[email protected]   CV Havuzu   Üyelik Sistemi

Yazılar

KİDDER > Yazılar > Haberler > Kurumsal Risk Yönetimi

Kurumsal Risk Yönetimi

Yazılar

Bölgesel ve özel nitelikte kurulan Kalkınma Ajansları kendilerinden beklenen sorumluluk ve görevleri yerine getirebilecek güçlü ve dinamik bir kurumsal yapı oluşturmak zorundadırlar. Bu nedenledir ki kurumsallaşmaya yönelik çalışmalara Ajansların tabi olduğu mevzuattave denetim uygulamalarında yer verilmiş olup Ajansların çalışma programı ve faaliyet raporlarının ilk bölümlerinde de bu hususa detaylarıyla değinilmektedir.

Kurumsallaşmış yapılar, kişilere bağlı olmayan, geleceğe aktarılabilen, ortak bir kültüre sahip, standardize edilmiş ve bütünsel olarak algılanabilen sistem ve faaliyetlerden oluşmalıdır. Amaç, hedef, strateji, vizyon, misyon gibi değerlerin belirlenmesi, faaliyetlerin yazılı hale getirilip standartlara bağlanması, yönetişim kanallarının oluşturulması ve işletilmesi, etkin bir risk yönetimi, iç kontrol ve performans sisteminin tesis edilmesi kurumsallaşma amacıyla ele alınacak sistem ve faaliyetlerin önde gelenleridir.

Bu çalışmada, Ajansların kurumsal yapıya olan ihtiyaçları üzerinde durulacak, Ajansların kurumsal yapılarının oluşturulmasına önemli katkılarda bulunacak olan Kurumsal Risk Yönetimi ve İç Kontrol sistemlerine değinilecek ve bu hususlarda uluslararası standartlar bağlamında önerilerde bulunulacaktır.

1           Kalkınma Ajanslarında Kurumsal Risk Yönetimi ve İç Kontrol Sistemi

1.1         Kurumsallaşmanın Önemi

Kalkınma Ajansları her ne kadar farklı kaynaklardan gelir elde etme imkânına sahip olsalar da genel olarak kamu kaynağı kullanan, ancak kamu kaynağı kullanımına yönelik bir kısım sınırlamalara ve kurallara tabi olmayan kuruluşlardır. Bu nedenle, kaynakların mevzuatta verilen görev ve yetkiler doğrultusunda, beklenen katkıları sağlayabilecek şekilde yerinde ve etkin kullanımını sağlayacak bir kurumsal yapıya sahip olmaları Ajanslar büyük öneme sahiptir.

Ajanslar için özel tasarlanan Mali Yönetim yeterliği denetim çalışmaları, özellikle Ajansların “Kurumsal Yapılarının” değerlendirilmesine yönelik olarak tasarlanmıştır ve Kalkınma Ajansları Denetim Yönetmeliği’nin ilk maddeleri de bu çalışmalara ayrılmıştır. Dahası, aynı yönetmeliğin dördüncü maddesinde, Mali Yönetim Yeterliği Denetimi, kurumsallaşma çalışmalarına verilen önemi daha iyi gösterecek şekilde, diğer denetim çalışmalarının sonuçlarından çok daha öte bir yaptırım olan “Proje ve faaliyet destekleri için kaynak kullanımının durdurulması” hükmü ile güçlendirilmiştir. Buralardan anlaşılacağı üzere, Ajanslar her ne kadar esnek bir yapıda öngörülmüşlerse de bu esnek yapılarının bir kurumsal çerçeveye oturtulması beklenmektedir.

Ajans yöneticilerinin, etkin karar alabilmek ve başarılı bir yönetim sergileyebilmek açısından, Ajansın hem iç bünyesi hem de dış çevresi ile ilgili, zamanında ve güvenilir enformasyona ihtiyaçları vardır. Ajansın kurumsal kimliğinin güçlenmesinin yöneticilerin bu ihtiyaçlarının karşılanmasındada önemli katkıları olacaktır. 

1.2         Kurumsal Risk Yönetimi ve İç Kontrol Sistemi Gerekliliği

Kurumsal yapının etkinliğini sağlamak ve yöneticilerin ihtiyaç duyacakları enformasyonu üretmek açısından risk yönetimi ve iç kontrol sistemleri oldukça verimli uygulamalardır. Gerek amaç ve hedefler doğrultusunda teşkil edilecek risk yönetim sistemi, gerekse de faaliyetlerin yürütülmesi aşamaları üzerinde işletilecek iç kontrol sistemleri, enformasyon bakımından oldukça üretkendirler. Her iki sistemin de içeriğinde önemli yer tutan raporlama fonksiyonları sayesinde zamanında ve doğrulanmış veriler üretilebilmektedir.

Ajansın başarısından sorumlu olan yöneticiler, söz konusu sistemlerce üretilen veriler ışığında Ajansın iç çalışmalarındaki gidişatı yakından izleyerek yönlendirme, verimliliği arttırma, düzeltme fırsatı bulacak ve yine Ajansın dış çevresine ilişkin enformasyon elde ederek bu verileri strateji geliştirmede kullanabilecektir.

Risk Yönetimi ve İç kontrol Sistemlerinin kurumsallaşma ve yönetim ile ilgili gerekliliklerinin yanı sıra mevzuat gereğince de tesis edilmesi ve işletilmesi gerekmektedir.

En net ifadeler içeren mevzuat hükmü olan Kalkınma Ajansları Bütçe ve Muhasebe Yönetmeliği’nin (28.09.2006 – 26303) 11. maddesi Ajanslar için İç Kontrol Sistemi tesis edilmesini öngörmektedir. İlgili maddede Ajans İç Kontrol Sistemi’nin, “Ajans gelir, gider, varlık ve yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde yönetilmesi, Ajansın mevzuata uygun olarak faaliyet göstermesi, her türlü malî karar ve işlemlerde usulsüzlük ve yolsuzluğun önlenmesi, karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir bilgi edinilmesi” amaçlarıyla oluşturulacağı belirtilmiştir. Aynı maddede, İç Kontrol Sistemi’nin, iç denetçinin görüşü alınmak suretiyle, Genel Sekreterin teklifi ve Yönetim Kurulunun kararı ile oluşturulacağı hükme bağlanmıştır.” Bununla birlikte, aynı maddenin 2. bendinde İç Kontrol Sistemi’nin, iç ve dış denetim raporları, öneriler, ihtiyaçlar ve şikâyetler çerçevesinde yılda en az bir defa Yönetim Kurulu tarafından değerlendirilmesi ve Bakanlığa rapor hâlinde sunulması istenmiştir.

Yukarıdaki ifadenin yanı sıra, Ajansın tabi olduğu denetimlere ilişkin mevzuat hükümlerinde de Risk Yönetimi ve İç Kontrol Sistemine değinilmiştir;

Öncelikle Kalkınma Ajansları Denetim Yönetmeliği’nin dördüncü maddesi hükümleri gereğince Ajansın mali yönetim yeterliği kapsamında, kurumsal kapasite ve organizasyonel yapı, veri akış ve raporlama sistemi, iç kontrolve risk değerlendirmesi yapabilme kapasitesi, sözleşme yapabilme ve ödeme süreçleri, bilgi teknolojileri kullanımı, muhasebe ve izleme-değerlendirme sisteminin etkin kullanımı unsurları yer almaktadır.

