Bu özet bilgi notu, iç denetim konusunda hızlıca bilgi edinmek, ne olduğunu ve ne fayda sağlayacağını öğrenmek isteyen şirket sahipleri, yöneticileri, iç denetçiler ve iç denetçi adayları için hazırlanmıştır. İç denetim ile ilgili konularda daha detaylı bilgi almak için sitemizde yer alan diğer makaleleri ya da Kurumsal Performansı Artırmak İçin İç Denetim, İç Kontrol ve Risk Yönetimi kitabımı, www.yaklasim.com adresinden temin etmenizi öneriyorum.

 

İç denetim: Bir kurumun amaçlarına ulaşmasına yardımcı olmak üzere, o kurumun risk yönetimi, kontrol ve kurumsal yönetim süreçlerini değerlendirerek, bu süreçleri iyileştirmek ve geliştirmek amaçlı yapılan denetim ve danışmanlık faaliyetidir.

 

Çağdaş iç denetim anlayışna “risk esaslı (odaklı) iç denetim” denilmektedir.

 

Çağdaş iç denetim anlayışı, klasik iç denetimden farklıdır. Klasik iç denetim (mali kontrol, teftiş, vs.) geçmişe dönük olarak yapılan iş, işlem, kayıt ve belgelerin mevzuata, düzenlemelere, standartlara uygunluğuna bakar.

 

Klasik iç denetim;

• Hata bulmak üzerine odaklıdır.
• Hatanın kaynaklandığı sistemsel sorunları, zafiyet ve darboğazları ele almaz
• Tüm departmanları her yıl denetlemek esasına dayanır.
• Belge, doküman, kayıt üzerinden yürütülür.

 

Risk esaslı iç denetim;

• Hatanın kaynağını bulmaya çalışır. Hatalardan çok sistemler, süreçler ile ilgilidir.

 

• Süreç bazlı yapılır.
  • Süreç: Başı ve sonu belli olan, bir amacı olan, çeşitli departmanlardan geçen iş ve faaliyetler zinciridir. Belirli girdilerin, işlenerek çıktılara dönüşümünü ifade eder.
  • Örneğin; üretim süreci, tedarik süreci, stok yönetimi süreci, mali tablo hazırlama süreci, maaş ödemeleri süreci, işe alım süreci gibi.

 

• Risk esaslı denetim kurum genelinde risk yönetimi ve kontrol sistemlerinin, uygulamalarının denetimidir.
  • Risk: Bir kurum/sürecin amaç ve hedeflerine ulaşmasını engelleyen her tür olay.
  • İç kontrol: Riskleri azaltmaya yönelik olarak kurum/süreç yönetimince alınan tedbirler
    • Yaygın iç kontrol örnekleri:
      • Görevler ayrılığı
      • Yetkilendirme / Onaylar
      • Varlıklara erişimin sınırlandırılması
      • Otomasyon kontrolleri
      • 2 çift göz prensibi
      • Süpervizyon ve rutin yönetici kontrolleri
      • Gözetim
      • Mevzuat, politika ve prosedürler
      • Mutabakat ve doğrulamalar
      • Fiziksel güvenlik uygulamaları
      • Olağanüstü durum planlaması ve iş sürekliliği uygulamaları
    • Risk Yönetimi: Kurum/süreçte risklere yönelik olarak hayata geçirilen tüm stratejiler;
      • Yaygın risk yönetim stratejileri:
        • Risk azaltmak (iç kontroller)
        • Risk transfer etmek (sigorta, outsourcing)
        • Riski paylaşmak (iş ortaklıkları, özel antlaşmalar)
        • Riski yaymak (farklı sektörlere yatırım, yatay-dikey entegrasyonlar)
        • Riskten kaçınmak (süreç ya da faaliyeti kapatmak, iş koundan çıkmak)
        • Riski kabullenmek (izlemek ama tedbir almamak)
    • Operasyon: Yürütülen tüm iş ve faaliyetler

Risk esaslı iç denetimde iç denetçinin temel odağı amaç ve hedefleri engelleyen riskler ve bunların nasıl yönetildiğidir. Riskler bir kurumun amaç ve hedeflerini aşağıdaki unsurları tehdit ederek engeller;

• • Mali ve operasyonel raporlamalarının doğruluğu ve tamlığını
  • Varlıklarını (Nakit, demirbaş, teknolojik, insan kaynakları)
  • Strateji ve planlarını
  • Projelerini
  • Operasyonlarının etkin ve verimli çalışmasını
  • İç ve dış düzenlemelere uygun faaliyet gösterilmesini
  • Bilgi teknolojilerini

 

Bu bakımdan riskler kuruma mali, yasal, itibar veya stratejik boyutlarda zarar veren tehditlerdir. Mutlaka iyi yönetilmeleri gerekir. Bu risklerin kurum genelinde iyi yönetilip yönetilmediğini iç denetçiler değerlendirir ve buna dair güvence sağlar.

