YEDİNCİ BÖLÜM GÜNCEL DENETİM YAKLAŞIMLARI © www.niyazikurnaz.net
Yaşanan Gelişmeler-1 Çok uluslu şirketler ve büyük ölçekli kurumlar Risk yönetiminin artan önemi Bilgi ve teknoloji üretimindeki artış Küreselleşme ve artan şeffaflaşma gereksinimi Kurumsal yönetimin artan önemi Verimlilik ve performansın ön plana çıkması Yasal düzenlemeler ve yaşanan uluslar arası gelişmeler © www.niyazikurnaz.net
Yaşanan Gelişmeler-2 Asya Krizi ve Rusya Krizi gibi ülke ekonomilerini etkileyen olumsuzluklar Geniş ölçekli şirket skandalları: Enron, WorldCom…(ABD), Ahold, Parmalat…(Avrupa), Suistimal ve görevi kötüye kullanma olaylarının şirket sonlarına neden olurken küçük yatırımcıya ve topluma verdiği zarar © www.niyazikurnaz.net
Yasal Düzenlemeler OECD Kurumsal Yönetim İlkeleri Sarbanes Oxley Act of 2002 1998 Blue Ribbon 1 Mayıs 1998’de Almanya “İşletmecilik Alanında Şeffaflık ve Kontrol Yasası” 20 Aralık 2001 (BIS) “Sound Practice for Management and Supervision or Operasyonel Risk” AB 8. Direktifi Diğer Düzenlemeler (BDDK, SPK,SEC, BASEL II..vb) © www.niyazikurnaz.net
Risk Nedir? Riskler kurumun hedeflerinin gerçekleştirilmesini engelleyebilecek her türlü olay veya durumlardır Riskler oluşma sıklıklarına ve yaratacakları hasara göre ölçülürler ve uygun iç kontrol noktaları ile minimize edilirler Etkin bir iç denetim sisteminin en önemli görevlerinden biri tüm risklerin tespit edilmesi ve minimize edilmesi için uygun öneriler geliştirilmesidir. Risk yönetimi, her türlü risklerin tanımlanması, ölçülmesi ve giderilmesini kapsayan sistematik bir yönetim uygulamasıdır. © www.niyazikurnaz.net
Risk Türleri Yasal Riskler Operasyonel Riskler İnsan Kaynakları Riskleri Teknoloji Riskleri İtibar Riskleri Çevresel Riskler Her risk grubunun alt risklerinin tanımlanması yoluyla tüm risklerin kategorize edilmesi mümkündür. © www.niyazikurnaz.net
Risk Odaklı İç Denetim Risk odaklı iç denetim, denetim faaliyetinin odak noktasının geçmiş faaliyetlerden geleceğin yönetilmesine çevrilmesinin günümüzdeki ifadesidir. Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenini risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkililiğini artırmayı amaçlayan bir denetim yaklaşımıdır. © www.niyazikurnaz.net
Risk Odaklı İç Denetim Geleneksel Risk Odaklı Denetim odaklı Katma değer yaratma İşlem odaklı Süreç odaklı Finansal kayıp Verimlilik Uygunluk denetimi Risk tanımlama ve işlem süreçlerinin geliştirilmesi Mevzuat tabanlı Risk yönetimi tabanlı Sistemin koruyucu olma Değişimin öncüsü olma Deneyim ağırlıklı denetim Yoğun teknoloji kullanımı © www.niyazikurnaz.net
Risk Odaklı İç Denetim Süreci İşletmenin Faaliyette Bulunduğu Alan Hakkında Bilgi Edinme. Ayrıntılı Bir Risk Değerlendirmesinin Yapılması. Risk odaklı iç denetim İçin Plan oluşturma. Kurumun Risk Değerlendirmesinin Yenilenmesi. Risk odaklı iç denetim Programının Yeniden Gözden Geçirilmesi / Geliştirilmesi. Denetim İşlemlerinin ve Belge Bulgularının İncelenmesi. Denetim Raporundaki Sonuçların Açıklanması. Bitirme Toplantısındaki Sonuçların Açıklanması. Denetim Komitesine Denetim Bulgularının sunulması. © www.niyazikurnaz.net
