İÇ DENETİM VE İÇ KONTROL İLİŞKİSİ Sabri Çakıroğlu, CFE, CGAP, CRMA İstanbul Büyükşehir Belediyesi İç Denetim Birimi Başkanı 29.03.2013-Antalya
SUNUM PLANI İç Kontrolün Tanımı İç Denetimin Tanımı İç Denetim İç Kontrol İlişkisi
5018 e Göre İç Kontrol Nedir? (Kurumun) amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak (COSO-Compliance) faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini,(coso-operational Effectiveness) varlık ve kaynakların korunmasını (COSO-Integrity Services), muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini,(coso-reliability of Financial Reports) sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür.
COSO ya Göre İç Kontrol Nedir? COSO* iç kontrolü; iş hedeflerine ulaşılmasında makul güvence sağlayan bir süreç olarak açıklamaktadır. İç kontrolün üç ana hedefi vardır: Operasyonların etkinliğini ve verimliliğini artırmak Mali raporlama sisteminin güvenilirliğini sağlamak Yasa ve düzenlemelere uygunluğu sağlamak * Committee of Sponsoring Organizations (COSO) of the Treadway Commission
İç Denetim Nedir? İç Denetim, bir organizasyonun katma değerini artırmak ve operasyonel verimliliğini geliştirmek amacı ile yapılan bağımsız, objektif güvence ve danışmanlık hizmetlerini içeren çalışmalardır. İç Denetim, disiplinli ve sistematik değerlendirme yaklaşımı ile bir organizasyonun hedeflerine ulaşmasına katkıda bulunur. Etkin iç denetim fonksiyonu Üst Yönetim ile işbirliği İç Denetim yönetmeliği Üst Yönetici, Denetim Komitesi ile devamlı ve düzenli iletişim Üst Yönetici ye raporlama Denetim Komitesine raporlama Risk bazlı iç denetim planı Dış Denetçiler ve diğer güvence fonksiyonları ile koordinasyon Ve etkin risk yönetimi, kontrol ve kurumsal yönetim konularında gelişimi sağlar.
İç Denetim İç Kontrol İlişkisi İç denetim, iç kontrol sisteminin parçası olan yönetimsel bir fonksiyondur. İç denetim, dış denetçiler ve yönetim, iç kontrol sistemini, önemli yanlışlıkları görmek ve riskleri azaltmak için kullanır. İç denetçiler, denetim faaliyetlerinde iç kontrol sisteminin işleyişini, en iyi şekilde çalışıyor olduğundan emin olmak için incelerler.
İç Denetim İç Kontrol İlişkisi İç kontrol bir sistemdir ve kurumun iş akışları arasına yerleştirilmelidir. İç denetim fonksiyonu, iç kontrol sisteminin etkinliğini ve verimliliğini belli aralıklarda riskleri önceliklendirerek değerlendirir. İç denetçiler şu unsurları da gözden geçirir: Finansal ve operasyonel bilgilerin bütünlüğü ve güvenilirliği Organizasyon politikalarına, yönetmeliklerine ve yasalara uygunluk Varlıkların korunması Kaynakların ekonomik ve etkin kullanımı
İç Denetim İç Kontrol İlişkisi İç denetim, iç kontrol sisteminin yeterliliği, etkinliği ve işleyişiyle ilgili olarak yönetime bilgiler sağlar, değerlendirmeler yapar ve önerilerde bulunur. İç denetçiler, iç kontrol sisteminin düzenlenmesi ya da uygulanması süreçlerine ve iç kontrol tedbirlerinin seçimine dâhil edilemez. Kamu idaresinde etkin bir iç kontrolün kurulması ve sürdürülmesinden üst yönetici sorumludur. Üst yönetici iç denetçilerden, iç kontrol ilkelerine ve iç kontrol sisteminin oluşturulmasına yönelik görüş alabilir.
İç Denetim ve İç Kontrol-Karşılaştırma İÇ DENETİM Hedefe ulaşmada araçtır. İdarede ayrı bir birim ve görevdir. İç Kontrolün bir unsurudur. İç Denetim karar alma ve uygulama süreçlerinde yer almaz Üst yöneticinin sorumluluğundadır İç Denetim fonksiyonel olarak bağımsızdır. İÇ KONTROL Hedefe ulaşmada amaçtır. Değildir, yönetim sisteminin tamamıdır. Kendisi hesap verilebilirlik sistemidir. Personel yönetimin tüm süreçlerinde bulunur. Yönetimin tümünün sorumluğundadır. Üst Yöneticiye bağlıdır.
