Add to collection(s) Add to saved
  1. İşletme
  2. Yönetim

turkıye ıc denetım cd.fh11

advertisement 
Uygulama Önerisi 2010-2:
‹ç Denetim Planlamas›nda Risk Yönetim Süreçlerinin
Kullan›lmas›
1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin
önemli bir parçasıdır. Birçok kurum, kurumun yönetimiyle tam olarak
bütünleşmesi gereken tutarlı ve kapsamlı risk yönetim yaklaşımlarını
uygulamaya koyma yönünde adımlar atmaktadır. Bu yaklaşımlar şirket, işlev
ve iş birimi olmak üzere, kuruluşların tüm seviyelerinde uygulanmaktadır.
Yönetim, genel olarak, bir risk yönetim çerçevesini, değerlendirmenin
yürütülmesi ve değerlendirme sonuçlarının dokümantasyonunda kullanır.
2. Etkili bir risk yönetim süreci, önemli dahili risklerle ilgili anahtar kontrollerin
teşhis edilmesinde yardımcı olabilir. Kurumsal Risk Yönetimi (KRY) yaygın
kullanılan bir terimdir. Treadway Komisyonunun Sponsor Kurumlar Komitesi
(COSO), KRY'yi şöyle tanımlar: "Bir kurumun yönetim kurulunun, yönetiminin
ve diğer personelinin üzerinde etkili olduğu, strateji tespitinde ve kurumun
tümüne uygulanan, kurumu etkileyecek muhtemel olayları teşhis etmek ve
risk iştahı içindeki riski yönetmek ve de kurumun hedeflerine ulaşma konusunda
makul bir güvence sağlamak için tasarlanmış bir süreç". Kontrollerin hayata
geçirilmesi, yönetimin, risk iştahı içinde kalacak biçimde, riski yönetmek
için kullanabileceği yaygın bir yöntemdir. İç denetçiler, anahtar kontrolleri
denetlerler ve önemli risklerin yönetimi konusunda güvence sağlarlar.
‹lgili Ana Standart
2010 - Planlama
‹ç Denetim Yöneticisi, kurumun
hedeflerine uygun olarak, iç
denetim faaliyetinin önceliklerini
belirleyen risk esasl› planlar
yapmak zorundad›r.
Yorum:
‹ç Denetim Yöneticisi risk esasl›
plan yapmakla sorumludur. ‹ç
Denetim Yöneticisi, kurumun farkl›
faaliyetleri veya bölümleri için
yönetim taraf›ndan belirlenen risk
ifltah› seviyelerinin kullan›lmas› da
dahil kurumun risk yönetim
çerçevesini dikkate al›r. E¤er bir
çerçeve mevcut de¤ilse, ‹ç
Denetim Yöneticisi, üst yönetim ve
yönetim kuruluna dan›flt›ktan sonra
kendi risk de¤erlendirmesini
kullan›r.
3. IIA'nın Uluslararası İç Denetim Meslekî Uygulama Standartları, kontrolü
şöyle tanımlamaktadır: "Yönetim, yönetim kurulu ve diğer taraflarca, riski
yönetmek ve hedeflenen amaçlara ulaşma ihtimalini arttırmak için alınan
önlem. Yönetim, hedef ve amaçlara ulaşılacağına dair makul güvence sağlamak
için yeterli önlemlerin uygulanışını planlar, organize eder ve yönetir."
4. Dahilî (doğal) risk ve artık risk (bakiye risk olarak da bilinir) iki temel risk
kavramıdır. Finansal/dış denetçiler, ilgili azaltıcı kontroller olmadığı varsayımı
ile, bilgi veya verilerin önemli bir hatâlı gösterime (mali tablolarda) hassasiyeti
olarak özetlenebilecek dahili risk kavramını uzun zamandır kullanmaktadırlar.
Uygulama Önerileri
© 2010 The Institute of Internal Auditors
1
Uygulama Önerisi 2010-2:
Artık risk, Standartlarda şöyle tanımlanmaktadır: "Yönetimin, olumsuz bir
olayın etki ve ihtimalini azaltmak amacıyla, riski karşılamaya yönelik kontrol
faaliyetleri de dahil, aldığı tedbirlerden sonra kalan risktir." Artık risk
genellikle, "mevcut kontroller ve kontrol sistemleriyle yönetilen risk" olarak
da tanımlanır.
