rİsk bazli denetİm ve İÇ kontrol · finansal kontrol odaklı, risk merkezli olmayan, denetimin...

RİSK BAZLI DENETİM VE

İÇ KONTROL

STANDARTLARI

Oktay ÖZBAY

Denetim Direktörlüğü

İÇ DENETİM FAALİYETİNİN AMACI

İç denetim;

Uygulanan risk yönetimi sisteminin etkinliği

İç kontrol sisteminin yeterliliği, etkinliği ve verimliliği

konularında Yönetim Kurulu / Denetim Komitesi ve Üst Yönetime destek sağlanmasını amaçlar.

Amaç;

(1) kurumun hedef ve amaçlarına ulaşmasını sağlayacak şekilde yapılandırıldığı ve çalıştığı hususlarını değerlendirmek ve

(2) kurumun faaliyetlerinin performans etkinliği ve verimliliği açısından

geliştirilmesine yönelik önerilerde bulunmaktır.

DENETİMİN DEĞİŞEN YÜZÜ

Denetim son 10 yılda hızlı bir değişime girmiştir.

1999 sonlarına kadar geleneksel yaklaşım

2000’den sonra dinamik yaklaşım benimsenmiştir.


GELENEKSEL YAKLAŞIM

Geçmişe yönelik,

Uygunluk denetimi,

Suistimal denetimi,

Daha çok suçluyu ortaya çıkarmaya çalışan,

Gelecekle çok fazla ilgilenmeyen bir yapı sergilemektedir.


DİNAMİK DEĞİŞİMİN 10 YILI

2001 Enron Skandalı (ABD),

2002 Worldcom Skandalı (ABD),

30.Temmuz. 2002 Sarbanes-Oxley Yasası (SOX)

Bu yasa ile, kurumsal yönetim ilkeleri tekrar gözden

geçirilmesi ve yeni bir yapı kurulması amaçlanmıştır.


DİNAMİK DEĞİŞİMİN 10 YILI

2003 Parmalat Skandalı (İtalya),

2008 Küresel Kriz,

2008 J.Sox Yasası (Japonya),

2009 Satyam Skandalı (Hindistan),

2010 İngiltere Antı (Rüşvet Yasası),


DENETİMDE DİNAMİK DEĞİŞİM

Enron Skandalı ile başlayan ve İngiltere Rüşvet Yasası

ile devam eden yeni sürecin bize öğrettikleri;

Geleneksel Yaklaşımda;

Finansal kontrol odaklı,

Risk merkezli olmayan,

Denetimin etkinliği ve verimliliği düşük,

Risk yönetiminde yönetim kurulları hiç ya da çok az rol

almaktadır,

Denetim komiteleri, yeni ya da etkisiz yönetim kurulu

üyeleri için bir son durak olarak görülmesi.


DENETİMDE DİNAMİK DEĞİŞİM

Dinamik Yaklaşım;

İç denetim birimleri doğru adreslendi (Yönetim Kurulu)

Kurumsal yönetim ilkeleri tekrar gözden geçirildi,

Kurum riskleri belirlendi ve yazılı hale getirildi,

Kurumun iş uygulamalarını geliştirecek denetim sistemi,

Denetimin etkinliğinden yönetim kurulu direkt sorumlu,

Geçmiş değil içinde bulunulan yıl daha ağırlıklı denetim,

Etik değerler çok önemli hale getirildi.


DÖNÜŞÜMLE PLANLANAN İLK 5 DENETİM FAALİYETİ

Mevcut Durum Önümüzdeki 5 Yıl

1- Operasyonel Denetim, Kurumsal Yönetim Değerlendirmesi

2- Uygunluk Denetimi, Kurumsal Risk Yönetimi Değerlendirmesi

3- Finansal Risk Denetimi, Stratejik Değerlendirmeler

4- Suistimal İncelemeleri, Etik Denetimler

5- İç Kontrol Değerlendirmesi, IFRS, sosyal sorumluluk

sürdürdürülebilirlik


BİZ NELER YAPIYORUZ

AKG GRUBU DENETİM

DİREKTÖRLÜĞÜ



Risk Yönetim Süreçleri

Risklerin Belirlenmesi, Tanımlanması, Etki ve Olasılık Bazında

Önceliklendirilmesi

Kabul Edilebilir Risk Seviyesinin Tespiti

Risk Azaltma Faaliyetleri Düzenlemeleri ve Uygulamaları

(Üstlenilmesi, Kontrol Edilmesi, Transferi, Kaçınılması)

İç Kontrollerin Etkinliğinin Dönemsel Olarak Gözden Geçirilmesi

Risk Yönetim Süreçleri Sonuçları Hakkında Üst Yönetim ve Yönetim

Kurulu’na Dönemsel Raporlama


İç Kontrol Etkinliği

Güçlü ve sağlam bir iş etik ortamı ve kültürü var mı?

