Denetim - Güncel Yaklaşımlar

DENETİM

GÜNCEL YAKLAŞIMLAR

Yaşanan Gelişmeler-1

• Çok uluslu şirketler ve büyük ölçekli kurumlar

• Risk yönetiminin artan önemi

• Bilgi ve teknoloji üretimindeki artış

• Küreselleşme ve artan şeffaflaşma gereksinimi

• Kurumsal yönetimin artan önemi

• Verimlilik ve performansın ön plana çıkması

• Yasal düzenlemeler ve yaşanan uluslar arası gelişmeler

Yaşanan Gelişmeler-2

• Asya Krizi ve Rusya Krizi gibi ülke ekonomilerini etkileyen olumsuzluklar

• Geniş ölçekli şirket skandalları: Enron, WorldCom…(ABD), Ahold, Parmalat…(Avrupa),

• Suistimal ve görevi kötüye kullanma olaylarının şirket sonlarına neden olurken küçük yatırımcıya ve topluma verdiği zarar

Yasal Düzenlemeler

• OECD Kurumsal Yönetim İlkeleri

• Sarbanes Oxley Act of 2002

• 1998 Blue Ribbon

• 1 Mayıs 1998’de Almanya “İşletmecilik Alanında Şeffaflık ve Kontrol Yasası”

• 20 Aralık 2001 (BIS) “Sound Practice for Management and Supervision or Operasyonel Risk”

• AB 8. Direktifi

• Diğer Düzenlemeler (BDDK, SPK,SEC, BASEL II..vb)

Risk Nedir?

• Riskler kurumun hedeflerinin gerçekleştirilmesini engelleyebilecek her türlü olay veya durumlardır

• Riskler oluşma sıklıklarına ve yaratacakları hasara göre ölçülürler ve uygun iç kontrol noktaları ile minimize edilirler

• Etkin bir iç denetim sisteminin en önemli görevlerinden biri tüm risklerin tespit edilmesi ve minimize edilmesi için uygun öneriler geliştirilmesidir.

• Risk yönetimi, her türlü risklerin tanımlanması, ölçülmesi ve giderilmesini kapsayan sistematik bir yönetim uygulamasıdır.

Risk Türleri

• Yasal Riskler• Operasyonel Riskler• İnsan Kaynakları Riskleri• Teknoloji Riskleri• İtibar Riskleri• Çevresel Riskler

Her risk grubunun alt risklerinin tanımlanması yoluyla tüm risklerin kategorize edilmesi

mümkündür.

Risk Odaklı İç Denetim

Risk odaklı iç denetim, denetim faaliyetinin odak noktasının geçmiş faaliyetlerden geleceğin yönetilmesine çevrilmesinin günümüzdeki ifadesidir.

Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenini risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkililiğini artırmayı amaçlayan bir denetim yaklaşımıdır.


Geleneksel Risk Odaklı

Denetim odaklı Katma değer yaratma

İşlem odaklı Süreç odaklı

Finansal kayıp Verimlilik

Uygunluk denetimi Risk tanımlama ve işlem

süreçlerinin geliştirilmesi

Mevzuat tabanlı Risk yönetimi tabanlı

Sistemin koruyucu olma Değişimin öncüsü olma

Deneyim ağırlıklı denetim Yoğun teknoloji kullanımı

Risk Odaklı İç Denetim Süreci

• İşletmenin Faaliyette Bulunduğu Alan Hakkında Bilgi Edinme.

• Ayrıntılı Bir Risk Değerlendirmesinin Yapılması.

• Risk odaklı iç denetim İçin Plan oluşturma.

• Kurumun Risk Değerlendirmesinin Yenilenmesi.

• Risk odaklı iç denetim Programının Yeniden Gözden Geçirilmesi / Geliştirilmesi.

• Denetim İşlemlerinin ve Belge Bulgularının İncelenmesi.

• Denetim Raporundaki Sonuçların Açıklanması.

