Kontrol Öz Değerlendirme (Control Self Assesment) 27 NİSAN 2015 1
Fatih ERKEK, CGAP, CCSA, ISO 27001 LA, A3 Sosyal Güvenlik Kurumu ferkek@sgk.gov.tr 0 312 207 88 35 2
Kontrol Öz Değerlendirme-Tanım Kontrol Öz Değerlendirme (CSA) çalışması, kurum yöneticilerinden, çalışanlarından (ve iç denetçilerden) oluşan bir grubun Kurumun risk yönetimi ve kontrol süreçlerinin yeterliliğini değerlendirdiği bir metodolojidir. 3
Kontrol Öz Değerlendirme Esasları-Tanım IIA tarafından kontrol öz değerlendirme şöyle tanımlanmıştır; «CSA İç kontrolün etkinliğinin incelendiği ve değerlendirildiği bir süreçtir. Amacı, gerçekleştirilmek istenen iş hedeflerine makul güvence sağlamaktır» 4
Bakanlar Kurulu Kararı 30.09.2014 tarih ve 2014/6842 sayılı Bakanlar Kurulu Kararının İç Kontrol başlıklı 24. maddesinde; ç) yılda en az bir kez ilgili kamu iktisadi teşebbüsü veya bağlı ortaklığa ilişkin kontrol öz değerlendirme yapılmasını Sağlamak üzere iç kontrol sistemi oluşturulmasından kamu iktisadi teşebbüsü ve bağlı ortaklıklarının yönetim kurulları ile görev ve yetkileri çerçevesinde her düzeydeki yönetici sorumludur. 5
Kontrol Öz Değerlendirme Esasları-Amaç CSA nın amaçları; Risk faktörleri ve etkilerini tespit etmek. Riskleri azaltan ve yöneten kontrol süreçlerini değerlendirmek. Riskleri kabul edilebilir seviyeye indirecek aksiyon planları geliştirmek. Kurum hedeflerinin gerçekleşmesine yardımcı olmak 6
Kontrol Öz Değerlendirme Esasları-Faydaları Genel itibari ile CSA nın faydaları şunlardır; Risk ve kontrol yönetiminde iyileşmeye yol açan bilginin iletimini ve toplanmasını kolaylaştırır. İşbirliği ve paylaşımın sağlanmasını teşvik eder. Daha açık ve paylaşılan bir kurum kültürünün oluşturulmasında yöneticiye yardımcı olur. Yönetime hedeflerine ulaşmada yardımcı olur. 7
Risk ve Kontrollerin Değerlendirilmesinin Geleneksel Yöntemle Karşılaştırılması İç kontrol bileşenleri; İzleme Bilgi ve iletişim Kontrol faaliyetleri Risk değerleme Kontrol Ortamı 8
Operasyonel Uzmanlıkta Güven Geleneksel denetim ile CSA yaklaşımının alınan sorumluluklar açısından karşılaştırılması; Sorumluluklar Geleneksel Yaklaşım CSA Yaklaşımı İşletme hedeflerinin belirlenmesi Yönetim Yönetim Risklerin değerlendirilmesi Yönetim/Denetçiler Yönetim İç kontrollerin yeterliliği Yönetim Yönetim Risk ve kontrollerin değerlendirilmesi Denetçiler Çalışma grubu Raporlama Denetçiler Çalışma grubu Risk ve kontrollere ilişkin değerlendirmenin Denetçiler Denetçiler doğrulanması Kullanılan hedefler Denetimin Yönetimin 9