İkinci olarak, Kalkınma Ajansları Denetim Yönetmeliği’nin altıncı maddesi hükümleri gereğince, iç denetim kapsamında, Ajansın faaliyetleri, hesapları, işlemleri, performansı, yönetim ve kontrol yapıları ile finansal işlemlerinin risk yönetimi, yönetim ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek unsurları yer almaktadır.

Üçüncü olarak, Kalkınma Ajansları Denetim Yönetmeliği’nin onbirinci maddesi hükümleri gereğince Dış denetim kapsamında, Ajansın tüm faaliyetleri, hesapları, işlemleri, raporlamaları, performansı, yönetim ve kontrol süreç ve yapıları ile risk yönetimi unsurları (Risk yönetim planlaması ve mekanizmaları) yer almaktadır.

Dördüncü ve son olarak da, Sayıştay Denetim Yönetmeliği’nin onbirinci maddesi hükümleri gereğince “idarelerde etkin bir iç kontrol sistemi kurulup işletilmesi” değerlendirmeye tabi tutulmak üzere denetlenenlerin sorumlulukları arasında sayılmış ve yine Sayıştay Düzenlilik Denetimi Rehberi’nin 1.3.3.2. Kurumun Risk Değerlendirmesi başlıklı kısmında kurumun risk değerlendirmelerinin İç Kontrol sisteminin bir unsuru olduğu belirtilmiştir. Aynı kısımda risk değerlendirmesi çalışmaları detaylandırmış ve risklerin tanımlanması, değerlendirlmesi ve yönetilmesi biçiminde ifade edilmiştir.

Ayrıca, Ajansın temel fonksiyonları arasında yer alan İzleme ve Değerlendirme Fonksiyonu gereğince yerine getireceği faaliyetler içerisinde yararlanıcı projelerin risk yapısına ilişkin çalışmalar da yer almaktadır. Kalkınma Ajansları Destek Yönetim Klavuzunun tanımlar kısmında İzleme kavramı “Ajansın desteklediği program, proje ve faaliyetlerin öngörülen amaç ve hedeflere ulaşılması amacıyla, düzenli ve sürekli olarak veri toplanması, uygulamaya ilişkin risklerin önceden tespit edilerek düzeltici ve önleyici tedbirleri alınması, uygulama performansının takip edilmesi ve denetim faaliyetlerinin yapılabilmesine imkan verecek bilgilerin kayda geçmesini sağlamak üzere yürütülen, tarafsız yönlendirme ve takip faaliyeti” şeklinde tanımlanmıştır. Aynı klavuzun 1.3.2.2.3. İzleme ve Değerlendirme Birimi başlıklı kısmında birimin görevleri arasında “Genel Sekreterin talep ettiği projelere, sözleşme öncesi ön izleme ziyaretlerini ve bu ziyaretlerde yapılacak projenin risk ve ihtiyaç analizlerini yapmakveProgram ve projelere ilişkin düzenli risk analizleri yapmak ve riskleri önceden tespit ederek, düzeltici ve önleyici tedbirleri almak” da sayılmıştır.

Bu hükümler ve faaliyet yükümlülükleri göz önünde bulundurulduğunda, Ajansların kurumsallaşma çalışmaları, yönetim başarısı ve yine tabi olacağı tüm denetim çalışmaları açısından Ajansın “Kurumsal Risk Yönetim Sistemi” ve “İç Kontrol Sistemi” temel unsurlardandır. Öyleyse, her bir Kalkınma Ajansı kendi Risk Yönetim ve İç Kontrol Sistemini oluşturmalı ve bu sistemleri dinamik bir biçimde işletmelidir. Bu sayede hem Ajansların kurumsal yapısı ve yönetimi güçlendirilecek hem de her türlü denetim çalışması için Ajansın her türlü faaliyet ve takvim çerçevesinde hazır olması sağlanmış olacaktır.

Kalkınma Ajansları için Risk Yönetim Sistemi önerimize geçmeden önce risk, risk yönetimi, risk yönetim sistemi ve Ajansların faaliyetleri gereğince karşı karşıya oldukları riskler üzerinde durmak yararlı olacaktır.

1.3         Risk ve Kontrol Kavramları Üzerine

1.3.1        Risk

Türk Dil Kurumu, risk kavramını “zarara uğrama tehlikesi” şeklinde tanımlamıştır.

İç Denetçiler Enstitisü (IIA) tarafından yayımlanan Terimler Sözlüğünde Risk, “Amaçlara ulaşılması üzerinde etkisi olacak bir olayın meydana gelme ihtimali” olarak tanımlanmıştır.

Uluslararası Standardizasyon Kurumu (ISO) tarafından yayımlanan “ISO Rehber 73 – Risk Yönetimi – Sözlüğü – -Standartlarda Kullanım Rehberi”nde “Belirsizliklerin hedeflerin üzerindeki etkisi” olarak tanımlanmıştır.

Bu ifadelerden yola çıkarak Kalkınma Ajansları için aşağıdaki şekilde bir risk tanımı oluşturabiliriz;

“Ajansın, bölgesel planlarında belirlediği stratejik amaç ve hedeflerine ulaşması üzerinde olumsuz yönde etkisi olabilecek, geleceğe yönelik belirsizliklerden kaynaklanan içsel ve dışsal nitelikte somutlaştırılabilen ihtimallerdir.”

1.3.2        Kurumsal Risk Yönetimi

Amaçlara ulaşmak yolunda en az zararla ilerleyebilmek için, bu yol üzerinde olası riskleri önceden bilmek ve gerekli tedbirleri almak risklerle en etkin mücadele yöntemi olacaktır. Bu çerçevede, riskleri tanımlamak, değerlendirmek, önceliklendirmek, gerekli tedbirlerin alınmasını sağlamak ve bu tedbirlerin etkilerini izlemek gibi çalışmaların kurum bünyesinde bir sistematik dahilinde yürütülmesi gerekecektir ki bu sistematiği Kurumsal Risk Yönetim Sistemi olarak adlandırabiliriz.

Kurumsal Risk Yönetimi üzerinde uluslararası otorite olarak kabul edebileceğimiz Treadway Komitesi’nin Sponsor Organizasyonları Komisyonu (COSO) Kurumsal Risk Yönetimini, “organizasyonun hedeflerinin elde edilmesi konusunda makul bir güvence sağlamak için tesis edilen ve kurumu etkileyebilecek olası olayların tanımlanması ve bunlardan kaynaklanan risklerin yönetilmesini hedefleyen bir süreç” olarak tanımlanmıştır.

