Uygulamaya Yönelik Öneriler

Birim Bazlı Denetim Anlayışından Süreç Bazlı Denetim Anlayışına Geçiş

Son yıllarda bankacılık sektöründe meydana gelen zararların sebeplerinin araştırıldığı BIS’in "Bankacılıktaki iç kontrol sistemleri çerçevesi" dokümanında bahsedilen,

• Mevcut (klasik) denetim yaklaşımlarının, kurum faaliyetlerinin değerlendirilmesinde önemli bir rol oynamakla beraber Bankacılık sektöründeki yetersizliklerin teşhisinde etkin olamadığı,

• Buçyetersizliklerinçtemelde,çdenetimlerinçparçalıçgerçekleştiril mesi, iş sürecinin tamamı hakkında fikir sahibi olunmaması, ortaya çıkan problemlerin yeteri kadar takip edilmemesi şeklindeki 3 faktörün bileşiminden kaynaklandığı,

• Parçalı ya da bölünmüş denetim yaklaşımında temel olarak iç denetim programlarının aynı birim, departman ya da coğrafik alan üzerine kurgulandığı ve denetimlerin bu şekilde kurgulanmasının herhangi bir denetçinin, sürecin tamamını anlamasına imkan tanımadığı,

• İşlemlerin en başından sonuna kadar; örneğin bir işlemin başlatılmasından bu işlemin tamamlanarak raporlanmasına kadar geçen sürede yapılanların anlaşılmasını sağlayacak bir denetim yaklaşımının sürecin tamamı hakkında bilgi sahibi olunmasını sağlayacağı,

• Bu tür bir yaklaşımın ayrıca denetçilere sürecin her adımındaki kontrollerinin yeterliliğini test etme imkanı da tanıyacağı

hususları dikkate alınarak ideal bir Merkez Bankası iç denetim yapılanmasında birim bazlı klasik anlayış yerine süreç bazlı modern denetim anlayışının kabul edilmesinin en etkin yaklaşım olacağı düşünülmektedir.

Periyodik Denetim Yaklaşımından Risk Bazlı Denetim Planı Oluşturulması Yaklaşımına Geçiş

Klasik yaklaşımda periyodik aralıklarla gerçekleştirilen denetimler, modern yaklaşımda sistematik bir risk değerleme yöntemi çerçevesinde objektif olarak gerçekleştirilen risk değerleme çalışmasına dayandırılmaktadır. Buna göre ideal bir Merkez Bankası iç denetim modelinde denetimlerin;

• Kurum süreçlerine ilişkin risk ve kontrollerin uygun risk ve kontrol metodolojileri çerçevesinde belirlendiği,

• Analiz edildiği,

• Puan vermek suretiyle ölçüldüğü ve sayısal hale getirildiği,

• Elde edilen sonuçların değerlendirilerek yüksek ve düşük risk içeren süreçlerin denetim sıklığının farklı belirlendiği,

risk bazlı bir denetim planına dayanılarak gerçekleştirilmesinin en etkin uygulama olacağı düşünülmektedir.

Kontrol Odaklı Yaklaşımdan Risk Odaklı Yaklaşıma Geçiş

Son dönem merkez bankaları da dahil iç kontrol dünyasında, iç kontrol sisteminin değerlemesinde kontrol odaklı yaklaşımlardan risk odaklı yaklaşımlara doğru bir yönlenme gözlenmektedir. Kontrol odaklı yaklaşımlarda kontrollerin tasarımından önce risk değerlemesi yapılmamakta, bu da değerleme sırasında süreçle ilgili tüm risklerin belirlenmesini zorlaştırmaktadır. Ayrıca kontrol odaklı yaklaşımda, süreçlerle ilgili yeni riskler ve güncel değişiklikler dikkate alınmamaktadır. Kontrol odaklı yaklaşım, kontrollerin ilgili riskle bağlantısından daha çok mevcut yasal düzenlemelere uygunluğuna öncelik vermektedir.

Bu sınırlamalar dikkate alınarak Fransa Merkez Bankasındaki son dönem uygulamalara benzer şekilde risk yönetimi çalışmalarında ilk etapta kontrollerden daha çok süreçle ilgili temel ve detaylı risklerin belirlendiği, analiz edildiği, analitik bir çerçevede

değerlendiği ve buna göre kontrollerin tasarlandığı risk odaklı yaklaşımın en iyi uygulama olacağı düşünülmektedir.

Modern Denetim Yaklaşımının Kurum Bünyesinde Tanıtılması

Bugünkü modern iç denetim yaklaşımının, klasik yaklaşıma kıyasla denetim algılamasını büyük çapta değiştirdiği açıktır. Bu kapsamda modern iç denetim yaklaşımının içeriğinin kurum bünyesinde en üstten en alta kadar iletişiminin yapılması amacıyla kurumun dahili ağında denetim fonksiyonuna özel bir “iç denetim portalı” oluşturulmasının etkin bir iletişim sağlayacağı düşünülmektedir.

Etkin bir iç denetim portalı, TCMB örneğine benzer şekilde kurum çalışanlarının modern denetim yaklaşımı ve yöntemleri gibi konularda merak ettikleri tüm hususlara cevap verebilecek içerikte olması gerektiği gibi Amerikan New York Federal Rezerv Bankası ile Çek Cumhuriyeti Merkez Bankası örneğine benzer şekilde de Üst Yönetim dahil tüm kurum çalışanlarının uzaktan erişim yoluyla kendilerini ilgilendiren denetim, risk ve kontrol çalışmalarına anlık olarak erişebilecekleri ve denetim birimi ile karşılıklı bilgi alışverişinde bulunabilecekleri interaktif bir nitelikte olmalıdır.

