RİSK BAZLI DENETİM VE
İÇ KONTROL
STANDARTLARI
Oktay ÖZBAY
Denetim Direktörlüğü
İÇ DENETİM FAALİYETİNİN AMACI
İç denetim;
Uygulanan risk yönetimi sisteminin etkinliği
İç kontrol sisteminin yeterliliği, etkinliği ve verimliliği
konularında Yönetim Kurulu / Denetim Komitesi ve Üst Yönetime destek sağlanmasını amaçlar.
Amaç;
(1) kurumun hedef ve amaçlarına ulaşmasını sağlayacak şekilde yapılandırıldığı ve çalıştığı hususlarını değerlendirmek ve
(2) kurumun faaliyetlerinin performans etkinliği ve verimliliği açısından
geliştirilmesine yönelik önerilerde bulunmaktır.
DENETİMİN DEĞİŞEN YÜZÜ
Denetim son 10 yılda hızlı bir değişime girmiştir.
1999 sonlarına kadar geleneksel yaklaşım
2000’den sonra dinamik yaklaşım benimsenmiştir.
Denetim Direktörlüğü
GELENEKSEL YAKLAŞIM
Geçmişe yönelik,
Uygunluk denetimi,
Suistimal denetimi,
Daha çok suçluyu ortaya çıkarmaya çalışan,
Gelecekle çok fazla ilgilenmeyen bir yapı sergilemektedir.
Denetim Direktörlüğü
DİNAMİK DEĞİŞİMİN 10 YILI
2001 Enron Skandalı (ABD),
2002 Worldcom Skandalı (ABD),
30.Temmuz. 2002 Sarbanes-Oxley Yasası (SOX)
Bu yasa ile, kurumsal yönetim ilkeleri tekrar gözden
geçirilmesi ve yeni bir yapı kurulması amaçlanmıştır.
Denetim Direktörlüğü
DİNAMİK DEĞİŞİMİN 10 YILI
2003 Parmalat Skandalı (İtalya),
2008 Küresel Kriz,
2008 J.Sox Yasası (Japonya),
2009 Satyam Skandalı (Hindistan),
2010 İngiltere Antı (Rüşvet Yasası),
Denetim Direktörlüğü
DENETİMDE DİNAMİK DEĞİŞİM
Enron Skandalı ile başlayan ve İngiltere Rüşvet Yasası
ile devam eden yeni sürecin bize öğrettikleri;
Geleneksel Yaklaşımda;
Finansal kontrol odaklı,
Risk merkezli olmayan,
Denetimin etkinliği ve verimliliği düşük,
Risk yönetiminde yönetim kurulları hiç ya da çok az rol
almaktadır,
Denetim komiteleri, yeni ya da etkisiz yönetim kurulu
üyeleri için bir son durak olarak görülmesi.
Denetim Direktörlüğü
DENETİMDE DİNAMİK DEĞİŞİM
Dinamik Yaklaşım;
İç denetim birimleri doğru adreslendi (Yönetim Kurulu)
Kurumsal yönetim ilkeleri tekrar gözden geçirildi,
Kurum riskleri belirlendi ve yazılı hale getirildi,
Kurumun iş uygulamalarını geliştirecek denetim sistemi,
Denetimin etkinliğinden yönetim kurulu direkt sorumlu,
Geçmiş değil içinde bulunulan yıl daha ağırlıklı denetim,
Etik değerler çok önemli hale getirildi.
