Risk Odaklı Denetim Süreci

Risk odaklı denetim yaklaşımı daha önceki bölümlerde ayrıntılı olarak anlatıldığı gibi bir süreç denetimidir. Bankacılık faaliyetlerine bütünleşik durum arzeden risklerin tespitini ve bu risklerin uygun tekniklerle yönetilmesini ifade eder. Risk odaklı denetim süreci, aşağıdaki

383 Lawrence B. Sawyer ve Mortimer A. Dittenhofer, a.g.e., s.968-969.

384 Ali Kamil Uzun, "Şirketlerde İç Kontrolün Ye4terliliğinde İç Denetimin Rolü", Deloitte Denetimnet.net, s.1, http://www.denetimnet.net/Pages/ic_kontrol_ic_denetim.aspx, s.1, (Erişim Tarihi:

18.01.2013).

156 faaliyetlerden oluşmaktadır³⁸⁵:

- Risk Değerlendirmesi Yoluyla Kurum Risk Olgunluğunun Tespiti - Denetim Planının Hazırlanması ve Onaylanması

- Denetimin Yürütülmesi

- Denetimin Raporlanması/Sonuçlandırılması - Denetim Sonuçlarının Değerlendirilmesi

Risk odaklı denetimin yürütülmesine ilişkin süreç Şekil 3.2’de gösterilmiştir.

Şekil- 3.2. Risk Odaklı İç Denetim Sürecinin Aşamaları Kaynak: Davut Pehlivanlı, a.g.t., s.91.

Risk değerlendirmesinin yapılması ve risk profillerinin çıkarılması ile başlayan süreç, iç denetçiler tarafından hazırlanan raporun üst yönetim tarafından değerlendirilmesi ile son bulmaktadır³⁸⁶.

385 The Institute of Internal Auditors-UK&Ireland, Position Statement-Risk Based Internal Auditing, UK, August 2003, s.1.

386 Davut Pehlivanlı, a.g.t., s.91.

157

3.1.7.1. Risk Değerlendirmesi Yoluyla Kurum Risk Olgunluğunun Tespiti 3.1.7.1.1. Risk Değerlendirmesi

Risk değerlendirmesinin amacı, denetim planlamasının ve akabinde iç denetim faaliyetlerinin kurumun yüksek riskli faaliyet alanlarına odaklanmasını sağlamaktır³⁸⁷. Bu aşamanın amacı, denetlenecek birim/şubenin risk profilini belirlemek, yüksek riskli faaliyet alanlarını tespit etmek ve denetim planının hazırlanmasına baz teşkil eden dokümantasyonu oluşturmaktır. Bu dokümantasyon banka üst yönetiminin uygulama faaliyetlerinin temel girdilerinden birisi durumundadır.

İç denetim birimi yöneticisi kurumun amaçlarına uygun olan ve kurumu etkileyen ve/veya etkileme olasılığı olan riskler hakkında yapılan bir analiz ve değerlendirmeye dayanan iç denetim faaliyetlerinin önceliklerini belirleyen risk odaklı planlar yapmalıdır³⁸⁸. Bu aşamada iç denetçiler risk değerlemesi yapmak suretiyle kurumun ve/veya denetlenecek birimin maruz kaldığı riskleri belirlemeli, bu risklerin önemini ve oluşma sıklıklarını ölçmeli ve ortaya çıkan sonuçlara göre öncelik vermesi gereken alanları tespit etmelidir. İç denetçi tarafından risk değerlemesi yapılırken yönetim yapısı, iş hedefleri, organizasyonel değişiklikler, denetim komitesinin yüksek riskli olarak belirlediği alanlar ve yönetimin risklerle ilgili kaygıları dikkate alınmalı ve iç denetimin odaklanacağı alanların tespitinde azami isabetin sağlanmasına çaba gösterilmelidir³⁸⁹.

Risk odaklı denetimin ana noktasını teşkil eden riskin belirlendiği düzey olması nedeniyle risk değerleme aşamasının başarılı olabilmesi için aşağıda belirtilen hususlara dikkat edilmesi gerekmektedir³⁹⁰:

- Üst yönetim ve bağımsız denetçilerin de sürece katılımı sağlanmalıdır.

- Süreç her iki taraf için de yararlı sonuçlar üretmelidir.

