İÇ KONTROL SİSTEMİ RİSK ANALİZİ ÇALIŞMASI · ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde tüm log kayıtları üzerinden kişiler izlenebilmektedir. ... Sistemlerinin

İÇ KONTROL SİSTEMİ - RİSK ANALİZİ ÇALIŞMASI

www.bagcilar.bel.tr Facebook – Twitter – YouTube – Instagram: bagcilarbld

İlgili İç Kontrol Standardı

Konu Risk No

Risk Tanımı Etki KLASİK YÖNTEM BAĞCILAR

Olasılık Risk Değeri Olasılık Risk Değeri

- İç Kontrol Sisteminin işleyişiyle ilgili ekiplerin kurulması ve faaliyete geçmesi

1

Ekiplerde belirlenen kişilerin istenilen nitelikte ve gönüllü olmaması.

10

8

80

7

70

FAALİYET ADI İç Kontrol Sisteminin Yürütülmesi

MEVCUT KONTROLLER 1. Görevlendirme Yazısı'nın resmileşmesinden önce üst yönetimin uygun gördüğü kişilerle birebir görüşmeler yapılmıştır. 2. İç Kontrol Sisteminin işleyişinde görev alan tüm personelin "Uygulamalı ve Sertifikalı İç Kontrol ve Risk Analizi Eğitimi (TODAİE)"ne gönderilmiştir.

EK KONTROLLER Belediyemizde her müdürlükten İç Kontrol Sistemi ile ilgili görevli diğer personellere uygulamalı yeni eğitimlerin verilmesi


Konu Risk No



Kontrol Ortamı

Üst yönetimin iç kontrole yönelik destekleyici tutumunun sağlanması

2

Üst düzey yöneticinin sahiplenmemesiyle birlikte orta düzey yöneticilerin ve kurulacak ekip tarafından sistemin sahiplenilmemesi.

8

8

64

7

56


MEVCUT KONTROLLER

Bilgilendirme toplantıları yapılmaktadır.

EK KONTROLLER İç Kontrol Sistemi'nin denetim ve raporlama mekanizmasının daha etkin, sade, performans esaslı ve online olarak üst yönetime sunulması


Konu Risk No



Kontrol Ortamı

İdari birimlerin (en alt düzey birime kadar) görev, yetki ve sorumlulukları yazılı olarak belirlenmesi

3

Görev, yetki ve sorumluluklarla ilgili tüm kayıtların güncel olarak tutulmaması.

3

6

18

4

12


MEVCUT KONTROLLER

ISO 9001:2008 Kalite Yönetim Sistemi ile yürütülmektedir.

EK KONTROLLER Belediyemizi ilgilendiren yasal mevzuat envanterinin tamamlanmasıyla birlikte, tüm görev, yetki ve sorumlulukları kapsayacak şekilde, sistematik bir "Süreç İyileştirme Döngüsü"nün oluşturulması ve yönetiminin Performans Odaklı olarak izlenmesi


Konu Risk No



Kontrol Ortamı

Teşkilatlanmaya ilişkin düzenlemeler, hesap verme mekanizmaları ve bu mekanizmaların işleyişini sağlayacak raporlama kanallarının oluşturulması

4

Doğru raporlama kanalları ve mekanizmasının oluşturulamaması sonucu meydana gelebilecek usulsüzlüklerin fark edilememesi.

8

8

64

2

16


MEVCUT KONTROLLER 1. ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde tüm log kayıtları üzerinden kişiler izlenebilmektedir. 2. TS 13298 Elektronik Belge Yönetim Standardına sahip Süreç Tabanlı EBYS otomasyonunun üzerinden tüm log kayıtları üzerinden kişiler izlenebilmektedir. 3. Tüm iş süreçlerindeki onay mekanizmaları standart olarak tasarlanmıştır.

