21 Nisan 2005 Kurumsal Yönetim İlkeleri Doğrultusunda Risk Yönetimi ve Muhasebe Denetimi
ÖLÇÜM VE HESAP VEREBİLİRLİK Kurumsal Yönetim Yapısı << İLETİŞİM >> BİLDİRİM >> DIŞ VE İÇ DENETİM ÖLÇÜM VE HESAP VEREBİLİRLİK Devlet ve Düzenleyici Kurumlar Yatırımcı gruplar Şirket Sahipleri Hissedarlar KURULLAR Yönetim Kurulu Denetim Komitesi Özel Komiteler Finansal Ortam İş çevresi ÜST YÖNETİM Etik Yönetim Kuralları Politikalar ve Prosedürler İç Denetim Yapısı Risk Fonksiyonları Şirketlerin hızla büyüyen ve karmaşıklaşan yapıları, yönetim kurullarının ve yönetici kadronun şirkete karşı olabilecek herhangi bir aktivite karşısında müdahalelerini daha da zorlaştırmaktadır. Özellikle yöneticilerin, şirket içinde oluşan her bir işlemi, olayı anlamak için zamanları yoktur. Bundan dolayı yönetim kurulları ve denetim komiteleri için esas konu, ilgili alana nasıl odaklanıp kontrol edecekleridir. Bu nokta da risk yönetimi ve iç denetim yapısı oldukça faydalı olmaktadır. ABD'nin 2002 yılından beri, gerek ABD firmalarından gerekse ABD ile iş yapan firmalarından, beklediği yeni yükümlülükleri belirleyen 'Sarbanes-Oxley' Act’e göre şirket yönetimleri, düzenli olarak iç denetim çalışmalarının kalitesiyle ilgili raporlar hazırlamak zorundadırlar. Bu yasa ile iç denetim ve iç kontrol faaliyetlerinin kapsamında mali işler müdürlerine ve sorumlularına da yeni görevler düşmektedir. Fonksiyonel Yönetim İş Ünitesi Yönetimi
Risk Nedir? RİSK, bir şirketin ilgi gruplarına sağladığı değeri maksimize etmesini engelleyen ve hedeflerini gerçekleştirememesine neden olan tehdittir. RİSK, hem fırsatların kaçırılmasından hem de tehditlerin gerçekleşmesi veya hata yapılmasından dolayı ortaya çıkabilir. RİSK: “Organizasyonların hedeflerine ulaşmak için gerçekleştirdiği faaliyetler sonucunda ortaya çıkan ve işletmenin devamını sağlamak için etkili bir şekilde yönetilmesi gereken belirsizlikleri ifade eder”
Risk Nedir? Bu tanım çerçevesinde Riskin Taşıdığı Anlam nedir? Başarı için risk kaçınılmaz bir unsurdur. Risklerin zamanında dikkate alınması önemlidir. Belirsizlik önemli bir faktördür. İlerlemek için, gelişmek için risk almamız gerekiyor.
Risk Evreni Operasyonel Bilgi Finansal Stratejik Kurum &Kültür Maddi varlıklar Yasal Süreç Piyasa Sistemler Operasyonel Likidite& Kredi Bilgi Finansal Bilgi yönetimi Raporlama Stratejik Sermaye Yapısı Fikri mülkiyet İlgi grupları Piyasa yapısı Yönetişim Küreselleşme, entegre ekonomi, teknolojik yenilik, endüstriyel konsolidayson ve diğer faktörler, iş dünyasının çok hızlı değişerek karmaşık bir yapıya dönüşmesine sebep olmuştur. İş dünyasının karmaşık hale gelmesi, karmaşık ve birbirine bağlı risk evrenini ortaya çıkarmaktır. Bu risklerin etkin olmayan bir şekilde yönetimi ise, ilgi gruplarına yaratılan değer üzerinde önemli bir etkisi olan stratejik hatalara, operasyonel zararlara, ürün hatalarına ve hukuksal davalara sebep olabilmektedir. Sonuç olarak organizasyonlar en üst seviyede, kurumsal yönetim ve kurum bazında risk yönetiminin faydalarını benimsemiş olmalıdırlar.
