Yeni Kamu İç Kontrol Rehberi Kapsamında Belediyelerce Yapılması Gereken Çalışmalar

Transkript

1 Yeni Kamu İç Kontrol Rehberi Kapsamında Belediyelerce Yapılması Gereken Çalışmalar Taner ERASLAN Bakırköy Belediye Başkanlığı İç Denetçi 1. Giriş İç kontrol, misyonu gerçekleştirme ve vizyona ulaşma yolunda ortaya çıkabilecek risklerin tespit edildiği ve bu risklere karşı yapılması gereken eylemlerin belirlendiği, sürekli kendini yenileyen bir süreçtir. Dolayısıyla, iç kontrol her işletmede, bir ölçüde kendini göstermekte ve karşımıza çıkmaktadır. İç kontrol için bazı önemli belgelerde aşağıdaki tanımlar yapılmıştır; İç kontrol, bir kurumun yönetimi ve personeli tarafından hayata geçirilen tamamlayıcı bir süreç olup, belirli amaçları gerçekleştirmek suretiyle; kurumun misyonunu başarması için riskleri göğüslemek ve makul bir güvence sağlamak üzere tasarlanmıştır. 1 İç kontrol, genel anlamda bir kuruluşun yönetim kurulu, yöneticileri ve diğer personeli tarafından yönlendirilen ve aşağıdaki hedeflere ulaşmada makul güvence sağlamak üzere tasarlanmış bir süreçtir. 2 İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür. 3 1 INTOSAI GOV 9100, 2004: 6 2 Committee of Sponsoring Organizations of the Treadway Commission- Treadway Komisyonu nu Destekleyen Kuruluşlar Komitesi (COSO) Internal Control Integrated Framework: Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun 55.madde İç kontrol kavramına, lı yıllarda ABD de kamu muhasebesi ve iç denetim meslek kuruluşları tarafından yayınlanan rapor, kılavuz ve standartlarda rastlanmaktadır. Ancak ülkemizde oldukça yeni bir kavramdır. Kamu açısından bakıldığında, iç kontrol kavramının 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu 5 ile çalışma hayatına girdiği söylenebilir. Söz konusu Kanun iç kontrol kavramına ilişkin ayrıntılı düzenlemelere yer vermiştir. Bu kapsamda, söz konusu Kanun un iç kontrol sistemi başlıklı beşinci kısmında aşağıdaki hükümleri düzenlemiştir: 4 İç kontrole ilişkin ilk profesyonel tanım ise Amerikan Menkul Kıymetler Borsası Komisyonunun(SEC) 1949 yılında yayımladığı İç Kontrol: Koordineli Sistemin Unsurları, Yönetim ve Yeminli Mali Müşavirler İçin Önemi başlıklı çalışmada yapılmıştır lerin ortalarında Amerika da Watergate savcısının konuya dikkat çekmesi ile olmuştur. (Kaynak: Çalışma ve Sosyal Güvenlik Bakanlığı İç Kontrol El Kitabı) 5 Kanunun TBMM tarafından kabul edildiği tarih, 10/12/2003 olmakla birlikte, yürürlük tarihi ise dır. MEVZUAT 25

2 İç kontrolün tanımı (Madde 55) İç kontrolün amacı (Madde 56) Kontrolün yapısı ve işleyişi (Madde 57) Ön mali kontrol (Madde 58) Mali hizmetler birimi (Madde 60) Muhasebe hizmeti ve muhasebe yetkilisinin yetki ve sorumlulukları (Madde 61) Muhasebe yetkilisinin nitelikleri ve atanması (Madde 62) İç denetim (Madde 63) İç denetçinin görevleri (Madde 64) İç denetçinin nitelikleri ve atanması (Madde 65) İç Denetim Koordinasyon Kurulu (Madde 66) İç Denetim Koordinasyon Kurulunun Görevleri (Madde 67) Çalışmamızda, iç kontrol kapsamındaki kamuda yapılan değişikleri inceleyerek, son düzenlemeler çerçevesinde belediyelerin hangi çalışmaları, hangi yöntemlerle yapmaları gerektiği konusuna değineceğiz. Bilindiği üzere, Maliye Bakanlığı Bütçe ve Mali Kontrol yeni bir İç Kontrol Rehberi yayımlanmıştır. Bu kapsamda, çalışmamız, söz konusu rehberin neler getirdiğini ve nasıl bir iç kontrol çerçevesi çizildiğini açıklamaya yöneliktir. 