Benzer şekilde İç Denetçiler Enstitisü (IIA) tarafından yayımlanan Terimler Sözlüğünde Risk Yönetimi, “Kurumun amaçlarını gerçekleştirmek üzere makul bir güvence sağlamak amacıyla potansiyel olay ve durumları belirlemek, değerlendirmek, yönetmek ve kontrol etme süreci” şeklinde tanımlanmıştır. Yine İç Denetçiler Enstitisü (IIA) tarafından yayımlanan Uygulama Önerisi 2100-3’te “Risk yönetimi, kurum yönetiminin temel sorumluluklarından biridir. İş hedeflerine ulaşabilmek için, yönetimin, kurum içinde sağlam risk yönetimi süreçlerinin bulunmasını ve kullanılmasını sağlaması gerekir.” Şeklinde risk yönetimi ile ilgili yönetime sorumluluklar yükleyen ifadeler bulunmaktadır.

Bu tanımlardan yola çıkarak Kalkınma Ajansları için aşağıdaki şekilde bir kurumsal risk yönetimi sistemi tanımı oluşturabiliriz;

“Ajansın bölgesel planlarında belirlediği stratejik amaç ve hedeflerine ulaşması üzerindeki risklerin belirlenmesi, değerlendirilmesi, önceliklendirlimesi, gerekli tedbirlerin alınmasının sağlanması ve bu tedbirlerin etkilerinin izlenmesi faaliyetlerini içeren, Ajans bünyesinde organize edilen ve Ajansın tüm faaliyetlerini kapsayan dinamik bir süreçtir.”

1.3.3        Kontrol

Kontrol; yönetimin riski yönetmek ve belirlenmiş olan hedeflere ulaşma ihtimalini arttırmak amacıyla aldığı tedbirlerdir. (IIA Terimler Sözlüğü)

Kontrol Ortamı; İç kontrol sistemi uygulamalarının üzerine inşa edildiği ve yönetildiği etik değerler, insan kaynakları yönetimi, organizasyon yapısı, performans değerlendirmesi gibi değerlerin bütünüdür.

Kontrol Noktası; Süreçlerin işleyişinde ortaya çıkabilecek muhtemel riskleri önlemek ya da tespit etmek amacıyla oluşturulan kontrol içerikli uygulamalardır.

Bu tanımlardan yola çıkarak Kalkınma Ajansları için aşağıdaki şekilde bir kontrol tanımı oluşturabiliriz;

Kontrol: “Ajansınamaçlarına yönelik faaliyetlerini etkin ve verimli bir şekilde yürütmesini sağlamak amacıyla, yinefaaliyetleri yürütenler tarafındantasarlanarak süreçler üzerine yerleştirilmiş risk önleme, tespit ve izleme faaliyetleridir.”

1.3.4        İç Kontrol ve İç Kontrol Sistemi

İç Kontrol Sistemi; Varlıklarının korunmasını; faaliyetlerin etkin ve verimli bir şekilde Kanuna ve ilgili diğer mevzuata, Ajans içi politika ve kurallara ve Ajans teamüllerine uygun olarak yürütülmesini; muhasebe ve finansal raporlama sisteminin güvenilirliğini, bütünlüğünü ve bilgilerin zamanında elde edilebilirliğini; Ajans bünyesinde işlevsel görev ayrımının tesis edilmesi ve sorumlulukların paylaştırılmasının sağlanmasını; muhasebe ve finansal raporlama sisteminin, bilgi sisteminin ve Ajans içi iletişim kanallarının etkin çalışacak şekilde tesis edilmesinin sağlanmasını; acil ve beklenmedik durum planı hazırlanmasının sağlanmasını; iç kontrol faaliyetlerinin oluşturulmasını; Ajans’ın iş süreçleri üzerinde kontrollerin ve iş adımlarının gösterildiği iş akım şemalarının oluşturulmasının sağlanmasını; Ajans’ın tüm birimlerini ve faaliyetlerini kapsayacak şekilde yapılandırmasını temin etmek amacıyla oluşturulan sistemdir, (BDDK, BİSHY)

İç Kontrol Faaliyetlerinin Özellikleri; (MB üst Yöneticiler İçin İK ve İD Rehber, syf 4)

·         İç kontrol faaliyetleri, sürekli ve sistematik bir şekilde ve idarenin yönetim sorumluluğu çerçevesinde yürütülür.

·         İç kontrol faaliyet ve düzenlemelerinde öncelikle riskli alanlar dikkate alınır.

·         İç kontrole ilişkin sorumluluk, işlem sürecinde yer alan bütün görevlileri kapsar.

·         İç kontrol mali ve mali olmayan tüm işlemleri kapsar.

Bu tanımlardan yola çıkarak Kalkınma Ajansları için aşağıdaki şekilde bir iç kontrol sistemi tanımı oluşturabiliriz;

İç Kontrol Sistemi; “Ajansınamaçlarına yönelik mali ve mali olmayan tüm faaliyetlerinin etkin ve verimli bir şekilde yürütmesini sağlamak amacıyla; kontrollerin tespit edilmesi, işletilmesi, test edilmesi ve geliştirilmesi süreçlerini kapsayan, Ajansın tüm birimleri ve çalışanlarınca uygulanan, dinamik yapılar bütünüdür.”

2           Kalkınma Ajansları İçin Kurumsal Risk Yönetim Sistemi Önerisi

Çalışmamızın önceki kısımlarında yer alan bilgiler çerçevesinde, Ajanslar için bir Kurumsal Risk Yönetim Sisteminin temel unsurlarını aşağıdaki biçimde belirleyebiliriz;

Risk Yönetim Politikasının Oluşturulması

·         Risk Yönetim Sorumluluklarının Belirlenmesi

·         Risk Yönetim Yönergesinin Hazırlanması

·         Risk Yönetim Uygulama Takviminin Oluşturulması

Risklerin Belirlenmesi

·         Kurumsal Amaç ve Hedeflerin Belirlenmesi

·         Fonksiyonların Ayrıştırılması

·         Süreç ve İş Akışlarının Fonksiyon Bazında Tasnifi

·         Süreç ve İş Akışları Üzerindeki Risklerin Tespit Edilmesi

Risklerin Değerlendirilmesi

·         Risklerin Türlere Göre Tasnifi

·         Risklerin Olasılık Analizlerinin Yapılması

·         Risklerin Etki Şiddeti Analizlerinin Yapılması

·         Risklerin Fonksiyon ve Faaliyet Bazlı Tasnifi

Risklerin Önceliklendirilmesi

·         Önemsiz Risklerin Ayrıştırılması

·         Önemli Risklerin Önceliklendirilmesi

Önleyici Tedbirlerin Alınmasının Sağlanması

·         Tedbir Alınması Gerekli Risklerin Belirlenmesi

·         Önleyici Tedbir ve Kontrollerin Önerilmesi

·         Önleyici Tedbirlerin Etkilerinin İzlenmesi

2.1.1        Risk Yönetim Politikasının Oluşturulması

Bir kurumda risk yönetiminin uygulanabilmesi için öncelikle risk yönetimini kurgulanmış olması yani kurumsal yapının risk yönetimi uygulamasına göre şekillendirilmesi gerekir. (KRY Sayıştay uyg, say dergisi sayı 64 syf 154) Bu da temel olarak sorumlulukların tayin edilmesi ve temel usul ve ilkelerin belirlenmesi ile sağlanabilir.

