalım.
Kültürün Tanımı: “Kimse Bakmadığında Yapılanlar”
Kurumsal kültür, duvarlara asılan çerçeveli “Misyon-Vizyon” levhalarından çok daha fazlasıdır. O, canlı bir organizmadır. Ofisteki şakalaşma tarzı, bir hatanın ardından yükselen ilk ses tonu, başarısızlık durumunda gözlerin kime çevrildiği… İşte bunlar kültürün yapı taşlarıdır.
Şöyle bir düşünce deneyi yapalım: Aynı sektörde, aynı büyüklükte, hatta aynı ERP yazılımını kullanan iki şirket hayal edin.
A Şirketi: Bir hata yapıldığında ekip anında bir “post-mortem” toplantısı yapar. Odadaki soru şudur: “Süreçte nerede kırılma oldu da bunu öngöremedik? Bir daha olmaması için sistemi nasıl değiştirelim?”
B Şirketi: Aynı hata yapıldığında herkes bilgisayarının başında sessizliğe gömülür. Toplantı yapılırsa tek gündem maddesi vardır: “Bunu kim yaptı? Bu işin vebali kimin?” Raporlar halının altına süpürülür, bir sonraki patlamaya kadar beklenir.
Aradaki fark yazılımda prosedürde değil ya da bütçede. Aradaki fark Kültür.
Kültürün en kritik gücü, davranışları standartlaştırmasıdır. Çalışanlar, oryantasyon kitapçığını okumadan çok önce, müdürlerinin bir tedarikçi telefonundaki üslubunu, bir kriz anındaki panik seviyesini ya da bir harcama onayındaki kararlılığını izler. Eğer Genel Müdür “etik” kelimesini sadece yılbaşı kokteylinde kadeh kaldırırken kullanıyor, ama ayın 29’unda “Bu işi bitir kardeşim, nasıl bitirdiğin umurumda değil” mesajı veriyorsa, o kurumda ISO 31000 sertifikaları da olsa, COSO çerçevesi de uygulansa çöker.
2000’lerin başında Enron. Şirketin lobisinde “Dürüstlük, Saygı, Mükemmellik” yazıyordu ama içerideki kültür, açgözlülüğü ve kısa vadeli kazancı kutsuyordu. Sonuç: Bir gecede yok olan servetler ve hayatları kararan binlerce insan. Ya da Türkiye’den daha küçük ölçekli bir örnek: Her şeyin “aile” olarak görüldüğü bazı holdinglerde, patronun yeğenine gösterilen ayrıcalık, tüm organizasyona “Kurallar sadece bizden olmayanlar için” mesajını verir. O noktada iç kontrol sistemi iflas eder, çünkü kontrolün temelindeki adalet algısı çatlamıştır.
Kontrol Ortamı
İç kontrol denince akla hemen imza sirküleri, mutabakat formları veya şifre politikaları gelir. Bunlar binanın kolonlarıdır evet. Ama Kontrol Ortamı, bu binanın üzerine oturduğu zeminin jeolojik yapısıdır. Zemin kaygansa, en sağlam kolonlar bile bir süre sonra yamulur.
COSO çerçevesine göre Kontrol Ortamı; yönetimin felsefesini, etik değerleri, yetki ve sorumlulukların dağılımını, insan kaynakları politikalarını ve kurulun bağımsızlığını kapsar.
Güçlü bir kontrol ortamının belirtileri nelerdir?
Tepedeki Ses (Tone at the Top): Yönetim Kurulu Başkanı ve CEO, bir karar alırken sadece “Bu SPK mevzuatına uygun mu?” diye sormaz. Asıl soru şudur: “Bu yaptığımız doğru mu? Bunu yarın gazetede okusak utanır mıyız?”
Yetki Matrisinin Netliği: Kimin hangi limite kadar onay verebileceği belirsiz değildir. “Şefim bakar, olmazsa genel müdüre sorarız” gibi bir gri alan kalmamıştır. Sistem, yetkiyi şahsileştirmez, kurumsallaştırır.
Hata Kültürü: Hata yapan değil, hatayı gizleyen cezalandırılır. İhbar (Whistleblowing) mekanizmaları öcü gibi gösterilmez, aksine kurumsal bir termostat olarak kutsanır.
Yetkinlik Yönetimi: İşe alımda referans değil, liyakat ön plandadır. Finans departmanının başına mühendis, iç denetimin başına hukukçu değil; işin ehli insanlar getirilir.
Zayıf bir kontrol ortamı ise tam bir sessiz sedasız çöküş hikayesidir. Kontroller “işi yavaşlatan angarya” olarak görülür. Bir benkada kredi komitesi kararı olmadan verilen “ufak bir istisna”, bir yıl sonra yüz milyonluk batık kredinin ilk adımıdır. Türkiye’deki KOBİ’lerin en büyük handikapı tam da burada başlar: Patron Karizması vs. Sistem Disiplini. Patronun iki dudağı arasındaki karar, tüm kontrol ortamını ezip geçebilir. Bu, kısa vadede hız kazandırır ama uzun vadede şirketi bir kumar masasına çevirir.
Etik İklimin İç Denetime Yansıması
Bir iç denetçi olarak sahada geçirdiğim yıllar bana şunu öğretti: Bir şirkete adım attığınız anda kültürü koklarsınız. Güçlü etik iklime sahip bir kurumda iç denetçi, okul müdürü veya trafik polisi gibi karşılanmaz; aile hekimi gibi karşılanır. Çalışanlar “Aman yakalanmayalım” diye stres yapmaz, aksine “Şurada bir sıkıntı var, bir bakar mısınız?” diye kendi kendini ihbar eder. Çünkü bilirler ki amaç suçlu avlamak değil, sistemi iyileştirmektir. En kritik gösterge Sessiz Risk Birikimidir. Bir şirkette çalışanlar “Bir şey söylersem başım belaya girer, aman bana dokunmayan yılan bin yaşasın” diyorsa, orada SAP’nin en son modülü de kurulu olsa, Blockchain ile fatura da kesilse hırsızlık önlenemez. Çünkü en büyük kontrol mekanizması olan insan vicdanı devre dışı kalmıştır.
