ç Denetim Faaliyetinin Riskinin Yönetilmesi

Transkript

1 ç Denetim Faaliyetinin Riskinin Yönetilmesi 1. İç denetimin rolü ve önemi çok büyümüştür ve önemli paydaşların (yönetim kurulu, üst yönetim gibi) beklentileri de artmaya devam etmektedir. İç denetim faaliyetlerinin, finansal, operasyonel, bilgi teknolojisi, yasal düzelme ve stratejik riskleri kapsayan geniş yetkileri vardır. Aynı zamanda, birçok iç denetim faaliyeti, küresel iş piyasalarında kalifiye personel bulunabilirliğiyle, artan ücret maliyetleriyle ve (bilgi sistemleri, suistimal, türev ürünler, vergiler gibi) özel kaynaklara yönelik yüksek taleplerle ilgili zorluklarla karşılaşmaktadır. Bu etkenlerin bir araya gelmesi, bir iç denetim faaliyetinde yüksek risk seviyesinin ortaya çıkmasına sebep olmaktadır. Bunun sonucu olarak, iç denetim yöneticileri, iç denetim faaliyetlerine ve hedeflerine ulaşmaya yönelik riskleri göz önünde bulundurmalıdırlar. 2. İç denetim faaliyeti, risklerden muaf değildir. Kendi risklerini yönettiğinden emin olmak için gerekli önlemleri almalıdır. 3. İç denetim faaliyetlerindeki riskler üç büyük gruba ayrılır: denetim hatâları, yanlış güvence ve itibar riskleri. Aşağıdaki tartışma, bu risklerle ilgili anahtar hususların ve bunların yönetimi için iç denetim ekibinin dikkate alması gereken önlemlerin altını çizmektedir. 4. Her kuruluşta kontrol sorunları yaşanacaktır. Genellikle kontroller başarısız olduğunda veya suistimal meydana geldiğinde, birisi şu soruyu sorar: "İç denetçiler neredeydi?" İç denetim faaliyeti şu sebeplerden dolayı bu başarısızlıklara katkıda bulunmuş olabilir: Uluslararası İç Denetim Meslekî Uygulama Standartlarına uymadığı için. İç denetçinin bağımsızlığını ve objektifliğini izlemek için gerekli prosedürler dahil olmak üzere, uygun olmayan bir kalite güvence ve geliştirme programı (Standart 1300). lgili Ana Standart Risk Yönetimi ç denetim faaliyeti; risk yönetimi süreçlerinin etkilili ini de erlendirmek ve iyilefltirilmesine katk da bulunmak zorundad r. Yorum: Risk yönetimi süreçlerinin etkili olup olmadı ına karar vermek, iç denetçinin afla daki konulardaki de erlendirmelerinin do urdu u bir yarg d r: Kurumsal amaçlar, kurumun misyonunu destekliyor ve onunla ayn paraleldeyse, Önemli riskler belirlenmifl ve de erlendirilmiflse, Riskleri kurumun risk ifltah ile ayn paralele getiren uygun risk cevaplar seçildiyse, Personelin, yönetimin ve yönetim kurulunun sorumluluklar n yerine getirmesine yard mc olan ilgili risk bilgisi elde edilip zaman nda kurum genelinde yay mland ysa. Risk yönetimi süreçleri, devam eden yönetim faaliyetleri veya ayr de erlendirmeler veya bunlar n her ikisi ile izlenir. 1

