Risk Odaklı Denetim Nedir?
Öncelikli riskin bir şirket veya kurum için neyi ifade ettiğinden başlayalım. Risk, belirlenen hedeflere ulaşmayı engelleyebilecek veya olumsuz etkiler oluşturabilecek durum veya olaydır. Bir şirket için risk oluşma sıklığı ve etkisine göre ölçülmeli ve gerekli önlemler alınarak oluşabilecek etki en düşük seviyeye indirilmelidir.
İç Denetim ve Risk Odaklı Denetim Anlayışı
İç Denetimin bir görevi de bağlı bulunduğu kurumun risklerini analiz ederek onları önem derecelerine göre sınıflandırıp, iç denetim faaliyetini gerçekleştirmektedir.
Modern denetimin eski (geleneksel) denetim anlayışından farklı olduğu noktalardan biri de risk odaklı olmasıdır. Modern denetim ile geleneksel denetim anlayışı arasındaki farklara başka bir yazıda değineceğiz.
Risk bazlı iç denetim faaliyeti şirketin geçmiş faaliyetlerinde yaşanan sorunlardan, ilerleyen dönemlerde yaşayabileceği sorunları değerlendirme anlamı taşımaktadır. Şirketlerin karşılaşabileceği riskler iç denetimin planlanması ve takibinin odak noktası olmuştur.
Risk Odaklı İç Denetim Anlayışı Nasıl Çalışır?
Risklerin Belirlenmesi
Risk odaklı iç denetim anlayışıyla, süreçler bazında risklerin tespit edilmesine başlanır. Bunun için çalışılan kurumun(veya şirketin) süreçleri belirlenerek, risklerin tespit edilmesine çalışılır. Gerek süreç sahibi birimlerle yapılan toplantı ve görüşmeler, gerekse anket uygulamaları veya sistemsel kontrollerle, riskler tespit edilir. Bunların yanında kurumun iş alanlardaki mevzuatlar, değişen teknolojik gelişmeler de tespit edilecek risklerin belirlenmesinde etkili olur. Risklerin belirlenmesinde denetim ekibine bakış açısı olabilecek bazı sorular şunlardır;
- Şirket hedeflerine ya da belirlenen amaçlara ulaşması neler engel olabilir?
- Süreçlerin hangi kısımlarında sorun yaşanabilir?
- Süreç sahiplerine göre bulunan işin ya da sürecin başarısız olma sebebi ne olabilir?
- Şirketin zayıf olduğu taraflar (Örneğin siber güvenlik uygulamaları, dağıtım kanalları vb) neler?
- Şirketin süreç ya da işlerde kullanacağı maddi varlıklarının çalınması, zarar görmesi veya bunlar kullanılarak suiistimal yapılabilme alanları neler?
- Şirketin faaliyetleri hangi durumlarda sekteye uğrayabilir?
- Tek bir kişinin başlayıp bitirebildiği süreçler, işler neler?
- Kritik işlerdeki onay süreçleri neler?
- Kamu tarafından yaptırım uygulanan alanlar neler?
Risklerin belirlenmesinde ve birimlerle yapılan görüşmelerde bu soruları çoğaltmak mümkündür.
Belirlenen Risklerin değerlendirilmesi
Süreçler veya işler için belirlenen risklerin etkisi ve olasılığı tespit edilir. İç denetim burada risklerin ne kadar bir sürede bir gerçekleşebileceğini belirler. Gerçekleşebilecek bu riskin kuruma etkilerini, hedef ve amaçlara zararı da belirlenir. Etki ve olasılığın belirlenmesi aşamasında İç Denetim Yöneticisi gerekli gördüğü yerlerde şirket içerisinde süreç/iş sahiplerinden ya da dış hizmetlerden de faydalanabilir.
Etki ve olasılığı belirlenen riskler, analiz amaçlı olarak risk matrislerinde gösterilir. Burada denetimin önceliklendirdiği nokta, riskin boyutu, oluşturabileceği maliyeti, zaman unsuru gibi hususlardır. Çünkü kurumların kaynakları sınırsız değildir, göreceli olarak öneme sahip olan risklerin önem dereceleri arttırılır.
Örnek olarak hazırladığım bir risk matrisini aşağıda bulabilirsiniz:
Risk matrisinin hazırlanmasına daha detaylı olarak farklı bir yazıda yer verdik, ek bilgi sahibi olmak isteyenler o yazımızı da okuyabilirler. https://ishayativedenetim.com/2021/03/26/risk-matrisi-nedir/
Kurumun karşı karşıya olduğu riskler iç denetim birimi tarafından konularına, etkilerine, önem derecelerine sınıflandırıldıktan sonra belirlenen riskler, son değerlendirilme ve karar için Üst Yönetime sunulur.
Belirlenen risklerin hangilerinin kabul edilebilir yani önlem gerektirmeyecek olması, hangilerinin kısa ve uzun vadede gerekli önlem ve kontroller alınması gerekeceği üst yönetimin kararına göre belirlenir.
Risk Değerlendirmesi sonrası yapılacaklar
Yönetim tarafından belirtilen kabul edilir risk dışında kalan riskler için gerekli önlem ve kontrollerin geliştirilmesi ve alınabilecek aksiyonlar önem derecelerine göre bir takvime bağlanması gerekmektedir. İç Denetimin bu gibi durumlarda iki farklı görevi olabilmektedir:
İlki, belirlenen risk yönetim süreçlerinin doğru bir şekilde kurulması ve uygulanmasına katkı sunmak,
İkincisi ise belirlenen risklerin için alınan aksiyonların uygun ve etkili olup olmadığı ile ilgili yönetime nesnel bir güvence sağlamaktadır.
İç denetim birimi tarafından risklerin izlenmesinde, yüksek riskli olarak tespit edilen ve hızlı aksiyon alınması gerekenlere öncelik verilir ve alınan aksiyonlarla ilgili gözetim faaliyetine başlanır.
İç denetimin risk yönetim süreçlerine yaptığı bu katkı, kendi tanımında olduğu gibi şirket faaliyetlerini geliştirme ve değer katma amacıyla tarafsız olarak bir güvence hizmeti vermesi ve danışmanlık faaliyeti olarak da değerlendirilebilir.
- Özel Sektörde İç Denetimde Oyun Teorisi Kullanımı: Riskleri Öngörmek ve Kontrol Stratejilerini Optimize Etmek
- Suistimal Üçgeni: Fırsat, Rasyonalizasyon ve Baskı
- Denetimde Bulgu Takibi
- İç Denetim Raporlarının Hazırlanması
- İÇ DENETİMİN PLANLANMASI
Denetim, İş Hayatı ve Fazlası . . . 
3 Replies to “Risk Bazlı Denetim Nedir? Risk Odaklı Denetimin Tanımı ve Uygulanması, Risk Matrisi Oluşturulması”