2. Yaşanan Gelişmeler-1
• Çok uluslu şirketler ve büyük ölçekli kurumlar
• Risk yönetiminin artan önemi
• Bilgi ve teknoloji üretimindeki artış
• Küreselleşme ve artan şeffaflaşma gereksinimi
• Kurumsal yönetimin artan önemi
• Verimlilik ve performansın ön plana çıkması
• Yasal düzenlemeler ve yaşanan uluslar arası
gelişmeler
3. Yaşanan Gelişmeler-2
• Asya Krizi ve Rusya Krizi gibi ülke ekonomilerini
etkileyen olumsuzluklar
• Geniş ölçekli şirket skandalları: Enron,
WorldCom…(ABD), Ahold, Parmalat…(Avrupa),
• Suistimal ve görevi kötüye kullanma
olaylarının şirket sonlarına neden olurken
küçük yatırımcıya ve topluma verdiği zarar
4. Yasal Düzenlemeler
• OECD Kurumsal Yönetim İlkeleri
• Sarbanes Oxley Act of 2002
• 1998 Blue Ribbon
• 1 Mayıs 1998’de Almanya “İşletmecilik Alanında Şeffaflık ve
Kontrol Yasası”
• 20 Aralık 2001 (BIS) “Sound Practice for Management and
Supervision or Operasyonel Risk”
• AB 8. Direktifi
• Diğer Düzenlemeler (BDDK, SPK,SEC, BASEL II..vb)
5. Risk Nedir?
• Riskler kurumun hedeflerinin gerçekleştirilmesini
engelleyebilecek her türlü olay veya durumlardır
• Riskler oluşma sıklıklarına ve yaratacakları hasara göre
ölçülürler ve uygun iç kontrol noktaları ile minimize edilirler
• Etkin bir iç denetim sisteminin en önemli görevlerinden biri
tüm risklerin tespit edilmesi ve minimize edilmesi için uygun
öneriler geliştirilmesidir.
• Risk yönetimi, her türlü risklerin tanımlanması, ölçülmesi ve
giderilmesini kapsayan sistematik bir yönetim
uygulamasıdır.
6. Risk Türleri
• Yasal Riskler
• Operasyonel Riskler
• İnsan Kaynakları Riskleri
• Teknoloji Riskleri
• İtibar Riskleri
• Çevresel Riskler
Her risk grubunun alt risklerinin tanımlanması
yoluyla tüm risklerin kategorize edilmesi
mümkündür.
7. Risk Odaklı İç Denetim
Risk odaklı iç denetim, denetim faaliyetinin odak noktasının
geçmiş faaliyetlerden geleceğin yönetilmesine çevrilmesinin
günümüzdeki ifadesidir.
Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi,
denetim sürecinin işletmenini risk profiline göre
şekillendirilmesi ve denetim kaynaklarının buna göre tahsis
edilmesi esasına dayanan ve denetimin etkililiğini artırmayı
amaçlayan bir denetim yaklaşımıdır.
8. Risk Odaklı İç Denetim
Geleneksel Risk Odaklı
Denetim odaklı Katma değer yaratma
İşlem odaklı Süreç odaklı
Finansal kayıp Verimlilik
Uygunluk denetimi Risk tanımlama ve işlem
süreçlerinin geliştirilmesi
Mevzuat tabanlı Risk yönetimi tabanlı
Sistemin koruyucu olma Değişimin öncüsü olma
Deneyim ağırlıklı denetim Yoğun teknoloji kullanımı
9. Risk Odaklı İç Denetim Süreci
• İşletmenin Faaliyette Bulunduğu Alan Hakkında Bilgi Edinme.
• Ayrıntılı Bir Risk Değerlendirmesinin Yapılması.
• Risk odaklı iç denetim İçin Plan oluşturma.
• Kurumun Risk Değerlendirmesinin Yenilenmesi.
• Risk odaklı iç denetim Programının Yeniden Gözden
Geçirilmesi / Geliştirilmesi.
• Denetim İşlemlerinin ve Belge Bulgularının İncelenmesi.
• Denetim Raporundaki Sonuçların Açıklanması.