2 Stratejik risk değerlendirmesi sırasında, kilit öneme sahip denetim alanlarının yanı sıra, münferit denetimin planlanmasında yüksek risk alanların teşhis edilmesinde gerekli olan etkili bir risk değerlendirme sürecinin yokluğu ve bunun bir sonucu olarak doğru denetimlerin yapılamaması ve/veya yanlış denetimlerle zaman kaybedilmesi. "Gerçek" riskleri ve doğru kontrolleri test etmede gerekli etkili iç denetim prosedürlerinin tasarımındaki başarısızlık. İç denetim prosedürlerinin parçası olarak, hem tasarım yeterliliği hem de kontrol etkililiğinin değerlendirilmesindeki başarısızlık. Yüksek risk alanları konusunda bilgi ve tecrübe açısından uygun niteliklere sahip olmayan denetim ekiplerinin kullanılması. Bulgular veya kontrol zafiyetleriyle ilgili meslekî şüphecilik ve genişletilmiş iç denetim prosedürlerinin kullanılmaması. Uygun iç denetim gözetim ve kontrolünün kullanılmaması. Ortada bir suistimal delili bulunmasına rağmen - örneğin "Muhtemelen çok önemli değil" veya "Bu konuyla ilgilenmek için zaman ya da kaynağımız yok" gibi yanlış kararlar almak. Şüphelerle ilgili doğru kişilerle iletişime geçmemek. Yeterli raporlamanın eksik olması. 5. İç denetim hatâları, iç denetim faaliyetlerini zor durumda bırakmakla kalmaz, kuruluşun önemli bir riske maruz kalmasına da sebep olabilir. Denetim hatâlarının olmayacağına dair kesin bir güvence söz konusu olmadığından, bir iç denetim faaliyeti riski en aza indirmek için şu uygulamaları hayata geçirebilir: Kalite Güvence ve Geliştirme Programı: Etkili bir kalite güvence ve 2 Uluslararas Meslekî Uygulama Çerçevesi

3 geliştirme programını uygulamaya sokabilmek, her iç denetim faaliyeti için hayatî önem taşır. Denetim Evreninin Dönemsel Değerlendirilmesi: Kuruluşun dinamik risk profilini mutad olarak değerlendirerek, denetim evreninin tam olduğunu temin amacıyla metodolojinin gözden geçirilmesi. Denetim Planının Dönemsel Değerlendirilmesi: Hangi görevlerin daha riskli olduğunun değerlendirmesini yapmak için, uygulanmakta olan denetim planının gözden geçirilmesi. "Daha riskli görevleri "dikkat çekici hâle getirerek" (flagging) iç denetim faaliyetinin yönetimi daha görünür hâle gelir ve kritik görevlere yaklaşımı anlamak için daha fazla zaman harcanabilir. Etkili Planlama: Etkili bir denetim planlamasının yerini hiçbir şey tutamaz. Denetlenen ile ilgili gerçekleri güncellemeyi ve etkili bir risk değerlendirme çalışmasını kapsayan mükemmel bir planlama süreci, denetim hata risklerini önemli ölçüde azaltabilir. Bunun yanında, görev kapsamının ve uygulanacak iç denetim prosedürlerinin anlaşılması da denetim hatâsı risklerini azaltacak olan önemli denetim planlaması unsurlarıdır. Sürecin içine, iç denetim faaliyetinin yönetimi ile ilgili kontrol noktalarının konulması ve üzerinde uzlaşmaya varılan plandan herhangi bir sapma olması durumda, onay alınması da önemlidir. Etkili Denetim Tasarımı: Birçok durumda, ne kadar etkili olduğunun test edilmesine başlamadan önce, uygun kontrollerin sağlanıp sağlanmadığını temin etmek amacıyla, iç kontrol sistemlerinin anlaşılması ve analiz edilmesi için oldukça zaman harcanır. Bu, bazen kontrol zayıflığının sebebine işaret etmek yerine söz konusu tasarım zayıflığının bir sonucu olarak iç denetim yorumları için sağlam bir zemin teşkil eder. Bu, ayrıca gözden kaçan kontrollerin teşhis edilmesini sağlayarak denetim hatâsı ihtimalini de azaltır. 3