5. Anahtar kontroller, aksi halde kabul edilemeyecek bir riski, kabul edilebilir
bir seviyeye indirmeye yardımcı olan kontroller veya kontrol grubu olarak
tanımlanabilir. Kontroller, riskleri yönetmek için var olan kurumsal süreçler
olarak kabul edilebilir. Etkili bir risk yönetimi sürecinde (uygun dokümantasyon
ile), anahtar kontroller, önemli risklerin derecelendirilmesini azaltmada itibar
edilen bütün riskten etkilenen sistemlerdeki dahili ve artık riskler arasındaki
farkı ayırt etmede kolaylıkla kullanılabilir. Eğer, dahilî risk için bir
derecelendirme yapılmamışsa, iç denetçi dahili risk derecelendirmesi için bir
tahmin yapar. Anahtar kontrolleri teşhis ederken (ve iç denetçinin, risk yönetim
sürecinin olgunlaştığı ve güvenilir olduğu sonucuna vardığını varsayarak),
iç denetçi şunlara bakacaktır:
- Dahilî riskten artık riske önemli bir azalmanın olduğu münferit risk
faktörleri (özellikle dahili risk çok yüksek ise). Bu, kurum için önemli
olan kontrolleri ortaya koyar.
- Çok sayıdaki riski azaltmaya yarayan kontroller.
6. İç denetim planlaması, kurumsal risk yönetim sürecinden yararlanmaya
ihtiyaç duyar. Bir görevin planlanmasında iç denetçi, faaliyetin önemli
risklerini ve yönetimin riski kabul edilir bir seviyeye indirmek için kullandığı
araçları dikkate alır. İç denetçi, iç denetim faaliyetinin planını geliştirirken
ve iç denetim kaynaklarını tahsis etmede öncelikleri belirlerken, risk
değerlendirme tekniklerini kullanır. Risk değerlendirme, denetlenebilir
birimleri araştırmada ve gözden geçirme için iç denetim faaliyetinin planları
içine alınacak en büyük riske sahip alanları seçmede kullanılır.
2
Uluslararas› Meslekî Uygulama Çerçevesi
© 2010 The Institute of Internal Auditors
Uygulama Önerisi 2010-2:
7. İç denetçiler, her risk kategorisini ve kurumdaki KRY sürecini (iş yeri sağlık
ve güvenliğinin iç denetimi, çevresel denetim veya karmaşık finansal araçların
denetimi gibi) gözden geçirme ehliyetine sahip olmayabilirler. İç denetim
yöneticisi (İDY), özel uzmanlık vasfına sahip iç denetçilerin veya dış hizmet
sağlayıcılarının uygun şekilde kullanılmasını temin eder.
8. Risk yönetim süreci ve sistemleri, dünyada farklı şekillerde kurulmuştur.
Kurumun risk yönetimiyle ilgili olgunluk seviyeleri, kurumdan kuruma
farklılık gösterir. Kurumların merkezî bir risk yönetimi faaliyetinin olduğu
durumlarda, bu faaliyetin rolleri arasında, iç kontrol yapısının devam eden
gözden geçirmesini de dikkate alarak yönetim ile koordinasyonu sağlamak
ve yapıyı, değişen risk iştahına göre güncellemek bulunmaktadır. Dünyanın
değişik yerlerinde kullanılmakta olan risk yönetim süreçleri farklı mantık,
farklı yapı ve terminolojiye sahip olabilir. Bu yüzden, iç denetçiler, kurumun
risk yönetimi sürecinin bir değerlendirmesini yapar ve iç denetim faaliyet
planının gelişmesinde ve münferit iç denetim görevlerinin planlanmasında
hangi kısımların kullanılabileceğini belirler.
9. İç denetim planının geliştirilmesinde iç denetçilerin dikkate aldığı unsurlar
şunlardır:
• Dahilî riskler - Belirlenip değerlendirildiler mi?
• Artık riskler - Belirlenip değerlendirildiler mi?
• Azaltıcı kontroller, âcil durum planları ve izleme faaliyetleri - Münferit
olaylar ve/veya risklerle bağlantıları kurulmuş mu?
• Risk kayıtları (risk registers) - Sistematik mi, tam mı ve doğru mu?
• Dokümantasyon - Riskler ve faaliyetler belgelenmiş mi?
Bunun yanında iç denetçi, diğer güvence sağlayıcılar ile koordinasyonu sağlar
ve bunların işlerini dayanak almayı bir plan dahilinde dikkate alır. Bkz: Uygulama
Önerisi 2050-2: Güvence Haritaları.
