Kamuda İç Denetim ve Risk Yönetimi

advertisement
Kamuda İç Denetim ve
Risk Yönetimi
YAKUP AVCI
İÇ DENETÇİ
10.04.2012
Risk tanımı
“Amaca ulaşmayı engelleyebilecek bir olayın
ortaya çıkma olasılığı; tehlike”
Risk “etki” ve “olasılık” kullanılarak ölçülebilir
Riske yabancı değiliz

Değişen, belirsiz, karmaşık ve istikrarsız bir dünyada
yaşıyoruz






Çevresel riskler (küresel ısınma, doğal felaketler)
Sağlık riski (domuz gribi, AIDS)
Güvenlik riski (Yol kazaları, iş kazaları)
Kişisel riskler (sokak suçları, fakirlik)
İş riski (İflas)
İtibar riski (güven sarsıcı davranışlar)
Problemleri gün be gün takip edip çözüm
önerileri geliştirerek risklerden
kaçınılabilir.

Risk günlük hayatın bir parçasıdır

Her sabah işe zamanında gitmek için hangi riskleri
yönetiyoruz?
Zamanında uyanamama
Otobüsü kaçırma
Trafik sıkışıklığı
Yol yapımı
Çocuğumuzun hastalanması
………..
Risk yönetimi nedir?

Risklerin kurum için tehlikeye dönüşmeden
belirlenmesini ve en düşük düzeye çekilmesini
amaçlayan bir sistematiktir. Risk yönetiminin
temel hedefi, karar verme mekanizmaları için
riskleri görünür ve ölçülebilir hale getirmek,
sübjektifligi azaltmaktır.




Risklerinizi
Risklerinizi
Risklerinizi
Risklerinizi
tanımlayın
değerlendirin
önceliklendirin
yönetin
Riskleri tanımlama

Korumaya çalıştığımız şey ne?






Kendimiz?
Yöneticimiz?
Çalışanlarımız?
İtibarımız?
Bütçemiz?
Paydaşlarımız??
Risklerimiz perspektifimize bağlıdır
Risk kategorileri


Kuruma uygun olarak riskleri belli kategorilere
ayırmak riskin tespiti ve analizini kolaylaştırır.
Örneğin;








Stratejik
Operasyonel
İtibar
Finansal
Yasal/Uygunluk
Bilgi Sistemleri
Raporlamalar
Sağlık ve güvenlik
Risk kategorileri

Stratejik yönetim denetimde odaklanılması
gereken en önemli alanlardan biridir. Bu nedenle
kurumun yönetim yapısının, karar alma
süreçlerinin denetçilerce çok iyi anlaşılması
gerekir.
“Eğer kurum içinde aşağılarda bir şey yanlış
gidiyorsa bunun sebebi yukarıda birşeylerin
yanlış gitmesidir.”
Örnek olay

Uyuşturucu kaçakçılarının riskleri
-Örgüt içi anlaşmazlıklar
-Gümrük idaresinde uygulanan yeni
teknikler
-Örgüt üyelerinin suç kayıtları
-Detaylı inceleme gerektiren belge vb.
eksikliği
-Yüksek miktarda uyuşturucu sevkiyatı
………

Gümrük idaresinin riskleri
-Uyuşturucuyu tespit edecek yeterli
ekipman ve bilgiye sahip olamama
-İhbarcılar için yeterli ödül sistemi
olmaması
-Rüşvet eğilimleri
-Personel yetersizliği
………
Risk değerlendirme
Riski nasıl ölçeriz?


Olasılık
Etki
Risk nasıl ölçülür?
etki
Kritik noktalar
-Mali riskin etkisini ölçmek
nispeten kolaydır
-Diğerleri??
-itibar kaybı
-müşteri tatmini
…
x
Kritik noktalar
-Gelecekle ilgili hiçbir şey kesin değildir. Ama
bazı şeylerin gerçekleşmesi daha muhtemeldir
-Zamanımızı ve enerjimizi gerçekleşme olasılığı
daha yüksek olan şeyler için kullanmalıyız
-Riskler hakkında ne kadar çok bilgi sahibi
olursak yapacaklarımız konusunda o kadar net
oluruz.
Risk Önceliklendirmesi
olasılık
yüksek
orta
düşük
Etki
Risk yönetim stratejileri (4 “T” kuralı)

