Makale gönderim tarihi: 31.01.2017 Makale kabul tarihi: 06.05.2017
Amme İdaresi Dergisi, Cilt 50, Sayı 4, Aralık 2017, s. 115-133.
Yaklaşımı ve Strateji Geliştirme Birimlerinin
Bu Kapsamda Üstlenebilecekleri Roller
Halis KIRAL
*ve İsmail İlhan HATİPOĞLU
**Öz: Kontrol öz değerlendirme, gerçekleştirilen faaliyetlerden doğrudan sorumlu olan personelin, yürütülen faaliyetlere yönelik riskleri, kontrolleri veya kurumsal hedeflere ulaşılabilirliği, bir kolaylaştırıcı eşliğinde kapsamlı ve sistematik bir biçimde gözden geçirme ve değerlendirme sürecidir. Bu yaklaşım sayesinde yönetici ve çalışanların, kurumun hedef, risk ve kontrollerini daha bütüncül olarak değerlendirmeleri mümkün hale gelmektedir. Bu çalışmada, iç kontrolün risk değerlendirme bileşeni kapsamında strateji geliştirme birimlerinin (SGB) başvurabilecekleri bir yöntem olarak kontrol öz değerlendirme konusu irdelenecek olup, bu kapsamda SGB’lerin üstlenebilecekleri görev ve rollerin tespit edilmesi amaçlanmaktadır. Böylece, kamu idarelerinde etkili bir iç kontrol ve risk yönetimi sisteminin hayata geçirilmesi hususunda önemli kazanımlar elde edilebilecektir.
Anahtar Kelimeler: Kontrol öz değerlendirme, iç kontrol, risk yönetimi, iç denetim, mali yönetim ve kontrol
Control Self-Assessment Approach as a Tool for Risk Management and the Roles of Strategy Development Units that can be Assumed Within This Context
Abstract: Control self-assessment is a comprehensive and systematic process of monitoring and evaluating the risks and controls related to the activities undertaken and the attainability of organizational objectives, which is performed by the personnel directly responsible for the operations with the assistance of a facilitator. This approach enables the managers and personnel to make a holistic evaluation of an organization’s objectives, risks, and controls. This study addresses control self-assessment as a method which can be applied by strategy development units (SDU) in the context of risk assessment component of internal control and aims to determine the duties and roles that can be assumed by SDUs within this context. Thus, significant benefits might be gained for the implementation of an effective internal control and risk management system in public administrations.
Keywords: Control self-assessment, internal control, risk management, internal audit, financial management and control
*Yrd. Doç. Dr., Ankara Sosyal Bilimler Üniversitesi, Siyasal Bilgiler Fakültesi, Ekonomi Bölümü,
Ulus/Altındağ/Ankara/Türkiye.
** Müsteşar Yrd., Maliye Bakanlığı Müsteşar Yrd., İç Denetim Koordinasyon Kurulu Başkanı,
Giriş
Türkiye’de 1.1.2006 tarihi itibariyle tüm hükümleriyle birlikte yürürlüğe giren 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununun temel amaçları arasında; kamu kaynaklarının etkili, ekonomik ve verimli bir şekilde elde edilmesi ve kullanılması, hesap verebilirliğin ve malî saydamlığın sağlanmasını temin etmek üzere kamu malî yönetiminin yapısı ve işleyişi ile malî kontrolün düzenlenmesi yer almaktadır. Kanunun ‘İç Kontrol Sistemi’ başlıklı beşinci kısmında ise iç kontrolün tanımı yapılmış, amaçları sıralanmış ve kamu idarelerinin mali yönetim ve kontrol sistemlerinin; harcama birimleri, muhasebe ve mali hizmetler ile ön mali kontrol ve iç denetimden oluştuğu ifade edilmiştir. 5018 sayılı Kanun uyarınca üst yöneticiler, mali yönetim ve kontrol sisteminin işleyişinin gözetilmesi ve izlenmesi konularında Bakana; mahallî idarelerde ise meclislerine karşı sorumludurlar. Kanun, üst yöneticinin bu sorumluluğunun gereklerini; harcama yetkilileri, mali hizmetler birimi ve iç denetçiler aracılığıyla yerine getireceği hükmüne yer vermiştir (5018 sk, m.11). Bu kapsamda, gözetim ve izleme sorumluluğu üst yöneticiye ait olan iç kontrol sisteminin kurulması, standartlarının uygulanması ve geliştirilmesi konularında çalışmalar yapılması ve söz konusu sonuçların üst yöneticiye sunulması görevi ise yine aynı Kanun ile idarelerin mali hizmetler birimi olan strateji geliştirme birimlerine1 (SGB) verilmiştir (5018 s.k, m. 60).
Kamu İç Kontrol Rehberinde ise, SGB’lerin iç kontrole ilişkin olarak görevleri, iç kontrol sisteminin birimlerde oluşturulması, uygulanması ve geliştirilmesi çalışmalarında koordinasyonu sağlamak ve birimlere eğitim ve rehberlik hizmeti vermek olarak sıralanmıştır. Kamu idarelerinde iç kontrol faaliyetlerinin yürütülmesine ilişkin ilke, iş, işlem ve süreçleri belirlemek amacıyla Maliye Bakanlığı tarafından yayımlanan İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslara göre iç kontrolün; kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ile gözetimden oluşan beş unsuru bulunmaktadır.
Bu çalışmada, ‘risk değerlendirme’ bileşeni kapsamında SGB’lerin başvurabilecekleri bir yöntem olarak kontrol öz değerlendirme konusu irdelenmekte ve bu kapsamda SGB’lerin üstlenebilecekleri görev ve rollerin tespit edilmesi amaçlanmaktadır. Öncelikle risk yönetimi konusuna değinilecek ve risk yönetiminde bir araç olarak kontrol öz değerlendirme yaklaşımı açıklanacaktır. Daha sonra SGB’lerin kontrol öz değerlendirme konusunda üstlenebilecekleri roller irdelenecek olup, son bölümde ise sonuç ve değerlendirmelere yer verilecektir.
1Strateji geliştirme birimleri: Strateji geliştirme başkanlıkları ve strateji geliştirme daire başkanlıkları ile
Kontrol öz değerlendirme konusunu iç denetim birimlerinin rolü çerçevesinde inceleyen çalışmalar (Keskin, 2006; Kurnaz & Çetinoğlu, 2010, Kiracı, 2014 gibi) bulunmakla birlikte, bilgimiz dâhilinde, konuyu strateji geliştirme birimleri çerçevesinde ele alan ilk çalışma olması bakımından çalışmamız literatüre katkı niteliğindedir.
Risk Yönetimi
Kamu idarelerinde iç kontrol sistemi kurulmasına, sistemin yapısı ve işleyişine yönelik düzenlemeler 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ve buna ilişkin ikincil ve üçüncül düzey mevzuatta yer almaktadır. 5018 sayılı Kanunun 55. Maddesinde iç kontrolün tanımı;
“idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür.”
olarak yapılmıştır. Aynı maddede malî yönetim ve iç kontrol süreçlerine ilişkin standartlar ve yöntemlerin Maliye Bakanlığı tarafından belirleneceği, geliştirileceği, uyumlaştırılacağı ve kamu idarelerine rehberlik hizmeti verileceği düzenlenmiştir. Bu kapsamda, Maliye Bakanlığı tarafından 2005 yılında İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslar (bundan sonra “Esaslar” olarak ifade edilecektir) yayımlanmıştır. Söz konusu Esaslarda iç kontrolün; kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ile gözetimden oluşan beş unsuru bulunduğu belirtilmiştir (Esaslar, m.7). Aynı Esaslarda ayrıca, merkezi uyumlaştırma görevi çerçevesinde iç kontrol standartlarının Maliye Bakanlığı tarafından belirleneceği ve idarelerin, malî ve malî olmayan tüm işlemlerinde bu standartlara uymakla ve gereğini yerine getirmekle yükümlü olduğu düzenlenmiştir (Esaslar, m. 5).