İç Denetim Kuruma Nasıl Yardımcı Olur? Operasyonlar hakkında objektif bir değerlendirme yapar ve en iyi uygulamalar için fikirlerini paylaşır. Kontrollerin, süreçlerin ve prosedürlerin, performansın ve risk yönetiminin gelişimi için danışmanlık sağlar. Maliyetleri düşürmek, geliri arttırmak ve karı geliştirmek için tavsiyelerde bulunur. Yetkin danışmanlık ve güvence hizmetleri sağlar.
İç Denetim Tipleri Gerçekleştirilen denetim faaliyetleri yapılan çalışmanın kapsamına paralel olarak isimlendirilir. Mali Raporlama Sisteminin Güvenilirliği Finansal Denetim Yasa ve Düzenlemelere Uygunluk Uygunluk Denetimi Operasyonların Ekonomikliği, Etkinliği ve Verimliliği Bilgi Sistemlerinin Güvenilirliği Operasyonel Denetim Bilgi Sistemleri Denetimi
İç Denetimin İzleme Görevi İç denetim, yönetimin yeterli düzeyde tasarlanmış ve etkin bir şekilde gerçekleştirilen bir İç Kontrol Sistemine sahip olup olmadığını doğrulamada önemli rol oynar. Yönetim öncelikle oluşturduğu süreçlerle iç kontrolleri değerlendirir. İç denetçi bağımsız olarak yönetimin sonuçlarının geçerliliğini denetler. IIA in UİDS lere göre ise İç Kontrol Sisteminin değerlendirilmesi sorumluluğunu iç denetçi üstlenir. Kurumun iç kontrol sonuçlarının değerlendirilmesinde: Saptanmış önemli zayıflıklar ve tutarsızlıklar Saptandıktan sonra düzeltmeler ve iyileştirmeler Saptamaların ve olası sonuçlarının faaliyetlere etkisinin olup olmadığına bakılır.
İç Denetimin Özellikleri İç denetim, sertifikalı iç denetçiler tarafından gerçekleştirilir. İç denetim, İç Denetim Koordinasyon Kurulunun koordinasyon ve rehberliğinde Kurul tarafından Üst Yöneticiler İçin İç Kontrol ve İç Denetim Rehberi belirlenen genel kabul görmüş standartlara göre gerçekleştirilir. İç denetim, iç denetim birimi (başkanlığı) tarafından hazırlanan ve üst yönetici tarafından onaylanan risk odaklı denetim plan ve programlarına göre yapılır. İç denetim sistematik, sürekli ve disiplinli bir yaklaşımla gerçekleştirilir. İç denetim faaliyeti fonksiyonel bağımsızlık ilkesine uygun olarak yürütülür.
Risk Odaklı İç Denetim Yaklaşımı Vizyon, Değerler Raporlama Yönetici Özeti Faaliyetler Plan Bilgi Teknolojileri Stratejik Hedefler Riskler ve Paydaş Beklentileri İnsan Kaynakları Uygulamaları Organizasyon Kaynaklar Dokümantasyon Aksiyon Planları Performans Göstergeleri İletişim Paydaş memnuniyeti
Risk Odaklı İç Denetim Yaklaşımı Riskleri, birimleri ve süreçleri azalan risk değeri sıralamasıyla denetleme En yüksek etkiye ve en düşük riske açıklığa sahip kontrolleri denetlemek İşin doğasında olan risk ve kalıntı riski belirlemek Olasılıklara göre değil, riske açıklığa göre önceliklendirme yapmak Denetim kapsamı dışında olan riski de adres göstermek Riskler arasındaki karşılıklı etkileşimleri adres göstermek 15
Risk Odaklı Odaklı İç Denetim İç Yaklaşım Denetim Yaklaşımı İç Denetim Aşamaları 1. Planlama İş ve süreçleri anlamak Risk modeli geliştirmek Riski önceliklendirmek Risk bazlı denetim planı geliştirmek 2. Uygulama Kontrol hedeflerini belirlemek Kontrol aktivitelerini tanımlamak ve değerlendirmek Test yapmak 3. Sonuçları yayınlamak 16
Risk Odaklı İç Denetim Yaklaşım KURUMU VE SÜREÇLERİ ANLAMA RİSK MODELİ GELİŞTİRME RİSKLERİ ÖNCELİKLENDİ RME İÇ DENETİM PLANINI GELİŞTİRME DENETİMİ VE KAYNAKLARI PLANLAMA Risk değerlendirme çalışmasının planlanması Risk modelinin geliştirilmesi Risklerin önceliklendirilm esi İç Denetim Planının Geliştirilmesi Risk değerlendirmesi sonuçlarının paylaşılması Kurumu ve iş süreçlerinin anlaşılması Denetim tarihlerinin belirlenmesi ve kaynak planı
1. Adım: Kurumu ve Süreçleri Anlama Kurumu, hizmet alanlarını ve iş süreçlerini anlamak için ne gibi kaynaklardan yararlanabiliriz?