Risk Yönetimi’nin önemini gösteren örnekler: BARINGS Bir dealerın banka adına yaptığı muazzam büyüklükteki alım-satım yükümlülüklerini bankanın karşılayamamasıydı ENRON Riskler üzerine gerekli kontroller koyulmadan, yöneticilere ve kişilere aşırı insiyatif verilmesi ve agresif stratejilerin ödüllendirilmesi WORLDCOM Tüm yetkilerin şirketin en üst düzey yöneticilerine verilmesi ve onların yaptıkları aksiyonları sınırlayacak veya kontrol edecek, yönetim kurulu veya yönetim tarafından kurulmuş hiçbir mekanizma bulunmaması Hepsi etkin olmayan, kurumsal yönetim ve risk yönetimi yapılarının sonucunda ortaya çıkmıştır (NOT: enron ve worldcom’da hile sadece uygunsuz muhasebe kayıtları değildi, kötü yönetim sonucu ortaya çıkan zararların örtbas edilmesi için muhasebe hilelerine sonradan başvuruldu) BARINGS Son 3 yılda hazırlanan sayısız rapordaki risk yönetimi uygulamaları ile ilgili öneriler yok sayıldı. Barings hemen hemen hiçbir öneriyi uygulamadı. Barings yönetimi uygun yönetsel, finansal ve operasyonel kontrol sistemlerini kurmamıştı. Bu nedenle Leeson’ın ne yaptığını zamanında fark edemediler. 27 Şubat 1995’ deki yükümlülüklerle bazı diğer rakamların karşılaştırılması: Leeson’ un yaptığı işlemlerle ilgili pozisyonların toplamı US$60.68 milyar Buna rağmen bankanın ödenmiş sermayesi US$615 milyon Yükümlülüklerini karşılayabilmek için Ocak ve Şubat 1995’de Barings Tokyo ve Londra’nın Singapur ofisine yaptığı sonraki transferler US$835 milyon Front ve back ofisin görevler ayrılığı Üst yönetimin ilgisi İşlemlere yetersiz sermaye büyüklüğü Zayıf kontrol prosedürleri - Fonlama - Kredi Riski - Piyasa Riski - Limit Belirleme Gözetim eksikliği 1- Barings yönetimi alım-satım operasyonlarının ana kuralını ihlal etti. Leeson hem dealing masasından hem de back ofisten sorumluydu. Ödemeler, gelen ve giden konfirmasyonlar ve anlaşmalar,mutabakat raporları,muhasebe girişleri ve pozisyon raporları ile ilgili son söz onundu. Back ofisin sorumlusu olarak görevini suistimal ederek, “88888” hata hesabıyla ilgili bilgileri sakladı. Sistem sorumlusunun “88888” hesabı ile ilgili bilgileri Londra’ya elektronik olarak yollanan günlük raporlardan çıkarmasını sağladı. Barings yönetimi durumun tehlikeli olabileceği yönündeki uyarıları yok sayarak, Leeson’un görevlerini ayırmayarak yaptığı asıl hatanın daha da büyük sonuçlara ulaşmasına neden oldu. Ağustos 1994’deki bir iç denetim raporunda bu konuda uyarılar ve öneriler vardı. 2-Barings’in çöküşünde açıklanması en güç olan nokta, üst yönetimin Singapur’daki derivativ operasyonlarına ilgisizliğidir. Londra’daki yöneticilerin hiçbiri, Singapur’daki back ofis ile ilgili iç denetim raporlarının önerilerinin dikkate alınıp alınmadığını takip etmemiştir. Barings yönetimi, derivativlerle ilgili çok yüzeysel bilgilere sahipti ve karları getiren böyle önemli bir alanı derinlemesine araştırmamışlardı. Modern finansın merkez aksiyomu düşük risk-düşük getiri yüksek risk-yüksek getiri iken, iki futures anlaşması arasındaki fiyat farklılığından kaynaklanan ve düşük riskli olarak tanımlanan arbitraj nasıl olup da böylesi yüksek karlar getirebiliyordu? Eğer bu mümkünse Barings’in daha güçlü sermaye yapısına sahip rakipleri neden aynı stratejiyi uygulamıyorlardı? Söz konusu karlılık bütün yöneticileri hayrete düşürürken Yönetim Komitesi toplantılarında hiç analiz edilmedi ve olması gerektiği gibi değerlendirilmedi. Yönetim safça bu işin düşük riskli bir altın madeni olduğunu kabul etmişti. Banka ciddi şekilde nakit kaybediyordu ve Londra hala Singapur’un fon taleplerinin altında yatan nedenleri araştırmak için adım atmıyordu. 