Kabul et (Tolerate)

Kontrol geliştir (Treat)

Transfer et (Transfer)
3K 1T

Kaçın (Terminate)
Kontrol faaliyetleri

Önleyici kontroller


Saptayıcı kontroller


İşlemden önce/işlem sırasında esnasında uygulanan
kontroller (Risk oluşmadan engellenir)
İşlemler tamamlandıktan sonra uygulanan kontroller. (Risk
saptanır.)
Yönlendirici kontroller
İşlemden önce oluşturulan daha ziyade
iş yapma tarzı ve hedeflere yönelik kontroller.
(etik kurallar, kar hedefleri)

Risk Yönetim süreci
hedefler
Kurumun stratejik amaçları
Risk değerlendirmesi
Risk analizi
Risk tespiti
Risk tanımı
Risk tahmini
riskler
Risk değerleme
Risk raporlama
Tehditler ve Fırsatlar
Karar
kontroller
Risk önlemleri
Artık risk raporlama
İzleme
Risk analizi
tamamlandıktan
sonra risk
değerlendirme
aşaması, riskin
kurum açısından
önemi ve her bir
riskin üstlenilip
üstlenilmeyeceği
ve riski bertaraf
etmek için
alınacak önlemler
konularında
karar
verilebilmek için
gereklidir.
Risk tipleri
Yapısal
risk
Riski azaltmak için herhangi bir girişimin olmadığı durumdaki
doğal risk
Artık
risk
Riskin azaltılması için gerekli önlemlerin alındığı durumda
kaçınılmaz olarak kalan risk
Kontrol
riski
İç kontrol sisteminin etkin olmamasından kaynaklanan risk
Etkili risk yönetiminin faydaları

Yönetimin gerçekten önemli işlere odaklanmasını sağlar

Krizlere karşı daha kısa zamanda müdahale edilmesini
sağlar

Daha az sürprizle karşılaşılmasını sağlar

Doğru işlerin doğru yoldan yapılmasını sağlar

Kurumsal amaçlara ulaşılmasında büyük etkisi vardır

Genel düzeyde kontrol maliyetlerini düşürür

Risk alma, karar alma süreçlerinde yönetime önemli bilgiler
sağlar
……

Risk Yönetiminde İç Denetimin Rolü
Risk yönetim standardı (2110)
“İç denetim faaliyeti; önemli risk
maruziyetlerini tespit edip değerlendirerek
kuruma yardımcı olmalıdır.”
Bunu nasıl yapabiliriz?



Bağımsız görev olarak, verilerin geçerliliğini denetlemek ve
risklerin doğru bir şekilde tespit edilip değerlendirildiğini
görmek (eğer bir risk yönetim sistemi varsa)
Yönetimle ortaklaşa çalışıp onlara yardımcı olmak
Denetim planına ve saha çalışmasında bu konuya yer vermek
Bunu neden yapmalıyız?


Kurumun riskleri sürekli değiştiği için gerçek zamanlı
yaklaşabilmek gerekir
İç denetimin kendi risk kütüğünü geliştirmek; bunu yaparken
kurum için önemli olan şeylere odaklanabiliriz
Risk yönetim standardı (2110)
“İç denetim faaliyeti; risk yönetimi ve kontrol
sistemlerinin iyileştirilmesine katkıda
bulunarak kuruma yardımcı olmalıdır.”
Bunu nasıl yapabiliriz?



Alışılmış denetim görevlendirmeleri yoluyla
Kontrol Özdeğerlendirme gibi daha az alışılmış metodların
kullanımı yoluyla
Risk ve kontrol konusunda danışmanlık ve eğitim hizmeti
vermek yoluyla
Bunu neden yapmalıyız?