Bu çerçevede, 2007 yılında Kamu İç Kontrol Standartları (KİKS) yayımlanmıştır. Standartlar, COSO (Treadway Komisyonunu Destekleyenler Komitesi) Modeli, INTOSAI (Uluslararası Sayıştaylar Birliği) Kamu Kesimi İç Kontrol Standartları Rehberi ve Avrupa Birliği İç Kontrol Standartları dikkate alınarak belirlenmiştir. Standartlar, Esaslar ile belirlenen kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ile gözetim bileşenlerini 18 standart ve 79 genel şart aracılığıyla detaylandırmıştır (KİKS, 2007).
Dolayısıyla, bir kurumda etkin bir iç kontrol sisteminden bahsedilebilmesi için, söz konusu bileşenlerin her birinin mevcut ve işler durumda bulunması ve bunların bütünleşik bir biçimde uygulanması gerekmektedir. Söz konusu bileşenlerden herhangi birinin mevcudiyeti ya da işlerliği konusunda esaslı bir eksiklik ya da bu bileşenlerin bütünleşik bir biçimde uygulanmasında bir zafiyet
bulunması halinde, kurumun etkili bir iç kontrol sistemine sahip olduğunun söylenebilmesi mümkün değildir (COSO, 2013:8). Her ne kadar iç kontrol sisteminin yapıtaşlarını oluşturan bileşenlerden herhangi birinin diğerinden daha önemli olduğunu söylemek güç olsa da, bu bileşenlerden biri olan ‘risk değerlendirme’ ya da daha genel bir ifadeyle risk yönetiminin son yıllarda diğer bileşenlere göre daha çok ön plana çıktığı söylenebilir. Bu alanda muhtelif standart ve çerçevelerin oluşturulmaya başlanarak kamu ve özel sektörde uygulama alanının yaygınlaştığı görülmektedir. Bu kapsamda, COSO, ISO (Uluslararası Standartlar Örgütü), ISACA (Bilgi Sistemleri Denetim ve Kontrol Birliği), RIMS (Risk Yönetimi Topluluğu) ve FERMA (Avrupa Risk Yönetimi Birliği Federasyonu) gibi kuruluşlar risk yönetimi üzerine rehberler yayımlamışlardır (Kıral, 2014: 319). Bu rehberlerden en bilineni ise, 2004 yılında COSO tarafından yayımlanan Kurumsal Risk Yönetimi-Bütünleşik Çerçevedir (COSO KRY). COSO KRY, COSO İç Kontrol Çerçevesini de kapsayan daha geniş bir perspektif sunduğunu ifade etmekte ve kurumsal risk yönetimini kavramının iç kontrolü de kapsayan bir çatı kavram olduğunu vurgulamaktadır (COSO, 2004: 8).
COSO KRY Çerçevesinde kurumsal risk yönetimi;
“Bir kurumun yönetim kurulu, yöneticileri ve diğer çalışanları tarafından şekillendirilen, kurum genelinde ve stratejiler doğrultusunda uygulanan, kurumu etkileyebilecek olası olayların tespit edilmesi ve risklerin, kurumun risk alma isteği kapsamında yönetilmesi için tasarlanan, kurumun hedeflerine ulaşmasını destekleyecek bir süreçtir.”
şeklinde tanımlanmıştır (COSO, 2004: 4). Ülkemizde ise yürürlükteki mevzuata göre kanun düzeyinde bir tanımı olmamakla birlikte, Kamu İç Kontrol Rehberine göre risk yönetimi; “gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler” olarak tanımlanmıştır. Buna göre risk yönetimi, kurumsal yaklaşım ve üst düzey politikaları ifade eden risk stratejisinin belirlenmesinin ardından, risklerin tespit edilmesi, değerlendirilmesi, risklere cevap verilmesi, risklerin gözden geçirilmesi ve raporlanması aşamalarından oluşmaktadır. (Bkz. Şekil 1. Risk yönetimi süreci).
Bu kapsamda Kamu İç Kontrol Rehberine göre risk yönetimi süreci aşamaları şu şekildedir:
(i) Risklerin tespit edilmesi: Kurumun amaç ve hedeflerine ulaşmasını engelleyen ya da zorlaştıran risklerin belirlenmesi aşamasıdır.
(ii) Risklerin değerlendirilmesi: Risklerin tespit edilmesi aşamasında belirlenen risklerin, etkileri ve gerçekleşme olasılıkları açısından değerlendirilerek önceliklendirilmesidir.
(iii) Risklere cevap verilmesi: Değerlendirmeye tabi tutulan ve önem sırasına göre önceliklendirilen risklerin, kurumun risk strateji belgesi ile belirlenen risk iştahı2
çerçevesinde analiz edilmesi ve kurumun risk iştahının üzerinde kalan risklere ilişkin olarak muhtelif tedbirlerin alınması ya da kurumun fayda elde edebileceğini düşündüğü fırsatlardan istifade edilebilmesi için atılabilecek adımların tasarlanması aşamasıdır.
(iv) Risklerin gözden geçirilmesi ve raporlanması: Tespit edilmiş bulunan riskler ile risk belirleme, değerlendirme ve cevap verme süreçlerinin etkinliğinin sürekli olarak gözden geçirilmesi ve koşullarda meydana gelen değişikliklerin bu unsurlara yansıtılmasıdır. Raporlama ise, risklerin ve risk yönetimine ilişkin süreçlerin kayıt altına alınmasıdır.
2 Risk İştahı: Yönetimin kabul edilebilir olduğunu düşündüğü risk seviyesidir.
Şekil 1. Risk Yönetimi Süreci
Risk yönetimi faaliyetinin etkili bir şekilde işlemesi ve arzu edilen sonuçları vermesi için risk yönetimi faaliyetlerine gerekli özen gösterilmelidir. Bu anlamda belirlenen riskler sürekli gözden geçirilmeli ve varsa değişiklikler yansıtılmalı, risk yönetimi süreci izlenmeli, sürecin eksiklikleri tespit edilmeli ve giderilmelidir. Risk yönetim sürecinin etkinliği aynı zamanda risk yönetimi için uygun ve etkili araçlar seçimine ve seçilen araçların etkin bir şekilde uygulanmasına da bağlıdır. Bu kapsamda, beyin fırtınası, odak grup toplantıları, senaryo analizleri, GZFT (Güçlü, Zayıf, Fırsatlar ve Tehditler) analizi, PESTLE (Politik, Ekonomik, Sosyal, Teknolojik, Yasal ve Çevresel) analizinin yanı sıra kontrol öz değerlendirme gibi risk belirleme araçları bulunmaktadır.
Risk Yönetimi Aracı Olarak Kontrol Öz Değerlendirme
Kontrol öz değerlendirme (Control Self-Assessment), bir faaliyeti bizzat yürütmekle görevli olan personel tarafından bu faaliyetlere ilişkin risklerin, kontrollerin ve/veya hedeflerin ulaşılabilirliğinin değerlendirilmesidir (Adams vd., 2012: 284). Benzer bir şekilde Uluslararası İç Denetçiler Enstitüsü (IIA, 1998: 1) kontrol öz değerlendirmeyi; hedefleri, hedefler ile ilişkili riskleri ve bu riskleri yönetmek için uygulanan iç kontrolleri gözden geçirmeye yarayan bir metodoloji olarak tanımlamakta ve yöntemin amacının kurumsal hedeflere ulaşılmasında yönetime yardımcı olunması şeklinde ortaya koymaktadır.