Kurum riskleri nasıl belirliyor ve yönetiyor ?

Kontrol sistemi etkin mi ?

Güçlü bir gözlem sistemi var mı?

Üst ve birim yönetimi kontrol sorumluluğunu kabul ettiklerini gösteriyor mu?

Mali sonuçlarda şaşırtıcı süprizlerin sıklığı artıyor mu?

Kurum çapında iyi bir iletişim ve raporlama sistemi var mı?

Kontroller hedeflere ulaşma aracı mı yoksa zorunlu bir bela mı görülüyor?

Nitelikli kişiler zamanında işe alınıyor ve yeterli eğitim veriliyor mu?

Sorunlu alanlar hızlı ve eksiksiz tespit edilebiliyor mu?

Birim yönetimi kontrol sürecini gözlüyor mu?


RİSK EVRENİ - ÖRNEKLER -

SÜREÇLER

Planlama

Satınalma

Stok Yönetimi

Üretim

Kalite Kontrol, Kalite Güvence ve AR&GE

Satış ve Tahsilat

Lojistik

Pazarlama

Muhasebe

Finansman

İnsan Kaynakları

Bilgi Sistemleri


Planlama

Hedef: Satış hedeflerine uygun miktar ve zamanda mamul üretiminin sağlanması

Mevcut kaynakların (stok, üretim,vb.) optimum kullanımı

Risk: Planlamada esas alınan bilgilerin ve kriterlerin sağlıksız olması

Planlamada kullanılan satış tahminlerinin sağlıklı olmaması

MRP hesaplamalarının hatalı yapılması

Satınalma taleplerinin eksik/fazla belirlenmesi

Satınalma taleplerinin zamanında iletilmemesi

Üretim kaynaklarının etkin/verimli kullanılamaması

Planlama-Satınalma-Üretim arasında iletişim kopukluğu

Eksik/fazla üretim yapılması

Atıl stok veya yok satış durumlarında uygun aksiyonların alınmaması


Satınalma

Hedef: Satınalma taleplerin zamanında ve uygun koşullarda gerçekleştirilmesi

Risk:

Taleplerin zamanında temin edilememesi

Taleplerin uygun vade ve fiyat ile temin edilememesi

Yetki ve onay kurallarına uyulmaması

Alım kararının oluşumunda yeterli ve uygun sayıda teklif alınmaması

Alımların onaysız gerçekleştirilmesi

Uygun kalitede alım yapılmaması

Tedarikçi sözleşmelerinin oluşturulmaması/onaylanmaması hukuki görüş alınmaması

Sözleşme/sipariş şartlarına uygun olmayan alım yapılması

Gerçek alıma dayanmayan veya yüksek fiyattan fatura düzenlenmesi ve ödenmesi

Alım faturası ile fiili alım miktar ve tutarların uyumsuz olması

Tartım cihazlarının kalibrasyon eksikliği

Satın alınan gayrimenkullerin yasal noksanlıkları ve/veya kısıtlarının bilinmemesi

Tedarikçi ve/veya Personel suistimal riski


Stok Yönetimi

Hedef: Stokların uygun koşullarda muhafaza edilmesi

Stokların optimum bir şekilde kullanımının sağlanması

Risk: Fiziki depolama koşullarının uygun olmamaması

Depo yangın ve güvenlik tedbirlerinin sağlanmamış olması

Depo mal giriş-çıkış miktarsal kontrolünün yapılmamaması

Kalite kontrol yapılmadan stok giriş-çıkışının yapılması

Depo mal giriş-çıkış miktarlarının sisteme doğru aktarılmaması

Mal teslim-tesellüm yasal ve iç kontrol belgelerinin düzenlenmemesi

Stok hareketlerinin yetkisiz ve onaysız gerçekleştirilmesi

Haraketsiz ve atıl stokların belirlenememesi

Kaydi ve fiziki stokların mutabakatının bulunmaması

Fiziki envanterin kasıtlı yüksek gösterilmesi

Emsalinin üzerinde depo firesinin oluşması

Envanter hırsızlığı veya suistimal


Üretim

Hedef: Üretim taleplerinin zaman, miktar ve kalite açılarından yerine getirilmesi