Finansal ve operasyonel bilgilerin bütünlüğü ve güvenilirliği,
opeasyonların etkililiği ve verimliliği, varlıkları güvenliği, yasal
düzenlemelere uygunluk konularında güvence verme görevimizi tam
olarak yapabilmek için
Risklerin yönetimi konusunda yönetime yardımcı olarak kurumsal
amaçların başarmasına katkı sağlamak
İç denetimin rolü
Kurumun amaçları
Kurumsal risk yönetimi
Risklerin amaçlara
etkisi
Kontroller
Kontrollerin
etkinliği ve
yeterliliği
konusunda
güvence kazanma
İç denetimin rolü
Denetim ihtiyaçlarını
belirleme
Denetim stratejisi &
periyodik planlar
Risk yön. ve kontrollerin
değerlendirilmesi
Bireysel görevlendirme
Risk yön. + yönetişim +
kontrollerle ilgili yıllık
rapor (güvence sağlama)
Kurumsal Risk Yönetiminde İç
Denetimin Rolü
Risk yönetiminde iç denetçinin temel
rolü
-Risk yönetim süreçlerine güvence verme
-Risklerin doğru bir şekilde değerlendirildiğine
güvence verme
-Risk Yönetim süreçlerini değerlendirme
-Temel risklerin raporlanmasını değerlendirme
-Temel risklerin yönetimini gözden geçirme
Risk yönetiminde iç denetçinin yasal
olarak yapabilecekleri
-Risklerin tespiti ve değerlendirmesine yardımcı
olma
-Risklerle başa çıkma konusunda koçluk yapma
-Kurumsal risk yönetimi çalışmalarının
koordinasyonu
-Risklerle ilgili konsolide raporlama yapma
-Risk yönetim çerçevesi geliştirme
-Risk yönetim sistemi kurulmasını
desteklemek/savunmak
-Yönetim kurulunun onayına sunmak üzere risk
yönetim stratejisi geliştirmek
Risk yönetiminde iç denetçinin
üstlenemeyeceği roller
-Risk iştahını belirleme
-Risk yönetim süreçleri empoze etme
-Risklerle ilgili yönetim yerine geçerek
güvence verme
-Riske karşı önlemler konusunda karar
alma
-Yönetim adına risk önlemlerini uygulama
-Risk yönetimi ile ilgili hesap verme
sorumluluğu üstlenme
Risk değerlendirmesi
Her kurumun risk iştahı
farklıdır. Denetçi risk iştahının
belirlenmesine karışmaz. İç
denetçinin temel görevi risk
yönetiminin etkinliği
konusunda yönetime güvence
hizmeti sağlamaktır.
Risk odaklı yaklaşım

Görev planlaması


Kurumun/birimin amaçlarının ve faaliyetlerin kavranması, önemli yapısal ve artık risklerin
değerlendirilmesi, yönetimin risk değerlendirmelerine güveniliyor mu sorusuna cevap aranması, risk
iştahı hakkında bilgi edinilmesi
Sistemin analizi
Süreç analizi; kritik noktaların belirlenmesi, sistemi maruz olduğu çevresel etkilerle birlikte
değerlendirme

Kontrollerin değerlendirilmesi


Kontrollerin test edilmesi


Önemli risklerin tanımlanası ve değerlendirilmesi; yönetimin risk değerlendirme sistemini ve riski
azaltıcı prosedürleri anlama ve değerlendirme,
Risklere karşı geliştirilen kontrollerin etkinliğinin test edilmesi ve sonuçta kurumun maruz olduğu
potansiyel ve mevcut riskleri ortaya koyma
Bulguların değerlendirilmesi
Denetim görüşüne esas olacak bulgularla ilgili değerlendirme yapılması

Raporlama
Önceki aşamaları özetleyen, kritik konuları öne çıkaran bir raporlama yapılması ve rapor içinde
önerilere yer verilmesi

İzleme
Denetçi Soruları
Kontrolü değerlendirme
Kontroller var mı?
Uygun mu?
Görev içi yeterli mi ?
Kontrollerin uygulanması
Kontroller uygulandı mı ?
Kontrollere uyulmuş mu ?
Kontroller etkili mi ?

Nasıl bir denetim raporu??