Makosz (2005: 423), kontrol öz değerlendirme kavramının ‘öz’ bileşenini vurgulamış ve kontrol faaliyetlerinin kapsamının çok geniş ve dönüşümün çok hızlı olduğunu belirterek, kontrollerin mevcut durumunun doğru bir şekilde değerlendirilebilmesinin ancak bu kontrolleri yürütenlerce gerçekleştirilebileceğini belirtmiştir. Kontrol öz değerlendirme kapsamında bir araya getirilen ve kendi fikrini beyan eden çok sayıda katılımcının varlığı ‘değerlendirme’ unsuruna nesnellik kazandırmakta ve sonuçların bir veya birkaç kişinin öznel fikirlerine dayandırılmasının önüne geçmektedir.
Öte yandan Hubbard (2002: 22), kontrol öz değerlendirmenin, kurum personelinin bir kolaylaştırıcı (moderatör) eşliğinde kendilerine ait risk ve kontrolleri değerlendirdikleri kurumun tüm süreçlerini de kapsayan genel bir kavram olduğunu ifade etmektedir.
Kontrol öz değerlendirme, faaliyetlerden doğrudan sorumlu olan personelin, yürütülen faaliyetlere yönelik riskleri, kontrolleri veya kurumsal hedeflere ulaşılabilirliği bir kolaylaştırıcı eşliğinde, kapsamlı ve sistematik bir biçimde gözden geçirme ve değerlendirme sürecidir (Kincaid vd., 2004:35-36). Böylece, kontrol öz değerlendirme ile çalışanların kurum hedefleri, riskleri ve kontrollerini anlamaları sağlanmaktadır (Keskin, 2006: 66). Kontrol öz değerlendirme yaklaşımı sayesinde, yöneticiler ve çalışanlar;
- Bu risklere karşı uygulanan kontrollerin değerlendirilmesi,
- Risklerin kabul edilebilir düzeylere indirilmesi için eylem planları oluşturulması ve
- Hedeflere ulaşma olasılığının tespit edilmesi
süreçlerine katılım imkânı elde etmektedir (Türkiye İç Denetim Enstitüsü, TİDE, 2001: 222).
Bunun yanı sıra kontrol öz değerlendirme, risklerin ve kontrollerin zamanında teşhis edilmesini sağlayarak, erken uyarı sistemi gibi çalışmaktadır (Kiracı, 2014: 609). Dolayısıyla, bu yöntem tespit edici olmaktan çok önleyicidir. Böylece çalışanlar, riskleri ortaya çıktıktan sonra değil, riskler ortaya çıkmadan önce tespit etmek ve gerekli tedbiri almak konusunda daha fazla imkana kavuşacaktır (McNally, 2007). Yönetim açısından, riskler ortaya çıkmadan önleyici tedbirler alınması, meydana geldikten sonra düzeltici tedbirler alınmasından daha önemlidir (Keskin, 2009: 68). Diğer bir deyişle, risklerin sebeplerinin yönetilmesi, etkilerinin yönetilmesinden daha etkindir.
Kontrol öz değerlendirme aynı zamanda, kurumsal kültür, etik değerler, iletişim veya yönetimin tavrı gibi iç kontrol ortamının değerlendirilmesinde de kullanılabilen bir araçtır (Orange County Internal Audit, 2015; Makozs, 2005: 422; Kiracı, 2014: 611; TİDE, 2001: 223; IIA, 2004: 39: IIA, 1998: 9).
Kontrol Öz Değerlendirmede Kullanılan Yöntemler
Kontrol öz değerlendirmede sıklıkla kullanılan üç yöntem; kolaylaştırılmış çalıştaylar, anketler ve yapılandırılmış mülakatlardır (Adams vd., 2012: 285). IIA Uluslararası Mesleki Uygulama Çerçevesine (UMUÇ) ilişkin uygulama önerisinde ise3 çalıştay ve anketlere ilave olarak yönetici analizlerine de yer
verilmiştir (IIA, 2004: 56; TİDE, 2001: 224).
Kontrol öz değerlendirme sürecinin kurumlarda yürütülmesi esnasında kurumların kullanabileceği yöntemler; kurumun faaliyet gösterdiği alan ve coğrafya, kurumun yapısı, kültürü ve yönetim tarzı, kurum personeline yapılan yetki devirlerinin düzeyi ve kurum strateji ve politikalarının oluşturulma tarzına bağlı olarak değişiklik gösterebilmektedir. Dolayısıyla, kontrol öz değerlendirme sürecinde kullanılan yöntemlerin, her kurumun kendine özgü koşullarına göre farklılık göstermesi, bir kurumda başarıya ulaşan bir yöntemin, diğer bir kurumda başarılı olmayabileceği hususu göz önünde bulundurulmalıdır (IIA, 2004: 53; TİDE, 2001: 224). Örneğin, katılımcı yaklaşımın çok yaygın olmadığı kurumsal kültürlerde, anket yöntemi daha uygun olabilecekken; yönetici ve çalışanların kolay bir şekilde bir araya gelebildiği ve iç kontrole ilişkin hususları açıkça tartışabildiği kurumsal
kültürlerde ise çalıştay yönteminin seçilmesi daha uygun olacaktır (Moeller, 2009: 257).
Çalıştaylar
Çalıştaylar, kontrol öz değerlendirme yönteminde en yaygın olarak kullanılan yöntemdir (Keskin, 2009: 89; Adams vd., 2012: 285). Kontrol öz değerlendirme çalıştayları; iç kontrolün etkinliğini, riskleri, kontrolleri veya hedeflerle ilgili belirlenmiş alanları değerlendirmek üzere gerçekleştirilen toplantılardır (MB, 2014b: 16). Çalıştaylarda, birimleri ve fonksiyonları farklı seviyelerde temsil eden personelin bir araya getirilmesi ve bilgilerinden istifade edilmesi amaçlanır (IIA, 2004: 54; Moeller, 2009: 258). Temel hedef, kurum çalışanlarından temsili bir örneklem oluşturulması ve oluşturulan örneklem grubunun belirlenmiş kurum süreçlerinin risk ve kontrollerini tartışmalarının sağlanmasıdır (Moeller, 2009: 257-258).
Çalıştaylar esnasında yapılacak tartışmalara, ilgili birimin yöneticilerinden en alt seviye çalışana kadar tüm düzeyde çalışanların katılması gerektiğinden, çalıştaydan en iyi sonucun alınabilmesi için birim dışından birinin tartışmaları yönlendirmesi ya da diğer bir ifade ile kolaylaştırıcı (facilitator-moderatör) rolü üstlenmesi gerekmektedir (Moeller, 2009: 255). Kolaylaştırıcının temel görevi, kurumsal hedefleri, bu hedeflere ulaşmada karşılaşılabilecek riskleri ve bu riskleri yönetmek için uygulanabilecek kontrolleri değerlendiren kurum çalışanlarına destek olmak ve kurumsal açıdan önemli kararların alınması sürecine yardımcı olmaktadır (IIA, 2004: 54). Çalıştayın organize edilmesi, kontrol öz değerlendirme kavramının ve amaçlarının katılımcılara anlatılması, katılımcılar tarafından değerlendirilecek soruların geliştirilmesi, sonuçların kayıt altına alınması, grup dinamiğinin gözetilmesi ile dengeli bir tartışma ortamının oluşturulması ve sürdürülmesinde kolaylaştırıcıların sorumlulukları bulunmaktadır. Bu bakımdan, çalıştaylarda görev alacak kolaylaştırıcılar, tartışma ortamını yönetebilmeli ve karar alım sürecinde katılımcılara destek olabilmelidir (IIA, 2004).
