İşletmelerde Bir Risk Yönetim Aracı I. International Symposium on Accountancy of Turkey I. Uluslararası Türkiye Muhasebe Denetimi Sempozyumu 20 – 24 Nisan 2005 İşletmelerde Bir Risk Yönetim Aracı TÜRK BANKACILIK SİSTEMİNDE İÇ KONTROL SİSTEMİ ve İÇ DENETİM Sunan : Bülent GÜNCELER BankEuropa Risk Yönetimi, Teftiş ve İç Denetim Grubu Başkanı

In God We Trust But We Audit ( Amerikan Deyimi )

Dünyada ve Türkiyede Değişen Bankacılık Globalizasyon , World-wide Banking Karmaşık Ürünler Yüksek Volatilite taşıyan Piyasa Riskleri Kredi Risklerinin Ölçümlendirilmesi Operasyonel Risklerin Öneminin Ortaya Çıkması Teknoloji Risklerinin Hızla Büyümesi Sermaye Yeterliliği

Denetim Kavramı Denetim kavramının, Batı dillerindeki karşılığı (audit) kökenini oluşturan Latince audire kelimesi; işitmek, dikkatlice dinlemek anlamına gelmektedir. Denetim kavramı ile ilgili olarak, sosyal bilimlerin birçok dalında farklı tanımlamalar yapılmaktadır. Denetimin Türkçe’de yaygın olarak kullanılan anlamı, Türk Dil Kurumunun yaptığı tanımda karşılığını bulmaktadır. Bu tanıma göre, “denetleme, bir işin doğru ve yönetime uygun olarak yapılıp yapılmadığını incelemek, murakabe etmek, teftiş etmek, kontrol etmektir.”

Denetim Kavramı Hukuki anlamda denetleme ise “gerek devlet daire ve teşkilatının ve gerek özel hukuk hükümlerine göre kurulmuş müesseselerin kamu menfaati noktasından kanun, nizamname ve statüleri hükümlerine göre çalışıp çalışmadıklarının tetkik edilmesidir.” Avrupa Komisyonu da denetimin tanımını yapmıştır. Bu tanıma göre en genel anlamıyla denetim, bir işlem, prosedür veya raporun her bir yönünü doğrulayacak şekilde ve sonradan yapılan her türlü incelemedir.

Dünden Bugüne Denetim Sistemi ( I ) Denetimin Tarihçesi Denetimin varlığı, MÖ 3500 yıllarına kadar giden Mezopotamya kayıtlarından çıkarılmaktadır. Mali işlemleri de içeren bu kayıtlar, bir soruşturma sistemi olarak yorumlanabilecek çeşitli işaretler içermektedir. İç kontroller ve görev dağılımının ortaya çıkışı da muhtemelen aynı döneme rastlamaktadır. Mısır, Yunan, Çin, Pers ve İbrani kayıtları da benzer sistemlere işaret etmektedir. Antik Roma’da memurların kendi kayıtlarını diğerlerinin kayıtları ile karşılaştırdığı bir hesap sorgusu sistemi oluşturulmuştur. “Audit” teriminin oluşması da bu hesap sorgusunun bir sonucudur. Roma İmparatorluğunun çöküşü ile soruşturma da dahil birçok mali faaliyet ortadan kalkmıştır.

Dünden Bugüne Denetim Sistemi ( II ) Meslek unvanı olarak auditor unvanı, 1289 yılında ilk defa İngiltere’de kullanılmıştır. Profesyonel denetçiliğin ilk örgütü ise 1581’de Venedik’te kurulmuştur. Sanayi Devriminin ortaya çıkması ile birlikte Avrupa’da muhasebe kayıtlarının incelenmesi ve belgelendirme dahil günümüz denetimi ile benzer özellikler taşıyan bir denetim sistemi oluşmaya başlamıştır. Avrupalılar zamanla bu uygulamaları Kuzey Amerika’ya taşımıştır.