2. Ülkemizdeki İç Kontrole İlişkin Temel Düzenlemeler Yukarıda da belirtildiği üzere, iç kontrol kavramının kamuda yer bulması 5018 sayılı Kanun un yürürlüğe girmesiyle olmuştur. Söz konusu Kanun un 55. maddesinin son fıkrasıyla, iç kontrole ilişkin düzenleme yapma yetkisi Maliye Bakanlığına verilmiştir. Bu yetki çerçevesinde, İç Kontrol ve Ön Malî Kontrole İlişkin Usul ve Esaslar 6, yayımlanarak iç kontrole ilişkin önemli düzenlemelere yer verilmiştir. Bu düzenleme ile iç kontrolün temel ilkeleri, unsurları ve genel koşulları ve iç kontrole ilişkin yetki ve sorumluluklar belirlenmiştir. Bu kapsamda: İç kontrol malî ve malî olmayan tüm işlemleri kapsadığı, İç kontrole ilişkin sorumluluğun, işlem sürecinde yer alan bütün görevlileri kapsadığı, İç kontrol faaliyet ve düzenlemelerinde öncelikle riskli alanların dikkate alınması gerektiği, İç kontrol düzenlemeleri ve iç kontrol sisteminin işleyişi, yöneticilerin görüşü, kişi ve/veya idarelerin talep ve şikâyetleri ile iç ve dış denetim sonucunda düzenlenen raporlar dikkate alınarak yılda en az bir kez değerlendirmeye tâbi tutulması gerektiği, Üst yöneticilerin, iç kontrol sisteminin kurulması ve gözetilmesinden, harcama yetkililerinin ise görev ve yetki alanları çerçevesinde, idari ve malî karar ve işlemlere ilişkin olarak iç kontrolün işleyişinden sorumlu olduğu, İdarelerin malî hizmetler biriminin, iç kontrol sisteminin kurulması, standartlarının uygulanması ve geliştirilmesi konularında çalışmalar yapacağı, Şeklinde düzenlemelere yer verilmiştir. Diğer taraftan, Strateji Geliştirme Birimlerinin Çalışma Usul ve Esasları Hakkında Yönetmelik 7 ile de iç kontrole ilişkin önemli düzenlemelere yer verilmiştir. Anılan Yönetmelikle, ancak, malî hizmetler fonksiyonu kapsamında yürütülen iç kontrol faaliyetinin, diğer faaliyetleri yürüten alt birim ve personelden ayrı bir alt birim ve personel tarafından yürütülmesinin zorunlu olduğu belirlenmiştir. Ayrıca, idarelerce, görev alanları çerçevesinde, iç kontrol ve ön malî kontrole ilişkin olarak yapılan düzenlemelerin, üst yöneticinin onayıyla yürürlüğe konulacağı ve üst yönetici onayını izleyen on iş günü içinde Maliye Bakanlığa'na bildirileceği anılan Yönetmelikle düzenlenmiştir. Bu aşamada iç kontrol sisteminde iç denetçilerin de yerini ve önemini kısaca değerlendirmekte yarar görüyoruz. İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmelik 8 ile söz konusu görevlilerin, iç kontrol sisteminin yeterliliği, etkinliği ve işleyişiyle ilgili olarak yönetime bilgiler sağlayacağı, değerlendirmeler yapacağı ve önerilerde bulunacağı şeklinde düzenlemelere yer verilmiştir. İç denetçiler yapacakları sistem denetimi ile denetle- 7 Yayımlandığı Resmi Gazetenin Tarihi:18/2/2006 No: Resmi Gazete: 31/12/ mükerrer 8 Yayımlandığı Resmi Gazetenin Tarihi:12/7/2006 No: Ocak 2015 Yıl: 15 Sayı: 172

