İç Kontrollerinizi Nasıl Etkin Kullanabilirsiniz?

Transkript

1 İç Kontrollerinizi Nasıl Etkin Kullanabilirsiniz? Özellikle 2010 yılından bu yana İç Kontrol Sisteminin oluşturulmasına yönelik olarak kurumlarca verilen emek, çaba ve istek yadsınamaz düzeydir. Kurumsal farkındalığı artırmaya yönelik düzenlenen eğitimler, hazırlanan hizmet ve görev envanterleri, görev tanımları, iş süreçleri, süreç prosedürleri, etik yönergeleri, hassas görev envanterleri vb. çalışmalar kamu kurumlarının büyük bir kısmı tarafından tamamlanmış durumdadır. Söz konusu çalışmalar ciddi bir zaman ve insan kaynağı kullanımı gerektiren çalışmalardır. Ancak bunların gerçek anlamda kurumun iç kontrol sistemine ne kadar katkı sağlamış olduğu, ciddi bir tartışma konusudur. Kurumlarda iç kontrol ile ilgili önemli bir arşiv bulunmakla birlikte, bu dokümanların pratikte uygulamaya sağladıkları katkı, öngörülenin çok altındadır. Kurumların, iç kontroller ile ilgili mevcut durumlarını değerlendirecek gerekli araçlara sahip olmamaları, çalışmaya nereden başlanacağı ve iç kontrollerden nasıl fayda sağlanacağı konusunda kafa karışıklığı yaratmaktadır. dikkate alındığında, bu alanda şimdiye kadar yapılan çalışmaların, artık bir üst seviyeye taşınması gerekliliği açıktır. Bu aşamada kurumlardaki iç kontrol görevlilerinin cevaplaması gereken üç temel soru bulunmaktadır: İç Kontrol Sistemine ilişkin olarak; Yapmış olduğumuz çalışmalar neler? (Elimizde ne var? ) Yapılan çalışmalar kuruma ne ölçüde katkı sağlıyor? Yapılan çalışmaları, nasıl kuruma değer katacak araçlar haline getirebiliriz? Bu soruları sırası ile yanıtlayalım: Yapmış olduğumuz çalışmalar neler? Görev tanımları (birim görev tanımları ve bireysel görev tanımları), iş akış şemaları, etik kurallara ilişkin düzenlemeler, iç kontrol konusunda farkındalığı sağlamaya yönelik rehber dokümanlar, hassas görev envanterleri, operasyonel faaliyetlere ilişkin kontrol listeleri, iç kontrol yönergeleri, iç kontrol eylem planları neredeyse tüm kurumlarda üretilmiş iç kontrol çalışma çıktılarıdır. Az sayıda kurumda risklerin tespiti ve ölçülmesine yönelik çalışmalar da mevcuttur. Yapılan çalışmalar kurumlara ne ölçüde katkı sağlıyor? İç kontrolün, kurumlar için sahip olduğu hayati önem ve iç kontrol birimlerinde görevli personelin uzun süredir harcamış olduğu çaba Kurumlarda iç kontrol konusunda görev alan yönetici ve personelle yapılan görüşmeler 1

2 neticesinde edinilen genel izlenim, çalışmaların dokümantasyondan öteye taşınamamış olduğudur. Uzun uğraşlar sonucu, önemli zaman ve insan kaynağı kullanılarak üretilen çalışmaların sağladığı katkının bu kadar az olmasının en önemli iki sebebi; çalışmaların üst yönetim tarafından sahiplenilmemesi ve kurum personelinin yapılan çalışmaları içselleştirmemiş olmasıdır. Peki yapılan çalışmaları nasıl kuruma değer katacak araçlar haline getirebiliriz? İç kontrol sistemini, kuruma ve yöneticilere değer katacak etkin ve sürdürülebilir bir yönetim aracı haline getirebilmek için; iç kontrol birimlerinin, hem üst yönetimin hem de kurum personelinin desteğine ihtiyacı vardır. Söz konusu desteğin sağlanabilmesi ise taraflara ikna edici ve fayda sağlayıcı çıktılar üretmekten geçmektedir. Üst yönetimin ve kurum personelinin beklentisi, yönetsel ve operasyonel faaliyetlerin başarılı bir şekilde yürütülmesine yardımcı olacak, amaç ve hedeflere ulaşma konusunda güvence sağlayacak bir sistemin oluşturulmasıdır. Bu, ilgili kişilerce terimsel olarak, iç kontrol sistemi olarak ifade edilemiyor olsa bile, esasen çalışma ortamı içinde bulunan tüm tarafların ortak ve temel beklentisidir. Edindiğimiz tecrübeler neticesinde tavsiyemiz, iç kontrol alanında kurumsal ilerleme sağlamak isteyen görevlilerin, mevcut sistem ve uygulamaları, risk yönetimi perspektifinden değerlendirerek işe başlaması gerektiğidir. Öncelikle iç kontrolün idari bir faaliyet değil, risk esaslı bir yönetim aracı olduğu fikri benimsenmeli ve yapılan tüm çalışmalar bu bakış açısı ile değerlendirilerek güncellenmelidir. Örneklerle açıklamaya çalışalım; İş akış şemaları; iş süreçlerinin başka bir ifade ile kurumsal faaliyetlerin işlem adımlarını içermektedir. Uygun yöntemle hazırlanmış olan iş akış şemaları, faaliyetlere ilişkin prosedürlerin sağlanması için faydalı bir çalışma olmakla birlikte tek başına anlam ifade etmemektedir. Özellikle de üst yöneticiler için. Üst yöneticilerin önceliği kurumun tüm faaliyetlerini kuş bakışı olarak görmek, izlemek ve sorunlu alanlar hakkında hızlı çözümler üretebilmektedir. İş akış şemalarını çeşitli yönetim ve uygulama kademeleri için işlevsel hale getirmenin yolu, kurumun süreç hiyerarşinin oluşturulması ve iş akışların, süreç hiyerarşisi içinde uygun alanlara yerleştirilmesidir. Kurumun misyon ve 2

