Yaşanan muhasebe skandalları, kurumların farklılaşan ihtiyaçları, denetim komitelerinin ve iç denetimin, organizasyonun genelindeki pozisyonunu ve risk yönetimi ile olan ilişkilerini değiştirmiştir. David McNamee ve Georges Selim tarafından 1999 yılında tasarlanan model(McNamee ve Selim, 1999), 2004 yılında COSO tarafından yayınlanan KRY çerçevesi dikkate alınarak güncelleştirilip geliştirilerek aşağıda ele alınmıştır. Doğal olarak organizasyon yapıları kurum kültürlerinden, kurumların faaliyette bulundukları sektörlerden ve yasal gereklerden etkilenerek her kurum ve ülke açısından farklılık arz edebilir.
A. Organizasyonda Denetim Komitesi
Risk yönetimi ve iç denetim kurum yönetiminin temel sorumluluklarından biridir. İşletmenin hedeflerine ulaşabilmesi için, yönetimin kurum içinde etkin işleyen risk yönetimi süreçlerinin bulunmasını ve kullanılmasını sağlaması gerekir. Denetim komitesi ve yönetim kurulu, uygun risk yönetimi süreçlerinin bulunup bulunmadığını ve bu süreçlerin yeterli ve etkin olup olmadığını belirlemek konusunda denetleyici bir rol oynar(IIARF, 2003a).
Bütünleştirilmiş risk yönetimi ve iç denetim sisteminin en temel öğelerinden birisi denetim komitesidir. İç denetim enstitüsü tarafından “kurumun denetim ve kontrol işlevlerinin gözetim ve denetiminden sorumlu bir komite(IIARF, 2003a; Sarbanes Oxley, 2002)” olarak tanımlanan ve icracı olmayan üyelerden oluşan denetim komitesi üyelerinden en az bir tanesi finansal uzman olmalıdır Sarbanes Oxley Act, 2002).
Kurumsal yönetim ilkeleri çerçevesinde kurumlarda sorumluluk alanlarında boşluklar oluşmaması için genellikle birimlerin ve komitelerin yönetmeliklerinin bulunması gerekmektedir. Bu çerçevede daha önce ele alınan iç denetim yönetmeliğine benzer bir yönetmelik de denetim komitesi için geçerlidir.
Yıllık faaliyet raporunun bir parçası olarak yayınlanabilecek denetim komitesi yönetmeliğinde, komitenin sorumluluk çerçevesi çizilir. Sarbanes-Oxley yasası çerçevesinde, yasaya tabi şirketler için, hazırlanacak bu yönetmelik de risklerle ilgili olarak, riskler ve belirsizliklerin tanımlanması, değerlendirilmesi ve yönetimi sorumluluğunun denetim komitesi ve yönetim kurulunda olduğuna ilişkin bir açıklama yer almalıdır(Moeller, 2004; Moeller, 2005).
B. Organizasyonda Denetim Komitesi ve İç Denetim
Denetim komitesi, KRY sisteminin varlığı ve uygulamada ne derece kullanıldığı, risk yönetim sisteminin kurum amaçlarına ulaşılmasına katkısı, iç denetim aşamalarının güvenilirliği ile iç denetimin KRY sisteminin gelişimine katkısı hakkında yeterli bilgiye sahip olmalıdır(Pickett, 2005a; Moeller, 2004).
Bunların yanı sıra denetim komitesinin iç denetim üzerindeki sorumlulukları, iç denetim birim yöneticisinin atanması, iç denetim yönetmeliğinin ve iç denetim plan ve bütçelerinin onaylanması ile önemli denetim bulgularının gözden geçirilmesi şeklinde sıralanabilir(Moeller, 2005).
Sarbanes-Oxley yasası çerçevesinde, iç denetim birim yöneticisi ve bağımsız denetçi ile birlikte finansal raporlama ve iç kontrol sisteminin yeterliliğini gözden geçirmesi gereken denetim komitesi(Moeller, 2004); aynı zamanda bağımsız denetim firması ile anlaşma yapılmasından, teklif edilen denetim planı ve bütçesinin onaylanmasından ve denetlenmiş finansal tabloların yayınlanmasından da sorumludur(Moeller, 2005).
Denetim komitesinin sorumluluklarını yerine getirebilmesi iç denetim biriminin yürüttüğü faaliyetlere, hazırladığı raporlara ve bu raporların sonuçlarına ilişkin düzenli aralıklarla denetim komitesine rapor vermesine bağlıdır.
Sarbanes-Oxley yasası öncesinde denetim komitesi üyeleri bağımsız ve iç denetim alanında hazırlanmış özet raporlarla yetinirken yasayla birlikte sorumlulukların artmasına paralel olarak denetim komitesi üyelerinin ve üst düzey yöneticilerin faaliyet çerçevelerini ve sorumluluk alanlarını hem iç denetim hem de bağımsız denetim raporları belirlemektedir. Bu çerçevede sorumluluk üst yönetime aittir.