Denetim Direktörlüğü
DÖNÜŞÜMLE PLANLANAN İLK 5 DENETİM FAALİYETİ
Mevcut Durum Önümüzdeki 5 Yıl
1- Operasyonel Denetim, Kurumsal Yönetim Değerlendirmesi
2- Uygunluk Denetimi, Kurumsal Risk Yönetimi Değerlendirmesi
3- Finansal Risk Denetimi, Stratejik Değerlendirmeler
4- Suistimal İncelemeleri, Etik Denetimler
5- İç Kontrol Değerlendirmesi, IFRS, sosyal sorumluluk
sürdürdürülebilirlik
Denetim Direktörlüğü
BİZ NELER YAPIYORUZ
AKG GRUBU DENETİM
DİREKTÖRLÜĞÜ
Denetim Direktörlüğü
Denetim Direktörlüğü
Risk Yönetim Süreçleri
Risklerin Belirlenmesi, Tanımlanması, Etki ve Olasılık Bazında
Önceliklendirilmesi
Kabul Edilebilir Risk Seviyesinin Tespiti
Risk Azaltma Faaliyetleri Düzenlemeleri ve Uygulamaları
(Üstlenilmesi, Kontrol Edilmesi, Transferi, Kaçınılması)
İç Kontrollerin Etkinliğinin Dönemsel Olarak Gözden Geçirilmesi
Risk Yönetim Süreçleri Sonuçları Hakkında Üst Yönetim ve Yönetim
Kurulu’na Dönemsel Raporlama
Denetim Direktörlüğü
İç Kontrol Etkinliği
Güçlü ve sağlam bir iş etik ortamı ve kültürü var mı?
Kurum riskleri nasıl belirliyor ve yönetiyor ?
Kontrol sistemi etkin mi ?
Güçlü bir gözlem sistemi var mı?
Üst ve birim yönetimi kontrol sorumluluğunu kabul ettiklerini gösteriyor mu?
Mali sonuçlarda şaşırtıcı süprizlerin sıklığı artıyor mu?
Kurum çapında iyi bir iletişim ve raporlama sistemi var mı?
Kontroller hedeflere ulaşma aracı mı yoksa zorunlu bir bela mı görülüyor?
Nitelikli kişiler zamanında işe alınıyor ve yeterli eğitim veriliyor mu?
Sorunlu alanlar hızlı ve eksiksiz tespit edilebiliyor mu?
Birim yönetimi kontrol sürecini gözlüyor mu?
Denetim Direktörlüğü
RİSK EVRENİ - ÖRNEKLER -
SÜREÇLER
Planlama
Satınalma
Stok Yönetimi
Üretim
Kalite Kontrol, Kalite Güvence ve AR&GE
Satış ve Tahsilat
Lojistik
Pazarlama
Muhasebe
Finansman
İnsan Kaynakları
Bilgi Sistemleri
Denetim Direktörlüğü
Planlama
Hedef: Satış hedeflerine uygun miktar ve zamanda mamul üretiminin sağlanması
Mevcut kaynakların (stok, üretim,vb.) optimum kullanımı
Risk: Planlamada esas alınan bilgilerin ve kriterlerin sağlıksız olması
Planlamada kullanılan satış tahminlerinin sağlıklı olmaması
MRP hesaplamalarının hatalı yapılması
Satınalma taleplerinin eksik/fazla belirlenmesi
Satınalma taleplerinin zamanında iletilmemesi
Üretim kaynaklarının etkin/verimli kullanılamaması
Planlama-Satınalma-Üretim arasında iletişim kopukluğu
Eksik/fazla üretim yapılması
Atıl stok veya yok satış durumlarında uygun aksiyonların alınmaması
Denetim Direktörlüğü
Satınalma
Hedef: Satınalma taleplerin zamanında ve uygun koşullarda gerçekleştirilmesi
Risk:
Taleplerin zamanında temin edilememesi
Taleplerin uygun vade ve fiyat ile temin edilememesi
Yetki ve onay kurallarına uyulmaması
Alım kararının oluşumunda yeterli ve uygun sayıda teklif alınmaması
Alımların onaysız gerçekleştirilmesi
Uygun kalitede alım yapılmaması