Optimum kaynak kullanımını sağlayacak üretim planının yapılması ve uygulanması

Üretim sürecinin kesintisiz sürdürülmesi

Risk: Üretim taleplerinin zamanında ve istenilen miktarda gerçekleştirilememesi

Üretim planının optimum kaynak kullanımını sağlamaması

Üretim firesinin emsalinin üzerinde oluşması

Üretim stok adet ve maliyetinin hatalı hesaplanması

Üretim sürecinin aksaması (enerji, yakıt,su, yedek parça, bakım, vb.)

Üretim yapı ve sürecinin verimsiz olması

Üretim ve ambalajlama mevzut düzenlemelerine uyumsuzluk

Üretim kalitesinin belirlenen standartların altında kalması

Üretim formül ve proses bilgilerinin yetkisiz erişime açık olması

Üretim Yatırım ihtiyacının hatalı belirlenmesi

Yatırım tutarı ve operasyonel sonuçlarda yüksek oranlı sapma oluşması

İadelerin rework-imha ayrımının sağlıklı yapılamaması

Fason üreticilerin üretim kaynaklarını zimmete geçirmesi


Kalite Kontrol, Kalite Güvence ve AR&GE

Hedef: Hammadde, ambalaj, mamul bazında kalite standartlarının belirlenmesi ve kontrolü

Mevzuatın belirlediği kriterlerin karşılanması

Ürün geliştirme ve değişiklik çalışmalarında bulunulması

Kalite güvence sertifikalarının alınması ve sertifika koşullarına uyumun sağlanması

Risk: Kalite standartları ve spesifikasyonların belirlenmemesi ve iletilmemesi

Satınalma-üretim ve satış aşamalarında standartların altında veya üstünde kalınması

Ürün geliştirme ve formül değişikliği çalışmalarında etkin ve verimli olunmaması

Mevzuat uyumsuzlukları (yasal standartlar, gıda güvenliği, ambalaj vb.)

Satış sonrası bildirilen kalite sorunlarının sorgulanmaması ve müşteri/satış kaybı

Faaliyet izinleri, üretim ve marka tescillerinin eksik olması

Kalite güvence sertifika kurallarına uyumsuzluk

İade değerlendirmelerinin maliyet ve kalite hedefleri çerçevesinde yapılandırılmaması

Çevresel riskler-arıtma, hurda, imha, hava ve ses kirliliği


Satış ve Tahsilat

Hedef: Şirket hedeflerine uygun koşullarda satış yapılması

Alacakların zamanında ve eksiksiz tahsil edilmesi

Risk: Satış politika, prosüdür ve yetkilerin oluşturulmaması

Satış tahminlerinde yüksek sapma oluşması

Siparişlerin hatalı belirlenmesi ve/veya iletilmesi

Yeterli ve uygun teminat alınmaması/Teminatın gerçek değerinin daha düşük olması

Sorunlu alacaklara yönelik erken uyarı sistemleri ve gerekli tedbirlerin alınmaması Müşteri kapasitesinin üzerinde risk oluşturulması

Mal sevki yapılmadan fatura düzenlenmesi/ baştan iade kabullü fatura düzenlenmesi

Fiyat/kampanya bilgilerinin yetkisiz kişilerce sisteme girilmesi veya değiştirilmesi

Fiiili sevkiyat-irsaliye-fatura uyumsuzluğu

İrsaliye ve faturaların mevzuata uygun düzenlenmemesi

İade / ciro primi / vade farkı uygulamalarının satış hedeflerine uygun olmaması

Aracı ihracatcı ve çifte fatura uygulanması riski

Şartlı veya Konsinye Satış faturalama tarihi ve stok miktar uygunsuzlukları


Lojistik

Hedef:

Nakliyelerin hasarsız, zamanında ve uygun maliyetlerle gerçekleştirilmesi

Risk:

Nakliye firmaları seçim kriterlerinin belirlenmemesi-uygulanmaması

Nakliye sözleşme koşullarının hedeflerle uyumlu belirlenmemesi

Hukuk değerlendirmesi dışında sözleşme düzenlenmesi

Nakliye yöntemlerinin, azami yükleme ve zamanında teslimat hedefleri ile

uyumsuzluğu

Nakliye fatura içeriklerinin (güzergah, araç tipi, miktar,tutar vb.) hatalı olması

Sözleşme koşullarına uyulmaması

Eksik-fazla yükleme yapılması

Eksik yüklemelere ilişkin nakliye bedeli ödenmesi

Kusurlu sevkiyat, teslimat gecikme, müşteri memnuniyeti ve satış kaybı


Pazarlama

Hedef: Satış strateji ve bütçelerin oluşturulması

Satış hedeflerine uygun ürün, fiyatlama ve marka konumlandırılması

Satış destek, reklam ve aktivite uygulamalarının yönetilmesi

Risk: Pazar ve rakip koşullarının ve müşteri taleplerinin sağlıklı belirlenememesi

Pazarlama stratejilerinin, satınalma ve üretim imkanları ile uyumsuz olması

Pazarlama stratejilerinin, pazar ve tüketici talepleri ile uyumsuz olması

Reklam ve aktivitelerin Strateji ve hedeflerle uyumsuz olması

Satınalma - Üretim - Planlama iletişim eksikliği

Ürün, müşteri, kanal vb. bazında hatalı fiyat politikası uygulanması

Maliyet artışının satış fiyatlarına zamanında yansıtılamaması

Pazarlama hedeflerine yönelik mevcut durum analizlerinin sağlıklı yapılmaması

Ürün performans gözden geçirilmesinin yapılmaması (delist ve iyileştirme planları)

Hizmet ve alımlarda hedeflere uygun firma-maliyet belirlenememesi

Yetki ve onaysız işlemlerde bulunulması


Muhasebe

Hedef: Mevzuata uygun kayıt ve beyanlarda bulunulması ve belgelerin muhafazası

Maddi kıymetlerinin uygun bir şekilde muhafazası ve korunması

Kayıt aşamasında gerekli kontrollerin yapılması

Risk: Yasal defter ve belgelerin ibraza hazır bir şekilde muhafaza edilememesi

Maddi ve mali kıymetlerin fiziki ve kaydi mutabakatının bulunmaması

Yönetim kararlarında esas alınan MIS raporlarının sağlıklı veri içermesi

Üretim, stok ve satılan mal maliyetinin sağlıklı belirlenmemesi

Muhasebe kayıtlarının yasal mevzuata uygun olmaması

Transfer fiyatlaması hükümlerine aykırı işlemler

Teşvik belgesi eksiklikleri ve/veya farklı uygulamalar

Sahte ve/veya muhteviyatı itibariyle yanıltıcı belgelerin kayıtlara intikali

İmar ve faaliyet izin eksiklikleri

Güvenlik ve yangın tedbirleri

Sigortalanacak risklerin eksik-fazla belirlenmesi

Aktiflerin yüksek/yükümlülüklerin düşük gösterilmesi


Finansman

Hedef: Mevzuat ve Şirket hedeflerine uygun ödeme ve tahsilat yapılması

Likit varlıkların ve kıymetli evrakların muhafazası

Etkin ve verimli nakit/fon yönetiminde bulunulması

Kayıt aşamasında gerekli kontrollerin uygulanması

Risk: Banka, Satıcı, müşteri hesap bilgilerinin gerçeği yansıtmaması

Nakit ve benzeri ve kıymetli evraka yönelik güvenlik zaafiyeti

Erken ödeme ve geç tahsilat yapılması

Yükümlülük önceliklendirmesinin etki ve olasılık açısından hatalı belirlenmesi

Ödemelerin makul -olumsuz sonuç doğurmayacak-sürede gerçekleştirilememesi

Mevzuat ve hedeflerle uyumsuz tahsilat yöntem ve araçlarının kullanılması

Müşteri ve alacak risk yönetimine ilişkin bilgilerin sağlıklı oluşturulmaması ve paylaşılmaması

Ödeme aracı ve teminatların yasal şekil şartlarına uygun olmaması

Banka işlemlerinin sözleşmeler ile uyumlu olmaması

Kredi devir ve kefalet işlemlerinin hatalı yapılması ve kaydedilmesi

Kredi işlemleri ve provizyonlarının eksik/fazla gösterilmesi

İhracat tahhütlü kredilerin kapatılmama riski

Usulsüz iş avansı/şirket borcu kullanımı


İnsan Kaynakları

Hedef: İnsan kaynağı ihtiyacının sağlanması, eğitilmesi terfi ve tayinlerinin yapılması

