Kurumsal Risk Yönetiminde Kontrol Faaliyetlerinin Standartları ve Önemi

Kurumsal risk yönetiminde risklerin belirlenmesi ve stratejisinin oluşturulması kadar riskleri kontrol etmenin de önemi aşikardır. Ancak risklerin kontrol altına alınmasının bazı prosedürleri bulunmaktadır. Bu prosedürleri sistemli bir şekilde uygulamayı başaran kurumların kurumsal risk yönetimini başarılı bir şekilde sürdürdüğünün örneklerini günümüzde görebiliyoruz.

Kontrol faaliyetleri öngörülen bir riskin etki ve/veya olasılığını azaltmayı ve böylece idarenin amaç ve hedeflerine ulaşma olasılığını artırmayı amaçlayan eylemlerdir.

Öncelikle kontrol faaliyetlerine ilişkin bazı standartlardan bahsetmek gerekiyor; Kontrol stratejileri ve yöntemleri

İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya uygun kontrol strateji ve yöntemlerini belirlemeli ve uygulamalıdır.

Prosedürlerin belirlenmesi ve belgelendirilmesi

İdareler, faaliyetleri ile mali karar ve işlemleri için gerekli yazılı prosedürleri ve bu alanlara ilişkin düzenlemeleri hazırlamalı, güncellemeli ve ilgili personelin erişimine sunmalıdır.

Görevler ayrılığı

Hata, eksiklik, yanlışlık, usulsüzlük ve yolsuzluk risklerini azaltmak için faaliyetler ile mali karar ve işlemlerin onaylanması, uygulanması, kaydedilmesi ve kontrol edilmesi görevleri personel arasında paylaştırılmalıdır.

Hiyerarşik kontroller

Yöneticiler, iş ve işlemlerin prosedürlere uygunluğunu sistemli bir şekilde kontrol etmelidir.

Faaliyetlerin sürekliliği

İdareler, faaliyetlerin sürekliliğini sağlamaya yönelik gerekli önlemleri almalıdır.

Bilgi sistemleri kontrolleri

İdareler, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmaları geliştirmelidir.

Kontrol faaliyetlerinin ortak özellikleri nelerdir? Kontrol faaliyetlerinin nasıl olması gerekir? sorularının cevaplarını ise 5 ana başlık altında toplayabiliriz;

1. Yeterli olması (doğru kontrolün, doğru yerde, doğru seviyede olması)

2. Kontrolün uygulama maliyetinin beklenen faydayı aşmaması

3. Kapsamlı, anlaşılabilir ve doğrudan riskle ilgili olması

4. Belgelendirilmiş olması

5. Etkililiği değerlendirilene kadar sürdürülmesi

Kontrol faaliyetleri çeşitlerini etkinliği ve yöntemlerine göre 4 başlık altında toplamak gerekirse;

• Önleyici kontroller

• Düzeltici kontroller

• Yönlendirici kontroller

• Tespit edici kontroller

olarak sınıflandırabiliriz.

Önleyici kontroller; Risklerin gerçekleşme olasılığını azaltmak ve istenmeyen sonuçların ortaya

çıkmasını mümkün olduğu kadar engellemek adına yapılması

gereken kontrollerdir.

Düzeltici kontroller; Risklerin gerçekleştiği durumlarda istenmeyen sonuçların etkisinin giderilmesine yönelik kontrollerdir. Örneğin; garanti sözleşmeleri, sözleşmelere fazla ve yersiz ödemenin iadesine ilişkin hükümler konulması v.s.

Yönlendirici kontroller; Belirli bir sonuca ulaşmayı sağlamak için yapılan kontrollerdir.

Tespit edici kontroller; Riskler gerçekleştikten sonra meydana gelen zararın ve sorumluluğun tespiti amacıyla yapılan kontrollerdir. Örneğin; uygunluk kontrolleri.

Kontrol faaliyetlerini belirlerken dikkate alınması gereken hususlar kontrol faaliyetlerinin etkinliğini ve verimliğini arttıracağı gibi risklerin tekrardan oluşmasının önlenmesi konusunda büyük önem arz etmektedir. Bu hususta;

❗️Uygulanacak faaliyetlerin kim(ler)/hangi birim(ler) tarafından gerçekleştirileceği

❗️Faaliyetlerin hedeflenen bitiş tarihleri

❗️Faaliyetlerin uygulanması için gerekli kaynaklar

❗️Kritik başarı faktörleri

❗️Faaliyetlerinin nasıl dokümante edileceği

❗️Faaliyetlerin izlenmesine yönelik süreçler

konularına mutlaka dikkat edilmeli ve kurumlarda bu hususlara ilişkin bilinç yaratılmalıdır.

Risk kontrol faaliyetlerinin kabul görmüş ve etkinliği ispatlanmış bazı yöntemleri mevcuttur. Bu yöntemler arasında kurumların muhakkak üzerinde durması gereken ve uygulaması gereken bazıları şunlardır;

Karar Alma ve Onaylama; Faaliyetlerde karar alma ve onaylama mercileri açık ve yazılı bir şekilde belirlenmelidir. Karar alma ve onaylama yalnızca yetkili kişiler tarafından yapılmalıdır.

Görevler Ayrılığı; Bir işlemin, sürecin veya faaliyetin iki veya daha fazla aşamasının uygulanmasından farklı çalışanların sorumlu olmasını öngören kurallar ortaya koymalıdır.

Çift İmza(Onay) Sistemi; Bazı riskler için bir işlemin iki imza ile geçerli olması öngörülmelidir. Çift imza yöntemi, üst yöneticiye sunulan bilgiler (raporlar, bilgi notları, istatistikler vb.), atama emirleri, sözleşme imzalanması ve ödeme yapılması v.b konularında uygulanabilir.

Veri Mutabakatı; Farklı belge ve kaynaklardaki verilerin eşleştirilmesi şeklinde uygulanır.

Gözetim Prosedürleri; Görevin verilmesi ve yerine getirilmesine ilişkin gözetim prosedürleri yöneticiler tarafından günlük olarak uygulanmalıdır.

Muhasebe Prosedürleri; Bu prosedürler, belirli bir tarihteki tüm mali işlemlerin muhasebesinin tam, doğru ve zamanında yapılmasını sağlamalıdır.

Yolsuzlukla İlgili Bildirim Prosedürleri; Yolsuzluk ve usulsüzlüklere yol açan idari zayıflıkların, tutarsızlıkların ve ihlallerin ihbar edilmesi, incelenmesi, tespit edilmesi ve raporlanması için kurallar ve prosedürler olmalıdır.

Varlık ve Bilgiye Erişim; Yöneticiler, yalnızca varlık ve bilgilerin korunması ve/veya kullanımından sorumlu kişilerin bunlara erişimi konusunda yetkilendirilmesini sağlamalıdır.

İş Sürekliliği; “Gündelik işlerin” aksaması durumunda hizmetin devamlılığını sağlamak üzere gerekli tedbirlerin mevcut olması gerekir. Büyük bir aksaklık olsa da idarenin mümkün olduğunca işlemlerine devam edebilmesini sağlayacak İş Sürekliliği Planlarının bulunması gerekir.

Tüm bu sistematiğin oluşturulması ve uygulanması kurumlarda kusursuz bir risk yönetim sisteminin anahtarıdır. Unutmamak gerekir ki kontrol altına alınamayan risklerin tekrar etme ve kuruma olumsuz etkiler yaratma potansiyeli her zaman bulunmaktadır.