4 Etkili Yönetim Gözden Geçirmesi ve Eskalasyon Prosedürleri: İç denetim yönetiminin, iç denetim sürecine (yani rapor taslağından önce) katılımı, denetim hatâsı riskinin en aza indirilmesinde önemli bir rol oynar. Bu katılım, çalışma kâğıtlarının gözden geçirilmesini, bir kapanış toplantısını veya bulgularla ilgili 'gerçek-zaman" tartışmalarını kapsayabilir. İç denetim sürecine, iç denetim faaliyetinin yönetimini dahil ederek, muhtemel sorunlar, görev esnasında daha erken teşhis edilebilir ve değerlendirilebilir. Bunun yanında, iç denetim faaliyetinin, hangi konuların ve ne zaman iç denetim biriminin hangi yönetim kademesine yönlendirileceğini düzenleyen rehberleri olabilir. Uygun Kaynak Tahsisatı: Her bir iç denetim görevinde doğru kişilerin görevlendirilmesi çok önemlidir. Bu, özellikle yüksek riskli veya çok teknik bir görevin planlamasında önemlidir. Ekipte gerekli niteliklerin olduğundan emin olmak, denetim hata riskini azaltmada hayatî öneme sahiptir. Doğru niteliklerin yanı sıra, ekibin gerekli tecrübeye ve bunun yanında, bir iç denetim görevinin yönetilmesinden sorumlu olanların da proje yönetiminde güçlü becerilere sahip olması önemlidir. 6. Bir iç denetim faaliyeti, farkında olmadan, belli bir seviyede yanlış güvence sunabilir. "Yanlış güvence", olgulardan çok, sezgi veya tahminlere dayalı bir güven veya güvence seviyesidir. Birçok durumda, iç denetimin bir meseleye müdahil olması, bir seviyeye kadar yanlış güvence oluşturabilir. 7. Maruz kalınacak önemli risklerin belirlenmesi ve değerlendirilmesi projelerinde kuruluşa yardımcı olurken iç denetim faaliyetlerinin bir parçası olmaksızın iç denetim kaynakları kullanılacaksa bu husus açıkça belirlenmelidir. Örneğin, bir iş birimi tarafından iç denetim faaliyetinden, yeni bilgisayar sisteminin uygulanmasında yardımcı olması için bazı "kaynaklar" tedarik etmesi istemiştir. İş birimi, bu kaynakları, yeni sistemin bazı test aşamalarını desteklemek için kullanmıştır. Bu kullanımın sonucu olarak, sistemin tasarımındaki bir hata, finansal raporların yeniden düzenlenmesi şeklinde sonuçlanmıştır. Bunun 4 Uluslararas Meslekî Uygulama Çerçevesi

5 nasıl olduğu sorulduğunda, iş birimini buna, iç denetim faaliyetinin, süreçte yer aldığı ve konuyu teşhis etmediği şeklinde cevap vermiştir. İç denetçinin katılımı, bir seviyede yanlış güvence oluşturmuştur ve bu durum da, projedeki gerçek rolüyle tutarlı değildir. 8. Yanlış güvence riskini tamamını yok etmenin bir yolu olmasa da, iç denetim faaliyeti, bu alandaki riski daha önceden tedbir alarak yönetebilir. Açık ve sürekli iletişim, yanlış güvence yönetiminde anahtar stratejidir. Önde gelen diğer uygulamalar şunlardır: İç denetim faaliyetinin rolü ve yetkisi üst yönetime ve diğer paydaşlara önceden iletilir. Risk yönetiminin, iç denetim planının ve iç denetim işinin neleri kapsadığı açıkça anlatılır. Ayrıca, risk değerlendirme ve iç denetim planının kapsamında nelerin olmadığı da açıkça anlatılır. Her bir projeyle ilgili risk seviyesinin ve iç denetimin projedeki rolünün değerlendirilmesinde "proje kabulü" süreci olmalıdır. Değerlendirmede şunlar göz önünde bulundurulabilir: Projenin kapsamı, iç denetim faaliyetinin rolü, raporlama beklentileri, gerekli nitelikler ve iç denetçilerin bağımsızlığı. Eğer iç denetçiler, bir projenin veya inisiyatifin personel kadrosunu arttırmak için kullanılırsa, iç denetçileri, yanlış güvenceye sebep olabilecek "geçici" kaynak olarak kullanmak yerine, bu projedeki rollerinin ve katılımlarının kapsamı yanında gelecekteki objektiflik ve bağımsızlıkları da yazılı hâle getirilmelidir. 9. Bir iç denetim faaliyetinin güven telkin eden itibarı, etkililiğinin önemli bir parçasını teşkil eder. Saygın görülen iç denetim birimleri yetenekli meslek insanlarını çekebilirler ve kurumları için çok değerlidirler. Güçlü bir "marka" olmak, iç denetim faaliyetlerinin başarısını ve becerisini kuruluş içinde en üst noktaya çıkartır. Çoğu zaman, iç denetim faaliyetinin markası gücünü, 5

