Her denetim planı, risk yönetimi gerektirir. Eğer denetim planınızı bir yol olarak düşünürseniz, karşılaşacağınız riskler de yolda karşınıza çıkabilecek çukurlar ve keskin virajlardır. Risk yönetimi ise, size yolları öğretecek, gitmek üzere olduğunuz rotanın koşullarını ve olası sorunlarını incelemenizi sağlayacak bir süreçtir.
Başka bir ifadeyle risk yönetimi, işletmenin kazançlarına etki eden veya etmesi muhtemel olan tehditlerin belirlenerek değerlendirildiği ve kontrol altına alındığı süreç olarak tanımlanabilir. İşletmenin risk olarak tanımlayacağı bu unsurlar finansal, yönetimsel, yasal ya da teknolojik sorunlardan doğabilir. Risk yönetimiyle alakalı daha detaylı bilgiye Risk Yönetimi Hakkında Bilinmesi Gerekenler adlı yazımızda ulaşabilirsiniz.
İç denetim oldukça zor bir sorumluluktur.
İç denetimde yapılması gereken çok sayıda iş varken işlere nereden başlanacağına doğru karar verilmesi önemlidir. Bunu yapabilmek için iç denetçinin işletmenin risk yönetimi kavramına hâkim olması gerekir. Bu nedenle iç denetçilerin başlangıç noktası, denetim planlarını risk yönetimi algısıyla gözden geçirmektir. Çünkü risk yönetimi sayesinde iç denetçi, işletmenin sahip olduğu kaynaklarının hangi alanlarda öncelikli olarak kullanılması gerektiğini analiz edebilir.
Peki bir iç denetçi, risk yönetimi anlayışını işletmenin denetim planına nasıl uygular?
Bu süreç, aslında basit bir soruyla başlar: İşletmede neyi başarmaya çalışıyorsunuz?
Bu sorunun cevabı her işletme için farklılaşabilir ama çoğunlukla en çok karşılaşılan cevap işletmenin süreçlerinin güvenilirliğini sağlamaktır. Elbette, işletmenin hangi tür denetimden geçmesine bağlı olarak farklı anlamlar elde edebiliriz. İşletmelerin amaçlarına göre gerçekleştirilen 3 farklı denetimi türü şöyledir.
- Finansal Raporlama Denetimi: Finansal tabloların genel kabul görmüş muhasebe ilkelerine uygunluğunu ve güvenilirliğini inceleyen denetim türüdür.
- Faaliyet Denetimi: İşletmenin operasyonların verimliliğini ve etkinliğini ölçen denetim türüdür. Bütçe, verimlilik oranları gibi ölçütler baz alınır.
- Uygunluk Denetimi: İşletme faaliyetlerinin kanun, yönetmelik, işletmenin ana sözleşmesi gibi ölçütlere uygunluğunu inceleyen denetim türüdür.
İşletme çalışanı olarak görev yapan ya da işletme dışından hizmet alımı yoluyla işletmeye hizmet veren iç denetçiler faaliyet denetimi adı verilen operasyonların verimliliğini ve etkinliğini ölçen denetimi gerçekleştirirler. Bağımsız denetçiler de iç denetçinin çalışmalarının yeterliliğini değerlendirdikten sonra bu çalışmaları kullanabilir.
2022’de Risk Yönetimi Trendleri
2022’de karşımıza çıkan en dikkat çekici iki risk yönetimi trendini şöyle sıraladık:
- Siber Güvenlik: Dijital çalışma alanının büyümesi ve teknoloji kullanımının artmasıyla birlikte siber güvenlik, işletmelerin karşılaştığı en büyük bir risklerden biri haline geldi. Başka bir ifadeyle, işletmelerin güvenli bir şekilde iletişim kurarak ihtiyaç duydukları bilgiye ve kaynaklara ihtiyaç duydukları anda erişebilmeleri için, siber güvenlik sağlanmalıdır.
- Yüksek Enflasyon: Beazley’in1 Risk ve Esneklik Jeopolitik Raporu’na göre, 2022 yılında enflasyon iş dünyası liderleri için önemli bir endişe alanı olarak görülüyor. Ekonomik belirsizliğin 2022 yıl sonuna kadar yüksek kalması da beklentiler arasında. Yüksek enflasyon, değişen hisse senedi değerinden artan çalışan ücretlerine ve borçlanma maliyetine kadar kurumsal karar alma sürecini birçok yönden etkileyen bir kavram olduğu için önemli bir risk kalemi.
5 Temel Risk Yönetimi İlkesi Nedir?
Riskin kaçınılmaz olduğunu biliyoruz. İşletmenin karşılaşabileceği riskler ile başa çıkabilmek için iç denetçinin denetim planını iyileştirecek 5 temel risk yönetimi ilkesi şöyledir:
İlke 1: Öncelikle Gereksinimlere Odaklanın
İşletmeniz, bağlı olduğu yasalar, düzenlemeler veya sözleşmelere göre yıllık ya da gerektiği zamanlarda çeşitli türlerde denetimlerden geçmelidir. İç denetçi olarak oluşturacağınız iyi bir denetim programı sayesinde, işletmenizin öncelikli denetim gereksinimlerini belirleyebilirsiniz. Böylece, gerekli denetimlerin istenilen şekilde ve zamanda gerektiği gibi planlanmasına yardımcı olabilirsiniz.
