Risk Yönetimi Sürecinden Veri Aktarımı

Kurum risk yönetim sisteminin olgunluk değerlendirmesi sonucunda iç denetçi, risk odaklı denetimin uygulanma biçimine yönelik olarak bir fikre ulaşacaktır. Bir denetim faaliyetinin risk odaklı olarak değerlendirilebilmesi için, iç denetim faaliyetlerinin planlanmasında, kurumu etkileyen ve etkileyebilecek olan riskler ve kurumun bu risklere

417 Çetin Özbek, a.g.e., s.808.

418 K. H. Spencer Pickett, The Internal Auditing Handbook, s.523.

419 K.H. Spencer Pickett, Audit Planning- Risk Based Approach, s.25.

420 Türkiye İç Denetçiler Enstitüsü, s.25.

169

maruz kalma durumunun dikkate alınıp alınmadığının değerlendirilmesi gerekmektedir⁴²¹. Bir denetim faaliyetinin risk odaklı olduğunun iddia edilebilmesi için iç denetim faaliyet planlamasının asgari yılda bir kez yapılan bir risk değerlendirmesine dayanması gerekmektedir.

Denetim planlamasının ilk aşamasını oluşturan risk yönetimi sürecinden veri aktarımı fonksiyonu; risk kayıtlaması ve denetim evreninin hazırlanması, risk süreçlerinden denetim programına risk transferi ve gerekli güvence seviyesinin tanımlanması faaliyetlerinden oluşmaktadır.

3.1.7.2.1.1. Risklerin Kaydedilmesi

Risk değerlendirme sürecinin bir çıktısı olarak belirlenmiş olan ve kurumun hedeflerine ulaşmasını tehdit eden, engelleme ihtimali bulunan tüm risklerin bir listesinin oluşturulması, risklerin kaydedilmesi olarak ifade edilebilir⁴²². İç denetimin planlanması aşamasındaki ‘risk kaydı’, kurumun karşı karşıya kaldığı risklerin denetim planına aktarılmasında kullanılan ve bütün riskleri topluca gösteren bir araç olup risklerin tanımlanması, değerlendirilmesi ve kurumun risk tutumunun belirlenmesi aşamalarından oluşmaktadır⁴²³. İç denetçi tarafından gerçekleştirilen risk değerleme faaliyetinin ardından kurumun amaçlarına ulaşmasını etkileyebilecek olan önemli riskler risk kayıt tablosuna aktarılır.

421 Uluslararası İç Denetim Enstitüsü, Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesi, 2010-2.

422 David Griffiths, Risk Based Internal Auditing –An Introduction, s.58.

423 K.H. Spencer Pickett, Auditing The Risk Management Process, s.85.

170

Tablo- 3.3’ten de görüldüğü gibi risklerin kaydedilmesi faaliyeti, etki ve olasılık açısından yapısal riskler ve bu risklere ilişkin yatıştırma ve kontrollerden, kontrollere dair etkinlik değerlemesinden, etki ve olasılık açısından kalıntı risklerden, tavsiye edilen faaliyetler ve bu faaliyetlerin ne zaman ve kim tarafından gerçekleştirileceğinden ve ayrıca risk sorumlusuna ilişkin bilgilerden oluşmaktadır.

Risklerin kaydedilmesi faaliyeti, risklerin ortaya çıkma olasılıklarının ve ortaya çıkaracağı etkilerin sürekli bir biçimde değiştiği ve kurumun mütemadiyen yeni risklerle karşı karşıya kaldığı bir ortamın çıktısı durumunda olup dinamik yapısını sürdürebilmesi için ihtiyaç duyulması halinde risk sorumlusu tarafından güncellenmesi gerekmektedir⁴²⁴. Güncelleme işlevi denetimden beklenen katkının artırılmasına doğrudan etkide bulunmaktadır.

