Bildiğiniz
gibi geçen yıl (2014) Türkiye İç Denetim
Enstitüsünün 17. sini düzenlediği SİNERJİ temalı kongreye katılmıştık.
Kongrede
aldığım notları sizlerle paylaşıyorum. Faydalı olmasını dilerim.
Risk Esaslı
Denetim Planlaması (Hakan Aytekin KPMG)
- AB ve ABD de yaşanan ekonomik
krizlerin etkileri tüm dünyaya yayılıyor. Oluşan ekonomik krizlerin
akabinde mutlaka iç denetim ve risk yönetimi unsurlarına dönülerek neden
bu tehditler ve riskler öngörülemedi diye soruluyor.
- Yaşanan krizlerin ardından AB
ve ABD’de rehavet (rahatlık) içerisinde hep aynı şeyleri rutin olarak
denetleyen ve risk odaklı yaklaşıma sahip olmayan yöneticiler kovuldu veya
tenzil-i rütbeye tabi tutuldu.
- Yöneticiler için hayati öneme
haiz olan şey, kalifiye elemanı (risk koklayabilecek, olayların perde
arkasına eğilebilecek, iz sürme kabiliyeti olan) yetiştirebilmek ve
bunları elde tutabilecek motivasyonu sağlayabilmektir.
- Tüm dünyada veri yığınları
hızla ve katlanarak artıyor yalnızca 2013 senesinde 10.000 yıllık insan
kültür tarihindekinden daha çok veri oluşturuldu. Mühim olan bu veriden ihtiyaç
duyduğumuz, kazanç elde edebileceğimiz veya maliyetlerimizi
düşürebileceğimiz unsurları elde edebilmektir. Salt veri bir işimize
yaramaz, ancak onu doğru takip edip ihtiyaca yönelik kullanabilirsek
faydasını görürüz.
- Geleneksel denetim metodları ve
çalışmaların rutin hale gelmesi iç denetim birimlerini tüketmektedir.
- İç denetim birimi üzerinde
elbette ki kaynak ve bütçe baskısı vardır, risk önceliklendirme ve
analizleri yapılmaz ise bu baskı ile yapılacak denetim kısıtlı olacak ve
açıkta bırakılmak zorunda kalan alanlar yönetime net bir şekilde
gösterilemeyecektir. Yani şöyle ki kardeşim sen bana bu kadar eleman, şu
kadar araç tahsis ettin yaptığım risk analizleri sonucunda görüyorum ki bu
riskli alanların ancak en riskli olarak gözüken şu kısımlarını denetleyip
sana makul güvence sağlayabileceğim. Ancak düşük ve orta riskli olarak
görünün şu alanlar ise elimin yetişmeyeceği, gücümün yetmeyeceği kısımda
kaldı. Karar senindir. Bunu söyleyebilmek için mutlaka ve muhakkak risk
analizleri ve önceliklendirme çalışmaları yönetim ile koordineli olarak
yapılmalıdır.
- İç denetim standartları numara
2010 gereği zaten yapılan denetim faaliyetinin risk seviyeleri ile
önceliklendirilerek yapılmasını zorunlu tutmaktadır. Eğer uluslar arası
kurallara uygun denetim yapmak istiyorum diyorsa bir kurum mutlaka risk
odaklı yapıya geçmek zorundadır.
- Risk odağında öncelikli olarak
gelirlerin arttırılması ve maliyetlerin düşürülmesi bulunmalıdır ki iç
denetim işinin sağladığı fayda sayısal olarak gösterilebilsin.
Gelişen
Yeni Riskler
- Bu noktada çok güzel bir örnek
verdi bu hoşuma gitmişti. İngiltere de geçmiş yıllarda ilk olarak elektrik
kullanılmaya başlandığında yalnızca birkaç zengin insan evinde bu imkandan
faydalanabiliyordu ancak daha sonraları o denli yaygınlaştı ki evinde,
duvara bağladığı bir priz aracılığı ile bu imkana çok basit ve ucuz bir
yolla erişmeye başladılar. Aynen öylede internet kullanımı elektrik gibi
çok nadir bulunan bir halden her evde eksiksiz bulunacak bir noktaya
geldi. Bununla birlikte elbette ki riskleri ve fırsatları da yaygınlaştı.