 

Bir kurumda pek çok farklı türde risk bulunur:

 

• Sistemsel risk- Kurumun bağlı olduğu sistemin tümünü etkileyen risklerdir. Bir noktada başlayıp, sistemin tümü için yıkıcı hale dönüşürler. Sistemsel riskler genellikle yarattıkları etki son derece yıkıcı olan risklerdir. Kurumdan, sektör geneline, oradan da ülke ve uluslararası ortamlara sıçrayabilirler.

 

• Stratejik risk- Üst yönetimin hatalı veya geç kararlar alması, alınan kararların düzgün şekilde uygulanmaması veya gerçekleşen önemli değişikliklere duyarlı davranılmamasından  kaynaklanabilecek risklerdir. Amaç ve hedeflerin doğru belirlenemesi, örgüt genelinde etkin bir kontrol sistemi sağlanaması ve kurumsal yönetim düzenlemelerine uygun hareket edilmemesi gibi üst düzey yönetsel hususlardan da kaynaklanabilmektedir. Stratejik riskler genellikle kurumların ekonomik sürekliliğini tehlikeye atan ve özellikle paydaşlar açısından önemli kayıplara neden olabilecek risklerdir.

 

• İmaj ve İtibar riski- Kurumun imaj ve itibarını zarara uğratan risklerdir. Bu riskler itibar kaybının yanı sıra, finansal, yasal ve stratejik risklere de dönüşerek önemli kayıplara yol açabilir. Risk olarak önemi son yıllarda artış gösterse de genellikle ihmal edilen bir risk türüdür. Bazı kaynaklarda operasyonel risklerin altında yer alabilmektedir.

 

• Yasal Risk- Kanunların ve yasal düzenlemelerin değişmesinden, bunların yanlış anlaşılmasından ve bunlara uyulmamasından kaynaklanan risklerdir. Yasal riskler kurumları sadece yasal değil, finansal ve itibar açısından da zor duruma sokabilir. Yasal riskler, kurum içi ve dışı düzenlemeler ile bunlardaki değişikliklerin yakından takip edilmesini gerektirir. Ayrıca operasyonlar, müşteri ilişkileri, insan kaynakları ve çevresel konulardan dolayı ortaya çıkabilecek sorunlar yasal bir boyut kazanabilmektedir.

 

• BT riskleri- Bilgi teknolojisi riskleri kurumların yazılım, donanım, sistem veya planlama ile ilgili yetersizlik, hata veya yanlış yönetimlerinden kaynaklanan risklerdir. BT riskleri genellikle operasyonel riskler altında ele alınmakla birlikte, son yıllarda bilgi teknolojisi ve sistemlerinin yaygınlaşması ve operasyonlar ile entegre hale gelmesi ile başlı başına ele alınması gereken önemli bir risk türü olarak dikkat çekmektedir.
  

 

• Kredi riski- Kredi verilen tarafın yükümlülüklerini gerçekleştirememe riskidir. Kredi riski özellikle bankacılık sektöründe önemli bir risk türüdür. Ölçülmesi ve yönetilmesi için görece standart yöntemler geliştirilmiştir. Kredi riski, finansal risk kategorisi altında incelenmekte olan bir risk türüdür.

 

• Piyasa riski- Piyasada meydana gelen değişikliklerden (faiz oranları, döviz kurları vb.) kaynaklanan risklerdir. Dışsallık arz ederler. Makro ekonomik ve finansal yapıdaki değişimlerden kaynaklanırlar. Kurumlar açısıdan etkisi çok yüksek, olasılığının tahmini ise güç olan bir risk türüdür. Kurumların bu riskleri çok sıkı bir şekilde talip etme zorunluluğu vardır. Piyasa riski de genellikle finansal risk kategorisi altında yer almaktadır.

 

• Likidite riski- Kurumun nakit akım yükümlülüklerini zamanında yerine getirememe riskidir. Likidite riski bir para cinsinden kısa vadeli yükümlülüklerin, kısa vadeli varlıkları aşması şeklinde de ifade edilebilir. Likdite, kurumun elindeki nakit, döviz ve menkul kıymetlerden oluşmaktadır. Yeterli likidite bulunmaması halinde, kısa vadeli ve vadesi gelmiş bazı yükümlülüklerin karşılanması mümkün olmayacaktır. Bu bağlamda likdite riski, finansal, yasal ve itibar risklerine hızla dönüşebilme potansiyeli taşır.