1. Adım: Kurumu ve Süreçleri Anlama İş bilgisinin toplanması Risk değerlendirmesi için ilgili bilgi ve dökümanların ve kaynakların belirlenmesi ve toplanması Kurum strateji ve hedeflerinin anlaşılması Stratejik planlar Misyon ve vizyon açıklaması Hedefleri Anahtar performans göstergeleri Yönetim Kurulu ve Denetim Komitesi toplantı tutanakları Finansal raporlar İnternet siteleri Araştırma raporları/ kredi analiz raporları Basın açıklamaları Süreçlerin anlaşılması Organizasyon şeması Faaliyet lokasyonları İş süreçleri ile hedef ve stratejilerin eşleştirilmesi
İÇ İÇ DIŞ BİLGİ MİSYON, VİZYON KURUM STRATEJİ VE HEDEFLERİ İŞ PLANLARI VE İŞ HEDEFLERİ İŞ SÜREÇLERİ LOKASYONLAR SEKTÖR MEVZUAT DÜZENLEYİCİ OTORİLER REKABET YAPISI ANALİZ ODAĞI Kurumun varoluş sebebi (misyonu) nedir? Kurumun ileride olmak istediği (vizyonu) nedir? Kurum vizyonunu ve misyonunu ne şekilde gerçekleştirmeyi hedeflemektedir? (genel stratejik hedef) Genel strateji yapılabilir ve ölçülebilir taktik ve adımlar halinde nasıl ifade edilmektedir? (iş planları ve iş hedefleri Kurumun önemli süreçleri nelerdir? Bu süreçler kurumun plan ve hedeflerini gerçekleştirmesini ne şekilde desteklemektedir? Kurumun faaliyetleri nerelerde bulunmaktadır? Sektördeki önemli konular ve gelişmeler nelerdir? Gündemde olan veya gerçekleşen mevzuat değişiklikleri nelerdir? Sektördeki rekabet yapısı nasıldır? Kurum diğer benzer kurumlara göre ne durumdadır? Diğer kurumlar nerelerde daha başarılıdır?
BİLGİ MİSYON, VİZYON KURUM STRATEJİ VE HEDEFLERİ İŞ PLANLARI VE İŞ HEDEFLERİ İŞ SÜREÇLERİ LOKASYONLAR SEKTÖR MEVZUAT DÜZENLEYİCİ OTORİLER REKABET YAPISI Kurum hedeflerinin gerçekleştirilmesinde nasıl başarısız olabilir? Kurumun başarısız olmasına ne sebep olabilir? Ne gibi iş süreci sorunları kurumun hedeflerine ulaşmasında başarısız olmasına sebep olabilir? Hangi dış etkenler ( sektör, düzenleyici otorite, rekabet) kurumun hedeflerine ulaşmasında başarısız olmasına sebep olabilir? RİSK
KURUMU VE SÜREÇLERİ ANLAMA RİSK MODELİ GELİŞTİRME Risk değerlendirme çalışmasının planlanması Risk modelinin geliştirilmesi Kurumu ve iş süreçlerinin anlaşılması
2. Adım: Risk Modelinin Geliştirilmesi Risk çerçevesinin belirlenmesi Risklere ilişkin etki faktörlerinin ve riske açıklık düzeyine ilişkin değerlendirme yöntem ve kriterlerinin tanımlanması Seçilen model çerçevesinde değerlendirme şablonunun oluşturulması
KURUMU VE SÜREÇLERİ ANLAMA RİSK MODELİ GELİŞTİRME RİSKLERİ ÖNCELİKLENDİ RME Risk değerlendirme çalışmasının planlanması Risk modelinin geliştirilmesi Risklerin önceliklendirilm esi Kurumu ve iş süreçlerinin anlaşılması
3. Adım: Risklerin Önceliklendirilmesi Kullanılan risk modelinin öngördüğü şekilde risklerin önceliklendirilmesini içerir. Risk değerlendirmesinde süreç sahipleri ile görüşme, anket, çalışma grupları gibi yöntemler kullanılabilir.