Kariyer planlamalarının hazırlanması

Risk: Uygun olmayan personelin istihdam edilmesi

Personel ihtiyacının eksik/fazla belirlenmesi

Yasal açıdan çalıştırılması zorunlu hükümlü, özürlü vb. istihdam edilmemesi

Bordro ve kesintilerin hatalı düzenlenmesi

İş akdi fesh şirket aleyhine dava açılması

İK uygulamalarının bilinmemesi (yönetmelik duyurusu)

Sendika ilişkilerinin yönetilememesi

Taşeron uygulamalarının mevzuata uyumlu olmaması

İş sağlığı ve güvenliği (iş kazası-mesleki hastalık)


Bilgi Sistemleri

Hedef: Şirket/fonksiyon/süreçlerin BS Yazılım ve donanım ihtiyaçlarının karşılanması

BS güvenlik kontrol unsurlarının sağlanması

BS'nin etkin,verimli ve sürekli kullanımının sağlanması

Risk: İşletme BS ihtiyaçlarının karşılanmasında yetersiz kalınması

Projelendirme hataları (ihtiyaçların doğru belirlenmemesi, uygun olmayan çözümlere yönelinmesi vb.)

Hatalı tasarlanmış sistem mimarileri (yetersiz işlem kapasitesi, kullanıcı sayısı vb.)

Hatalı modelleme (veri tekrarı ve farklı kaynak/formül kullanılması)

Yazılım ve/veya donanım hataları -satıcı garantileri

Eksik bilgi ve yetkinlikler (örn.bilgi güvenliği sorumlusu)

Yanlış kaynak kullanımı (yazılım, donanım, insan)

Telekominikasyon kaynaklı iletişim sorunları

Kullanıcı sorumluluk alanları ile bilgilere ulaşma yetkilerinin uyumsuzluğu

Güvenlik zaafiyetleri (Yazılım, Donanım ve şirket bilgileri)

Sabotaj, terörist veya siber saldırılar (farklı yerleşke yedekleme)

Doğal afetler, kazalar ve kasdi suç eylemleri vb. nedenlerle iş kesintisi


RİSK MATRİKSİ

10 25

O

L

A 8 12 16 20

S

6 9 12

I

L 4 6

I

K

Yüksek Risk Düzeyi

Orta Risk Düzeyi

Düşük Risk Düzeyi

Kabul Edilebilir Risk Düzeyi

5

E T K İ

1 2 3 4

3 15

2 8 10

5 15 20

4


İç Kontrol

Tanım

İç kontrol; bir kurumun yönetimi ve personeli tarafından hayata geçirilen

tamamlayıcı bir süreç olup aşağıda sıralanan hedefleri gerçekleştirmek

suretiyle; kurumun misyonunu başarması için riskleri göğüslemek ve makul bir

güvence sağlamak üzere tasarlanmıştır:

Faaliyetleri düzenli, ahlak kurallarına uygun, ekonomik, verimli ve etkin

biçimde gerçekleştirme

Hesapverme sorumluluğunun gerektirdiği yükümlülükleri yerine getirme

Yürürlükteki yasalara ve yönetmeliklere uyma

Kayıplara, kötü kullanıma ve hasarlara karşı kaynakları koruma


İç Kontrolun Unsurları

İç kontrol birbiriyle bağlantılı beş unsurdan meydana gelir:

Kontrol ortamı

Risk değerlendirme

Kontrol faaliyetleri

Bilgi ve iletişim

İzleme



Kontrol Ortamı Kontrol ortamını, bir organizasyonun

personelinin kontrol bilincini etkileme tarzı

belirler. Disiplin sağlayan ve yapı oluşturan

kontrol ortamı iç kontrolun bütün diğer

unsurlarının esasıdır.