Çalıştayların hedefler, riskler, kontroller ya da süreçler esas alınmak suretiyle yürütülebilmesi mümkündür (IIA, 2004: 54; Moeller, 2009: 58). Çalıştay biçimleri aşağıdaki gibi sıralanıp açıklanabilir
a. Hedef odaklı çalıştaylar, mevcut kontrollerin kurumsal hedeflere ulaşılmasında etkili ve uygun olup olmadıklarının değerlendirilmesi ve söz konusu kontrollerin en uygun düzeyinin belirlenmesi amaçlanmaktadır. Hedeflere ulaşılmasında karşılaşılabilecek riskleri yönetmeyi sağlayan mevcut kontrollerin tespit edilerek, kontroller sonrası artık (bakiye) risklerin kabul edilebilir seviyede olup olmadıklarının değerlendirilmesi süreçlerini kapsar (IIA, 2004: 54; Moeller, 2009: 258).
b. Risk odaklı çalıştaylar, kurumun karşı karşıya kalabileceği risklerin tespit edilmesi üzerine yoğunlaşmaktadır. Çalıştay, kurumsal hedeflere ulaşmada engel olabilecek risklerin belirlenmesiyle başlar ve tespit edilebilen risklerin yönetilebilmesi için mevcut bulunan kontrollerin yeterli olup olmadığının değerlendirilmesiyle devam eder. Çalıştayın amacı, kurumsal hedefler açısından önem arz eden artık risklerin belirlenmesi ve değerlendirilmesidir (TİDE, 2001: 224-225; Moeller, 2009: 258-259; IIA, 2004: 54).
c. Kontrol odaklı çalıştaylar, mevcut kontrollerin iyi çalışıp çalışmadığı konusuna odaklanmaktadır. Çalıştayı yönlendirecek kolaylaştırıcının önemli riskleri ve bunlara ilişkin kontrolleri çalıştay esnasında tartışmaya açmak üzere önceden belirlemesi nedeniyle, hedef odaklı ve risk odaklı çalıştaylara göre daha formeldir. Çalıştay esnasında, mevcut kontrollerin riskleri ne ölçüde azalttığı ve kurumsal hedeflere ulaşılmasında ne derece etkin olduğu değerlendirilir (TİDE, 2001: 225; Moeller, 2009: 259; IIA, 2004: 55). d. Süreç odaklı çalıştaylar, kurumun tüm süreçleri ile bu süreçleri oluşturan
faaliyetleri ölçme, hızlandırma, geliştirme ve değerlemeye odaklanmaktadır. Genellikle bütün bir sürecin ve alt süreçlerin amaçlarının belirlenmesini içerir (TİDE, 2001: 225; Moeller, 2009: 259; IIA, 2004: 55).
Anketler
Anket formları, bir soru seti vasıtasıyla riskler, iç kontrol ya da süreçler hakkında bilgi edinebilmesi amacıyla oluşturulan ve hedef kitlenin rahatlıkla anlayabileceği soruları içeren formlardır. Anket formlarında kullanılacak sorular, çalıştayda kullanılacak sorular ile benzerlik göstermektedir. Ancak, çalıştaylarda herhangi bir sorunun ya da cevabın katılımcı ile karşılıklı olarak ve ayrıntılı bir biçimde görüşülebilmesi imkânı bulunurken, anketler bu imkandan yoksundur. Bu nedenle çalıştay soruları ile kıyaslandığında, anket yönteminde kullanılan sorular konunun detayları üzerine daha fazla yoğunlaşmalıdır.
Anket formları, katılımcıların çalıştay yöntemiyle bir araya getirilemeyecek kadar çok sayıda olması halinde tercih edilebilir. Bu tercih, ülkemiz kamu sektörü dikkate alındığında, taşrası ya da yurtdışı teşkilatı bulunan kurumlar nezdinde daha fazla anlam kazanmaktadır. Anketler, aynı zamanda, açık ve samimi tartışmaların kurum kültürü bünyesinde benimsenmediği kurumlarda, katılımcıların çok farklı alanlardan gelmesi halinde veya harcanan zamanın ya da masrafın asgarî düzeyde tutulmak istendiği durumlarda daha çok tercih edilir (TİDE, 2001: 225-226; Moeller, 2009: 259-260; IIA, 2004: 55; Adams vd., 2012: 287-288).
Yapılandırılmış Mülakatlar
Yapılandırılmış mülakatlarda, katılımcılara önceden hazırlanmış bir soru seti yöneltilerek sonuçlar konsolide edilir. Söz konusu soru setinin çalışanlara ya da
yöneticilere yöneltilmesi mümkündür. Yapılandırılmış mülakatların diğer yöntemlere kıyasla avantajı, herhangi bir konunun mülakat gerçekleştirilen kişi ile daha derinlemesine görüşülebilmesi ve gerekli güven ortamı sağlandığı takdirde mülakat yapılan kişilerden doğru ve faydalı bilgiler edinilebilmesidir. Öte yandan, örneklem sayısının sınırlı oluşu ile bu yöntemin oldukça uzun süreler gerektirmesi yöntemin olumsuz yönleri arasında sayılabilir (Adams vd., 2012: 289).
Yönetici analizleri
Yönetici analizleri, belirlenmiş süreç, kontrol ve risk yönetimi faaliyetleri hakkında bilgi toplanması amacıyla kullanılan ve yöneticiler tarafından cevaplanan yöntemlerin bütününü ifade etmektedir (Kiracı, 2014: 615-616). Bu yöntem genellikle hızlı cevap alınması gereken riskli bir alanda muhtemel çözümlerin belirlenmesi amacıyla kullanılmaktadır. Ayrıca bu yöntem, kısmi kontrol uyumsuzlukları ve hilelerin nedenlerinin araştırılması ve soruşturulması aşamasında görüş bildirilmesi, iç kontrol düzenlemelerine yönelik yeni bir sistem geliştirilmesi ya da farklı birimlerin birleştirilmesi gibi genel bir değerlendirme yapılmasının istenmesi durumunda da başvurulmaktadır.
Yönetici analizleri, diğer kontrol öz değerlendirme yöntemlerinden farklı olarak tüm çalışanların değil yalnızca yöneticilerin katılımıyla uygulanmaktadır. Bu yöntem, akademik bir gözden geçirmeyi ve karşılaştırmalı analizleri içerdiği için uygulamada zorluk ve kısıtlar barındıran bir yöntemdir (TİDE, 2001: 226; Moeller, 2009:261; IIA, 2004: 56).
Kontrol öz değerlendirme yaklaşımında en yaygın kullanılan yöntemlerden olan çalıştay, anket, yapılandırılmış mülakat ve yönetici analizlerinden hangisinin kurum açısından daha uygun olduğunun tespiti aşamasında kurumsal kültürün doğru bir biçimde değerlendirilmesi son derece önemlidir. Söz konusu değerlendirme ise ancak kurumsal yapıyı bilen ve birimler itibariyle çalışma kültürü konusunda tecrübeli kişilerce gerçekleştirilebilir. Bu kapsamda, ülkemiz kamu kurumlarında risk yönetimi faaliyetlerini gerçekleştirecek birimlerde kontrol öz değerlendirme yaklaşımının anlatılması ve özellikli koşulların dikkate alınması suretiyle birimler için en uygun yöntemin seçilmesi konusunda, iç denetim birimlerinin yanısıra strateji geliştirme birimlerinin önemli roller üstlenebilecekleri değerlendirilmektedir.
Bu kapsamda bir sonraki bölümde, strateji geliştirme birimlerinin risk yönetimi faaliyetleri kapsamında öz değerlendirme yaklaşımı aracılığıyla üstlenebilecekleri görevler ve benimseyebilecekleri roller değerlendirilmeye çalışılacaktır.
