Kamu İç Denetim Standartlarında Risk Yönetim Sistemi

Kamu Ġç Denetim Standartları, Uluslararası Ġç Denetçiler Enstitüsünün

“Uluslararası Ġç Denetim Mesleki Uygulama Standartları” esas alınarak Maliye Bakanlığı Ġç Denetim Koordinasyon Kurulu tarafından hazırlanmıĢ ve 16.08.2001 tarihli ve 28027 sayılı Resmi Gazete‟de yayımlanarak yürürlüğe girmiĢtir. Standartlar iç denetçilerin niteliklerini (Nitelik Standartları) ve iç denetim faaliyetlerinde uygulanması gereken süreçleri (ÇalıĢma (Performans) Standartları) belirlemektedir. Güvence/denetim (G) ve danıĢmanlık (D) faaliyetlerine uygulanabilecek gereklilikleri gösteren Nitelik ve Performans Standartları, bir idaredeki iç denetim faaliyetlerinin bütününe tatbik edilmek üzere hazırlanmıĢtır (Kamu Ġç Denetim Standartları, 1).

5018 sayılı Kanun‟un 64. maddesinde, “iç denetçi görevlerini Ġç Denetim Koordinasyon Kurulu tarafından belirlenen ve uluslararası kabul görmüĢ kontrol ve denetim standartlarına uygun bir Ģekilde yerine getirir” hükmüne yer verilmektedir.

Standartlar iç denetçilerin risk yönetimiyle ilgili rol ve sorumluluklarını da düzenlemektedir

Kamu Ġç Denetim Nitelik Standartlarına göre iç denetçiler, suiistimal ve kilit bilgi teknolojisi riskleri ve bu risklerin yönetilmesi ve kontrolünü değerlendirebilecek yeterli bilgiye ve teknoloji tabanlı denetim tekniklerine sahip olmak zorundadır. Ancak iç denetçilerden esas görev ve sorumluluğu bilgi teknolojileri denetimi ve suiistimalleri tespit etmek ve soruĢturmak olan bir kiĢinin uzmanlığına sahip olmasının beklenmemesi gerektiği önemle vurgulanmaktadır.

Ġç denetçilerin yönetiĢim, risk yönetimi ve kontrol süreçlerinin etkililiği ve yeterliliği kapsamında azami mesleki özen ve dikkati göstermesi gerekmektedir. Ġç denetçiler amaçları, faaliyetleri ve kaynakları etkileyebilecek önemli risklere karĢı

139

dikkatli olmak zorundadır. Ancak güvence faaliyetinin, azami mesleki özen ve dikkatle uygulansa bile tek baĢına bütün önemli risklerin teĢhis edilebilmesini garanti etmediği hususuna standartlarda açıklık getirilmektedir.

Kamu Ġç Denetim ÇalıĢma Standartları kapsamında iç denetim yöneticisinin;

idarenin hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esaslı planlar yapması gerektiği belirtilmektedir. Ġç denetim planının, üst yönetici ve üst düzey yöneticilerin de sürece dâhil edilerek görüĢlerinin alındığı, en az yılda bir kez yapılan yazılı bir risk değerlendirmesine dayandırılması gerekmektedir. Ġç denetim yöneticisinin danıĢmanlık görevlerini kabul ederken risk yönetimini geliĢtirme, kuruma değer katma ve faaliyetleri geliĢtirme potansiyelini değerlendirerek karar vermesi gerektiği üzerinde durulmaktadır. Ġç denetçiler, danıĢmanlık görevleri sırasında, görevin amaçlarıyla iliĢkili risklerini değerlendirmek ve diğer önemli risklere karĢı dikkatli olmak ve danıĢmanlık görevlerinden elde ettikleri risk bilgilerini, idarenin risk yönetim süreçlerini değerlendirmede kullanmakla yükümlü tutulmaktadır. Ġç denetçilerin risk yönetim süreçlerinin kurulmasında veya geliĢtirilmesinde yönetime danıĢmanlık hizmeti verirken, “riskleri fiilen yönetmek suretiyle yönetim sorumluluğu almaktan” kaçınmak zorunda olduğu belirtilmektedir.