Kurumların hedefe ulaşmalarını tehdit eden riskleri çok iyi tanımaları ve dolayısıyla bu risklerin kurum için oluşturacakları negatif etkileri ortadan kaldıracak veya etkisini azaltacak iyi bir risk yönetim süreci oluşturabilmeleri için maruz kalınan risklerin tam ve doğru olarak kaydedilmeleri çok önemlidir. Tespit edilen yeni risklerin kaydedilmesi, ortadan kalkan bir riskin kayıttan çıkarılması, gerekli olduğu durumlarda risklerin yeniden puanlanması gibi süreçlerde yöneticilerin yer alması etkinliğin sağlanması açısından gereklidir⁴²⁵.

3.1.7.2.1.2. Denetim Evreninin Belirlenmesi

Denetim planının hazırlanmasının temel amacı iç denetim sürecinde hangi konuların denetleneceğine karar verilmesidir. Denetim konularının birleşimi ise denetim evrenini meydana getirmektedir. Denetim konuları, iş süreçleri, birim, bölüm, bölgesel veya yerel organizasyonlardaki ana veya alt fonksiyonlar ile dışarıdan temin edilen destek hizmetleri gibi unsurları da içerecek şekilde her biri kurumun işlevsel parçalarını oluşturan konuların birleşiminden oluşmaktadır⁴²⁶. Denetim planlamasının ilk aşamasında iç denetçi tarafından denetlenebilir bütün birimlerden oluşan denetim evreninin tanımlanması gerekmektedir⁴²⁷. Denetim evrenini, denetlenebilir alanların toplu bir listesi ya da denetlenebilir öğelerin tamamı olarak da tanımlamak mümkündür.

424 Phil Griffiths, a.g.e., s.68.

425 David Griffiths, Risk Based Internal Auditing –An Introduction, s.23.

426 Çetin Özbek, a.g.e., s.814.

427 David Mc Namee, a.g.e., s.83.

171

Kurum tarafından hedeflerin gerçekleştirilmesine yönelik olarak gerçekleştirilen herhangi bir faaliyetin denetlenebilir bir faaliyet sayılabilmesi için söz konusu faaliyetin kurumun amaçlarına ulaşmasına katkıda bulunması ve kurum faaliyetleri üzerinde ciddi bir etkisinin olmasının yanısıra önlem alınmaması halinde ortaya çıkacak kaybın denetime tahsis edilecek kaynaklardan daha fazlasını gerektirmesi gibi şartların varlığının değerlendirilmesi gereklidir⁴²⁸. Bu doğrultuda denetim evrenini kurumun stratejik planıyla ilgili olan ve sözkonusu planın gereklerinin yerine getirilmesinde önem taşıyan bütün süreç, proje, fonksiyon ve faaliyetlerin bir toplamı ve kurum bünyesinde gerçekleştirilebilecek denetim konularının bir listesi olarak tanımlamak uygun olacaktır.

Denetim evreninin belirlenmesi risk odaklı denetim yaklaşımı açısından büyük önem taşımaktadır. Denetim evreninin oluşturulması iç denetim sorumlusunun insiyatifinde yerine getirilmesi gereken bir faaliyet olmakla birlikte aynı zamanda etkinlik ve verimliliğin sağlanması açısından kurum bünyesinde farklı birim ve süreçlerde görev ifa eden personelin katkıları da önem arz etmektedir. Maruz kalınan ve faaliyetleri önemli ölçüde etkileme kabiliyetine sahip bütün risklerin yer aldığı risk kayıt tablosuna dayanılarak hazırlanan ve aynı zamanda kurumun kendine özgü karakteristiklerinden önemli ölçüde etkilenen denetim evreni, kurumun stratejik planı bileşenlerini de kavrayacak şekilde kurum amaçlarını yansıtmalıdır⁴²⁹. Aksi takdirde denetim evreninin kurumun amaçlarının gerçekleştirilmesine olan katkısı sınırlı ya da gerektiği düzeyde olmayacaktır.