• Bitirme Toplantısındaki Sonuçların Açıklanması.
• Denetim Komitesine Denetim Bulgularının sunulması.
10. Risk Odaklı İç Denetim Süreci
Aşamalar Raporlamalar
1-Kurumun anlaşılması 1-Kurum hakkında genel bir bilgi notunun
hazırlanması
2-Risklerinin değerlendirilmesi 2-Risk matrisinin hazırlanması
3-Risk değerlemesi
3-Denetim faaliyetlerinin
planlanması
4-Denetim planı
5-İnceleme programı
4-Denetim faaliyetlerinin
belirlenmesi
6-Denetim kapsamının yazılı olarak belirlenmesi
7-Başlama mektubu
5-İnceleme süreçlerinin
uygulanması
8-Fonksiyonel inceleme modülleri
6-Bulguların raporlanması 9-İnceleme raporu
11. Risk Odaklı İç Denetim Süreci
• Makro Risk Analizi (Yıllık denetim planının risk
odaklı olarak yapılması)
-Denetim önceliklerinin belirlenmesi
-Denetim kaynaklarının en riskli faaliyetlerden başlamasını
hedefler…
• Mikro Risk Analizi (Bireysel risk analizi)
- Denetlenen faaliyete ilişkin risklerin tanımlanması, mevcut iç
kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç
kontrol uygulamalarının geliştirilmesini kapsar…
12. Risk Analizi
Minimal Risk
Sınırı
ETKİ
Yüksek
(3)
7 8 9
Orta
(2)
4 5 6
Düşük
(1) 1
2 3
Düşük
(1)
Orta
(2)
Yüksek
(3)
OLASILIK
Kabul Edilemez Riskler
Kabul edilebilir Riskler
Kabul
Edilebilir Risk
Sınırı
Minimal
Risk
Sınırı
13. Risk Analizi
• Bir risk gerçekleşme olasılığı yüksek ve olası
etkileri büyükse önemlidir!!!
Risk Tablosu
Amaç Risk Mevcut kontroller Kontrollerin etkinliği Öneri
14. Risk Değerlendirme Süreci
• Risklerin tanımlanması ve sınıflandırılması
• Risk faktörlerinin gerçekleşme olasılığının ve
etkisinin değerlendirilmesi
• Risk faktörlerinin ağırlığının belirlenmesi ve
ağırlıklı risk skorunun hesaplanması (1-9)
• Risk faktörlerinin kategorize edilmesi (D-O-Y)
• Risk faktörlerine göre denetlenecek faaliyetlerin
belirlenmesi ve önerilerin tespit edilerek
raporlamanın yapılması
15. Risk Değerlendirmesinin Sonuçları
• Riski Kabul Et
• Riski Minimize Et
• Riski Reddet
Varlıkların korunması, görevlerin
ayrılığı gibi kontrol politika ve
prosedürlerini uygula
Sigorta, Sözleşme, Fonlama Gibi
uygulamalarla riskin transfer edilmesi
veya paylaşılması
Operasyonları çeşitlendirme
16. Risk Odaklı İç Denetim
• Kurumun karşı karşıya olduğu tüm risklerin tanımlanması,
önem sırasına konulması ve kabul edilebilir bir risk
seviyesinin belirlenmesi
• Saptanan risklerin azaltılması için gereken önlemlerin
belirlenmesi ve uygulanması
• Risk yönetim süreçlerinin denetim sonuçları hakkında üst
yönetime düzenli rapor sunulması
• Risk yönetim süreçlerinin kurumun yapısına, kültürüne ,
büyüklüğüne, yönetim şekline ve hedeflerine uygun olması
17. Risk Odaklı İç Denetim
• Risk yönetiminde kullanılan metotların faaliyet konusuna
uygun olması
• Risk izleme faaliyetlerinin ve raporlamasının yeterliliğinin
ve zamanlamasının uygun olması
• Kurumun risk yönetim çalışmalarının etkinliğinin sürekli
izlenmesi ve değerlendirilmesi
gerekir.