Dünden Bugüne Denetim Sistemi ( III ) 1850’li yıllarda, “İskoçya Fermanlı Muhasebeciler Enstitüsü” tarafından modern muhasebe denetimi yazılı hale getirilmiştir. İngiltere’den Amerika’ya göç eden muhasebeciler, 1886 yılında, New York’ta ilk Diplomalı Kamu Muhasipleri Kanunu’nun çıkarılmasını sağlamışlardır. Yirminci yüzyılın ilk yarısından itibaren geniş ve karmaşık yapıdaki şirketlerin ortaya çıkması ile denetim fonksiyonunun gelişimi hızlanmıştır. Bunun sonucunda denetim uluslararası nitelikte örgütlenmelere ihtiyaç duymaya başlamıştır.

Türk Bankacılık Sisteminde Denetim ( I ) 8 Şubat 2001 tarihli Risk Yönetimi Yönetmeliği çıkana kadar Teftiş Kurulları tek hakimiyet ile bu fonksiyonu elinde bulunduruyordu ÖZELLİKLERİ : * Korkutucu Otorite * Sorgulanamaz Yöntemler * İş İşten Geçtikten Sonra “After the Fact” kontroller * Gereğinden uzun kontrol süreleri * Bu nedenle yüksek maliyetler * Sadece belli alanlara konsantrasyon * Uzun uzun raporlar

Türk Bankacılık Sisteminde Denetim ( II ) RİSK YÖNETİMİ YÖNETMELİĞİ NELER GETİRDİ ? Bankacılık Sistemi Risklerinin Sadece Kredi Riski Olmadığının Farkına Vardı Mali Sistem Risklerinin Tanımını Yaptı Tanımlanmış Risklerine Karşı Ne Tedbirler Alması Gerekeceğinin, Nasıl Bir Riske Maruz Kalabileceğinin Hesaplarını Yapmaya Başladı Riske Maruz Değerlere Karşılık Semaye Ayırmaya Başladı Daha etkili bir İç Denetim Sistemine olan gereksinim ortaya çıktı, buna göre düzenlemeler yapıldı

Türk Bankacılık Sisteminde Denetim ( III ) RİSK YÖNETİMİ YÖNETMELİĞİ NELER GETİRDİ ? Riskler kategorilere ayrıldı Kuvvetlerin Ayrılığı İlkesine Önem Veridi Teftiş , İç Kontrol ve Bağımsız Dış Denetim Fonksiyonlarına Açıklık Getirildi Bankaların Kendi Risklerini Kendileri Ölçmesi Ortamına Geçildi Riskler için onları taşıyabilecek Sermaye Yeterliliği hesaplamaları en önemli faktör oldu

Türk Bankacılık Sisteminde Denetim ( IV ) RİSKLERİN KATEGORİK AYIRIMI Kredi Riski Piyasa Riski Operasyonel Riskler Diğer Riskler

Fiyatlayanlar (Satış Birimleri) Operasyon (İşleri Yapanlar) Üçgen Felsefesi ( Kuvvetlerin Ayrılığı İlkesi ) Fiyatlayanlar (Satış Birimleri) Denetleyenler İç Kontrol Teftiş Pazarlama Hazine Temel Bankacılık Faaliyetleri KREDİ DEĞERLENDİRME TAHSİS ve İZLEME Operasyon (İşleri Yapanlar) Uygulayanlar

Risk Yönetimi ve İç Denetim’in Yasal Dayanağı Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik (08.02.2001 Tarih ve 24312 Sayılı Resmi Gazetede Yayımlanmıştır) Risk Yönetimi Yönetmeliği yaptırımlarını bankadaki İç Denetim Sistemlerinin Etkinliği Sürekliliği Caydırıcılığı Sistemin tamamını kapsayıp kapsamadığı üzerinde yoğunlaştırmıştır

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik İç Kontrol Sistemi Bankanın tüm faaliyetlerinin, belirlenen politika, yöntem, uygulama talimatları ve limitlere uygun olarak, yönetim kademelerince yürütülmesini sağlamak amacıyla, iç kontrol elemanları tarafından yerine getirilen, bir sistem içinde izlemeyi, bağımsız değerlendirmeyi, yönetim kademelerine eş anlı rapor etmeyi içeren finansal, operasyonel ve diğer kontrol sistemlerinin tümü

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik İç Denetim Sistemi İç kontrol sistemi ile teftiş sisteminden oluşan bütünleştirilmiş süreci; Risk Yönetim Sistemi Yönetim kurulunun, bankanın gelecekteki nakit akımlarının ihtiva ettiği risk-getiri yapısını, buna bağlı olarak faaliyetlerin niteliğini ve düzeyini izlemek, kontrol altında tutmak ve gerektiğinde değiştirmek amacıyla uygulamaya koyduğu standart belirleme, bilgilendirme, standartlara uygunluğu tespit etme, karar alma ve uygulama sürecine ilişkin mekanizmaların tümü