Risk Odaklı İç Denetim Süreci Aşamalar Raporlamalar 1-Kurumun anlaşılması 1-Kurum hakkında genel bir bilgi notunun hazırlanması 2-Risklerinin değerlendirilmesi 2-Risk matrisinin hazırlanması 3-Risk değerlemesi 3-Denetim faaliyetlerinin planlanması 4-Denetim planı 5-İnceleme programı 4-Denetim faaliyetlerinin belirlenmesi 6-Denetim kapsamının yazılı olarak belirlenmesi 7-Başlama mektubu 5-İnceleme süreçlerinin uygulanması 8-Fonksiyonel inceleme modülleri 6-Bulguların raporlanması 9-İnceleme raporu © www.niyazikurnaz.net
Risk Odaklı İç Denetim Süreci Makro Risk Analizi (Yıllık denetim planının risk odaklı olarak yapılması) -Denetim önceliklerinin belirlenmesi -Denetim kaynaklarının en riskli faaliyetlerden başlamasını hedefler… Mikro Risk Analizi (Bireysel risk analizi) - Denetlenen faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesini kapsar… © www.niyazikurnaz.net
Risk Analizi © www.niyazikurnaz.net ETKİ Yüksek (3) 7 8 9 Orta (2) 4 5 6 Düşük (1) 1 2 3 OLASILIK Kabul Edilemez Riskler Kabul Edilebilir Risk Sınırı Kabul edilebilir Riskler Minimal Risk Sınırı Minimal Risk Sınırı © www.niyazikurnaz.net
Kontrollerin etkinliği Risk Analizi Bir risk gerçekleşme olasılığı yüksek ve olası etkileri büyükse önemlidir!!! Risk Tablosu Amaç Risk Mevcut kontroller Kontrollerin etkinliği Öneri © www.niyazikurnaz.net
Risk Değerlendirme Süreci Risklerin tanımlanması ve sınıflandırılması Risk faktörlerinin gerçekleşme olasılığının ve etkisinin değerlendirilmesi Risk faktörlerinin ağırlığının belirlenmesi ve ağırlıklı risk skorunun hesaplanması (1-9) Risk faktörlerinin kategorize edilmesi (D-O-Y) Risk faktörlerine göre denetlenecek faaliyetlerin belirlenmesi ve önerilerin tespit edilerek raporlamanın yapılması © www.niyazikurnaz.net
Risk Değerlendirmesinin Sonuçları Varlıkların korunması, görevlerin ayrılığı gibi kontrol politika ve prosedürlerini uygula Riski Kabul Et Riski Minimize Et Riski Reddet Sigorta, Sözleşme, Fonlama Gibi uygulamalarla riskin transfer edilmesi veya paylaşılması Operasyonları çeşitlendirme © www.niyazikurnaz.net
Risk Odaklı İç Denetim Kurumun karşı karşıya olduğu tüm risklerin tanımlanması, önem sırasına konulması ve kabul edilebilir bir risk seviyesinin belirlenmesi Saptanan risklerin azaltılması için gereken önlemlerin belirlenmesi ve uygulanması Risk yönetim süreçlerinin denetim sonuçları hakkında üst yönetime düzenli rapor sunulması Risk yönetim süreçlerinin kurumun yapısına, kültürüne , büyüklüğüne, yönetim şekline ve hedeflerine uygun olması © www.niyazikurnaz.net
Risk Odaklı İç Denetim Risk yönetiminde kullanılan metotların faaliyet konusuna uygun olması Risk izleme faaliyetlerinin ve raporlamasının yeterliliğinin ve zamanlamasının uygun olması Kurumun risk yönetim çalışmalarının etkinliğinin sürekli izlenmesi ve değerlendirilmesi gerekir. © www.niyazikurnaz.net
Kurumsal Yönetim Çerçevesinde İç ve Dış Paydaşlar İçin Bir Güvence Sistemi Olarak Risk odaklı İç Denetim Yönetim Kurulları İşletme Yönetimi Çalışanlar Devlet Rakipler Borç Verenler Bağımsız Denetim Üçüncü Kişiler RİSK ODAKLI İÇ DENETİM RİSK YÖNETİMİ DENETİM © www.niyazikurnaz.net
