II. Bilgi Teknolojileri YönetiĢim ve Denetim Konferansı BTYD 2011 ANKARA
COSO YAKLAġIMI ÇERÇEVESĠNDE ĠÇ KONTROL FAALĠYETLERĠNĠN ANALĠZĠ Haziran 2011 BTYD 2011
BTYD 2011 Gündem Gündem 1. Ġç Kontrol Modelleri 2. COSO YaklaĢımı 3. Ġç Kontrol ile Ġlgili Yanılgılar ve Gerçekler 4. KPMG Metodolojisi ve COSO ĠliĢkisi 5. Genel Değerlendirme ve Sonuç
BTYD 2011 1. Ġç Kontrol Modelleri
Ġç Kontrol Nedir? Ġç kontrol Tanımı: Bir kurumun yönetim kurulu, üst düzey yönetimi ve tüm çalıģanları tarafından yönlendirilen ve gerçekleģtirilen, aģağıdaki temel konularda hedeflerin baģarılması açısından makul bir güvence sağlamak üzere tasarlanmıģ bir süreçtir. 1. ĠĢlemlerin etkinliği ve verimliliği 2. Mali raporlama sisteminin güvenilirliği 3. Mevzuata uyum
Ġç kontroller farklı kurum iģ süreç seviyelerine uygulanabilirler.detayların derecesi asıl olarak kontrol edilecek süreçlerin güvenilirliğine bağlıdır. Kurum organizasyonunun farklı seviyeleri üzerinde üç farklı iç kontrol seviyesi tanımlanabilir Ġç kontroller kurumsal süreçlerin gerekli elemanları olup günü gününe iģlere uygulanmaları gerekir. Farklı kontrol hedefleri iç kontroller tarafından belirlenebilir mesela bilgilerin doğruluğu, bireysel iģlemlerin varlığı, iģlemlerin değerlemesi ve tamamlanması vs. Ġç kontrollerin bütünleģtirici bağlantısının risk yönetimi sisteminin azaltma stratejisinin içine uygulanması Kurumsal Seviyedeki Kontroller Kontrollerin Görüntülenmesi Kurumun tamamının monitör ve kontrol edilebilmesi için kurumsal seviyedeki kontroller standartları oluģtururlar. ĠĢ süreçlerini bir bütün olarak uygunluğunun sağlayan kontrollerin görüntülenmesi Süreç Seviyesindeki Kontroller KiĢisel iģ operasyonlarını/iģlemlerini monitör edecek süreç seviyesi kontrolleri
Ġç Kontrol Nedir? Ġç Kontrol bir süreçtir Süreç Ġç Kontrol kiģilere bağımlıdır Ġç Kontrol makul güvence sağlar Hedefler Ġç Kontrol Makul Güvence Ġç Kontrol hedeflere ulaģmaya yöneliktir KiĢiler
Ġç Kontrolün Faydaları Nelerdir? 1. ĠĢlemlerin etkinliği ve verimliliği StandartlaĢmıĢ süreçler yardımıyla faaliyetlerin ekonomikliğini, verimliliğini ve etkinliğini artırır. Kontrol faaliyetleri aracılığıyla varlıkların korunmasını sağlar. Kurumun rekabet gücünü artırır.
Ġç Kontrolün Faydaları Nelerdir? 2. Mali raporlama sisteminin güvenilirliği Yönetimin karar alma sürecinde kullandığı verilerin doğruluğunu artırır. Yolsuzluğun ve usulsüzlüğün önlenmesine ve tespitine yardımcı olur. Kurumun denetiminde denetçilere kanıt, yönetim kuruluna güvence sağlar.
DEPARTMAN 1 DEPARTMAN 2 SÜREÇ 2 SÜREÇ 1 Ġç Kontrol Modelleri Nelerdir? Kavramsal çerçeve konusunda dünyada farklı yaklaģımlar bulunmaktadır: Committee of Sponsoring ĠZLEME BĠLGĠ & ĠLETĠġĠM Organizations KONTROL FAALĠYETLERĠ RISK ANALĠZĠ ( COSO )ERM Her Majesty s ( HM ) Ġngiltere-Hazine KONTROL ORTAMI Turnbull/ Flint Ġngiltere Avustralya/ Yeni Zelanda ( AS/ NZ ) Risk Yönetimi Standardı 4360 ISO Standartları COBiT
2. COSO YaklaĢımı 2. COSO YaklaĢımı
COSO Nedir? COSO-Committee of Sponsoring Organisations (Destekleyici Kurumlar Komitesi) ĠĢ etiği, etkili iç kontroller ve kurumsal yönetim aracılığıyla mali raporlamaların kalitesini artırmaya yönelik çalıģmalar yapan gönüllü bir organizasyondur.
