Güvence Haritalar. Uygulama Önerisi : lgili Ana Standart

Transkript

1 Güvence Haritalar 1. Yönetim kurulunun en önemli sorumluluklarından birisi, süreçlerin belirtilen hedeflere ulaşmak için koyulan parametreler doğrultusunda işlediği konusunda güvence elde etmektir. Risk yönetim süreçlerinin etkili bir şekilde yürüdüğünün ve anahtar veya kritik iş risklerinin, kabul edilir bir seviyede yönetilip yönetilmediğinin tespit edilmesi gerekmektedir. 2. Üst yönetimin ve yönetim kurullarının rollerine ve sorumluluklarına gösterilen dikkatin artması, birçok kurumun, güvence faaliyetlerine daha büyük bir önem vermesine sebep olmuştur. Standartlar'ın Terimler Sözlüğü'nde 'güvence' şöyle tanımlanmaktadır: "Kurumun yönetişim, risk yönetimi ve kontrol süreçlerine ilişkin bağımsız değerlendirmenin sağlanması amacıyla kanıtların tarafsız olarak incelenmesi". Yönetim kurulu, sağlam bir güvence elde etmek için birçok kaynak kullanacaktır. Yönetimden alınan güvence, esas teşkil eder ve bu güvence, iç denetimden ve üçüncü partilerden gelecek objektif güvence ile tamamlanmalıdır. Risk yöneticileri, iç denetçiler ve uyum görevlileri (compliance practitioners) şu soruyu sorarlar: "Kim, neyi niçin yapar?" Özellikle yönetim kurulları, güvencenin kim tarafından verildiğini, işlevler arasındaki sınırın nerede bitip nerede başladığını ve bir çakışma olup olmadığını sorgulamaya başladılar. lgili Ana Standart Eflgüdüm (Koordinasyon) ç Denetim Yöneticisi; ayn çal flmalar n gereksiz yere tekrarlanmas n asgarîye indirmek ve iflin kapsam n en uygun flekilde belirlemek amac yla, güvence ve dan flmanl k hizmetlerini yerine getiren di er iç ve d fl sa lay c larla, mevcut bilgileri paylaflmal ve faaliyetleri bunlarla eflgüdüm içinde sürdürmelidir. 3. Temel olarak üç sınıf güvence sağlayıcısı vardır. Aralarındaki fark, hizmet ettikleri paydaşlardan, güvence sağladıkları faaliyetlerdeki bağımsızlık seviyelerinden ve bu güvencenin sağlamlığından kaynaklanır. Yönetime rapor veren ve/veya yönetimin bir parçası olanlar (yönetim güvencesi), kontrol özdeğerlendirmelerini yapan kişiler dahil, kalite denetçileri, çevre denetçileri ve yönetimin belirlediği diğer güvence personeli. 1

2 İç denetim dahil, yönetim kuruluna rapor verenler. Dış hissedarlara rapor verenler (dış denetim güvencesi), ki bunların işleri tamamen bağımsız/yasal denetçi tarafından yerine getirilir. İstenen güvencenin seviyesi ve bu güvenceyi kimin sağlayacağı, riske göre değişir. 4. Bir kurum için birçok güvence sağlayıcısı vardır. Alt yönetim ve çalışanlar (yönetim, sorumlu olduğu riskler ve kontroller için birinci seviyeden koruma sağlar.) Üst yönetim. İç ve dış denetçiler. Uyum. Kalite güvencesi. Risk yönetimi. Çevresel denetçiler. İş yeri sağlık ve güvenlik denetçileri. Kamu performans denetçileri. Finansal raporlama denetim ekipleri. Yönetim kurulunun alt komiteleri (denetim, sigorta, kredi, yönetişim komiteleri gibi). Araştırmalar, uzman incelemeleri (sağlık ve güvenlik), v.b. dahil, dış güvence sağlayıcıları. 5. İç denetim faaliyeti normal şartlarda, tüm kuruma güvence sağlayacaktır. Buna, (hem tasarım hem de etkili işleyişleri konusunda) risk yönetim süreçleri, "anahtar" olarak sınıflandırılan bu risklerin yönetimi (kontrollerin etkililiği ve bunlara karşı alınan diğer tedbirler dahil), risk değerlendirmesinin güvenilirliğinin ve uygunluğunun doğrulanması ve risk ve kontrol durumlarının raporlandırılması da dahildir. 2 Uluslararas Meslekî Uygulama Çerçevesi