3 vizyonu doğrultusunda belirlenen ana süreçler altında süreçleri, süreçleri altında da alt süreçleri tanımlanarak kurumun faaliyetlerine ilişkin genel bir görüntü elde edilebilecektir. İş akışlar ise bu üçlü hiyerarşinin en son halkasını oluşturmaktadır. İş akışlar, alt süreçleri tanımlayan, iş aktivasyonlarını gösteren araçlar olarak kullanılacaktır. Süreç analizinin bu şekilde uygulanması, kurumun süreç haritasının oluşmasını sağlayacak, her düzeydeki yönetici için yönetsel alanları açıkça ortaya koyacaktır. Üst yöneticiler, ana süreç ve süreçler üzerinde karar verici iken, orta kademe yöneticilerin çalışma alanı alt süreçlerdir (faaliyetler). İş akışlar ise ilgili faaliyette görev alan personelin kullanacağı araçlardır. Süreçlerden sağlanacak asıl fayda ise süreç bazlı gerçekleştirilecek risk analizleri neticesinde elde edilecektir. Ana süreçler ve süreçler üzerinde gerçekleştirilecek risk değerlendirme çalışmaları, kurumun stratejik risklerini, kontrollerin etkinlik durumunu ve iyileştirme önerilerine ortaya koyarken, alt süreçler ve iş akışlar üzerinde yapılacak risk değerlendirme çalışmaları operasyonel düzeydeki riskler ve kontrollerin tespit edilmesini, yetersiz kontrollerin iyileştirilmesine yönelik alınacak tedbirlerin ortaya konulmasını sağlayacaktır. Bu süreç ve risk analizi çalışması, kurumlardaki iç kontrol görevlileri tarafından şimdiye kadar tamamlanmış tüm çalışmaların birbiri ile entegre edilmesini ve anlamı hale getirilmesini sağlayacak bir çalışma olacaktır. Söz konusu çalışma ile kurumdaki, yazılı uygulamalar, mevzuata uyum, sözleşmeler, görevler ayrılığı, envanter kayıtlarının yapılması gibi sert kontroller ile birlikte; etik, dürüstlük, yetki, sorumluluk, yönetim tarzı, anlama ve sorumluluk düzeyi, iletişim, liderlik, davranış kuralları gibi gayri resmi konuları içeren yumuşak kontrol mekanizmalarının güvenilirliği de değerlendirilebilecektir. Görev tanımları; tek başına bir insan kaynakları uygulaması iken, yapılacak çalışma ile görev tanımlarını, bir yönetim aracı haline getirmek mümkündür. Hangi faaliyetten kimin sorumlu olduğu, görevli personelin, görevi ile ilgili uygulaması gereken yöntem ve prosedürler, personelin görevini yerine getirirken karşılaşması muhtemel riskler, riskleri azaltmaya yönelik uygulaması gereken kontrol faaliyetleri açıkça ortaya konulmuş olacaktır. Her bir personelin üstlendiği sorumluluğun tüm yönleri ile ortaya konulmuş olmasının, personelin çalışma motivasyonuna katkı sağladığı, söz konusu yöntemin uygulandığı kurumlarda bizzat gözlemlenmiştir. Bu durum iç kontrol sistemine, kurum personelinin desteğinin sağlanması konusunda, iç kontrol birimlerine dolayısı ile kuruma oldukça önemli katkılar sağlamaktadır. 3