Denetim raporlarında artık sadece “Fiş ekinde KDV faturası yok yazmıyoruz. Modern iç denetim, Kültür Bulguları yazmaya başlamıştır.
Bulgudan Örnek: “Son 6 ayda satın alma sürecindeki yetki limit aşımlarının %85’i aynı üç kişi tarafından yapılmıştır. İlgili kişiler ‘İş acildi, sonra onaylatırız’ ifadesini kullanmıştır. Bu durum, prosedür ihlalinden ziyade aciliyetin kuralların önüne geçtiği bir kültürel zafiyete işaret etmektedir.”
Şeffaflık ve “İstisna” Tuzağı
Şeffaflık denince akla her şeyin herkese açık olması gelmesin. Şeffaflık, kararın izlenebilir olmasıdır. Bir harcama yapıldığında geriye dönüp baktığınızda “Neden bu tedarikçi seçildi? Neden bu fiyat verildi?” sorularının cevabını bulabiliyor musunuz? İşte şeffaflık budur.
Buradaki en büyük düşman İstisna Kültürüdür.
Başlangıçta çok masumdur: “Hocam bu seferlik olsun, müşteri kapıda bekliyor, imzayı sonra atarız.”
Birkaç ay sonra: “Bu tedarikçi bizim eskidir, onun için ihale yapmaya gerek yok.”
Birkaç yıl sonra: “Kurallar sokaktaki adam için, biz bu şirketin sahibiyiz.”
İstisnalar sistematik hale geldiğinde, kontrol ortamı çürür. İç denetim bu noktada bir dedektif gibi çalışır: Bu istisnaların arkasında bir usulsüzlük mü var, yoksa süreç mi hatalı kurgulanmış? Çoğu zaman cevap, sürecin hantal olmasıdır. Eğer bir çalışan işini yapmak için sürekli kural delmek zorunda kalıyorsa, sorun çalışanda değil, süreci tasarlayan kültürdedir.
Liderliğin Gücü
Bu bölümü kısa tutup öz yazacağım çünkü işin özü burada bitiyor.
Bir yönetici, bütçe hedefini tutturmak için bir kereliğine “o kontrol adımını atlasanız da olur.” derse, tüm organizasyona şu mesajı vermiş olur: “Burada başarı, etikten daha değerlidir.”
Tersine, bir CEO’nun kendi taksi fişini inceleyip “Bu fişte KDV yok, KDV’siz ödeme yapmayın lütfen” demesi, 100 sayfalık bir iç kontrol genelgesinden daha etkilidir. Bu, çalışanın zihnine kazınır.
Gerçek liderlik, iç denetim raporlarındaki bulguları silah değil, reçete olarak görmektir. Denetim size bir açık gösterdiğinde, savunmaya geçip “Bu çok detay” demek yeriene, “Teşekkürler, bunu düzeltmek için hemen aksiyon alalım” demek, o şirketin 10 yıl sonra da var olacağının en büyük teminatıdır.
Vaka Analizi
Senaryo:
Bir üretim şirketinin girişinde dev bir LED ekranda şu yazıyor: “Dürüstlük Şeffaflık Sürdürülebilir Mükemmellik”
Ancak yapılan rutin iç denetimde şu bulgulara rastlanıyor:
Satın alma direktörü, kuzeni olan bir tedarikçiyle yıllardır ihalesiz çalışıyor ve piyasa fiyatının %15 üzerinde ödeme yapıyor.
Kalite kontrol raporları, sevkiyat yetişsin diye üretim müdürünün baskısıyla “olumlu” gösteriliyor.
Çalışanlar, etik hattı aramanın kariyer intiharı olduğunu düşünüyor.
Analiz:
Bu şirkette Kontrol Ortamı tamamen çökmüştür. Duvardaki LED ekran Vitrin Kültürü, satın almacının yaptığı ise Gerçek Kültürdür. İç denetim burada durumu tespit edip “Satın Alma Prosedürüne Uyulmuyor” yazmakla yetinemez. Bu rapor, Yönetim Kurulu’na “Kültürel Çöküş Uyarısı” olarak gitmelidir.
Çözüm, satın almacıyı kovmak değildir (o sadece semptomdur). Çözüm, yönetim kurulunun bağımsız üyelerinin bu durumu sorgulaması ve CEO’nun neden bunu görmediğini sormasıdır.
Sonuç: Kültür, En Sert Kontroldür
Kurumsal kültür, kontrol ortamının görünmez omurgasıdır. Bu omurga dik durduğunda kurum, ekonomik krizlerde, regülasyon değişikliklerinde ya da yetenek savaşlarında dimdik ayakta kalır. Unutmayalım ki en iyi yazılmış prosedür bile, kötü niyetli bir kültürün elinde suistimal aracına dönüşür.Güçlü bir kültür, şeffaf bir yönetim ve “ne yaparsam yapayım ama dürüst olayım” diyen bir liderlik bir araya geldiğinde iç denetim sadece geçmişin hatalarını bulan bir mekanizma olmaktan çıkar. O, şirketin geleceğini garanti altına alan stratejik bir duruş haline gelir.
Çünkü gerçek kontrol, imza sirkülerinde değil, insanların vicdanında başlar.
