İç Denetim ve Metodolojisi Emre Özbek
Nedir? Ne işe yarar? Nasıl yapılır?
Etimoloji audit (n.) early 15c., from L. auditus "a hearing," pp. of audire "hear" (see audience). Official examination of accounts, which originally was an oral procedure. The verb is attested from mid-15c., from the noun. Related: Audited; auditing. auditor early 14c., "official who receives and examines accounts;" late 14c., "a listener," from Anglo-Fr. auditour (O.Fr. oieor "listener, court clerk," 13c.; Mod.Fr. auditeur), from L. auditor "a hearer," from auditus, pp. of audire "to hear" (see audience). Meaning "receiver and examiner of accounts" is because this process formerly was done, and vouched for, orally. Kaynak: Online Etymology Dictionary
2009 Ekim 2007 Ekim Emre Özbek CIA, CISA, CRISC, SMMM, ISO31000A, ISO27001A 2004 Ocak 2002 Ocak 1996 Eylül 1995 Eylül 1991 Eylül
Nedir? Ne işe yarar? Nasıl yapılır?
İç Denetim nedir? Tanım İç Sistemler Risk Yönetimi İç Kontrol İç Denetim
Yaptıkları işin doğruluğuna inanan insanlar, çalışmalarının denetlenmesinden, karşı fikirler ortaya atılmasından ve tercihleri üzerinde münakaşa yapmaktan zevk alırlar. Mustafa Kemal Atatürk
İç Denetim tanımı İç denetim, bir kurumun faaliyetlerini geliştirmek ve değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. KAPSAM AMAÇ ROL ve SORUMLULUK FAALİYET
3 hatlı müdafa Dış Denetim İç Denetim İç Kontrol Risk Yönetimi Vizyon ve Strateji
İç Denetim ne işe yarar? Çıktısı Paydaşları İlkeleri
İç Denetim çıktısı
Paydaşlar Yönetim Kurulu Denetim Komitesi Yönetim Dış Denetçiler
Etik Kuralları Dürüstlük (Güven) Tarafsızlık Nesnellik Gizlilik Yetkinlik (Ehil Olma) Page 15
İç Denetim nasıl yapılır? Plan ve program Proje Yönetim Meslek
Denetim süreci I. Aşama Stratejik Planlama II. Aşama Denetim Faaliyetleri III. Aşama Kalite Güvence Risk Değerlendirmesi Planlama Denetim Komitesi Denetim Planı Saha Çalışması Kalite Değerlendirme Denetim Programı Raporlama Mesleki Uygulamalar Bulgu Takip
Denetim planı ve programı Risk Kapsam Kaynak Denetim Planı ve Programı
Etki Risk Risk Hedeflerin başarılmasında etkisi olacak bir olayın ortaya çıkma olasılığıdır. Risk, etki ve olasılık bakımından ölçülür. Risk Haritası 5 4 3 2 1 0 0 1 2 3 4 5 Olasılık
Risk bazlı denetim planlaması Denetim Evreni İşletmenin tüm faaliyet, lokasyon, süreçleri Risklerin tespiti Risk değerlendirmesi Risk İştahı Kabul edilecek risk seviyesi Önceliklendirilmiş riskler
Risk Yönetimi 1. 1 Risklerin belirlenmesi Dış ve iç olaylar Stratejik hedefler Tehditler ve fırsatlar 4. 4 İzleme ve takip Risk seviyesi izleme Aksiyon planlarının takibi Risk yönetimi süreci ile ilgili değerlendirme Risk Yönetimi 2. 2 Risklerin ölçümlenmesi Olası etki ölçümlemesi (kalitatif ve kantitatif) Gerçekleşme olasılığı İçsel risk seviyesi 3. 3 Risklerin indirgenmesi Arzu edilen risk seviyesi İçsel seviyenin arzu edilene çekilmesi için yöntemler Aksiyon planları
Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi
Denetim projesi Giriş Gelişme Sonuç Planlama Saha Çalışması Raporlama Bulgu Takip
Denetim projesi
Planlama Kapsamın tespiti ve tanınması İlgili süreçlerinin ve sistemlerin anlaşılması Risklerin ve geçerli kontrollerin, standartların, kıyaslamaların tanımlanması Stratejik plan ve kapsamlı planlama ile iş kapsamı arasında bağlantı oluşturulması Kapsam, yaklaşım ve risk yönetimi açısından alternatif seçeneklerin düşünülmesi Denetlenen ve ekibi ile iletişimde olmak Kapsam, zaman ve bütçe açısından uzlaşmak
Saha çalışması
Kontrol Kontrol Bir riskin indirgenmesi için uygulanan bir aktivitedir. Kontrol Türleri Önleyici Tespit edici Etkin kontroller, süreçlerin içine yerleştirilmiştir, ek bir aktivite değildir ve şirketin günlük aktivitelerinin ayrılmaz bir parçasıdır. Düzeltici Alternatif Manüel Otomatik