EK KONTROLLER

-


Konu Risk No



Kontrol Ortamı

İş analizlerinin yapılması ile yönetici ve personelde aranacak niteliklerin belirlenmesi

5

Görevlendirmelerin liyakat bazlı yapılamaması.

6

7

42

6

36


MEVCUT KONTROLLER 1. Hassas Görev Tanımları riskler, mevcut kontroller ve görevi yürütecek personelin sahip olması gerekli nitelikler göz önüne

alınarak oluşturulmuştur.

EK KONTROLLER İnsan Kaynakları Yönetim Sistemleri ile ilgili yapılan AR-GE çalışmaları kapsamında İş Değerleme Yöntemlerinin (İşlerin gerekli nitelikleri, zorluk derecesi, vb.) EBYS ile entegrasyonu yapılarak kurumumuzda daha etkin bir şekilde kullanılması.


Konu Risk No



Kontrol Ortamı

İhtiyaca uygun kişilerin seçimini sağlayacak güvenilir işe alım süreçlerinin belirlenmesi

6

Sözleşmeli Memurların işe alım süreçlerinde adam kayırma ve haksızlıkların gerçekleşmesi ile alınan niteliksiz personelden dolayı verimsizlik yaşanması

5

7

35

7

35


MEVCUT KONTROLLER İşe alım süreçlerinde aday Sözleşmeli Memurlarla ilgili karar, Başkan Yardımcısı ve Birim Müdürü ile yapılan mülakat ve değerlendirme sonrası kabul veya red olarak sonuca bağlanmaktadır.

EK KONTROLLER İnsan Kaynakları Yönetim Sistemleri ile ilgili yapılan AR-GE çalışmaları kapsamında İş Alım Süreçleri ile ilgili en nitelikli çalışanın seçilmesi ve böylece verimliliği artırmak için sistematik bir yaklaşımın kurgulanması hedeflenmektedir.


Konu Risk No



Kontrol Ortamı

Eğitim stratejileri ve prosedürlerinin belirlenmesi

7

Görev tanımlarıyla uyumlu eğitimlerin verilmemesi sonucu verimsizlik yaşanması

5

7

35

7

35

8 Personelde motivasyon düşüklüğünün yaşanması.

3 3 9 3 9


MEVCUT KONTROLLER 1. Müdürlüklerin talepleri doğrultusunda İnsan Kaynakları ve Eğitim Müdürlüğümüz tarafından eğitimler planlanmaktadır. 2. Diğer kuruluşlarca yapılan eğitimlere birim yöneticileri tarafından uygun olan personeller yönlendirilmektedir.

EK KONTROLLER İnsan Kaynakları Yönetim Sistemleri ile ilgili yapılan AR-GE çalışmaları kapsamında kurumumuza özel “Bağcılar Akademi Projesi” ile daha etkin/verimli bir yapı oluşturulacaktır.


Konu Risk No



Kontrol Ortamı

Performans değerleme sisteminin geliştirilmesi.

9

Performans değerlendirmenin adaletli şekilde yapılmaması ile yönetime olan inancın azalması ve motivasyon düşüklüğü yaşanması

7

8

56

5

35


MEVCUT KONTROLLER 1. İş Zekası Karar Destek Sistemi (KDS) üzerinden raporlamalar ile Kurum, Birim, Çalışan bazında çeşitli performans raporları izlenebilmektedir. 2. Yılda 2 kez yöneticiler tarafından çalışanlar değerlendirilmektedir.

EK KONTROLLER İnsan Kaynakları Yönetim Sistemleri ile ilgili yapılan AR-GE çalışmaları kapsamında Bireysel Performans Değerlendirme Sistemlerinin -360 Derece PD, vb. yöntemlerle- İş Zekası Karar Destek Sisteminde iş bazlı performans raporlarının genişletilmesi hedeflenmektedir.


