Your browser (Internet Explorer 7 or lower) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.

X

Risk Odaklı İç Denetim Modellemesi

1- GİRİŞ
İç denetim departmanlarının risk odaklı iç denetim faaliyeti gerçekleştirmesi ve kurumlarda iç kontrol sisteminin tesisi için risk değerleme sürecinin önemi genel kabul görmüş bir konudur. Risk yönetiminin kurum geneline yaygınlaştırılmasını hedefleyen ve geleneksel risk yönetimi yaklaşımlarına göre daha stratejik bir risk yönetimi yaklaşımını hedefleyen “Kurumsal Risk Yönetimi” uygulamaları için üst yönetim desteğinin sağlanması ve hedeflenen katma değerin yaratılması bakımından da “Risk Değerleme Süreci” önemli bir işleve sahiptir. Bu yazımızda iç denetim departmanlarında risk odaklı iç denetim mekanizmasını irdelemeye çalışacağız.

2-RİSK ODAKLI İÇ DENETİM
İşletmelerde iç denetim önemli bir işlev olmasına karşın çoğunlukla masraf olarak düşünülür. Denetim riskinde olduğu düşünülen, gerçekleşene kadar göz yumulan faktörler, hilenin mali etkisi, idare edilmeyen risk alımı yetersiz stratejilerdir. İç denetçiler geleneksel denetim uygulamalarından risk odaklı iç denetime bu sebeple geçmek zorundadırlar. Özellikle Worldcom, Enron ve Parmalat’ta yaşanan felaketten sonra yöneticilerin büyük bir kısmı iç denetim işinin geleneksel finansal denetimden risk odaklı iç denetime doğru adım atmakta olduğunu kabul etmektedirler. ²

Geleneksel ve Risk Odaklı İç Denetimin Tanımlanması
Geleneksel iç denetim fonksiyonu, iç kontrolün bir unsuru olarak konumlandırılmıştır. Tarihsel gelişimi içinde iç denetimi incelediğimizde, ilk olarak gözlem ve sayıma odaklanış, işletmelerin büyümesi sonucu incelenecek belge ve kayıt sayısının artması, tüm belge ve kayıtların incelenmesi yerine örnekleme yönteminin kullanılmasına yol açmıştır. 20. Yüzyılın ikinci yarısıyla birlikte iç denetim, iç kontrol odaklı hale dönüşmüştür. Gelişimini tamamlamamakla birlikte günümüzde iç denetim işletme süreçlerindeki risklere odaklanmıştır. ³

İç denetim işletmenin herhangi bir faaliyeti ile ilgili olabileceğinden profesyonel iç denetim uygulaması, muhasebe, mali tabloları ve raporları denetimlerinin incelenmesi üzerine odaklanmıştır. Ancak bu ender bir durumdur çünkü mali ve IT denetimleri işletmelerdeki iç denetçilerin temel odak noktalarıdır. İç denetçinin değişen rolü risk odaklı iç denetimi geliştirdiğinden yeni bir tanıma gereksinim duyulmuştur. Yenilenen tanıma göre, iç denetim kurumun işlemlerine değer katmak ve geliştirmek için tasarlanan bağımsız, güvenilir bir danışmanlık faaliyetidir. Risk yönetimi, denetimi ve idari sürecin etkinliğini değerlendirmek ve geliştirmek için sistemli ve disipline edilmiş bir yaklaşım getirerek bir kurumun hedeflerine ulaşmasına yardımcı olur. 4

Risk odaklı iç denetim, denetim faaliyetinin odak noktasının geçmiş faaliyetlerden geleceğin yönetilmesine çevrilmesinin günümüzdeki ifadesidir. Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenin risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkililiğini artırmayı amaçlayan bir denetim yaklaşımıdır. ⁵

Geleneksel ve risk odaklı iç denetim arasındaki farkı gösteren bazı temel özellikler ele alırsak;

Geleneksel iç denetimin özellikleri

  • Yıllardır “önceden belirlenmiş” denetim programları kullanılmaktadır.
  • Yapılan denetimler artık rutinleşmiştir.
  • Kullanılmakta olan denetim sistemi sıkıcı ve kolay bir çalışmadır.
  • Raporlar olası çözümler önermeksizin sadece sorunlara işaret etmektedir.

Denetime getirilen bu yaklaşım;

  • Tepkisel
  • Olay sonrası
  • Devamsız ve
  • İç denetçiler stratejik planlama inisiyatiflerin gözlemcileridir.