2.1.1.1       Risk Yönetim Sorumluluklarının Belirlenmesi

Ajans bünyesinde tüm çalışanların sürekli olarak risk yönetimi odaklı çalışmaları beklenemez. Ayrıca bu konuda bilgi ve tecrübe düzeyi olarak da yeterli düzeyde olmaları gerekli değildir. Bununla birlikte, tüm Ajans çalışanlarının dahil olması gereken böylesi bir sürecin çok iyi koordine edilmesi ve yönetilmesi gereklidir. Bu amaçla, Risk Yönetimi çalışmalarına başlarken yapılacak ilk iş bu husustaki sorumlu personeli belirlemek ve görevlendirmektir.

Ajans bünyesinde Risk Yönetim Sisteminden sorumlu olacak personelin bu konuda bilgi ve tecrübe sahibi olması ya da en azından bu konularda kişisel gelişim kararlılığı içerisinde olması beklenir. İlgili personelin düzenli olarak Risk yönetimi konusunda kişisel gelişimini sürdürebileceği eğitim ve ortamlara katılımı sağlanmalıdır.

Ajans bünyesinde sorumlu personelin belirlenmesinin yanında Ajans çalışma birimleri bazında da birer Risk Yönetimi Birim Sorumlusunun belirlenmesi, Ajans sorumlu personelinin Risk Yönetimi çalışmalarının koordinasyonunu sağlamasında etkinliği arttıracaktır. Herhangi bir çalışma birimini ilgilendiren bir konuda tüm birim çalışanlarını sürekli meşgul etmektense tek bir çalışan ile iletişim kurmak elbette ki daha etkin olacaktır.

2.1.1.2       Risk Yönetim Yönergesinin Hazırlanması

Risk yönetim sistemi ve çalışmalarına ilişkin usul ve esaslar ile amaç, yetki, sorumluluk gibi hususların yazılı bir yönergede belirtilmesi, yapılacak risk yönetimi çalışmalarının etkinliğini arttıracak, organizasyon içindeki yeri ve öneminin kavranmasını sağlayacak ve yapılan çalışmaların performansının değerlendirilmesi açısından da gerekli kriterleri oluşturacaktır.

Yazılı bir yönerge, hem risk yönetimi çalışması yürüten sorumlular için, hem bu sürecin içinde her halükarda yer alan çalışanlar için hem de denetim çalışmaları için bir rehber niteliği taşıyacaktır.

Risk yönetimi yönergesi, uygulama detaylarını içermeyecek olmakla beraber uygulamaların temel aşamalarını içermeli ve bu aşamalara ilişkin yetki, sorumluluk ve esaslara mutlaka değinmelidir.

Ayrıca, risk yönetimi çalışmalarının neticesinde yapılacak raporlamaların usul ve esaslarını da detaylı bir biçimde içermelidir.

2.1.1.3       Risk Yönetim Uygulama Takviminin Oluşturulması

Risk yönetimi çalışmalarının uygulama takvimi, Ajansın çalışma programında belirtilmiş olmalıdır. Bu nedenle, risk yönetimi çalışmalarının ilgili yıl uygulama takviminin bir önceki yıl çalışma programı hazırlık çalışmaları esnasında belirlenmiş olması gerekmektedir. 

Takvim oluşturulurken Ajansın mutat faaliyetlerinin yoğun olacağı dönemler dikkate alınmalı, bu dönemler için mümkün olduğunca risk yönetimi faaliyeti öngörülmemelidir.

Ayrıca, risk yönetimi çalışmalarının belirleme, değerlendirme, önlem alma şeklindeki ilk aşamalarının Ajansın mutat faaliyetlerinin yoğunluğunun başlamasından once tamamlanması, geriye kalan önlemlerin etkilerinin izlenmesi ve raporlanması aşamalarının ise bu yoğun dönemlerden sonar tamamlanması daha etkin olacaktır.

2.1.2        Risklerin Belirlenmesi

2.1.2.1       Kurumsal Amaç ve Hedeflerin Belirlenmesi

Doğru riskleri tespit etmek ve riskleri doğru olarak derecelendirip önceliklendirebilmek için ilk yapılması gereken Ajansın amaç ve hedeflerini çok net bir biçimde ortaya koymaktır.

Ajansın fonksiyon ve faaliyetlerini daha iyi algılamak için bunların hangi amaç ve hedefe yönelik olduklarının bilinmesi büyük öneme sahiptir.

Ajansların genel olarak amaç ve hedefleri kuruluş kanunlarında belirtilmekle birlikte, her Ajans kendi hazırlayacağı bölge planında stratejik amaç ve hedeflerine detaylı bir şekilde yer verecektir. Bu bağlamda, Ajansın, gelecek yıl veya öngörülen plan döneminde ve sonrasında nereye odaklandığı stratejik hedefleri, bu hedeflere ulaşmak için kullanacakları yöntemleri ve başarı kriterleri bu planlarda detaylı bir biçimde ele alınacaktır.

Ajansların amaç ve hedefleri belirlenirken bu amaç ve hedeflerin soyutluktan kurtarılmasına, somut anlamlar yüklenebilmesine, ulaşılabilir ve Ajansın görev ve yetkileriyle uyumlu olmasına dikkat edilmiş olmalıdır. Amaç ve hedefler ancak bu sayede Risk Yönetimi Sistemi için kullanışlı olabilecektir.

2.1.2.2       Fonksiyonların Ayrıştırılması

Ajanslar, stratejik amaç ve hedeflerine kendileri için öngörülen fonksiyonları aracılığıyla ulaşabilecektirler. Bu nedenle Ajansların hangi fonksiyonlar eliyle amaç ve hedeflerine ulaşmak için faaliyetlerde bulunacağı net bir biçimde ortaya konmalıdır.

Ajansların fonksiyonlarının net bir biçimde tasnif edilmesi kısmen zorluklar taşımaktadır. Ancak biz çalışmamızda, kuruluş kanunu, gerekçesi, ikincil mevzuat ve uygulama tecrübeleri doğrultusunda Ajans fonksiyonlarının aşağıdaki gibi beş başlık altındae tasnif edilmesinin en doğru yaklaşım olduğunu değerlendirmekteyiz;

·         Kurumsal Yapı Oluşturma Fonksiyonu

·         Planlama ve Koordinasyon Fonksiyonu

·         Proje ve Faaliyet Destek Fonksiyonu

·         İzleme ve Değerlendirme Fonksiyonu

·         Yatırım Destek ve Tanıtım Fonksiyonu

Ajanslar, bölge planlarında belirleyecekleri stratejik amaç ve hedeflerine yukarıdaki fonksiyonlar aracılığıyla ulaşabileceklerini dikkate almalı, bu fonksiyonların hangi yetki ve sorumluluklarla yerine getirildiğini iyi analiz etmelidir. Aksi halde, mevcut fonksiyon yapısıyla ulaşılması mümkün olmayan amaç ve hedefler belirlenme olasılığı ortaya çıkar ki bu durum sadece risk Yönetimi Sisteminin etkinliği için değil İç Kontrol, İç Denetim ve Performans Sistemlerinin etkinliği için de önemli olumsuzluklar doğuracaktır.