Strateji Geliştirme Birimlerinin Kontrol Öz Değerlendirme
Kapsamında Üstlenebilecekleri Roller
Kamu idarelerinde, 5018 sayılı Kanunda düzenlenen mali hizmetler birimine ilişkin görevleri yerine getirmek üzere 5436 sayılı Kanun ile Strateji Geliştirme Birimleri (SGB) kurulmuştur (5436 sk, m. 15). Böylece, SBG’lere stratejik planlama, bütçe ve performans programı, muhasebe-kesin hesap ve raporlama gibi görevlerin yanı sıra, “iç kontrol sisteminin kurulması, standartlarının uygulanması ve geliştirilmesi konularında çalışmalar yapma” görevi verilmiştir (5018 sk, m.60). Kamu İç Kontrol Rehberinde ise, SGB’lerin iç kontrole ilişkin olarak görevleri, iç kontrol sisteminin birimlerde oluşturulması, uygulanması ve geliştirilmesi çalışmalarında koordinasyonu sağlamak ve birimlere eğitim ve rehberlik hizmeti vermek olarak sıralanmıştır.
SGB’lerin iç kontrol sisteminin bir bileşeni olarak risk değerlendirme ya da daha genel bir kavram olarak risk yönetimine ilişkin görev, yetki ve sorumlulukları Kamu İç Kontrol Rehberinde;
“(i) İdarede risk yönetimine ilişkin çalışmaların koordine edilmesi ve iç kontrol sisteminin değerlendirilmesi kapsamında risk yönetiminin etkinliğini de değerlendirilerek belirli dönemler halinde İç Kontrol İzleme ve Yönlendirme Kuruluna (İKİYK) raporlanması,
(ii) Risk yönetimi süreçlerinin idarenin tüm birimlerinde etkin işlemesini sağlamak üzere teknik destek ve rehberlik hizmeti verilmesi,
(iii) Risk yönetimine ilişkin eğitim ihtiyaçlarının belirlenmesi, eğitim faaliyetlerinin yürütülmesi ve koordine edilmesi sorumluluğu,
(iv) Risk yönetimine ilişkin idaredeki iyi uygulamaların belirlenmesi ve bunların yaygınlaştırılması için çalışmalar yapılması,
(v) İKİYK’nin ve SGB yöneticisinin İdare Risk Koordinatörü (İRK) olmaması durumunda İRK’nin sekretarya hizmetlerinin yürütülmesi.”
olarak sıralanmıştır (MB, 2014a: 29). Ayrıca, Esasların 5. Maddesinde Kanuna ve iç kontrol standartlarına aykırı olmamak koşuluyla, idarelerce görev alanları çerçevesinde her türlü yöntem, süreç ve özellikli işlemlere ilişkin standartlar belirlenebileceği düzenlenmiştir. Bu sayede, idarelere iç kontrol ve risk yönetimi konusunda geniş bir alan, yetki ve sorumluluk verilmiş bulunmaktadır (Kıral ve Kılıç, 2014: 365). SGB’lerin kendilerine verilen bu görev ve sorumluluklarını daha etkili bir biçimde yerine getirebilmeleri için kurumlarında proaktif bir yaklaşım benimsemeleri gerekmektedir (Akdeniz, 2010: 474). Bu yaklaşım, kurumdaki diğer birimlere iç kontrol sistemi konusunda eğitim ve teknik destek verilmesini içerdiği gibi iç kontrol sistemlerinin olgunluk seviyesinin artırılmasına yönelik çalışmaların desteklenmesi, birimlere danışmanlık hizmeti verilmesi ve yeni uygulamalar
konusunda birimlerde farkındalığın artırılmasını da kapsamaktadır. Bu çerçevede, Kamu İç Kontrol Rehberinde, özel değerlendirmeler başlığı altında yer verilen öz değerlendirme çalıştaylarının iç kontrol sisteminin değerlendirilmesinin yanı sıra yönetici ve çalışanların idare hedeflerine ulaşılmasında iç kontrolün önemi konusunda bilinçlendirilmesine katkı sağlayacağı belirtilmiştir (MB, 2014a: 101). Ancak, Kamu İç Kontrol Rehberinde de yer verilmesine rağmen Türkiye’de kamu kurumlarında henüz sınırlı düzeyde uygulama imkânı bulan kontrol öz değerlendirme çalıştaylarında SGB’lerin öncülük rolünün istenilen düzeyde olduğunu söylemek zordur.
Kontrol öz değerlendirmenin, SGB’lerin idaredeki diğer birimlere iç kontrol sisteminin geliştirilmesine destek olma konusunda kullanabileceği önemli bir araç olduğu unutulmamalıdır. Dolayısıyla, SGB’lerin bu aşamada üstlenebilecekleri rol ve görevlerin netleştirilmesi kamu idarelerinde etkili bir iç kontrol ve risk yönetimi sisteminin hayata geçirilmesi bakımından önem kazanmaktadır. Bu kapsamda, SGB’lerin kontrol öz değerlendirme yaklaşımının risk yönetiminde uygulanması kapsamında üstlenebilecekleri ilk görev şüphesiz bilgilendirme görevidir. Nitekim asli görevleri itibariyle teknik ve farklı alanlarda faaliyet gösteren idaredeki diğer birimlerin (iç denetim birimi hariç) iç kontrol ve risk değerlendirme alanlarında uzman olmaları beklenmemelidir. Dolayısıyla yönetim kademeleri ve birimler, kontrol öz değerlendirme yaklaşımının hangi amaca hizmet ettiği ve birimdeki iç kontrol ve risk yönetimi faaliyetleri açısından faydaları konusunda SGB’ler tarafından bilgilendirilmelidir. Ergüden (2009: 52) de kontrol öz değerlendirmenin kurum içinde tanıtımının önemini vurgulamıştır. Bu çerçevede SGB’lere düşen öncelikli görev, kurum yönetimi ve birimlerin kontrol öz değerlendirmenin amacı, aşamaları ve yöntemleri konusunda doğru biçimde bilgilendirilmesini sağlamak olmalıdır.
Kontrol öz değerlendirme yaklaşımı kapsamında SGB’lere düşen en kritik rollerden birisi de, bu yaklaşımın uygulanmasında hangi yöntemin seçilmesi gerektiğine ilişkin olarak birimlere teknik destek sunmaktır. Nitekim yöntem seçiminde göz önünde bulundurulması gereken en önemli hususlardan biri, uygulanacak yöntemin kurum kültürüne uygun olmasıdır (TİDE, 2001: 224; Ergüden, 2009: 50; Moeller, 2009: 257). Hubbard (2014: 626), bir kurumda kontrol öz değerlendirmenin ilk kez uygulanacak olması halinde, zorluk potansiyeli en yüksek olan çalıştayların tercih edilmemesi gerektiğini vurgulamıştır. Dolayısıyla kontrol öz değerlendirme yaklaşımında en fazla verim alınabilecek yöntemi, birime özgü ayırt edici özellikler belirlemektedir.
Birime özgü özellikler kapsamında kurumsal kültürün yanı sıra, teşkilat yapısı, fiziki dağılımı, personel sayısı, personelin iç kontrol ve risk yönetimi alanındaki farkındalık ve bilgi düzeyi gibi unsurlar da dikkate alınmalıdır. Bir
kurumda ve muhtelif birimler itibariyle iç kontrol ve risk yönetimi kapsamında değerlendirme yapabilecek birimin, iç denetim birimlerinin yanısıra, SGB’ler olduğu açıktır. Bu kapsamda, kurumun geneli ve birimleri itibariyle sahip olduğu bilgi ve deneyimleri dikkate alındığında SGB’lerin, kontrol öz değerlendirme yaklaşımında hangi yöntemin sonuçları açısından azami fayda sağlayabileceği hususunda kuruma ve birimlere danışmanlık hizmeti sunabilecekleri düşünülmektedir.