İlke 2: Yüksek Riskli Alanları Belirleyin
İşletmeler için istenen denetimler sadece yıllık veya periyodik olarak yapılması gereken denetimler değildir. Bunların yanı sıra, her işletmenin kendi kurum yapısına göre oluşturduğu risk setleri çerçevesinde farklı denetimler de gerçekleştirilebilir. Tüm bu denetimlerde, iç denetçilerin öncelikli olarak odaklandığı riskler işletmeye yüksek risk oluşturabilecek olanlardır. Bunun için ikinci ilkeye göre, potansiyel bir riskin nedenini belirleyin ve önleyici tedbirler tasarlayın. Yüksek riskli alanlar belirlenirken denetim raporları, risk değerlendirmeleri, ön inceleme raporları gibi kaynaklardan yararlanabilirsiniz. Ayrıca, eğer işletmenizde uzun zamandır denetlenmeyen hesaplar, bilgiler ya da süreçler varsa, bunları denetim planınızı oluştururken mutlaka hesaba katmalısınız.
İlke 3: İşletmenizin Amaç ve Hedeflerine Uygunluk Sağlayın
İç denetçi olarak hazırlayacağınız risk yönetimi planında belirlediğiniz risklerin, işletmenizin genel amaç ve hedefleriyle tutarlı olduğundan emin olun. Başka bir ifadeyle, risk yönetim planında belirlediğiniz bir risk ortaya çıkarsa, işletmenizi finansal ve itibar açısından nasıl etkileyeceğini düşünmelisiniz. Her işletmenin kendilerine özgü öncelikleri olacaktır ve bunlar risk yönetim planına entegre edilmelidir. Risk stratejisi belirlenirken, işletmenin genel hedefleri ve kültürü ile tutarlı olması son derece önemlidir.
İlke 4: Sözlü Tasdiklere Güvenin Ama Doğrulayın
İç denetimde elde edeceğiniz güvence denetim kanıtlarına bağlıdır. Her ne kadar yüksek riskli bir alanla ilgili gerekli otoriteden sözlü tasdik elde etmiş olsanız bile, yine de bunu yazılı belgelerle, kanıtlarla doğrulamanız gerekmektedir. Ancak bu şekilde yüksek düzeyde güvence elde edebilirsiniz. Bu durumda sadece sözlü kanıtlara güvenmek denetçiler için doğru bir yaklaşım değildir. Bunun dışında, iç denetçiler risk değerlendirmelerini ve elde ettikleri bulguları desteklemek için fiziksel kanıtlar elde etmelidirler.
İlke 5: Birden Fazla Perspektiften Yararlanın
Doğru bir risk değerlendirmesi yapabilmek için, farklı bakış açılarından yararlanmalısınız. Bir ürünün doğal riskini belirlemek veya bir kontrol değerlendirmesi yapmak için farklı bakış açılarından yararlanmak, iç denetçilerin risklerle ilgili daha detaylı analiz yapabilmelerine yardımcı olur.
Başka bir ifadeyle, iç denetçi bir departmanın süreçlerini anlamaya çalışırken, sadece o departmanın müdürü, sorumlusu ya da yetkilisiyle konuşmamalıdır. O departmanda yer alan diğer kişilerin açısından da risklerin değerlendirilmesi önemlidir. Bölüm yetkililer, bölümlerinde hangi politikaların veya prosedürlerin kullanıldığını daha iyi biliyor olabilirler, ancak size günlük olarak ne yaptıklarını söyleyebilecek olan kişiler çalışanlardır, bu da bir riskin tespiti için önemli bir bilgi kaynağıdır. Birden fazla kişiyle konuşarak denetçiler, işletmenin süreç eksikliklerini, potansiyel risk oluşturabilecek alanlarını veya güncelliğini yitirmiş politika ya da prosedürlerini ortaya çıkarabilirler.
İlke 6: Yeni Ürün ve Hizmetlerin Risklerini Dahil Edin
İşletmenizle ilgili yeniliklerin neler olduğunu tespit edin. Kimi zaman işletmeler hazırladıkları yeni ürünleri veya hizmetleri doğru şekilde analiz etmeden piyasaya sürerler. Bir iç denetçi olarak, işletmeniniz risk ortamını değiştirebilecek her türlü yeni ürün, hizmet veya süreci belirlediğinizden ve denetim planınıza dahil ettiğinizden emin olmanız son derece önemlidir. Bunu yaptıktan sonra da yeni ürün ve hizmetlerin oluşturabileceği potansiyel riskleri azaltan kontrollerin denetlendiğinden veya düzeltildiğinden emin olmalısınız.
İlke 7: Sürekli İyileştirme İçin Çaba Gösterin
İç denetçi olarak denetim planınızı risk yönetimi anlayışıyla şekillendirdiğinizde, risk yönetimi planınızın nasıl gittiğini gözden geçirin. İyileştirme yapmak istediğiniz konular varsa bunları belirleyin. Yapacağınız gelecek denetim planlarında, tamamladığınızdan öğrendiklerinizi aktararak sürekli iyileştirme için çaba gösterin.
Bu ilkelerden de yararlanarak oluşturacağınız iyi bir risk yönetimi planı, işletmenizin kaynaklarını, itibarını ve çalışanlarını korumaya yardımcı olacaktır.