Denetimler Çerçevesinde Getirilen Önerilerin Takibi

İç denetim birimlerince getirilen geliştirme ve iyileştirme yönündeki öneriler kadar bu önerilerin gerçekleştirilip gerçekleştirilmediğinin takibi de büyük önem taşımaktadır.

Avrupa Merkez Bankası ile Amerikan New York Federal Rezerv Bankası’nın, denetçilerce yapılan önerilerin takibi ile ilgili uygulamalarının merkez bankaları açısından ileri düzey örnekleri oluşturduğu düşünülmektedir. İdeal bir Merkez Bankası iç denetim biriminde Avrupa ve Amerikan New York Merkez Bankasındaki uygulamaların bir karması şeklinde;

• Denetim neticesindeki önerilerin ayrı bir sayfa halinde her rapora eklenmesi,

• Söz konusu önerileri gerçekleştirmekten sorumlu kişi ve birimlerin isimlerinin ve öngörülen gerçekleştirme takviminin bu raporda açıkça belirtilmesi,

• Birimlerin raporu aldıktan sonra önerilerle ilgili aksiyon planı hazırlamak ve gerçekleşme tarihi teklifinde bulunmak üzere yaklaşık iki haftalık bir sürelerinin bulunması,

• Denetimlerin üzerinden belirli bir süre geçtikten sonra "takip"

denetimleri adı ile sadece önerilere ilişkin operasyonel birimlerce verilen aksiyon planının ne derece gerçekleştirildiği ve takvim planına ne ölçüde uyulduğunu sorgulayan bir denetim gerçekleştirilmesi,

• Buçdenetiminçgünlük denetim faaliyetleri ile ilgilenmeyen, birim bünyesindeki denetçilerin gerçekleştirdiği farklı denetim faaliyetleri arasındaki bağlantıyı kurma ve denetçiler arasındaki işbirliği ile kurumsal bilgi paylaşımını sağlama işlevi üzerinde odaklanmış iç denetim birimi bünyesindeki ayrı bir grup tarafından yerine getirilmesinin

denetim bulgularının etkin bir şekilde takip edilmesine imkan sağlayacağı düşünülmektedir.

Modern Denetim Yazılımlarının Kullanılması

İdeal bir Merkez Bankası iç denetim modelinde, TCMB örneğine benzer şekilde belirli bir an itibarıyla herhangi bir denetçinin hangi denetimi gerçekleştirdiği, denetimin hangi aşamasında olduğu, ne tür bilgi ve belgeler tedarik ettiği ya da kendisi tarafından hangi tür bilgi ve belgelerin hazırlandığı, denetim süresince ast ya da üstüyle hangi bilgi ve belgeleri paylaştığı, paylaştığı bilgi ve belgelerle ilgili ne tür geri bildirimler aldığı, başlama ve bitiş süreleri, hazırlanan denetim programı, risk ve kontrol çalışmaları, taslak ve final raporların izlenmesine imkan verdiği gibi denetimler sırasında herhangi bir denetçinin ihtiyaç duyabileceği belirli bir şablon ve içeriğe sahip denetim programı, risk ve kontrol matrisleri, çalışma kağıtları, bulgu ve öneri kağıtları, tablolar gibi tüm dokümanların merkezi olarak

ulaşılabildiği modern bir denetim yazılımının kullanılmasının etkin bir uygulama olduğu düşünülmektedir.

Bununla birlikte Çek Merkez Bankasındaki uygulamaya benzer şekilde Banka Üst Yönetiminin (başta Yönetim Kurulu, Başkan ve Denetleme Kurulu olmak üzere) iç denetim birimince denetim yazılımına kaydedilen denetim bulgu ve önerileri ile risk ve kontrol değerlendirmelerinin tamamına, denetim yapılan ilgili birim ve personelin de bu çalışmalardan sadece kendilerini ilgilendirenlere erişiminin sağlanmasının en iyi uygulama olacağı düşünülmektedir.

Risk ve Kontrol Öz Değerleme Modelinin Uygulanması

Amerikan New York Federal Rezerv Bankası, Çek Cumhuriyeti Merkez Bankası,çFransaçMerkezçBankasıçve İngiltere Merkez Bankası ile ilgili yapılan incelemelerden çıkan sonuca göre, merkez bankalarının bünyesindeki idari ve operasyonel birimlerin kendi risk ve kontrollerini kendilerinin belirlediği, analiz ettiği, değerlediği ve buna bağlı kontrol mekanizmalarını geliştirdiği "risk ve kontrol öz değerleme" modeli (başta COSO olmak üzere) uygulaması giderek sektör standardı haline gelmektedir. Merkez Bankalarında risk ve kontrol öz değerleme modelinin uygulanmasının en iyi uygulama olduğu düşünülmektedir.

İç Denetim Fonksiyonunun Kalite Güvence ve İyileştirme Programından Geçirilmesi

Bu çalışma kapsamında örnek olarak incelenen Ülke Merkez Bankalarının tamamı 1312 sayılı uluslararası iç denetim standardına paralel bir şekilde iç denetim fonksiyonunu içsel "kalite değerleme" programından geçirmiş ya da geçirmektedir. Bu çerçevede ideal bir Merkez Bankası iç denetim fonksiyonu, uluslararası standartlar çerçevesinde düzenli ya da sürekli olarak içsel kalite değerleme ve 5 yılda bir konusunda uzman kişi ya da kuruluşların dışsal kalite değerlemesinden geçirilmelidir.