Kurumsal Risk Yönetimi Araçları

Kurumsal risk yönetimi sürecine destek veren pek çok teknik vardır. Bu teknikler ele alınmadan önce genelde üst çatı olarak kullanılan kontrol-risk öz değerlendirme yöntemini ele almak gerekir. Kontrol-risk öz değerlendirme yönteminin yanı sıra çalıştay, görüşme ve beyin fırtınası tekniklerine de risk yönetimi sürecinde sıklıkla başvurulmaktadır. Bu teknikler kontrol-risk öz değerlendirme yöntemi kapsamında ele

163 Pehlivanlı, a.g.e., s.87. 164 Yılancı, a.g.e., s.82. 165 Adiloğlu, a.g.e., s.108.

61

alınabileceği gibi ayrı birer teknik olarak da düşünülebilir. Bunların yanı sıra risk kayıtlaması ve denetim evreni de risk yönetimi sürecini destekleyen araçlardır.166

3.3.4.1. Kontrol-Risk Öz Değerlendirme (CSA)

Kontrol öz değerlendirme, risk ve kontrol öz değerlendirme olarak da ifade edilebilen Kontrol-Risk Öz Değerlendirme (Control-Risk Self Assesment), risk ve kontrollerin tanımlanması, değerlemesi, ölçülmesi ve izlenmesi sürecinde yönetim tarafından kullanılan bir kurumsal yönetim aracıdır. İlk olarak 1987 yılında Alberta- Gulf Canada Res. Ltd. şirketi tarafından kullanılan kontrol-risk öz değerlendirme yöntemi, temel olarak çalışanların ve yöneticilerin kıdemli bir iç denetim çalışanı rehberliğinde bir araya geldiği, kurum hedeflerine ulaşılma olasılığını etkileyen her türlü faktörün değerlendirildiği bir etkinliktir.167

Diğer bir ifadeyle Kontrol Öz Değerlendirme; işletmelerde iç denetçilerin denetledikleri birim, ya da sistem içindeki mevcut risklerin ve kontrollerin tespit edilebilmesi amacıyla uyguladıkları ve aynı zamanda, ilgili alanda çalışan kişiler ile yönetim tarafından risk ve kontrollerin tespit edilmesine yönelik olarak geliştirilmiş bir tekniktir. Kontrol öz değerlendirme yöntemi, iç denetçiler ve bölüm yöneticileri tarafından kurumun risk yönetimi ve kontrol süreçlerinin yeterliliğini değerlendirmek için kullanılmaktadır.168

Kontrol-risk öz değerlendirme yönteminin en belirgin özelliği çalışanların parçası oldukları sistemin performansını değerlendirmelerine karşı duyulan güvendir. Bu yöntem çalıştay, görüşme ve anket teknikleri aracılığıyla yürütülür.169

Öz değerlendirme yaklaşımı, genellikle her bölümünde öncelik görevi yapan kontrol odaklı bir seri Basitleştirilmiş Çalışma Grupları (workshop)’lardan meydana gelir. Esas itibariyle üç tür öz değerleme yaklaşımı vardır:170

 Basitleştirilmiş Çalışma Grupları (Workshoplar): Öz değerlendirme yaklaşımında en çok kullanılan yöntemdir. Çalışma grupları, iç denetçinin danışmanlığında, belirlenen amaçlar veya süreçler için risk ve kontrol değerlendirilmesinin tasarlandığı, uygulandığı ve bazı durumlarda raporlamanın yapıldığı (6 ila 15 katılımcının ve 2 denetçinin yer aldığı ve 2 ila 4 saat süren) toplantılardır.

166 Pehlivanlı, a.g.e., s.90. 167 Pehlivanlı, a.g.e., s.90. 168 Adiloğlu, a.g.e., s.71. 169 Pehlivanlı, a.g.e., s.90. 170

62

Uygulamada çalışma gruplarını içerik olarak farklılaştıran beş önemli çalışma grubu türü yer almaktadır. Bunlar; Amaç esaslı, Risk esaslı, Kontrol esaslı, Süreç esaslı ve Departman veya Durum esaslı çalışma gruplarıdır.