Ayrıca, fonksiyonlar oluşturulurken mevcut mevzuat ve uygulamalar neticesinde ortaya çıkan faaliyetlerin tamamını kapsayacak bir sınıflandırma yapılmasına dikkat edilmelidir. Diğer bir ifade ile, Ajansın tüm faaliyetleri, fonksiyonel sınıflandırmada kendisine yer bulabilmelidir.

Son olarak belirtilmesi gereken bir diğer husus ise, Ajans organizasyon yapısının fonksiyonel tasnif yapısıyla uyumlu olmasının sağlanmasıdır. Ajansların esnek karar alma ve uygulama mekanizmaları içerme beklentisi nedeniyle, bu uyumun birebir olması beklenmemekle birlikte, mümkün olan en üst düzeyde sağlanması gereklidir. Organizasyon yapısı içindeki bir birimin fonksiyonel sınıflandırma başlıklarından birden fazlasına yönelik faaliyetlerin sorumluluğunu taşıması, uygulama, izleme ve değerlendirme aşamalarında eksik algılanma, mükerrerlikler, ihmal edilme, gözden kaçma, performansın ölçülememesi, sorumluluk belirsizlikleri gibi olumsuzluklara neden olabilecektir.

2.1.2.3       Süreç ve İş Akışlarının Fonksiyon Bazında Tasnifi

Fonksiyonların tasnifinin yapılmasının ardından her bir fonksiyon başlığı altında hangi faaliyetlerin yürütüleceğinin belirlenmesi gerekmektedir. Bu aşamada, Ajansın mevcut süreçleri ve bu süreçlere ilişkin iş akışları fonksiyonlarla ilişkilendirilmelidir.

Burada mevcut olan varsayımımız Ajansın süreçlerinin yazılı olması, iş akışlarının çıkarılmış olması ve görev ve sorumlulukların net bir şekilde belirlenmiş olmasıdır. Aksi bir durum söz konusu ise Risk Yönetim sorumlularının süreçlerin yazılı hale getirilmesi, iş akışlarının çıkarılması ve görev ve sorumlulukların belirlenmesi hususlarında Ajans yönetimini bilgilendirmesi ve yönlendirmesi gereklidir. Zorunlu durumlarda, süreçler yazılı hale getirilene ve iş akışları oluşturulana kadar Risk Yönetim Sisteminin işletimi durdurulabilir. Bu aşamada, ilgili sorumlular süreç çalışmalarına katkıda bulunabileceği gibi bizzat kendileri de bu çalışmaların koordinasyonunu gerçekleştirebilir.

Süreçler ve iş akışları fonksiyonel gruplarla ilişkilendirilerek, hangi faaliyetin hangi fonksiyon eliyle hangi amaca ulaşmaya yönelik yürütüldüğü net bir biçimde görülebilecek ve bu sayede risklerin tespiti daha kolay ve etkin bir biçimde yapılabilecektir.

2.1.2.4       Süreç ve İş Akışları Üzerindeki Risklerin Tespit Edilmesi

Bağlı olduğu amaç ve fonksiyonu belirlenen süreçler ve iş akışları risklerin belirlenmesi için uygun bir altyapı oluşturacaktır. Süreçler Ajansın yürüteceği faaliyet ve faaliyet detaylarını içermelidir. Buradaki varsayımımız, süreçlerin faaliyet iş adımlarını detaylı bir biçimde içerecek şekilde oluşturulduğu ve bu adımların akış şemaları üzerinde gösterildiğidir. Bu sayede, her bir faaliyet iş adımının muhtemel olumsuzluk senaryoları değerlendirilebilecek ve bunlar içerisinden risk taşıyanlar belirlenebilecektir.

Süreç ve iş akışları üzerindeki risk içeren adımların ve taşıdığı risklerin belirlenmesi çalışmaları mutlaka ilgili faaliyetin yürütülmesinden sorumlu yönetici ve çalışanlarla birlikte yapılmalıdır. Faaliyetlerin taşıdığı riskleri en yüksek olasılıkla tahmin edebilecek olanlar yine bu faaliyetleri yürütme tecrübesine sahip olanlardır. Ayrıca geçmiş uygulamalarda ortaya çıkan olumsuzluklar da riskleri belirlemek açısından iyi bir gösterge olacaktır.

Riskler belirlenirken dikkat edilmesi gereken bir husus da, mevcut bir kısım önlemlerle kontrol altına alınmış riskli durumların da “Risk” olarak tanımlanması gerekliliğidir. Riskin kontrol altına alınmış olması “risk” olarak tanımlanmasını etkilememelidir. Söz konusu kontrol olmasa ilgili risk bariz bir biçimde görünebilecektir. Bu tür riskler kontrol altına alınmış riskler olarak mutlaka tespit edilmeli ve kayda geçirilmelidir.

Koordinasyon içinde yürütülen çalışmalar sonucunda belirlenen ve üzerinde mutabık kalınan riskler ilgili oldukları iş akış şemalarına yine ilgili oldukları adımlara “Risk” etiketiyle birlikte eklenmelidir. Riskler, iş akış şemaları üzerinde “Risk” başlığı altında görülebilmeli ancak detaylarının iş akış şemaları üzerinde görülebilmesine gerek bulunmamaktadır.

Risklerin topluca veya detay bazda izlenmesini sağlamak için iş akış şemalarından ayrı olarak “Risk Matrisleri” ya da “Risk Kütükleri”(Tablo 1) başlığı altında izleme tabloları (excel) oluşturulabilir. Bu tablolar risk detaylarını göstereceği gibi, risk trü, olası etkileri, gerçekleşme olasılığını, ilgili olduğu amaç, fonksiyon ve faaliyeti, sorumlu birim ve personeli, derece ve öncelik seviyesini ve ilgili önlemler gibi bilgileri de içerebilecek şekilde hazırlanabilir. Bu sayede, sonraki aşamalarda belirtilecek süreçlerde de kullanılabilecek şekilde, Risk Yönetimi Sistemi tarafından kullanılabilecek etkin ve kapsamlı bir veri tabanı oluşturulmuş olacaktır.

2.1.3        Risklerin Değerlendirilmesi

2.1.3.1       Risklerin Türlere Göre Tasnifi

Süreçler üzerinde belirlenen ve iş akışları içine yerleştirilen riskler ilk aşama olarak, gerçekleşmeleri durumunda neden olacakları olumsuz etkilerinin niteliklerine göre tasnif edilebilirler.

Ajanslar için bu olumsuzlukların etkileri ve risk grupları aşağıdaki gibi sınıflandırılabilecektir;

·         Mali Kayıp Etkileri – Mali risk

·         Yasal Sorumluluk Etkileri – Yasal risk

·         Performans Kaybı Etkileri – Performans riski

·         İtibar Kaybı Etkileri – İtibar riski

Risklerin ilk tasnif çalışması da mutlaka ilgili faaliyetin yürütülmesinden sorumlu yönetici ve çalışanlarla birlikte koordinasyon içinde yapılmalıdır.