Kontrol öz değerlendirmenin hangi yöntemle yürütülmesi gerektiğine karar verilmesinin ardından, seçilen yöntem itibariyle de SGB’lerin üstlenebilecekleri bir takım rollerden söz edilebilir. Buna göre, anket yönteminin benimsenmesi halinde, öncelikle ankette yer alacak soru setlerinin anketin amacına hizmet etmesi ve katılımcılarca anlaşılabilmesinin temin edilmesi gerekmektedir. İç kontrol, risk ve risk yönetimi gibi kavramlar konusunda strateji geliştirme birimlerine kıyasla teknik yetkinlikleri daha sınırlı olan kurumsal birimlerce hazırlanacak anket formlarının hazırlanmasında SGB’lerin ilgili birimlere teknik destek sunması, anket sonuçlarının anlamlılığı ve etkililiği açısından önem arz etmektedir. Diğer taraftan, hazırlanacak soru ve ibarelerin katılımcılar açısından anlaşılabilir ve iç kontrol konusundaki farkındalık düzeyleri ile uyumlu olması da, sonuçların etkililiği açısından önem teşkil eden bir başka unsurdur. Kurumsal birimlerde yürütülen iç kontrol bilgilerinin SGB’lerde toplandığı ve sonuçların burada konsolide edildiği dikkate alındığında, her bir birimin farkındalık düzeyi hakkında fikir sahibi olan SGB’lerin, hazırlanacak anketleri birim personelinin iç kontrol ve risk yönetimi alanındaki yetkinlik seviyeleri ile uyumlu hale getirmesinin de anket yönteminin başarısı için önem taşıdığı düşünülmektedir.
Risk yönetiminde uygulanabilecek kontrol öz değerlendirme yaklaşımındaki diğer bir yöntem ise çalıştaylardır. Çalıştaylar esnasında SGB’ler, çalıştaylara kolaylaştırıcı (moderatör) olarak katılarak sürece destek olabilirler. Nitekim çalıştay oturumlarını birim dışından ve tarafsız birinin yönlendirmesi sayesinde, sağlıklı bir tartışma ortamı oluşabilir. Böylece, tüm katılımcılara eşit oranda söz hakkı tanınması ve tüm fikirlerin eşit oranda dikkate alınabilmesi sağlanabilir. Bu amaçla, SGB’ler kolaylaştırıcı rolü üstlenmek suretiyle, tüm katılımcılara karşı eşit ve tarafsız bir mesafe sergileyerek çalıştayların daha etkin olmasına katkı sağlayabilirler.
SGB’lerin çalıştaylarda kolaylaştırıcı olarak görev alması onların yalnızca birim dışından ve tarafsız olması yönüyle değil, aynı zamanda iç kontrol ve risk yönetimi alanında yetkinleri sebebiyle de önemlidir. Nitekim IIA (1998: 5), çalıştaylarda görev alacak olan kolaylaştırıcıların iç kontrol alanında yetkin olması gerektiğini belirtmektedir. SGB’lerin kendilerine 5018 sayılı Kanunla verilen görevleri gereği iç kontrol ve risk yönetimi alanında uzmanlıklarının
bulunduğu ve birimlerin iç kontrol ve risk yönetimi çalışmalarının koordinasyonu esnasında birimler itibariyle önemli derecede bilgi birikimi elde ettikleri dikkate alındığında, SGB’lerin kontrol öz değerlendirme çalışmalarında kolaylaştırıcılık rolü üstlenmeleri çalıştayların etkinliği açısından son derece önemlidir.
Çalıştaylar, kurumun hedeflerini, bu hedeflere engel teşkil eden riskleri ve bu risklere yönelik kontrolleri ayrı ayrı veya bütüncül olarak değerlendirmeye imkân tanımaktadır. Bu yönüyle iyi yapılandırılmış çalıştaylar, hedef, risk ve kontrol unsurları arasında anlamlı ve kurumsal açıdan yararlı bağlantıların kurulmasına yardımcı olmaktadır. Diğer taraftan hedefler, riskler ve kontroller arasındaki bağlantıların ve bunların birbiriyle olan etkileşiminin daha iyi bir biçimde ortaya çıkarılabilmesi zaman zaman makro bir bakış açısını gerektirebilmektedir. Bu yönüyle SGB’ler, amaçların gerçekleştirilmesine yönelik olarak birimler arasında var olan bağlantı ve ilişkiler ile risklerin ve kontrollerin karşılıklı etkileşimleri konusunda bütüncül bir bakış açısı ve farklı bir perspektif sunabilir.
Öte yandan, kamu idarelerinde iç kontrol ve risk yönetimi alanlarında uzmanlığı olan diğer birim ise, iç denetim birimleridir. Esasında kontrol öz değerlendirme yaklaşımı iç denetçilere iç kontrol sürecinin yapılandırılmasında rehberlik etmek amacıyla geliştirilmiştir4 (Kiracı, 2014: 606). Ancak, kamu
idarelerinde iç denetim birimleri dışında, SGB’ler tarafından kontrol öz değerlendirme çalışmalarının koordinasyonunun sağlanması aynı zamanda iç denetim birimleri için de dışsal fayda oluşturacaktır. Kamu İç Denetim Standartlarının “Planlamada Dikkate Alınması Gerekenler” başlıklı 2201 Numaralı standardında; iç denetçilerin denetim veya danışmanlık görevleri planlanırken, Kamu İç Kontrol Standartlarına kıyasla, ilgili faaliyetin risk yönetimi ve kontrol süreçlerinin yeterliliği ve etkililiği hususlarının dikkate alınması gerektiği vurgulanmıştır. Bu bakımdan, kontrol öz değerlendirme çalışmaları sonucu yöneticiler ve çalışanlar tarafından belirlenen kurumsal riskler ve bu riskleri yönetmek için öngörülen kontroller risk esaslı denetim yapan iç denetim faaliyeti için önemli bir girdi olacaktır. Böylece, iç denetim birimi yüksek riskli alanlara öncelik vererek iç denetim kaynağını daha etkin kullanacak ve kuruma sağlayacağı katma değeri daha da artıracaktır. Diğer taraftan, SGB’ler aracılığıyla yapılan kontrol öz değerlendirme sonuçlarının yönetim dışında bir değerlendirme organı olan iç denetim tarafından kontrol edilmesi bu çalışmaların güvenirliliğini artıran bir unsur olacaktır. Kısaca, kontrol öz değerlendirme çalışmalarının koordinasyonunun SGB’ler tarafından
4 Kontrol öz değerlendirme, ilk olarak 1987 yılında Kanada’da Alberta Gulf Reseources Ltd.’de iç
denetçilerin iç kontrol sürecinin yapılandırılmasında rehberlik edecek bir yaklaşım olarak tasarlanmış ve uygulanmıştır (Pickett, 2010: 526).
yapılması ve bu çalışmaların sonuçlarının iç denetçiler tarafından “doğrulanması” kontrol öz değerlendirme çalışmalarının etkinliği artacaktır.
