Risk

İç Denetim ve
Metodolojisi
Emre Özbek
Nedir?
Ne işe
yarar?
Nasıl
yapılır?
Etimoloji
• audit
(n.) early 15c., from L. auditus "a hearing," pp. of audire "hear" (see
audience). Official examination of accounts, which originally was an oral
procedure. The verb is attested from mid-15c., from the noun. Related: Audited;
auditing.
• auditor early 14c., "official who receives and examines accounts;" late 14c., "a
listener," from Anglo-Fr. auditour (O.Fr. oieor "listener, court clerk," 13c.; Mod.Fr.
auditeur), from L. auditor "a hearer," from auditus, pp. of audire "to hear" (see
audience). Meaning "receiver and examiner of accounts" is because this process
formerly was done, and vouched for, orally.
Kaynak: Online Etymology Dictionary
2009 Ekim
2007 Ekim
Emre Özbek
CIA, CISA, CRISC, SMMM,
ISO31000A, ISO27001A
2004 Ocak
2002 Ocak
1996 Eylül
1995 Eylül
1991 Eylül
Nedir?
Ne işe
yarar?
Nasıl
yapılır?
İç Denetim nedir?
• Tanım
• İç Sistemler
– Risk Yönetimi
– İç Kontrol
– İç Denetim
Yaptıkları işin doğruluğuna
inanan insanlar,
çalışmalarının
denetlenmesinden, karşı
fikirler ortaya atılmasından
ve tercihleri üzerinde
münakaşa yapmaktan zevk
alırlar.
Mustafa Kemal Atatürk
İç Denetim tanımı
İç denetim,
bir kurumun faaliyetlerini
KAPSAM
geliştirmek ve değer katmak amacını güden
AMAÇ
bağımsız ve objektif bir
ROL ve SORUMLULUK
güvence ve danışmanlık faaliyetidir.
FAALİYET
3 hatlı müdafa
Dış Denetim
İç Denetim
İç Kontrol
Risk
Yönetimi
Vizyon
ve
Strateji
İç Denetim ne işe yarar?
• Çıktısı
• Paydaşları
• İlkeleri
İç Denetim çıktısı
Paydaşlar
• Yönetim Kurulu
• Denetim Komitesi
• Yönetim
• Dış Denetçiler
Etik Kuralları
• Dürüstlük (Güven)
• Tarafsızlık
• Nesnellik
• Gizlilik
• Yetkinlik (Ehil Olma)
Page 15
İç Denetim nasıl yapılır?
• Plan ve program
• Proje
• Yönetim
• Meslek
Denetim süreci
II. Aşama
Denetim Faaliyetleri
I. Aşama
Stratejik Planlama
III. Aşama
Kalite Güvence
Risk Değerlendirmesi
Planlama
Denetim Komitesi
Denetim Planı
Saha Çalışması
Kalite Değerlendirme
Denetim Programı
Raporlama
Mesleki Uygulamalar
Bulgu Takip
Denetim planı ve programı
Kapsam
Risk
Kaynak
Denetim Planı
ve Programı
Risk
Risk
Risk Haritası
Hedeflerin başarılmasında
etkisi olacak bir olayın
ortaya çıkma olasılığıdır.
4
Etki
Risk, etki ve olasılık
bakımından ölçülür.
5
3
2
1
0
0
1
2
3
Olasılık
4
5
Risk bazlı denetim planlaması
• Denetim Evreni
– İşletmenin tüm faaliyet, lokasyon, süreçleri
• Risklerin tespiti
• Risk değerlendirmesi
• Risk İştahı
– Kabul edilecek risk seviyesi
• Önceliklendirilmiş riskler
Risk Yönetimi
1 Risklerin belirlenmesi
1.
 Dış ve iç olaylar
 Stratejik hedefler
 Tehditler ve fırsatlar
4 İzleme ve takip
4.
 Risk seviyesi izleme
 Aksiyon planlarının
takibi
 Risk yönetimi süreci ile
ilgili değerlendirme
2 Risklerin ölçümlenmesi
2.
 Olası etki ölçümlemesi
(kalitatif ve kantitatif)
 Gerçekleşme olasılığı
 “İçsel” risk seviyesi
Risk
Yönetimi
3 Risklerin indirgenmesi
3.
 Arzu edilen risk seviyesi
 İçsel seviyenin arzu
edilene çekilmesi için
yöntemler
 Aksiyon planları
Risk-Kontrol-Bulgu-İyileştirme
Risk
(1)
Mevcut
kontrol
(2)
Mevcut
kontrol
İyileştirme
planı (3)
Mevcut risk
seviyesi
İstenen risk
seviyesi
Denetim projesi
• Giriş
• Planlama
• Gelişme
• Saha Çalışması
• Sonuç
• Raporlama
• Bulgu Takip
Denetim projesi
Planlama
• Kapsamın tespiti ve tanınması
• İlgili süreçlerinin ve sistemlerin anlaşılması
• Risklerin ve geçerli kontrollerin, standartların,
kıyaslamaların tanımlanması
• Stratejik plan ve kapsamlı planlama ile iş kapsamı
arasında bağlantı oluşturulması
• Kapsam, yaklaşım ve risk yönetimi açısından
alternatif seçeneklerin düşünülmesi
• Denetlenen ve ekibi ile iletişimde olmak
• Kapsam, zaman ve bütçe açısından uzlaşmak
Saha çalışması
Kontrol
Kontrol
Kontrol Türleri
Bir riskin indirgenmesi için
uygulanan bir aktivitedir.
• Önleyici
• Tespit edici
Etkin kontroller, süreçlerin
içine yerleştirilmiştir, ek bir
aktivite değildir ve şirketin
günlük aktivitelerinin
ayrılmaz bir parçasıdır.