Tedarikçi sözleşmelerinin oluşturulmaması/onaylanmaması hukuki görüş alınmaması
Sözleşme/sipariş şartlarına uygun olmayan alım yapılması
Gerçek alıma dayanmayan veya yüksek fiyattan fatura düzenlenmesi ve ödenmesi
Alım faturası ile fiili alım miktar ve tutarların uyumsuz olması
Tartım cihazlarının kalibrasyon eksikliği
Satın alınan gayrimenkullerin yasal noksanlıkları ve/veya kısıtlarının bilinmemesi
Tedarikçi ve/veya Personel suistimal riski
Denetim Direktörlüğü
Stok Yönetimi
Hedef: Stokların uygun koşullarda muhafaza edilmesi
Stokların optimum bir şekilde kullanımının sağlanması
Risk: Fiziki depolama koşullarının uygun olmamaması
Depo yangın ve güvenlik tedbirlerinin sağlanmamış olması
Depo mal giriş-çıkış miktarsal kontrolünün yapılmamaması
Kalite kontrol yapılmadan stok giriş-çıkışının yapılması
Depo mal giriş-çıkış miktarlarının sisteme doğru aktarılmaması
Mal teslim-tesellüm yasal ve iç kontrol belgelerinin düzenlenmemesi
Stok hareketlerinin yetkisiz ve onaysız gerçekleştirilmesi
Haraketsiz ve atıl stokların belirlenememesi
Kaydi ve fiziki stokların mutabakatının bulunmaması
Fiziki envanterin kasıtlı yüksek gösterilmesi
Emsalinin üzerinde depo firesinin oluşması
Envanter hırsızlığı veya suistimal
Denetim Direktörlüğü
Üretim
Hedef: Üretim taleplerinin zaman, miktar ve kalite açılarından yerine getirilmesi
Optimum kaynak kullanımını sağlayacak üretim planının yapılması ve uygulanması
Üretim sürecinin kesintisiz sürdürülmesi
Risk: Üretim taleplerinin zamanında ve istenilen miktarda gerçekleştirilememesi
Üretim planının optimum kaynak kullanımını sağlamaması
Üretim firesinin emsalinin üzerinde oluşması
Üretim stok adet ve maliyetinin hatalı hesaplanması
Üretim sürecinin aksaması (enerji, yakıt,su, yedek parça, bakım, vb.)
Üretim yapı ve sürecinin verimsiz olması
Üretim ve ambalajlama mevzut düzenlemelerine uyumsuzluk
Üretim kalitesinin belirlenen standartların altında kalması
Üretim formül ve proses bilgilerinin yetkisiz erişime açık olması
Üretim Yatırım ihtiyacının hatalı belirlenmesi
Yatırım tutarı ve operasyonel sonuçlarda yüksek oranlı sapma oluşması
İadelerin rework-imha ayrımının sağlıklı yapılamaması
Fason üreticilerin üretim kaynaklarını zimmete geçirmesi
Denetim Direktörlüğü
Kalite Kontrol, Kalite Güvence ve AR&GE
Hedef: Hammadde, ambalaj, mamul bazında kalite standartlarının belirlenmesi ve kontrolü
Mevzuatın belirlediği kriterlerin karşılanması
Ürün geliştirme ve değişiklik çalışmalarında bulunulması
Kalite güvence sertifikalarının alınması ve sertifika koşullarına uyumun sağlanması
Risk: Kalite standartları ve spesifikasyonların belirlenmemesi ve iletilmemesi
Satınalma-üretim ve satış aşamalarında standartların altında veya üstünde kalınması
Ürün geliştirme ve formül değişikliği çalışmalarında etkin ve verimli olunmaması
Mevzuat uyumsuzlukları (yasal standartlar, gıda güvenliği, ambalaj vb.)