2.1.3.2       Risklerin Olasılık Analizlerinin Yapılması

Tespit edilen risklerin süreç içindeki gerçekleşme olasılıkları söz konusu risklerin önemlilik düzeyini etkileyecektir. Gerçekleşme olasılığı yüksek olan bir risk için alınacak önlemler ile düşük olan bir risk için alınacak önlemler farklı olacaktır.

Ajanslar için geçmiş uygulama sonuçları, risklerin gerçekleşme olasılıklarının tespiti konusunda en iyi kaynak olacaktır. Bununla birlikte olasılık tespiti yapılacak bir kısım riskler için, istatistiksel yöntemler de kullanılmak suretiyle bir kısım sayısal analiz çalışmaları yapılması gerekli olabilir.

Riskler aşağıdaki tasnife gore olasılık nitelemelerine tabi tutulabilir; (RMB_ERM Guideline http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf)

·         5- Kesin %90’dan fazla

·         4- Yüksek Olasılık %55-%90

·         3- Olası %25-%54

·         2- Nadir %5-25

·         1- Mümkün Değil %5’ten az

Risklerin gerçekleşme olasılıkları da mutlaka ilgili faaliyetin yürütülmesinden sorumlu yönetici ve çalışanlarla birlikte koordinasyon içinde tespit edilmelidir.

2.1.3.3       Risklerin Etki Şiddeti Analizlerinin Yapılması

Risklerin olasılıklarında olduğu gibi etki şiddeti düzeylerinde de farklılıklar olacaktır. Bir kısım riskler gerçekleşmeleri durumunda çok yüksek kayıplara neden olabilecekken bir kısım riskler ise çok düşük kayıplarla atlatılabilecektir. Bu nedenle, olasılık analizinde olduğu gibi, tespit edilen risklerin neden olacakları kayıpların büyüklüğü (risk etki şiddeti) söz konusu risklerin önemlilik düzeyini etkileyecektir.

Riskler aşağıdaki tasnife göre etki şiddeti nitelemelerine tabi tutulabilir; (RMB_ERM Guideline http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf)

·         Şiddetli – Hedeflere ulaşılmasını tamamen engelleyecek şiddette

·         Yüksek – Yeniden yapılanma gerektirecek şiddette

·         Önemli – Hedeflere ulaşmakta gecikmelere neden olacak şiddette

·         Düşük – Aşılabilir zorluklar niteliğinde

·         Önemsiz – İhmal edilebilir şiddette

Risklerin etki şiddetleri de mutlaka ilgili faaliyetin yürütülmesinden sorumlu yönetici ve çalışanlarla birlikte koordinasyon içinde tespit edilmelidir.

2.1.3.4       Risklerin Fonksiyon ve Faaliyet Bazlı Tasnifi

Tespit edilen ve tür, olasılık ve etki şiddeti açılarından nitelenen riskleri, Ajansın stratejik amaç ve hedefleri ve fonksiyonlarıyla ilişkilendirilebilmek için ayrı bir gruplama yapılması yararlı olacaktır. Bu sayede, hangi fonksiyonun toplu olarak ne tür riskler taşıdığı ve yine hangi amaç ve hedefin ne tür risklerle karşı karşıya olabileceği toplu olarak görülebilecektir.

Bu tür bir tasnif veri tabanı işletme mantığı açısından gerekli olup, ayrı bir tabloda tutulabilecektir. Burada dikkat edilmesi gerek husus ise süreçler ve iş akışları üzerinde izlenen riskler ile bu tabloda izlenen riskler arasında uyumun sürekli olarak sağlanması gerektiği yani değişikliklerin tüm izleme tablolarına aynı anda yansıtılması gereğidir.

2.1.4        Risklerin Önceliklendirilmesi

2.1.4.1       Risklerin Önem Düzeyi Tespiti

Risk tespit çalışmaları sonucunda çok sayıda riskle karşılaşılmış olması muhtemeldir. Bu risklerin tümünün dikkate alınması, izlenmesi, ve kontrol edilmesi yüksek maliyetli olacaktır. Bu nedenle, kaynakları etkin kullanmak amacıyla önemli-önemsiz riskler belirlenmelidir.

Bu amaçla en yaygın kullanılan araç aşağıda örnek verdiğimiz Risk Değerlendirme Matrisi’dir (Tablo 2);

Olasılık ve etki şiddeti analizi kısımlarında belirttiğimiz tanımlamalardaki 1-5 arası puanlamaların birbiriyle çarpılması suretiyle hesaplanacak önemlilik dereceleri kullanılarak aşağıdaki önem düzeyi tanımlamaları elde edilebilir. (RMB_ERM Guideline http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf)

·         0-5 Düşük

·         6-10 Orta

·         11-16 Yüksek

·         20-25 Çok Yüksek

Tablo 2 – Risk Değerlendirme Matrisi

5

Düşük 5

Orta 10

Yüksek 15

Çok Yüksek 20

Çok Yüksek 25

4

Düşük 4

Orta 8

Yüksek 12

Yüksek 16

Çok Yüksek 20

3

Düşük 3

Orta 6

Orta 9

Yüksek 12

Yüksek 15

2

Düşük 2

Düşük 4

Orta 6

Orta 8

Orta 10

1

Düşük 1

Düşük 2

Düşük 3

Düşük 4

Düşük 5

Olasılık/Etki

1

2

3

4

5

 

Hem olasılığı hem de etki şiddeti yüksek olan riskler yüksek önemlilik derecelerine sahip olmakta aksi durumdakiler ise düşük öneme sahip olmaktadırlar.

2.1.4.2       Önemsiz Risklerin Ayrıştırılması

Risklerin önemlilik değerlendirmeleri yapıldıktan sonar önemsiz risklerin yönetilip yönetilmeyeceğine karar verilmelidir. Ajansların sahip oldukları kaynakların da sınırlı olduğu düşünüldüğünde, önemsiz risklerin yönetilmesi için kaynak ayrılmaması daha doğru olacaktır. Bu sayede, kaynaklar gerçek anlamda yüksek kayıp olasılığı taşıyan risklerin yönetimine kaydırılabilecektir.

2.1.4.3       Önemli Risklerin Önceliklendirilmesi

Risklerin yönetimi için ayrılan kaynakların başında insan ve zaman gelecektir ve tüm riskler için aynı anda kaynak ayrılması mümkün olmayacaktır. Yönetilmesine karar verilen önemli riskler için de bir önceliklendirme yapılması gerekecektir. Bir kısım riskler için önlem alınması diğerlerine göre daha öncelikli olabilecektir. Bu önceliklendirme sadece riskin önemlilik düzeyine göre yapılmamalı ki bu durumda bile bir kısım riskler aynı önemlilik düzeyinde olacağından kendi aralarında da bir önceliklendirmeye gidilmesi gerekecektir.

Ajans faaliyet yoğunluğu ve faaliyet takvimi bu önceliklendirmenin yapılmasında bir gösterge olarak kullanılabilecektir. Daha yakın takvimde gerçekleşecek faaliyetlere ilişkin riskler öncelikli olarak ele alınmalıdır.