• Bitirme Toplantısındaki Sonuçların Açıklanması.

• Denetim Komitesine Denetim Bulgularının sunulması.

Risk Odaklı İç Denetim SüreciAşamalar Raporlamalar

1-Kurumun anlaşılması 1-Kurum hakkında genel bir bilgi notunun

hazırlanması

2-Risklerinin değerlendirilmesi 2-Risk matrisinin hazırlanması

3-Risk değerlemesi

3-Denetim faaliyetlerinin

planlanması

4-Denetim planı

5-İnceleme programı

4-Denetim faaliyetlerinin

belirlenmesi

6-Denetim kapsamının yazılı olarak belirlenmesi

7-Başlama mektubu

5-İnceleme süreçlerinin

uygulanması

8-Fonksiyonel inceleme modülleri

6-Bulguların raporlanması 9-İnceleme raporu

Risk Odaklı İç Denetim Süreci

• Makro Risk Analizi (Yıllık denetim planının risk odaklı olarak yapılması)

-Denetim önceliklerinin belirlenmesi

-Denetim kaynaklarının en riskli faaliyetlerden başlamasını hedefler…

• Mikro Risk Analizi (Bireysel risk analizi)

- Denetlenen faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesini kapsar…

Risk Analizi

Minimal Risk

Sınırı

ETKİ

Yüksek

(3)

7 8 9

Orta

(2)

4 5 6

Düşük

(1) 1

2 3

Düşük

(1)

Orta

(2)

Yüksek

(3)

OLASILIK

Kabul Edilemez Riskler

Kabul edilebilir Riskler

Kabul

Edilebilir Risk

Sınırı

Minimal

Risk

Sınırı

Risk Analizi

• Bir risk gerçekleşme olasılığı yüksek ve olası etkileri büyükse önemlidir!!!

Risk Tablosu

Amaç Risk Mevcut kontroller Kontrollerin etkinliği Öneri

Risk Değerlendirme Süreci

• Risklerin tanımlanması ve sınıflandırılması• Risk faktörlerinin gerçekleşme olasılığının ve

etkisinin değerlendirilmesi• Risk faktörlerinin ağırlığının belirlenmesi ve

ağırlıklı risk skorunun hesaplanması (1-9)• Risk faktörlerinin kategorize edilmesi (D-O-Y)• Risk faktörlerine göre denetlenecek faaliyetlerin

belirlenmesi ve önerilerin tespit edilerek raporlamanın yapılması

Risk Değerlendirmesinin Sonuçları

• Riski Kabul Et

• Riski Minimize Et

• Riski Reddet

Varlıkların korunması, görevlerin ayrılığı gibi kontrol politika ve

prosedürlerini uygula

Sigorta, Sözleşme, Fonlama Gibi uygulamalarla riskin transfer edilmesi

veya paylaşılması

Operasyonları çeşitlendirme


• Kurumun karşı karşıya olduğu tüm risklerin tanımlanması, önem sırasına konulması ve kabul edilebilir bir risk seviyesinin belirlenmesi

• Saptanan risklerin azaltılması için gereken önlemlerin belirlenmesi ve uygulanması

• Risk yönetim süreçlerinin denetim sonuçları hakkında üst yönetime düzenli rapor sunulması

• Risk yönetim süreçlerinin kurumun yapısına, kültürüne , büyüklüğüne, yönetim şekline ve hedeflerine uygun olması


• Risk yönetiminde kullanılan metotların faaliyet konusuna uygun olması

• Risk izleme faaliyetlerinin ve raporlamasının yeterliliğinin ve zamanlamasının uygun olması

• Kurumun risk yönetim çalışmalarının etkinliğinin sürekli izlenmesi ve değerlendirilmesi

gerekir.