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Teftiş Sistemi Bankanın günlük faaliyetlerinden bağımsız, yönetimin ihtiyaçları ve bankanın yapısına göre finansal faaliyet ve uygunluk denetimleri şeklinde, iç kontrol işlevi kapsamında bağımsız bir biçimde, müfettişlerce gerçekleştirilen, iç kontrol sistemi ile risk yönetim sisteminin işleyişi başta olmak üzere bankanın tüm faaliyetlerini ve birimlerini kapsayan ve bu alanlara ilişkin değerlendirme yapılmasını sağlayan, değerlendirmelerde kullanılan kanıt ve bulguların raporlama, izleme ve inceleme sonucunda elde edildiği sistematik denetim süreci

Türk Bankacılık Sisteminde Denetim Departman İçi Kontroller İç Kontrol Birimi ( Internal Control ) Teftiş ( Internal Audit ) Dış Denetim Bankalar Yeminli Murakıpları S P K Murakıpları Uluslar arası Denetim ( Yabancı Bankalarda )

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Madde 4 - Bankalar : a) Karar alma sürecine ilişkin usul ve esasları, b) Risk yönetimi kapsam ve uygulaması, c) Risklerle ilgili limit ve standartları belirleme ve uygulama süreçleri, d) Bilgi işlem altyapısı üzerinde oluşturulacak kontroller, e) Finansal ve yönetsel raporlama, f ) Personel politikası, g) Sorumlulukların belirlenmesi, h) Denetim ve kurallara riayet, I ) Usulsüz işlemlerin önlenmesi hususlarında yazılı iç kuralları bu Yönetmelik hükümlerine uygun olarak tesis etmek ve uygulamak zorundadırlar.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Yine bu bağlamda : Bankalar, bünyelerinde, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara cevap verebilecek nitelik, yeterlilik ve etkinlikte, bu Yönetmelik hükümlerine uygun iç denetim ve risk yönetim sistemi kurmak, idame ettirmek ve geliştirmek zorundadırlar.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Madde 19 – İç Denetim ve Risk Yönetimi Sistemleri a) Banka faaliyetlerinin yasal düzenlemelere, yönetim kurulunca tesis edilmiş strateji ve politikalara uygun olarak; basiretli, düzgün ve maliyet boyutu dikkate alınarak etkin bir şekilde planlanmasının ve yürütülmesinin kontrolünü; b) İşlemlerin ve yükümlülüklerin ifasının, genel veya özel yetkilere dayalı olarak gerçekleştirmesini; c) Faaliyetlere ilişkin olarak, yönetim kurulunun bankanın varlıklarını güvence altına alabilmesini ve yükümlülükleri kontrol edebilmesini;

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik d) Usulsüzlüklerden ve hatalardan kaynaklanan risklerin asgariye indirilmesi için risklerin tanımlanabilmesini ve gerekli önlemlerin alınmasını; e) Kayıtların tam, doğru ve zamanında bilgi sağlamasını; f) Yönetim kurulunun, bankanın sermaye yeterliliğini, likiditesini, aktiflerinin kalitesini, bütçesine uygun kârlılık performansını ve bankacılıkla ilgili mevzuat hükümlerine tam anlamıyla uygunluğunu düzenli ve zamanında izlemeye muktedir olmasını;

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik g) Yönetim kuruluna, zarara uğrama riskini tanımlama, düzenli olarak gözden geçirme ve mümkün ise sayısallaştırma imkanı vermesi bakımından risk yönetim sisteminin etkin bir biçimde çalışmasını; h) Banka bünyesindeki kontrol mekanizmalarının etkinliğinin değerlendirilmesini; Temin edecek şekilde oluşturulur.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Madde 20 – Temel Kontrol Alanları Temel kontrol alanları : düzenli aralıklarla yapılan sıradan kontrol ve incelemelerin odaklandığı faaliyet alanları ile talebe göre yapılacak özel incelemelerin ya da süreye bağlı olmadan yapılan acil ve hızlı incelemelerin odaklandığı faaliyet alanlarını kapsar.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Bunları Listelersek : a) Gözetim amacıyla Kurum tarafından talep edilen raporlamaların ve diğer bilgilerin hazırlanması, b) İlgili mevzuata uygunluğun sağlanması, c) Yeterli düzeyde karşılık ayrılmasının sağlanması, d) Faaliyetlerin basiretli biçimde planlanması ve yürütülmesinin temini,

