Enron Skandalı: Denetim ve Kurumsal Yönetişimin Dönüm Noktası - 2

Bu bölümde, Enron skandalı sonrasında şekillenen yasal düzenlemeler ve kurumsal yönetim yaklaşımları ele alınacaktır. Bu yazıya geçmeden önce, eğer ilk bölümü okumadıysanız “Enron Skandalı: Denetim ve Kurumsal Yönetişimin Dönüm Noktası – 1” kaleme aldığım yazıma buradan ulaşabilirsiniz. Böylece bu bölümde ele alacağım sürecin nasıl şekillendiğini daha net görebilirsiniz.

Küresel finans tarihinin en çarpıcı şirket çöküşlerinden biri olan Enron skandalı, yalnızca bir muhasebe hilesi vakası değil; aynı zamanda kurumsal yönetim, iç denetim ve etik sorumluluk kavramlarının yeniden tanımlanmasına yol açan bir dönüm noktasıdır. Bu skandalın ardından yürürlüğe giren Sarbanes-Oxley Yasası (SOX) ve sonrasında geliştirilen COSO Kurumsal Risk Yönetimi (ERM) çerçevesi hem denetim mesleğinin rolünü hem de şirketlerde hesap verebilirlik anlayışını kökten değiştirmiştir.

Bu yazıda, Enron sonrası dönemde denetim mesleğinde yaşanan bu yapısal dönüşüm, SOX ve COSO ERM’in getirdiği yeni standartlar ve bu sürecin Türkiye’deki iç denetim uygulamalarına yansımaları ele alınmaktadır.

Skandalın Mirası: Sarbanes-Oxley Yasası ve COSO ERM ile Yeni Bir Dönem

Enron ve WorldCom gibi büyük ölçekli iflas skandalları, yalnızca yatırımcıları değil, tüm küresel sermaye piyasalarını derinden sarsmıştır. ABD’de yaşanan bu gelişmeler sonrasında, işletme yöneticilerinin ve çalışanlarının hileli uygulamalara başvurmalarını önlemek, finansal raporlamada güveni yeniden tesis etmek ve paydaşları korumak amacıyla 2002 yılında Sarbanes-Oxley (SOX) Yasası yürürlüğe girmiştir.

SOX, yalnızca finansal raporlamayı düzenleyen bir yasal metin değil aynı zamanda kurumsal yönetişim ve denetim anlayışında devrim niteliğinde bir dönüm noktası olmuştur.

Yasanın temel amacı, halka açık şirketlerin yatırımcılar nezdinde güvenilirliğini artırmak ve finansal raporlamada şeffaflığı sağlamaktır. SOX, özellikle iç kontrol, denetim bağımsızlığı ve yönetim sorumluluğu konularında köklü değişiklikler getirmiştir. Yasanın dikkat çeken bölümleri şunlardır:

• Bağımsız Denetim ve Danışmanlık Ayrımı (Bölüm 201): Bağımsız denetim kuruluşlarının aynı müşteriye hem denetim hem de danışmanlık hizmeti vermesi yasaklanmıştır. Bu madde, Enron sürecinde Arthur Andersen’in yaşadığı çıkar çatışması gibi durumların tekrar etmesini önlemeyi hedeflemiştir.

• Denetçi Bağımsızlığının Artırılması (Bölüm 203): Belirli bir süre sonunda denetçi ekiplerin değiştirilmesi zorunluluğu getirilmiştir. Böylece denetçi ile müşteri arasındaki uzun vadeli ilişkilerden doğabilecek bağımlılık ve tarafsızlık kayıplarının önüne geçilmesi amaçlanmıştır.

• Üst Yönetim Sorumluluğu (Bölüm 302): Halka açık işletmelerin finansal raporlarının, doğrudan Genel Müdür (CEO) ve Mali İşler Müdürü (CFO) tarafından imzalanması zorunlu hale getirilmiştir. Bu düzenleme, yönetimin finansal tabloların doğruluğundan bizzat hukuki sorumluluk taşımasını sağlamıştır. Böylece üst yönetimin, tıpkı Enron'da olduğu gibi, "bilmiyorduk" mazeretinin arkasına sığınmasını engellemiş ve raporlamada hesap verebilirliği en üst seviyeye çıkarmıştır.