3 nen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin yeterliliğinin ölçülmesi suretiyle değerlendirilme yapmak üzere görevlendirilmişlerdir. Anılan Yönetmelik ile iç denetçilerin, iç kontrol sisteminin düzenlenmesi ya da uygulanması süreçlerine ve iç kontrol tedbirlerinin seçimine dâhil edilemeyeceği yer almaktadır. Söz konusu Yönetmelikte ayrıca, kamu idaresinde etkin bir iç kontrolün kurulması ve sürdürülmesinden üst yönetici sorumlu olduğu ve üst yöneticilerin, iç denetçilerden, iç kontrol ilkelerine ve iç kontrol sisteminin oluşturulmasına yönelik görüş alabileceği düzenlemesine yer verilmiştir. Ayrıca iç denetçiler, yıllık iç denetim faaliyet raporunu, iç kontrol sistemine ilişkin genel değerlendirmeyi de kapsayacak şekilde hazırlamak zorundadır. Buraya kadar yer verilenleri kısaca özetlemek gerekirse; iç kontrol çalışmalarının asıl sahibi üst yöneticidir. Üst yönetici bu sorumluluğunu, mali hizmetler birimi, harcama yetkilileri ve iç denetçilerle yerine getirecektir. İç kontrole ilişkin standartlar ve idarelerin yapması gereken çalışmalar ise yine Maliye Bakanlığı tarafından belirlenmiştir. Anılan bakanlıkça, Kamu İç Kontrol Standartları Tebliği 9 hazırlanmıştır. Tebliğ ile kamu idarelerinin iç kontrol çalışmalarının çerçevesi, 5 bileşen (kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim, izleme), 18 standart ve 79 genel şarttan oluşmaktadır. Bir örnek vermek gerekirse; BİLEŞEN (5 tane) STANDART (18 tane) GENEL ŞART (79 tane) Kontrol Ortamı Etik Değerler ve Dürüstlük İç kontrol sistemi ve işleyişi, yönetici ve personel tarafından sahiplenilmeli ve desteklenmelidir. Kontrol ortamı, iç kontrolün diğer unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici tutum, mesleki yeterlilik, organizasyonel yapı, insan kaynakları politikaları ve uygulamaları ile yönetim felsefesi ve iş yapma tarzına ilişkin hususları kapsar. Personel davranışlarını belirleyen kuralların, personel tarafından bilinmesi sağlanmalıdır. Anılan Tebliğe göre, kamu idarelerinin, iç kontrol sistemlerinin Kamu İç Kontrol Standartlarına uyumunu sağlamak üzere; yapılması gereken çalışmaların belirlenmesi, bu çalışmalar için eylem planı oluşturulması, gerekli prosedürler ve ilgili düzenlemelerin hazırlanması çalışmalarını yürütmeleri ve bu çalışmaları en geç tarihine kadar tamamlamaları gerekmektedir. Ancak kamu idarelerinin bu yönde çalışmalarının yetersiz olması nedeniyle, Maliye Bakanlığı bu defa Türkiye deki tüm kamu idarelerine Kamu İç Kontrol Standartları konulu bir genel yazı göndermiştir. Bu yazı ekinde Kamu İç Kontrol 9 Resmi Gazetenin sayı: 26/12/2007 Sayı: MEVZUAT 27

4 Standartlarına Uyum Eylem Planı Rehberi bulunmaktadır. Rehber ile kamu idareleri için iç kontrol çalışmalarında izlenecek yöntem belirlenmiş olup, bu çerçevede; Bir üst yönetici yardımcısı veya harcama yetkilisinin başkanlığında, harcama yetkilileri veya görevlendirecekleri yardımcılarından oluşan bir İç Kontrol İzleme ve Yönlendirme Kurulu ile harcama birimlerinden yönetici veya hiyerarşik olarak harcama yetkilisine en yakın düzeydeki temsilcilerden oluşan bir Kamu İç Kontrol Standartlarına Uyum Eylem Planı Hazırlama Grubunun oluşturulması yerinde olacaktır. Kurul ve Grubun çalışmalarının koordinasyonu ile sekretarya hizmetleri strateji geliştirme birimi tarafından yürütülecektir. Kamu İç Kontrol Standartlarından veya bu standartlara ilişkin genel şartlardan bir kısmını karşılayan ve iç kontrol sisteminin öngördüğü makul güvenceyi sağlayan mevcut düzenleme veya uygulamaların bulunması halinde, bunlara Eylem Planının mevcut durum bölümünde, bu düzenleme veya uygulamaların makul güvence sağladığı ve