Satış sonrası bildirilen kalite sorunlarının sorgulanmaması ve müşteri/satış kaybı
Faaliyet izinleri, üretim ve marka tescillerinin eksik olması
Kalite güvence sertifika kurallarına uyumsuzluk
İade değerlendirmelerinin maliyet ve kalite hedefleri çerçevesinde yapılandırılmaması
Çevresel riskler-arıtma, hurda, imha, hava ve ses kirliliği
Denetim Direktörlüğü
Satış ve Tahsilat
Hedef: Şirket hedeflerine uygun koşullarda satış yapılması
Alacakların zamanında ve eksiksiz tahsil edilmesi
Risk: Satış politika, prosüdür ve yetkilerin oluşturulmaması
Satış tahminlerinde yüksek sapma oluşması
Siparişlerin hatalı belirlenmesi ve/veya iletilmesi
Yeterli ve uygun teminat alınmaması/Teminatın gerçek değerinin daha düşük olması
Sorunlu alacaklara yönelik erken uyarı sistemleri ve gerekli tedbirlerin alınmaması Müşteri kapasitesinin üzerinde risk oluşturulması
Mal sevki yapılmadan fatura düzenlenmesi/ baştan iade kabullü fatura düzenlenmesi
Fiyat/kampanya bilgilerinin yetkisiz kişilerce sisteme girilmesi veya değiştirilmesi
Fiiili sevkiyat-irsaliye-fatura uyumsuzluğu
İrsaliye ve faturaların mevzuata uygun düzenlenmemesi
İade / ciro primi / vade farkı uygulamalarının satış hedeflerine uygun olmaması
Aracı ihracatcı ve çifte fatura uygulanması riski
Şartlı veya Konsinye Satış faturalama tarihi ve stok miktar uygunsuzlukları
Denetim Direktörlüğü
Lojistik
Hedef:
Nakliyelerin hasarsız, zamanında ve uygun maliyetlerle gerçekleştirilmesi
Risk:
Nakliye firmaları seçim kriterlerinin belirlenmemesi-uygulanmaması
Nakliye sözleşme koşullarının hedeflerle uyumlu belirlenmemesi
Hukuk değerlendirmesi dışında sözleşme düzenlenmesi
Nakliye yöntemlerinin, azami yükleme ve zamanında teslimat hedefleri ile
uyumsuzluğu
Nakliye fatura içeriklerinin (güzergah, araç tipi, miktar,tutar vb.) hatalı olması
Sözleşme koşullarına uyulmaması
Eksik-fazla yükleme yapılması
Eksik yüklemelere ilişkin nakliye bedeli ödenmesi
Kusurlu sevkiyat, teslimat gecikme, müşteri memnuniyeti ve satış kaybı
Denetim Direktörlüğü
Pazarlama
Hedef: Satış strateji ve bütçelerin oluşturulması
Satış hedeflerine uygun ürün, fiyatlama ve marka konumlandırılması
Satış destek, reklam ve aktivite uygulamalarının yönetilmesi
Risk: Pazar ve rakip koşullarının ve müşteri taleplerinin sağlıklı belirlenememesi
Pazarlama stratejilerinin, satınalma ve üretim imkanları ile uyumsuz olması
Pazarlama stratejilerinin, pazar ve tüketici talepleri ile uyumsuz olması
Reklam ve aktivitelerin Strateji ve hedeflerle uyumsuz olması
Satınalma - Üretim - Planlama iletişim eksikliği
Ürün, müşteri, kanal vb. bazında hatalı fiyat politikası uygulanması
Maliyet artışının satış fiyatlarına zamanında yansıtılamaması
Pazarlama hedeflerine yönelik mevcut durum analizlerinin sağlıklı yapılmaması
Ürün performans gözden geçirilmesinin yapılmaması (delist ve iyileştirme planları)
Hizmet ve alımlarda hedeflere uygun firma-maliyet belirlenememesi
Yetki ve onaysız işlemlerde bulunulması
Denetim Direktörlüğü
Muhasebe
Hedef: Mevzuata uygun kayıt ve beyanlarda bulunulması ve belgelerin muhafazası