 

• Operasyonel risk- Yetersiz sistemlerden, iç süreçlerden veya çalışanlardan kaynaklanabilecek kayıpların gerçekleşme riskidir. Firmaların karşılaştıkları belki de en eski risk türlerinden birisidir. Özellikle günümüzde kurumların teknolojik sistemler ve kilit personele olan bağlılıkları arttıkça, bu risk türünün öneminin arttığı gözükmektedir. Esasen kurumsal ve sistemsel pek çok zaafiyetin arka planında operasyonel riskler vardır.

 

• Yolsuzluk riski- Personel veya üçüncü şahıslar tarafından yapılan sahte işlemler, hile ve sahtekârlıklar, kayıtlarda ve finansal verilerde yapılan tahrifatlar ve varlıkların uygunsuz kullanımı sonucunda oluşabilecek finansal kayıplara ilişkin risklerdir. Yolsuzluk riskleri genellikle operasyonel risklerin yoğun yaşanabileceği ortamlarda gerçekleşir. Yolsuzluk riskleri de ciddi itibar ve finansal risklere dönüşüp, önemli kayıplar yaratabilmektedir.

 

• Risk esaslı iç denetim bir kurumda hem hissedarlara hem de üst yöneticilere fayda sağlar. Hissedarlara şirketin risklerini nasıl yönettiğine dair güvence verir. Bu, sadece mali odaklı değil, kurumun tüm operasyonlarına dair bir güvencedir. Üst yöneticilere de sistemdeki aksaklık, tıkanıklık, darboğaz ve sorunları göstererek, bunlara yönelik çözüm tavsiyelerinde bulunur.

 

• Üst ve orta kademe yöneticilere işlerini geliştirme şansı verir. Onları karşısına almaz, aksine sorunlara onlarla birlikte çözümler arar. Onları destekler. Orta kademe yöneticilerin seslerini üst yöneticilere duyurmalarını sağlar.

 

• İç denetimin amacı kurumda hata bulmak değildir. Eleştirmek değildir. Amaç sistemleri ve süreçleri riskleri daha iyi yönetmeye yönelik olarak geliştirmektir.

 

• İç denetim; iç kontrolleri ve risk yönetim uygulamalarını denetlemek ve bunlarla ilgili danışmanlık hizmeti vermek suretiyle;
  • Kurumun genel risk fotoğrafını çeker. Kurumun risklerini tespit eder, bunları ölçer ve bunları bir risk haritası ile yöneticilerin bilgisine sunar.
  • Operasyonel etkinlik ve verimliliği artırmaya yönelik öneriler yapar
  • Raporlamaların güvenilirliğini sağlamaya yönelik tedbirler alınmasını sağlar
  • İş süreçlerindeki kronik sorun ve zafiyetlere çözüm önerileri getirir.
  • Operasyonların kurum yönetim kurulu ve üst yönetimce koyulan politika ve prosedürlere uygun hareket edip etmediğini araştırır. Eğer politika ve prosedür yoksa bunları oluşturur ve yazılı hale getirir
  • Varlıkların daha iyi korunması veya olası kayıp, kaçak ya da suistimallerin önüne geçilebilmesi için önlemler alınmasına yardımcı olur

 

• İç denetçiler risk yönetimi ve kontrolleri denetleyerek, bunları geliştirerek “kurumsal yönetime” destek verirler. Kurumlarda daha iyi bir kurumsal yönetim tesis etmek için iç denetim en önemli araçtır.
  • Yeni TTK, Basel III düzenlemeleri, SPK tebliğleri, BDDK mevzuatı, şirketlerden daha iyi bir kurumsal yönetim anlayışını talep etmektedir.
  • Kurumsal yönetim bir zorunluluk haline gelmektedir. İyi kurumsal yönetimi tesis etmek ve sürdürmek için şirketlerin bünyelerinde etkin risk yönetimi ve kontrol süreçleri oluşturmaları gerekmektedir.
  • Bu hususlara ilişkin en büyük rehberlik iç denetimden gelir.

• İç denetim hizmeti kurum içinden veya dış kaynak kullanımı ile alınabilir. Her ikisinin de avantaj ve dezavantajları vardır:
  • Her iki şekilde de iç denetim hizmeti yetkin, tecrübeli iç denetçilerce verilemeldir.
  • İç denetim mali denetim, teftiş, vergi denetimi, kalite denetimi, vs. değildir! İç denetim risklerle ilgilidir. Tercihen CIA belgesi sahibi iç denetçilerce yapılır.