bu nedenle yeni bir düzenleme veya uygulamaya gerek bulunmadığı hususuna da açıklama bölümünde yer verilmesi gerekmektedir. Öte yandan, Kamu İç Kontrol Standartlarından veya bu standartlara ilişkin genel şartlardan bir kısmını karşılayan ve iç kontrol sisteminin öngördüğü makul güvenceyi sağlayan mevcut bir düzenleme veya uygulama bulunmadığı halde, çeşitli nedenlerle bu alanlara ilişkin çalışmaların plan döneminden sonraki bir tarihe bırakılması halinde de bu duruma nedenleriyle birlikte açıklama bölümünde yer verilmesi gerekmektedir. Örnek bir uygulama aşağıdaki tabloda verilmiştir: Standart Kod No KOS1 Kamu İç Kontrol Standardı ve Genel Şartı Mevcut Durum Eylem Kod No Öngörülen Eylem veya Eylemler Sorumlu Birim veya Çalışma grubu üyeleri İşbirliği Yapılacak Birim Çıktı/ Sonuç Etik Değerler ve Dürüstlük: Personel davranışlarını belirleyen kuralların personel tarafından bilinmesi sağlanmalıdır. Tamamlanma Tarihi KOS 1.1 İç kontrol sistemi ve işleyişi yönetici ve personel tarafından sahiplenilmeli ve desteklenmelidir. Yöneticilerin iç kontrol sistemi ile ilgili bilgilerini arttırılmasına yönelik çalışmaların yapılması gerekmektedir İdarede iç kontrol mevzuatı ve sistemi hakkında rehber hazırlanacak ve tüm personelin kolaylıkla ulaşacağı araçlarla duyurulacaktır. Strateji Geliştirme Müdürlüğü İnsan Kaynakları ve Eğitim Müdürlüğü Rehber 20/01/2015 Bazı kamu idarelerinin uyum eylem planlarını hazırlamamaları veya bu yönde yapılması gereken çalışmalarında eksiklikler bulunması nedeniyle, Maliye Bakanlığı tarafından 02/12/2013 tarihinde bir genelge yayımlanmıştır. 10 Söz konusu genelgede, Sayıştay tarafından Türkiye Büyük Millet Meclisine sunulan 2012 Yılı Dış Denetim Genel Değerlendirme Raporunda iç kontrol çalışmalarında yapılan hatalara veya eksikliklere yer verildiği de vurgulanmıştır Ocak 2015 Yıl: 15 Sayı: 172

5 Söz konusu Genelge, kamu idareleri için oldukça önemli uyarılarda bulunmaktadır. Genelge ile kamu idarelerinden; eylem planı hazırlamayanların hazırlaması, hazırlayanların ise genelgede madde madde sayılan hususları dikkate alarak yeniden 31/12/2014 tarihine kadar hazırlamaları ve üst yöneticinin onayından sonra on iş günü içinde Maliye Bakanlığına göndermeleri istenmiştir. Diğer taraftan, anılan genelge ile idareler tarafından hazırlanan eylem planlarında öngörülen eylemlerin gerçekleşme sonuçlarının, idarelerin strateji geliştirme birimleri tarafından, her yılın haziran ve aralık ayı sonu itibarıyla iki dönem halinde ve eylem plan formatında üst yöneticiye sunulmasına ve birer nüshasının bilgi için on iş günü içerisinde Maliye Bakanlığına gönderilmesine karar verilmiştir. 3. Yeni İç Kontrol Rehberinin Değerlendirilmesi 3.1. Genel Değerlendirme Kamu İç Kontrol Standartlarının uygulanması konusunda kamu idarelerine daha fazla rehberlik yapmak amacıyla, iç kontrol bileşenleri çerçevesinde hazırlanan ve uygulama adımları ile örneklerini içeren Kamu İç Kontrol Rehberi, Maliye Bakanlığı Makamının 07/02/2014 tarihli ve 13 Sayılı Onayı ile yayımlanmıştır. Söz konusu rehber, önceki rehberden farklı olarak, iç kontrol çalışmaları için uygulayıcılara yol gösterici niteliktedir. Bu amaçla hazırlanan rehberde iç kontrol çalışmalarının ayrıntılarına, örneklemelere ve örnek olaylara yer verilmesiyle, iç kontrole ilişkin ilk