- Değerleme sürecinin sonuçlarının alınmasında acele edilmemelidir.

- Elde edilen sonucun asgari elde etme maliyeti kadar olmasına dikkat edilmelidir.

387 Çetin Özbek, a.g.e., s.346.

388 Türkiye İç Denetim Enstitüsü, s.131.

389 E. Michael Thomas, “The Seven-Step Process to Risk-based Auditing”, FSA Times, Fourth Quarter 2003 · Vol 2, No. 4, http://www.theiia.org/fsa/index.cfm?iid=223, (19.01.2013).

390 Ali Rıza Eşkazan, “Risk Odaklı İç Denetim Planlaması”, Türkiye İç Denetim Enstitüsü İç Denetim Dergisi, Bahar 2005, s.33.

158

- Ortaya çıkan sonuçlar denetçi ve yönetime anlam ifade etmelidir.

- Risk değerleme modeli kurumun ihtiyaçları göz önüne alınmak suretiyle mümkün olduğunca basit hazırlanmalıdır.

- Süreçte modellerin kullanılması zorunlu olmamakla birlikte, kullanılması halinde sistemin anlaşılabilirliği ve devamlılığı sağlanmalıdır.

Risk değerleme süreci; riskin belirlenmesi, riskin ölçülmesi ve önceliklerin belirlenmesi olmak üzere üç aşamadan oluşmaktadır³⁹¹.

1.Riskin Belirlenmesi

Risk değerleme sürecinin en önemli fazını teşkil eden risklerin belirlenmesi aşamasında kurumun ve denetlenebilir birimlerin karşı karşıya olduğu tehlikeler ve olası fırsatlar belirlenmektedir. İç denetçi kurumun ve denetlenebilir birimlerin maruz kaldığı riskleri belirlemede pek çok yöntem uygulayabilir. İç denetçinin deneyimi, bilgi birikimi, zaman, mali imkan ve iş gücü gibi kıt kaynakları en etkin şekilde nasıl kullanacağı, yöntemin sağladığı faydanın uygulama maliyetinden daha fazla olmaması gibi hususlar risklerin belirlenmesinde kullanılacak olan yöntemin seçilmesinde belirleyici olacaktır.

İç denetçi, riski belirleme aşamasında denetlenecek birimlerin yöneticileri ile birlikte hareket etmek suretiyle onların geçmişte yaşadıkları olayları öğrenmesi denetimin etkin bir şekilde yerine getirilmesinde yardımcı bir faktördür. Bu süreçte benzer çalışmalardan, önceki denetimde yapılan tespitlerden, sektörel araştırmalardan ve rakip firma verilerinden de faydalanılabilir.

Performans incelemeleri, kurumsal başarısızlıkların, kayıpların, özellikle müşteri ve çalışanlardan alınan geribildirimlerin irdelenmesi risklerin belirlenmesi aşamasında kullanılabilecek yöntemler arasında bulunmaktadır³⁹². Riski belirlemede üst yönetimle ve birim yöneticileri ile yapılacak olan görüşmelerin, gerçekleştirilecek kapsamlı risk çalıştaylarının ve kurum hesaplarının incelenmesinin de önemi büyüktür³⁹³. Risklerin doğru olarak belirlenmesi sınırlı denetim kaynaklarının optimizasyonunu sağlayacaktır. Bu sayede kurum stratejik hedeflerine ulaşma noktasında kendisini daha fazla güvende hissedecektir.

391 Phil Griffiths, a.g.e., s.22.

392 Phil Griffiths, a.g.e., s.21.

393 David Griffiths, Risk Based Internal Auditing –Three Views On Implemantation, s.21.

159

Riski belirlemede kullanılacak diğer bazı yöntemler ise 'Riske Maruz Kalma Yaklaşımı', 'Çevresel Yaklaşım' ve 'Tehdit Senaryoları' şeklinde sıralanabilmektedir:

Riske Maruz Kalma Yaklaşımı'nda, iç denetçi tesis, makine, ekipman gibi fiziksel;

nakit, yatırımlar gibi finansal değerleri; personel bilgi ve deneyimini içeren insan kaynaklarını; marka, isim hakkı gibi maddi olmayan varlıkları etkileyebilecek tehdit ve fırsatlar üzerine yoğunlaşmaktadır³⁹⁴. Yaklaşımın amacı, kurum amaçlarının yerine getirilmesinde önemli katkısı olan varlıkları boyut, çeşit, taşınabilirlik, bulunduğu yer gibi özelliklere bakarak tanımlamak ve bu varlıklarda oluşabilecek değer kayıplarını ortaya çıkarabilmektir.