Denetim evreninin içerdiği konular arasında; yönetim tarafından belirlenen riskler ve risk puanlamaları, risk tehdidi altında bulunan süreç ve hedefler, risk sahibi, geçmiş ve gelecek denetimlerin detayları, kontrollere ilişkin detaylar ve riskin yönetimi ile ilgili denetimler sayılabilmektedir⁴³⁰. Denetlenecek birim ve konuların belirlendiği denetim evreninin oluşturulması süreci farklı değerlendirmelerin yer aldığı iki aşamalı bir çalışmadan meydana gelmektedir.

428 David Mc Namee, a.g.e., s.83.

429 K.H. Spencer Pickett, The Internal Auditor at Work: A Practical Guıde to Everyday Challenges, s.153.

430 David Griffiths, Risk Based Internal Auditing –An Introduction, s.28.

172

Tablo- 3.4. Denetim Evren Modeli (Birinci Aşama)

Süreç

Tanımı Risk Risk Sonucu

Yapısal Risk Son Denetim Uyarlanmış Yapısal Risk

Kaynak: David Griffiths, Risk Based Internal Auditing-An Introduction, s.72.

Birinci aşamada kurumun karşı karşıya bulunduğu bütün risklerin denetim evreninde yer alması sağlanmalıdır. İlk aşama denetim evren modeli, kaynak yetersizliği gibi sebeplere bağlı olarak cari yıl içinde denetim imkanı olmasa bile muhtemel denetim alanlarının tamamını içermelidir⁴³¹. Bu risklere ilişkin etki, olasılık ve toplam skorlar, son denetim görüşü ve tarihi, fark, faktör ve toplam skordan oluşan uyarlanmış içsel/doğal risk ile süreçten sorumlu personelin ismi ve denetim grubuna denetim evreninin birinci aşamasında yer verilmelidir.

Tablo 3.4’de birinci aşama denetim evren modelinde süreç tanımı sütununda yer alan riskler beşli bir sınıflandırmaya dayalı olarak denetim evreninin ikinci aşamasına aktarılmalıdır⁴³². Bu çerçevede gerçekleştirilen risk değerlemesi neticesinde;

• Yüksek skora sahip olan riskler doğal olarak ikinci aşama denetim evrenine alınmalıdır.

• Risk alma iştahı sınırları içerisinde kalan riskler ikinci aşama denetim evrenine dahil edilmelidir.

• Risk alma iştahı sınırları dışında kalmakla birlikte tolere edilebilecek risklerin ikinci aşama risk denetim evrenine dahil edilip edilmeyeceğine kaynak kısıtı çerçevesinde karar verilmelidir.

• Bakiye risklerden üçüncü taraflardan güvence sağlanabilecek olanlar da ikinci aşama denetim evreninde yer almalıdır.

431 Phil Griffiths, a.g.e., s.73.

432 David Griffiths, Risk Based Internal Auditing- Three Views On Implemantation, s.20.

173

Tablo- 3.5. Denetim Evren Modeli (İkinci Aşama)

Risk Süreç

Kaynak: David Griffiths, Risk Based Internal Auditing-An Introduction, s.73.

Denetim evrenine dahil edilecek risklerin belirlenmesi ve bu risklerin önem derecelerinin saptanması denetim evreni sürecinin en problemli aşamasını oluşturmaktadır.

Denetim evreninde yer alacak faaliyet sayısı hakkında belirli bir sınırlama olmamakla birlikte denetim evreninin kapsayacağı faaliyetin sayısını mevcut iç denetim kadrosunun sayı ve niteliği belirleyecektir⁴³³.

Denetim evreninin doğru oluşturulması ve aynı zamanda denetim evrenine dahil edilen risklerin sıralamasının da doğru yapılması kaynak kullanımında etkinliğin sağlanması açısından çok önemlidir. Risk yönetimi olgunluk seviyesinin yüksek olduğu kurumlarda, risk odaklı iç denetim yaklaşımı nedeniyle bu tarz sakıncalar ortadan kalkmaktadır. Denetim evrenine son şeklinin verilmesi aşamasında üst yönetimin onayının alınması denetim felsefesine daha uygun olacaktır⁴³⁴.