COSO - Temsil Edilen Kurumlar Committee of Sponsoring Organisations (COSO) 1. Ġç Denetim Enstitüsü (IIA) 2. Amerika Sertifikalı Muhasebeciler Enstitüsü (AICPA) 3. Amerika Muhasebe Kurumu (AAA) 4. Yönetim Muhasebecileri Enstitüsü (IMA) 5. Finans Yöneticileri Enstitüsü (FEI)
DEPARTMAN 1 DEPARTMAN 2 SÜREÇ 2 SÜREÇ 1 COSO BileĢenleri COSO nun 5 alt bileģeni vardır. 1. Kontrol Ortamı 2. Risk Analizi 3. Kontrol Faaliyetleri ĠZLEME BĠLGĠ & ĠLETĠġĠM KONTROL FAALĠYETLERĠ 4. Bilgi ve ĠletiĢim 5. Ġzleme RISK ANALĠZĠ KONTROL ORTAMI
DEPARTMAN 1 DEPARTMAN 2 SÜREÇ 1 SÜREÇ 2 COSO BileĢenleri Kontrol Faaliyetleri Yönetimin çalıģmalarının politika ve prosedürlere göre yürütüldüğünün analizi Onaylama, yetki ve sorumluluk dağılımı, performans yönetimi, görevler ayrılığı vb konularda inceleme Ġzleme Ġç kontrol sistemlerinin zaman içindeki performansını izlemek Birlikte ve ayrı ayrı değerlemeler yapmak Yönetim ve gözetim faaliyetlerini değerlendirmek Ġç denetim faaliyetleri Bilgi ve ĠletiĢim Bilginin tam eksiksiz ve zamanında doğru kiģilerle paylaģılması Ġçerden ve dıģarıdan gelen bilgilere uygun ortamda doğru kiģilerin eriģimi Bilgi akıģının yönetim ihtiyaçlarına uygun olması ve hızlı iletiģim sağlaması ĠZLEME Kontrol Ortamı Ġç kontrol faaliyetlerinde çalıģanların farkındalığı Ġç kontrol ortamında yetki sorumluluklar, etik değerler Ġç kontrol ile iliģkili tüm unsurların konsolide olarak değerlendirilmesi BĠLGĠ & ĠLETĠġĠM KONTROL FAALĠYETLERĠ RĠSK ANALĠZĠ KONTROL ORTAMI Risk Analizi Risk analizi ile iģletmenin faaliyetleriyle iliģkili risklerinin değerlendirmesi yapılarak hedeflere ulaģmaya engel bir durum olup olmadığı incelenir
3. Ġç Kontrol ile Ġlgili Yanılgılar ve Gerçekler
Ġç Kontrol - Ne Yapmaz? Yönetime, hedeflerin baģarılacağına dair güvence vermez. Sadece ne ölçüde baģarılabileceği konusunda makul derecede güvence sağlar. Mali raporlama ve uygunluk hedefleriyle ilgili olarak tam değil, makul düzeyde güvence sağlar.
Ġç Kontrol- Neden Tam Güvence Değildir? 1. Önyargılar 2. Kopukluklar 3. Yönetimin aģırı talepleri 4. ĠĢbirlikleri 5. Fayda-Maliyet karģılaģtırması
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 1: Ġç Kontrol, yazılı prosedürlerle baģlar. Gerçek 1: Ġç kontrol, güçlü bir iç kontrol ortamıyla baģlar.
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 2: Yönetim iç kontrolü iç denetçiler tarafından yapılması gereken bir iģ olarak kabul eder. Gerçek 2: Yönetim iç kontrol sisteminin sahibidir.
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 3: Ġç kontrol sadece mali bir konudur. Gerçek 3: Ġç kontrol kurumun tüm fonksiyonlarını kapsamakta ve her alanını ilgilendirmektedir.
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 4: Ġç kontrol bürokrasi yaratır ve çalıģanları oyalar. Gerçek 4: Ġç kontrol, süreçlere ilave yapılan iģler olarak düģünülmemeli, süreçlerin bir parçası olarak tasarlanmalıdır.