Kontrol ortamının öğeleri:

Kişisel ve mesleki dürüstlük, yönetimin ve personelin etik değerleri ve

organizasyonun bütününde her zaman iç kontrola yönelik destekleyici bir

tavır içinde olma

Uzmanlığa adanmış olma

“Üst Yönetimin Tavrı” (örneğin, yönetimin felsefesi ve iş görme uslubu);

Organizasyonel yapı

İnsan kaynakları politikaları ve uygulamaları



Risk Değerlendirmesi Risk değerlendirmesi: kurumun hedeflerini

gerçekleştirmesini engelleyen önemli riskleri

tespit ve analiz etme, bunlara uygun yanıtlar

verilmesini belirleme sürecidir.

Risk değerlendirmesi şu anlama gelir.

(1) Risk tespiti:

kurum hedefleri ile bağlantılıdır.

kapsamlıdır.

hem kurum hem de faaliyet düzeyindeki iç ve dış faktörlere bağlı riskleri

içerir.

(2) Risk ölçme:

riskin değerinin (significance) tahmin edilmesidir.

riskin meydana gelme olasılığının hesap edilmesidir.



Risk Değerlendirmesi

(3) Organizasyonun göğüsleyeceği risk kapasitesini (risk appetite) takdir etme.

(4) Risklere verilecek yanıtları üretme:

dikkate alınması gereken dört tür yanıt olmalıdır: riskin transferi, riski kabul etme (tolerance), riski azaltma (treatment) veya riski bertaraf etme (termination);

uygun kontrollar ortaya çıkarıcı ya da önleyici nitelikte olabilir.

Risk değerlendirmesi değişen koşulları, fırsatları, riskleri tespit ve analiz etmek ve değişen riskleri göğüslemek üzere iç kontrolda değişiklik yapmayı ifade eder.



Kontrol Faaliyetleri

Kontrol faaliyetleri riskleri göğüslemek ve

kurumun hedeflerini gerçekleştirmek üzere

uygulamaya konulan politikalar ve

prosedürlerdir.

Etkin olmaları için kontrol faaliyetlerinin amaca uygun olması, dönem boyunca

planlandığı şekilde sürekli işlev görmesi ve maliyeti düşük, kapsamlı, makul ve

kontrol hedefleriyle doğrudan bağlantılı olması gerekir.

Kontrol faaliyetleri organizasyonun geneline, bütün kademelere ve tüm

fonksiyonlara konulur. Bu faaliyetler arasında aşağıdaki örnekler gibi, ortaya

çıkarıcı ve önleyici türden bir dizi kontrol faaliyeti bulunur:



Kontrol Faaliyetleri

Yetki devri ve onay prosedürleri

Görevlerin birbirinden ayrılması

Kaynaklara ve kayıtlara erişim yetkisi üzerindeki kontrollar

Teyitler

Mutabakatlar

İşgörme performansına yönelik incelemeler

Faaliyetler, süreçler ve eylemler ilgili incelemeler

Gözetim

Ortaya çıkarıcı ve önleyici kontrol arasında optimum bir denge kurulmalıdır.

Düzeltici önlemler hedefleri gerçekleştirmek bakımından kontrol faaliyetlerini

tamamlayıcı bir gerekliliktir.



Kontrol Faaliyetleri – Bilişim Teknoloji Bilişim sistemleri spesifik türden kontrol faaliyetlerini gerektirir. Bilişim

teknolojisi kontrolları genel kontrollar ve uygulama kontrolları olmak üzere

iki ana gruptan oluşur.

(1) Genel Kontrollar:

Genel kontrollar bir kurumun bilişim sistemlerinin tümüne veya geniş bir

kesimine uygulanan ve bu sistemlerin düzgün işletimini sağlamaya

yardımcı olan yapılar, politikalar ve prosedürlerdir. Bunlar içinde

uygulama sistemlerinin ve kontrolların işlediği bir ortam yaratır.

Genel kontrolların başlıca kategorileri (1) kurum ölçeğinde güvenlik

programı planlaması ve yönetimi (2) erişim kontrolları (3) uygulama

yazılımının geliştirilmesi, sürdürülmesi ve değiştirilmesi üzerindeki

kontrollar (4) sistem yazılım kontrolları (5) görevlerin birbirinden

ayrılması (6) hizmet sürekliliğidir.



Kontrol Faaliyetleri – Bilişim Teknoloji (2) Uygulama Kontrolları

Uygulama kontrolları farklı, özel uygulama sistemlerini yürüten yapı,

politikalar ve prosedürler olup bireysel bilgisayarlı uygulamalarla

doğrudan bağlantılıdır. Bu kontrollar, genellikle, bilişim sistemleri içinde

bilgi akışı olurken hataları ve düzensizlikleri önlemek, ortaya çıkarmak

ve düzeltmek amacıyla tasarlanır.

