ç Denetim Planlamas nda Risk Yönetim Süreçlerinin Kullan lmas

Transkript

1 ç Denetim Planlamas nda Risk Yönetim Süreçlerinin Kullan lmas 1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin önemli bir parçasıdır. Birçok kurum, kurumun yönetimiyle tam olarak bütünleşmesi gereken tutarlı ve kapsamlı risk yönetim yaklaşımlarını uygulamaya koyma yönünde adımlar atmaktadır. Bu yaklaşımlar şirket, işlev ve iş birimi olmak üzere, kuruluşların tüm seviyelerinde uygulanmaktadır. Yönetim, genel olarak, bir risk yönetim çerçevesini, değerlendirmenin yürütülmesi ve değerlendirme sonuçlarının dokümantasyonunda kullanır. 2. Etkili bir risk yönetim süreci, önemli dahili risklerle ilgili anahtar kontrollerin teşhis edilmesinde yardımcı olabilir. Kurumsal Risk Yönetimi (KRY) yaygın kullanılan bir terimdir. Treadway Komisyonunun Sponsor Kurumlar Komitesi (COSO), KRY'yi şöyle tanımlar: "Bir kurumun yönetim kurulunun, yönetiminin ve diğer personelinin üzerinde etkili olduğu, strateji tespitinde ve kurumun tümüne uygulanan, kurumu etkileyecek muhtemel olayları teşhis etmek ve risk iştahı içindeki riski yönetmek ve de kurumun hedeflerine ulaşma konusunda makul bir güvence sağlamak için tasarlanmış bir süreç". Kontrollerin hayata geçirilmesi, yönetimin, risk iştahı içinde kalacak biçimde, riski yönetmek için kullanabileceği yaygın bir yöntemdir. İç denetçiler, anahtar kontrolleri denetlerler ve önemli risklerin yönetimi konusunda güvence sağlarlar. lgili Ana Standart Planlama ç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esasl planlar yapmak zorundad r. Yorum: ç Denetim Yöneticisi risk esasl plan yapmakla sorumludur. ç Denetim Yöneticisi, kurumun farkl faaliyetleri veya bölümleri için yönetim taraf ndan belirlenen risk ifltah seviyelerinin kullan lmas da dahil kurumun risk yönetim çerçevesini dikkate al r. E er bir çerçeve mevcut de ilse, ç Denetim Yöneticisi, üst yönetim ve yönetim kuruluna dan flt ktan sonra kendi risk de erlendirmesini kullan r. 3. IIA'nın Uluslararası İç Denetim Meslekî Uygulama Standartları, kontrolü şöyle tanımlamaktadır: "Yönetim, yönetim kurulu ve diğer taraflarca, riski yönetmek ve hedeflenen amaçlara ulaşma ihtimalini arttırmak için alınan önlem. Yönetim, hedef ve amaçlara ulaşılacağına dair makul güvence sağlamak için yeterli önlemlerin uygulanışını planlar, organize eder ve yönetir." 4. Dahilî (doğal) risk ve artık risk (bakiye risk olarak da bilinir) iki temel risk kavramıdır. Finansal/dış denetçiler, ilgili azaltıcı kontroller olmadığı varsayımı ile, bilgi veya verilerin önemli bir hatâlı gösterime (mali tablolarda) hassasiyeti olarak özetlenebilecek dahili risk kavramını uzun zamandır kullanmaktadırlar. Uygulama Önerileri 1