Risk Odaklı İç Denetim Ne Sağlar? Stratejik faydalar: - Risk yönetiminde tutarlı ve kapsamlı bir yaklaşım geliştirerek değişmekte olan koşullara daha kolay uyum sağlanması - Risklerin daha iyi anlaşılması ve yönetimi - İşletme stratejilerinin ön plana alınması ve uygulanmasına hız kazandırması büyümek be riskleri fırsatlara çevirmek etkin bir iç denetim grubunun işletmenin risk yönetim yeteneğini optimize etmesine bağlıdır. Performans : Negatif riskler azaltılarak fırsat risklerinin artırılması sağlanır. Risklerin doru tanımlanması, mevcut yönetimin ve iç kontrol amacının en iyi performansa ulaşmasını sağlayacaktır. © www.niyazikurnaz.net
Risk Odaklı İç Denetim Ne Sağlar? Kaynakların Optimizasyonu: - Kaynakların en verimli şekilde kullanılabilecek ve gereksiz maliyetlerden kurtulabilme olanağı doğacaktır. - Önceliklerle kaynaklar arasındaki uyum sağlanmış olacaktır. Beklenmeyenin Yönetimi: - Beklenmeyen talepler ve zorluklar karşısında hedeflerden şaşmadan en doğru cevabı verebilme olanağı doğacaktır. - İşletmeyi bekleyen riskleri ve onların işletmeye olan gerçek etkilerini bilmek mümkün olacaktır © www.niyazikurnaz.net
Bilgi Teknolojileri (IT) Denetimi IT denetimi , işletmelerin sahip olduklar bilgi teknolojisi kaynaklarının değerlenmesi sürecidir. Bu noktada İT ile ilgili unsurların güvenlik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşılmadığı dikkatlice incelenmelidir. © www.niyazikurnaz.net
Bilgi Teknolojileri Denetimini Uygulama nedenleri Sistemlerin kesintisiz çalışması Acil durumlar karşısında iş sürekliliğinin sağlanması Teknoloji risklerine karşı önlem almak Teknolojik alt yapının ihtiyaçları karşılamada optimum çözüm olup olmadığını ölçmek Bilgi işlem departmanının kişilere bağımlı olmaması Kullanıcıların sistem yada uygulama kaçaklarını görme ve bu kaçakları kötüye kullanma ihtimalini ortadan kaldırmak Müşteri ve kurum bilgilerinin güvenliği © www.niyazikurnaz.net
Bilgi Teknolojilerinin Denetim Alanları Teknoloji süreçleri Uygulamalar ve modülleri Spesifik yazılımlar, donanımlar, alt yapı v.b. Belirlenmiş standartlara göre yapılan denetimler Spesifik konfigürasyonlar İş süreçleri ile uygulama uygunluğu Sahtekarlık denetimi © www.niyazikurnaz.net
Bilgi Teknolojileri Denetiminin Sınıflandırılması i.Yürütme kontrolleri: Yeni kurulan veya geliştirilen sistemler için programlanmış süreçlerin uygun olup olmadıklarını ve söz konusu sistemlerin kullanıcıların ihtiyaçlarına cevap verip vermediklerini test amacıyla tasarlanan kontrollerdir. ii.Muhafaza kontrolleri: Yönetim tarafından Programlanmış süreçlerde yapılan değişikliklerin doğru olduğundan, uygun bir şekilde test edildiğinden, yetkili makamlarca onaylandığından ve doğru bir şekilde yürütüldüğünden emin olmak amacıyla oluşturulmuş kontrollerdir. iii.Bilgisayar Faaliyetlerinin kontrolleri: Bilgi işlem faaliyetleri için kesinlikle yetkililer tarafından onaylanmış ve önceden programlanmış süreçlerin kullanılmasını ve bilgi dosyalarının en son güncelleştirilmiş biçimlerinin dikkate alınmasını sağlamak amacıyla