Bunun yanısıra iç denetim yönetmeliği kurum çapında bir denetim stratejisinin oluşturulmasına, nelerin (kapsam), kim tarafından (kaynak) ve nasıl (metodoloji) yapılacağını göstererek katkıda bulunur(Pickett, 2005a).
C. Organizasyonda Yıllık İşletme Planı ve İç Denetim Planı
İşletme süreçleri ile denetim süreçlerinin paralel hale gelmesi denetçinin kuruma değer katma ve danışmanlık fonksiyonlarının artmasını sağlamıştır. Yıllık işletme planı ile iç denetim planı arasındaki bağlantı mevcut ve geleceğe ait risklerin denetim faaliyetlerinde dikkate alındığından emin olmak için yerleştirilmiştir(McNamee ve Selim, 1998).
Yıllık denetim planının hazırlanması için temel verilerin bir kısmı da kurumsal risk yönetimi sisteminden gelmektedir. Aynı zamanda kurumsal risk yönetimi bileşenlerinden ilki olan kurum hedeflerinin belirlenmesi aşaması, risk yönetimi ve stratejik planlama için temel adımdır.
Şekilden de görülebildiği gibi risk yönetimi sürecinin çıktıları iç denetçi ve bağımsız denetçi tarafından kullanılmaktadır. Öte yandan stratejik planlama ve yönetimde de risk yönetimi süreçlerinin ve risk yönetimi temelli denetimin çıktıları yoğun olarak kullanılmaktadır.
D. Organizasyonda Yıllık İşletme Planı ve Denetim evreni
Yıllık işletme planı ve iç denetim planı arasındaki ilişkinin bir benzeri stratejik plan ve denetim evreni için de geçerlidir. Kurum stratejik planı denetim evrenine yön verir ve denetim evreni kurum stratejik planı öğelerini içerir(McNamee ve Selim, 1998). Nihai olarak da yıllık iç denetim planı denetim evrenine uygun bir şekilde hazırlanır. Denetim evreni, 3. bölüm 4. kısımda ayrıntılı olarak incelenecektir.
Yönetimin sorumluluklarını yerine getirmeye yönelik bu gelişmeler ve denetim komitesi ile üst yönetime raporlama zorunlulukları kurumsal yönetimin daha etkin çalışmasını ve sonuç olarak işletme dışı ilgililerin daha nitelikli ve daha güvenilir bilgiye ulaşmalarını sağlar(Walker ve diğerleri, 2003).
İç denetim biriminin kime raporlama yapacağı konusu iç denetçinin bağımsızlığı ile doğrudan ilişkilidir. İç denetim birimi fonksiyonel olarak denetim komitesine veya dengi bir birime raporlama yaparken yönetimsel olarak ise CEO’ya raporlama yapar(IIARF, 2003a).
Yıllık denetim planının risk yönetimi temelli yapılması diğer bir ifadeyle makro risk analizi; denetim önceliklerinin belirlenmesi, denetim kaynaklarının en riskli faaliyetlerden başlatılmasını hedeflerken, bireysel denetimlerde risk analizi yani mikro risk analizi ise denetlenen faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesini kapsar(Özbek, 2005). Yıllık denetim planına etki eden risk analizi sonuçlarının denetim komitesiyle paylaşılması-komitenin görüşünün alınması, ileride risk sıralaması veya planlamada dikkate alınmayan risklerden kaynaklanacak sorunları minimize eder.
İç denetçiler, yönetimin uyguladığı risk yönetim süreçlerinin yeterliliği ve etkinliğini inceleyerek, değerlendirerek, rapor ederek ve bu konuda iyileştirici önlemler önererek hem yönetime hem de denetim komitesine yardımcı olmalıdır. Kurumun risk yönetimi ve kontrol süreçlerinden yönetim, denetim komitesi ve yönetim kurulu sorumludur. Ancak danışmanlık rolünü üstlenen iç denetçiler de, bu risklerin tanımlanması, değerlendirilmesi ve risk yönetimi yöntemlerinin uygulanması ve bu risklerle ilgili kontrol önlemlerinin alınması ve uygulanması konularında yardımcı olabilirler(IIARF, 2003a).
Uygulamada Kurumsal Risk Yönetimi komitelerinin oluşturulduğu da görülmektedir. Genellikle denetim komitesine bağlı olarak çalışan bu komitelerin çoğunlukla kurumsal risk yönetimi sistemini kurma aşamasında olan kurumlarda mevcut olduğu dikkat çekmektedir(Walker ve diğerleri, 2002).
Kaynak: Davut Pehlivanlı Modern İç Denetim
Prof. Dr. Davut Pehlivanlı
İstanbul Üniversitesi | GRC Management