Eksiksiz, hatasız ve dikkatlice hazırlanmış
Tarafsız
Denetimin amacına uygun
Açık
Özlü
Basit ve anlaşılır
Yapıcı
Sunulan için hazırlanmış
Gerçekçi tavsiyeler içeren
İhtiyacı olan herkese sunulan
Hatalara değil gelişmelere odaklanmış
Zamanında hazırlanmış
Denetim raporunda yer alması gerekli
hususlar







Denetlenecek alana ilişkin bilgiler ve
denetimin amacı
Kapsam
Riskler, kontroller
Bulgular; risk yönetiminin etkinliği,
zayıflıklar ve etkinsizlikler, fazla/gereksiz
kontroller, savurganlıklar
Denetim görüşü
Tavsiyeler
Eylem planı*
İngiltere’de nihai raporda üzerinde uzlaşmaya varılan eylemlerden
bahsedilmekte ama “eylem planı” başlığı altında bir bölüm
bulunmamaktadır.
Güvence ve tavsiyeler
Güvence
Tavsiyeler
Yeterli güvence
Tavsiyelere uyulması
iyi olur
Kısmi güvence
Tavsiyelere uyulması
önemle arzulanır
Güvence verilemiyor
Tavsiyeler kritik
önemi haiz
Sistemi temelinden bozan bir durum vardır. Finansal
yapı veya kurumun itibarı ile ilgili olumsuzluklar örnek
gösterilebilir. Kurum için çok büyük finansal maliyetler
söz konusu olabilir.
Denetim raporu kime sunulur?





Denetim komitesi
Üst yönetim
Sistemden sorumlu yönetici
Stratejik planlama departmanı
IT yöneticisi
İngiltere’de raporların kimlere sunulacağına ilişkin kesin bir belirleme
yapan rehber bulunmuyor.
Denetim raporu nasıl sunulmalı?

Denetim komitesi- Önemli bulgular ve uygulama
eksiklikleri ayrıca özetlenir

Üst yönetim- Tüm raporu okuyacak zamanı yoktur.
Yönetici özeti hazırlanır. Önemli alanlar ve uzlaşılan
noktalar vurgulanır- ayrıca sunum hazırlanabilir

Sistemden sorumlu yönetici- Stratejik
planlama departmanı- Raporu tüm detaylarıyla
(bulgular, tavsiyeler, eylem planı…) anlaması gerekir.
Herhangi bir özet hazırlamaya gerek yoktur.
MINISTRY OF REVENUE
AND CUSTOMS
Proactive Internal Auditors
AUDITABLE AREAS:






COLLECTION OF TRADE STATISTICS
COLLECTION OF DIRECT TAXES
FROM EMPLOYEES,SELF EMPLOYEES
AND COMPANIES
COLLECTION OF VAT
COLLECTION OF IMPORT TAXES
INFORMATION SECURITY
CUSTOMER (TAXPAYER)
REGISTRATION SYSTEM
Proactive Internal Auditors
AUDITABLE AREAS:






COLLECTION OF TAX RETURN
COLLECTION OF TAX PAYMENT
SYSTEM
TAX ACCOUNTING SYSTEM
FRAUD AND IRREGULARITY
INVESTIGATION SYSTEM
DEBT COLLECTION SYSTEM
DEBT COLLECTION AUTOMATION
PROJECT
Proactive Internal Auditors
AUDITABLE AREAS:





SUPPORT AND MAINTENANCE
SERVICES SYSTEM
TRANSITION TO ASSET ACCOUNTING
PROJECT
ASSET MANAGEMENT SYSTEM
CONTINIOUS TAX RETURN
MONITORING SYSTEM
ONSIDE TAX INSPECTION SYSTEM
Proactive Internal Auditors
AUDITABLE AREAS:







BUDGET SYSTEM , STRATEGIC
PLANNING AND RESOURCING
SYSTEM
RECRUITMENT SYSTEM
EMPLOYMENT CONTRACTS
MANAGEMENT SYSTEM
PAYROLL SYSTEM
TRAINING AND EDUCATION SYSTEM
HEALTH AND SAFETY SYSTEM
BUSSINESS CONTINUITY PLANNING
PROJECT
Proactive Internal Auditors
AUDITABLE AREAS:







INTEGRATED REVENUE INFORMATION
SYSTEM
CALL CENTRE
COMPLAINTS AND DISSATISFACTION
EVALUATION SYSTEM
RISK MANAGEMENT SYSTEM
PROCUREMENT SYSTEM
CASH MANAGEMENT SYSTEM
COMBATTING SMUGGLING AND MONEY
LAUNDERING
Proactive Internal Auditors
Download