Çevresel Yaklaşım'da, kurumlar bir çok bileşenden oluşan bir dış çevrede kurulmakta ve kurumun bütünü ve denetlenebilir her birim bu çevresel risklerden etkilenmektedir. Bu yaklaşım mevcut çevre ile gelecekteki çevreyi fırsatlar ve tehditler açısından değerlendirmektedir³⁹⁵. Denetim çevresi analizi, denetime ilişkin amaçların gerçekleşmesine etki eden çevre faktörlerinin analiz edilmesini ve bu faktörlerin taşıdığı denetim amaçlarına etki eden risklerin tahlilini ifade eder.

Tehdit Senaryoları Yaklaşımı, yolsuzluk ve güvenlikle ilgili durumlar söz konusu olduğunda kullanılacak yöntemlerden biridir. Tehdit senaryolarında öncelikle riske ve tehdide maruz kalacak değerler belirlenmektedir. Daha sonra bu değerler ile ilgili risk ve tehditler sıralanıp, bu tehditlerin nasıl gerçekleşeceği listelenmektedir³⁹⁶. Bu yaklaşımda iç denetçi tehdit senaryosu ile riskleri belirledikten sonra eksik kontrolleri tespit etmekte ve varolan kontrollerin istenildiği gibi çalışıp çalışmadığından emin olmak için testler tasarlamaktadır.

2. Riskin Ölçülmesi

Riskler ve sonuçları belirlendikten sonra risk değerleme yönteminin ikinci aşaması olan riskin ölçülmesi aşamasına gelinmektedir. Riski ölçmedeki amaç potansiyel fırsat ve tehditleri belirlemektir³⁹⁷. Fiziki bir varlık olmaması nedeniyle riskin ölçülmesi zor olup bu zorluğun aşılmasında iç denetçinin kişisel becerisi ön plana çıkmaktadır.

394 David McNamee, a.g.e., s.25.

395 David McNamee, a.g.e., s.28.

396 David McNamee, a.g.e., s.32.

397 David McNamee, a.g.e., s.48.

160

Riskin 'Oluşma Olasılığı' ve 'Sonuçları' olmak üzere iki boyutu bulunmaktadır³⁹⁸: Risk ölçümü yaparken iç denetçi riskin bu iki boyutunu da dikkate almak durumundadır. Riskin oluşma olasılıkları ve sonuçlarının önemi Tablo 3.1’ deki gibi çok düşük, düşük, orta, yüksek ve çok yüksek olarak ifade edilebilir.

Tablo- 3.1. Riskin Etki ve Sonuçlarının Ölçümlenmesi

Risk Oluştuğunda Ortaya Çıkan Sonuç Riskin Oluşma Olasılığı

Bölümünün Uzun Bir Süre İçin Kapatılması

Hemen Hemen Kesin

Çok Yüksek (5) Kaynak: David Griffiths, Risk Based Internal Auditing-An Introduction, s.18.

Riskin ortaya çıkma olasılığı hemen hemen kesin ve ortaya çıktığında kurumun tamamen veya önemli bir bölümünün uzun bir süre için kapatılması sonucunu doğuruyor ise o riskin etkisi çok yüksek, ortaya çıkma olasılığı ihtimal dahilinde ve oluştuğunda kurumun hedeflerinin büyük bir kısmının gerçekleşmesini uzun bir süreliğine etkiliyorsa o riskin etkisi yüksek, ortaya çıkması mümkün ve hedeflerin bir kısmının gerçekleşmesini kısa bir süreliğine etkileyecek ise o riskin etkisi orta, ortaya çıkma olasılığı düşük ve sakınca oluşturmakla birlikte kurumun ana hedeflerine ulaşmasına engel oluşturmuyorsa o riskin etkisi düşük, ortaya çıkma olasılığı seyrek ve kısıtlı sakınca oluşturmakla birlikte belirgin hedeflere ulaşmada engel oluşturmuyorsa o riskin etkisi ise çok düşük düzeydedir.