Maddi kıymetlerinin uygun bir şekilde muhafazası ve korunması
Kayıt aşamasında gerekli kontrollerin yapılması
Risk: Yasal defter ve belgelerin ibraza hazır bir şekilde muhafaza edilememesi
Maddi ve mali kıymetlerin fiziki ve kaydi mutabakatının bulunmaması
Yönetim kararlarında esas alınan MIS raporlarının sağlıklı veri içermesi
Üretim, stok ve satılan mal maliyetinin sağlıklı belirlenmemesi
Muhasebe kayıtlarının yasal mevzuata uygun olmaması
Transfer fiyatlaması hükümlerine aykırı işlemler
Teşvik belgesi eksiklikleri ve/veya farklı uygulamalar
Sahte ve/veya muhteviyatı itibariyle yanıltıcı belgelerin kayıtlara intikali
İmar ve faaliyet izin eksiklikleri
Güvenlik ve yangın tedbirleri
Sigortalanacak risklerin eksik-fazla belirlenmesi
Aktiflerin yüksek/yükümlülüklerin düşük gösterilmesi
Denetim Direktörlüğü
Finansman
Hedef: Mevzuat ve Şirket hedeflerine uygun ödeme ve tahsilat yapılması
Likit varlıkların ve kıymetli evrakların muhafazası
Etkin ve verimli nakit/fon yönetiminde bulunulması
Kayıt aşamasında gerekli kontrollerin uygulanması
Risk: Banka, Satıcı, müşteri hesap bilgilerinin gerçeği yansıtmaması
Nakit ve benzeri ve kıymetli evraka yönelik güvenlik zaafiyeti
Erken ödeme ve geç tahsilat yapılması
Yükümlülük önceliklendirmesinin etki ve olasılık açısından hatalı belirlenmesi
Ödemelerin makul -olumsuz sonuç doğurmayacak-sürede gerçekleştirilememesi
Mevzuat ve hedeflerle uyumsuz tahsilat yöntem ve araçlarının kullanılması
Müşteri ve alacak risk yönetimine ilişkin bilgilerin sağlıklı oluşturulmaması ve paylaşılmaması
Ödeme aracı ve teminatların yasal şekil şartlarına uygun olmaması
Banka işlemlerinin sözleşmeler ile uyumlu olmaması
Kredi devir ve kefalet işlemlerinin hatalı yapılması ve kaydedilmesi
Kredi işlemleri ve provizyonlarının eksik/fazla gösterilmesi
İhracat tahhütlü kredilerin kapatılmama riski
Usulsüz iş avansı/şirket borcu kullanımı
Denetim Direktörlüğü
İnsan Kaynakları
Hedef: İnsan kaynağı ihtiyacının sağlanması, eğitilmesi terfi ve tayinlerinin yapılması
Kariyer planlamalarının hazırlanması
Risk: Uygun olmayan personelin istihdam edilmesi
Personel ihtiyacının eksik/fazla belirlenmesi
Yasal açıdan çalıştırılması zorunlu hükümlü, özürlü vb. istihdam edilmemesi
Bordro ve kesintilerin hatalı düzenlenmesi
İş akdi fesh şirket aleyhine dava açılması
İK uygulamalarının bilinmemesi (yönetmelik duyurusu)
Sendika ilişkilerinin yönetilememesi
Taşeron uygulamalarının mevzuata uyumlu olmaması
İş sağlığı ve güvenliği (iş kazası-mesleki hastalık)
Denetim Direktörlüğü
Bilgi Sistemleri
Hedef: Şirket/fonksiyon/süreçlerin BS Yazılım ve donanım ihtiyaçlarının karşılanması
BS güvenlik kontrol unsurlarının sağlanması
BS'nin etkin,verimli ve sürekli kullanımının sağlanması
Risk: İşletme BS ihtiyaçlarının karşılanmasında yetersiz kalınması
Projelendirme hataları (ihtiyaçların doğru belirlenmemesi, uygun olmayan çözümlere yönelinmesi vb.)
Hatalı tasarlanmış sistem mimarileri (yetersiz işlem kapasitesi, kullanıcı sayısı vb.)
