Risk
Transkript
Risk
İç Denetim ve Metodolojisi Emre Özbek Nedir? Ne işe yarar? Nasıl yapılır? Etimoloji • audit (n.) early 15c., from L. auditus "a hearing," pp. of audire "hear" (see audience). Official examination of accounts, which originally was an oral procedure. The verb is attested from mid-15c., from the noun. Related: Audited; auditing. • auditor early 14c., "official who receives and examines accounts;" late 14c., "a listener," from Anglo-Fr. auditour (O.Fr. oieor "listener, court clerk," 13c.; Mod.Fr. auditeur), from L. auditor "a hearer," from auditus, pp. of audire "to hear" (see audience). Meaning "receiver and examiner of accounts" is because this process formerly was done, and vouched for, orally. Kaynak: Online Etymology Dictionary 2009 Ekim 2007 Ekim Emre Özbek CIA, CISA, CRISC, SMMM, ISO31000A, ISO27001A 2004 Ocak 2002 Ocak 1996 Eylül 1995 Eylül 1991 Eylül Nedir? Ne işe yarar? Nasıl yapılır? İç Denetim nedir? • Tanım • İç Sistemler – Risk Yönetimi – İç Kontrol – İç Denetim Yaptıkları işin doğruluğuna inanan insanlar, çalışmalarının denetlenmesinden, karşı fikirler ortaya atılmasından ve tercihleri üzerinde münakaşa yapmaktan zevk alırlar. Mustafa Kemal Atatürk İç Denetim tanımı İç denetim, bir kurumun faaliyetlerini KAPSAM geliştirmek ve değer katmak amacını güden AMAÇ bağımsız ve objektif bir ROL ve SORUMLULUK güvence ve danışmanlık faaliyetidir. FAALİYET 3 hatlı müdafa Dış Denetim İç Denetim İç Kontrol Risk Yönetimi Vizyon ve Strateji İç Denetim ne işe yarar? • Çıktısı • Paydaşları • İlkeleri İç Denetim çıktısı Paydaşlar • Yönetim Kurulu • Denetim Komitesi • Yönetim • Dış Denetçiler Etik Kuralları • Dürüstlük (Güven) • Tarafsızlık • Nesnellik • Gizlilik • Yetkinlik (Ehil Olma) Page 15 İç Denetim nasıl yapılır? • Plan ve program • Proje • Yönetim • Meslek Denetim süreci II. Aşama Denetim Faaliyetleri I. Aşama Stratejik Planlama III. Aşama Kalite Güvence Risk Değerlendirmesi Planlama Denetim Komitesi Denetim Planı Saha Çalışması Kalite Değerlendirme Denetim Programı Raporlama Mesleki Uygulamalar Bulgu Takip Denetim planı ve programı Kapsam Risk Kaynak Denetim Planı ve Programı Risk Risk Risk Haritası Hedeflerin başarılmasında etkisi olacak bir olayın ortaya çıkma olasılığıdır. 4 Etki Risk, etki ve olasılık bakımından ölçülür. 5 3 2 1 0 0 1 2 3 Olasılık 4 5 Risk bazlı denetim planlaması • Denetim Evreni – İşletmenin tüm faaliyet, lokasyon, süreçleri • Risklerin tespiti • Risk değerlendirmesi • Risk İştahı – Kabul edilecek risk seviyesi • Önceliklendirilmiş riskler Risk Yönetimi 1 Risklerin belirlenmesi 1. Dış ve iç olaylar Stratejik hedefler Tehditler ve fırsatlar 4 İzleme ve takip 4. Risk seviyesi izleme Aksiyon planlarının takibi Risk yönetimi süreci ile ilgili değerlendirme 2 Risklerin ölçümlenmesi 2. Olası etki ölçümlemesi (kalitatif ve kantitatif) Gerçekleşme olasılığı “İçsel” risk seviyesi Risk Yönetimi 3 Risklerin indirgenmesi 3. Arzu edilen risk seviyesi İçsel seviyenin arzu edilene çekilmesi için yöntemler Aksiyon planları Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi Denetim projesi • Giriş • Planlama • Gelişme • Saha Çalışması • Sonuç • Raporlama • Bulgu Takip Denetim projesi Planlama • Kapsamın tespiti ve tanınması • İlgili süreçlerinin ve sistemlerin anlaşılması • Risklerin ve geçerli kontrollerin, standartların, kıyaslamaların tanımlanması • Stratejik plan ve kapsamlı planlama ile iş kapsamı arasında bağlantı oluşturulması • Kapsam, yaklaşım ve risk yönetimi açısından alternatif seçeneklerin düşünülmesi • Denetlenen ve ekibi ile iletişimde olmak • Kapsam, zaman ve bütçe açısından uzlaşmak Saha çalışması Kontrol Kontrol Kontrol Türleri Bir riskin indirgenmesi için uygulanan bir aktivitedir. • Önleyici • Tespit edici Etkin kontroller, süreçlerin içine yerleştirilmiştir, ek bir aktivite değildir ve şirketin günlük aktivitelerinin ayrılmaz bir parçasıdır. • Düzeltici • Alternatif • Manüel • Otomatik