• Düzeltici
• Alternatif
• Manüel
• Otomatik
Kontrol örnekleri
Otomatik ya da
Manüel
Önleyici ya da
Tespit Edici
Finans direktörü, satış raporunu bütçe ile her ay karşılaştırmaktadır.
Manüel
Tespit edici
Alacak yaşlandırma raporu aylık periyotta gözden geçirilerek 60 günden uzun
süredir ödenmemiş borçların takip edilmesinde kullanılmaktadır.
Manüel
Tespit edici
Faturalar, sistem içerisine yerleştirilmiş otorizasyon limitleri doğrultusunda
onaylanmaktadır.
Otomatik
Önleyici
Satış müdürü tarafından aylık raporlar ile satış ekibinin geçen seneye göre
satışları ne oranda geliştirdiği incelenmektedir.
Manüel
Tespit edici
Depodaki tüm envanterin sayımı her ay gerçekleştirilmektedir.
Manüel
Tespit edici
Kullanıcı adı ve şifrelerinin kullanılması elektronik ödeme sistemine erişimi
kısıtlamaktadır.
Otomatik
Önleyici
Her akşam veri yedeklemesi sistemce yapılmaktadır.
Otomatik
Önleyici
Manüel
Önleyici
Otomatik
Tespit edici
Kontrol
Bankaya talimat gönderilmeden önce üzerine yetkili iki kişinin imzası
alınmaktadır.
Müşteri veritabanı üzerinde yapılan değişiklikler ertesi sabah veri sahibinin
ekranına bir liste halinde düşmektedir.
Risk-Kontrol-Bulgu-İyileştirme
Risk
(1)
Mevcut
kontrol
(2)
Mevcut
kontrol
İyileştirme
planı (3)
Mevcut risk
seviyesi
İstenen risk
seviyesi
Raporlama
• Kullanılabilirlik
• Doğruluk
• Açıklık
• Özlük (Kısalık)
• Vakitlilik (Zamanlı ve zamanında)
• Aksiyon planı
Örnek bir bulgu
Kontrol/Bulgu
1
1.1
Derece
Tavsiyeler
Satınalma ve Ödemeler
Satın alma sürecindeki eksiklikler
Gözlem
Satın alma talepleri hem ERP üzerinden hem de manüel
olarak yaratılmaktadır. ERP üzerinden yaratılan talepler,
sistem üzerinden onaylanıp siparişe dönüşürken manüel
yaratılan taleplerin Satın alma Müdürü tarafından
onaylanması gerektiği şirket prosedürlerinde yer
almaktadır. Denetim döneminde yaratılan manüel satın
alma taleplerinden seçilen 30 adet örneklemin incelenmesi
sonunda şu eksiklikler belirlenmiştir:
 17 adet manüel satın alma talebinin üzerinde
onaylandıklarına dair bir kanıt bulunamamıştır.
 Şirket bünyesinde aynı anda birden fazla satın alma
talep formu kullanılmakta ve bu formlar her personelin
kullanımına açık bir şekilde bulunmaktadır.
Risk
 Onaylama sürecindeki eksiklikler yetkisiz veya hatalı
işlemlerin gerçekleştirilmesine neden olabilir.
 Birden çok manüel satın alma formunun bulunması
kontrolleri zorlaştırmakta ve onaylanmamış satın
almalar olmasına sebep olabilmektedir.
Y
Tavsiyeler
 Manüel satın alma taleplerinin sistem üzerine
alınması ve sistemdeki süreçlerden geçerek
onaylanması sağlanmalıdır.
 Satınalma talepleri tek tip bir formda tutulmalı ve
girişlerin sorumlular tarafından yapılması
sağlanmalıdır.
 Satın alma işlemlerine ilişkin görev tanımları, görevler
ayrılığı ilkesine uyumlu olarak gözden geçirilmelidir.
Yönetim Görüşü:
Katılıyorum – Tavsiye edilen önlemler uygulanacaktır.
Serdar Güzel, Genel Müdür Yardımcısı
Sorumlu: Berna Külyutmaz, Satınalma Müdürü
Uygulama Tarihi: Haziran 2009
Risk-Kontrol-Bulgu-İyileştirme
Risk
(1)
Mevcut
kontrol
(2)
Mevcut
kontrol
İyileştirme
planı (3)
Mevcut risk
seviyesi
İstenen risk
seviyesi
Bulgu Takip
• Yönetimin denetim tavsiyelerine ve gözlemlerine verdiği
cevaplar
• Yönetimin görüşlerinin değerlendirilmesi
• Yönetimin görüşlerinin doğrulanması ve dokümantasyonu
• Etkin bir iletişim mekanizmasının oluşturulması
• Denetim komitesine ve üst yönetime sunulan raporlar
• Yönetim uygulamalarının takip edilmesi
Mesleki özellikleri
• Standartlar
(http://www.tide.org.tr/page.aspx?nm=Standartlar)
• Mesleki Uygulama Çerçevesi
(http://www.tide.org.tr/page.aspx?nm=mesleki_uygulama_cercevesi)
• Etik Kurallar
(http://www.tide.org.tr/page.aspx?nm=etik_kurallar)
• Sertifikasyon
(http://www.tide.org.tr/page.aspx?nm=s_genel_bilgi)
Referans siteler
• Türkiye İç Denetim Enstitüsü http://www.tide.org.tr
• The Institute of Internal Audit http://www.theiia.org
• The Institute of Risk Management http://www.theirm.org
• AuditNet.org http://www.auditnet.org/
Nedir?
Ne işe
yarar?
Nasıl
yapılır?
Teşekkürler…
Emre Özbek
http://about.me/emre.ozbek