3- Bir kuruluş; Ters piyasa hareketlerinin açık pozisyonları üzerindeki etkilerine direnmek için Bu pozisyonları koruyabilmek için yeterli sermayeye sahip olmalıdır. 4- Fonlama; Barings Leeson’dan özel ve müşteri alım-satım işlemlerini karşılamak için gerekli varyasyon marjinini ayırmasını talep etmemişti. Leeson’un talep ettiği fonların mutabakatını yapacak bir sistem yoktu. Kimse fon taleplerinin nedenini açıklamasını talep etmediğinden inanılmaz rakamlara ulaşıldı. 1994 US$ 354 milyon olan fonlama miktarı, 1995’in ilk iki ayında US$ 835 milyon artarak US$ 1200 milyona ulaştı. Kredi riski; Kredi Riski Departmanı “Neden müşterilere US$ 500 milyon borç veriyoruz ve sadece %10’unu topluyoruz?” sorusu sorulmadı. Müşteri başına veya toplam fonlama limitleri belirlenmemişti. Para kullandırılan müşteriler herhangi bir kredi onay mekanizmasına dahil edilmiyordu. Kredi Riski Komitesi avansların bilançoda büyüdüğünü görmesine rağmen, kredi tarafını dikkate almadı. Barings’in kredi riski kontrolleri karmakarışıktı. Piyasa Riski; “Bir sistem aldığı datanın doğruluğu kadar iyi olabilir.” Leeson arka ofisi kontrol eden kişi olduğundan ve Barings’in raporlarının doğruluğunu denetleyen bağımsız bir birimi olmadığından, Barings’in risk yönetimi birimi tarafından üretilen piyasa riski raporları doğru değildi. Limit belirleme; Barings Leeson’ın yaptığı alım-satım işlemleriyle ilgili limit uygulamıyordu Çünkü arbitraj işlemlerinin çok az piyasa riski olduğu düşünülüyordu. GÖZETİM EKSİKLİĞİ; Teorik olarak Leeson’ın birden fazla supervizörü olmasına rağmen, pratikte hiçbirinin onun üzerinde kontrolü yoktu. ENRON: Enron’un kazançlarını büyütmeye ve kişisel insiyatife verdiği önem aslında deneyimsiz yöneticilere, hataları minimize edecek gerekli kontroller olmadan, rahatça hareket edebilecekleri alanlar verildiği anlamına geliyordu. Enron’un çöküşünün nedenleri sadece uygunsuz muhasebe yöntemleri ve üst yönetimin iddia edilen yolsuzlukları değildi. Girişimcilik kültürü de nedenlerden biriydi...Kazançların büyümesiyle kişisel insiyatife önem verilmesi, kurumsal kontroller ve dengelerin de olmamasıyla, kurumu agresif stratejiyi ödüllendiren bir kültür haline getirip etik olmayan köşe dönmeci bir anlayışa dönüştürmüştü. (Business Week online, 25 Şubat 2002) WORLDCOM; Tüm yetkiler şirket yöneticilerine verilmişti ve onların yaptıkları aksiyonları sınırlayacak veya kontrol edecek, yönetim kurulu veya yönetim tarafından kurulmuş hiçbir mekanizma bulunmuyordu. Şirketin karar alma mekanizmasında hiçbir kurumsal yönetim protokolü bulunmuyordu. Şirket satınalmaları ile ilgili analizler yapılmıyordu Kredi riskinin ölçümü ve raporlanması ile ilgili sistemler bulunmuyordu Yönetime verilen krediler ve primlerle ilgili bir gözetim komitesi mevcut değildi. Worldcom’un eski bir yöneticisi, 6 milyar dolara satın alınan digex adlı şirket alımını “ego deal” ego alımı, diye adlandırmıştır. Bu kadar pahalı şirket alımı için analiz yapılmamış, ciddi bir due-diligence çalışması yapılmamış, şirket sadece 60-90 dakikalık bir due-diligence çalışması yapılmış ve 35 dakikalık yönetim kurulu ile telefon görüşmesi sonucunda alınmıştır. Şirket ödeyemeyeceği kadar borcun içine girmişti.
