Kamuda İç Denetim ve Risk Yönetimi YAKUP AVCI İÇ DENETÇİ 10.04.2012 Risk tanımı “Amaca ulaşmayı engelleyebilecek bir olayın ortaya çıkma olasılığı; tehlike” Risk “etki” ve “olasılık” kullanılarak ölçülebilir Riske yabancı değiliz Değişen, belirsiz, karmaşık ve istikrarsız bir dünyada yaşıyoruz Çevresel riskler (küresel ısınma, doğal felaketler) Sağlık riski (domuz gribi, AIDS) Güvenlik riski (Yol kazaları, iş kazaları) Kişisel riskler (sokak suçları, fakirlik) İş riski (İflas) İtibar riski (güven sarsıcı davranışlar) Problemleri gün be gün takip edip çözüm önerileri geliştirerek risklerden kaçınılabilir. Risk günlük hayatın bir parçasıdır Her sabah işe zamanında gitmek için hangi riskleri yönetiyoruz? Zamanında uyanamama Otobüsü kaçırma Trafik sıkışıklığı Yol yapımı Çocuğumuzun hastalanması ……….. Risk yönetimi nedir? Risklerin kurum için tehlikeye dönüşmeden belirlenmesini ve en düşük düzeye çekilmesini amaçlayan bir sistematiktir. Risk yönetiminin temel hedefi, karar verme mekanizmaları için riskleri görünür ve ölçülebilir hale getirmek, sübjektifligi azaltmaktır. Risklerinizi Risklerinizi Risklerinizi Risklerinizi tanımlayın değerlendirin önceliklendirin yönetin Riskleri tanımlama Korumaya çalıştığımız şey ne? Kendimiz? Yöneticimiz? Çalışanlarımız? İtibarımız? Bütçemiz? Paydaşlarımız?? Risklerimiz perspektifimize bağlıdır Risk kategorileri Kuruma uygun olarak riskleri belli kategorilere ayırmak riskin tespiti ve analizini kolaylaştırır. Örneğin; Stratejik Operasyonel İtibar Finansal Yasal/Uygunluk Bilgi Sistemleri Raporlamalar Sağlık ve güvenlik Risk kategorileri Stratejik yönetim denetimde odaklanılması gereken en önemli alanlardan biridir. Bu nedenle kurumun yönetim yapısının, karar alma süreçlerinin denetçilerce çok iyi anlaşılması gerekir. “Eğer kurum içinde aşağılarda bir şey yanlış gidiyorsa bunun sebebi yukarıda birşeylerin yanlış gitmesidir.” Örnek olay Uyuşturucu kaçakçılarının riskleri -Örgüt içi anlaşmazlıklar -Gümrük idaresinde uygulanan yeni teknikler -Örgüt üyelerinin suç kayıtları -Detaylı inceleme gerektiren belge vb. eksikliği -Yüksek miktarda uyuşturucu sevkiyatı ……… Gümrük idaresinin riskleri -Uyuşturucuyu tespit edecek yeterli ekipman ve bilgiye sahip olamama -İhbarcılar için yeterli ödül sistemi olmaması -Rüşvet eğilimleri -Personel yetersizliği ……… Risk değerlendirme Riski nasıl ölçeriz? Olasılık Etki Risk nasıl ölçülür? etki Kritik noktalar -Mali riskin etkisini ölçmek nispeten kolaydır -Diğerleri?? -itibar kaybı -müşteri tatmini … x Kritik noktalar -Gelecekle ilgili hiçbir şey kesin değildir. Ama bazı şeylerin gerçekleşmesi daha muhtemeldir -Zamanımızı ve enerjimizi gerçekleşme olasılığı daha yüksek olan şeyler için kullanmalıyız -Riskler hakkında ne kadar çok bilgi sahibi olursak yapacaklarımız konusunda o kadar net oluruz. Risk Önceliklendirmesi olasılık yüksek orta düşük Etki Risk yönetim stratejileri (4 “T” kuralı) Kabul et (Tolerate) Kontrol geliştir (Treat) Transfer et (Transfer) 3K 1T Kaçın (Terminate) Kontrol faaliyetleri Önleyici kontroller Saptayıcı kontroller İşlemden önce/işlem sırasında esnasında uygulanan kontroller (Risk oluşmadan engellenir) İşlemler tamamlandıktan sonra uygulanan kontroller. (Risk saptanır.) Yönlendirici kontroller İşlemden önce oluşturulan daha ziyade iş yapma tarzı ve hedeflere yönelik kontroller. (etik kurallar, kar hedefleri) Risk Yönetim süreci hedefler Kurumun stratejik amaçları Risk değerlendirmesi Risk analizi Risk tespiti Risk tanımı Risk tahmini riskler Risk değerleme Risk raporlama Tehditler ve Fırsatlar Karar kontroller Risk önlemleri Artık risk raporlama İzleme Risk analizi tamamlandıktan sonra risk değerlendirme aşaması, riskin kurum açısından önemi ve her bir riskin üstlenilip üstlenilmeyeceği ve riski bertaraf etmek için alınacak önlemler konularında karar verilebilmek için gereklidir. Risk tipleri Yapısal risk Riski azaltmak için herhangi bir girişimin olmadığı durumdaki doğal risk Artık risk Riskin azaltılması için gerekli önlemlerin alındığı durumda kaçınılmaz olarak kalan risk Kontrol riski İç kontrol sisteminin etkin olmamasından kaynaklanan risk Etkili risk yönetiminin faydaları Yönetimin gerçekten önemli işlere odaklanmasını sağlar Krizlere karşı daha kısa zamanda müdahale edilmesini sağlar Daha az sürprizle karşılaşılmasını sağlar Doğru işlerin doğru yoldan yapılmasını sağlar Kurumsal amaçlara ulaşılmasında büyük etkisi vardır Genel düzeyde kontrol maliyetlerini düşürür Risk alma, karar alma süreçlerinde yönetime önemli bilgiler sağlar …… Risk Yönetiminde İç Denetimin Rolü Risk yönetim standardı (2110) “İç denetim faaliyeti; önemli risk maruziyetlerini tespit edip değerlendirerek kuruma yardımcı olmalıdır.” Bunu nasıl yapabiliriz? Bağımsız görev olarak, verilerin geçerliliğini denetlemek ve risklerin doğru bir şekilde tespit edilip değerlendirildiğini görmek (eğer bir risk yönetim sistemi varsa) Yönetimle ortaklaşa çalışıp onlara yardımcı olmak Denetim planına ve saha çalışmasında bu konuya yer vermek Bunu neden yapmalıyız? Kurumun riskleri sürekli değiştiği için gerçek zamanlı yaklaşabilmek gerekir İç denetimin kendi risk kütüğünü geliştirmek; bunu yaparken kurum için önemli olan şeylere odaklanabiliriz Risk yönetim standardı (2110) “İç denetim faaliyeti; risk yönetimi ve kontrol sistemlerinin iyileştirilmesine katkıda bulunarak kuruma yardımcı olmalıdır.” Bunu nasıl yapabiliriz? Alışılmış denetim görevlendirmeleri yoluyla Kontrol Özdeğerlendirme gibi daha az alışılmış metodların kullanımı yoluyla Risk ve kontrol konusunda danışmanlık ve eğitim hizmeti vermek yoluyla Bunu neden yapmalıyız? Finansal ve operasyonel bilgilerin bütünlüğü ve güvenilirliği, opeasyonların etkililiği ve verimliliği, varlıkları güvenliği, yasal düzenlemelere uygunluk konularında güvence verme görevimizi tam olarak yapabilmek için Risklerin yönetimi konusunda yönetime yardımcı olarak kurumsal