Denetim evreninin yılda en az bir kez güncellenmesi denetim faaliyetinin yürütülmesinde etkinlik sağlamak açısından önemlidir. Güncelleme sayesinde kurum faaliyetleri üzerindeki etkisi ortadan kalkan bir risk denetim evreninden çıkartılırken yeni ortaya çıkan ve kurum faaliyetlerini önemli ölçüde olumsuz etkileme gücüne sahip risklerin denetim evrenine dahil edilmesi imkan dahiline girmektedir. Stratejik planı ve kaynak tahsisini etkileyebilecek her türlü gelişme ve kullanılan programların yenilenmesi gibi

433 Çetin Özbek, a.g.e., s.824.

434 Davut Pehlivanlı, a.g.t., s.105.

174

ayrıntıların denetim evrenine yansıtılması kurumun denetim fonksiyonundan beklediği katma değeri artıracaktır⁴³⁵.

Denetime ayrılan kaynakların nasıl tahsis edileceğine karar verebilmek için denetim konularının belirlenmesinin akabinde bankanın riske maruz kalma durumuna bağlı olarak önceliklerin belirlenmesi gerekmektedir. Denetim evreninin oluşturulması ile hedeflenen de kaynak kısıtı çerçevesinde ilgili yıl içinde denetlenecek alanların önceliklendirilmesidir. İç denetim sorumlusu denetim önceliklerini belirlerken çeşitli risk faktörlerinden faydalanmaktadır⁴³⁶.

Bu risk faktörleri aşağıdaki şekilde sıralanabilir⁴³⁷.

• Maddi tutar,

• Varlıkların likidite durumu,

• Büyüme hızı,

• Çalışan sayısı ve memnuniyeti,

• Çalışan devir oranı ve kalitesi,

• Anahtar personelde yapılan son değişiklikler,

• Belirlenmiş plan/bütçeden sapmalar,

• Gerçekleştirilen işlem sayısı,

• Muhasebe sistemindeki son değişiklikler,

• Ürün geliştirme ve son operasyonlar,

• Bilgi sistemlerinin yeterliliği,

• Güvenlik önlemlerinin yeterliliği,

• Dış faktörlere bağlılık derecesi,

• Kurum yapısının karmaşıklığı,

• Son denetimin ne zaman yapıldığı,

• Hırsızlık ve usulsüzlük olasılığı,

• Denetim görevlendirmesinin süresi,

• İç kontrollerin kalitesinin değerlendirilmesi,

435 K. H. Spencer Pickett, The Internal Auditor at Work: Apractical Guide to Everyday Challenges, s.154.

436 Uluslararası İç Denetim Enstitüsü, Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesi, 2010-2.

437 Davut Pehlivanlı, a.g.t., s.106.

175

• İtibar kaybı olasılığı.

Yukarıda sayılan risk faktörleri denetlenecek alanların önceliklendirilmesinde aynı ağırlığa sahip olmamakla birlikte iç denetimin bu husustaki kararını etkileyen önemli göstergelerdendir.

3.1.7.2.1.3. Denetim Planına Risk Transferi

İç denetçiler tarafından gerçekleştirilecek olan denetim kapsamının oluşturulması için belirlenen risklerin denetim planına aktarılması büyük önem taşımaktadır. Denetim sürecinin bu aşamasında, risk yönetim sürecinin çıktılarından olan risklerin kaydedilmesi, risk matrisi ve risk haritası kullanılmak suretiyle, denetim fonksiyonunun gerçekleştirilmesinde dikkate alınacak öncelikli alanların belirlenmesi önemlidir. Risklerin denetim programına aktarılmasından beklenen katkının ortaya çıkabilmesi için risklerin kaydedilmesi ve risk haritası ya da risk matrisi yöntemleriyle bankanın kurmuş olduğu risk yönetim sürecinden sağlanacak bilgilerin veri kalitesinin yüksek olmasına dikkat edilmelidir⁴³⁸.

