IIA'in 2021 Yılına İlişkin OnRisk Raporu

IIA 2021 yılına ilişkin riskler ile ilgili yeni raporunu yayımladı. OnRisk 2021 çalışması, YK’larının C kademe yönetimin ve iç denetim yöneticilerinin; gelecek yıl kurumların karşılaşacağı 11 temel riski nasıl gördüğünü ölçmek için anketleri kullanmaktadır.  

Raporda, çok çeşitli riskleri ve iyileştirilmesi gereken alanları yansıtan beş temel gözlem yer alıyor:

İş sürekliliği , kriz yönetimi ve siber güvenlik:

2021 için en yüksek puan alan risklerdir. COVID-19 salgınının getirdiği zorlukların yanı sıra teknolojiye ve verilere olan bağımlılığın artması, bu riskleri artırıyor. Bazı siber tehditler, çalışanların evden çalışmaya geçmesi ve pandemi sebebiyle e-ticarete yoğun bir geçişle birlikte artmıştır.

Organizasyonel riskler:

Tüm katılımcılar, yıkıcı yenilik ve yetenek yönetimini en etkili riskler arasında değerlendiriyor. Yine de, C kademe katılımcıları kişisel bilgilerini ve kuruluşun bu risklerle ilgili yeteneklerini en düşükler değerlendirmiştir.

Yöneticilerin risk algıları İDY’ler ve YK ile uyumlu değildir:

Yönetim kurulu üyeleri ve iç denetim yöneticileri (İDY’ler), OnRisk 2021'de yer alan risklerin ilgili düzeyine ilişkin algıları konusunda büyük ölçüde uyum içindedir. Bununla birlikte, yönetimin risklere ilişkin sıralaması özellikle ekonomik ve politik dalgalanma açısından genel olarak daha düşüktür. C kademe, yetenek yönetimi, kültür ve iş sürekliliği gibi operasyonel risklere daha yüksek önem vermiştir.

Riskleri yönetme yeteneği hakkındaki algılar daha uyumludur.

Yanıtlar, risk yönetimi konusunda kurumsal yetenekler konusunda daha yakındır. Geçen yılki raporda belirtilen aşırı güven bu sene azalmış görünüyor. Yenilenen risk değerlendirmelerine ve risk yönetimi sorumluları arasında daha sıkı iletişim ve işbirliğine odaklanan COVID-19'a verilen yanıtlar, muhtemelen kurumsal güçlü ve zayıf yönler konusunda daha güçlü bir uyum sağlamıştır.

Yöneticiler; kurumsal yönetişimi, YK ve İDY’den daha az ilgili bir risk olarak görmektedir.

Kurumsal yönetim konusunda sıralamalarındaki eşitsizlik önemli ve anlamlıdır. Yöneticilerin bu riski daha düşük seviyede sıralaması, kişisel bilgi ve organizasyonel yeteneklerdeki daha yüksek sıralaması, yönetimin bu alanlarda kendine güveninin YK ve İç Denetim Yöneticilerinden kopuk olduğunu gösteriyor.

Rapor, incelenen 11 temel riskin her birinin derinlemesine incelemeleri ve risk yönetimi ile ilgili üç tarafı için önerilen eylemleri içermektedir.

RİSK TEMELLİ DENETİM YAKLAŞIMI BİZE NE KAZANDIRIR ?

İç denetim standartları iç denetimi aşağıdaki gibi tanımlamaktadır:

İç denetim; bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim; kurumun risk yönetim, kontrol ve yönetişim (kurumsal yönetim) süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.

Dolayısıyla iç denetim çalışmalarının yerine getirilmesi için kurumun risk yönetim süreçlerinin anlaşılması gerekmektedir.

İç denetimin mesleğinin gelişmesinde aşağıdaki gibi üç aşamadan bahsedebiliriz. :

1.    Sayma ve gözlemleme,

2.    İç kontrol sistemini değerlendirme,

3.    İş süreçlerinin risk bakış açısıyla değerlendirilmesi.

Risk temelli yaklaşım iç denetimde önemli bir felsefi değişim getirmiştir. 

Öncelikle iç denetimde odak, geçmiş ve bugünü içeren bir kapsamdan bugün ve geleceği içeren bir yaklaşıma kaymıştır. Sadece geçmişteki olayları inceleyen bir yaklaşım tarzı iç denetimin değerini sınırlandırır.

Mevcut ve gelecekteki riklere odaklanmak ise kurumun hedeflerine ulaşması için engelleri ortadan kaldırmada daha doğru bir yaklaşım sağlar.

Ayrıca bu şekilde elde edilecek bilgiler kurumsal yönetim açısından üst yönetime önemli girdiler sağlayabilir.