 Soru Kağıtları (Anket): Öz değerlendirme yaklaşımında kullanılan bir diğer yöntem anket yöntemidir. Uygulamada çalışma gruplarından sonra yer almaktadır. Anket yöntemi, hazır ve geçerliliği kanıtlanmış bir soru listesi ile kullanılır ise, en az kaynak gerektiren ve çok kısa sürede tamamlanabilecek yöntemdir. Çalışanların görüşlerine ilişkin bilgi toplamak açısından oldukça etkili bir yöntemdir. Genel olarak anket yöntemi, çalışma grupları yönteminin işletme kültürü tarafından benimsenmediği veya katılımcıların doğru ve samimi açıklama yapamayacaklarının düşünüldüğü durumlarda uygulanmaktadır.

 Yönetimin Ürettiği Analizler (Yönetici Analizleri): Bu yöntem öz değerlendirme sürecinde denetçilerin direkt olarak yararlandıkları bir yöntem değildir. Yöneticilerin seçilmiş iş süreçleri, risk yönetim faaliyetleri ve kontrol prosedürleri hakkında bilgi toplamak amacıyla kullandığı diğer yaklaşımları kapsamaktadır. Analizin amacı, kontrol prosedürlerinin özel nitelikleri ve özellikleri hakkında somut bilgilere dayanan bir kanaati zamanında oluşturmaktır.

Öz değerlendirme yaklaşımının yararları ve sakıncaları şunlardır:171

Yararları;

 Maliyet etkinliği sağlar.

 İşletmenin tüm iç kontrol sisteminin yıllık değerlendirmesini sağlar.

 Yöneticilerin önemli problemlerinin çözülmesine yardımcı olur.

 Sadece denetçilerin değil, yöneticilerinde iyi anladığı fikir ve kavramları kullanır.

 Yönetici ve çalışanların, işletme hedeflerine ulaşmada kontrolün önemi

konusunda eğitilmesini sağlar. Sakıncaları;

 Yüksek beceri ve takım ruhu gerektirir.

 Denetçilerde değişim vizyonu gerektirir.

 Yönetim ve çalışanlarla bireysel (yüz yüze) çalışmayı gerektirir.

171

63

 Önemli planlama ve koordinasyon gerektirir.

3.3.4.2. Risk Kayıtlaması

Uluslararası İç Denetim Standardında denetim planı ve riskler arasında bulunması gereken ilişki genel hatlarıyla çizilmiştir. Genel çerçeve itibariyle planlama aşamasında risk kayıtlaması, kurumun iş hayatında karşılaştığı risklerin denetim planına yansıtılmasında kullanılan ve bütün riskleri topluca gösteren bir araçtır. Risk kayıtlaması; kurumsal risk yönetimi çerçevesi veya standart risk yönetimi süreçleri ile elde edilebilir. Eğer işletme henüz bir risk yönetimi yapılanmasını uygulamamaktaysa İç Kontrol Çerçevesinin risk değerleme aşamasında da risk kayıtlaması oluşturulabilir.

Tablo 3.1. Risk Kayıtlaması172

Tablo 3.1. Risk kayıtlaması; etki ve olasılık açısından içsel risklere ve bu risklere ilişkin yatıştırma ve kontrollere, kontrollere ilişkin etkinlik değerlemesine, etki ve olasılık açısından kalıntı risklere, tavsiye edilen faaliyetler ve bu faaliyetlerin kim tarafından ve ne zaman gerçekleştirileceği ayrıca risk sorumlusu sahibine ilişkin bilgilerden oluşmaktadır. İçsel riskler, risklere ilişkin herhangi bir kontrol önleminin alınmadığı durumda işletmenin karşılaşabileceği risklerden meydana gelir. İçsel risklere yönelik alınan birtakım kontrol önlemlerinden sonra kalan risklere ise kalıntı riskler denir. İçsel ve kalıntı riskler risk kayıtlamasına sıklıkla 5’li likert örneği, 1-5 arası skorlama yardımı ile aktarılırlar. Kurumsal risk yönetimi sürecinin bir çıktısı olan risk kayıtlaması, iç denetçi tarafından önemli riskleri kapsayıp kapsamadığı ve alınan