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 5: Küçülme ve yetkilendirme nedeniyle kontrollerin bir kısmından vazgeçmeliyiz. Gerçek 5: Küçülme ve yetkilendirme nedeniyle farklı kontrollere ihtiyaç duymalıyız.
Ġç Kontrol - Yanılgılar ve Gerçekler Yanılgı 6: Ġç kontrol yeterince kuvvetli ise yolsuzluk olmayacağından ve mali tablolar doğru olduğundan emin olabiliriz. Gerçek 6: Ġç kontrol makul ancak kesin olmayan güvence verir.
4. KPMG Metodolojisi ve COSO ĠliĢkisi
DEPARTMAN 1 DEPARTMAN 2 SÜREÇ 2 SÜREÇ 1 Ġç Kontrol Kavramsal Çerçeve Seçenekleri Kavramsal çerçeve konusunda dünyada farklı yaklaģımlar bulunmaktadır: Committee of Sponsoring Organizations ( COSO )ERM Her Majesty s ( HM ) Ġngiltere-Hazine ĠZLEME BĠLGĠ & ĠLETĠġĠM KONTROL FAALĠYETLERĠ RISK ANALĠZĠ KONTROL ORTAMI Turnbull/ Flint Ġngiltere Avustralya/ Yeni Zelanda ( AS/ NZ ) Risk Yönetimi Standardı 4360 ISO Standartları COBiT
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol Risk kategorilerinin Kurum un stratejik baģarı faktörleri ile geliģtirilmesi ve uyumlu hale getirilmesi Risk kategorilerinin öncelikli hale getirilmesi Grup boyunca ortak bir dil ve tanımlar oluģturulması Risklerin tanımlanması ve sınıflandırılması Meydana gelme olasılığı ve muhtemel etkisini belirleme Risk modelleme, senaryo ve hassasiyet analizleri Anahtar risk göstergelerini kullanarak risklerin izlenmesine devam edilmesi KPMG Risk ve İç Kontrol Çerçevesi DEĞERLENDĠRME& ÖLÇME STRATEJĠ RĠSK TANIMLAMA & SĠSTEMATĠK HALE GETĠRME RAPORLAMA AZALTMA Yöntem ve yapıları raporlama Ġçerik, biçim raporlama Planlama ve Kontrolde bütünlük sağlama Münferit azaltma ölçümleri Risklerin kabulünün/kapsamının küçültülmesi Risk/geri dönüģ oranlarının stratejik kararları desteklemesi Görevlerin, yeterliliklerin ve sorumlulukların belirlenmesi Yapısal kavram belirlemek Savunmanın Üç Hattı Risk-Üstlenici/Azaltma- Üstlenici ERM süreci ve çerçevesinde iç denetim oluģturma ORGANĠZASYON ĠÇ KONTROLLER Ġç yönergeleri ve kontrolleri belirleme Ġç süreç kontrollerini azaltma stratejisi ile birleģtirmek BĠLGĠ TEKNOLOJĠLERĠ SĠSTEMĠ ERM Bilgi Teknolojileri sisteminin gereksinimlerini belirleme ERM Bilgi Teknolojileri Sistemi seçimi ve yürütülmesi
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol KPMG nin risk yönetimi alanında uyguladığı kavramsal çerçeve; üç aģamalı olgunluk modeline dayalı olan bir yaklaģım içermektedir.