Risk odaklı iç denetimin özellikleri ⁶
Yeniden şekillendirilen denetim programları işletmenin faydalanacağı şekilde kullanılır ve gelenek haline getirilir.

  • Risk konularını bulmak için yüksek seviyedeki risk odaklı iç denetim gerçekleştirilir,
  • Risk denetimi kurumun ortaklığıyla yapılır,
  • Raporlarda başarılı uygulamalar, etkinlik ve değer katılan hizmetler ele alınır.

Denetlemeye yönelik bu yaklaşım,

  • Zorlayıcı
  • Gerçek zamanlı
  • Risk odaklı iç denetim ve
  • Denetçiler stratejik planlamada katılımcıdırlar

İç denetçi, risk odaklı iç denetimi seçse ya da geleneksel denetimde devam etse bile denetime harcanan zaman masraf olarak değerlendirileceğinden her zaman için yöneticilerle anlaşmazlık içinde olacaktır. Risk odaklı yaklaşım seçilirse, gelişme kaydedilecek fakat yöneticiler yine de iç denetimi “yöneticilere karşı biz” olarak değerlendireceklerdir. Bununla birlikte tamamıyla kurumda işe yarayan bir ilişki geliştirerek risk odaklı iç denetim yerine getirildiğinde; iç denetim günlük riski ele alan, kurumu işletmek ve karı artırmak için daha iyi çareler bulan bir yönetim aracı haline gelecektir.

Risk odaklı iç denetim, bir denetim tekniğini de içermekle birlikte, denetim tekniğinden daha öte bir anlam taşımaktadır. Diğer bir deyişle, işletmelerin risk profillerinin ve risklerin gelecekteki yönlerinin belirlenmesi, yeni bir denetim prosedürü gerektirmekte ancak, risk profillerinin belirlenmesi başlangıç aşamasını oluşturduğundan, bir bütün olarak risk odaklı iç denetim, geleneksel denetim ve inceleme teknikleri de dâhil olmak üzere tüm denetim ve inceleme tekniklerini içine alan sistematik bir yaklaşım olarak karşımıza çıkmaktadır. Bu yaklaşım çerçevesinde, denetim elemanları tarafından öncelikle işletmenin risk profili ortaya çıkarılmakta, bundan sonraki denetim prosedürünün kapsamı, içeriği, zamanlaması, kaynakların tahsisi gibi hususlar işletmenin risk profiline göre şekillendirilmektedir. Risk odaklı inceleme yaklaşımı altında, içsel risk yönetim süreçlerinin yeterli olduğunun tespit edilmesi veya risklerin minimum düzeyde olduğunun belirlenmesi halinde işlem testlerinin azaltılması gerekir. Bununla birlikte, risk yönetimi veya iç kontrol süreçlerinin yetersiz olduğunun tespit edilmesi durumunda veya yerinden incelemeler sonucunda süreçlerin eksik olduğunun belirlenmesi halinde, ilave işlem testlerine başvurulması gerekmektedir. Uygulanan testler, belirli bir faaliyet veya fonksiyonun maruz kaldığı riskin derecesini tam olarak değerlendirecek yeterlilikte olmalıdır. ⁷

Geleneksel risk yönetimi yaklaşımı kurumun bilançosunda raporlanan maddi varlıkların korunması ve bunlarla ilişkili sözleşmelerden doğan hak ve yükümlülükler üzerine odaklanmaktadır. Ancak “Kurumsal Risk Yönetimi” yaklaşımı sadece maddi varlıkları değil aynı zamanda gayri maddi varlıkların da korunmasının yanı sıra bunlara değer katmayı hedeflemektedir. Özellikle halka açık şirketlerin piyasa değerlerinin bilançodaki defter değerlerini aşması, gayri maddi varlıkların da risk yönetim sürecine dahil edilmesinin önemini vurgulayan bir husustur. Zira gelecekteki potansiyel olaylar maddi varlıkları etkileyebileceği kadar müşteriler, tedarikçiler, çalışanlar, markalar, farklılaştırma stratejileri gibi gayri maddi varlıkları da etkileyebilecektir. “Kurumsal Risk Yönetimi”, risk yönetimini sadece fiziksel ve finansal varlıklarla sınırlandırmayıp, kurumun tüm varlıklarına uygulanmasını sağlayarak daha stratejik bir seviyeye taşımakta ve böylece katma değer yaratmaktadır.