Kurumsal Yönetim Çerçevesinde İç ve Dış Paydaşlar İçin Bir Güvence Sistemi Olarak Risk odaklı İç Denetim

Yönetim Kurulları

İşletme Yönetimi

Çalışanlar

Devlet

Rakipler

Borç Verenler

Bağımsız Denetim

Üçüncü Kişiler

RİSK ODAKLI İÇ DENETİMRİSK

YÖNETİMİDENETİM

Risk Odaklı İç Denetim Ne Sağlar?

• Stratejik faydalar:

- Risk yönetiminde tutarlı ve kapsamlı bir yaklaşım geliştirerek değişmekte olan koşullara daha kolay uyum sağlanması

- Risklerin daha iyi anlaşılması ve yönetimi

- İşletme stratejilerinin ön plana alınması ve uygulanmasına hız kazandırması

büyümek be riskleri fırsatlara çevirmek etkin bir iç denetim grubunun işletmenin risk yönetim yeteneğini optimize etmesine bağlıdır.

• Performans : Negatif riskler azaltılarak fırsat risklerinin artırılması sağlanır. Risklerin doru tanımlanması, mevcut yönetimin ve iç kontrol amacının en iyi performansa ulaşmasını sağlayacaktır.

Risk Odaklı İç Denetim Ne Sağlar?

• Kaynakların Optimizasyonu:

- Kaynakların en verimli şekilde kullanılabilecek ve gereksiz maliyetlerden kurtulabilme olanağı doğacaktır.

- Önceliklerle kaynaklar arasındaki uyum sağlanmış olacaktır.

• Beklenmeyenin Yönetimi:

- Beklenmeyen talepler ve zorluklar karşısında hedeflerden şaşmadan en doğru cevabı verebilme olanağı doğacaktır.

- İşletmeyi bekleyen riskleri ve onların işletmeye olan gerçek etkilerini bilmek mümkün olacaktır

Bilgi Teknolojileri (IT) Denetimi

IT denetimi , işletmelerin sahip olduklarbilgi teknolojisi kaynaklarının değerlenmesisürecidir. Bu noktada İT ile ilgili unsurlarıngüvenlik altında olduğu, bilgisayar verilerininbütünlüğünün ve doğruluğunun sağlanmışolduğu ve organizasyonel amaçlara ulaşılıpulaşılmadığı dikkatlice incelenmelidir.

Bilgi Teknolojileri Denetimini Uygulama nedenleri

• Sistemlerin kesintisiz çalışması

• Acil durumlar karşısında iş sürekliliğinin sağlanması

• Teknoloji risklerine karşı önlem almak

• Teknolojik alt yapının ihtiyaçları karşılamada optimum çözüm olup olmadığını ölçmek

• Bilgi işlem departmanının kişilere bağımlı olmaması

• Kullanıcıların sistem yada uygulama kaçaklarını görme ve bu kaçakları kötüye kullanma ihtimalini ortadan kaldırmak

• Müşteri ve kurum bilgilerinin güvenliği

Bilgi Teknolojilerinin Denetim Alanları

– Teknoloji süreçleri

– Uygulamalar ve modülleri

– Spesifik yazılımlar, donanımlar, alt yapı v.b.

– Belirlenmiş standartlara göre yapılan denetimler

– Spesifik konfigürasyonlar

– İş süreçleri ile uygulama uygunluğu

– Sahtekarlık denetimi

Bilgi Teknolojileri Denetiminin Sınıflandırılması

i.Yürütme kontrolleri: Yeni kurulan veya geliştirilen sistemler için programlanmış süreçlerin uygun olupolmadıklarını ve söz konusu sistemlerin kullanıcıların ihtiyaçlarına cevap verip vermediklerini testamacıyla tasarlanan kontrollerdir.

ii.Muhafaza kontrolleri: Yönetim tarafından Programlanmış süreçlerde yapılan değişikliklerin doğruolduğundan, uygun bir şekilde test edildiğinden, yetkili makamlarca onaylandığından ve doğru birşekilde yürütüldüğünden emin olmak amacıyla oluşturulmuş kontrollerdir.