Hatalı modelleme (veri tekrarı ve farklı kaynak/formül kullanılması)
Yazılım ve/veya donanım hataları -satıcı garantileri
Eksik bilgi ve yetkinlikler (örn.bilgi güvenliği sorumlusu)
Yanlış kaynak kullanımı (yazılım, donanım, insan)
Telekominikasyon kaynaklı iletişim sorunları
Kullanıcı sorumluluk alanları ile bilgilere ulaşma yetkilerinin uyumsuzluğu
Güvenlik zaafiyetleri (Yazılım, Donanım ve şirket bilgileri)
Sabotaj, terörist veya siber saldırılar (farklı yerleşke yedekleme)
Doğal afetler, kazalar ve kasdi suç eylemleri vb. nedenlerle iş kesintisi
Denetim Direktörlüğü
RİSK MATRİKSİ
10 25
O
L
A 8 12 16 20
S
6 9 12
I
L 4 6
I
K
Yüksek Risk Düzeyi
Orta Risk Düzeyi
Düşük Risk Düzeyi
Kabul Edilebilir Risk Düzeyi
5
E T K İ
1 2 3 4
3 15
2 8 10
5 15 20
4
Denetim Direktörlüğü
İç Kontrol
Tanım
İç kontrol; bir kurumun yönetimi ve personeli tarafından hayata geçirilen
tamamlayıcı bir süreç olup aşağıda sıralanan hedefleri gerçekleştirmek
suretiyle; kurumun misyonunu başarması için riskleri göğüslemek ve makul bir
güvence sağlamak üzere tasarlanmıştır:
Faaliyetleri düzenli, ahlak kurallarına uygun, ekonomik, verimli ve etkin
biçimde gerçekleştirme
Hesapverme sorumluluğunun gerektirdiği yükümlülükleri yerine getirme
Yürürlükteki yasalara ve yönetmeliklere uyma
Kayıplara, kötü kullanıma ve hasarlara karşı kaynakları koruma
Denetim Direktörlüğü
İç Kontrolun Unsurları
İç kontrol birbiriyle bağlantılı beş unsurdan meydana gelir:
Kontrol ortamı
Risk değerlendirme
Kontrol faaliyetleri
Bilgi ve iletişim
İzleme
Denetim Direktörlüğü
İç Kontrolun Unsurları
Kontrol Ortamı Kontrol ortamını, bir organizasyonun
personelinin kontrol bilincini etkileme tarzı
belirler. Disiplin sağlayan ve yapı oluşturan
kontrol ortamı iç kontrolun bütün diğer
unsurlarının esasıdır.
Kontrol ortamının öğeleri:
Kişisel ve mesleki dürüstlük, yönetimin ve personelin etik değerleri ve
organizasyonun bütününde her zaman iç kontrola yönelik destekleyici bir
tavır içinde olma
Uzmanlığa adanmış olma
“Üst Yönetimin Tavrı” (örneğin, yönetimin felsefesi ve iş görme uslubu);
Organizasyonel yapı
İnsan kaynakları politikaları ve uygulamaları
Denetim Direktörlüğü
İç Kontrolun Unsurları
Risk Değerlendirmesi Risk değerlendirmesi: kurumun hedeflerini
gerçekleştirmesini engelleyen önemli riskleri
tespit ve analiz etme, bunlara uygun yanıtlar
verilmesini belirleme sürecidir.
Risk değerlendirmesi şu anlama gelir.
(1) Risk tespiti:
kurum hedefleri ile bağlantılıdır.
kapsamlıdır.
hem kurum hem de faaliyet düzeyindeki iç ve dış faktörlere bağlı riskleri
içerir.
(2) Risk ölçme:
riskin değerinin (significance) tahmin edilmesidir.
riskin meydana gelme olasılığının hesap edilmesidir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Risk Değerlendirmesi
(3) Organizasyonun göğüsleyeceği risk kapasitesini (risk appetite) takdir etme.