defa somut bir rehber ortaya çıkmıştır. Yeni rehberde ağırlıklı olarak risk yönetimi ele alınmıştır. Çalışmamızda, risk yönetiminin rehberde nasıl ele alındığına ayrıntılı olarak yer vereceğimizden, bunun dışında dikkatimizi çeken diğer hususlara aşağıda yer verdik: İş analizine verilerine göre görev tanımlarının oluşturulması, personele bildirilmesi ve güncellenmesi gerektiği ifade edilmiştir. Hassas görevler hakkında daha açıklayıcı bilgilere yer verilmiştir. Yetki ve imza devrinden ne anlaşılması gerektiği ve nasıl uygulanması gerektiği konusunda açıklamalara yer verilmiştir. Kontrol faaliyetlerinin sınıflandırmasına yer verilerek, uygulanabilecek kontrol faaliyeti yöntemlerine ilişkin açıklama yapılmıştır. Buna ilişkin örnekler: Karar alma ve onaylama, Görevler ayrılığı, Çift imza yöntemi, Veri mutabakatı, Gözetim Prosedürleri, Ön mali kontrol, Muhasebe işlemleriyle ilgili prosedürler, Yolsuzlukla mücadele prosedürleri, Varlık ve bilgiye erişim, Bilginin belgelendirilmesi, arşivlenmesi ve depolanması, İş sürekliliği planları, Bilgi teknolojilerine ilişkin kontrol faaliyetleri, Kontrol faaliyetlerinin fayda ve maliyetinin değerlendirilmesi Kontrol faaliyetlerinin uygulama aşamalarına ve izlenecek adımlarına da yer verilmiştir. Örnek bir kontrol faaliyetleri listesine de yer verilerek, hangi kategorilerde hangi kontrol faaliyetinin uygulanabileceği örneklendirilmiş ve somutlaştırılmıştır. Bilgi güvenliği, arşivlenmesi ve depolanmasına ilişkin açıklamalarla, yönetim bilgi sistemi çalışmalarının planlanması ve yürütülmesi hakkında ayrıntılı bilgilendirme yapılmıştır. Bu kapsamda, idarelerin, YBS çalışma ekibi kurması da gerekmektedir. Usulsüzlük ve yolsuzlukların bildirilmesine ilişkin oldukça ayrıntılı bilgiler verilmiştir. Yaygın kullanılan iletişim yöntemlerine ilişkin ayrıntılı bir tablo hazırlanmıştır. Bu kapsamda iletişimde hangi araçların, hangi amaçla kullanılabileceği, avantajları ve güçlükleri ile birlikte açıklanmıştır. MEVZUAT 29

6 î Kurumsal Risk Yönetiminin amacı RSB de Yer Alması Uygun Görülen Asgari Hususlar î Risk İştahı düzeyi î Uygulanacak risk metodolojisi î Risk kategorileri î Risk belirleme kriterleri î Risk değerlendirme kriterleri î Risk yönetimine ilişkin organizasyonel yapı ve görevler î Risklerin hangi düzeye kadar yönetileceği (birim/alt birim/taşra birimleri gibi)* î Toplantı ve raporlamaların sıklıkları ve usulleri î Çalışanların risk yönetimine ilişkin rolü ve katkısı î Kullanılacak belge formatları î Kontrol faaliyetlerinde uygulanacak strateji ve yöntemler İzleme çalışmalarının yöntemleri belirlenmiştir. Bu kapsamda rehberde yer alan izleme yöntemleri sürekli izleme ve özel değerlendirmelerdir. Rehber ekinde iç kontrol soru formu yer almakta olup, birim yöneticilerinin sorumluluğunda bu soruların cevaplandırılarak, strateji birimlerine göndermeleri gerekmektedir. Anılan birimin, soru formunu raporlayarak üst yöneticiye ulaştırması, üst yönetici tarafından onaylanan formun, Maliye Bakanlığı Mali Yönetim ve Kontrol Merkezi Uyumlaştırma Birimine gönderilmesi gerekmektedir Risk Yönetimi Yeni iç kontrol rehberi, risk yönetimi bileşenine oldukça kapsamlı yer vermiştir. Rehberde, Kamu idarelerinin risk yönetimi çalışmaları kapsamında izlemeleri gereken adımlar, doldurulması gereken standart