Risk ve Kontrollerin Değerlendirilmesinin Geleneksel Yöntemle Karşılaştırılması İç kontrol bileşenleri, CSA ve geleneksel yaklaşımda aynıdır. Asıl farklılık bu metodolojinin kontrolleri tespit etmek, değerlemek, değerlendirmek ve geçerliliğini sağlamak için uygulanmasındadır. Aşağıdaki tabloda CSA yaklaşımı ile geleneksel denetim anlayışı arasındaki farklılıklar gösterilmektedir; Geleneksel Denetim Anlayışı Nihai rapor denetçiler tarafından düzenlenir Kontrol Öz Değerleme Yaklaşımı Nihai rapor yönetim tarafından düzenlenir Kontrol çerçevesine ilişkin değerlendirme ve analizler denetçiler tarafından yapılır. Riskleri yönetim ve denetçiler değerlendirir. Analizler, görüşmeler ve belgelerin gözden geçirilmesi yoluyla gerçekleştirilir. Denetçiler genel kabul görmüş standartlara dayanarak kontrollerin iyileştirilmesi için önerilerde bulunur. Kontrol çerçevesine ilişkin değerlendirme ve analizler yönetim tarafından yapılır. Riskleri yönetim ve personel değerlendirir. Analizler, personel ve yönetimin kontrol yapısını tartıştığı çalıştaylar aracılığıyla gerçekleştirilir. Anketlerde kullanılabilir. Yönetim/personel genel kabul görmüş denetim standartlarını kullanan denetçilerin rehberliğinde kontrol yapısını iyileştirecek metotlar geliştirir. 10
Kontrol Farkındalığı ve Eğitim CSA nın başarısını garanti altına almak için, organizasyonlarca bütün personelin risk ve kontrol konuları hakkında farkındalığı ve bunlara uyumu sağlanmalıdır. Bunu başarmak için de aşağıda belirtilenlerin, personel tarafından bilinmesi temin edilmelidir; Kurum misyonu ile ilişkili olarak personel kendi rolünü ve sorumluluklarını anlamalıdır. Kurum politika, süreç ve uygulamalarını anlamalıdır. Değişik yönetimsel, operasyonel ve teknik kontroller hakkında en azından yeterli bilgiye sahip olmalıdır. 11
İşbirliği, Katılım ve Ortaklık CSA nın başarılı olarak uygulanması denetim ve yönetimin işbirliğini gerektirir. Yönetim CSA nın potansiyel faydalarını anlamalı ve değerlemenin gerçekleştirilebilmesi için yeterli personel kaynağını sağlamalıdır. 12
CSA Uygulamasında Alternatif Yaklaşımlar CSA da tek bir en iyi yaklaşım yoktur. Pek çok durumda uygulanabilecek sayısız yaklaşım vardır; Projede görevli personelin yetenekleri Projede görevli personelin bilgisi Kaynakların yeterliliği CSA sürecinin hedefleri ve kapsamı Kurum kültürü göz önüne alınarak en iyi yaklaşıma Kurumca karar verilmesi gerekmektedir. 13
CSA Uygulamasında Alternatif Yaklaşımlar IIA in 2120.A1-2 maddesinde formel ve dokümante edilmiş bir süreç olan CSA kullanılarak iş birimleri, fonksiyonlar veya süreçlerden gelen kişilerden oluşan çalışma ekibi ile yönetimin ortaklaşa olarak aşağıdaki unsurları gerçekleştirmeleri beklenmektedir; Riskin ve etkilerinin tespit edilmesi. Riskleri yöneten ve azaltan kontrol süreçlerinin değerlendirilmesi. Risklerin kabul edilebilir seviyeye çekecek aksiyon planlarının oluşturulması. İş hedeflerinin gerçekleştirilme olasılığının belirlenmesi. 14
CSA Uygulamasında Alternatif Yaklaşımlar IIA ye göre Kurumlar aşağıda sıralanan 3 temel CSA formundan birini veya birkaçının birleşimini uygulayabilirler. 1. Kolaylaştırılmış Takım Çalıştayı (Facilitated Team Work) Hedef Bazlı Format Risk Bazlı Format Kontrol Bazlı Format Süreç Bazlı Format 2. Anketler 3. Yönetimce Oluşturulmuş Analiz 15