 

Bir kurum iç denetimi yaygın olarak 2 şekilde oluşturabilir:

• İç Denetim Fonksiyonunun Şirket İçinde Kurulumu: Denetim Yöneticisi seçimi, denetçi işe alımı, mevcut adayların eğitimi, iç denetim rehberinin hazırlanması, yönergelerin hazırlanması, çalışma kağıtlarının oluşturulması, kullanılacak yazılımların seçimi, denetim evreninin belirlenmesi, makro risk değerlendirmesi ve iç denetim planlamasının yapılması, bireysel denetim süreçlerinin yapılandırılması, raporlamalar, sahip ve üst yönetici sunumlarının yapılması, iç denetimin pazarlanması
  • Gizliliğe yönelik kaygıları giderir
  • Hizmetin örgüt genelinde kabulünü kolaylaştırır (bizden)
  • Denetlenen süreçlerin yönetici ve çalışanların işbirliği ve katılımını daha iyi sağlar (bizden)
  • Zaman içinde iç denetçilerin kurumu çok iyi tanımalarına imkan verir.

• İç Denetim Outsourcing (Eş kaynak kullanımı): Yukarıdaki tüm hizmetlerin iç denetim danışman/uzmanlarınca, dışarıdan sağlanması.

• • İşi hızlandırır (uzmanlaşma süresi, eğitim, denetim süreleri vs. )
  • Maliyetleri düşürür
  • Uzmanlıktan sonuna kadar faydalanılmasını sağlar
  • İç denetçilerin yönetimden bağımsız çalışmalarını sağlar. Denetim sonuçları daha objektif olur.
  • İşgücü kayıplarını engeller (hastalık, işten ayrılma, vs.)
  • Dışarıdan kişilerin tavsiyelerine daha fazla değer verilir (psikolojik etki)
  • CIA sertifikalı danışmanlardan faydalanılır. Bu sayede bünyede uluslararası standartlarda bir iç denetim hizmeti vardır denilebilir.

 

İç denetim süreci, hangi yolla alınıyor olunsa olsun aşağıdaki aşamalara sahiptir: 

 

1- Denetim evreninin belirlenmesi: (bir kurumda denetlenebilecek tüm alanlar: süreç, sistem, proje, vb.)

- Tüm üst yöneticiler ile departman, şube, birim yöneticileriyle toplantılar yapılır

- Şirket organizasyon yapısı, yönetim anlayışı, kültürü ve operasyonları analiz edilir

- Şirketin iç düzenlemeleri incelenir

- Şirketin iş süreçleri tanımlanmaya çalışılır

 

2- Kurumun iş riski modelinin belirlenmesi (iş riski modeli kurumun risklerin gruplandığı ve risk kategorilerinin belirlendiği aşamadır)

 

3- Makro risk değerlendirmesinin yapılması. Bu bağlamda;

- Kurumu tehdit eden riskler bağlamında risk faktörleri belirlenir (iş riski modelindeki ana risk kategorileri ile ilişkili spesifik risk faktörleri)

- Risk değerlendirme modeli belirlenir (matematiksel modeller)

- Süreçlerin (denetim konuları) risklilik düzeyleri bu model çerçevesinde değerlendirilir

- Süreçler (denetim konuları), değerlendirme sonuçları paralelinde en riskliden en risksize doğru sıralanır

Makro düzeyde risk değerlendirmesi kurum risklerinin üst düzeyde, kuş bakışı bir değerlendirmesinin yapılmasıdır.

Amaç: En riski süreçleri tespit etmektir. Denetimlere bu en riskli süreçlerden başlanır. Denetim kaynakları sınırsız değildir. En riskli süreçler, en çok denetim kaynağını hak eder. Bu nedenle her alan eşit değildir. Daha riskli olan süreçler öncelikle ve sıklıkla denetlenir.

 

4- Stratejik (üç yıllık) ve yıllık denetim planlarının yapılması: Hangi süreçler ne sıra ile, ne sıklıkla ve hangi dönemlerde denetlenecek? Denetimler ne kadar sürecek? Kimlerce yapılacak? Denetim planlaması makro risk değerlendirme sonuçlarına dayanır. Bu noktada Yönetim Kurulu ve Üst Yönetimin de görüş ve önerileri alınır.

 

5- Denetim planlarında yer alan bireysel denetimlerin başlaması

- Süreç bazlı denetim gerçekleştirilir

- Denetimlere, tercihen en riskli süreçten başlanır.