Ülkemizde kamu kurumlarında kontrol öz değerlendirme yaklaşımında anket yöntemi hariç diğer uygulamalarına sınırlı örnekler dışında çok fazla rastlanılmamaktadır. Bu örneklerden biri Aile ve Sosyal Politikalar Bakanlığı (ASPB) tarafından yapılan kontrol öz değerlendirme çalışmasıdır. ASPB Strateji Geliştirme Başkanlığı’nın 02/04/2012 tarih ve 11 sayılı İç Kontrol Sisteminin Oluşturulması Genelgesi kapsamında Bakanlık iç kontrol sisteminin oluşturulması çalışmaları, SGB koordinatörlüğünde, İç Denetim Birimi Başkanlığı danışmanlığında ve tüm birimlerin katılımı ile 30 Nisan – 4 Mayıs 2012 tarihleri arasında gerçekleştirilmiştir. Altı grupta düzenlenen çalıştayda; her grupta biri moderatör ve biri raportör olmak üzere iki iç denetçi ile SGB’den bir gözlemci katılmıştır. Çalıştay ile 6.4.2011 tarihli ve 6223 sayılı Kanun ile yeni kurulmuş bir bakanlığın iç kontrol sistemi ile stratejik yönetim süreçlerinin bütünleştirilmesi hedeflemiştir. Yönetim tarafından belirlenen hedefler üzerinden risklerin tespit edilmesi ve kontrol önerilerinin geliştirilmesi amaçlandığı için risk odaklı çalıştay yöntemi seçilmiştir (Yeşil, 2015: 101-104). Çalıştay sonucunda tespit edilen risklere ilişkin önlemlerin yerine getirilme durumlarını takip etme amacıyla ilgili birimlerin altı ayda bir SGB’ye rapor göndermeleri ve SGB’nin ise birimlerden gelen raporları konsolide ederek üst yönetime sunması kararlaştırılmıştır (Yeşil, 2015: 107). Ayrıca çalıştay sonuçları, Kamu İç Kontrol Standartlarına Uyum Eylem Planı Rehberi uyarınca hazırlanan ASPB Kamu İç Kontrol Standartları Uyum Eylem Planına da yansıtılmıştır (ASPB, 2013). Çalıştay sonucunda tespit edilen önerilere ilişkin gerçekleşmelerin düzenli olarak üst yöneticiye raporlanması hem üst yönetiminin desteğini almak açısından hem de çalıştaya katılan çalışanların kuruma aidiyet duygusunu güçlendirmek açısından oldukça önemlidir.
Çalıştayın yapıldığı tarihte yeni kurulmuş olan ve iç kontrol sistemi yeni yapılanmakta olan bir kurumda; üst yönetimden çalışanlara kadar her düzeyden katılımın sağlanabilmesi ve doğru uygulanması durumunda çalıştay etkin bir yöntem olmaktadır. Nitekim çalıştay sonunda katılımcılara yönelik yapılan anket sonuçları katılımcıların büyük çoğunluğunun çalıştayı başarılı bulduğunu göstermiştir5. Böylece, çalıştay yönteminin faaliyetlerde doğrudan rol ve
sorumluluk alan çalışanların sürece dâhil edilmesiyle; kurumsal hedef, risk ve kontrollerin çalışanlar tarafından daha iyi anlaşılmasına ve etkili bir iç kontrol
5
Katılımcılar tarafından eğitici ve moderatör olarak görev yapan iç denetçilerin performansının % 97,2 ile oldukça yüksek değerlendirildiği, eğitim/çalıştay organizasyonunun % 91 ile başarılı bulunduğu, eğitimin/çalıştayın çıktıları itibariyle kişisel gelişim ve kurumsal yapıya katkısının ise % 82 ile yüksek değerlendirildiği tespit edilmiştir (Yeşil, 2015: 107).
sistemi oluşturulmasına katkı sağladığını söylemek mümkündür (Yeşil, 2015: 107).
Bir diğer örnek ise, KİKS’e uyum düzeyini tespit etmek amacıyla Maliye Bakanlığı SGB tarafından Bakanlık personeline yönelik 2-8 Eylül 2014 tarihleri arasında yapılan İç Kontrol Öz Değerlendirme Anketidir. Bakanlık genelinde iç kontrol sisteminin değerlendirilmesinin daha fazla personelin katılımıyla gerçekleştirilmesi amacıyla anket yöntemi tercih edilmiş ve anket sonuçları ilgili birim yöneticilerine iletilmiştir. Daha sonra anket sonuçlarını değerlendirmeye yönelik 24 Eylül-1 Ekim 2014 tarihleri arasında SGB koordinasyonunda ve birim yöneticilerinin katılımıyla çalıştaylar yapılmıştır. Süreçte kolaylaştırıcı olarak SGB personelinden bir kişi yer almıştır (Yeşil, 2015: 109-114).
Maliye Bakanlığı gibi her ilde teşkilatı bulunan büyük bir bakanlıkta iç kontrol sisteminin değerlendirilmesinde anket yönetiminin seçilmesi makul gözükmektedir. Ancak, çalıştaylarda yöneticilerin yanı sıra her kademede görev yapan belli sayıda personelin de katılması çalıştayların etkinliğini daha da artıracaktır. Çalıştayda SGB’nin kolaylaştırıcı rolü üstlenmesi kontrol öz değerlendirme çalışmalarında SGB’lerin aktif katkı sağlaması bakımından örnek bir uygulama olarak gösterilebilir. SGB’lerin, kurum genelinde yürütülecek risk değerlendirmeleri kapsamında kontrol öz değerlendirme faaliyetlerine katılarak, bu faaliyetleri koordine etmek, yönlendirmek ya da kolaylaştırmak konusunda azami özen göstermelerinin, iç kontrol ve risk yönetiminin kurum genelinde ve birimler nezdinde güçlendirilmesi açısından önemli sonuçları olacaktır.
Sonuç
Kontrol öz değerlendirme yaklaşımı özel sektör ve kamu sektörünün uluslararası iyi uygulamalarında kullanılan önemli bir yönetim aracıdır. Yönetimin karar alma mekanizmasında etkinliğini artırmak ve yönetime sağlanan bilgi ve raporlamaların güvenilirliğine makul güvence sağlamak amacıyla tercih edilen bir yaklaşımdır. Bununla birlikte, küresel rekabet ortamında özel sektör ile kamu sektörünün işleyişi ve kuruma özgü stratejik amaç ve hedefler, maruz kaldıkları riskler kıyaslandığında iç kontrol sistem alt yapısının kurulmasındaki ihtiyaçların birbirinden farklı olacağı açıktır. Kontrol öz değerlendirme yaklaşımı, bu çeşitliliği dikkate alarak kurumun yapısı, sektörü, kurum kültürü ile beşeri sermayesine göre farklı çözüm önerileri sunmaktadır. Bu yönüyle sahip olduğu esnek bakış açısına bağlı olarak kurum kültürüne en uygun olan tekniğin tercih edilmesi, kontrol öz değerlendirmeden beklenen faydayı artıracaktır.
Kontrol öz değerlendirmenin uygulanması aşamasında kurumun iç kontrol ortamı hakkında edinilen bilgilerin güvenilirliği; seçilen yöntemin tutarlılığını
sağlamak açısından temel bir gerekliliktir. Bunun için kurum kültürü açık iletişime dayalı olmayan kurumlarda çalıştay yöntemini kullanmak başarısızlıkla sonuçlanabilir. Önemli olan, kontrol öz değerlendirme sürecinde görev alan tüm personelin kurum içinde hiyerarşik açıdan bulunduğu yerden bağımsız olarak, iç kontrol sisteminin aksaklıklarını, eksikliklerini ve risklerini objektif bir bakış açısıyla ifade edebilmesidir. Dolayısıyla, bu yöntemlerden hangisinin daha uygun olduğunun tespiti aşamasında kurumsal kültürün doğru bir biçimde değerlendirilmesi son derece önemlidir. Söz konusu değerlendirme ise ancak kurumsal yapıyı bilen ve birimler itibariyle çalışma kültürü konusunda tecrübeli kişilerce gerçekleştirilebilir. Stratejik hedefler, hedeflere ilişkin riskler ve bu risklere yönelik kontroller konusunda bilgi ve tecrübe sahibi olan SGB’lerin kontrol öz değerlendirme yaklaşımı ile kurumda risk yönetim sürecinin koordinasyonunda aktif rol alması; kamu idarelerinde etkili bir iç kontrol ve risk yönetimi sisteminin hayata geçirilmesi bakımından önemlidir. Bu kapsamda, SGB’ler, kontrol öz değerlendirme faaliyetlerine katılarak, uygulamaya yönelik eğitimler vererek, bu faaliyetleri koordine ederek ya da kolaylaştırıcı rolü üstlenerek kontrol öz değerlendirme çalışmalarının başarıyla tamamlanmasına katkı sağlayabilirler.