Kolaylaştırılmış Takım Çalıştayı Çalıştay, iş birimlerinden veya fonksiyonlardan gelen farklı seviyelerde temsilcilerden oluşan çalışma grupları ile bilgi toplanması anlamına gelmektedir. Çalışma gruplarının amacı kontrol zayıflıkları ve riskleri tespit etmek ve bu riskleri azaltma ve yönetme yollarını geliştirmektir. Bu süreç iç kontroller ve risklerin nasıl değerlendirileceği konusunda çalışanlar ile yöneticileri yönlendirecek bir CSA kolaylaştırıcısı gerektirmektedir. Dört adet kolaylaştırılmış takım çalıştayı formatı vardır. 16
Kolaylaştırılmış Takım Çalıştayı- 1-Hedef Bazlı Format İş hedeflerinin gerçekleşmesini sağlayacak en iyi yola odaklıdır. Çalıştay hedefleri destekleyen mevcut kontrolleri tespit etmekle başlar ve daha sonra artık riskin hedeflere ulaşmayı sağlayıp sağlamayacağına karar verir. Mevcut artık risk çok yüksek (kontrolün etkinliğine ve dizaynına rağmen kabul edilemez kontroller) veya çok düşük(hedefin gerçekleşme olasılığını düşüren zorlayıcı kontroller) olabilir. Çalıştayın amacı hedeflere ulaşmayı sağlayan yerinde ve etkin olarak çalışan kontrol çeşitlerine karar vermektir. 17
Kolaylaştırılmış Takım Çalıştayı- 2-Risk Bazlı Format Hedeflerin gerçekleştirilmesini engelleyen riskleri listelemeye odaklanmıştır. Çalıştay hedeflerin gerçekleşmesini engelleyen bariyerler, engeller, tehditler ve risklerin listelenmesi ile başlar Belirlenen risklerin uygun şekilde yönetilip yönetilmediğine karar verilebilmesi için kontrol süreçlerinin yerinde incelenmesi ile devam edilir. Çalıştayın amacı tüm risklerin kabul edilebilir seviye indirilecek şekilde yönetildiğinden emin olmaktır. 18
Kolaylaştırılmış Takım Çalıştayı- 3-Kontrol Bazlı Format Mevcut kontrollerin nasıl çalıştığına odaklıdır. Bu format yukarıda bahsedilen iki formattan farklıdır çünkü burada çalıştayın başlangıcında kolaylaştırıcı tarafından riskler ve bunları önleyecek kontroller belirlenir. Çalıştay süresince, çalışma grubu risklerin azaltılmasında ve hedeflerin gerçekleştirilmesinde kontrollerin ne kadar etkili olduğunu değerlendirir. 19
Kolaylaştırılmış Takım Çalıştayı- 4-Süreç Bazlı Format Bu format sürece odaklanır(üretim, satın alma, ürün geliştirme vs.) Bu tip çalıştaylarda değişik ara adımların ve tüm sürecin hedefleri belirlenmektedir. Çalıştayın amacı tüm süreci ve bu sürecin tamamlayıcı faaliyetlerini ölçmek, hızlandırmak, geliştirmek ve değerlemektir. 20
Kolaylaştırılmış Takım Çalıştayı Bir tipik kolaylaştırılmış CSA çalıştayında, görüşmeler sonucunda bir rapor oluşturulur. Hazırlanan rapor bir iç denetim raporu değildir. Rapor iç denetçinin yada iç denetim departmanının raporu değildir. Her aşamada yapılan tartışmalar sonucunda bir görüş birliğine varılır ve grup nihai raporun sonlandırılmasından önce gözden geçirir. 21