Önceliklendirmede kullanılacak bir diğer etken de bilgi ve tecrübe birikimidir. Ajans çalışanlarının bilgi ve tecrübe birikimlerinin daha fazla olduğu alanlarda bulunan riskler öncelik sırasında geri planda bırakılabilirler. Bu sayede, Ajans çalışanlarının bilgi ve tecrübe sahibi olmadığı yani riske ve etkilerine karşı yabancı oldukları alanlardaki riskler daha öncelikli olarak ele alınabilecektir.

2.1.5        Önleyici Tedbirlerin Alınmasının Sağlanması

2.1.5.1       Tedbir Alınması Gerekli Risklerin Belirlenmesi

Risklerin yönetilmesi için mutlaka bir kontrol tedbiri alınması gerekmeyebileceği gibi, riskin yönetimi için gerekli kontrollerin maliyeti riskin ortaya çıkaracağı kayba kıyasla yüksek olabileceğinden önlem alınmaması daha etkin olabilecektir. Bu açıdan değerlendirildiğinde hangi riskler için önlem alınması yani kontroller tesis edilmesi gerektiği belirlenmelidir.

Düşük dereceli riskler için maliyet içeren herhangi kontrol tesis edilmemesi daha makuldür. Orta dereceli riskler için önlem alınıp alınmaması hususu söz konusu risklerin ait olduğu faaliyetleri yürütenlerle birlikte yapılacak değerlendirmelerde kararlaştırılmalıdır. Yüksek ve çok yüksek dereceli tüm riskler için ise mutlaka önlem alınmalı yani kontroller tesis edilmelidir.

2.1.5.2       Önleyici Tedbir ve Kontrollerin Önerilmesi

Riskler için önlem mahiyetinde kontrol tesis edilmesi bizzat risk yönetiminin sorumluluğunda olmamalıdır. Bu husus Ajans iç kontrol sistemi sorumluları tarafından yerine getirilmesi gereken yükümlülüklerdir. Ancak, risk yönetim sorumluları, risk ve etkileri hususlarında yeterli bilgi ve tecrübeye sahip olduklarından, gerekli gördükleri riskler için bir kısım kontrol önerilerinde bulunabilirler.

Ayrıca, bir kurumda risk yönetimi ve iç kontrol sistemlerinin aynı personelce yürütülmesi mümkündür. Bu durumda risklerin tespiti ile kontrollerin tesis edilmesi ardışık süreçler olarak aynı sistem içerisinde yürütülebilecektir.

2.1.5.3       Önleyici Tedbirlerin Etkilerinin İzlenmesi

Riskler için alınan önlemler, ister risk yönetimi tarafından isterse iç kontrol yönetimi tarafından önerilmiş olsun, yeterli olup olmadıkları bakımından Risk Yönetimi Sistemi çerçevesinde izlenmelidir.

İzleme çalışmaları da tıpkı risklerin tespiti çalışmalarında olduğu gibi önceliklendirme yöntemiyle yapılmalı, çok sayıda uygulama ve risk içeren hususlar gibi gerekli durumlarda örneklem yöntemi tercih edilmelidir.

İzleme sonuçları düzenli aralıklarla hem ilgili kontrolün sahiplerine –işi icra edenler- hem de Ajans yönetimine periyodik olarak raporlanmalıdır.

3           Kalkınma Ajansları İçin İç Kontrol Sistemi Önerisi

Ajans Genel Sekreterliği bünyesinde, kurum yönetimi ve yönetiminden sorumlu kişiler ile diğer ilgili personel tarafından; Kurumun amaçlarına ulaştığına, faaliyet ve işlemlerin etkin olarak değerlendirildiğine, Kanun ve düzenlemelere uyulduğuna dair makul bir güvence sağlamak üzere bir iç kontrol sistemi tasarlanır ve uygulanır.

Çalışmamızın önceki kısımlarında yer alan bilgiler çerçevesinde, Ajanslar için bir İç Kontrol Sisteminin temel unsurlarını aşağıdaki biçimde belirleyebiliriz;

İç Kontrol Politikasının Oluşturulması

·         İç Kontrol Sorumluluklarının Belirlenmesi

·         İç Kontrol Yönergesinin Hazırlanması

·         İç Kontrol Uygulama Takviminin Oluşturulması

Kontrollerin Belirlenmesi

·         Risk Bilgilerinin İncelenmesi

·         Kontrollerin Tasarlanması

·         Kontrollerin Süreçler ve İş Akışlarına Yerleştirilmesi

·         Kontrollerin Güncellenmesi

Kontrollerin İşletilmesi ve Test Edilmesi

·         Kontrollerin İşletilmesi

·         Kontrollerin Test Edilmesi

·         Test Sonuçlarının Raporlanması

3.1.1        İç Kontrol Politikasının Oluşturulması

Bir kurumda iç kontrollerin uygulanabilmesi için öncelikle iç kontrol kültürünün oluşturulması ve bu çerçevede kapsayıcı bir iç kontrol sisteminin kurgulanmış olması gereklidir. Bu da risk yönetiminde olduğu gibi temel olarak sorumlulukların tayin edilmesi ve temel usul ve ilkelerin belirlenmesi ile sağlanabilir.

3.1.1.1       Kontrol Kültürünün Oluşturulması

Kurumun her bir organının ayrı ayrı ve birlikte, kontrol kavramına bakışları ve kurumun süreçleri üzerindeki kontrollerin uygulamaları, kurumun organizasyon yapısı, geçmişi, kurumsal kültürü, çalışma usulleri, risk algılaması, yönetim felsefesi, sistemsel altyapısı ve hedefleri gibi unsurlar kurum kontrol kültürünü teşkil eder.

Kurum kontrol kültürünün geliştirilmesi amacıyla periyodik olarak toplu organizasyonlar gerçekleştirilmeli ve yapılacak organizasyonlar İç Kontrol Uygulama Takviminde detaylarıyla yer almalıdır.

3.1.1.2       İç Kontrol Sorumluluklarının Belirlenmesi

Ajans bünyesinde tüm çalışanlar tarafından sahiplenilmesi, sorumluluk üstlenilmesi ve uygulanması beklenen iç kontrol sisteminin yönetimi ve koordinasyonu sınırlı sayıda ve tecrübeli personel tarafından yerine getirilmelidir.

Risk yönetiminden farklı olarak tüm personelin bu konuda yeterli bilgi düzeyine sahip olması gereklidir ve sağlanmalıdır. Bu hususta meslek içi ve dışarıdan sağlanacak eğitim faaliyetleri ile personele destek olunmalıdır.

Risk yönetiminde olduğu gibi, Ajans bünyesinde iç kontrol sisteminden sorumlu personelin belirlenmesinin yanında Ajans çalışma birimleri bazında da birer İç Kontrol Birim Sorumlusunun belirlenmesi, Ajans sorumlu personelinin iç kontrol çalışmalarının koordinasyonunu sağlamasında etkinliği arttıracaktır. Kontrollerin tespitinde olduğu gibi işletilmesi aşamalarında da özellikle iletişimin sağlanması hususlarında söz konusu birim sorumlusu personel önemli görevler üstlenecektir.