Ancak kontrol öz değerlendirme çalışması başarı ile tamamlansa bile süreç bununla sınırlı kalmamalıdır. Özellikle kontrol öz değerlendirme çalışması sonucunda çalışanlarca ortaya konulan tespit ve iyileştirme önerilerinin sonuçlarının yönetim tarafından yakından izlenmesi son derece önemlidir. Bu açıdan kamu sektöründeki olumlu etkilerin ne düzeyde olduğunun ölçülebilmesi için üst yönetimin farkındalığı ve desteği yapılacak çalışmalar için kritik önem taşımaktadır. Bu sayede bu yaklaşımın etkileri daha net görüleceği gibi önerileri dikkate alınan çalışanların kurumsal hedeflere ulaşılması için sergileyecekleri gayret ve kurumsal aidiyet duygusu daha da artacaktır. Böylece kurumun stratejik amaç ve hedeflerine ulaşması ve risklerini erken teşhis ederek yönetebilmesi mümkün olacaktır.
Kontrol öz değerlendirme tekniklerinin kurumun iç kontrol sisteminde sürekli uygulanması ve kurum kültürünün bir parçası haline getirilmesi durumunda iyi uygulama örneği olarak ortaya konabilir. Bu açıdan değerlendirildiğinde; literatürde genel kabul gören ve yaygın kullanımı olan kontrol öz değerlendirme tekniğinin Türkiye'de henüz yeteri kadar uygulanmadığı gözlemlenmektedir. Bu kapsamda, SGB’ler tarafından öz değerlendirme yaklaşımının amacının ve bu yaklaşımın faydalarının; üst yönetime ve kurumsal birimlere anlatılması ve bu konuda farkındalık oluşturulması öz değerlendirmenin ülke genelinde daha yaygın olarak kullanılmasına katkı sağlayacaktır.
Kaynakça
Adams, P., Cutler, S. , McCuaig, B., Rai, S., Roth, J. (2012), Sawyer’s Guide for
Internal Auditors, 6th Edition, The Institute of Internal Auditors Research
Foundation, Florida,978-0894137211
Aile ve Sosyal Politikalar Bakanlığı. (ASPB). (2013), ASPB iç kontrol standartları eylem planı (revize 25.01.2013). Erişim tarihi: 10.05.2017.
Akdeniz, İ. (2010),“Kamu Mali Yönetimi Reformunda Strateji Geliştirme Birimleri”, Maliye Dergisi, Sayı 159, Temmuz-Aralık 2010, s. 463-475.
COSO (2004), Enterprise Risk Management – Integrated Framework, Executive Summary Framework, The Committee of Sponsoring Organizations of the Treadway Commission.
COSO (2013), Internal Control – Integrated Framework, Executive Summary, The Committee of Sponsoring Organizations of the Treadway Commission, 978-1-93735-239-4
Ergüden, E. (2009), Kontrol öz değerlemesi, control self assessment–CSA, Mali Çözüm Dergisi. (93), 45-59.
http://archive.ismmmo.org.tr/docs/malicozum/93malicozum/4%20engin%20erguden .pdf (Erişim tarihi:15.11.2016)
Hubbard, L.D. (2002), “CSA by any name: control self-assessment, in its various forms, can be a powerful way to gather audit information. (Backto Basics)”, Internal Auditor, Dec. 2002
Hubbard, L.D. (2014), “Kontrol Öz Değerlendirme Uygulamasında Yapılan Beş Büyük Hata” , Kıral, H. (Ed.) İç Denetim, Yönetime Değer Katmak, İç Denetim
Koordinasyon Kurulu Yayınları, Yayın No:1, Ankara, s. 625-628. IIA (1998), “A Perspective on Control Self-Assessment”, Professional
PracticesPamphlet 98-2,The Institute of Internal Auditors, Florida.
IIA (2004), CCSA Certification in Control Self-Assessment, The Institute of Internal Auditors Research Foundation.
Keskin, D.A. (2006), İç Kontrol Sistemi Kontrol Öz Değerlendirme, Beta Yayınları, 1. Baskı, İstanbul.
Kıral, H. (2014), İç Denetimin Kurumsal Risk Yönetimindeki Rolü, H. Kıral, (Ed.), İç Denetim “Yönetime Değer Katmak” (317-332). Ankara: İç Denetim Koordinasyon Kurulu Yayınları No:1.
Kıral, H. ve Kılıç, E.M. (2013), Kamuda Kurumsal Risk Yönetimi, Altuğ, F., Kesik, A. ve Şeker, M. (Ed) , Kamu Bütçesinde Yeni Yaklaşımlar, Seçkin Yayınları, Nisan 2013.
Kincaid, J. K., Sampias, W. J.ve Marcella, A. J. (2004), CCSA Certification in control self-assessment (study guide). Florida: The Institute of Internal Auditors Research Foundation.
Kiracı, M. (2014), Kontrol öz değerlendirme. H. Kıral, (Ed.), İç Denetim “Yönetime Değer Katmak” (605-624). Ankara: İç Denetim Koordinasyon Kurulu Yayınları No:1.
Kurnaz, N. ve Çetinoğlu, T.(2010), İç Denetim Güncel Yaklaşımlar, Umuttepe Yayınları 1. Baskı, Kocaeli.
Makozs P. (2005), “Control Self-assessment”, Sawyer, L.B. , Dittenhofer, M.A. , Scheiner, J.H. , Graham, A. , Makosz, P., Sawyer’s Internal Auditing. 5th Edition (2005), The Institute of Internal Auditors, Florida, s.419-431.
Maliye Bakanlığı (2014a), Kamu İç Kontrol Rehberi; Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü, Maliye Bakanı Onayı, 07.02.2014, 13.
Maliye Bakanlığı (2014b), Maliye Bakanlığı İç Kontrol İzleme ve Değerlendirme Rehberi, Maliye Bakanlığı Strateji Geliştirme Başkanlığı, Ankara.
McNally, S. (2007), Control self-assessment: everybody pitching in with internal controls. http://www.accountingweb.com/practice/practice-excellence/control-self-assessment-everybody-pitching-in-with-internal-controls (27.01.2017)
Moeller, R. (2009). Brink’s Modern Internal Auditing–a Common Body of Knowledge, 7th Edition, New Jersey: John Wiley&Sons, Inc. 978-0-470-29303-4
Orange County Internal Audit (2015), Control self-assessment. http://ocgov.com/gov/ia/core/csa,(Erişim tarihi: 20.11.2016)
Pickett, K.H.S. (2010), The Internal Auditing Handbook, John Wiley Sons Ltd, 3rd Edition, 978-0-470-51871-7.
Türkiye İç Denetim Enstitüsü, (TİDE) (2001), Uygulama Önerisi 2120.A1-2: Kontrol Süreçlerinin Yeterliliğini Değerlendirmede Kontrol Öz Değerlendirme Yönteminin Kullanılması, Kuvvetle Tavsiye Edilen Rehber – Uygulama Önerileri.
Yeşil, T. (2015). İç Kontrol Sisteminin İzlenmesi ve Değerlendirilmesinde Kontrol Öz Değerlendirme Yaklaşımı, Yayımlanmamış Uzmanlık Tezi, Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü.
5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, R.G.: 24.12.2003, 25326. 5436 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu ile Bazı Kanun ve Kanun
Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun, R.G. 24.12.2005, 26033.
İç Kontrol ve Ön Malî Kontrole İlişkin Usul ve Esaslar, R.G.: 31.12.2005, 26040, 3.mükerrer
Kamu İç Kontrol Standartları Tebliği, R.G.:26.12.2007, 26738.
http://sgb.aile.gov.tr/data/5434f0ee369dc31d48e42db6/ic_kontrol_eylem_plani_revize. pdf