Kolaylaştırılmış Takım Çalıştayı Kolaylaştırıcının Özellikleri; CSA grup çalışmalarında iç denetçilerin rolü danışmanlıktır. Kontrol öz değerlendirme grup çalışmalarında danışman rolünü üstlenecek olan kişinin mutlaka belirli seviyede eğitime sahip olması gerekmektedir. Danışman rolünü üstlenen denetçinin, risk ve kontrol ile ilgili karar alma ve değerlendirme aşamasında çalışma grubunu serbest bırakması gerekmektedir. 22
Anketler Bu CSA uygulaması hedef kitlenin anlayabileceği şekilde dikkatle yazılmış ve çoğunlukla evet/hayır veya var/yok şeklinde cevaplanan sorulardan oluşur. Çalıştaya katılanların farklı lokasyonlarda (dağınık olması) olması veya katılımcı sayısının çok olması durumunda anketler uygulanır. 23
Yönetimce Oluşturulmuş Analiz Bu öz değerlendirme belirli iş süreçleri, risk yönetim faaliyetleri ve kontrol prosedürleri hakkında analiz yapılmasında ve bilgi toplanmasında yönetimce kullanılan bir yaklaşımdır. Belirli sorulara çabuk cevaplar bulmak veya özel bir süreç, faaliyet ve prosedür hakkında bilgi edinmek için kullanılır. Bu analiz yönetim tarafından yürütülür ve atanmış bir ekip tarafından hazırlanır. 24
CSA Uygulamalarında Fayda-Maliyet Analizi CSA nın Organizasyona Potansiyel Faydaları; Daha etkin ve efektif iş süreçleri İyileştirilmiş iç kontroller İyileştirilmiş risk değerlendirmesi ve yönetim Artan personel motivasyonu 25
CSA Uygulamalarında Fayda-Maliyet Analizi CSA Kullanımının Olası Maliyetleri; CSA kavram ve tekniklerinin kullanımı hakkında kolaylaştırıcının eğitimi maliyeti, Çalıştaylarda görev alan, anket dolduran ve ön görüşmelere katılan personeldeki verimlilik düşüşü, Personelin eğitici veya kolaylaştırıcı olarak görevli olması nedeniyle verimlilik düşüşü, CSA modelinin test edilme maliyeti, Seyahat masrafları. 26
Organizasyonel Risk ve Kontrol Süreçleri Risk Yönetimi_Kontrol Öz değerleme ilişkisi Risk yönetimi süreci, risk değerlemesi ile riskleri azaltmaya yönelik süreçler ve planların hazırlanmasından oluşur. Risk değerlemesi, olası risklerin tespit edilmesi, bu risklerin organizasyonun hedeflerini gerçekleştirmeye olası etkileri ve gerçekleşme olasılıkları ile tespit edilen riskli alanların önceliklendirilmesinden oluşur. Kontrol öz değerlemenin sonuçları olası risklerin tespit edilmesinde ve bu risklerle ilişkili kontrollerin güçlü ve zayıf yanlarının belirlenmesinde kullanılabilir. 27
Tipik iş hedefleri CSA süreci ilişkisi İş Hedefi: Hesap verilebilirlik, kontrol ve sorumluluk konularının çalışanlar tarafından daha iyi anlaşılması CSA süreci: Çalışanların süreçleri sahiplenmesini sağlar 28
İş Hedefi: Tipik iş hedefleri_csa süreci ilişkisi Kaynakların daha etkin kullanımı CSA süreci: İç denetçiler daha maliyet etkin bir planlama yaparken yüksek riskli alanların tespititinde CSA sonuçlarını kullanabilirler. Her ikisi de pahalı ve kıt kaynakların daha etkin dağıtımını sağlar. 29