4 Hassas görev envanterinin de yine risk değerlendirmesi sonrasında gözden geçirilmesi faydalı olacaktır. Ana süreç, süreç ve alt süreçler üzerinde, sorumluluklar ve sorumlulular ile süreçlere ilişkin riskler tespit edildikten sonra, hassas görevlere ilişkin olarak yapılması gereken çalışma, sorumlular ile risklerin birleştiği bir matris oluşturmaktadır. Risk seviyesi yüksek alanlarda tanımlanan görevler hassas görevler iken, bu görevleri yürüten personel ise hassas görev sahipleridir. Hassas görevlere ilişkin yürütülmesi gereken prosedürleri ise, risklere yönelik yürütülmekte kontrol önlemleri ya da planlanan risk iyileştirme eylemleri oluşturmaktadır. Kontrol listeleri, tüm dünyada kabul gören en pratik ve işlevsel kontrol yöntemlerinden biridir. Ancak bu kontrol listelerinin, riskleri azaltmak konusundaki başarısı, uygulayıcılar tarafından ne kadar başarılı şekilde kullanıldığına bağlıdır. Kontrol listeleri, uygulayıcı personel tarafından bilinmiyor olabilir, uygulayıcıların anlayabileceği kadar açık olmayabilir, faaliyete ilişkin riskleri tam olarak kapsamıyor olabilir ya da gereğinden fazla detaylı hazırlanmış bir kontrol listesi sürecin verimliliğini olumsuz etkiliyor olabilir. Yapılacak süreç ve risk analizleri neticesinde, her bir alt sürece ilişkin kontrol listesinin gerekli olup olmadığı, kontrol listesinin kapsamının ne olması gerektiği açıkça ortaya konulabilecektir. Her bir alt sürece ilişkin görevliler ve bu görevlilerin kullanması gereken kontrol listeleri, tanımlanmış risklere uygun şekilde belirlendiğinde, söz konusu çalışmanın faydası artacaktır. Genelge ve talimatlar, kurum içi faaliyetleri yönlendiren en önemli yönetsel araçlardır. Ancak bunların, güncelliği, uygulayıcılar ve faaliyetin kontrolünden sorumlu görevliler tarafından ne kadar anlaşılabildiği hatta bilindiği, fayda sağlayabilmeleri açısından önemli bir ölçüttür. Kurumlarda yapılan gözlemlerde, birçok kurum içi düzenlemenin yönetici ve personel tarafından bilinmediği, birçoğunun güncelliğini yitirmesi nedeni ile aslında etkin kontrol araçları olmadığı görülmektedir. Süreç ve risk analizleri ile tüm iç ve dış mevzuatın da gözden geçirilmesi ve ana süreç, süreç ve alt süreç seviyesinde uyum risklerinin tespit edilmesi ile kurumsal düzenlemelerin etkin birer yönetsel araç olarak kullanılması sağlanabilmektedir. Etik, dürüstlük, yetki, sorumluluk, yönetim tarzı, iletişim gibi yumuşak kontroller olarak adlandırılan kontroller, denetimi en zor kontrollerdir. İç kontrol sisteminin temelini oluşturan kontrol ortamı bileşeninin içeriğinde yer alan bu mekanizmalar sistemin etkinliği açısından son derece önemlidir. Yöneticiler tarafından gerçekleştirilmesi beklenen gözetim görevi bu mekanizmaların en önemli güvencesidir. Süreç ve risk analizleri, çalışma 4