CoCo İÇ KONTROL ÇERÇEVESİ

İç kontrol sistemlerinin oluşturulmasında "iç kontrol çerçeveleri" şirket yönetimlerine yol göstericidir.

Dünyada genel olarak kabul gören iç kontrol çerçevesi COSO olmakla birlikte farklı iç control çerçeveleri de bulunmaktadır.

Bu yazımızda CoCo iç control çerçevesi ile ilgili genel bilgiler vermeyi amaçladık.

CoCo iç kontrol çerçevesi, 1995 yılında Kanada Sertifikalı Kamu Muhasebecileri Enstitüsü (Canadian Institute of Char­tered Accountants) tarafından “Kontroller Üzerine Rehber” adıyla yayınlanmıştır.

Bu iç kontrol çerçevesinde; etkin iç kontrollerin sağlanması için organizasyonun 4 alanıyla ilgili prensipler sıralanmaktadır. Bunlar;  amaç (purpose), bağlılık (commitment), yeterlilik (capability), izleme ve öğrenmedir.(monitoring and learning).

Bu prensipleri ana hatlarıyla açıklayalım.

1.      Amaç: Kurumun; misyon, vizyon, strateji, risk ve fırsatlar, politikalar, planlar ve performans hedeflerinin kişilerin anlayabilmesi için açık kontrol kriterleri sağlaması. 

2.      Bağlılık: Kişilerin kontrol felsefesine bağlılıklarını sağlayacak etik değerler, güvenilirlik, insan kaynakları politikaları ve hesap verilebilirlikle ilgili sistemler.

3.      Yeterlilik: Kişilerin iyi iç kontrolleri kurmak ve riskleri değerlendirmek katkıda bulunmalarını sağlamak üzere sahip olması gereken bilgi, yetenek, araçlar, iletişim süreçleri ve koordinasyon faaliyetleridir.

4.      İzleme ve Öğrenme: İç ve dış çevrenin ve performansın, kontrollerin etkinliğinin, üretilen bilgilerin ve bilgi sistemlerinin uygunluğunun izlenmesini ve değerlendirilmesini içerir.
 

CoCo iç kontrol çerçevesi, dar bir finansal kontrol bakış açısı yerine; iç kontrol kavramını oluşturan süreçleri, değerleri ve yapıları dikkate almaktadır.

İŞLETMELERDE SUİSTİMAL (YOLSUZLUK) RİSKLERİNİN YÖNETİMİ

 

Şirket içi suiistimaller işletmeler için önemli bir kayıp unsurudur. Şirket yönetimleri suiistimallerin önlenmesi ve muhtemel suiistimallerin ortaya çıkartılması için gerekli tedbirleri almalıdır.

Devamı için...

 

http://archive.ismmmo.org.tr/docs/malicozum/127malicozum/016_Mustafa_KOCAMEŞE.pdf

 

Denetimde Raporlama Kalitesi İçin Öneriler

Yapılan bir denetim çalışmasının nihai ürünü yazılan denetim raporudur. Denetim raporları, çoğu kere, şirket yöneticileri ve yönetim kurulunun iç denetim faaliyeti ile ilgili gördükleri tek doküman durumundadır. Her ne kadar denetim çalışması sırasında detaylı ve titiz bir çalışma yürütülse de nihai raporda bulguların doğru bir şekilde ifade edilememesi halinde yapılan çalışmanın faydası sınırlı kalacaktır. Denetim raporlarının kalitesinin sağlanabilmesinde dikkat edilecek başlıca konular şu şekilde sıralanabilir.

Raporlamalar; doğru, objektif, açık, özlü, yapıcı, tam olmak ve zamanında sunulma zorundadır.

- Doğru raporlamalar, hatalardan veya çarpıtmalardan uzaktır ve altında yatan gerçeklere sadıktır.
- Objektif raporlamalar, âdil, tarafsız ve önyargısızdır.

- Açık raporlamalar, kolayca anlaşılabilir ve mantıklıdır,bütün önemli ve ilgili bilgiyi sağlar.

- Özlü raporlamalar, konuyu doğrudan anlatır,
- Yapıcı raporlamalar, müşterisine ve kurumuna yardımcıdır,

- Tam raporlamalar, bütün önemli ve ilgili bilgi, tavsiye ve sonuçları destekleyecek gözlemleri içerir.
- Zamanında raporlamalar, gerekli düzeltici tedbirin alınmasını sağlayacak bir şekilde zamanında yapılan raporlamalardır.


Raporlama kalitesinin sağlanabilmesi için öneriler:
- Veri ve delilleri, dikkat ve hassasiyetle toplayın, değerlendirin ve özetleyin.