• İç Kontrol Raporlaması (Bölüm 404): Şirket yönetimi, finansal raporlamaya ilişkin iç kontrol sisteminin etkinliğini her yıl değerlendirmek ve bu konuda rapor hazırlamakla yükümlü kılınmıştır. Ayrıca bağımsız denetçiler, işletmenin iç kontrol sistemine ilişkin görüş bildirmekle sorumlu tutulmuştur.

• Belge Saklama ve PCAOB Düzenlemeleri (Bölüm 802): Denetim belgelerinin en az 5 yıl süreyle saklanması zorunlu hale getirilmiş, aynı zamanda Public Company Accounting Oversight Board (PCAOB) kurulmuştur. PCAOB, denetim standartlarını belirleyen ve denetim firmalarını denetleyen bağımsız bir kamu otoritesi olarak faaliyet göstermeye başlamıştır.

SOX yasasıyla birlikte finansal raporlama süreçleri daha sıkı bir yasal çerçeveye kavuşmuş, hesap verebilirlik kavramı kurumsal yönetimin merkezine yerleşmiştir.

Sarbanes-Oxley Yasası’nın uygulanmasıyla birlikte, işletmelerde risk yönetimi anlayışı da köklü bir değişim geçirmiştir. Geleneksel olarak finansal risklere odaklanan dar kapsamlı risk yönetimi anlayışı yerini, tüm organizasyonu kapsayan bütünleşik bir risk kültürüne bırakmıştır.

Bu dönüşümün sonucu olarak, 2004 yılında COSO Kurumsal Risk Yönetimi – Bütünleşik Çerçeve (COSO ERM) yayımlanmıştır. COSO ERM, SOX’un getirdiği iç kontrol ve yönetişim prensiplerini genişleterek, risk yönetimine sistematik bir yaklaşım kazandırmıştır. Bu çerçeve:

• Risk iştahı, risk toleransı, risk zekâsı gibi kavramları tanımlamış,

• Kurumların riskleri yalnızca finansal açıdan değil, stratejik, operasyonel, uyum ve itibar boyutlarıyla da ele almasını sağlamış,

• Yönetim kurullarına, riskleri izleme ve kontrol etme konusunda daha aktif bir rol yüklemiştir.

Sarbanes-Oxley Yasası ve COSO ERM çerçevesi, denetim mesleğinin rolünü kökten değiştirmiştir. Artık denetçiler yalnızca finansal tabloların doğruluğunu kontrol etmekle kalmayıp, aynı zamanda işletmenin iç kontrol sisteminin etkinliğini, kurumsal yönetişim yapısının sağlamlığını ve risk yönetimi süreçlerinin olgunluğunu da değerlendirmekle yükümlüdür.

Bu yapısal dönüşüm, iç denetim fonksiyonunu bir kontrol mekanizması olmaktan çıkararak kurumsal güvenin, etik kültürün ve sürdürülebilirliğin teminatı haline getirmiştir.

Enron Skandalının Türkiye’de İç Denetime Etkisi

Enron skandalının ardından Türkiye de dünya genelinde olduğu gibi, iç kontrol ve denetim mekanizmalarını güçlendirmeye yöneldi. Düzenleyici kurumlar SPK (Sermaye Piyasası Kurulu) ve BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) ile yeni Türk Ticaret Kanunu (6102) çerçevesinde yapılan düzenlemeler, şirketlerin iç kontrol yapısında daha net sorumluluklar belirledi. Örneğin:

• SPK Düzenlemeleri: 2002’de ve 2006’daki yayınlarla Sarbanes-Oxley (SOX) Yasası’na paralel hükümler yer almıştır. Bu tebliğler yöneticilerin mali tablo onayından (yönetici sorumluluğu) denetim komitelerinin kurulmasına, denetim ve danışmanlık hizmetlerinin ayrılmasından denetçi rotasyonuna ve cezai yaptırımlara kadar birçok konuyu kapsar. Örneğin SOX’un 301. maddesi gibi yönetim kurulu bünyesinde denetim komitesi kurulması zorunlu kılınmıştır.