6 uzun yıllar boyunca aksamadan çıkartılan yüksek nitelikli işlerden almaktadır. Maalesef bu marka, güçlü ve ters bir olayda birden yok olabilir. 10. Örneğin, bir iç denetim faaliyeti, çeşitli rotasyonlar sonrası üst düzey finansal yönetici görevlerine gelmiş iç denetçilerden dolayı, gelecek yöneticiler için eğitim platformu olarak da algılanıp önemli görülebilir. Ancak, bir dizi önemli mali tablo düzeltmesi ve yasal inceleme, iç denetim faaliyetinin itibarını etkileyebilir. Yönetim kurulu, iç denetim ekibinin doğru yetenek ve 'kalite güvence ve geliştirme programına' sahip olup olmadığını sorgulayabilir. 11. Başka bir örnekte, insan kaynaklarının denetimi sırasında, iç denetçiler, çalışanların meslekî geçmişlerinin gerektiği şekilde incelenmediğini tespit edebilirler. Yeni işe alınmış bazı iç denetçilerin eğitim geçmişlerinin yeterli olmadığının, diğer bir kısmının, daha önce suç teşkil eden bir faaliyete katılmış olduğunun tespit edilmesi iç denetim faaliyetinin güvenilirliğini ciddi şekilde sarsabilir. 12. Bu gibi durumlar, durumu zorlaştırmakla kalmaz, aynı zamanda, iç denetim faaliyetinin yararlılığını da zedeler. İç denetim faaliyetinin itibar ve "markası"nın korunması, sadece iç denetim faaliyeti için değil, tüm kuruluş için önemlidir. İç denetim faaliyeti, hangi tür risklerin, itibarını zedeleyebileceğini göz önünde bulundurmalı ve bu risklere karşı stratejiler geliştirmelidir. 13. Uygulamalardan bazıları şunlardır: İç denetim faaliyetinin, insan kaynakları ve işe alım dahil bütün süreçlerinde, güçlü bir kalite güvence ve geliştirme programı uygulanır. "Markasını" olumsuz etkileyebilecek muhtemel riskleri teşhis etmek için, iç denetim faaliyeti, dönemsel olarak risk değerlendirmesi yapar. 6 Uluslararas Meslekî Uygulama Çerçevesi

7 IIA'nın iç denetçilere yönelik Etik Kuralları dahil olmak üzere, davranış kuralları ve etik davranış standartları güçlendirilir. İç denetim faaliyetinin, şirketin bütün politika ve uygulamalarıyla uyum içinde olması temin edilir. 14. Bir iç denetim faaliyeti, yukarıda belirtilenlere benzer bir olayla karşılaştığında, İç Denetim Yöneticisi, olayın içeriğini gözden geçirmeli ve sorunun ana sebeplerini anlamalıdır. Bu analiz, oluşabilecek olumsuzlukları azaltmak için, iç denetim süreci ve kontrol sisteminde dikkate alınması gereken potansiyel değişikliklere karşı derinlikli bir bakış açısı getirir. * * * Yay n: Nisan