amaçların başarmasına katkı sağlamak İç denetimin rolü Kurumun amaçları Kurumsal risk yönetimi Risklerin amaçlara etkisi Kontroller Kontrollerin etkinliği ve yeterliliği konusunda güvence kazanma İç denetimin rolü Denetim ihtiyaçlarını belirleme Denetim stratejisi & periyodik planlar Risk yön. ve kontrollerin değerlendirilmesi Bireysel görevlendirme Risk yön. + yönetişim + kontrollerle ilgili yıllık rapor (güvence sağlama) Kurumsal Risk Yönetiminde İç Denetimin Rolü Risk yönetiminde iç denetçinin temel rolü -Risk yönetim süreçlerine güvence verme -Risklerin doğru bir şekilde değerlendirildiğine güvence verme -Risk Yönetim süreçlerini değerlendirme -Temel risklerin raporlanmasını değerlendirme -Temel risklerin yönetimini gözden geçirme Risk yönetiminde iç denetçinin yasal olarak yapabilecekleri -Risklerin tespiti ve değerlendirmesine yardımcı olma -Risklerle başa çıkma konusunda koçluk yapma -Kurumsal risk yönetimi çalışmalarının koordinasyonu -Risklerle ilgili konsolide raporlama yapma -Risk yönetim çerçevesi geliştirme -Risk yönetim sistemi kurulmasını desteklemek/savunmak -Yönetim kurulunun onayına sunmak üzere risk yönetim stratejisi geliştirmek Risk yönetiminde iç denetçinin üstlenemeyeceği roller -Risk iştahını belirleme -Risk yönetim süreçleri empoze etme -Risklerle ilgili yönetim yerine geçerek güvence verme -Riske karşı önlemler konusunda karar alma -Yönetim adına risk önlemlerini uygulama -Risk yönetimi ile ilgili hesap verme sorumluluğu üstlenme Risk değerlendirmesi Her kurumun risk iştahı farklıdır. Denetçi risk iştahının belirlenmesine karışmaz. İç denetçinin temel görevi risk yönetiminin etkinliği konusunda yönetime güvence hizmeti sağlamaktır. Risk odaklı yaklaşım Görev planlaması Kurumun/birimin amaçlarının ve faaliyetlerin kavranması, önemli yapısal ve artık risklerin değerlendirilmesi, yönetimin risk değerlendirmelerine güveniliyor mu sorusuna cevap aranması, risk iştahı hakkında bilgi edinilmesi Sistemin analizi Süreç analizi; kritik noktaların belirlenmesi, sistemi maruz olduğu çevresel etkilerle birlikte değerlendirme Kontrollerin değerlendirilmesi Kontrollerin test edilmesi Önemli risklerin tanımlanası ve değerlendirilmesi; yönetimin risk değerlendirme sistemini ve riski azaltıcı prosedürleri anlama ve değerlendirme, Risklere karşı geliştirilen kontrollerin etkinliğinin test edilmesi ve sonuçta kurumun maruz olduğu potansiyel ve mevcut riskleri ortaya koyma Bulguların değerlendirilmesi Denetim görüşüne esas olacak bulgularla ilgili değerlendirme yapılması Raporlama Önceki aşamaları özetleyen, kritik konuları öne çıkaran bir raporlama yapılması ve rapor içinde önerilere yer verilmesi İzleme Denetçi Soruları Kontrolü değerlendirme Kontroller var mı? Uygun mu? Görev içi yeterli mi ? Kontrollerin uygulanması Kontroller uygulandı mı ? Kontrollere uyulmuş mu ? Kontroller etkili mi ? Nasıl bir denetim raporu?? Eksiksiz, hatasız ve dikkatlice hazırlanmış Tarafsız Denetimin