- Yeni gelir aktiviteleri ile
ilgili riskler, maliyet düşürme ile ilgili riskler, bilişim teknolojisi
riskleri ve genel risk / uyum yönetimi alanlarındaki riskler (Yeni gelişen
risklerin ana başlıkları)
- Şirketler ancak doğru liderler
ile yönetildiklerinde başarılı olabilirler bundan dolayı yetenek yönetimi,
başarı planlaması (kariyer planlaması, gölge personel uygulamaları) tutma,
geliştirme konuları çok riskli olarak görülmektedir.
- Konuşma sırasında katılımcılara
soru sorup cevaplar alındı sorduğu soru hoşuma gitmişti : Şirketinizin
risklerini belirlerken stratejik hedeflerini göz önünde bulunduruyor
musunuz?
Risk
Odaklı Denetimin Aşamaları
Aşama
1
- Faaliyet gösterilen endüstrinin
genel süreç ve alt süreçlerinin anlaşılması, kurumun lokasyon çevresinin
anlaşılması, kurumsallaşma seviyesinin ve tabi olduğu modellerin tespiti
ile bu tespitlerin riskler ile değerlendirilmesi.
Aşama
2 İç Denetimin Planlanması
- Yapılan plan mutlaka esnek
olmalı ve değişen koşullara uyum sağlayabilmesidir.
- Etki ve olasılık belirlenmesi.
- Bütçe eksikliklerinden
kaynaklanan kapsam daralmalarının yönetim ile çok ciddi şekilde
paylaşılması ilerideki geri dönüşleri engelleyecektir. Dışarıda bırakılan
risklerin üst yönetim farkında olmalı.
Aşama
3
- Risk değerlendirmesi
katılımcılarının belirlenmesi
- Görüşmeler ile risklerin
değerlendirilmesi
- Risk haritasının oluşturulması
Aşama
4
- Değerlendirmenin sonucunda
planlamanın oluşturulması
- Teknoloji ve İK
değişikliklerinin bu planlama doğrultusunda ele alınarak düzenlenmesi.
Aşama
5
- Kaynak planlaması (iç ve dış
kaynak kullanımı)
- Kaynakların özgeçmişleri,
yetkinlikleri ve tecrübelerinin değerlendirilmesi
- Tarafsızlık ilkesinin planlanan
kaynaklarda (iş gücünde) dikkate alınması
Risk
Esaslı Denetimin Raporlanması
- Ortaya çıkan bulguların takip
edilmesi ve sorumlulara yaptırım uygulanması söz konusu değilse iç denetim
birimi yıpranır ve çalışanların motivasyonu düşer.
- MS Excel takibi asla yeterli
değil, sistem üzerinden çalışanlara sorumlulukları zamanlı olarak
hatırlatılmalı uygulama yönünde teşvik edilmeli.
- Çalışanların risklerden
haberdar olması ve kendi kendilerine bunların iyileştirmeleri bunları
yönetmeleri sağlanabiliyorsa kurum sürdürülebilir şekilde büyüyecektir
denilebilir.
Risk
Esaslı Denetimin Faydası
- Kurum stratejileri ve riskler
arasındaki uyum
- Etkin kaynak yönetimi ve artan
verim
- Risk farkındalığının oluşması
ve güçlendirilebilmesi
-
Suiistimal Riski ve Analitik Yöntemler
(Ali Tuncel – Gül Saraçoğlu Deloitte)
ACFE (Sertifikalı Suiistimal Araştırmacıları
Derneği) 2012 yılında yayınladığı raporu incelebilir.