Kontrol örnekleri Kontrol Otomatik ya da Manüel Önleyici ya da Tespit Edici Finans direktörü, satış raporunu bütçe ile her ay karşılaştırmaktadır. Manüel Tespit edici Alacak yaşlandırma raporu aylık periyotta gözden geçirilerek 60 günden uzun süredir ödenmemiş borçların takip edilmesinde kullanılmaktadır. Faturalar, sistem içerisine yerleştirilmiş otorizasyon limitleri doğrultusunda onaylanmaktadır. Satış müdürü tarafından aylık raporlar ile satış ekibinin geçen seneye göre satışları ne oranda geliştirdiği incelenmektedir. Manüel Otomatik Manüel Tespit edici Önleyici Tespit edici Depodaki tüm envanterin sayımı her ay gerçekleştirilmektedir. Manüel Tespit edici Kullanıcı adı ve şifrelerinin kullanılması elektronik ödeme sistemine erişimi kısıtlamaktadır. Otomatik Önleyici Her akşam veri yedeklemesi sistemce yapılmaktadır. Otomatik Önleyici Bankaya talimat gönderilmeden önce üzerine yetkili iki kişinin imzası alınmaktadır. Müşteri veritabanı üzerinde yapılan değişiklikler ertesi sabah veri sahibinin ekranına bir liste halinde düşmektedir. Manüel Otomatik Önleyici Tespit edici
Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi
Raporlama Kullanılabilirlik Doğruluk Açıklık Özlük (Kısalık) Vakitlilik (Zamanlı ve zamanında) Aksiyon planı
Örnek bir bulgu Kontrol/Bulgu Derece Tavsiyeler 1 Satınalma ve Ödemeler 1.1 Satın alma sürecindeki eksiklikler Gözlem Satın alma talepleri hem ERP üzerinden hem de manüel olarak yaratılmaktadır. ERP üzerinden yaratılan talepler, sistem üzerinden onaylanıp siparişe dönüşürken manüel yaratılan taleplerin Satın alma Müdürü tarafından onaylanması gerektiği şirket prosedürlerinde yer almaktadır. Denetim döneminde yaratılan manüel satın alma taleplerinden seçilen 30 adet örneklemin incelenmesi sonunda şu eksiklikler belirlenmiştir: 17 adet manüel satın alma talebinin üzerinde onaylandıklarına dair bir kanıt bulunamamıştır. Şirket bünyesinde aynı anda birden fazla satın alma talep formu kullanılmakta ve bu formlar her personelin kullanımına açık bir şekilde bulunmaktadır. Risk Onaylama sürecindeki eksiklikler yetkisiz veya hatalı işlemlerin gerçekleştirilmesine neden olabilir. Birden çok manüel satın alma formunun bulunması kontrolleri zorlaştırmakta ve onaylanmamış satın almalar olmasına sebep olabilmektedir. Y Tavsiyeler Manüel satın alma taleplerinin sistem üzerine alınması ve sistemdeki süreçlerden geçerek onaylanması sağlanmalıdır. Satınalma talepleri tek tip bir formda tutulmalı ve girişlerin sorumlular tarafından yapılması sağlanmalıdır. Satın alma işlemlerine ilişkin görev tanımları, görevler ayrılığı ilkesine uyumlu olarak gözden geçirilmelidir. Yönetim Görüşü: Katılıyorum Tavsiye edilen önlemler uygulanacaktır. Serdar Güzel, Genel Müdür Yardımcısı Sorumlu: Berna Külyutmaz, Satınalma Müdürü Uygulama Tarihi: Haziran 2009
Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi
Bulgu Takip Yönetimin denetim tavsiyelerine ve gözlemlerine verdiği cevaplar Yönetimin görüşlerinin değerlendirilmesi Yönetimin görüşlerinin doğrulanması ve dokümantasyonu Etkin bir iletişim mekanizmasının oluşturulması Denetim komitesine ve üst yönetime sunulan raporlar Yönetim uygulamalarının takip edilmesi
Mesleki özellikleri Standartlar (http://www.tide.org.tr/page.aspx?nm=standartlar) Mesleki Uygulama Çerçevesi (http://www.tide.org.tr/page.aspx?nm=mesleki_uygulama_cercevesi) Etik Kurallar (http://www.tide.org.tr/page.aspx?nm=etik_kurallar) Sertifikasyon (http://www.tide.org.tr/page.aspx?nm=s_genel_bilgi)
Referans siteler Türkiye İç Denetim Enstitüsü http://www.tide.org.tr The Institute of Internal Audit http://www.theiia.org The Institute of Risk Management http://www.theirm.org AuditNet.org http://www.auditnet.org/
Nedir? Ne işe yarar? Nasıl yapılır?
Teşekkürler Emre Özbek http://about.me/emre.ozbek