Ġç denetçiler kurumsal risk yönetim sistemini inceleme, değerlendirme, raporlama, sistemin etkinlik ve yetkinliğini artırıcı önerilerde bulunma yoluyla üst yönetime ve yönetim kuruluna yardımcı olmaktadır (FERMA, 2003: 14). Ġç denetçilerin esas görevi sistemin etkinliği ile ilgili (Frigo ve Anderson, 2009: 36), risk yönetim süreçlerine, risklerin doğru yönetildiğine, önemli risklere iliĢkin raporlamaların ve önemli risklerin yönetiminin değerlendirilmesine dair yönetime ve yönetim kuruluna makul bir güvence sunmaktır (Gramling ve Myers, 2006: 52).

Güvencenin verilemediği durumlardaki temel görevi ise yönetime önerilerde bulunarak doğru çözümlerin üretilmesine yardımcı olmaktır; ancak bu durumda dâhi iç denetçinin sorumluluğu danıĢmanlık rolünün ötesine geçmemelidir (Griffiths, 2006:

11).

140

Risk yönetimi iç denetçilerin sorumluluğu kapsamında değerlendirilmemekte ve iç denetçiler kısaca (Florea ve Florea, 2009: 40):

i. Ġç kontrol ve risk yönetim süreçlerinin yeterliliği ve etkinliği hususunda üst yönetime makul güvence sunmakla,

ii. Risklerin tanımlandığı ve yönetildiği süreçlerin geliĢimine yardımcı olmakla,

iii. Ġç kontrol ve risk yönetim sisteminin geliĢimine ve güçlenmesine destek olmakla

sorumlu tutulmaktadır.

Ġç denetim faaliyetinin; sistematik ve disiplinli bir yaklaĢımla, yönetiĢim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileĢtirilmesine katkıda bulunmak zorunda olduğu ve iç denetim faaliyetinin amacı, görev, yetki ve sorumlulukları ve planın uygulama sonuçlarına iliĢkin iç denetim yöneticisinin raporlarının suistimal risklerini ve diğer önemli riskleri içermesi gerektiği standartlarda belirtilmektedir. Ġç denetim faaliyeti, suistimalin gerçekleĢme ihtimalini ve idarenin suistimal riskini nasıl yönettiğini değerlendirmek zorundadır.

Ġç denetim faaliyeti, risk bilgilerini idarenin ilgili alanlarına iletilmesi hedefini gerçekleĢtirmekle sorumlu olmakla beraber risk yönetim süreçlerinin etkililiğini değerlendirmek ve iyileĢtirilmesine katkıda bulunmak zorundadır.

Ġç denetim faaliyeti, mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu, programların ve faaliyetlerin etkililik ve verimliliği, varlıkların korunması ve mevzuat, politika ve prosedürlere ve sözleĢmelere uyum hususlarını dikkate alarak, idarenin yönetiĢim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmekle sorumlu tutulmaktadır.

Ġç denetçilerin görev konusu faaliyetin yönetimine iliĢkin önemli riskleri ve bu risklerin potansiyel etkilerini kabul edilebilir bir seviyede tutmanın yol ve araçlarını, ilgili faaliyetin risk yönetimi ve kontrol süreçlerinin yeterliliğini ve etkililiğini ve görev

141

konusu faaliyetin risk yönetimi ve kontrol süreçlerinde önemli geliĢme sağlama fırsatlarını dikkate alması gerektiğine değinilmektedir.

Ġç denetçiler, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmak ve görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmak zorundadır. Ġç denetçiler, görevin amaçlarını belirlerken, önemli hataların, suistimallerin, mevzuata aykırılıkların ve diğer risklerin meydana gelme ihtimalini göz önüne almakla yükümlü tutulmaktadır.