2 Artık risk, Standartlarda şöyle tanımlanmaktadır: "Yönetimin, olumsuz bir olayın etki ve ihtimalini azaltmak amacıyla, riski karşılamaya yönelik kontrol faaliyetleri de dahil, aldığı tedbirlerden sonra kalan risktir." Artık risk genellikle, "mevcut kontroller ve kontrol sistemleriyle yönetilen risk" olarak da tanımlanır. 5. Anahtar kontroller, aksi halde kabul edilemeyecek bir riski, kabul edilebilir bir seviyeye indirmeye yardımcı olan kontroller veya kontrol grubu olarak tanımlanabilir. Kontroller, riskleri yönetmek için var olan kurumsal süreçler olarak kabul edilebilir. Etkili bir risk yönetimi sürecinde (uygun dokümantasyon ile), anahtar kontroller, önemli risklerin derecelendirilmesini azaltmada itibar edilen bütün riskten etkilenen sistemlerdeki dahili ve artık riskler arasındaki farkı ayırt etmede kolaylıkla kullanılabilir. Eğer, dahilî risk için bir derecelendirme yapılmamışsa, iç denetçi dahili risk derecelendirmesi için bir tahmin yapar. Anahtar kontrolleri teşhis ederken (ve iç denetçinin, risk yönetim sürecinin olgunlaştığı ve güvenilir olduğu sonucuna vardığını varsayarak), iç denetçi şunlara bakacaktır: - Dahilî riskten artık riske önemli bir azalmanın olduğu münferit risk faktörleri (özellikle dahili risk çok yüksek ise). Bu, kurum için önemli olan kontrolleri ortaya koyar. - Çok sayıdaki riski azaltmaya yarayan kontroller. 6. İç denetim planlaması, kurumsal risk yönetim sürecinden yararlanmaya ihtiyaç duyar. Bir görevin planlanmasında iç denetçi, faaliyetin önemli risklerini ve yönetimin riski kabul edilir bir seviyeye indirmek için kullandığı araçları dikkate alır. İç denetçi, iç denetim faaliyetinin planını geliştirirken ve iç denetim kaynaklarını tahsis etmede öncelikleri belirlerken, risk değerlendirme tekniklerini kullanır. Risk değerlendirme, denetlenebilir birimleri araştırmada ve gözden geçirme için iç denetim faaliyetinin planları içine alınacak en büyük riske sahip alanları seçmede kullanılır. 2 Uluslararas Meslekî Uygulama Çerçevesi

3 7. İç denetçiler, her risk kategorisini ve kurumdaki KRY sürecini (iş yeri sağlık ve güvenliğinin iç denetimi, çevresel denetim veya karmaşık finansal araçların denetimi gibi) gözden geçirme ehliyetine sahip olmayabilirler. İç denetim yöneticisi (İDY), özel uzmanlık vasfına sahip iç denetçilerin veya dış hizmet sağlayıcılarının uygun şekilde kullanılmasını temin eder. 8. Risk yönetim süreci ve sistemleri, dünyada farklı şekillerde kurulmuştur. Kurumun risk yönetimiyle ilgili olgunluk seviyeleri, kurumdan kuruma farklılık gösterir. Kurumların merkezî bir risk yönetimi faaliyetinin olduğu durumlarda, bu faaliyetin rolleri arasında, iç kontrol yapısının devam eden gözden geçirmesini de dikkate alarak yönetim ile koordinasyonu sağlamak ve yapıyı, değişen risk iştahına göre güncellemek bulunmaktadır. Dünyanın değişik yerlerinde kullanılmakta olan risk yönetim süreçleri farklı mantık, farklı yapı ve terminolojiye sahip olabilir. Bu yüzden, iç denetçiler, kurumun risk yönetimi sürecinin bir değerlendirmesini yapar ve iç denetim faaliyet planının gelişmesinde ve münferit iç denetim görevlerinin planlanmasında hangi kısımların kullanılabileceğini belirler. 9. İç denetim planının geliştirilmesinde iç denetçilerin dikkate aldığı unsurlar şunlardır: Dahilî riskler - Belirlenip değerlendirildiler mi? Artık riskler - Belirlenip değerlendirildiler mi? Azaltıcı kontroller, âcil durum planları ve izleme faaliyetleri - Münferit olaylar ve/veya risklerle bağlantıları kurulmuş mu? Risk kayıtları (risk registers) - Sistematik mi, tam mı ve doğru mu? Dokümantasyon - Riskler ve faaliyetler belgelenmiş mi? Bunun yanında iç denetçi, diğer güvence sağlayıcılar ile koordinasyonu sağlar ve bunların işlerini dayanak almayı bir plan dahilinde dikkate alır. Bkz: Uygulama Önerisi : Güvence Haritaları. Uygulama Önerileri 3