3 6. Güvence faaliyetlerinin sorumluluğu geleneksel olarak yönetim, iç denetim, risk yönetimi ve uyum arasında paylaşıldığından, güvence faaliyetlerinin, kaynakların en verimli ve etkili şekilde kullanılmak üzere koordine edilmesi çok önemlidir. Birçok kurum, geleneksel (ve müstakil) iç denetim, risk ve uyum faaliyetleri ile çalışır. Kurumlarda, farklı risk yönetimi, uyum grupları vardır ve güvence işlevleri birbirinden bağımsız iş yaparlar. Etkili bir koordinasyon ve raporlama olmazsa, çifte iş yükü oluşabilir veya anahtar riskler gözden kaçırılabilir ya da yanlış değerlendirilebilir. 7. Birçok kurum, iç denetim, risk yönetimi ve uyum faaliyetlerini izlerken, çoğu bu faaliyetleri bütünsel bir bakış açısıyla gözlemlemez. Bir güvence haritası çalışmasında, bir kurumun anahtar risklerini kapsayacak güvence haritası çıkartılır. Bu süreçte, kurumun risk yönetim sürecinde bütün eksikliklerinin teşhis edilmesi ve ele alınması sağlanır ve hissedarlara, risklerin yönetildiği ve rapor edildiği, ayrıca düzenleme ve yasal yükümlülüklerin de yerine getirildiği garantisi verilir. Kurumlar, karşılaştıkları riskler ve bu risklere nasıl karşılık verildiği konusunda yönetime bilgi verildiği için, böylesine düzenli bir yaklaşımdan oldukça kârlı çıkacaklardır. Haritalandırma, tüm kurum dikkate alınarak yapılır ve böylece, tüm risk ve güvence rolleri ve sorumluluklar yerli yerine oturur. Buradaki amaç, ortada kapsamlı bir risk ve güvence sürecinin olduğunu ve bu süreçte harcanan iş yükünün artmadığını ve muhtemel açıklar olmadığını garanti altına almaktır. 8. Çoğu zaman bir kurum, risk yönetim çerçevesini oluşturan önemli risk sınıflarını tanımlamış olacaktır. Bu gibi durumlarda, güvence haritası bu çerçevenin yapısını temel alacaktır. Örneğin, bir güvence haritasında şu sütunlar olabilir: Önemli risk sınıfı Riskten sorumlu yönetimin rolü (riskin sahibi) Dahili risk derecelendirmesi Artık risk derecelendirmesi 3

4 Dış denetimin kapsamı İç denetimin kapsamı Diğer güvence sağlayıcısının kapsamı Bu örnekte, iç denetim yöneticisi (İDY), iç denetimin kapsamı sütununu henüz tamamlanmış bir kapsamla doldurabilir. Genellikle önemli her bir riskin bir sahibi veya bu riskle ilgili güvence faaliyetinin koordine edilmesinden sorumlu biri vardır ve bu kişi, diğer güvence sağlayıcısının kapsam sütununu dolduracaktır. Kurum içindeki her bir önemli birimin kendi güvence haritası olabilir. Ya da bunun yerine, iç denetim faaliyeti, kurumun güvence haritasının geliştirilmesi ve tamamlanmasında bir koordinasyon rolü üstlenebilir. 9. Kurumun güvence haritası tamamlandığında, yetersiz güvence kapsamlı önemli riskler veya fazladan gayret harcanmış güvence kapsamlı alanlar teşhis edilebilir. Üst yönetim ve yönetim kurulunun, bu riskler için güvence kapsamıyla ilgili değişiklikler yapması gerekecektir. İç denetim faaliyetinde, yetersiz kapsamlı alanları, iç denetim planı geliştirilirken dikkate alınmalıdır. 10. İç denetim faaliyetinin rolünü ve sağladığı güvence seviyesini netleştirmek, yönetim kurulunun ve kurumun ihtiyaç duyduğu bağımsız güvence gereksinimlerini anlamak iç denetim yöneticisinin sorumluluğundadır. Yönetim kurulu, bütün güvence sürecinin olması gerektiği gibi işlediğinden ve kurumun risklerinin etkili bir şekilde yönetildiğinden ve raporlandığından emin olmalıdır. 11. Yönetim kurulu, her bir risk sınıfında hem uygulanan hem de planlanan güvence faaliyetleri konusunda bilgi almalıdır. İç denetim faaliyeti ve diğer güvence sağlayıcılar, yönetim kuruluna kurumun belli kategorilerinde var olan riskin seviyeleri ve niteliği için uygun seviyede güvenceyi sunar. 12. İç denetim yöneticisinin genel bir fikir sunmasını isteyen kurumlarda, iç denetim yöneticisi, kurumun yönetişimi, risk yönetimi ve kontrol süreçleriyle ilgili genel bir fikir sunmadan önce, diğer güvence sağlayıcılarının yaptıklarını 4 Uluslararas Meslekî Uygulama Çerçevesi

5 dikkate almak için (uygun olduğunda dayanak almak için), entegre güvence haritasının yapısını, kapsamını ve büyüklüğünü anlamalıdır. IIA'nın 'Practice Guide Formulating and Expressing Internal Audit Opinions' (İç Denetim Düşüncelerinin Hazırlanması ve Sunulmasına Dair Uygulama Rehberi) isimli yayınında ilâve yönlendirmeler bulunabilir. 13.Kurumun genel bir fikir istemediği durumlarda, iç denetim yöneticisi, güvencede bilinen ve kabul edilen hiçbir açıklık veya boşluğun olmadığını temin etmek için, güvence sağlayıcılarının koordinasyonunu sağlayabilir. İç denetim yöneticisi, diğer güvence sağlayıcılardaki herhangi bir girdi/ilgi/gözetim/güvence eksikliğini rapor eder. Eğer iç denetim yöneticisi, güvence kapsamının uygun veya yeterli olmadığına hükmederse, üst yönetim ve yönetim kuruluna bu yönde tavsiyede bulunulması gerekir. 14. İç denetim yöneticisi, Standart 2050'ye göre, diğer güvence sağlayıcılarla olan faaliyetleri eşgüdümlü hâle getirir; bunun için güvence haritasından yararlanılabilir. Güvence haritaları her geçen gün, bu eşgüdümün daha etkili bir şekilde yapılmasını sağlamaktadır. * * * Yay n: Temmuz