 

6- Bireysel denetimlerin gerçekleştirilmesi:

- Ön hazırlık: denetlenecek sürecin tanınması, araştırılması

- Başlangıç toplantısı yapılması: süreç yönetimi ile toplantı yapılarak denetim hakkında bilgi verilmesi, iyi bir ilişki kurulmaya çalışılması

- Pre-survey (Mikro risk değerlendirmesi): Denetlenen sürecin risklerinin ve kontrollerinin tespit edilmesi, risk yönetimi uygulamalarının belirlenmesi aşamasıdır. Bu amaçla süreci tanımak gerekir.

Aşağıdaki hususlara ilişkin bilgi edinmek için iç denetçiler; mülakat, toplantı, gözlem, inceleme, analtik teknikler, analizler, araştırmalar ve anketlerden faydalanırlar.

1. Sürecin hedefleri, alt süreçler, iş akışları
2. Personel yapısı, örgüt yapısı, stratejileri
3. Kullanılan yazılım, donanım ve diğer önemli araçlar
4. Varlıkları, nakit işlemleri
5. Muhasebe işlemleri, kayıtları
6. Operasyonel ve finansal raporlamaları
7. Yönetim uygulamaları, politika ve prosedürler, ilgili mevzuat
8. Faaliyet raporları
9. Kronik darboğaz, sorun, sıkıntılar, raporlanmış olay ve kayıplar

 

- Risk kontrol matrislerinin (RKM) hazırlanması: yukarıdaki bilgiler ışığında süreç risklerinin ve bunlara yönelik tedbirlerin RKM adı verilen bir araç ile dokümante edilmesi (Excel tabloları veya yazılım çözümleri kullanılabilir)

- Denetim programının hazırlanması: RKM lerdeki risk ve kontrollere yönelik denetim testlerinin belirlenmesi;

1. RKM deki risk yönetim stratejileri
2. RKM’deki kontroller denetlenecektir.
3. Bunların yeterliliği ve etkinliğini değerlendirmeye yönelik testler yapılandırılır:

- RKM de yer alan bir kontrol gerçekten var mı?

- Bu kontrol var ise etkin çalışıyor mu?

- Ne tür ek kontrol veya risk yönetim eylemlerine ihtiyaç var?

- Hangi kontroller verimli değil? Hangileri kaldırılabilir?

 

Saha çalışması ve denetim testlerinin gerçekleştirilmesi: tüm testler çalışma kağıtlarına kayıt edilir

- Pre-survey ve test aşamasında tespit edilen denetim bulgularının ve bunlara yönelik çözüm önerilerinin kayıt altına alınması ve süreç yönetimi ile iletişim halinde nihai hale getirilmesi

 

Kapanış toplantısı: Bulgu ve önerilerin denetlenen süreç yönetimi ile değerlendirilmesi, mutabakat sağlanmaya çalışılması

 

Taslak raporun hazırlanması ve süreç yönetimine gönderilmesi: Bulgulara ilişkin resmi cevapların alınması.

 

Final raporun hazırlanması: yönetici özetinin üst yönetime, tam raporun denetlenen süreç yönetimine iletilmesi.

 

7- Bulgu Takibi: Denetimler sonrası üzerinde mutabık kalınan tüm bulgular takip edilmelidir. Yönetim ile mutabık kalınamayan ve kritik önem arz ettiği düşünülen tüm bulgular Denetim Komitesi ve Yönetim Kurulu’ na hakemlik ve karar amaçlı raporlanır. İç denetimin haklı olduğuna kanaat getirilen bulgular, diğer mutabık kalınmış olan bulgular gibi takibe alınır. Bulgu takibi için bir sistem kurulmalıdır.

 

ÖZETLE;

• İç denetim;
  • Amaç ve hedefleri gerçekleştirmeye yönelik destek verir
  • Kurumun ekonomik devamlılığını sağlamaya yönelik işlev görür
  • Risklerin etkin yönetilmesine dair güvence sağlar
  • Kayıpları engeller, suistimalleri caydırır
  • Kurumsal Yönetimi güçlendirir
  • Hissedar ve yöneticilere mali ve operasyonel her konuda 3. göz olarak nesnel, güvenilir uzman görüşü sağlar.
  • Bu bağlamda iç denetim, şirket hissedar ve yöneticileri için en önemli yönetsel araçların başında gelir.

 

Risk esaslı (odaklı) iç denetim sistemini şirketinizde oluşturmak, dışarından bağımsız iç denetim hizmeti almak ya da bu konularla ilgili kurumsal eğitim talepleriniz için BKYD’ den Mustafa Aygürtaş ile (312) 4425015 numaralı telefondan irtibata geçebilirsiniz.