• BDDK Düzenlemeleri: Bankalar Kanunu’nda, karşılaştıkları riskleri izlemek ve kontrol etmek amacıyla yapısına uygun “etkin bir iç denetim ve risk yönetim sistemi” kurmakla yükümlü kıldı. Bunu takiben BDDK, bankaların iç denetim ve risk yönetim sistemlerine yönelik özel yönetmelikler yayımladı ve bu sistemlerin COSO gibi uluslararası standartlara uygun hale getirilmesini şart koştu.

• Yeni Türk Ticaret Kanunu (6102): 2011’de yayımlanan ve 2012’de yürürlüğe giren yeni TTK, eski murakıplık (şirket içi denetçi) uygulamasını kaldırarak anonim şirketlerde bağımsız denetim modelini getirdi. Yeni kanun; şeffaflık, hesap verebilirlik ve sorumluluk ilkelerine vurgu yaparak bağımsız denetçiyi zorunlu kılmış, denetçiler için yedi yıllık hizmet sınırı getirip denetim ile danışmanlık hizmetlerinin birlikte verilmesini yasaklamıştır. Ayrıca, mali tabloların Türkiye Denetim Standartları’na uygun denetlenmesi ve faaliyet raporlarının kamuya açıklanması gibi yenilikler de getirilmiştir.

Türkiye’de özellikle halka açık şirketlerde bu düzenlemeler doğrultusunda iç denetim birimleri güçlendirildi. Bu şirketlerde iç denetim ekipleri, Sarbanes-Oxley’ın 404. maddesine benzer şekilde süreç ve iç kontrol etkinliğini düzenli olarak test eder ve sonuçları yönetim kuruluna raporlar. Diğer yandan, kurumsal yönetim ilkeleri kapsamında şirketlerde çeşitli kurullar kurulmuş; denetim komiteleri, etik komiteleri ve risk yönetimi birimleri aktif roller üstlenmiştir. Bu yapılar, şirket içi kontrollerin etkinliğini artırmayı ve yöneticilerin hesap verebilirliğini sağlamayı hedefler. Örneğin SPK düzenlemeleri, iç denetim ile dış danışmanlığın ayrılmasını öngörmüş; denetim komitelerinin yeterli sayıda üyeden oluşup düzenli rapor sunmasını şart koşmuştur. Kısacası, Türkiye’de krize yanıt olarak çıkarılan bu düzenlemeler ile şirketlerde denetim, şeffaflık, bağımsızlık ve etik değerler ön planda tutulan bir yapı kazandırılmıştır.

Enron/SOX Mirasına Karşılık Türkiye'deki Düzenleyici Eşleşmeler aşağıdaki tabloda gösterilmiştir:

SOX Ana Hedefi / Bölümü	Uygulama Alanı	Türkiye'deki İlgili Düzenleyici Mekanizma	Kapsadığı Düzenleyici Kurum
Finansal Raporlama Doğruluğu ve Yönetici Sertifikasyonu (SOX 302)	Finansal şeffaflık, kişisel sorumluluk.	Kurumsal Yönetim Tebliği Kapsamında Yönetim Kurulu Beyanları.	SPK
İç Kontrollerin Etkinliği ve Belgelenmesi (SOX 404)	Süreç kontrol etkinliğinin periyodik testi ve güvence raporlaması.	İç Denetim Birimlerinin Riske Dayalı Denetim Uygulamaları ve Denetim Komitesine Raporlama.	SPK, BDDK
Riskin Erken Tespiti ve Yönetimi	Şirket varlığını tehlikeye atan stratejik risklere karşı proaktif önlem.	Riskin Erken Saptanması ve Yönetimi Komitesi (REYK) (TTK m.378).	Türk Ticaret Kanunu (TTK)
Etik ve Muhbir Korunması (SOX 806)	Kurumsal etik kurallar ve usulsüzlük bildirim mekanizmaları.	SPK Etik Kuralları (II-17.1), TİDE Etik Kuralları.	SPK, TİDE