172 Pehlivanlı, a.g.e., s.120-121. RİSK İçsel Risk etki olasılık Yatıştırma ve Kontroller Kontrol

Etkinliği Kalıntı Risk Tavsiye Edilen Faaliyetler Kim- Ne Zaman Risk Sahibi

Etki Olasılık Etki Olasılık

Rakamsal Ölçek 1-5 Güçlü, İyi ve Zayıf Rakamsal Ölçek 1-5

64

önlemlerin yeterliliği açılarından değerlendirilir. İç denetçi risk tanımlamaları, sınıflandırmaları ve diğer özellikleri kurum genelindeki uygulamalar ile tutarlılıkları açısından inceler. Belirlenen yanlış, yetersiz ve tutarsız riskler denetim raporunda belirtilir ve alınması gereken önlemler tavsiye edilir.173

3.3.4.3. Denetim Evreni

Risk kayıtlaması oluşturulduktan sonra denetim evreni hazırlanır. Denetim evreni, denetlenebilecek alanların tamamını ifade eder. Genel ilke, denetim evreni kapsamına işletmenin tüm faaliyetlerinin dahil edilmesidir.174

Denetim evreni kurum karakteristiklerinden önemli oranda etkilenir ve genellikle kurumdan kuruma farklı özellikleri ön plana çıkabilir. Kurum stratejik planı bileşenlerini de içerebilecek olan denetim evreni, genel olarak kurumun amaçlarını yansıtır. Denetim evreni risk kayıtlamasına dayanmaktadır ve iç denetim yöneticisinin sorumluluğunda hazırlanır.175

Denetim evreni aşağıdaki bilgileri içermelidir:176

 KRY süreci sonucunda tanımlanmış ve ölçülmüş olan riskleri,

 Risk altında bulunan kurum süreçlerini ve hedeflerini,

 Risk sorumluluklarını,

 Bir önceki denetime ve gelecek denetime ait detayları,

 Risklerin kontrolüne ilişkin detayları.

Denetim evreni ile bir anlamda denetlenecek alanlar önceliklendirilmelidir. Risk ve riske maruz kalmanın önemine bağlı olarak, mevcut kaynakların, ne şekilde tahsis edileceğine karar verebilmek için önceliklerinin belirlenmesi gerekir. Muhtemel denetim alanları arasında iç denetim yöneticisinin söz konusu öncelikleri belirlemesine yardımcı olabilecek çeşitli risk faktörleri bulunmaktadır. Bu faktörler şu şekilde sıralanabilir:177

 Mali etkiler (yıllık gelir ve bütçe büyüklüğü gibi),

 Varlıkların likiditesi,

 Çalışan sayısı,

 Gerçekleştirilen işlem sayısı ve hacmi,

173 Pehlivanlı, a.g.e., s.120-121. 174 Adiloğlu, a.g.e., s.60. 175 Pehlivanlı, a.g.e., s.121. 176 Pehlivanlı, a.g.e., s.122. 177 Pehlivanlı, a.g.e., s.124.

65

 Yönetim ve çalışanların devir oranı ve kalitesi,

 Dış faktörlere bağlılık derecesi (ortaklar, yasal düzenlemeler gibi),

 İç kontrollerin kalitesinin değerlendirilmesi,

 Denetim görevlendirmesinin süresi,

 Son denetimin ne kadar zaman önce yapıldığı,

 Saptanan hile vakaları,

 Kurum yapısının karmaşıklığı (işlemler, teknoloji, iş hayatı),

 Merkezi bilgi sisteminin yeterliliği,

 Güvenlik önlemlerinin yeterliliği,

 Ürün geliştirme ve yeni operasyonlar,

 Onaylanmış bütçeden sapmalar,

 Muhasebe sisteminde yapılan son değişiklikler,

 Anahtar personelde yapılan son değişiklikler,

 Büyüme hızı,

 Çalışan memnuniyeti,

 Genel merkezden uzaklık.

3.4. İÇ KONTROL YAPISININ DENETÇİ TARAFINDAN İNCELENMESİ VE