CEO’LARI VE HiSSEDARLARI GECELERi UYUTMAYAN 4 SORU 1- RİSKLERİMİN NE OLDUĞUNU BİLİYOR MUYUM? RİSK ANALİZİ 2- GEREKLİ KONTROLLER YERİNDE Mİ? KONTROL YAPISI 4-NELER GELİŞTİRİLMELİ? KONTROL-RİSK KARNESİ 3- KONTROLLERİM İŞLİYOR MU? KONTROL-RİSK DEĞERLENDİRMESİ 1- RİSK ANALİZİ: ilk adım, kurum içerisindeki risklerin sınıflandırılması olmalıdır. Risk yapısının kurulması, her bir birim için veya süreç için riskin tanımlanmasıyla başlar. Daha sonra riskler etkilerine göre ve olma olasılıklarına göre belirlenir. GETİRİSİ: Organizasyonun karşı karşıya olduğu risklerin, derecelerine ve önemine göre sıralayabilmemizi sağlar Hissedar değerine zarar verebilecek riskleri biliyor musunuz? 2- KONTROL YAPISI: Kontrol yapısı, dizaynı, yönetimin organizasyona ait resmi kontrol politika ve prosedürlerini tanımlamasını sağlar. Sonra bu kontroller risklere bağlanır. Böylece, belirlenen risklerin doğru kontrollerle eşleştirilip eşleştirilmediğine bakılır. GETİRİSİ: şirket hedeflerinin gerçekleşmesini sağlamak için, operasyonlarımızın etkili ve verimli olmasını sağlamak için, finansal raporların güvenilirliği için ve kanunlara ve mevzuata uygunluk için, iç kontrollerin en ideal şekilde dizayn edilmesine yönelik gerekli anlayışın kazanılmasıdır. Risk altyapınızı ve kültürünüzü nasıl güçlendirebilirsiniz? 3- KONTROL-RİSK DEĞERLENDİRMESİ: Bu aşama, şirketin ana hedeflerinin, bu hedeflerin gerçekleşmesini engelleyecek risklerin, ve bu riskleri yönetecek risklerin dizaynına imkan tanır. Böyle yaparak, iç kontrollerin kalitesi uygunluğuna ve etkinliğine göre değerlendirilir. GETİRİSİ: Kurulan kontrol prosedürlerinin, belirlenmiş içsel risklere (inherent risks) yönelik olup olmadığını ve konulan kontrolün risk kalıntısını (residual risk) kabul edilebilir bir seviyede tutup tutmadığı incelenir. (inherent risk ve residual risk açıklayacağız) Risklere karşı uygun aksiyonları alabiliyor musunuz? 4- KONTROL-RİSK KARNESİ: Şirketin risk ve kontrol yapısı değerlendirildikten sonra, karne diyebileceğimiz veya rapor diyebileceğimiz, şirketin risk ve kontrolleri üzerinde bir değerlendirme özetinin ortaya çıkarılması faydalıdır. Böylece şirketin risklerinin ve kontrollerinin ne durumda olduğu değerlendirilebilir. GETİRİSİ: önemli, kritik noktalara dikkat çekilmiş olur. Böylece zayıf noktalara karşı alınması gereken aksiyonlar planlanabilir. Yıllar içerisinde bu karneye (veya raporlara) bakılarak, risklere ve onlara karşı geliştirilen kontrollerin ne derece iyi geliştirildiği, kıyaslanabilir. Risklere karşı aldığınız aksiyonlar ne kadar verimli ve etkin? KONTROL-RİSK DEĞERLENDİRMESİ KONTROL-RİSK KARNESİ