Sonuç olarak; Enron skandalı, finansal sistemin yalnızca sayılarla değil, etik değerlerle de ayakta kalması gerektiği gerçeğini ortaya koydu. Skandalın iç denetim camiasına bıraktığı net mesaj şudur: “Denetim yalnızca hata bulmak değil, güven inşa etmektir.” Bu yaklaşım artık iç denetimin temel felsefesidir. Olay, iç denetim fonksiyonunun kurum içindeki rolünü yeniden tanımladı; denetim artık sadece hataları tespit etmekle kalmayan, aynı zamanda kuruma güven tesis eden bir mekanizma olarak görülüyor. Bu çerçevede bugün iç denetçilerin en önemli sorumluluğu, geçmişte benzer vakaların tekrarını önlemek için kurumsal yapıya şeffaf, bağımsız ve etik bir kontrol kültürünü entegre etmektir. Enron’dan çıkarılması gereken en büyük ders ise şudur: “Denetim sadece bir kontrol faaliyeti değil, kurumun vicdanıdır.” Bu anlayışla hareket eden kurumlar hem paydaş güvenini sağlamlaştıracak hem de finansal piyasalarda istikrarı güçlendirecektir.

 

Yararlanılan Kaynaklar:

1. Akalan, İlayda (2021).  Enron Skandalı Ve Beraberinde Gelen Sarbanes-Oxley Yasası’nın Türkiye Üzerindeki Etkileri, Yüksek Lisans Tezi.
2. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) (1999). 4389 Sayılı Bankalar Kanunu.
3. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) (1999).  4389 Sayılı Bankalar Kanunu.
4. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) (2001). Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik, Resmî Gazete.
5. ChatGPT.
6. COSO (Committee of Sponsoring Organizations of the Treadway Commission) (2004). Enterprise Risk Management: Integrated Frameworki
7. Gemini.
8. DeepSeek.
9. Kaya, M. (2017). Türkiye’de İç Denetim Uygulamalarının Gelişimi ve SOX 404 Maddesi ile Karşılaştırılması. Mali Çözüm Dergisi, 27(142), 103–120.
10. Koban, Ahmet Oğuz; Karakaya, Gencay (2022). Enron Vakasının Denetim, Risk Yönetimi Ve İç Kontrol İlkeleri Çerçevesinde İncelenmesi, Denetişim Dergisi.
11. Kurnaz, M. (2025). Enron Skandalı ve Kurumsal Yönetim Üzerine Bir Değerlendirme – Blog Yazısı. [arzumkaya.com / blog].
12. Özer, G. & Topal, Y. (2014). Sarbanes–Oxley Yasası Sonrası Türkiye’de Kurumsal Yönetim Uygulamaları ve İç Denetim Fonksiyonu. Muhasebe ve Finansman Dergisi, 61(3), 45–62.
13. Sarbanes-Oxley (SOX) (2002). Sarbanes-Oxley Yasası.
14. Sermaye Piyasası Kurulu (SPK). Kurumsal Yönetim Tebliği (II-17.1).
15. Sermaye Piyasası Kurulu (SPK) (2002). Sermaye Piyasasında Bağımsız Denetim Hakkında Tebliğ.
16. Sermaye Piyasası Kurulu (SPK) (2006). Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ.
17. Türedi, H. (2019). Türk Ticaret Kanunu Kapsamında Bağımsız Denetim ve Kurumsal Yönetim İlişkisi. İstanbul Üniversitesi İşletme Fakültesi Dergisi, 48(2), 221–240.
18. Türk Ticaret Kanunu (TTK) (2011). 6102 Sayılı Türk Ticaret Kanunu.
19. Türk Ticaret Kanunu (TTK) (2011). No. 6102, Resmî Gazete.
20. Türkiye İç Denetim Enstitüsü (TİDE). Mesleki Etik Kuralları.