18. Kurumsal Yönetim Çerçevesinde İç ve Dış Paydaşlar İçin Bir
Güvence Sistemi Olarak Risk odaklı İç Denetim
Yönetim Kurulları
İşletme Yönetimi
Çalışanlar
Devlet
Rakipler
Borç Verenler
Bağımsız Denetim
Üçüncü Kişiler
RİSK ODAKLI
İÇ DENETİMRİSK
YÖNETİMİ
DENETİM
19. Risk Odaklı İç Denetim Ne Sağlar?
• Stratejik faydalar:
- Risk yönetiminde tutarlı ve kapsamlı bir yaklaşım geliştirerek değişmekte
olan koşullara daha kolay uyum sağlanması
- Risklerin daha iyi anlaşılması ve yönetimi
- İşletme stratejilerinin ön plana alınması ve uygulanmasına hız kazandırması
büyümek be riskleri fırsatlara çevirmek etkin bir iç denetim grubunun
işletmenin risk yönetim yeteneğini optimize etmesine bağlıdır.
• Performans :Negatif riskler azaltılarak fırsat risklerinin artırılması
sağlanır. Risklerin doru tanımlanması, mevcut yönetimin ve iç kontrol amacının
en iyi performansa ulaşmasını sağlayacaktır.
20. Risk Odaklı İç Denetim Ne Sağlar?
• Kaynakların Optimizasyonu:
- Kaynakların en verimli şekilde kullanılabilecek ve gereksiz maliyetlerden
kurtulabilme olanağı doğacaktır.
- Önceliklerle kaynaklar arasındaki uyum sağlanmış olacaktır.
• Beklenmeyenin Yönetimi:
- Beklenmeyen talepler ve zorluklar karşısında hedeflerden şaşmadan en
doğru cevabı verebilme olanağı doğacaktır.
- İşletmeyi bekleyen riskleri ve onların işletmeye olan gerçek etkilerini
bilmek mümkün olacaktır
21. Bilgi Teknolojileri (IT) Denetimi
IT denetimi , işletmelerin sahip olduklar
bilgi teknolojisi kaynaklarının değerlenmesi
sürecidir. Bu noktada İT ile ilgili unsurların
güvenlik altında olduğu, bilgisayar verilerinin
bütünlüğünün ve doğruluğunun sağlanmış
olduğu ve organizasyonel amaçlara ulaşılıp
ulaşılmadığı dikkatlice incelenmelidir.
22. Bilgi Teknolojileri Denetimini
Uygulama nedenleri
• Sistemlerin kesintisiz çalışması
• Acil durumlar karşısında iş sürekliliğinin sağlanması
• Teknoloji risklerine karşı önlem almak
• Teknolojik alt yapının ihtiyaçları karşılamada optimum
çözüm olup olmadığını ölçmek
• Bilgi işlem departmanının kişilere bağımlı olmaması
• Kullanıcıların sistem yada uygulama kaçaklarını görme ve bu
kaçakları kötüye kullanma ihtimalini ortadan kaldırmak
• Müşteri ve kurum bilgilerinin güvenliği
23. Bilgi Teknolojilerinin Denetim Alanları
– Teknoloji süreçleri
– Uygulamalar ve modülleri
– Spesifik yazılımlar, donanımlar, alt yapı v.b.
– Belirlenmiş standartlara göre yapılan denetimler
– Spesifik konfigürasyonlar
– İş süreçleri ile uygulama uygunluğu
– Sahtekarlık denetimi
24. Bilgi Teknolojileri Denetiminin
Sınıflandırılması
i.Yürütme kontrolleri: Yeni kurulan veya geliştirilen sistemler için programlanmış süreçlerin uygun olup
olmadıklarını ve söz konusu sistemlerin kullanıcıların ihtiyaçlarına cevap verip vermediklerini test
amacıyla tasarlanan kontrollerdir.
ii.Muhafaza kontrolleri: Yönetim tarafından Programlanmış süreçlerde yapılan değişikliklerin doğru
olduğundan, uygun bir şekilde test edildiğinden, yetkili makamlarca onaylandığından ve doğru bir
şekilde yürütüldüğünden emin olmak amacıyla oluşturulmuş kontrollerdir.