formlar ve risk çalışmalarında görev, yetki ve sorumluluklar ayrıntılı bir şekilde ele alınmıştır. Bu yaklaşım oldukça yerindedir. Kamu idarelerine iç kontrol konusunda yol gösterecek olan Rehberin, risk yönetimine ayrıntılı yer vermesi, uygulamada standartlaşmayı sağlayacaktır. Risk yönetimine ilişkin rehberde iki tanım yer almaktadır: Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar risk, amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya durumlar ise fırsat olarak tanımlanır. Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler Risk Yönetiminin konusunu oluşturur. Stratejik Planlar İdare Düzeyi Birim Düzeyi Birim Yöneticisi (Genel Müdür, Başkan vb) Üst Yönetici, İç Kontrol ve Risk Yönlendirme Kurulu Stratejik Kararlar Stratejiyi Faaliyete Dönüştüren Kararlar Stratejik Hedefler Performans Hedefleri Stratejik Riskler Performans, Program, Proje Riskleri Belirsizlikler Alt Birim Düzeyi Alt birim Yöneticisi (Daire Başkanı, Şube Müdürü vb) Personel Uygulama için Gerekli Kararlar Operasyonel Hedefler Operasyonel, Faaliyet Riskleri Risk Hiyerarşisi 30 Ocak 2015 Yıl: 15 Sayı: 172

7 Rehber incelendiğinde, kamu idarelerinden öncelikle Risk Yönetimi Stratejisi (RSS) ve Risk Strateji Belgesi (RSB) oluşturması beklenmektedir. Rehberde, risk yönetimine ilişkin kurumsal yaklaşım ve üst düzey politikalar, Risk Yönetimi Stratejisi; bu yaklaşım ve politikaların yazılı olarak ortaya konduğu belge ise Risk Stratejisi Belgesi (RSB) şeklinde tanımlanmıştır. Risk Stratejisi Belgesinin (RSB), İç Kontrol İzleme ve Yönlendirme Kurulu tarafından hazırlanması ve üst yönetici onayına sunulması gerekmektedir. Diğer taraftan, risk çalışmalarının yürütülmesi ve yönetilmesi amacıyla, İdare Risk Koordinatörü (İDK), Birim Risk Koordinatörü (BRK) ve Alt Birim Risk Koordinatörü (ARK) adlarıyla görevlendirme yapılması gerekmektedir. İDK, her bir BRK tarafından raporlanan birim risklerinden yola çıkarak Konsolide Risk Raporunu (Rehberin 4 numaralı ekinde gösterilmiştir) hazırlayacak; bu raporu belirlenen dönemlerde İKİYK ve üst yöneticiye sunacaktır. BRK ise birimin hedeflerini etkileyebilecek risklerin tespit edilmesini koordine edecektir. Ayrıca bu görevliler, tespit edilen riskleri alt birimlerin bilgi ve uzmanlıklarından yararlanarak faaliyetleri ile eşleştirecektir. Bununla birlikte BRK, yıllık olarak belirlenen risk kayıtlarını ve ilgili raporları idare tarafından belirlenecek periyotlarla gözden geçirecek (aylık, 3 aylık gibi) ve birim yöneticisinin de onayını alarak İRK ye raporlayacaktır. Alt Birim Risk Koordinatörlerinin (ARK) raporladıkları riskleri birim düzeyinde izleyecek ve mevcut risklerdeki değişiklikleri ve varsa yeni riskleri değerlendirerek birim yöneticisinin uygun görüşünü alarak İRK ye raporlayacaktır. ARK ise idarenin risk stratejisine uygun olarak alt birimin faaliyetlerine ait yeni tespit edilen riskleri, risk puanı değişenleri ve bunları azaltmakta kullanılan kontrollerin etkinliğini BRK nin belirlediği periyotlarla BRK ye raporlayacaktır. Rehberde risk yönetim sürecinin; risklerin tespit edilmesi, değerlendirilmesi, risklere cevap verilmesi ve risklerin gözden geçirilmesi ve raporlanması döngüsünden oluştuğu belirtilmiştir. Bu kapsamda, risk tespitinde, Politik, Ekonomik, Sosyal, Teknolojik, Yasal ve Çevresel (PESTLE) Analizi, Güçlü, Zayıf Yönler ve Tehditler, Fırsatlar (GZFT) Analizi ve Beyin Fırtınası yöntemlerinin kullanılabileceği ifade edilmiştir. Risklerin değerlendirilmesi ise risklerin ölçülmesi, önceliğinin belirlenmesi ve kaydedilmesinden oluşmaktadır. Bu çalışmalar yapılırken, risklerin olasılık ve etkilerinin ölçülmesi gerekmektedir. Olasılık, bir olayın belirli bir zaman diliminde gerçekleşmesi durumunu, etki ise bu olayın meydana gelmesi halinde, idarenin hedef ve faaliyetleri üzerinde yaratacağı sonucu ifade etmektedir. Riskc değerlendirmesine ilişkin Rehberde verilen örneği burada özetleyerek vermek istiyoruz. Bu şekilde, iç kontrol çalışmalarının en önemli çalışma alanı hakkında daha ayrıntılı bir değerlendirme yapmış olacağız. Örnek olay: Uzmanlık konunuzla ilgili bir eğitim verilmesi Hedef: Anlatacağınız konunun dinleyiciler tarafından anlaşılması Risklerinizi tespit ettiniz: Risk 1: Eğitime geç kalmak (bundan dolayı anlatılması gerekenler için yeterli zamanın kalmaması) Risk 2: İçeriğin doğru belirlenememesi (eğitim verilecek grubu tanımamak) Risk 3: Sunumun yer aldığı taşınabilir belleği unutmak (görsel etkinin ve algının azalması) Risk 1, 2 ve 3 ün meydana gelme olasılıklarına ve gerçekleşirlerse bunun hedefinizi nasıl etkileyeceğine bakalım: RİSK 1: MEVZUAT 31

8 Etki: Geç kalabilirsiniz ama konuyu çok iyi biliyorsunuz. Kısa sürede anlatsanız da dinleyiciler için anlaşılır olur. Geç kalmanın hedefiniz üzerinde etkisi: 3 Olasılık: O saatte trafik fazla olur. Aynı zamanda, o gün başka işleriniz de var. Gerçekleşme ihtimali:7 RİSK 2: Etki: Konuyu işi bilen uzmanlara anlatacaksanız ayrıntılı, hiç bilmeyen birilerine anlatacaksanız genel hatlarıyla anlatmanız gerekir. Kişilere yanlış yaklaşımla sunum yapmanızın hedefiniz üzerindeki etkisi: 9 Olasılık: Görevlendirme yazısında konu belli, ancak kimlere anlatacağınız yazılmamış. Gerçekleşme ihtimali: 5 Risk Puanı: 9x5 = 45 RİSK 3: Etki: Sunumu yansıtmasanız da konuyu çok iyi biliyorsunuz. Dinleyiciler için etkili biçimde anlatabilirsiniz. Sunum olmamasının hedefiniz üzerinde etkisi: 3 Olasılık: Bilgisayarınızı yanınızdan genelde ayırmazsınız. Çalışmalarınızı taşınabilir bellek ile çantanıza atma gibi bir alışkanlığınız da var. Gerçekleşme ihtimali: 2 Etki Risk Puanı: 3x2 = 6 Risk Haritası Olasılık Önceliklendirelim: 1. Risk 2 (Risk Puanı: 45) 2. Risk 1 (Risk Puanı: 21) 3. Risk 3 (Risk Puanı: 6) Risklerin ölçülmesinden sonra, risklere cevap verilmesi, idareler tarafından tespit edilen ve risk iştahları çerçevesinde değerlendirilen risklere verilecek yanıtın ne olacağının belirlenmesi ve bu bağlamda beklenen tehditlerin azaltılması ve/veya ortaya çıkacak fırsatların değerlendirilmesi gerekmektedir. Rehberde yer alan cevap verme yöntemleri aşağıda yer almaktadır: Kabul Etmek: İdarelerin üstlenmeyi daha uygun gördükleri bir cevap yöntemidir. Aşağıdaki durumlarda riskler kabul edilebilir; Kontrol Etmek: Risklerin kabul edilebilir bir seviyede tutulması için kontrol faaliyetleri aracılığıyla riske cevap verme yöntemidir. Bu yöntem aşağıda yer alan kontrol yöntemleri vasıtasıyla uygulanır. Etki Yüksek Etki/ Düşük Olasılık İş sürekliliği planı Kabul etmek (*) Düşük Etki/ Düşük Olasılık Kabul Etmek Yüksek Etki/ Yüksek Olasılık Kontrol etmek Devretmek Kaçınmak Kabul etmek (*) Düşük Etki/ Yüksek Olasılık Kontrol Etmek Kabul etmek (*) Olasılık Risk Değerlendirmesi ve Cevap Matrisi Devretmek: Daha çok idarenin doğrudan asli görev alanına girmeyen veya fayda-maliyet açısından idare tara- 32 Ocak 2015 Yıl: 15 Sayı: 172