- Tespit, sonuç ve tavsiyeleri, önyargısız ve tarafsız bir şekilde, kişisel çıkarları göz önüne almadan ve başkalarının etkisi altında kalmadan ortaya çıkartın ve ifade edin.

- Sunulan her düşüncenin anlamlı fakat özlü ve kısa olması amacıyla raporlarınızı hazırlayın.

- Kurumun amaçlarına odaklanan, faydalı, olumlu, anlamlı bir rapor içeriği ve tarzı benimseyin. 

- Raporlamanın kurumun kültürü ile uyumlu olmasına dikkat edin.

Aile Şirketlerinde İç Denetim

Dünya uygulamalarına bakıldığında iç denetim faaliyetinin ortaya çıkmasının tamamen şirket sahiplerinin ihtiyaçlarından kaynaklandığı görülmektedir.

Aile şirketleri açısından bakıldığında, en önemli ihtiyaç şirket varlıklarının korunması konusunda iç denetim faaliyetinin şirket sahiplerine belirli bir güvence sağlamasıdır.

Şirketler büyüdükçe sahiplerinin işlem seviyesinde kontrol edebildikleri alanlar azalır. Belirli bir büyüklüğe ulaşan aile şirketlerinde ise genellikle varlıkların korunması güdüsüyle iç denetim departmanlarının oluşturulması gündeme gelir.

İç denetim departmanlarının ilk kez kurulduğu firmalarda genellikle öncelikli faaliyet alanı nakit ve stok gibi varlıklar üzerindeki kontroller, yani bu varlıkların korunmasıdır.

Finansal raporların güvenilirliği, özellikle vergi ve sosyal güvenlik alanında yasal mevzuata uygunluğun sağlanması gibi konular da iç denetim çalışmalarının kapsamına girebilir.

Şirketlerin büyümesi ve kurumsallaşması ile birlikte iç denetim faaliyetinin varlıkları koruma noktasından katma değer yaratma noktasına kaydığı gözlemlenir.

Bu seviyede iç denetim; iş süreçlerinin geliştirilmesi, operasyonel verimlilik, risk yönetimi gibi katma değerli faaliyetler içerisinde yer almaya başlar.

İç denetim faaliyeti kurumun  yönetişim faaliyetlerinin geliştirilmesi için tavsiyelerde bulunmak ve yapılacak iç denetim çalışmaları ile kurumsal yönetim yapısına katkıda bulunabilir.
 

İÇ DENETİMİN SUİSTİMAL DENETİMİNDE GÖREVLERİ
 
İç denetçilerin suiistimaller konusundaki sorumlulukları önleyici tedbirleri değerlendirmek ve şüpheli durumları soruşturmak olarak iki başlıkta ele alınabilir. Suiistimal denetimine özgü bazı hususlara aşağıda yer verilmiştir.

Suistimal Tanımı

Uluslararası Denetim Standartlarına göre; işletmenin yöneticileri, çalışanları veya işletme ile ilgili üçüncü kişilerin bir veya daha fazlası tarafından kendilerine adil olmayan ve illegal bir avantaj sağlamak üzere giriştikleri kasıtlı ve aldatıcı davranışlar hile olarak tanımlamaktadır. Amerikan Sertifikalı Hile Denetçileri Birliği ise hileyi “Bir kişinin mesleki görevini varlıklarını ve kaynaklarını amacı dışında ve yanlış kullanmak suretiyle kişisel çıkar sağlaması” olarak tanımlamaktadır.

Suiistimallerin önlenmesinde asıl sorumluluk şirket yönetimine aittir.

Muhtemel Suiistimal Türleri

Değişik kaynaklarda hileler değişik sınıflamalara tabi tutulmakla birlikte ACFE tarafından yapılan sınıflandırmaya bakıldığında hile türleri 3 ana başlık altında toplanmaktadır:

i. Varlıkların Kötüye Kullanılması: Bir çalışanın işletme varlıklarını ele geçirmesi veya kendi yararına kullanması şeklinde ortaya çıkan suiistimal türüdür. İşletmelerde meydana gelme sıklığı bakımından ilk sırada yer almakla birlikte diğer suiistimal türlerine göre işletmelere maliyeti daha azdır. Varlıkların kötüye kullanılması; nakit ve stok hırsızlığı, fiktif faturaların kayda alınması, personelin iş masraflarını şişirmesi veya işletme demirbaşlarının çalınması gibi suiistimalleri kapsamaktadır.