3- RİSK ODAKLI İÇ DENETİMİN UNSURLARI
Piyasalarda devlet müdahalelerinin azalması, yeni finansal araçların ortaya çıkması, finansal piyasalarda meydana gelen hızlı değişimler nedeniyle periyodik olarak şirketlerin değerlendirilmesine ve işlem testine dayanan geleneksel yaklaşım, şirketlerin anlık olarak değişen risk profillerini takip etme ve değerlendirmede yetersiz kalmaktadır. Bu nedenle, denetim otoriteleri; ileriye dönük, sorunların belirtilerine değil nedenlerine yönelik tedbirler almaya dayanan, denetim kaynaklarının şirketlerin risk profillerine göre aktarıldığı bir denetim sistemine yönelmişlerdir. Riske odaklı denetim, risklerden tamamen sakınılması yerine risklerin etkin bir biçimde ölçümü ve kontrolü sayesinde, öz kaynak büyüklüğü ile orantılı bir biçimde taşınabilecek risklerin üstlenilmesi ilkesine dayanır. Dolayısıyla, bu yaklaşımda denetçiler; işletmelerin başlıca risklerine, bu riskleri yönetebilmesini ve kontrol edebilmesini sağlayan risk yönetim sistemlerine odaklanmaktadırlar.

Etkin bir risk odaklı iç denetim sürecinin uygulanabilmesi için, öncelikle denetim amaçlarının ve bu amaçlara karşı olan risklerin açıkça tanımlanması gerekmektedir. Diğer taraftan, riske odaklı denetim; kanunlar, düzenlemeler, risk yönetimi, iç kontrol ve iç denetim sistemleri ile yönetim uygulamalarının değerlendirilmesinde kullanılan denetim prosedürleri ile desteklenmelidir. Buna göre, denetçiler, denetim planlamasını, şirketin büyüklüğü, risk profili ve faaliyetlerine uyacak şekilde yapmalıdır. Öte yandan, riske odaklı denetim şirketlerde, öncelikle etkin bir risk yönetimi, iç kontrol ve iç denetim sistemlerinin kurulmasını, yönetim bilgi sistemlerinin güçlendirilmesini ve uygunluk değerlendirme birimlerinin oluşturulmasını, yani işletmeleri örgütsel yapılarının yeniden düzenlenmesini gerektirir. Diğer taraftan, şirketler risk yönetimi ve iç denetim birimlerinde çalıştırılacak personelin seçimi ve eğitimi gibi hususlara da gereken önemi vermelidirler.

4- RİSK YÖNETİMİ
Risk yönetimi, zararların oluşmasını engelleyecek tedbirleri almak, oluşabilecek zararlar için ölçme metodu kullanmak, üst yönetimi bilgilendirme sistemini oluşturmak ve manevra gerektiren durumlarda hızlı karar almayı gerektiren sistemleri kurmak demektir.

İşletmecilik temel işlevleri çerçevesinde bir risk alma ve yönetme işi olduğundan faaliyetlerinden kaynaklanan risklerin gereğince anlaşılması, ölçülmesi ve iyi yönetilmesi gereklidir.

Yapılan çalışmalar; zayıf yönetim ve ana riskleri kontrol etmede kullanılan yetersiz risk yönetim prosedürlerinin, işletmelerin başarısızlığa düşmelerinde en sık rastlanılan nedenler arasında gösterilmiştir.

Şirketler; genel olarak kabul edebilecekleri risklere ve uygulayacakları risk yönetim tekniklerine ilişkin politika ve prosedürleri belirler. Şirket çapında belirlenen politikaların amacı, kapsama alanı ve içeriği ile bu uygulama yaklaşımları tüm şirketler için benzerdir. Şirket çapında tespit edilen politikalarla, bilinçli ve tutarlı bir risk seçimi yapılarak öncelikle istenmeyen riskler elimine edilir. Bu politikalar genel olarak, şirketçe takip edilmesi gereken stratejileri, bu politikaları uygulayacak personelin niteliklerini, yönetim için belirlenen risk tolerans seviyesini de yansıtan ilkeler, risk yönetim grubunun görev ve sorumluluklarının kapsamını, risk limitlerinin saptanmasını ve limit ihlallerinde izlenecek yolları, oluşturulacak ihbar, bildirim usullerini ve işleyiş şekillerini ve risklerin ölçülme usullerini içerir.