Risk odaklı denetimde esas olan denetimin etkinlik ve verimliliğidir. Dolayısıyla denetim planlamasının sınırlı denetim kaynaklarının efektif ve verimli kullanılması sonucunu doğurabilmesi için, üst yönetim ve iç denetçi tarafından belirlenecek risklerin kurum faaliyetleri üzerinde önemli etkiye sahip olması gerekmektedir. Kurum faaliyetleri üzerinde önemli etkisi bulunmayan ve aynı zamanda ortaya çıkma olasılığı çok düşük olan faaliyet ve birimlerin denetimine kaynak tahsis edilmesi verimlilik ve etkinlik kriterlerini karşılamayacaktır.

Etkili bir denetim planının hazırlanmasında risklerin kaydedilmesi, risk haritası veya risk matrisinin kullanımı yoluyla risk yönetim sürecinden denetim planına aktarılacak risklerin yanında aynı zamanda üst yönetim tarafından bu risklere ilişkin önceliklerin belirlenmiş olmasının da kritik önemi bulunmaktadır⁴³⁹. Denetim evreninden elde edilen ve önemlilikleri dikkate alınmak suretiyle sıralanmış riskler, denetimin zamanlaması, kaynakların tahsisi, denetlenecek birimin/faaliyetin belirlenmesi için denetim programının hazırlanması ve planlama aşamalarında etkin olarak kullanılmalıdır⁴⁴⁰.

438 Davut Pehlivanlı, a.g.t., s.107.

439 Phil Griffiths, a.g.e., s.75.

440 David Griffiths, Risk Based Internal Auditing: An Introduction, s.32.

176 3.1.7.2.1.4. Beklenen Güvence Seviyesi

Denetimin derinliğinin ve yapılacak olan testlerin kapsamının belirlenebilmesi öncelikle yönetimin iç denetimden beklediği güvence seviyesinin belirlenmesini gerekli kılmaktadır. Kurumun risk alma iştahı üst yönetim tarafından talep edilecek güvence seviyesini etkileyen unsurların başında gelmektedir. Kurum risk olgunluğu da güvence seviyesini etkileyen önemli faktörlerden bir diğeridir.

Kurum için en yüksek riski oluşturan faaliyetler ve süreçler iç denetimin dikkatinin daha çok yoğunlaştığı alanlar olmalıdır⁴⁴¹. Bu sebeple yönetimin bu alanlara ilişkin isteyeceği güvence seviyesi doğal olarak düşük riskli alanlar için isteyeceği güvence seviyesine göre daha fazla olacaktır. Yönetimin çok yüksek seviyede güvence istediği alanlarda daha detaylı testlerin yapılması ve dolayısıyla denetime tahsis edilmiş olan kaynakların önemli bir kısmının bu alanlara yönlendirilmesi kaçınılmazdır⁴⁴².

Yönetim iç denetimden faaliyet alanları bazında ya da birim/şubeler için farklı düzeyde güvence isteyebilir. Esasında risk odaklı bir denetimde yönetim tarafından talep edilecek güvence seviyelerinin farklı olması risk odaklı denetim yaklaşımının temelini oluşturmaktadır. Riskin ortaya çıkma olasılığı ve çıkması halinde kurum faaliyetleri üzerinde oluşturacağı etki talep edilecek güvence seviyelerinin tespitinde anahtar rolündedir.

Beklenen güvence seviyesi denetimin kapsamını ve gerekli test miktarını doğal olarak etkilemektedir. İç denetçi üst yönetim tarafından kendisinden beklenen güvence seviyesini belirledikten sonra riskleri sınıflamak suretiyle denetim çalışmalarında denetlenecek risklere ve süreçlere karar vermelidir. İç denetçinin riskleri sınıflamasındaki amaç, çok sayıda riskle karşı karşıya bulunan kurumlarda planlamanın yapılmasını kolaylaştırmaktır⁴⁴³. Aksi takdirde denetim planlaması süreci daha karmaşık bir hal alacak ve dolayısıyla denetimden beklenen güvence seviyesi de zaafa uğrayacaktır.