Uygulama Önerileri
© 2010 The Institute of Internal Auditors
3
Uygulama Önerisi 2010-2:
10. İç denetim yönetmeliği normal şartlarda, iç denetim faaliyetinin, dahili ve
artık risk dahil olmak üzere, yüksek risk alanlarına yoğunlaşmasını gerektirir.
İç denetim faaliyetinin, yüksek dahilî risk ve yüksek artık risk alanları ile
kurumun en önem verdiği anahtar kontrol sistemlerini teşhis etmesi gerekir.
Eğer iç denetim faaliyeti kabul edilemez artık risk alanlarını teşhis ederse,
yönetimin, riske müdahale edilebilmesi için bilgilendirilmesi gerekir. İç
denetçi, stratejik denetim planlama sürecini yönetiyor olmanın bir sonucu
olarak, iç denetim faaliyet planına dahil edilmek üzere, farklı faaliyet türlerini
teşhis edebilecektir. Bu faaliyetler şunlardır:
• Kontrollerin gözden geçirilmesi/ güvence faaliyetleri - bu faaliyetlerde,
iç denetçi, kontrol sistemlerinin yeterliliğini ve verimliliğini gözden
geçirir, kontrollerin işlediği ve risklerin etkili şekilde yönetildiği konusunda
güvence sağlar.
• Araştırma faaliyetleri - bu faaliyetlerde kurum yönetimi, bir iş faaliyetiyle
ilgili kontroller veya teşhis edilen risk alanında kabul edilemeyecek
seviyede bir belirsizlik yaşamaktadır ve iç denetçi, artık riskin daha iyi
anlaşılması için gerekli prosedürleri uygular.
• Danışmanlık faaliyetleri - bu faaliyetlerde, iç denetçi kurumsal yönetime,
kabul edilemez mevcut riskleri en aza indirmek amacıyla kontrol
sistemlerinin geliştirilmesi konusunda tavsiyelerde bulunur.
İç denetçiler ayrıca, riski verimsiz şekilde azaltan, gereksiz, fazla, ilgisiz, aşırı
veya karmaşık kontrolleri teşhis etmeye de çalışır. Bu gibi durumlarda, kontrolün
maliyeti, elde edilecek faydadan daha fazla olabilir ve bu yüzden kontrolün
tasarımında verimliliği arttırma fırsatları mevcuttur.
11. İlgili risklerin teşhis edilmesini güvence altına almak için, risk teşhisine
yönelik kullanılan yaklaşım, sistematiktir ve çok açık bir şekilde kayıtlı
hâle getirilmiştir. Yaklaşımın kayıtlı hâle getirilmesi (dokümantasyonu),
küçük kurumlarda hesap tablosu kullanımından, büyük kurumlarda özel
4
Uluslararas› Meslekî Uygulama Çerçevesi
© 2010 The Institute of Internal Auditors
Uygulama Önerisi 2010-2:
yazılım kullanmaya kadar değişik şekillerde yapılabilir. Burada dikkat
edilmesi gereken husus, risk yönetim çerçevesinin eksiksiz bir şekilde
dokümantasyonudur.
12. Bir kurumda, risk yönetiminin dokümantasyonu, risk yönetim sürecinin
stratejik seviyesinin altında farklı seviyelerde olabilir. Birçok kurum, stratejik
seviyenin altındaki riskleri belgelendiren risk kütükleri geliştirmiştir ve
belli bir konudaki önemli risklerin, ilgili dahili ve artık risklerin, anahtar
kontrollerin ve riski azaltıcı unsurların dökümantasyonunu sağlamaktadır.
Böylece, risk kütüklerinde belirtilen "risk sınıfları" ve "riskli tarafları"
arasındaki doğrudan bağlantıları ve, uygulanabilen yerlerde, iç denetim
faaliyeti marifetiyle kayıtlı hâle getirilmiş denetim evreninde halihazırda
mevcut olan konuları teşhis etmek için bir hizalama çalışması yapılabilir.
13. Bazı kurumlar, birçok yüksek (veya daha yüksek) dahili risk alanları teşhis
edebilir. Bu riskler, iç denetim faaliyetinin dikkatini çekebilse de, hepsinin
gözden geçirilmesi her zaman mümkün değildir. Risk kütüğünde belli alanda
dahili risk için yüksek (veya daha fazlası) bir sıralama (ranking) olduğu
gözüküyorsa, artık risk büyük oranda olduğu gibi kalırsa ve yönetim hiçbir
önlem almazsa veya iç denetim faaliyeti planlaması yapılmazsa, İç Denetim
Yöneticisi (İDY), yönetim kuruluna bu alanları ayrı bir şekilde, risk analizinin
ayrıntılarıyla ve iç kontrolün eksik veya etkisiz olma sebepleriyle rapor
eder.