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol Kurumunuza uygun olan risk olgunluk düzeyinin belirlenmesi gereklidir
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol Catastrophic Major Moderate Minor Insignificant 1 12 10 13 11 7 14 15 9 3 16 17 5 8 6 Önemli Riskler 4 1. Stratejik öncelikler 2. ĠĢ Modeli 3. Kurumsal Yapı Faktörler Risk YönetiĢim Risk Analizi KPMG ERM Kavramsal Çerçevesi Tanımlar Risk konusunda strateji geliģtirmek ve hesap verebilirliği sağlamak amacıyla iyileģtirme, destekleme ve entegrasyonu sağlamaya yönelik yaklaģım oluģturmak Kurum genelinde tüm risklerin tanımlanması, analizi ve gruplandırmasını yapmak Remote Unlikely Possible Likely Almost certain Olasılık Risk Ölçümü ve Gruplandırması Ölçüm kriterleri ve buna iliģkin süreçleri oluģturmak, sürekliliği sağlamak için analiz yapmak ve KPI belirlemek Kapsam OluĢturma Kapsam OluĢturma Risklerin tanımlanması, değerlendirilmesi ve önceliklerin Risk Ġzleme ve Raporlama Risk & Kontrol Optimizasyonu Risk yönetimi alanındaki güçlü ve zayıf noktaları belirleyerek raporlamak ve güvence hizmeti sunmak amacıyla sürekli izleme yapmak Risk ve kontrollerle ilgili bilgilere dayanarak performansı geliģtirmek belirlenmesi Süreç OluĢturma Kurumsal hedeflere ulaģmada sürdürülebilirliğin sağlanması amacıyla dinamik risk yönetimi kavramsal çerçevesinin ve süreçlerinin oluģturulması Süreç OluĢturma Örnek
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol rophic Major derate Minor nificant 1 7 12 10 13 14 11 3 9 15 16 17 5 8 6 Önemli Riskler 4 1. Stratejik öncelikler 2. ĠĢ Modeli 3. Kurumsal Yapı Faktörler Risk YönetiĢim Risk Analizi KPMG ERM Kavramsal Tanımlar Çerçevesi Risk konusunda strateji geliģtirmek ve hesap verebilirliği sağlamak amacıyla iyileģtirme, destekleme ve entegrasyonu sağlamaya yönelik yaklaģım oluģturmak Kurum genelinde tüm risklerin tanımlanması, analizi ve gruplandırmasını yapmak Remote Unlikely Possible Likely Almost certain Olasılık Risk Ölçümü ve Gruplandırması Ölçüm kriterleri ve buna iliģkin süreçleri oluģturmak, sürekliliği sağlamak için analiz yapmak ve KPI belirlemek Kapsam OluĢturma Kapsam OluĢturma Risklerin tanımlanması, değerlendirilmesi ve önceliklerin Risk Ġzleme ve Raporlama Risk & Kontrol Optimizasyonu Risk yönetimi alanındaki güçlü ve zayıf noktaları belirleyerek raporlamak ve güvence hizmeti sunmak amacıyla sürekli izleme yapmak Risk ve kontrollerle ilgili bilgilere dayanarak performansı geliģtirmek belirlenmesi Süreç OluĢturma Kurumsal hedeflere ulaģmada sürdürülebilirliğin sağlanması amacıyla dinamik risk yönetimi kavramsal çerçevesinin ve süreçlerinin oluģturulması Süreç OluĢturma Örnek
KPMG Metodolojisi-Risk Yönetimi ve Ġç Kontrol Risk bilgisini sunma, izleme ve kontrol etme konusunda geliģtirilen çok çeģitli araçlar geliģtirilmiģtir.
5. Genel Değerlendirme ve Sonuç
Genel Değerlendirme ve Sonuç COSO YaklaĢımı Çerçevesinde Ġç Kontrol Faaliyetleri 1 ĠĢlemlerin etkinliği ve verimliliği En iyi uygulamaları ve sektörel gereklilikleri dikkate alarak iģlemlerin operasyonel verimliliğini sağlamak RĠSK 2 3 Finansal Raporlama sisteminin güvenilirliği Mali açıdan kurumun verilerinin güvenilirliğini sağlamak ve kamuoyu nezdinde hesap verebilir olmak Mevzuat uyum Yasal düzenlemelere ve ilgili politika prosedürlere uygun faaliyetlerin yürütülmesine makul güvence sağlamak
TeĢekkür ederiz... Sezer BozkuĢ KAHYAOĞLU CIA, CFE, CFSA, SMMM Kıdemli Müdür sbozkus@kpmg.com 1456 sokak Punta ĠĢ Merkezi No:10/1 Alsancak ĠZMĠR Tel: (90) 232 464 20 45 Fax: (90) 232 464 21 45 Web site: http://www.kpmg.com.tr
2011 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali MüĢavirlik A.ġ., KPMG International Cooperative'in üyesi bir Türk Ģirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative in tescilli ticari markalarıdır. Türkiye de basılmıģtır. Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kiģinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karģın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüģü almaksızın, bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir Ġsviçre kuruluģudur. KPMG bağımsız Ģirketler ağının üye firmaları KPMG International Cooperative e bağlıdır. KPMG International Cooperative müģterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanın KPMG International Cooperative e veya bir baģka üye firmayı üçüncü Ģahıslar ile karģı karģıya getirecek zorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.
BTYD 2011 www.btyd.org