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik e) Finansal muhasebe ve yönetim bilgi sistemleri, f) Temel faaliyet alanlarının özel kontrolü, g) Otomasyon/bilgi-işlem ortamı, h) Acil ve beklenmedik durum planlaması, ı) Kara paranın aklanmasının önlenmesi.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Madde- 23 – İç Kontrol Sistemi İç kontrol sistemi, banka bünyesinde tesis edilen finansal, operasyonel ve diğer kontrol sistemlerinin tümünü kapsar ve istenilmeyen olayları önleyici kontrol faaliyetlerini, istenilmemekle beraber meydana gelmiş olaylarda kanıtlayıcı ve düzeltici niteliğe sahip araştırıcı kontrol faaliyetlerini ve beklenen bir faaliyetin oluşmasını teşvik edici niteliğe sahip yönlendirici kontrol faaliyetlerini düzenler. Sözkonusu kontroller: idari kontroller ile yönetim, finans ve muhasebe kontrollerini, operasyonel kontrolleri, finansal ürün ve hizmetlere ilişkin kalite kontrollerini ve diğer kontrolleri içerir.

Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik Madde- 26 – Teftiş Sistemi Teftiş, bankanın tüm faaliyetlerini ve birimlerini kapsar. İç kontrol sisteminin işleyişi, banka müfettişleri tarafından incelenir. Tespitleri ve inceleme ya da teftiş sonuçlarını ihtiva eden raporlar, önemine ve öncelik sırasına göre, doğrudan banka yönetim kuruluna ya da üst düzey yönetime intikal ettirilir. Uygulama ve Sistem

KARIŞIKLIK BURADA BAŞLIYOR (!) İç Kontrol – Teftiş Görev Alanlarının Sınırları birbirine karışıyor (karıştırılıyor ) Çalışma sistemleri değiştirilmeli Organizasyon içindeki sorumluluk alanları ve kimlere bağlı oldukları net olduğu halde karıştırılıyor Her iki fonksiyonun arasındaki rekabet Yönetim ve birimlerin görev dağılımını anlaması konusunda yaşanan kargaşa

“RİSK ODAKLI TEFTİŞ” FONKSİYONUNA GEÇİŞ BAŞLAYACAK Teftişin kapsamı Risk Noktalarına yönelik değerlendirmeler olmalıdır Standart Prosedür ve Yönetmeliklere uyumun denetlenmesi esas olmalıdır İşlem yapılışlarında genel teamül ve alışkanlıkların risk yönünden analizi İç Kontrol Sisteminin işleyişinde yeterlilik ve caydırıcılık unsurlarının tesbiti Detaylar yerine İç Denetim Sisteminin denetlenmesi hedeflenmelidir

Bankalarda Risk Noktalarının Tesbiti (Risk Matrisi ) Amaç, Kapsam ve tanımlamada yeterlilik Teftiş noktalarının matris de tanımlanan değerlendirmelere odaklanması Risk noktalarına göre sayısal hesaplama yöntemlerinin oluşturulması Teftiş raporlarının birim/şube performansını ölçülebilir/kıyaslanabilir formata dönüştürülmesi Teftiş bulgularının takip edilme yöntemleri

Risk Odaklı Denetim Yaklaşımı (ı) Operasyonel Denetim Süreç Denetimi Yüksek Risklerin Denetimi Farkındalık Denetimi

Risk Odaklı Denetim Yaklaşımı (II) Operasyonel Denetim * Prosedürler * Standart İş Akışları * Departman İçi Kontrollerin Etkinliği * Görev Dağılımlarında Geçişmeler * Teknoloji Desteğinin Güvenilirliği * Manuel yapılan işlemlerin niteliği ve seviyesi

Risk Odaklı Denetim Yaklaşımı (III) II. Süreç Denetimi * Prosedürlere “TAM” uyum durumu * Tanımlanmamış alanlar var mı * İç dış kontrollar kapsamı dışı alanlar * Takip ve kurum içi iletişim durumu