Risk Yönetimi ve Değer Yaratmak Hissedar Değerinin Arttırılması Sürprizlerden Kaçınmak Stratejik Hedefleri Başarmak Finansal Performansın Arttırılması Hesap Verebilirliğin Arttırılması Kurumsal Yönetimin Geliştirilmesi SÜRPRİZLERDEN KAÇINMAK: Risklerinizi belirleyip ardından önemli risklerinizi iyi yönettiğiniz zaman, kazancınızdaki dalgalanmayı azaltırsınız, ve ilgi grubu değerlerini ve güvenini arttırırsınız STRATEJİK HEDEFLERİ BAŞARMAK: Yönetimin hedeflerinden biri de, stratejik ve operasyonel hedeflere büyük etkisi olabilecek risklerin belirlenmesi ve bu risklere odaklanılmasıdır. FİNANSAL PERFORMANSIN ARTTIRILMASI: Finansal performansa etki eden risklerin minimize edilmesi Kurumsal Yönetimin Geliştirilmesi: Kurumunuzun tüm birimlerinde riskin takibi ve raporlanması süreçleriyle, ilgi gruplarına olan sorumlulukların ve kanuni uyumluluğun sağlanması İHTİYAÇ DUYULURSA EK KONUŞMALAR: Risk Yönetimi aktivitelerinin büyüme ve sermaye gibi hissedar önceliklerine bağlanarak, hissedara sağlanan değerin korunması ve arttırılması Büyüme fırsatlarının emin bir şekilde değerlendirilmesi Yönetim Kurulu tarafından tüm şirkete, tutarlı bir risk yönetim kültürünün, kabiliyetinin koyulduğunun garantisi Risk yönetimi aktivitelerinin gelecekteki stratejilerle bağlandığının garantisi Hissedarlara zarar verecek her bir riskin, sorumluluk ve hesap verebilirlik dahilinde, etkili ve verimli bir şekilde yönetilmesi için altyapının kurulması Kanuni unsurların tanımlanıp idare edildiğine dair sağlanan rahatlık
Risk Yönetimi ve Değer Yaratmak Her Şirketin amacı Değer Yaratmaktır Risk yönetimi; değerin yaratılmasının, yaratılan değerin korunmasının ve geliştirilmesinin güvencesidir. Risk Yönetimi iyi Kurumsal Yönetimin ayrılmaz bir parçasıdır. Örneğin bankalar, kredi risk ve maliyet riski üzerine yoğunlaşır, üretim şirketleri tüm şirketin tedarik şirketindeki iş risklerine yoğunlaşır; bunlar Ham materyal maliyetlerindeki dalgalanmalar, dış kaynak kullanımı ile ilgili unsurlar, ücretlerdeki dalgalanmalar, müşteri isteklerindeki değişiklikler, teknolojik gelişmeler, karşılığı ödenmeyen alacaklar, faizlerdeki dalgalanmalar gibi. Her şirketin kendine özel risk profili vardır. Aynı sanayi içerisindeki şirketler, aynı çeşit riske ve belirsizliklere maruz kalırken, herbiri kendi riskini önleyebilme ve yönetebilme becerilerine göre birbirlerinden ayrılır.