Genel kontrollar ve uygulama kontrolları birbirleriyle bağlantılıdır; her

ikisi de bilişim süreçlerinin eksiksiz ve doğru olmasını sağlamaya yardım

etmelidir. Bilişim teknolojilerinin hızla değişmesi yüzünden, bağlantılı

kontrolların etkin kalabilmeleri bakımından sürekli olarak geliştirilmeleri

gerekir.



Bilgi ve İletişim Bilgi ve iletişim iç kontrolun genel hedeflerinin

gerçekleştirilmesi bakımından yaşamsal

önemdedir

Bilgi

Güvenilir ve uygun bilginin önşartı işlerin ve işlemlerin anında kaydedilmesi ve

düzgün biçimde sınıflandırılmasıdır. Anlamlı bilgiler, personelin iç kontrol ve

diğer sorumluluklarını yerine getirmelerini sağlayacak formatta ve takvime göre

belirlenip elde edilmeli ve onlara duyurulmalıdır.

Bilgi sistemleri; faaliyetleri ilgilendiren, finansal olan ve olmayan, uygunlukla

bağlantılı bilgileri ihtiva eden ve faaliyetlerin yürümesi ve kontrolunu olanaklı

hale getiren raporlar üretir.

Yönetimin uygun kararları alma gücü, bilginin uygun, vaktinde, güncel, doğru ve

erişilebilir olmasından yani, bilginin kalitesinden etkilenir.



Bilgi ve İletişim

İletişim

Bütün unsurlar arasında ve tüm yapı içinde etkin bir iletişim aşağıdan yukarıya,

enlemesine ve yukarıdan aşağıya doğru olmalıdır.

Tüm personel kontrol sorumluluklarını ciddiyetle yerine getirmelerini

sağlayacak şekilde, üst yönetimden net mesajlar almalıdır. Personel kendi

faaliyetleri ile diğerlerinin çalışmaları arasında nasıl bağlantı kuracaklarını ve iç

kontrol sistemi içindeki rollerini bilmelidirler.

Ayrıca, kurum dışındaki üçüncü kişilerle de etkili bir iletişimin kurulması

gerekir.



İzleme İç kontrol sistemleri; dönem içindeki sistem

performans kalitesini değerlendirmek amacıyla,

izlenmelidir. İzleme fonksiyonu rutin izleme

faaliyetleri, özel değerlendirmeler veya her

ikisinin kombinasyonu aracılığıyla gerçekleştirilir.

1. Sürekli İzleme

İç kontrolun sürekli izlenmesi kurumun normal, tekrarlanan çalışma faaliyetlerini

kapsar. Bu tür izleme faaliyetleri arasında düzenli nitelikteki yönetim ve gözetim

faaliyetleri ve personelin görevinin icrası sırasında aldığı diğer önlemler

bulunur.

Sürekli izleme faaliyetleri; kontrolun her bir unsurunu içerir ve düzenli, ahlaki,

ekonomik, verimli ve etkin olma niteliklerini taşımayan iç kontrol sistemlerine

karşı alınan önlemlerle ilgilidir.



İzleme

2. Özel Değerlendirmeler

Özel değerlendirmelerin kapsamını ve sıklığını esasen, risk değerlendirmesi

ve sürekli izleme prosedürlerinin etkinliği belirler. Spesifik tekil

değerlendirmeler iç kontrol sistemin etkinliğinin değerlendirilmesini içerir ve

önceden belirlenmiş metotlara ve prosedürlere dayalı olarak iç kontrolun

arzu edilen sonuçları gerçekleştirmesini güvence altına alır. İç kontrol

yetersizlikleri yönetimin uygun kademelerine rapor edilmelidir.

İzleme fonksiyonu denetim bulgularının ve tavsiyelerinin tatminkâr bir

biçimde ve en kısa sürede yerine getirilmesini sağlamalıdır.


Hatalı İş Yapmayı Caydırıcı,

Dürüst ve Etik Uygulamaları Destekleyici

Yazılı Standartların Oluşturulması ve

Tüm Çalışanlara Duyurulması

rİsk bazli denetİm ve İÇ kontrol · finansal kontrol odaklı, risk merkezli olmayan, denetimin...

Documents