Risk Odaklı Denetim Yaklaşımı (IV) III. Yüksek Risklerin Denetimi * Limitler ve belirleme izleme prosedürü * Ek Limit, Limit Aşımı, yeni Limit tanımlama sistemi, onay mekanizması * Temel Bankacılık Riskleri açısından uygulamaların yeterliliğinin denetimi

Risk Odaklı Denetim Yaklaşımı (V) IV. Farkındalık Denetimi * Bankalar Kanunu ve ilgili tüm mevzuat * Banka İçi Talimat ve Yönergelere uyum * Bankacılık Risk Noktalarına uyum * Bankacılık İş Etiği İlkelerine uyum * Kara Para Aklama ile Mücadele

Bankacılık İş Etiği’nde Temel Kurallar Kendine, Ailesine, I. Derece Yakınına iş yapma durumu Müşteri – Banka Çalışanı hesap ilişkisi Eksik Dökümantasyon ile iş yapmama Kanunlara Aykırı İş Yapmama Hediye Çıkar İlişkileri Müşteri Sırrı, banka sırrına önem verme

Teftiş Raporlarının Takibi Eleştirilerin üst yönetime raporlanması Raporda tesbit edilen risk noktalarının izlenmesi, düzeltme işlemlerinin takibi Teftiş raporları bulgularının banka geneline yönelik tasnif edileceği veri ambarları oluşturma Verileri kullanabilme

Teftiş Metodolojisi Standart Kontrol listeleri Teftiş alanlarının risk ölçümlemesinin yapılması Uzaktan denetimin başlatılarak birim/şube denetiminde kullanılacak sürenin azaltılması Teftiş sürecinde İç Kontrol verilerinden yararlanma Risk doğuracak noktalara yönelme, sadece eksiklerin tesbiti yaklaşımından kaçınma

Teftiş Kurullarının Zaafiyetleri Klasik ürünlerden çıkıp yeni ürünlere olan yakınlaşmadaki yavaşlık, Bilgi ve donanım eksiklikleri, Etkisiz denetim Raporların dili, Geçmiş dönemlerdeki alışkanlıkların devam ettirilme arzusu

Teftiş Kurullarının Zaafiyetleri (II) GELİŞTİRİLME İHTİYACI HİSSEDİLEN ALANLAR : - Fon Yönetimi teftişi - Bilgi İşlem Teftişi - Dış Ticaret Ürünleri ( Trade Finance ) Teftişi - Internet Bankacılığı ve Teknoloji Teftişleri - Özel Tasarımlı ürünlerin teftişi (Bilanço Dışı Riskler ) - Yön.Kurulu,APKO ve MIS Raporlarına olan uzaklık - Pazarlama ve Ürün Stratejilerine uzaklık

İç Kontrol Örgütünün Yeri İç Kontrol Faaliyetleri Dinamik Günlük olaylara yönelik Caydırıcı Düzenleyici Hata, ihmal ve gecikmeleri durdurucu Sürekli mutabakat işlevlerini yerine getiren Fonksiyonda çalışan dinamik, bilgili ve bankada günlük iş akışını bozmadan, daha düzenleyici, eksiklikleri giderici, işlerin daha sağlıklı yürümesine katkıda bulunacak bir yaklaşım içerisinde çalışan, icracı birimlerden bağımsız olmalıdır.

Sonuç Bankalarda İç Kontrol Sistemleri ve İç Denetim 2001’den bu yana tanımı yapılmış ve uygulamaya başlatılmış bir kurallar zinciridir. Ancak, sektörümüze intibakı henüz bu yönetmelikle başlatılan bir çok fonksiyon olması nedeniyle biraz zamana ihtiyaç olduğu görülmektedir. Genel olarak organize ve kayıt düzeni oturmuş bir işkolu olan Türkiye Bankacılık Sistemi, çok kısa bir zaman içerisinde dünya standartlarında bir İç Denetim Sistemini tüm bireylerinde devreye sokmuş olacaktır.

TEŞEKKÜR EDERİM bulentgunceler@bsmistanbul.net bsmtraining@superonline.com Bulent.Gunceler@bankeuropa.com 0 532 263 8086