Tipik iş hedefleri_csa süreci ilişkisi İş Hedefi: Her seviyede iletişim artışı CSA süreci: Kolaylaştırılmış forumlarda çalışanlar ve yöneticilerin toplanmasına ve önemli konuların tartışılmasına imkan yaratır. Organizasyonda değişik departmanlar, faaliyetler ve lokasyonlar arasında olduğu kadar çalışanlar arasında da iletişimi geliştirir. İletişim gelişmesi sayesinde de çalışanlar iç kontrolleri geliştirmek için yeni yollar bulurlar ve işbirliği ve uzlaşma içinde daha etkin ve verimli bir şekilde iş süreçlerini gerçekleştirirler. 30
İş Hedefi: Tipik iş hedefleri_csa süreci ilişkisi Artan çalışan motivasyonu CSA süreci: Çalışanlar kendi fikirleri ve önerilerine değer verildiğine inandıklarında daha çok motive olurlar. CSA demokratik bir yaklaşım olduğundan tüm çalışma grubu üyelerinden riskler ve kontroller hakkında bilgi alınmasını desteklemektedir. 31
İş Hedefi: Tipik iş hedefleri_csa süreci ilişkisi Etkili ekip oluşumu CSA süreci: CSA nın en önemli faydalarından biri açık ve dürüst bir iletişimin ve saygının olduğu, paylaşımın ödüllendirildiği gerçek bir ekip çevresi oluşturması ve bu çevrede çalışılmasını teşvik etmesidir. 32
İş Hedefi: Tipik iş hedefleri_csa süreci ilişkisi Kanun ve düzenlemelere uymama ve dolandırıcılık riskinin azalması CSA süreci: CSA suistimal göstergelerini tespit edebildiği gibi mevcut hileli faaliyetleride ortaya çıkarabilmektedir. CSA mevcut kanun ve düzenlemelere uyumun sağlanması için gerekli olan iç kontrollerin geliştirilmesinde yöntemler belirleyebilir. 33
Kritik Başarı Faktörleri CSA kullanımında olası yönetim sorunları ile karşılaşmamak için dikkat edilmesi gerekenler: 34
Kritik Başarı Faktörleri Süreçte doğru kişiler yer almalıdır, Çalışanlar kendi düşüncelerinin dinleneceğine gerçekten inanmalı ve cezalandırma korkusu veya işlerini kaybetme korkusu olmaksızın fikirlerini rahatça ileri sürebilmelidir, Kolaylaştırıcı uygun şekilde eğitim almış olmalı, karmaşıklıkları önceden hissedebilmeli, çalıştaydaki kişileri ve gurubu iyi yönetebilmelidir, CSA nın ne yapıp ne yapmadığını çalışanlar anlamalı ve kabul etmelidir, 35
Kritik Başarı Faktörleri Çalışanların değişikliğe karşı isteksizlikleri kaldırılmaya çalışılmalı ve CSA benimsetilmelidir, Risk ve kontrollerin yönetiminde çalışanlar ve yönetim kendi sorumluluklarını kabul etmelidir, CSA dürüst ve içten fikirlerin ortaya çıkmasını sağlamalıdır, CSA kurumsal hedeflere ulaşılamamasının temel nedenlerini tespit edebilmeli ve bunu değerleyebilmelidir. 36
Kaynakların Belirlenmesi ve Dağıtımı CSA kullanımı birimlerde önemli bir içsel uygulama maliyetine sebep olabilir. CSA uygulanacağı zaman üzerinde düşünülmesi gereken ve sorulması gereken kaynakların dağıtımı ile ilgi sorular şunlardır; 37
Sorgulamalar 1. Hangi değerleme tekniği kullanılacak (Çalıştay, anketler, yönetimce üretilen analizler) ve maliyeti ne olacak? 2. Tüm süreç, öngörüşmeler ve çalıştaylar için ne kadar zaman ayrılacak? 3. Kolaylaştırıcı sayısı ne olacak? 4. CSA süreçleri, risk değerleme, kontrollerin veya suistimallerin belirlenmesi gibi temel konularda katılımcılara ne kadar eğitim verilecek? 5. Çalıştayların oluşturulması için gerekli ekipman maliyeti nedir? 6. Tahmini ek malzeme maliyeti nedir? 7. Karşılaşılması olası diğer harcamalar neler olabilir?(ör. Seyahat) 38