5 alanları ve risk unsurlarını net şekilde ortaya koyarak, gözetim görevini kolaylaştırmaktadır. İç Kontrol Sisteminin izlenmesine yönelik oluşturulacak iyi bir raporlama sistemi gözetim görevinin en önemli aracı olacaktır. İç kontrol Sistemin hayatta geçirilmesi, aslında, bu konuda çalışan birçok görevli tarafından dile getirildiği gibi bir ütopya değildir. Kuruma ve çalışanlara ek bir külfet ve iş yükü getiren çalışmalar da değildir. İç kontrol sistemi oluşturma çabalarının, ciddi bir özveri, inanç, adanmışlık ve profesyonelliği gerektirdiği bir gerçektir ancak kurumlarda bu konuda önemli görev ve sorumluluklar üstlenen ve sorumluluklarını hakkı ile yerine getirmeye çalışan yeterli sayıda personel mevcuttur. Kurumların ve iç kontrolde görevli personelin ihtiyacı olan; doğru ve uygulanabilir bir yöntemdir. analizleri neticesinde; görev tanımlarının hazırlanması, kurumun süreç hiyerarşisinin oluşturulması; iş akış şemalarının hazırlanması; faaliyetlere ilişkin formların (standart formlar, kontrol listeleri vb.), iç ve dış mevzuatın tanımlanması; stratejik, finansal, operasyonel ve mevzuata uyum risklerinin tanımlanması; risklerin ölçülmesi; risklere yönelik kontrollerin tanımlanması; kontrollerin etkinliğinin değerlendirilmesi ve risk iştahının üzerinde kalan alanlar için risk iyileştirme eylemlerinin planlanması; süreç hiyerarşisi dikkate alınarak, süreç, risk, kontrol ve eylem planlarından sorumlu aktörlerin belirlenmesi aşamalarını kapsamaktadır. Kurumun daha önce hazırlamış olduğu dokümanlar çalışmanın en önemli girdileri olacaktır. İç kontrol sisteminden sağlanacak asıl fayda ise; bu çalışmanın tamamlanmasının akabinde başlamaktadır. Sistemin izlenmesi ve değerlendirilmesi aşamasına geçildiğinde sistemin aktörleri olan, üst yöneticiler, orta kademe yöneticiler, iç kontrol görevlileri ve kurum personeli, izleme, değerlendirme ve iyileştirme döngüsü ile devam edecek sürecin bir parçası haline gelecek, sistem kuruma değer katan bir mekanizma haline dönüşecektir. İç kontrol ve risk yönetimine ilişkin kurumsal alt yapının oluşturulması, olarak adlandırdığımız çalışmalar, kurumun büyüklüğüne göre değişmekle birlikte ortalama olarak altı ay oniki ay arasında tamamlanabilmektedir. Bu çalışma; kurumun organizasyon şemasının gözden geçirilmesi, eksik ve hatalarının giderilmesi; yapılacak iş 5

6 Kurumsal alt yapının oluşturulmasına ilişkin yapılacak çalışmalar sırasında, üst yönetimin desteğini sağlamak için iç kontrolden sorumlu personele tavsiyemiz, kurumun süreç hiyerarşisinin oluşturulmasının akabinde, 2. seviye bir süreci pilot süreç olarak belirleyerek, süreç üzerinde çalışmanın tüm aşamalarını tamamlamaları ve üst yönetime hızlı bir rapor oluşturmalarıdır. Bu şekilde, devam eden çalışmanın, amacı ve sonuçlarına ilişkin önemli bir çıktı ortaya konulmuş olacaktır. Çeşitli kurumlarda edinmiş olduğumuz tecrübe, pilot çalışma uygulamasının üst yönetim ile birlikte kurumdaki orta kademe yöneticilerin de çalışmaya destek vermeleri hatta takipçi olmaları açısından son derece faydalı olduğudur. ile iç denetçilere yönelik, riskler, kontrol faaliyetleri ve risk iyileştirme eylemlerinin izlenmesine ilişkin, süreç iyileştirme ve revizyonlarına ilişkin vb. raporların periyodik ve/veya anlık olarak üretilmesi ve takibinin sağlanması gerekmektedir. İç kontrol ve risk yönetimine ilişkin uygulanabilir bir alt yapı oluşturulmasının akabinde, sistemin izlenmesi, raporlanması ve iyileştirilmesine yönelik prosedürlerin ve raporlama araçlarının doğru şekilde belirlenmesi ile kurumlar; kendilerine ve tüm kurumsal paydaşlara katkı sağlayacak, kurumun tüm süreçlerini (yönetseloperasyonel, mali-mali olmayan) destekleyecek önemli bir yönetsel araca sahip olacaklardır. Son olarak belirtmek gerekir ki böyle büyük bir projenin en önemli ihtiyacı, çalışmalara hız kazandıracak, eş zamanlı olarak tüm çıktıların yönetim ve personel ile paylaşılmasına imkan sağlayacak bir yazılım çözümünün kullanılmasıdır. Çalışmanın ilk aşaması olan alt yapının oluşturulmasına ilişkin dokümantasyon sorununu ortadan kaldırmak, iç kontrolde görevli personel açısından ciddi bir avantaj sağlamaktadır. Diğer taraftan, çıktı üretemediğiniz, sonuçlarını raporlayamadığınız hiçbir çalışmanın üst yönetim, dolayısı ile de kurum açısından faydası bulunmamaktadır. Yapılan çalışmaların uygulanmasını, kurumda yaygınlaştırılmasını, uygulamaların izlenmesini ve raporlanmasını sağlamak önemli bir gerekliliktir. İzleme aşamasında da, üst ve orta kademe yöneticiler İlknur TUNÇ Başkan Yardımcısı Türkiye İç Kontrol Enstitüsü İç Kontrol ve Risk Yönetimi Eğitim ve Danışmanlık Hizmetlerimiz Hakkında Bilgi Almak İçin Web Sitemizi Ziyaret Edebilirsiniz. 6