Kontrol örnekleri Otomatik ya da Manüel Önleyici ya da Tespit Edici Finans direktörü, satış raporunu bütçe ile her ay karşılaştırmaktadır. Manüel Tespit edici Alacak yaşlandırma raporu aylık periyotta gözden geçirilerek 60 günden uzun süredir ödenmemiş borçların takip edilmesinde kullanılmaktadır. Manüel Tespit edici Faturalar, sistem içerisine yerleştirilmiş otorizasyon limitleri doğrultusunda onaylanmaktadır. Otomatik Önleyici Satış müdürü tarafından aylık raporlar ile satış ekibinin geçen seneye göre satışları ne oranda geliştirdiği incelenmektedir. Manüel Tespit edici Depodaki tüm envanterin sayımı her ay gerçekleştirilmektedir. Manüel Tespit edici Kullanıcı adı ve şifrelerinin kullanılması elektronik ödeme sistemine erişimi kısıtlamaktadır. Otomatik Önleyici Her akşam veri yedeklemesi sistemce yapılmaktadır. Otomatik Önleyici Manüel Önleyici Otomatik Tespit edici Kontrol Bankaya talimat gönderilmeden önce üzerine yetkili iki kişinin imzası alınmaktadır. Müşteri veritabanı üzerinde yapılan değişiklikler ertesi sabah veri sahibinin ekranına bir liste halinde düşmektedir. Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi Raporlama • Kullanılabilirlik • Doğruluk • Açıklık • Özlük (Kısalık) • Vakitlilik (Zamanlı ve zamanında) • Aksiyon planı Örnek bir bulgu Kontrol/Bulgu 1 1.1 Derece Tavsiyeler Satınalma ve Ödemeler Satın alma sürecindeki eksiklikler Gözlem Satın alma talepleri hem ERP üzerinden hem de manüel olarak yaratılmaktadır. ERP üzerinden yaratılan talepler, sistem üzerinden onaylanıp siparişe dönüşürken manüel yaratılan taleplerin Satın alma Müdürü tarafından onaylanması gerektiği şirket prosedürlerinde yer almaktadır. Denetim döneminde yaratılan manüel satın alma taleplerinden seçilen 30 adet örneklemin incelenmesi sonunda şu eksiklikler belirlenmiştir: 17 adet manüel satın alma talebinin üzerinde onaylandıklarına dair bir kanıt bulunamamıştır. Şirket bünyesinde aynı anda birden fazla satın alma talep formu kullanılmakta ve bu formlar her personelin kullanımına açık bir şekilde bulunmaktadır. Risk Onaylama sürecindeki eksiklikler yetkisiz veya hatalı işlemlerin gerçekleştirilmesine neden olabilir. Birden çok manüel satın alma formunun bulunması kontrolleri zorlaştırmakta ve onaylanmamış satın almalar olmasına sebep olabilmektedir. Y Tavsiyeler Manüel satın alma taleplerinin sistem üzerine alınması ve sistemdeki süreçlerden geçerek onaylanması sağlanmalıdır. Satınalma talepleri tek tip bir formda tutulmalı ve girişlerin sorumlular tarafından yapılması sağlanmalıdır. Satın alma işlemlerine ilişkin görev tanımları, görevler ayrılığı ilkesine uyumlu olarak gözden geçirilmelidir. Yönetim Görüşü: Katılıyorum – Tavsiye edilen önlemler uygulanacaktır. Serdar Güzel, Genel Müdür Yardımcısı Sorumlu: Berna Külyutmaz, Satınalma Müdürü Uygulama Tarihi: Haziran 2009 Risk-Kontrol-Bulgu-İyileştirme Risk (1) Mevcut kontrol (2) Mevcut kontrol İyileştirme planı (3) Mevcut risk seviyesi İstenen risk seviyesi Bulgu Takip • Yönetimin denetim tavsiyelerine ve gözlemlerine verdiği cevaplar • Yönetimin görüşlerinin değerlendirilmesi • Yönetimin görüşlerinin doğrulanması ve dokümantasyonu • Etkin bir iletişim mekanizmasının oluşturulması • Denetim komitesine ve üst yönetime sunulan raporlar • Yönetim uygulamalarının takip edilmesi Mesleki özellikleri • Standartlar (http://www.tide.org.tr/page.aspx?nm=Standartlar) • Mesleki Uygulama Çerçevesi (http://www.tide.org.tr/page.aspx?nm=mesleki_uygulama_cercevesi) • Etik Kurallar (http://www.tide.org.tr/page.aspx?nm=etik_kurallar) • Sertifikasyon (http://www.tide.org.tr/page.aspx?nm=s_genel_bilgi) Referans siteler • Türkiye İç Denetim Enstitüsü http://www.tide.org.tr • The Institute of Internal Audit http://www.theiia.org • The Institute of Risk Management http://www.theirm.org • AuditNet.org http://www.auditnet.org/ Nedir? Ne işe yarar? Nasıl yapılır? Teşekkürler… Emre Özbek http://about.me/emre.ozbek