Gözlemlenen Alana İlişkin Kültür Organizasyon kültürünün veya genel kabul görmüş kuralların CSA nın etkinliğini değişik şekillerde etkileyeceği Yönetim ve İç Denetim tarafından bilinmelidir. 39
Gözlemlenen Alana İlişkin Kültür CSA nın başarısı CSA nın başarısı hem organizasyonun kültürüne hem de incelemenin yapıldığı yerdeki kültüre bağlıdır. CSA lideri yaptığı öz değerlendirme sonucunda fonksiyonel olmayan kültürde daha da kötüleşmeye neden olabileceğini veya kuruma değer katmayacağını düşünürse CSA yı çalıştırmayabilir. 40
CSA Sertifikası Sınavı Genel Bilgiler CSA sertifikasyon programı, Uluslararası İç Denetim Enstitüsü (IIA) tarafından özellikle CSA (Kontrol Öz değerlendirme) uygulayıcıları için geliştirilmiştir. Enstitüsü tarafından 1999 yılından itibaren kontrol öz değerlendirme sertifikası verilmektedir. Bu sertifika IIA nın ilk uzmanlık sertifikasıdır. Bu sertifikasyon programı : Başarılı CSA uygulayıcıları için gerekli yeteneklerin belirlenmesine yardımcı olur, Adayların CSA'i ne seviyede kavradıklarını ölçer, CSA uygulamasının başlatılması için kullanılabilecek bir kılavuz niteliğindedir. 41
CSA Sertifikası Sınavı Genel Bilgiler CCSA sertifikasyonunun sağlayacağı faydalar; CSA uygulamalarına bir temel oluşturur. CSA'deki yeterlilik, deneyim ve eğitimin bir göstergesidir. Yönetim ve müşteriler (iç ya da dış) nezdinde güvenilirliğin artmasını sağlar. Yeni kariyer ve yükselme fırsatları için değerinizin artırmasına yardımcı olur. 42
CSA Sertifikası Sınavı Genel Bilgiler Sınav 115 çoktan seçmeli sorudan oluşmaktadır. Test olarak tek oturumda yapılmaktadır. Sınav süresi 2 saat 55 dakikadır. Sorular İngilizce-Türkçe olarak verilmektedir. Testte yer alan soruların bir kısmı değerlendirme dışı olup sadece sonraki sınavlarda sorulması olası soruları belirlemek için araştırma amacıyla sorulmuş sorulardır. Sınav ücreti; Başvuru ücreti: 115$ Sınav ücreti : 435$ 43
CSA Sertifikası Sınavı Sınav Konuları CSA Sertifikası Sınavı 6 Konudan Oluşmaktadır; CSA Esasları (% 5-10) CSA Programının Entegrasyonu (%15-25) CSA Sürecinin Elemanları (%15-25) İş Hedefleri / Organizasyonel Performans (%10-15) Risk Belirleme ve Değerlendirme (%15-20) Kontrol Kuramı ve Uygulaması (%20-25) 44
CSA Sertifikası Sınavı Programın Şartları Eğitim (CCSA adayları 4 yıllık üniversite (lisans) mezunu olmalıdır.) Karakter Referansı (CCSA adaylarının 'karakter referans formu', IIA'in sertifikalarından (CCSA, CIA, CGAP, CFSA) birine sahip olan bir kişi veya adayın âmiri tarafından imzalanmalıdır.) İş Tecrübesi (CCSA adayları, kontrol ile ilgili en az 1 yıllık iş tecrübesine sahip olmalıdır.) Fasilitasyon Eğitimi/Fasilitasyon Tecrübesi (CCSA adayları, en az 7 saatlik uygun bir fasilitasyon tecrübesine veya en az 14 saatlik bir fasilitasyon eğitimine sahip olmalıdır.) 45
SİZCE? 46
TEŞEKKÜRLER