9 fından yapılması uygun görülmeyen ve bu anlamda riskleri yüksek olduğu değerlendirilen faaliyetlerin, uzmanlığı/donanımı/kaynağı olan başka bir idare/kişi/kuruluşa devredilmesi şeklinde riske cevap verilmesidir. Ancak, risk devredilse bile, sorumluluğun devredilemeyeceği unutulmamalıdır. Çünkü risk gerçekleştiği takdirde bundan zarar görecek olan idarenin kendisidir. Bu bağlamda riskin devredilmesi riskin paylaşılması şeklinde de değerlendirilmelidir. Kaçınmak: Risk yönetilemeyecek kadar büyükse ve/veya faaliyet hayati öneme sahip değilse, faaliyete son vermek mümkündür. Örneğin, çok fazla hava kirliliğine neden olacak bir fabrikanın kurulmasından vazgeçilmesi gibi. Ancak, kamu yararının gerektirdiği durumlarda idarenin faaliyetleri her zaman sonlandırması mümkün olmayabilir. Böyle durumlarda da alternatif faaliyetlerle, hizmetin gerçekleştirilmesi veya faaliyetin uygun bir döneme ertelenmesi düşünülmelidir. Rehber ekinde, risklerin belirlenmesi, değerlendirilmesi ve kaydedilmesinde izlenecek yöntem, risk oylama formu risk kayıt formu Konsolide risk raporu ve örnek risk değerlendirme kriterleri tablosu, doğal ve kalıntı riske ilişkin örnek olay yer almaktadır. Yukarıda yer verilen tüm bu hususlar, iç kontrol çalışmalarında risk yönetimi alanında kamu idarelerine oldukça önemli görevler düştüğünü göstermektedir. 4. Sonuç Yeni Kamu İç Kontrol Rehberi incelendiğinde, iç kontrole ilişkin önemli konulara açıklık getirdiğini görmekteyiz. Kamu idarelerinin de iç kontrol çalışmalarını denetlenerek sorgulanacakları ve yapılması zorunlu bir çalışma olarak görmemeleri, iyi BİR yönetişim gereği ve belirledikleri amaç ve hedeflere ulaşmalarını kolaylaştıracak bir süreç olarak algılamaları gerekmektedir. Rehber, özellikle risk yönetimi çalışmalarıyla, stratejik planı ilişkilendirmiştir. Rehberde Örneğin, stratejik plan hazırlanırken yürürlükte bulunan Risk Strateji Belgesinin de göz önünde bulundurulması, idarelerin Kurumsal Risk Yönetimi çalışmalarını stratejik plan ve performans programı hazırlık çalışmaları ile eşzamanlı olarak yürütmeleri gerektiği ifade edilmiştir. Diğer taraftan, idarelere öncelikle stratejik planda gösterilen amaçları gerçekleştirmeyi sağlayacak hedefler ile riskler arasında bir denge kurması ve RSB ile belirlenmiş olan risk iştahları çerçevesinde hedeflerini belirlemesi önerilmiştir. Rehberde Ayrıca, Risk yönetimi döngüsünün de stratejik plan hazırlık aşamasında hedeflerin belirlenmesi ile başlayan ve hedeflerin öngörüldüğü şekilde gerçekleştirilip gerçekleştirilmediğinin analiz edilmesiyle sonuçlanan bütün aşamalarda dikkate alınması vurgulanmıştır. Yeni rehberde gördüğümüz en büyük eksiklik ise süreç yönetiminin ayrıntılı ele alınmamış olmasıdır. Süreçlerin çıkarılması ve haritalandırılması, risk çalışması açısından da oldukça önemlidir. Bu nedenle, süreç yönetimi çalışmaları hakkında ilgili mevzuat da göz önünde bulundurularak, kamu idarelerinin yeterli çalışmaları yapmaları sonrasında yapılacak risk çalışmalarının daha yerinde olacağı değerlendirilmiştir. MEVZUAT 33