Konu Risk No



Kontrol Ortamı

Yetki devirlerine ilişkin hususların belirlenmesi ve duyurulması

10

Yetki belirsizliğinden dolayı iş süreçlerinde yetkilerin aşılması

7

6

42

2

14


MEVCUT KONTROLLER EBYS ile İş Süreçleri, Kullanıcı Rolleri ve Yetkiler bazında belirlenmiştir. Bunun dışında işlem yapılamamaktadır.

EK KONTROLLER -


Konu Risk No



Kontrol Ortamı

Yetki devirlerine ilişkin hususların belirlenmesi ve duyurulması

11

Yetki devri yapılan personelin o göreve ait niteliklere sahip olmaması

7

6

42

4

28


MEVCUT KONTROLLER 1. EBYS İş Akışları, yöneticilerin yetki devirleri ile ilgili hazırlanan İmza Yetkileri Yönergesine uyumlu bir şekilde hazırlanmıştır. 2. EBYS’de İş Süreçleri, Kullanıcı Rolleri ve Yetkiler bazında belirlenmiştir. 3. İzin, görevlendirme, vb. durumlarda EBYS üzerinden vekalet sistemi (izinli personelin işlerinin vekil personele otomatik olarak

aktarılması) uygulanmaktadır.

EK KONTROLLER Tüm personeli kapsayacak şekilde ve nitelik bazında hazırlanacak Yetki Devri Yönergesi EBYS'ye entegre edilecektir.


Konu Risk No



Kontrol Ortamı

Stratejik amaçlar ve ölçülebilir hedefler üzerinden performans programı hazırlanması ve performansın ölçülmesi, izleme ve değerlendirilmesi

12

Yöneticilerin doğru hedefler ve bütçeyi belirleyememesi ile ihtiyaca uygun, gerçekçi bir planlama ve programlamanın yapılamaması

8

6

48

3

24


MEVCUT KONTROLLER 1. Stratejik Plan hazırlanırken, paydaş analizlerinin kapsamlı bir şekilde değerlendirilmesi, üst yönetim ve tüm müdürlüklerle birebir çalışılarak gerçekçi ihtiyaca uygun gerçekçi planlama yapılmaya çalışılmıştır. 2. EBYS Mali Hizmetler ve Planlama Modülleri ile performans bazlı iş ve bütçe yönetimi sağlanabilmektedir.

EK KONTROLLER 1. İnteraktif Proje Etkinlik Karnesi (İPEK) Projesi 2. Sistem Dinamikleri Yaklaşımı ile Şehir Modellenmesi


Konu Risk No



Kontrol Ortamı

Stratejik amaçlar ve ölçülebilir hedefler üzerinden performans programı hazırlanması ve performansın ölçülmesi, izleme ve değerlendirilmesi

13

Performans ölçümünün sağlıklı bir şekilde yapılmamasından dolayı değerlendirmenin gerçekçi olmaması

6

6

36

4

24


MEVCUT KONTROLLER 1. EBYS Strateji Modülü ile Stratejik Plan, Performans Programı ve Faaliyet Maliyetleri Bütçe esaslı olarak yönetilebilmektedir. 2. EBYS'de İş Zekası KDS üzerinden birimlerin yaptığı tüm işlerin izleme ve değerlendirilmesi yapılabilmektedir.

EK KONTROLLER İnteraktif Proje Etkinlik Karnesi (İPEK) Projesi (Birimlerin yaptığı proje ve faaliyetlerin paydaşlar nezdinde memnuniyet, operasyonel ve mali boyutlarda online verimlilik değerlendirilmesi mümkün hale gelecektir.)


Konu Risk No



Kontrol Ortamı

İş analizleri ile amaç ve hedeflerinin gerçekleşmesini engelleyebilecek risklerin yönetilmesi

14

İş analizlerinin doğru bir şekilde belirlenememesi, güncellenememesi ve izlenememesi ile kaynak israfının oluşması

8

9

72

3

24


MEVCUT KONTROLLER EBYS'de Konu Bilgileri kısmında işlerin süreçleri belirlenmekte ve işleyen yapıya göre optimize edilmektedir.