Ġç denetim yöneticisi, aksi yasal olarak düzenlenmediği takdirde, görev sonuçlarını kurum dıĢındaki taraflara göndermeden önce idare açısından oluĢabilecek muhtemel riskleri değerlendirmekle sorumludur.

Ġç denetim yöneticisi, üst düzey yönetimin aldığı tedbirlerin etkili bir Ģekilde uygulandığından veya üst düzey yöneticilerin gerekli tedbiri almaması sonucunda oluĢacak riskleri üstlenmeyi kabul ettiğinden emin olmak ve geliĢmeleri izleme amacına yönelik bir takip süreci kurmak zorundadır. Ġç denetim yöneticisi, üst düzey yöneticinin idare için kabul edilemeyecek düzeyde bir artık riski üstlenmeyi kabul ettiğine kanaat getirdiği takdirde, konuyu üst düzey yöneticiyle müzakere etmek zorundadır. Artık riskle ilgili bir mutabakata varılamazsa, iç denetim yöneticisi konuyu çözümlenmesi için üst yöneticiye rapor etmek zorundadır.

Ġç denetçiler sadece kontrol faaliyetinde bulunmazlar. Kurum risk profilinin izlenmesinde ve risk yönetim sürecinde geliĢtirilmesi gereken alanlarının belirlenmesinde de oldukça önemli rol oynarlar (Lindow ve Race, 2002: 28). Kontrol sisteminin uygulamaya konulması ve yürütülmesi, kontrollerde maliyet tasarrufu sağlayacak fırsatların belirlenmesi ve kurum içerisinde risk ve kontrol kültürünün organize edilmesinde tavsiye verici nitelikte danıĢmanlık faaliyetinde bulunabilirler (Florea ve Florea, 2009: 40). Ayrıca çoğu kurumda iç denetçiler, kurumun kurumsal risk yönetim sistemine uyumunu da kontrol etmektedir (Beasley, Jenkins ve Kranitz, 2003: 3). Bununla beraber, eğer iĢ risklerini tamamıyla anlayamazlarsa, yaptıkları geleneksel kontrolün ötesine geçememektedir (Lindow ve Race, 2002: 28). Ġç

142

denetçiler, yasal danıĢman ve dıĢ denetçilerle de sıkı iletiĢim halinde olmalıdır (COSO, 2004a: 84).

Ġç denetçilerin aĢağıdaki faaliyetleri uygulayarak kuruma önem ve değer katması beklenmektedir (Hong Kong Institute of Certified Public Accountants, 2005:

22):

i. Risk yönetim sisteminin özellikle tasarım ya da kurulum aĢamasındaki sorunlarıyla ve iç kontrol sisteminin iĢletilmesi ve uygulanması ile ilgili önerilerde bulunmak.

ii. Kayıpları önleme ve fırsatları belirleme yoluyla maliyet tasarrufu sağlayarak verimli ve etkin risk ve kontrol yönetimini geliĢtirmek.

iii. Kurum içinde risk ve kontrol kavramlarını ve kontrol öz değerlendirme programlarının kullanımını teĢvik etmek.

Özetle, risk yönetim sürecini iç denetim planının bir parçasıymıĢ gibi denetlemek, yönetim tarafından tanımlanan önemli risklerin yönetimini değerlendirmek, sürece aktif destek ve katılım sağlamak, risk yönetim süreci ile ilgili üst yönetime makul bir güvence sunmak, risk yönetimini kolaylaĢtırmak, üst yönetime ve personele yönelik hazırlanan risk yönetimiyle ve iç kontrolle ilgili eğitimlerin organizasyonunda görev almak ve raporların üst yönetim ve denetim komitesine ulaĢtırılması ile ilgili koordinasyonu sağlamak iç denetçilerin baĢlıca rolleridir. En önemli husus, iç denetçinin bağımsızlık ve objektifliğini koruması ve buna zarar verici sorumlulukları üstlenmemesidir (Non, 5-6).

5.7. Kurumsal Risk Yönetim Sistemindeki Diğer Sorumlular ve Rolleri