Kurumsal Yönetim, Denetim ve Risk Yönetimi İlişkisi Hissedarlar Risk ve iç kontroller, performans ve sonuçlar üzerine raporlama Sonuçlar ve mevzuata uygunluk ile ilgili denetçi görüşü iç kontrollerin güvenilirliği Yönetim Kurulu Performans sorumluluğu Ücret Komitesi Denetim Komitesi Yönetim Risk ve kontrol yapısının geliştirilmesi Kontroller üzerinde finansal bildirim ve denetim İç kontrollerin güvenilirliği İç kontroller üzerine raporlama ve öneriler Risk arayüzü İç Denetim Risk Yönetimi Dış Denetim Risk bazlı denetim planlaması Denetim planlaması için risk evreninin belirlenmesi
Risk Analizi Risk analizi, riskin iki önemli konuda analiz edilmesini kapsar: Olasılık Etki Yüksek Etki Orta Düşük Düşük Orta Yüksek Olasılık
İçsel Risk ve Kalıntı Riski (Inherent & Residual) Dış Denetim Teftiş/ İç Denetim İçsel Risk Kalıntı Risk Hiyerarşik Kontroller (Değerleme, Yönetim, vs.) Operasyonel Kontroller (görevlerin ayrılığı, yeterlilik, oto-kontrol, sistemsel kontroller, vs.) (Inherent Risk) (Residual Risk) İçsel risk (Inherent Risk) olayın doğasında olan risktir. Yönetim riske karşı herhangi bir önlem almadığında, kendi kendine olacak risktir. Örneğin staoklara giriş çıkışlar için belge doldurulmazsa, kontroller yapılmazsa hem yanlış hesaplanan, hem de çalınan stoklar olacaktır. Ama stok giriş çıkışlarında giriş çıkış formları doldurtup bunları kontrol ederseniz, stoklarınızdaki sapmalar binde biri gibi küçük bir miktara düşecektir. Bunun için bir şirkette öncelikle inherent (içsel) riskler belirlenmeli, ardından bu risklere karşı koyulan kontrollerin, riski kalıntı (residual risk) risk yani etkisi kabul edilebilir hale getirip getirmediği analiz edilmelidir. İç Kontrol Mimarisi
İçsel Risk ve Kalıntı Riski (Inherent & Residual) Dış Denetim Teftiş/ İç Denetim İçsel Risk Kalıntı Risk Hiyerarşik Kontroller (Değerleme, Yönetim, vs.) Operasyonel Kontroller (görevlerin ayrılığı, yeterlilik, oto-kontrol, sistemsel kontroller, vs.) (Inherent Risk) (Residual Risk) İçsel risk (Inherent Risk) olayın doğasında olan risktir. Yönetim riske karşı herhangi bir önlem almadığında, kendi kendine olacak risktir. Örneğin staoklara giriş çıkışlar için belge doldurulmazsa, kontroller yapılmazsa hem yanlış hesaplanan, hem de çalınan stoklar olacaktır. Ama stok giriş çıkışlarında giriş çıkış formları doldurtup bunları kontrol ederseniz, stoklarınızdaki sapmalar binde biri gibi küçük bir miktara düşecektir. Bunun için bir şirkette öncelikle inherent (içsel) riskler belirlenmeli, ardından bu risklere karşı koyulan kontrollerin, riski kalıntı (residual risk) risk yani etkisi kabul edilebilir hale getirip getirmediği analiz edilmelidir. İç Kontrol Mimarisi
Hiyerarşik & Operasyonel kontroller Önleyici kontroller (prevent controls) İşlem esnasında uygulanan kontroller Sisteme girilmeden önce mahsup fişlerinin amir tarafından incelenmesi Bilgisayar giriş—çıkış şifreleri Risk oluşmadan önlenir Saptayıcı kontroller (detect controls) İşlemler bittikten sonra uygulanan kontroller Banka-müşteri mutabakatları Kasa-stok sayımları Risk oluşmuş ise saptanır
İçsel Risk ve Kalıntı Riski (Inherent & Residual) Dış Denetim Teftiş/ İç Denetim İçsel Risk Kalıntı Risk Hiyerarşik Kontroller (Değerleme, Yönetim, vs.) Operasyonel Kontroller (görevlerin ayrılığı, yeterlilik, oto-kontrol, sistemsel kontroller, vs.) (Inherent Risk) (Residual Risk) İçsel risk (Inherent Risk) olayın doğasında olan risktir. Yönetim riske karşı herhangi bir önlem almadığında, kendi kendine olacak risktir. Örneğin staoklara giriş çıkışlar için belge doldurulmazsa, kontroller yapılmazsa hem yanlış hesaplanan, hem de çalınan stoklar olacaktır. Ama stok giriş çıkışlarında giriş çıkış formları doldurtup bunları kontrol ederseniz, stoklarınızdaki sapmalar binde biri gibi küçük bir miktara düşecektir. Bunun için bir şirkette öncelikle inherent (içsel) riskler belirlenmeli, ardından bu risklere karşı koyulan kontrollerin, riski kalıntı (residual risk) risk yani etkisi kabul edilebilir hale getirip getirmediği analiz edilmelidir. İç Kontrol Mimarisi