EK KONTROLLER -


Konu Risk No



Risk Değerleme

Kurum hedeflerinin gerçekleşmesini etkileyebilecek potansiyel risklerin tanımlanması, analizi ve yönetilmesi

15

Risklerin doğru belirlenememesinden dolayı kaynak israfının oluşması

6

7

42

7

42


MEVCUT KONTROLLER Kurum yöneticileri proje ve faaliyetlerle ilgili risk değerlendirmesini; sezgisel olarak, geçmiş deneyimlerini değerlendirdikleri toplantılar ile yapmaktadır.

EK KONTROLLER 1. EBYS ile Entegre bir şekilde, 2016 yılında Stratejik Plan revizyon çalışması içerisinde Stratejik Hedef bazında Risk Yönetimi çalışması yapılacaktır. 2. İnteraktif Proje Etkinlik Karnesi (İPEK) Projesi ile proje bazında birtakım riskler belirlenebilecektir.


Konu Risk No



Kontrol Faaliyetleri

Risklerin gerçekleşme olasılığını azaltmak ve istenmeyen sonuçların ortaya çıkmasını mümkün olduğu kadar engellemek için kontroller yapılması

16

Fiziksel varlıkların korunamaması

7

4

28

3

21


MEVCUT KONTROLLER 1. Tüm hizmet binalarımızda güvenlik sistemleri bulunmaktadır. 2. Kafeterya hizmeti verilen parklarda işletmeci olarak görev yapan kişiler, park güvenliği ve park mobilyalarının korunmasından

da sorumlu tutulmaktadır. 3. Tüm personele Oryantasyon ve Hizmet İçi eğitimleri ile belediye varlıklarını korumak için bilgilendirme ve mesuliyet

verilmektedir. 4. Kurumumuza ait Taşınır Varlıklarla ilgili Ambar Yönetimi uygulanmaktadır.

EK KONTROLLER “Mobese Güvenlik Ağı Projesi” ile şehir güvenliğini artırmak ve afet yönetimini kolaylaştırmak hedeflenmektedir.


Konu Risk No





17

Mali ve yönetim bilgilerinin doğru olarak kayıt altına alınmaması

9

5

45

2

18


MEVCUT KONTROLLER 1. EBYS içerisinde Mali Yönetime dair modüller kullanılmakta ve izlenmektedir. 2. Başvuru yönetiminde (başvuruların alınması, çözümlenmesi ve sonuçlandırılması), kullanıcıların veri kalitesini artırmak için İş Zekası KDS üzerinden raporlar Bilgi İşlem Müdürlüğü bünyesinde bulunan bir ekip tarafından incelenmekte ve bu doğrultuda niteliği düşük kayıtların uygulamalı eğitimler yoluyla düzeltilmesi sağlanmaktadır.

EK KONTROLLER -


Konu Risk No





18

Şifreler, kimlik kartları, koruma görevlileri gibi erişim kontrollerinin olmamasından dolayı usulsüzlüklerin yaşanması

9

9

81

1

9


MEVCUT KONTROLLER 1. ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi, 2. EBYS'deki rol bazlı yetkilendirme mekanizması ile tüm log kayıtlamaları raporlanarak izlenebilmektedir.

EK KONTROLLER -


Konu Risk No





19

Faaliyetleri olumsuz etkileyebilecek kayıp ve zararı telafi etme yöntemlerinin olmaması

6

3

18

3

18


MEVCUT KONTROLLER 1. EBYS ortamında yürütülen faaliyetlerde onay sürecinde, faaliyeti olumsuz etkileyebilecek bir durumda gerekçe belirtilerek (onay iptal) işin düzeltilebildiği bir yapı bulunmaktadır. 2. İhaleli işlerde faaliyetleri olumsuz etkileyebilecek hususlar ilgili teknik şartnamelere eklenen maddelerle güvence altına alınmaktadır.