Şirket yönetimi; şirket çapında belirlenen politikaları, öncelikle somut politikalar, yöntem ve kontrollere dönüştürür. Bunlar ise, yöneticinin risk yönetimindeki becerisini değerlendirmede de kullanılan, risk yönetim sisteminin “dört bileşeni” olarak adlandırılan, risklerin tanımlanması, risklerin ölçülmesi, risklerin kontrol edilmesi ve risk profilindeki değişimin izlenmesidir. ⁸

  • Risklerin Tanımlanması: Sunulan hizmetlere ilişkin risk profillerinin belirlenebilmesi ve risklerin yönetilebilmesi için öncelikle risklerin tanımlanması gerekir.
  • Riskin Ölçülmesi: Riskler belirlendikten sonra, her riskin büyüklüğünün (parasal olarak), kötü sonuçlara yol açma olasılığının ve süresinin tespit edilmesi gerekir. Risklerin ölçülmesi sırasında, istatistikel hesaplamalardan yararlanıldığı için risklere ilişkin verilere gereksinim duyulur. Ancak, bazı riskler için kolaylıkla veri bulunabilirken, operasyonel riskler gibi risklerde verilere ulaşmak zor olabilir. Ürünlerin fiyatlamasını da içeren niceliksel yöntemler, risk yönetimi kararları için önemli bir girdi oluşturmaktadır. Risk ölçümü için genel bir yaklaşım; değişik senaryolar karşısında şirketin risk hassasiyetinin belirlenmesidir. Stres testine ilişkin bu sonuçlar, üst yönetim ve yönetim kuruluna rapor edilir ve risk yönetimi politikaları, risklere ilişkin sınırlamalar veya teknik karşılıklar belirlenirken dikkate alınır.
  • Risklerin Kontrol Edilmesi: Temel olarak, risklerin kontrol edilmesi ve kötü etkilerinin azaltılması amacıyla riskten kaçınma, riski azaltma ve riskin dengelenmesi gibi yöntemlere başvurulur.
  • Risklerin İzlenmesi: Risklerin doğru bir şekilde belirlenmesi, ölçülmesi ve risk profilindeki değişikliklerin izlenmesi için, şirket içerisinde yönetim bilgi sistemlerinin (MIS) oluşturulması gerekmektedir. Genel olarak; risklerin izlenmesi, raporlama sisteminin risk profilindeki olumsuz değişmeleri ve risk kontrol sistemlerindeki değişmeleri tespit edebilmesidir.

5- RİSK YÖNETİMİ, İÇ KONTROL SİSTEMLERİ VE İÇ DENETİM İLİŞKİSİ
İşletme yönetiminin birincil görevi, faaliyetlerin uygun ve sağlam bir şekilde yürütülmesidir. Bu nedenle, temel özelliği yönetim kademeleri arasında yeterli bilgi iletişiminin sağlanması olan, iç kontrol kültürünün örgüt içerisinde kurulması sorumluluğu ise yönetim kuruluna aittir.

İç kontrol sistemi, organizasyon içinde bağımsız olarak kurulan ve işletme faaliyetlerini bağımsızca inceleyen, analiz eden ve değerlendirmeler, tavsiyeler ve yorumlar yaparak yönetimin tüm üyelerini sorumluluklarını etkili biçimde yerine getirmede yardımcı olmaktadır. Diğer bir deyişle iç kontrol sistemi, etkin bir risk yönetimi ve işletmenin güvenilir ve sağlam bir şekilde faaliyetlerini yürütmesi, kanun ve düzenlemelere uyumun sağlanması açısından önemlidir.

İç – dış denetim, uygunluk fonksiyonları, yetki ve sorumlulukların devredilmesi ile görevlerin paylaşımı gibi düzenlemeler, iç kontrolün çerçevesini oluşturur. Diğer taraftan, işletme, faaliyetlerinin büyüklüğü ve özelliğine uygun biçimde, iç denetim fonksiyonuna sahip olmalıdır. İç denetim fonksiyonu, iç kontrol sistemlerinin yeterliliği ve etkinliğini değerlendirmekten sorumludur. Bu ise, tüm uygulanabilir politika ve prosedürlere uygunluğun sağlanması ve şirketin politika, uygulama ve kontrollerinin, faaliyetleri için uygun ve yeterli düzeyde olup olmadığının değerlendirilmesini içerir. İç denetim, şirket faaliyetlerinin incelenmesi, değerlendirilmesi ve geliştirilmesi için tasarlanmış bağımsız bir faaliyettir. İç denetim fonksiyonu, tarafsızlığının ve objektifliğinin korunması açısından denetlenen birimlerin faaliyetlerinden bağımsız olmalı, şirketin faaliyetlerine karışmamalı, yani çıkar çatışmalarından kaçınmalıdır. İşletme içerisinde güçlü iç denetim kontrol sisteminin kesintisiz ve etkili şekilde sürmesine yardımcı olmasının yanı sıra dolandırıcılığın tespitini ve önlenmesini sağlar ve tasarruf olanaklarının belirlenmesi suretiyle de kuruma ilave değer kazandırır.