(4) Risklere verilecek yanıtları üretme:
dikkate alınması gereken dört tür yanıt olmalıdır: riskin transferi, riski kabul etme (tolerance), riski azaltma (treatment) veya riski bertaraf etme (termination);
uygun kontrollar ortaya çıkarıcı ya da önleyici nitelikte olabilir.
Risk değerlendirmesi değişen koşulları, fırsatları, riskleri tespit ve analiz etmek ve değişen riskleri göğüslemek üzere iç kontrolda değişiklik yapmayı ifade eder.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Kontrol Faaliyetleri
Kontrol faaliyetleri riskleri göğüslemek ve
kurumun hedeflerini gerçekleştirmek üzere
uygulamaya konulan politikalar ve
prosedürlerdir.
Etkin olmaları için kontrol faaliyetlerinin amaca uygun olması, dönem boyunca
planlandığı şekilde sürekli işlev görmesi ve maliyeti düşük, kapsamlı, makul ve
kontrol hedefleriyle doğrudan bağlantılı olması gerekir.
Kontrol faaliyetleri organizasyonun geneline, bütün kademelere ve tüm
fonksiyonlara konulur. Bu faaliyetler arasında aşağıdaki örnekler gibi, ortaya
çıkarıcı ve önleyici türden bir dizi kontrol faaliyeti bulunur:
Denetim Direktörlüğü
İç Kontrolun Unsurları
Kontrol Faaliyetleri
Yetki devri ve onay prosedürleri
Görevlerin birbirinden ayrılması
Kaynaklara ve kayıtlara erişim yetkisi üzerindeki kontrollar
Teyitler
Mutabakatlar
İşgörme performansına yönelik incelemeler
Faaliyetler, süreçler ve eylemler ilgili incelemeler
Gözetim
Ortaya çıkarıcı ve önleyici kontrol arasında optimum bir denge kurulmalıdır.
Düzeltici önlemler hedefleri gerçekleştirmek bakımından kontrol faaliyetlerini
tamamlayıcı bir gerekliliktir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Kontrol Faaliyetleri – Bilişim Teknoloji Bilişim sistemleri spesifik türden kontrol faaliyetlerini gerektirir. Bilişim
teknolojisi kontrolları genel kontrollar ve uygulama kontrolları olmak üzere
iki ana gruptan oluşur.
(1) Genel Kontrollar:
Genel kontrollar bir kurumun bilişim sistemlerinin tümüne veya geniş bir
kesimine uygulanan ve bu sistemlerin düzgün işletimini sağlamaya
yardımcı olan yapılar, politikalar ve prosedürlerdir. Bunlar içinde
uygulama sistemlerinin ve kontrolların işlediği bir ortam yaratır.
Genel kontrolların başlıca kategorileri (1) kurum ölçeğinde güvenlik
programı planlaması ve yönetimi (2) erişim kontrolları (3) uygulama
yazılımının geliştirilmesi, sürdürülmesi ve değiştirilmesi üzerindeki
kontrollar (4) sistem yazılım kontrolları (5) görevlerin birbirinden
ayrılması (6) hizmet sürekliliğidir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Kontrol Faaliyetleri – Bilişim Teknoloji (2) Uygulama Kontrolları
Uygulama kontrolları farklı, özel uygulama sistemlerini yürüten yapı,
politikalar ve prosedürler olup bireysel bilgisayarlı uygulamalarla
doğrudan bağlantılıdır. Bu kontrollar, genellikle, bilişim sistemleri içinde
bilgi akışı olurken hataları ve düzensizlikleri önlemek, ortaya çıkarmak
ve düzeltmek amacıyla tasarlanır.