iii.Bilgisayar Faaliyetlerinin kontrolleri: Bilgi işlem faaliyetleri için kesinlikle yetkililer tarafındanonaylanmış ve önceden programlanmış süreçlerin kullanılmasını ve bilgi dosyalarının en songüncelleştirilmiş biçimlerinin dikkate alınmasını sağlamak amacıyla oluşturulan kontrollerdir.

iv.Program Güvenlik kontrolleri: Programlar ve yazılımlar üzerinde politikalara ve standartlara uygunşekilde yetkilendirilmemiş ve onaylanmamış herhangi bir değişikliğin gerçekleşmesini önlemekamacıyla kullanılan kontrollerdir.

v.Bilgi Dosyalan Güvenlik kontrolleri: Bilgi dosyaları üzerinde yetkilendirilmemiş ve onaylanmamış hiçbirdeğişikliğin yapılmaması ve erişimin engellenmesi amacıyla kullanılan kontrollerdir.

vi.Sistem Program kontrolleri: Uygun sistem programının kullanılmakta ve yetkilendirilmemişdeğişikliklere karşı etkili bir biçimde korunmakta olduğu konularında güvence yaratmak üzereoluşturulmuş kontrol süreçleridir.

vii.Biçim değiştirme Kontrolleri: tüm bilgilerin eski sistemlerden yeni sistemlere dönüşüm sürecinin bütünolarak ve doğru bir şekilde tamamlanmasına yardımcı olmak için kullanılan kontrol teknikleridir.

Sürekli Denetim Yaklaşımı (Continious Auditing)

• Sürekli Denetim, fiziki belge olmaksızın, gerçek zamanlımuhasebe sistemi altında finansal tablo sunumunun ortayaçıkmasına temel olacak şekilde, elektronik denetim kanıtlarıtoplamaya yönelik sistematik bir süreçtir. Diğer bir deyişlesürekli denetim, işletme varlıklarının korunmasında, veribütünlüğünün korunması ve güvenilir finansal bilgininüretilmesi konusunda gerçek zamanlı muhasebenin etkinlik veetkililiğini tespit etmeye yönelik kanıtların toplanması vedeğerlendirilmesi sürecidir

Sürekli Denetim Yaklaşımı (Continious Auditing)

Sürekli denetim, denetim sürecini birkaç yönden etkiler:1. Denetçinin bilgisi, elektronik belgeleri, kayıtları ve verilerin

güvenilirliği ile uygunluğunu sağlayacak şekilde artmalıdır. 2. Denetçi, fiziki olmayan gerçek zamanlı muhasebe sisteminde

bilginin geçerliliğini ve güvenilirliğini sağlayacak şekilde ticari işlemlerin akışını ve ilişkili kontrol faaliyetlerini daha iyi anlamalıdır.

3. Denetçi, gerçek zamanlı muhasebe sisteminin iç kontrol faaliyetlerinin yeterliği ve etkililiği üzerinde öncelikli olarak odaklanan kontrol risk temelli denetim planını kullanmalı ve elektronik belge ve işlemlere ilişkin anlamlı testler üzerine daha az önem vermelidir.

Sürekli denetimin aşamaları

– Analitik prosedürü içeren denetimin planlanması,

– Kontrol testlerinin performansı ve kontrol risk değerini içeren gerçek zamanlı muhasebe sistemine ilişkin iç kontrol yapısının dikkate alınması,

– İşlemlere ilişkin ayrıntıların aralıklı ve sürekli testlerinin uygulanması,

– Yıl sonunda devam eden hesaplara ve analitik prosedürleri içeren toplam sonuçlara ilişkin testlerin uygulanması.

– Denetimin tamamlanması ve denetim raporunun yayınlanması.