Risklerin Önceliklendirilmesi Görüşülecek kişilerin belirlenmesi Organizasyon şemasının değerlendirilmesi Mülakat listesinin oluşturulması Mülakatlara süreç sahiplerinin dahil edilmesi Görüşmelerin değerlendirilmesi Risk çerçevesinden anahtar risklerin seçilmesi ve listelenmemiş risklerin eklenmesi Görüşmeler boyunca anahtar risklerin tartışılması ve risklerin derecelendirilmesinin yönetilmesi Sonuçların değerlendirilmesi, etki ve riske açıklık skoruna göre derecelendirilmesi Uyarlanmış risk çerçevesinin güncellenmesi Anket ve çalışma gruplarının düzenlenmesi Risk önceliklendirmesinin (puanlama) taslak hale getirilmesi Sonuçların yönetim ile paylaşılması ve tasdik edilmesi
Risk Odaklı İç Denetim Yaklaşımı Risk değerlendirmesi adımları KURUMU VE SÜREÇLERİ ANLAMA RİSK MODELİ GELİŞTİRME RİSKLERİ ÖNCELİKLENDİ RME İÇ DENETİM PLANINI GELİŞTİRME Risk değerlendirme çalışmasının planlanması Risk modelinin geliştirilmesi Risklerin önceliklendirilm esi İç Denetim Planının Geliştirilmesi Kurumu ve iş süreçlerinin anlaşılması
4. Adım: Risk odaklı iç denetim planının oluşturulması Önceliklendirilmiş riskler baz alınarak İç Denetim Planının oluşturulması İç denetim planında yer alacak denetim alanları konusunda İç Denetim Yöneticisi ile çalışılması İç denetim hedefi doğrultusunda seçilen denetim alanları ile ilgili diğer önemli yöneticilerin görüşünün alınması Risk değerlendirmesi sonuçlarının paylaşılması İç denetim planında yer almayan ancak denetim evreninde bulunan denetim alanlarının gözden geçirilmesi ve risk değerlendirme raporunda gerekçelerine kısaca yer verilmesi gereklidir. Yönetime ilişkin aksiyon planları veya risk değerlendirmesi sonucu düşük bulunduğu için gözden geçirilmeyen diğer risklerin izlenmesine yönelik süreç tanımlı olmalıdır.
Risk Odaklı İç Denetim Yaklaşımı Denetlenecek lokasyon seçimi Çok lokasyonlu durumlarda yürütülen süreçlere eşleştirilen riskler için, hangi lokasyonların seçileceğine ilişkin kriterler aşağıdadır: Lokasyonun finansal etkisi Lokasyonun kontrol ortamına güvenilebilirlik derecesi En son denetimden sonra geçen zaman Suiistimal geçmişi ve zayıf iç kontroller Kapsam içi lokasyonları belirlemeye yardımcı faktörlerinin İç Denetim Yöneticisi ile birlikte geliştirilmesi gerekmektedir.
Risk Odaklı İç Denetim Yaklaşımı Risk değerlendirmesi adımları KURUMU VE SÜREÇLERİ ANLAMA RİSK MODELİ GELİŞTİRME RİSKLERİ ÖNCELİKLENDİ RME İÇ DENETİM PLANINI GELİŞTİRME DENETİMİ VE KAYNAKLARI PLANLAMA Risk değerlendirme çalışmasının planlanması Risk modelinin geliştirilmesi Risklerin önceliklendirilm esi İç Denetim Planının Geliştirilmesi Risk değerlendirmesi sonuçlarının paylaşılması Kurumu ve iş süreçlerinin anlaşılması Denetim tarihlerinin belirlenmesi ve kaynak planı
3. Adım: Yapılacak denetimlerin planlanması Denetim planı ve denetime tabi tutulan varlıkların kesin olmayan denetim tarihleri, yönetim ve denetim komitesi tarafından gözden geçirilmeli ve onaylanmalıdır. Projenin denetim programının tasarlanması; geliştirilen denetim programı risk bazlı olmalıdır. Gelişmiş denetim planlaması zaman çizelgesinin oluşturulmasına yardım ederek, doğru kaynakların proje süresince kullanıma müsait olmasını sağlamalıdır.