oluşturulan kontrollerdir. iv.Program Güvenlik kontrolleri: Programlar ve yazılımlar üzerinde politikalara ve standartlara uygun şekilde yetkilendirilmemiş ve onaylanmamış herhangi bir değişikliğin gerçekleşmesini önlemek amacıyla kullanılan kontrollerdir. v.Bilgi Dosyalan Güvenlik kontrolleri: Bilgi dosyaları üzerinde yetkilendirilmemiş ve onaylanmamış hiçbir değişikliğin yapılmaması ve erişimin engellenmesi amacıyla kullanılan kontrollerdir. vi.Sistem Program kontrolleri: Uygun sistem programının kullanılmakta ve yetkilendirilmemiş değişikliklere karşı etkili bir biçimde korunmakta olduğu konularında güvence yaratmak üzere oluşturulmuş kontrol süreçleridir. vii.Biçim değiştirme Kontrolleri: tüm bilgilerin eski sistemlerden yeni sistemlere dönüşüm sürecinin bütün olarak ve doğru bir şekilde tamamlanmasına yardımcı olmak için kullanılan kontrol teknikleridir. © www.niyazikurnaz.net
Sürekli Denetim Yaklaşımı (Continious Auditing) Sürekli Denetim, fiziki belge olmaksızın, gerçek zamanlı muhasebe sistemi altında finansal tablo sunumunun ortaya çıkmasına temel olacak şekilde, elektronik denetim kanıtları toplamaya yönelik sistematik bir süreçtir. Diğer bir deyişle sürekli denetim, işletme varlıklarının korunmasında, veri bütünlüğünün korunması ve güvenilir finansal bilginin üretilmesi konusunda gerçek zamanlı muhasebenin etkinlik ve etkililiğini tespit etmeye yönelik kanıtların toplanması ve değerlendirilmesi sürecidir © www.niyazikurnaz.net
Sürekli Denetim Yaklaşımı (Continious Auditing) Sürekli denetim, denetim sürecini birkaç yönden etkiler: 1. Denetçinin bilgisi, elektronik belgeleri, kayıtları ve verilerin güvenilirliği ile uygunluğunu sağlayacak şekilde artmalıdır. 2. Denetçi, fiziki olmayan gerçek zamanlı muhasebe sisteminde bilginin geçerliliğini ve güvenilirliğini sağlayacak şekilde ticari işlemlerin akışını ve ilişkili kontrol faaliyetlerini daha iyi anlamalıdır. 3. Denetçi, gerçek zamanlı muhasebe sisteminin iç kontrol faaliyetlerinin yeterliği ve etkililiği üzerinde öncelikli olarak odaklanan kontrol risk temelli denetim planını kullanmalı ve elektronik belge ve işlemlere ilişkin anlamlı testler üzerine daha az önem vermelidir. © www.niyazikurnaz.net
Sürekli denetimin aşamaları Analitik prosedürü içeren denetimin planlanması, Kontrol testlerinin performansı ve kontrol risk değerini içeren gerçek zamanlı muhasebe sistemine ilişkin iç kontrol yapısının dikkate alınması, İşlemlere ilişkin ayrıntıların aralıklı ve sürekli testlerinin uygulanması, Yıl sonunda devam eden hesaplara ve analitik prosedürleri içeren toplam sonuçlara ilişkin testlerin uygulanması. Denetimin tamamlanması ve denetim raporunun yayınlanması. © www.niyazikurnaz.net
Öz Değerleme Yaklaşımı (Control Self Assesment) İç kontrol etkililiği sayesinde uygulanabilen ve değerlendirilebilen bir süreçtir. Öz değerleme yaklaşımında amaç, karşılaşılabilecek tüm işletme amaçlarında uygun bir güvence sağlamaktır. Bu sürecin sorumluluğu bir organizasyondaki tüm çalışanlar arasında paylaşılır. Öz değerleme yaklaşımı tasarlanmış bir çevre içerisinde yürütülür ki bu süreç tamamen belgelenmiştir ve sürekli gelişme için teşvik edici bir unsur olarak sürekli tekrarlanır. © www.niyazikurnaz.net