4 10. İç denetim yönetmeliği normal şartlarda, iç denetim faaliyetinin, dahili ve artık risk dahil olmak üzere, yüksek risk alanlarına yoğunlaşmasını gerektirir. İç denetim faaliyetinin, yüksek dahilî risk ve yüksek artık risk alanları ile kurumun en önem verdiği anahtar kontrol sistemlerini teşhis etmesi gerekir. Eğer iç denetim faaliyeti kabul edilemez artık risk alanlarını teşhis ederse, yönetimin, riske müdahale edilebilmesi için bilgilendirilmesi gerekir. İç denetçi, stratejik denetim planlama sürecini yönetiyor olmanın bir sonucu olarak, iç denetim faaliyet planına dahil edilmek üzere, farklı faaliyet türlerini teşhis edebilecektir. Bu faaliyetler şunlardır: Kontrollerin gözden geçirilmesi/ güvence faaliyetleri - bu faaliyetlerde, iç denetçi, kontrol sistemlerinin yeterliliğini ve verimliliğini gözden geçirir, kontrollerin işlediği ve risklerin etkili şekilde yönetildiği konusunda güvence sağlar. Araştırma faaliyetleri - bu faaliyetlerde kurum yönetimi, bir iş faaliyetiyle ilgili kontroller veya teşhis edilen risk alanında kabul edilemeyecek seviyede bir belirsizlik yaşamaktadır ve iç denetçi, artık riskin daha iyi anlaşılması için gerekli prosedürleri uygular. Danışmanlık faaliyetleri - bu faaliyetlerde, iç denetçi kurumsal yönetime, kabul edilemez mevcut riskleri en aza indirmek amacıyla kontrol sistemlerinin geliştirilmesi konusunda tavsiyelerde bulunur. İç denetçiler ayrıca, riski verimsiz şekilde azaltan, gereksiz, fazla, ilgisiz, aşırı veya karmaşık kontrolleri teşhis etmeye de çalışır. Bu gibi durumlarda, kontrolün maliyeti, elde edilecek faydadan daha fazla olabilir ve bu yüzden kontrolün tasarımında verimliliği arttırma fırsatları mevcuttur. 11. İlgili risklerin teşhis edilmesini güvence altına almak için, risk teşhisine yönelik kullanılan yaklaşım, sistematiktir ve çok açık bir şekilde kayıtlı hâle getirilmiştir. Yaklaşımın kayıtlı hâle getirilmesi (dokümantasyonu), küçük kurumlarda hesap tablosu kullanımından, büyük kurumlarda özel 4 Uluslararas Meslekî Uygulama Çerçevesi

5 yazılım kullanmaya kadar değişik şekillerde yapılabilir. Burada dikkat edilmesi gereken husus, risk yönetim çerçevesinin eksiksiz bir şekilde dokümantasyonudur. 12. Bir kurumda, risk yönetiminin dokümantasyonu, risk yönetim sürecinin stratejik seviyesinin altında farklı seviyelerde olabilir. Birçok kurum, stratejik seviyenin altındaki riskleri belgelendiren risk kütükleri geliştirmiştir ve belli bir konudaki önemli risklerin, ilgili dahili ve artık risklerin, anahtar kontrollerin ve riski azaltıcı unsurların dökümantasyonunu sağlamaktadır. Böylece, risk kütüklerinde belirtilen "risk sınıfları" ve "riskli tarafları" arasındaki doğrudan bağlantıları ve, uygulanabilen yerlerde, iç denetim faaliyeti marifetiyle kayıtlı hâle getirilmiş denetim evreninde halihazırda mevcut olan konuları teşhis etmek için bir hizalama çalışması yapılabilir. 13. Bazı kurumlar, birçok yüksek (veya daha yüksek) dahili risk alanları teşhis edebilir. Bu riskler, iç denetim faaliyetinin dikkatini çekebilse de, hepsinin gözden geçirilmesi her zaman mümkün değildir. Risk kütüğünde belli alanda dahili risk için yüksek (veya daha fazlası) bir sıralama (ranking) olduğu gözüküyorsa, artık risk büyük oranda olduğu gibi kalırsa ve yönetim hiçbir önlem almazsa veya iç denetim faaliyeti planlaması yapılmazsa, İç Denetim Yöneticisi (İDY), yönetim kuruluna bu alanları ayrı bir şekilde, risk analizinin ayrıntılarıyla ve iç kontrolün eksik veya etkisiz olma sebepleriyle rapor eder. 14. Düşük risk seviyeli iş birimi veya şube denetimleri, onları da denetim kapsamına almak ve risklerinin değişmediğini teyit etmek için, iç denetim faaliyeti planına periyodik olarak alınmalıdır. İç denetim faaliyeti aynı zamanda henüz denetlenmemiş açık riskleri önceliklendirmek için bir yöntem de belirler. Uygulama Önerileri 5

6 15. İç denetim faaliyet planı normal şartlarda şu hususlar üzerine yoğunlaşacaktır: Yönetimin önlem almasını gerektiren kabul edilmeyen mevcut riskler. Bunlar, üst yönetiminin âcilen denetlenmesini istediği, asgarî seviyedeki anahtar kontrollerinin veya riski azaltıcı unsurların olduğu alanlar olacaktır. Kurumun en fazla bel bağladığı kontrol sistemleri. Dahili ve artık risk arasındaki farkın büyük olduğu alanlar. Dahili riskin çok yüksek olduğu alanlar. 16. Münferit iç denetimler planlanırken, iç denetçi, gözden geçirilen alanla ilgili riskleri belirler ve değerlendirmesini yapar. * * * Yay n: Temmuz Uluslararas Meslekî Uygulama Çerçevesi