İç denetim Bağımsızlık Şirket politika ve prosedürlerinin eksiksizliği Doğrudan denetim komitesi ya da CEO’ya raporlama Fulltime personel Şirket politika ve prosedürlerinin eksiksizliği Şirketin operasyonlarında uyulması gereken tüm kuralların ve takip edilecek prosedürlerin açık ve detaylı dökümantasyonu
İç Denetim (devam) Risk analizleri ve hareket planı Yüksek/Düşük risk analizi Denetim zamanlaması ve tekrarlaması Denetim prosedürleri Risk odaklı Kanaat sağlayıcı nitelikli
İç Denetim (devam) Tam dokümantasyon Test uygulamalarının tekrarlanabilir ve sorgulanabilir biçimde tevsik edilmesi Bulguların ve kanaatlerin açık ve net olması Standard risk ölçümü uygulanması ve raporlaması Bulguların ve risk ölçümlerinin fonksiyon/birim yönetimi tarafından kabullenilmesi/sahiplenilmesi “denetçi riski” Kapanış toplantısının önemi
İç Denetim (devam) Standart Risk Ölçümü – Örnek: Risk Faktörü 3: (düşük) İşletmenin günlük işleyişine önemli etki yapmayacak ve birim yönetimi tarafından bir dahaki denetime kadar düzeltilmesi uygun olan bulgular Risk Faktörü 2: (orta) İşletmenin günlük işleyişini etkileyebilecek önemde olup ilgili birim yönetiminin, denetçinin kabul ettiği bir zamanlama çerçevesinde bir plan ile düzeltilecek bulgular Risk Faktörü 1 (yüksek) İşletme için hayati önem arzeden bir alanda hemen üst yönetimin de dikkatinin çekilip en kısa zamanda düzeltme yapılmasını üstlenmesi gereken bulgu.
İç Denetim Uygulama planı İlgili birim yönetimi ve üst yönetim ile (bulgu’nun önemine bağlı olarak) düzeltici eylem planının detaylı olarak hazırlanması ve denetçi tarafından daha sonra bu plan uygulamasının da incelenmesi (follow-up)
İçsel Risk ve Kalıntı Risk (Inherent & Residual) Şirkette risk yönetiminin rolü Yüksek İçsel Risk Olasılık Orta Yüksek Kalıntı Risk Orta Düşük Düşük Düşük Orta Yüksek Etki
İçsel Risk ve Kalıntı Riski (Inherent & Residual) Dış Denetim Teftiş/ İç Denetim İçsel Risk Kalıntı Risk Hiyerarşik Kontroller (Değerleme, Yönetim, vs.) Operasyonel Kontroller (görevlerin ayrılığı, yeterlilik, oto-kontrol, sistemsel kontroller, vs.) (Inherent Risk) (Residual Risk) İçsel risk (Inherent Risk) olayın doğasında olan risktir. Yönetim riske karşı herhangi bir önlem almadığında, kendi kendine olacak risktir. Örneğin staoklara giriş çıkışlar için belge doldurulmazsa, kontroller yapılmazsa hem yanlış hesaplanan, hem de çalınan stoklar olacaktır. Ama stok giriş çıkışlarında giriş çıkış formları doldurtup bunları kontrol ederseniz, stoklarınızdaki sapmalar binde biri gibi küçük bir miktara düşecektir. Bunun için bir şirkette öncelikle inherent (içsel) riskler belirlenmeli, ardından bu risklere karşı koyulan kontrollerin, riski kalıntı (residual risk) risk yani etkisi kabul edilebilir hale getirip getirmediği analiz edilmelidir. İç Kontrol Mimarisi
Dış Denetim Bağımsızlık Yönetim Kurulu ya da Denetim Komitesine raporlama Muhasebe dahili kontrollerinin detaylı incelenmesi İç denetim ile ortak çalışma
Sonuç: Kurumsal Yönetim ilkeleri doğrultusunda etkin bir Risk Yönetimi için; Etkin bir İç Kontrol Yapısı Net ve yaptırım gücü olan Politika ve Prosedürler Objektif ve yeterli İç Denetim Fonksiyonu Bağımsız ve etkin Dış Denetim Bildirimlerin Şeffaflığı, etkin Komünikasyon, Hesap Verebilirliği ve Ölçülebilirliği sağlayacak sistemler
21 Nisan 2005 Teşekkürler