EK KONTROLLER İnteraktif Proje Etkinlik Karnesi (İPEK) Projesi ve Risk çalışmalarıyla birlikte, kurumsal anlamda kamu zararını önlemeye yönelik ilave tedbirler sistemli hale getirilecektir.


Konu Risk No





20

Dönemsel olarak yapılan sayımlarda fiziksel envanterler ile kayıtların karşılaştırılmasında tutarsızlıklar oluşması

6

6

36

2

12


MEVCUT KONTROLLER 1. EBYS üzerinden Taşınır ve Taşınmaz Varlık Yönetimi (ödeme emirleri muhasebeleştirilirken fatura kalemlerinde yer alan taşınırlar/

taşınmazların eş zamanlı olarak ilgili modüle entegrasyonu) tutulmakta online olarak izlenebilmektedir. 2. İç Denetçi tarafından dönemsel sayımlarda fiziksel envanterler ile kayıtların karşılaştırılması denetlenmektedir.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Başlangıç ve onay aşamaları dâhil, SDP esaslı iş ve işlemlerin bütün süreçlerini kapsayacak bir kayıt ve dosyalama sisteminin oluşturulması

21

İş ve işlemlerle ilgili fiziksel ve dijital ortamdaki tüm kayıt ve dosyalama sisteminin SDP esaslı olarak oluşturulmaması

7

6

42

1

7


MEVCUT KONTROLLER EBYS içerisinde tasarlanan tüm iş süreçleri SDP esaslı olarak kurgulanmış ve yürütülmektedir.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Başlangıç ve onay aşamaları dâhil, SDP esaslı iş ve işlemlerin bütün süreçlerini kapsayacak bir kayıt ve dosyalama sisteminin oluşturulması

22

Başlangıç ve onay aşamaları dahil süreçlerdeki kayıtlarda usulsüzlüklerin yaşanması

7

6

42

2

14


MEVCUT KONTROLLER 1. EBYS içerisinde yürütülen tüm iş süreçleri onay mekanizmaları belirlenerek kurgulanmıştır. 2. e-Yazışma paketi ile entegre çalışan onay mekanizmasında imzacılar evrakın ait olduğu dijital dosyanın tamamını görerek onay verebilmektedir. 3. ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi ile tüm kontroller sağlanmaktadır.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Politikalar, programlar, faaliyet ve projelere ilişkin mali ve mali olmayan bilgilerin ve sonuçların yazılı veya sözlü olarak ilgili kişi ve mercilere, belirli zamanlarda ulaştırılması

23

Şeffaflık ve hesap verebilirlik ilkeleri zedelenmesinden dolayı kuruma karşı güvensizliğin oluşması

8

7

56

2

16


MEVCUT KONTROLLER 1. ISO 10002:2004 Müşteri Memnuniyeti Yönetim Sistemi 2. Kurumumuzda yürütülen "Başvuru Yönetim" süreci (işin hangi müdürlükte, ne kadar sürede tamamlandığı dahil) başvuru sahipleri, çalışan ve yöneticiler tarafından online olarak izlenebilmektedir. 3. Kurumsal internet sitemiz üzerinden tüm politika, program, faaliyet ve projelere ilişkin bilgi ve sonuçlar sürekli olarak yayınlanmaktadır.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Hangi formda olursa olsun, bilginin mutlaka uygun bir şekilde güvenliği sağlanması

24

Veri bütünlüğünün korunamaması ve sistemin devamlılığının sağlanamaması

10

7

70

1

10


MEVCUT KONTROLLER ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi ile tüm kontroller (kurum dışında 2 Felaket Kurtarma Merkezi dahil) sağlanmaktadır.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Hangi formda olursa olsun, bilginin mutlaka uygun bir şekilde güvenliği sağlanması

25

Erişimlerin yetki dahilinde yapılmaması ile mahremiyet ve gizliliğin korunamaması

10

8

80

1

10


MEVCUT KONTROLLER 1. ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi ile tüm kontroller sağlanmaktadır. 2. EBYS kullanıcı erişim yetkileri dahilinde yürütülmekte ve log kayıtlamaları raporlanarak izlenebilmektedir.