Öz Değerleme Yaklaşımı (Control Self Assesment)

İç kontrol etkililiği sayesinde uygulanabilen vedeğerlendirilebilen bir süreçtir. Öz değerlemeyaklaşımında amaç, karşılaşılabilecek tüm işletmeamaçlarında uygun bir güvence sağlamaktır. Busürecin sorumluluğu bir organizasyondaki tümçalışanlar arasında paylaşılır. Öz değerlemeyaklaşımı tasarlanmış bir çevre içerisindeyürütülür ki bu süreç tamamen belgelenmiştir vesürekli gelişme için teşvik edici bir unsur olaraksürekli tekrarlanır.


• IIA ya göre, Öz değerleme yaklaşımı, kontrol kalitesinindeğerlendirilmesinde iç denetçiler ve yönetime gerekli olan iç kontrolbilgisinin ortaya çıkarıldığı bir süreçtir.

• Ayrıca, IIA ya göre, Öz değerleme yaklaşımı, iç denetim mesleğine değerkatan bir tekniktir. Öz değerleme yaklaşımı, doğru faaliyetlerinbelirlenmesi, ortaya çıkan risklerin tanımlanması, kontrolün dizaynı veyürütülmesi faaliyetleri ile iç denetim mesleğine değer katabilir.

• İç denetimde son yıllarda gittikçe kabul gören diğer bir yaklaşım biçimi otokontrol dür. İç denetçiler enstitüsünün uygulama tavsiyelerinden 2120 A1-2de “Kontrol süreçlerinin uygunluğunun değerlenmesinde Öz değerlemeyaklaşımının kullanımı” başlığını kullanarak, bu yöntemin kullanılmasınıönermektedir.


Öz değerleme yaklaşımı, genellikle herbölümünde öncelik görevi yapan kontrol odaklıbir seri workshop’lardan meydana gelir. Esasitibariyle üç tür Öz değerleme yaklaşımı vardır.

• Basitleştirilmiş Çalışma Grupları (Workshoplar)

• Soru Kağıtları (Anket)

• Yönetimin Ürettiği Analizler


• Bir işletmede Öz değerleme yaklaşımının etkin biçimde uygulanabilmesi içinbazı kurallara dikkat edilmesi gerekir. Öncelikle Öz değerleme sürecininişletmenin hangi kısımlarında uygulanacağına karar verilmesi gerekir. Bubelirlemede değerlendirmenin kapsama düzeyinin detayları da yer almalıdır.Bir işletmede öz değerleme uygulamaları, o işletmenin örgüt kültürününanalizi üzerine dayandırılmalı ve örgüt kültürüne uygun öz değerlemeyaklaşımı seçilmelidir.

• Ayrıca öz değerleme çalışmalarında ortaya çıkan risk değerlendirme ve diğersonuçların iç denetim eylemleri sırasında kullanılıp kullanılmayacağınınbelirlenmesi gerekir. Öz değerleme süreçlerinin başarısı için bu programlarıyürüteceklerin hangi araçları, teknikleri, dökümanı ve raporlarıkullanacakları belirlenmelidir. Öz değerleme mekanizmaları ile ilgili diğerönemli bir konu ise, bu süreçlerin iç denetim mi yoksa faaliyet yönetimitarafından mı yönlendirileceğinin belirlenmesidir.


Öz Değerleme yaklaşımının Maliyet etkinliğisağlama,İşletmenin tüm iç kontrol sisteminin yıllıkdeğerlendirmesini sağlama,Yöneticilerin önemli problemlerininçözülmesine yardımcı olma,Sadece denetçilerin değil,yöneticilerinde iyi anladığı fikir ve kavramları kullanması,Yönetici veçalışanların, işletme hedeflerine ulaşmada kontrolün önemikonusunda eğitilmesini sağlama gibi avantajlarının yanı sıra, Yüksekbeceri ve takım ruhu gerektirmesi, Denetçilerde değişim vizyonugerektirmesi, Yönetim ve çalışanlarla bireysel çalışmayıgerektirmesi, Önemli planlama ve koordinasyon gerektirmesi,İşletmenin iç kontrol sisteminin sadece üst düzeyde incelenmesinisağlaması gibi dezavantajları vardır.

Business

Denetim - Güncel Yaklaşımlar