iii.Bilgisayar Faaliyetlerinin kontrolleri: Bilgi işlem faaliyetleri için kesinlikle yetkililer tarafından
onaylanmış ve önceden programlanmış süreçlerin kullanılmasını ve bilgi dosyalarının en son
güncelleştirilmiş biçimlerinin dikkate alınmasını sağlamak amacıyla oluşturulan kontrollerdir.
iv.Program Güvenlik kontrolleri: Programlar ve yazılımlar üzerinde politikalara ve standartlara uygun
şekilde yetkilendirilmemiş ve onaylanmamış herhangi bir değişikliğin gerçekleşmesini önlemek
amacıyla kullanılan kontrollerdir.
v.Bilgi Dosyalan Güvenlik kontrolleri: Bilgi dosyaları üzerinde yetkilendirilmemiş ve onaylanmamış hiçbir
değişikliğin yapılmaması ve erişimin engellenmesi amacıyla kullanılan kontrollerdir.
vi.Sistem Program kontrolleri: Uygun sistem programının kullanılmakta ve yetkilendirilmemiş
değişikliklere karşı etkili bir biçimde korunmakta olduğu konularında güvence yaratmak üzere
oluşturulmuş kontrol süreçleridir.
vii.Biçim değiştirme Kontrolleri: tüm bilgilerin eski sistemlerden yeni sistemlere dönüşüm sürecinin bütün
olarak ve doğru bir şekilde tamamlanmasına yardımcı olmak için kullanılan kontrol teknikleridir.
25. Sürekli Denetim Yaklaşımı (Continious
Auditing)
• Sürekli Denetim, fiziki belge olmaksızın, gerçek zamanlı
muhasebe sistemi altında finansal tablo sunumunun ortaya
çıkmasına temel olacak şekilde, elektronik denetim kanıtları
toplamaya yönelik sistematik bir süreçtir. Diğer bir deyişle
sürekli denetim, işletme varlıklarının korunmasında, veri
bütünlüğünün korunması ve güvenilir finansal bilginin
üretilmesi konusunda gerçek zamanlı muhasebenin etkinlik ve
etkililiğini tespit etmeye yönelik kanıtların toplanması ve
değerlendirilmesi sürecidir
26. Sürekli Denetim Yaklaşımı (Continious
Auditing)
Sürekli denetim, denetim sürecini birkaç yönden etkiler:
1. Denetçinin bilgisi, elektronik belgeleri, kayıtları ve verilerin
güvenilirliği ile uygunluğunu sağlayacak şekilde artmalıdır.
2. Denetçi, fiziki olmayan gerçek zamanlı muhasebe sisteminde
bilginin geçerliliğini ve güvenilirliğini sağlayacak şekilde ticari
işlemlerin akışını ve ilişkili kontrol faaliyetlerini daha iyi
anlamalıdır.
3. Denetçi, gerçek zamanlı muhasebe sisteminin iç kontrol
faaliyetlerinin yeterliği ve etkililiği üzerinde öncelikli olarak
odaklanan kontrol risk temelli denetim planını kullanmalı ve
elektronik belge ve işlemlere ilişkin anlamlı testler üzerine
daha az önem vermelidir.
27. Sürekli denetimin aşamaları
– Analitik prosedürü içeren denetimin planlanması,
– Kontrol testlerinin performansı ve kontrol risk değerini içeren
gerçek zamanlı muhasebe sistemine ilişkin iç kontrol yapısının
dikkate alınması,
– İşlemlere ilişkin ayrıntıların aralıklı ve sürekli testlerinin
uygulanması,
– Yıl sonunda devam eden hesaplara ve analitik prosedürleri içeren
toplam sonuçlara ilişkin testlerin uygulanması.
– Denetimin tamamlanması ve denetim raporunun yayınlanması.
28. Öz Değerleme Yaklaşımı (Control Self
Assesment)
İç kontrol etkililiği sayesinde uygulanabilen ve
değerlendirilebilen bir süreçtir. Öz değerleme
yaklaşımında amaç, karşılaşılabilecek tüm işletme
amaçlarında uygun bir güvence sağlamaktır. Bu
sürecin sorumluluğu bir organizasyondaki tüm
çalışanlar arasında paylaşılır. Öz değerleme
yaklaşımı tasarlanmış bir çevre içerisinde
yürütülür ki bu süreç tamamen belgelenmiştir ve
sürekli gelişme için teşvik edici bir unsur olarak
sürekli tekrarlanır.