Denetim sonucu ve tespit edilen bulgular, denetim komitesi, yönetim kurulu ve üst yönetime raporlanmalıdır. Denetlenen birimlerce, iç denetim tarafından tespit edilen zayıflıklar için gerekli tedbirler alınmalıdır.

DR. A. ENGİN ERGÜDEN – SMMM1
Uludağ Üniversitesi İ.İ.B.F İşletme Bölümü’nü bitirdi. Master ve doktora derecelerini Marmara Üniversitesi S.B.E Muhasebe Finansman programında aldı. Güreli YMM A.Ş.’de denetçi yardımcısı olarak başladığı iş yaşamında, Denet YMM A.Ş.’de kıdemli denetçilik, 6 yıl Zorlu Holding ve 3 yıl Unitim Holding’de iç denetim müdürlüğü yapmıştır. 2009 yılında kurduğu Erler SMMM Denetim Hizmetleri Ltd Şti. de yönetici ortak olarak denetim danışmanlığı ve denetim hizmetleri vermektedir. Dr. A. Engin ERGÜDEN SMMM Ruhsatı’na sahiptir. Ergüden ayrıca Yeditepe Üniversitesi İ.İ.B.F İngilizce İşletme Bölümü’nde Finansal Muhasebe ve Denetim dersleri vermektedir. 

________________

KAYNAKÇA

  1. İç Denetim Dergisi, Sainty Philip, “Kırılma Noktası/Risk Bazlı Denetime Doğru Atılan Adım” Çev: Leyla Erkutoğlu, Sonbahar 2002.
  2. Changing Paradigm, David Mcnamee ve George Selim, Mc2 Managmenet Consulting, 1998, http://www.mc2consulting. com/riskart8.htm.
  3. Risk Based Auditing, Alexbanking, Las cimas, Suite 300, Austin
  4. Risk odaklı iç denetim, ABD uygulaması ve Türkiye açısından değerlendirilmesi”, Mehmet Tahir Özsoy, Activeline Dergisi Mart-Nisan 2004
  5. Risk Based Auditing: A New Approach, Thomas E.Bayer, CFMA Building Profits, September / October 1999
  6. Niyazi Kurnaz, Kurumsal Yönetim Ekseninde Risk Odaklı İç Denetim: Türkiye’nin 500 Büyük Sanayi İşletmesinde Risk Odaklı İç Denetim Uygulama Analizi, Niyazi Kurnaz, Doktora Tezi, 2006
  7. Risk Based Auditing, Phill Griffiths, Gower Publishing Co. England, 2005, s. 22-26., Meryem Fikirkoca, Bütünsel Risk Yönetimi”, Kalder, Ankara, Mart 2003, s.139-161.

DİPNOT

  1. ERLER SMMM Muhasebe Denetim Hizmetleri Ltd. Şti. – Yönetici Ortak, engin.erguden@erlerdenetim.com
  2. Sainty Philip, İç Denetim Dergisi, “Kırılma Noktası/Risk Bazlı Denetime Dogru Atılan Adım”, Çev: Leyla Erkutoglu, Sonbahar 2002.
  3. David Mcnamee ve George Selim, Changing Paradigm, Mc2 Managmenet Consulting, 1998, http://www.mc2consulting.com/riskart8.htm.
  4. AlexInformation, Risk Based Auditing ,Alexbanking, Las cimas, Suite 300, Ausitin, s.1.
  5. Mehmet Tahir Özsoy, Activeline Dergisi, “Risk odaklı iç denetim, ABD uygulaması ve Türkiye açısından degerlendirilmesi”, Mart-Nisan 2004.s.1.
  6. Thomas E.Bayer, Risk Based Auditing: A New Approach, CFMA Building Profits, September/October 1999, s.1.
  7. Niyazi Kurnaz, Kurumsal Yönetim Ekseninde Risk Odaklı İç Denetim: Türkiye’nin 500 Büyük Sanayi İşletmesinde Risk Odaklı İç Denetim Uygulama Analizi, Doktora Tezi, 2006, s.31
  8. Phill Griffiths, “Risk Based Auditing” Gower Publishing Co. England, 2005, s. 22-26., Meryem Fikirkoca, “Bütünsel Risk Yönetimi”, Kalder, Ankara, Mart 2003, s.139-161.