EK KONTROLLER -


Konu Risk No



Bilgi ve İletişim

Raporlama yönteminin (Türü, Kim tarafından, Ne sıklıkta ve ne zaman hazırlanacağı, Kime sunulacağı, Dayanağı)açıkça belirlenmesi ve personele duyurulması

26

Raporlama yönetiminin doğru bir şekilde yapılmaması ile stratejik yönetimin sağlanamaması

6

8

48

2

12


MEVCUT KONTROLLER 1. EBYS Strateji Modülü ile Performans Programı sistematik olarak izlenerek değerlendirilebilmektedir. 2. Müdürlükler haftalık faaliyet raporlarını Başkanlık Makamı Koordinasyon Toplantısına sunmaktadır. 3. Başkanlık koordinatörlüğünde tüm müdürlük işleyişlerinin görüşüldüğü aylık ve yıllık Müdürler Toplantısı yapılmaktadır. 4. EBYS İş Zekası KDS’nde drilldown yöntemi (raporların detayını izlemek) ile raporlama ağı (kullanıcı, yönetici ekranları gibi) oluşturulmuş, bu şekilde tüm iş süreçleri kullanıcılar tarafından online olarak izlenebilmektedir.

EK KONTROLLER 1. EBYS ve tüm YBS'lerin entegrasyonunun tamamlanmasıyla birlikte müdürlüklerin haftalık faaliyet raporlarının online oluşturulması ve izlenebilmesi sağlanacaktır. 2. Yapılan toplantılar sonucu alınan kararların sistematik olarak izlenmesi ve performans ölçümünün yapılabilmesi için EBYS bünyesinde bir Toplantı Yönetim Modülü tasarlanacaktır.


Konu Risk No



İzleme İç kontrol sisteminin beklenen katkıyı sağlayıp sağlamadığının değerlendirilmesi ve sistemin iyileştirmeye açık alanlarına yönelik eylemlerin belirlenmesi

27

Sistematik bir izleme yönteminin geliştirilmemesi

4

4

16

4

16


MEVCUT KONTROLLER 1. 2015-2016 Dönemi İç Kontrol Eylem Planı hazırlanmış, müdürlüğümüzde sorumlu bir çalışan tarafından takip edilmektedir. 2. Kurum içinde oluşturulan İç Kontrol Eylem Planı Hazırlama ve İzleme - Yönlendirme Kurulu ile birlikte belli aralıklarda değerlendirilmektedir.

EK KONTROLLER Maliye Bakanlığı tarafından kurumlardaki İç Kontrol Sistemi'ni izlemeyi amaçlayan e-SGM yazılım projesinin 2. versiyonu beklenmektedir.


Konu Risk No



İzleme İç kontrol sisteminin beklenen katkıyı sağlayıp sağlamadığının değerlendirilmesi ve sistemin iyileştirmeye açık alanlarına yönelik eylemlerin belirlenmesi

28

İç kontrol sistemini izleyen kişilerin İç Kontrol Sistemiyle ilgili yetersiz olması

5

5

25

2

10


MEVCUT KONTROLLER Kurum içinde oluşturulan İç Kontrol Eylem Planı Hazırlama ve İzleme - Yönlendirme Kurulu üyelerine "Uygulamalı ve Sertifikalı İç Kontrol ve Risk Analizi Eğitimi (TODAİE)" aldırılmıştır.

EK KONTROLLER -

Documents

İÇ KONTROL SİSTEMİ RİSK ANALİZİ ÇALIŞMASI · ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde tüm log kayıtları üzerinden kişiler izlenebilmektedir. ... Sistemlerinin