29. Öz Değerleme Yaklaşımı (Control Self
Assesment)
• IIA ya göre, Öz değerleme yaklaşımı, kontrol kalitesinin
değerlendirilmesinde iç denetçiler ve yönetime gerekli olan iç kontrol
bilgisinin ortaya çıkarıldığı bir süreçtir.
• Ayrıca, IIA ya göre, Öz değerleme yaklaşımı, iç denetim mesleğine değer
katan bir tekniktir. Öz değerleme yaklaşımı, doğru faaliyetlerin
belirlenmesi, ortaya çıkan risklerin tanımlanması, kontrolün dizaynı ve
yürütülmesi faaliyetleri ile iç denetim mesleğine değer katabilir.
• İç denetimde son yıllarda gittikçe kabul gören diğer bir yaklaşım biçimi oto
kontrol dür. İç denetçiler enstitüsünün uygulama tavsiyelerinden 2120 A1-2
de “Kontrol süreçlerinin uygunluğunun değerlenmesinde Öz değerleme
yaklaşımının kullanımı” başlığını kullanarak, bu yöntemin kullanılmasını
önermektedir.
30. Öz Değerleme Yaklaşımı (Control Self
Assesment)
Öz değerleme yaklaşımı, genellikle her
bölümünde öncelik görevi yapan kontrol odaklı
bir seri workshop’lardan meydana gelir. Esas
itibariyle üç tür Öz değerleme yaklaşımı vardır.
• Basitleştirilmiş Çalışma Grupları (Workshoplar)
• Soru Kağıtları (Anket)
• Yönetimin Ürettiği Analizler
31. Öz Değerleme Yaklaşımı (Control Self
Assesment)
• Bir işletmede Öz değerleme yaklaşımının etkin biçimde uygulanabilmesi için
bazı kurallara dikkat edilmesi gerekir. Öncelikle Öz değerleme sürecinin
işletmenin hangi kısımlarında uygulanacağına karar verilmesi gerekir. Bu
belirlemede değerlendirmenin kapsama düzeyinin detayları da yer almalıdır.
Bir işletmede öz değerleme uygulamaları, o işletmenin örgüt kültürünün
analizi üzerine dayandırılmalı ve örgüt kültürüne uygun öz değerleme
yaklaşımı seçilmelidir.
• Ayrıca öz değerleme çalışmalarında ortaya çıkan risk değerlendirme ve diğer
sonuçların iç denetim eylemleri sırasında kullanılıp kullanılmayacağının
belirlenmesi gerekir. Öz değerleme süreçlerinin başarısı için bu programları
yürüteceklerin hangi araçları, teknikleri, dökümanı ve raporları
kullanacakları belirlenmelidir. Öz değerleme mekanizmaları ile ilgili diğer
önemli bir konu ise, bu süreçlerin iç denetim mi yoksa faaliyet yönetimi
tarafından mı yönlendirileceğinin belirlenmesidir.
32. Öz Değerleme Yaklaşımı (Control Self
Assesment)
Öz Değerleme yaklaşımının Maliyet etkinliği
sağlama,İşletmenin tüm iç kontrol sisteminin yıllık
değerlendirmesini sağlama,Yöneticilerin önemli problemlerinin
çözülmesine yardımcı olma,Sadece denetçilerin değil,
yöneticilerinde iyi anladığı fikir ve kavramları kullanması,Yönetici ve
çalışanların, işletme hedeflerine ulaşmada kontrolün önemi
konusunda eğitilmesini sağlama gibi avantajlarının yanı sıra, Yüksek
beceri ve takım ruhu gerektirmesi, Denetçilerde değişim vizyonu
gerektirmesi, Yönetim ve çalışanlarla bireysel çalışmayı
gerektirmesi, Önemli planlama ve koordinasyon gerektirmesi,
İşletmenin iç kontrol sisteminin sadece üst düzeyde incelenmesini
sağlaması gibi dezavantajları vardır.