Genel kontrollar ve uygulama kontrolları birbirleriyle bağlantılıdır; her
ikisi de bilişim süreçlerinin eksiksiz ve doğru olmasını sağlamaya yardım
etmelidir. Bilişim teknolojilerinin hızla değişmesi yüzünden, bağlantılı
kontrolların etkin kalabilmeleri bakımından sürekli olarak geliştirilmeleri
gerekir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Bilgi ve İletişim Bilgi ve iletişim iç kontrolun genel hedeflerinin
gerçekleştirilmesi bakımından yaşamsal
önemdedir
Bilgi
Güvenilir ve uygun bilginin önşartı işlerin ve işlemlerin anında kaydedilmesi ve
düzgün biçimde sınıflandırılmasıdır. Anlamlı bilgiler, personelin iç kontrol ve
diğer sorumluluklarını yerine getirmelerini sağlayacak formatta ve takvime göre
belirlenip elde edilmeli ve onlara duyurulmalıdır.
Bilgi sistemleri; faaliyetleri ilgilendiren, finansal olan ve olmayan, uygunlukla
bağlantılı bilgileri ihtiva eden ve faaliyetlerin yürümesi ve kontrolunu olanaklı
hale getiren raporlar üretir.
Yönetimin uygun kararları alma gücü, bilginin uygun, vaktinde, güncel, doğru ve
erişilebilir olmasından yani, bilginin kalitesinden etkilenir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
Bilgi ve İletişim
İletişim
Bütün unsurlar arasında ve tüm yapı içinde etkin bir iletişim aşağıdan yukarıya,
enlemesine ve yukarıdan aşağıya doğru olmalıdır.
Tüm personel kontrol sorumluluklarını ciddiyetle yerine getirmelerini
sağlayacak şekilde, üst yönetimden net mesajlar almalıdır. Personel kendi
faaliyetleri ile diğerlerinin çalışmaları arasında nasıl bağlantı kuracaklarını ve iç
kontrol sistemi içindeki rollerini bilmelidirler.
Ayrıca, kurum dışındaki üçüncü kişilerle de etkili bir iletişimin kurulması
gerekir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
İzleme İç kontrol sistemleri; dönem içindeki sistem
performans kalitesini değerlendirmek amacıyla,
izlenmelidir. İzleme fonksiyonu rutin izleme
faaliyetleri, özel değerlendirmeler veya her
ikisinin kombinasyonu aracılığıyla gerçekleştirilir.
1. Sürekli İzleme
İç kontrolun sürekli izlenmesi kurumun normal, tekrarlanan çalışma faaliyetlerini
kapsar. Bu tür izleme faaliyetleri arasında düzenli nitelikteki yönetim ve gözetim
faaliyetleri ve personelin görevinin icrası sırasında aldığı diğer önlemler
bulunur.
Sürekli izleme faaliyetleri; kontrolun her bir unsurunu içerir ve düzenli, ahlaki,
ekonomik, verimli ve etkin olma niteliklerini taşımayan iç kontrol sistemlerine
karşı alınan önlemlerle ilgilidir.
Denetim Direktörlüğü
İç Kontrolun Unsurları
İzleme
2. Özel Değerlendirmeler
Özel değerlendirmelerin kapsamını ve sıklığını esasen, risk değerlendirmesi
ve sürekli izleme prosedürlerinin etkinliği belirler. Spesifik tekil
değerlendirmeler iç kontrol sistemin etkinliğinin değerlendirilmesini içerir ve
önceden belirlenmiş metotlara ve prosedürlere dayalı olarak iç kontrolun
arzu edilen sonuçları gerçekleştirmesini güvence altına alır. İç kontrol
yetersizlikleri yönetimin uygun kademelerine rapor edilmelidir.
İzleme fonksiyonu denetim bulgularının ve tavsiyelerinin tatminkâr bir
biçimde ve en kısa sürede yerine getirilmesini sağlamalıdır.
Denetim Direktörlüğü
Hatalı İş Yapmayı Caydırıcı,
Dürüst ve Etik Uygulamaları Destekleyici
Yazılı Standartların Oluşturulması ve
Tüm Çalışanlara Duyurulması