ii. Hileli Finansal Raporlama: Hileli finansal raporlama işletmenin mali durumunun olduğundan farklı gösterilerek tüm işletme ilgililerinin yanıltılması biçiminde ortaya çıkan hile türüdür. Genellikle tepe yöneticileri tarafından yapılan finansal tablo hileleri sonucu işletme hem itibar olarak hem de maddi olarak zarar görmektedir. Hileli finansal raporlama; işletmenin durumunun olduğundan iyi gösterilmesi ya da olduğundan kötü gösterilmesi şeklinde olabilir. İşletme yönetimi, hissedarları yanıltarak şirketi olduğundan iyi gösterebilir veya yılsonunda prim vb. hak edişleri elde edebilmek için mali tabloları manipüle edebilir.  Kamuoyuna da yansımış büyük şirket skandalları genelde mali tabloların hileli oluşturulmasıyla ilgilidir.

iii. Yolsuzluk ve Ahlaki Olmayan Davranışlar: Çalışanın bir işletme faaliyetinde işverenin ya da bir başkasının haklarını göz ardı ederek, gücünü yanlış bir biçimde kendisine veya bir başkasına yarar sağlama amaçlı kullanmasıdır. Rüşvet, satın alma usulsüzlükleri, ihaleye fesat karıştırma, şirketin ekonomik gücünü kendi çıkarına kullanma gibi örnekler verilebilir.

Suistimal Denetiminin Kapsamı

Suiistimal denetimleri suiistimalin önlenmesi veya suiistimal şüphesi olan durumların araştırılması olmak üzere iki temel çerçevede ele alınmalıdır.

Suiistimalin önlenmesi: Spesifik olarak iç denetçiler iç kontrollerin yeterliliğini ve etkinliğini değerlendirerek suiistimalden caydırma konusunda şirket yönetimine yardımcı olabilirler. Ayrıca kurumun kuvvetli ve zayıf olduğu alanlar hakkındaki bilgi birikimini geliştirerek ve bu hususta uzmanlıklarını kullanarak suistimale karşı etkili önleyici tedbirleri belirlemesi için yönetime yardımcı olabilirler.

Suiistimalin soruşturulması: İç denetçinin suiistimal risk yönetiminde oynadığı roller arasında; şüpheli suiistimal fiilinin ilk veya tam soruşturulması, kök sebep analizi ve iyileştirmeye yönelik tavsiyeler, raporlama, ihbar hattını izlemek veya etik ilkeler konusunda danışmanlık ve eğitim vermek sayılabilir. 

İç denetçiler; şirket varlıklarını zimmete geçirmeye ve gerçeğe aykırı bilgiler talep etmeye yönelik tarama yapmak amacıyla proaktif denetimler gerçekleştirebilirler. Belirli suiistimal tiplerini tespit etmek için veri madenciliği dahil bilgisayar destekli denetim tekniklerinin kullanılması da bu kapsama girer. İç denetçiler aynı zamanda olağandışı kalemleri bulmak için analitik ve başka prosedürlerden faydalanabilirler ve yüksek riskli hesaplara ve işlemlere yönelik ayrıntılı analizler gerçekleştirebilirler.

Soruşturma

İç denetim biriminin suiistimal vakalarında rolü; soruşturmanın bizzat yürütülmesi, soruşturmaya destek verilmesi veya olayın dışında kalınması şeklinde olabilir. İç denetim soruşturmadan sorumlu olacaksa soruşturma ekibinin kurulmasında ve soruşturma sırasında şirket içi ve dışı diğer kaynaklardan destek alabilir.

Her bir soruşturma için kurumun prosedürleri izlenerek ayrı bir soruşturma planı geliştirilir.

Spesifik duruma ve soruşturma ekibinin hedeflerine bağlı olarak her soruşturmada kullanılan prosedürler değişecektir.
 

Kanıt elde etmek: Kanıtların toplanması ve hazırlanması, suiistimali anlama sürecinde kritik ve önemli bir aşamadır. Elde edilen tüm raporlar, belgeler ve kanıtlar kronolojik olarak bir envanterde kaydedilmelidir.

Görüşme yapmak: Soruşturma yapan kişi şüpheli veya kendisine yardımcı olabilecek diğer kişilerle görüşebilir. Şüpheli ile yapılacak görüşme genelde kanıt elde edildikten sonra yapılmalıdır.

Raporlama

Suistimal vakalarının raporlanması; soruşturmanın durumu ve alınan sonuçlarla ilgili üst yönetim ve yönetim kurulu ile yapılan sözlü, yazılı, ara ve nihali değerlendirmeleri kapsar. Raporlar soruşturma başında, devam ederken veya sonunda verilebilirler. Soruşturma sonunda yazılı bir rapor verilebilir. Soruşturmacı raporu yazarken yönetimin ihtiyaçları yanında yasal şartları, kurumun politika ve prosedürlerini dikkate almalıdır.