İç Denetimde Temel Kavramlar_2

İÇ DENETİMDE TEMEL KAVRAMLAR_2 Sertaç İNCEKLİ, SMMM, İç Denetçi İlk yazımızda paylaştığımız iç denetimin tanımında yer alan kavramlara bu yazımızda devam ediyoruz. Bu kapsamda risk, kurumsal risk yönetimi kavramlarına ve denetimlerimizde bunlara yönelik olarak nasıl kontroller yaptığımıza değineceğim. Öncelikle iç denetimin tanımını tekrar hatırlarsak; “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.” Burada yer alan risk yönetim kavramı içerisinde riskin tanımına değinirsek; Risk, hedeflerin gerçekleştirilmesine etki edecek herhangi bir olayın/durumun meydana gelme olasılığıdır. Bu sebeple etki ve olasılık cinsinden ifade edilir. Risk yönetimi ise, potansiyel risklerin tehlikeye dönüşmeden sistematik olarak olası zararlarının etkisini azaltıcı yönde, verilere dayalı şekilde yönetilmesidir. Risk yönetimi kavramına dayanak teşkil eden ulusal ve uluslararası düzenlemeler aşağıdaki gibidir; COSO ISO 31000 COBIT SOX (Sarbannes Oxley) EU 8. Direktifi BASEL II TTK Bu düzenlemelerin ortak yapısında riskin belirlenmesi ve yönetilmesinden sorumlu olan birim ya da kişiler olmakla birlikte (riskin erken teşhisi komitesi gibi) hepsinin özünde risk yönetiminden bir kurumda çalışan herkesin sorumlu olduğu anlaşılmaktadır. Bu kapsamda kurumsal risk yönetimi şu faaliyetleri içerir; Riskleri tanımlamak, Ölçmek, İzlemek, Kontrol etmek, Raporlamak, Risk farkındalığını artırmak Risk analizi sonucu çıkan aksiyonları yeniden önceliklendirmek Buna bağlı olarak riskleri ölçmek için temel analitik yaklaşım aşağıda tablo olarak görülen risk matrisi yaklaşımıdır. Bu risk matrisine göre belirlenen riskler yönetimin risk iştahına ya da diğer ifadeleriyle risk algısına/risk toleransına bağlı olarak risk envanteri çıkarılmalı, riskler önceliklendirilmeli, risklere karşılık etkin altyapı kurulmalı ve buna göre koordine bir şekilde riskleri azaltmak için kontroller tesis edilmelidir. Bu noktada biz de hizmet verdiğimiz firmalara/üst yönetimlere süreçlerinde var olan riskleri tespit etmekte ve bunlara karşılık o firmaya özgü kontrollerin kurulması konusunda tavsiyelerde bulunmaktayız. Aynı zamanda denetimlerimizi ve bakacağımız konuları da bu risklere göre şekillendirmekteyiz. Buradan hareketle kurumsal risk yönetimi faaliyeti sonucunda riske karşı örnekleriyle şu tür aksiyonlar alınabilir; Azalt İç kontrol ve iç denetim Risk göstergelerini takip edip, kabul edilebilir seviyeye çekmek Kaçın İş kolundan, üründen, ülkeden çıkmak, yatırımdan vazgeçmek (Motorola, Leroy Merlin, Nokia vb.) Yasaklamak, durdurmak Transfer Et Sigorta Etmek Dış Kaynak kullanmak (outsource) Paylaş İş ortaklıkları, süreç ortaklıkları, anlaşmalar, sözleşmeler (İzmir-İstanbul otobanı) Hedge etmek Yay Yatırım portföyünün genişletilmesi, İş kollarında farklılaşma (turizm-inşaat vb.) Fırsatları değerlendir Riski göze almak ve faaliyeti gerçekleştirmek Kabullen Riskin mevcut seviyesini izlemek Piyasa şartların elverdiği ölçüde fiyatlamaya yansıtmak Bu kapsamda kurumsal risk yönetimi (Enterprise Risk Management - ERM) faaliyetlerinin faydaları şunlardır; Gelecekte karşılaşılabilecek zor durumları öngörür. Riskler ortaya çıkmadan önlem alınması sağlanır. Sürpriz ve kayıplar en aza indirilir. Hızlı ve etkili karar almaya yardımcı olur. Zaman tasarrufu sağlar. Kaynak israfını önler. Risklerin makul seviyelerde tutulmasını sağlar. Kişileri, yeniliklere açık olma hususunda cesaretlendirir. İş sürekliliği  sağlanır.