14. Düşük risk seviyeli iş birimi veya şube denetimleri, onları da denetim
kapsamına almak ve risklerinin değişmediğini teyit etmek için, iç denetim
faaliyeti planına periyodik olarak alınmalıdır. İç denetim faaliyeti aynı
zamanda henüz denetlenmemiş açık riskleri önceliklendirmek için bir yöntem
de belirler.
Uygulama Önerileri
© 2010 The Institute of Internal Auditors
5
Uygulama Önerisi 2010-2:
15. İç denetim faaliyet planı normal şartlarda şu hususlar üzerine yoğunlaşacaktır:
• Yönetimin önlem almasını gerektiren kabul edilmeyen mevcut riskler.
Bunlar, üst yönetiminin âcilen denetlenmesini istediği, asgarî seviyedeki
anahtar kontrollerinin veya riski azaltıcı unsurların olduğu alanlar olacaktır.
• Kurumun en fazla bel bağladığı kontrol sistemleri.
• Dahili ve artık risk arasındaki farkın büyük olduğu alanlar.
• Dahili riskin çok yüksek olduğu alanlar.
16. Münferit iç denetimler planlanırken, iç denetçi, gözden geçirilen alanla
ilgili riskleri belirler ve değerlendirmesini yapar.
***
Yay›n: Temmuz 2009
6
Uluslararas› Meslekî Uygulama Çerçevesi
© 2010 The Institute of Internal Auditors
Related documents
kamu malî yönetimi ve kontrol kanunu ile bazı kanun ve kanun
kamu malî yönetimi ve kontrol kanunu ile bazı kanun ve kanun
KAMU MALÎ YÖNETİMİ VE KONTROL KANUNU İÇ DENETİMLE
KAMU MALÎ YÖNETİMİ VE KONTROL KANUNU İÇ DENETİMLE
turkıye ıc denetım cd.fh11
turkıye ıc denetım cd.fh11
SMMM Hasan Önder GÜVEN 1983 yılı İzmir doğumlu, İlk ve Orta
SMMM Hasan Önder GÜVEN 1983 yılı İzmir doğumlu, İlk ve Orta
turkıye ıc denetım cd.fh11
turkıye ıc denetım cd.fh11
fraud ımplementatıon
fraud ımplementatıon
DM‑20 - Olympus
DM‑20 - Olympus
Kamuda İç Denetim ve Risk Yönetimi
Kamuda İç Denetim ve Risk Yönetimi
Kamu İç Denetçi Sertifikasının Kullanılabilirliğine İlişkin Esas ve
Kamu İç Denetçi Sertifikasının Kullanılabilirliğine İlişkin Esas ve
S9 GNSS Alıcısı - Doğa Elektronik
S9 GNSS Alıcısı - Doğa Elektronik
İÇ KONTROL
İÇ KONTROL
Ticari Kalite Denetim Yeterlik Belgesi Verilmesinde Uygulanacak
Ticari Kalite Denetim Yeterlik Belgesi Verilmesinde Uygulanacak
Bağımsız Denetçiler İçin Sürekli Eğitim Tebliği Taslak Metni
Bağımsız Denetçiler İçin Sürekli Eğitim Tebliği Taslak Metni
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Hizmet Sözleşmesi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Hizmet Sözleşmesi
**letme bölümü mezununlar*ndan beklenenler
**letme bölümü mezununlar*ndan beklenenler
DOÇENT KADROLARINA BAŞVURU ŞARTLARI Doçent kadroları
DOÇENT KADROLARINA BAŞVURU ŞARTLARI Doçent kadroları
vii İÇİNDEKİLER ÖNSÖZ .........................................................
vii İÇİNDEKİLER ÖNSÖZ .........................................................
2006 yılına ait faaliyet raporu
2006 yılına ait faaliyet raporu
Uygulama Önerisi 1000-1 - Türkiye İç Denetim Enstitüsü
Uygulama Önerisi 1000-1 - Türkiye İç Denetim Enstitüsü
Uygunluk Aşırı Yüklemesİ: Canavarı Terbİye Etmenİn 5
Uygunluk Aşırı Yüklemesİ: Canavarı Terbİye Etmenİn 5
Ünite 1-4 Ders Notu
Ünite 1-4 Ders Notu
tc marmara üniversitesi sosyal bilimler enstitüsü işletme anabilim
tc marmara üniversitesi sosyal bilimler enstitüsü işletme anabilim
Download
advertisement