Öz Değerleme Yaklaşımı (Control Self Assesment) IIA ya göre, Öz değerleme yaklaşımı, kontrol kalitesinin değerlendirilmesinde iç denetçiler ve yönetime gerekli olan iç kontrol bilgisinin ortaya çıkarıldığı bir süreçtir. Ayrıca, IIA ya göre, Öz değerleme yaklaşımı, iç denetim mesleğine değer katan bir tekniktir. Öz değerleme yaklaşımı, doğru faaliyetlerin belirlenmesi, ortaya çıkan risklerin tanımlanması, kontrolün dizaynı ve yürütülmesi faaliyetleri ile iç denetim mesleğine değer katabilir. İç denetimde son yıllarda gittikçe kabul gören diğer bir yaklaşım biçimi oto kontrol dür. İç denetçiler enstitüsünün uygulama tavsiyelerinden 2120 A1-2 de “Kontrol süreçlerinin uygunluğunun değerlenmesinde Öz değerleme yaklaşımının kullanımı” başlığını kullanarak, bu yöntemin kullanılmasını önermektedir. © www.niyazikurnaz.net
Öz Değerleme Yaklaşımı (Control Self Assesment) Öz değerleme yaklaşımı, genellikle her bölümünde öncelik görevi yapan kontrol odaklı bir seri workshop’lardan meydana gelir. Esas itibariyle üç tür Öz değerleme yaklaşımı vardır. Basitleştirilmiş Çalışma Grupları (Workshoplar) Soru Kağıtları (Anket) Yönetimin Ürettiği Analizler © www.niyazikurnaz.net
Öz Değerleme Yaklaşımı (Control Self Assesment) Bir işletmede Öz değerleme yaklaşımının etkin biçimde uygulanabilmesi için bazı kurallara dikkat edilmesi gerekir. Öncelikle Öz değerleme sürecinin işletmenin hangi kısımlarında uygulanacağına karar verilmesi gerekir. Bu belirlemede değerlendirmenin kapsama düzeyinin detayları da yer almalıdır. Bir işletmede öz değerleme uygulamaları, o işletmenin örgüt kültürünün analizi üzerine dayandırılmalı ve örgüt kültürüne uygun öz değerleme yaklaşımı seçilmelidir. Ayrıca öz değerleme çalışmalarında ortaya çıkan risk değerlendirme ve diğer sonuçların iç denetim eylemleri sırasında kullanılıp kullanılmayacağının belirlenmesi gerekir. Öz değerleme süreçlerinin başarısı için bu programları yürüteceklerin hangi araçları, teknikleri, dökümanı ve raporları kullanacakları belirlenmelidir. Öz değerleme mekanizmaları ile ilgili diğer önemli bir konu ise, bu süreçlerin iç denetim mi yoksa faaliyet yönetimi tarafından mı yönlendirileceğinin belirlenmesidir. © www.niyazikurnaz.net
Öz Değerleme Yaklaşımı (Control Self Assesment) Öz Değerleme yaklaşımının Maliyet etkinliği sağlama,İşletmenin tüm iç kontrol sisteminin yıllık değerlendirmesini sağlama,Yöneticilerin önemli problemlerinin çözülmesine yardımcı olma,Sadece denetçilerin değil, yöneticilerinde iyi anladığı fikir ve kavramları kullanması,Yönetici ve çalışanların, işletme hedeflerine ulaşmada kontrolün önemi konusunda eğitilmesini sağlama gibi avantajlarının yanı sıra, Yüksek beceri ve takım ruhu gerektirmesi, Denetçilerde değişim vizyonu gerektirmesi, Yönetim ve çalışanlarla bireysel çalışmayı gerektirmesi, Önemli planlama ve koordinasyon gerektirmesi, İşletmenin iç kontrol sisteminin sadece üst düzeyde incelenmesini sağlaması gibi dezavantajları vardır. © www.niyazikurnaz.net