Risk Odaklı İç Denetim Yaklaşımı Kaynak planlaması
Risk Odaklı İç Denetim Yaklaşımı Kaynak planlaması Projenin hedeflerini karşılamak amacı ile uygun kaynaklar planlanmalıdır. Personel dağılımı projenin içeriği ve karmaşıklığına, zaman sınırlamasına ve kaynakların müsait oluşuna göre yapılmalıdır. Proje ye ilişkin kaynakların planlanmasına yönelik iletişim bilgileri ilgili personel ile paylaşılmalı ve gerekli onaylar alınmalıdır.
Risk Odaklı İç Denetim Yaklaşımı Kaynak planlaması İç denetim ekibi elemanlarının bilgileri, becerileri ve diğer yetenekleri göz önüne alınmalıdır. Kişisel tarafsızlık Bağımsızlık ve tarafsızlık ilkelerine zarar verici unsurlar
Kontrolün İki Unsuru Kontrol Amacı Riski yönetmek amacı ile belirlenmiş yönetim hedefidir. Yasalara uygunluk veya işletmedeki varlıkların korunması ile ilgili olabilir. Kontrol Aktivitesi (Faaliyeti)/Beklenen Kontrol Kontrol hedeflerinin karşılanmasını sağlamak amacıyla düzenlenmiş politika ve prosedürler.
Süreçler, Kontroller ve Kontrollerin Denetimi Süreçler Alt süreçler Riskler Faaliyetler Kontrol Hedefleri Kontrol Faaliyetleri Kontrol testleri
Bazı Kontroller Neden Fayda Sağlamaz? Hedefler açık olarak tanımlanmamış olabilir. Kontroller yanlış yorumlanabilir Kontrollerin işlerliğinde aksaklıklar olabilir önemli olan zamanında ortaya çıkarmak ve ilgili aksiyonu almaktır. Yönetim kontrolleri çiğneyebilir. Hile olabilir.
Kontrollerin Değerlendirilmesi Temel kurum genel kontrolleri Davranış kuralları İhbar mekanizması Uygunsuzlukların Yönetim Kurulu tarafından takibi Denetim bulgularının düzeltilmesi / iyileştirilmesi Uygunsuz davranışlardan caydırıcı haklar sistemi Yönetimin mali raporlamadaki etkisi Kilit noktalardaki mali işler personelinin yetkinlikleri Organizasyon yapısı Yetki matrisi Risk değerleme sistemi UFRS ve diğer muhasebe standartlarındaki değişiklikler İlişkili taraflarla ilgili işlemler Mali raporlama süreci Politika ve prosedürler İç denetim Değerlendirme İnsan Kaynakları Denetim ve Yönetim Komiteleri
Kontrollerin Değerlendirilmesi Kontrol faaliyetleri iki açıdan değerlendirilir; Tasarım etkinliği Bir kontrol hedefinin gerçekleşmesini sağlayacak kontrolün bulunmaması ya da var olan bir kontrolün tasarımındaki hatalardan kaynaklanan nedenlerle kendisinden bekleneni gerçekleştirememesidir. Operasyonel etkinlik Bir kontrolün tasarlandığı şekilde çalışmaması ya da kontrolü gerçekleştiren personelin etkinliğinin ve yeterliliğinin bulunmamasıdır. Tasarım, riskleri azaltıcı kontrollerin varlığıdır. Operasyonel etkinlik; mevcut kontrollerin tasarlandığı şekilde işlediğinin değerlendirilmesi
Kontrollerin Değerlendirilmesi Kontrollerin testi Kontroller test edilirken; Yönetimin tasarladığı gibi işlediğinden Uygulandığı dönem boyunca aynı tutarlılıkta uygulandığından Zamanında uygulandığından Tüm kurum genelinde (farklı birimler ve farklı lokasyonlarda) aynı şekilde uygulandığından Güvenilir bilgiye dayandığından ve İlgili riski beklendiği ölçüde azalttığından emin olmak için test edilmelidir.
Kontrollerin Değerlendirilmesi Kontrollerin testi Kontrollerin tasarım ve operasyonel etkinliği her bir kontrole uygun test yöntemi kullanılarak değerlendirilir. Yeniden Gerçekleştirme Belge İnceleme Görüşme Gözlem Belge İnceleme Yeniden Gerçekleştirme/Hesaplama Güvence Gözlem Görüşme
İç kontrol eksikliğinin olası sonuçları Varlıkların Kaybı (Para-Mal) Hatalı Kararlar Suistimal Dolandırıcılık Gelir Kaybı Amaçlara Ulaşamama