amacına uygun Açık Özlü Basit ve anlaşılır Yapıcı Sunulan için hazırlanmış Gerçekçi tavsiyeler içeren İhtiyacı olan herkese sunulan Hatalara değil gelişmelere odaklanmış Zamanında hazırlanmış Denetim raporunda yer alması gerekli hususlar Denetlenecek alana ilişkin bilgiler ve denetimin amacı Kapsam Riskler, kontroller Bulgular; risk yönetiminin etkinliği, zayıflıklar ve etkinsizlikler, fazla/gereksiz kontroller, savurganlıklar Denetim görüşü Tavsiyeler Eylem planı* İngiltere’de nihai raporda üzerinde uzlaşmaya varılan eylemlerden bahsedilmekte ama “eylem planı” başlığı altında bir bölüm bulunmamaktadır. Güvence ve tavsiyeler Güvence Tavsiyeler Yeterli güvence Tavsiyelere uyulması iyi olur Kısmi güvence Tavsiyelere uyulması önemle arzulanır Güvence verilemiyor Tavsiyeler kritik önemi haiz Sistemi temelinden bozan bir durum vardır. Finansal yapı veya kurumun itibarı ile ilgili olumsuzluklar örnek gösterilebilir. Kurum için çok büyük finansal maliyetler söz konusu olabilir. Denetim raporu kime sunulur? Denetim komitesi Üst yönetim Sistemden sorumlu yönetici Stratejik planlama departmanı IT yöneticisi İngiltere’de raporların kimlere sunulacağına ilişkin kesin bir belirleme yapan rehber bulunmuyor. Denetim raporu nasıl sunulmalı? Denetim komitesi- Önemli bulgular ve uygulama eksiklikleri ayrıca özetlenir Üst yönetim- Tüm raporu okuyacak zamanı yoktur. Yönetici özeti hazırlanır. Önemli alanlar ve uzlaşılan noktalar vurgulanır- ayrıca sunum hazırlanabilir Sistemden sorumlu yönetici- Stratejik planlama departmanı- Raporu tüm detaylarıyla (bulgular, tavsiyeler, eylem planı…) anlaması gerekir. Herhangi bir özet hazırlamaya gerek yoktur. MINISTRY OF REVENUE AND CUSTOMS Proactive Internal Auditors AUDITABLE AREAS: COLLECTION OF TRADE STATISTICS COLLECTION OF DIRECT TAXES FROM EMPLOYEES,SELF EMPLOYEES AND COMPANIES COLLECTION OF VAT COLLECTION OF IMPORT TAXES INFORMATION SECURITY CUSTOMER (TAXPAYER) REGISTRATION SYSTEM Proactive Internal Auditors AUDITABLE AREAS: COLLECTION OF TAX RETURN COLLECTION OF TAX PAYMENT SYSTEM TAX ACCOUNTING SYSTEM FRAUD AND IRREGULARITY INVESTIGATION SYSTEM DEBT COLLECTION SYSTEM DEBT COLLECTION AUTOMATION PROJECT Proactive Internal Auditors AUDITABLE AREAS: SUPPORT AND MAINTENANCE SERVICES SYSTEM TRANSITION TO ASSET ACCOUNTING PROJECT ASSET MANAGEMENT SYSTEM CONTINIOUS TAX RETURN MONITORING SYSTEM ONSIDE TAX INSPECTION SYSTEM Proactive Internal Auditors AUDITABLE AREAS: BUDGET SYSTEM , STRATEGIC PLANNING AND RESOURCING SYSTEM RECRUITMENT SYSTEM EMPLOYMENT CONTRACTS MANAGEMENT SYSTEM PAYROLL SYSTEM TRAINING AND EDUCATION SYSTEM HEALTH AND SAFETY SYSTEM BUSSINESS CONTINUITY PLANNING PROJECT Proactive Internal Auditors AUDITABLE AREAS: INTEGRATED REVENUE INFORMATION SYSTEM CALL CENTRE COMPLAINTS AND DISSATISFACTION EVALUATION SYSTEM RISK MANAGEMENT SYSTEM PROCUREMENT SYSTEM CASH MANAGEMENT SYSTEM COMBATTING SMUGGLING AND MONEY LAUNDERING Proactive Internal Auditors