Suiistimal Riskinin Yönetilmesi
·
Tanıma, önleme, tespit etme, cevap
verme, öğrenme ve güncelleme süreçleri iç içe olarak ilerlemeli ve birbirini
desteklemelidir.
TANIMA
ÖNLEME
Tespit
& Tanımlama
Cevap
Verme
ÖĞRENME
GÜNCELLEME
ÖNLEME
·
İç kontroller, davranış kuralları,
özgeçmiş kontrolleri, eğitim, performans değerlendirme ve ücretlendirmede
adalet, işten çıkış görüşmeleri, yetki limitleri, dokümantasyon.
TESPİT ETME
·
İhbar mekanizmalarının etkin
şekilde kurulması. Ulaşılabilir, yetkili bir merci ve aksiyon alacak kişiler
olmalı.
·
Süreç kontrolleri, proaktif tespit
/ analitik yaklaşımlar
·
Sürekli gözetim ve ani denetimler.
CEVAP VERME
·
Hareket planı, iddiaların değerlendirilmesi,
soruşturma (zamanlı, gizli, objektif olmalı)
·
Sonuçların belirlenmesi ve
uygulanması.
ÖĞRENME ve GÜNCELLEME
·
Eğitim, eğitim, eğitim
·
Dokümantasyon ile öğrenmenin
sağlanması
ANALİTİK SUİİSTİMAL
TESPİT METODLARI
Kural
bazlı tespitler, önceden bilinen vakalara dayalı kuralların uygulanması
Örnek
: Elektronik bankacılık, kara liste kontrolleri
Sıra
dışı durum tespiti “Normal” koşullarda ve ortamlardan uzak olan durumların
tespit edilmesi
Örnek:
Ani artış durumları ve sapmaların belirlenmesi
İleri
analitik yöntemler & Profilleme
Segmentasyon
analizleri
Örnek:
Anormal kredi kartı işlemlerinin belirlenmesi
Sosyal
Ağ Analizi
Kimin
kiminle bağlantılı olduğunun belirlenmesi
Örnek:
Organizasyonların ve nitelikli dolandırıcılığın, şebekelerin tespiti
Entegre Suiistimal Risk Yönetimi Tablosu
·
Günümüzde bir çok suiistimalde
geriye dönük mutlaka bir “dijital iz” kalıyor.
·
Analitik çözümler, kayıtlı
verideki ipuçlarını keşfedip, bir çok suiistimali önceden tespit
edebilmektedir.
·
İleri analitik teknikleri
sayesinde sadece, bilinen suiistimal senaryolarını değil, yeni suiistimal
senaryolarını da tespit edebilmekteyiz.
·
Çok fazla veri var ancak bunlardan
bulgu çıkartma yetkinliği çok iyi durumda değil.
İÇ DENETİMİN ÜRETTİĞİ KATMA DEĞERİN
ÖLÇÜMÜ ( Evren Sezer Deloitte)
·
Biz yaptığımız işi satabiliyor
muyuz ? yöneticilere ve profesyonellere doğru şekilde gösterebiliyor muyuz?
·
Yönetmelik, KGGP uygulaması, dış
kalite değerlendirmeleri bunları göstergeleri olabilir.
·
Performansımızı ölçebiliyo muyuz?
Ölçümü ilgililere aktarabiliyor muyuz?
·
Eskiden hataları tespit etmeye
yönelik çalışıyorken artık kuruma değer katmak için bağımsız güvence ve
danışmanlık hizmeti sağlıyoruz.
·
1300 Kalite Güvence ve Geliştirme
programı maddesi bu unsuru zorunlu tutuyor.
·
Performans ölçümü en geniş manası
ile faaliyetin bütün olarak etkinliği ve verimliliğidir.
·
Ölçütlerin belirlenmesi, birimin
misyon ve vizyonunun dikkate alınarak ölçütlerin gruplandırılması ve
önceliklendirilmesi, bilgi toplanması (verilerin alınması) ve son olarak
bunların İç Denetim Faaliyeti adına genel müdür, denetim komitesi başkanı ve
yönetim kuruluna raporlanması. Ardından da paydaşlardan geri bildirimlerin
alınması sürecin ana hatları olarak tanımlanabilir.
·
Farklı yaklaşımlar varmış
performans değerlendirmesi ve ölçülmesinde bunlardan iki tanesine değindi.
o Performans karnesi (balanced score card)
o Girdi – süreç – çıktı analizleri
GİRDİ –SÜREÇ – ÇIKTI ANALİZLERİ
·
Kısaca şunlar ele alınır.
o Çevresel faktörler (İD yönetiminde olmayan unsurlar)
o Çıktı : tamamlanan faaliyetler
o Kalite : Faaliyetlerin kalitesi
o Verimlilik : Personel yetkinliğinin verimli şekilde kullanılması
o Etki : Çıktıların kuruma faydaları.
ÇIKTI
·
Denetim planının tamamlanma
yüzdesi
·
Tamamlanan Denetim adedi
·
Tamamlanan danışmanlık
faaliyetinin adedi
·
sunulan öneri adedi
·
uygulanan öneri adedi
·
çözüme ulaştırılamayan bulguların
adedi
·
oluşturulan gelir / maliyet
tasarrufu
·
yönetim tarafından tamamlanan
aksiyon sayısı.
KALİTE
·
Dış birim tarafından
gerçekleştirilen değerlendirme notu.
·
Müşterilerin memnuniyet düzeyi
·
Personelin deneyim seviyesi
·
Uluslar arası sertifika adedi
·
Personel başına düşen eğitim saati
·
Personel değişim yüzdesi (turn
over)
·
Direk olarak denetime harcanan
süre
·
Denetim dışı önerilir ve eğtim
olanakları , makale, dergi yazılması gibi.
VERİMLİLİK
·
Saat bazında birimin maliyeti
·
Denetlenen tutar için harcanan
tutar
·
Harcanan ve bütçelenen tutar.
·
İdari işlere harcanan tutarlar ve
süreler
·
Denetimin kendisine harcanan zaman
·
Toplam denetim süreci
·
Rapor sevk süresi
·
Tekrar eden bulgu adedi
·
Uygulanan önerilerin adedi.
ETKİ
·
Yapılan iyileştirme öneriler ile
sağlanan maliyet tasarrufu
·
Tespit edilen maliyet tasarrufu
miktarı
·
Denetlenen şirket bütçesi
·
Tespit edilen riskler
·
Tespit edilen yüksek seviyeli
riskler
Tüm bu yukarıda anlatılan unsurlardan YK ve
GM lerin önem verdikleri nelerdir bunların paydaşlardan öğrenilerek bu alanlara
eğilmemiz gerekmektedir. !!
BAŞARININ SIRRI
·
Yalın ve basit bir süreç dizayn
edilmeli. Faayitin doğrudan ilişkili olduğu performans değerlendirme
ölçütlerini kullanmak performans değerlendirme ölçütlerinin belirlenmesinde tüm
paydaşları dikkate almak önemlidir.
·
“Yetenek” istihdam etmek ve
gelişimini sağlamak. Kariyer olanağı sunarak sadakati güçlendirmek
sürdürülebilirliğin anahtarıdır.
·
Temsil misal ben şu anda iç
denetim müdürüysem birlikte çalıştığım üç elemanınımı beş sene sonra nerede
göreceğim ? Bunu çok iyi şekilde ifade edip göz önüne sunmak zorundayım ki
gelişimin ve sadakatin önü açılmış olsun.
·
İç denetim kaynaklarının en iyi
şekilde kullanmak.
·
Son olarak teknolojiyi bir
kaldıraç olarak kullanarak tüm iletişim kanallarını kullanarak ilerlemenin
sağlanması.
Yorumlar
Yorum Gönder