3.1.1.3       İç Kontrol Yönergesinin Hazırlanması

İç kontrol sistemi ve çalışmalarına ilişkin usul ve esaslar ile amaç, yetki, sorumluluk gibi hususların risk yönetiminde olduğu gibi yazılı bir yönergede belirtilmesi, yapılacak iç kontrol çalışmalarının etkinliğini arttıracak, organizasyon içindeki yeri ve öneminin kavranmasını sağlayacak ve yapılan çalışmaların performansının değerlendirilmesi açısından da gerekli kriterleri oluşturacaktır.

Yazılı bir yönerge, hem iç kontrol çalışması yürüten sorumlular için, hem bu sürecin içinde her halükarda yer alan çalışanlar için hem de denetim çalışmaları için bir rehber niteliği taşıyacaktır.

İç kontrol yönergesi, uygulama detaylarını içermelidir. İç kontrol sisteminin amacı, kontrollerin tesis edilme aşamaları, test usul ve esasları, güncelleme uygulamaları, raporlama yöntemleri ile ilgili bilgiler içermeli ve tüm aşamalara ilişkin yetki ve sorumluluklara mutlaka değinmelidir.

3.1.1.4       İç Kontrol Uygulama Takviminin Oluşturulması

Risk yönetimi çalışmalarında olduğu gibi iç kontrol çalışmalarının uygulama takvimi de, Ajansın çalışma programında belirtilmiş olmalıdır. Bu nedenle, iç kontrol çalışmalarının ilgili yıl uygulama takviminin bir önceki yıl çalışma programı hazırlık çalışmaları esnasında belirlenmiş olması gerekmektedir. 

Takvim oluşturulurken Ajansın mutat faaliyetlerinin yoğun olacağı dönemler dikkate alınmalı, bu dönemler için mümkün olduğunca iç kontrol faaliyeti öngörülmemelidir.

Ayrıca, iç kontrol çalışmalarının tasarım ve test aşamalarının Ajansın mutat faaliyetlerinin yoğunluğunun başlamasından önce tamamlanması, geriye kalan güncelleme ve raporlanması aşamalarının ise bu yoğun dönemlerden sonra yürütülmesi daha etkin olacaktır.

3.1.2        Kontrollerin Belirlenmesi

3.1.2.1       Risk Bilgilerinin İncelenmesi

Kontroller risk unsurlarına bağlı olarak geliştirilecektir. Bu nedenle öncelikle riskler konusunda detaylı bilgiye ihtiyaç vardır. Bu bilgi, başarılı bir risk yönetim sistemi sonucunda ortaya çıkmış olacaktır.

Risk yönetim sistemi sonuçlarında yer alan ve üzerinde kontrol tesis edilmesi kararlaştırılan riskler, yapıları, olasılık ve etkileri açısından incelenmeli ve ilgili oldukları amaç ve hedefler üzerindeki olumsuz etkileri net bir biçimde anlaşılmalıdır.

Detaylı olarak incelenen riskler için aşağıdaki aksiyon kararlarından birisinin alınması gerekecektir;

·         Riski Kontrol Altında Tutma; Tesis edilecek kontroller eliyle riskin gerçekleşmemesi hususunda makul güvence sağlamak.

·         Riski Azaltma; Tesis edilecek kontroller eliyle riskin gerçekleşmesi durumunda etkisinin azaltılmasını sağlamak.

·         Riskten Kaçınma; Riskli faaliyeti ya da faaliyet yöntemini tamamen terk etmek.

·         Riski Transfer Etme; Sigorta ve benzeri uygulamalar aracılığıyla riski başka bir üstleniciye transfer etmek.

3.1.2.2       Kontrollerin Tasarlanması

Kontrol altına alınmak ve etkisi azaltılmak istenen riskler için kontroller tasarlanmalıdır. Tasarım çalışmaları iç kontrol sistem sorumlusunun koordinasyonunda olmak koşuluyla bizzat ilgili riskli faaliyeti yürütmekten sorumlu olan personel tarafından yapılmalıdır. Bu şekilde tasarlanan kontroller işletilme ve test aşamasında büyük kolaylık sağlayacağı gibi, riski önleme açısından da daha etkin olacaktır.

Kontrol tasarlanırken dikkat edilmesi gereken hususların başında fayda-maliyet dengesidir. Riskin gerçekleşme olasılığı tahmin edilmiştir ve ihtimal dahilinde de olsa bellidir. Kontroller ise bir kez süreç üzerine yerleştirildiğinde söz konusu süreç her işletildiğinde, ki bu sıklık Ajanslar için günde birkaç kez olabilir, çalıştırılmak zorunda kalınır. Bu nedenle, kontrolün tek başına maliyeti ile riskin olası kayıp ihtimalini doğrudan karşılaştırmak fayda-maliyet dengesini görmek bakımından yeterli olmayacaktır. Dolayısıyla, fayda-maliyet dengesi gözetilirken, kontrolün riskin gerçekleşmesi beklenen periyotta kaç defa işletildiği gözönünde bulundurularak, kontrolün hem ilk tesis edilme maliyeti hem de işletim maliyetleri dikkate alınmalıdır.

Ayrıca, kontroller tasarlanırken aşağıdaki kontrol türü tasniflerinden hangisinin uygulanmasının gerekli olduğuna da doğru olarak karar verilmelidir;

·         Önleyici Kontrol; Süreçler üzerinde risk gerçekleşmeden önceki aşamalarda tesis edilen kontrollerdir. Amaç, risk içeren faaliyet adımı sonlanmadan önce riskin gerçekleşme ihtimalini minimize etmektir.

·         Tespit Edici Kontrol; Süreçler üzerinde risk gerçekleştikten sonraki aşamalarda tesis edilen kontrollerdir. Amaç, risk gerçekleştiyse bunu zaman kaybetmeden tespit etmek ve şimdiki ve gelecek zaman için gerekli önlemlerin alınmasını sağlamaktır.

·         Yönlendirici Kontrol; Süreçler üzerinde risk unsuru taşıyan faaliyet adımları üzerine eşanlı olarak tesis edilen kontrollerdir. Süreçler üzerindeki hata yapılma olasılığı yüksek olup risk içeren adımların yürütülmesi esnasında ilgili faaliyeti yürüten personel veya sistemin yönlendirilmesini sağlayan kontrollerdir.

Kontroller de kendi arasında önemlilik Kontrol noktasının etkinliğinin sağlanması için; süreçler üzerinde yazılı olmasına, bilgi sistemine entegre olmasına, işlemlerin yoğunluğuna uygun sıklıkta tesis edilmesine, uygulayıcısının belli olmasına, test edilmeye uygun olmasına, benzer süreçler üzerinde benzer kontrollerin bulunmasına, mükerrerliğe yer vermemesine ve işlemlerin etkin yapılmasına engel olmamasına dikkat edilmelidir.

3.1.2.3       Kontrollerin Süreçler ve İş Akışlarına Yerleştirilmesi

Tasarlanan kontroller süreçler ve iş akışları üzerine “Kontrol” nitelemesiyle birlikte yerleştirilmeli ve bu kontroller bizzat sürecin bir parçası olarak görülmelidir. İş akışları üzerinde istendiği an kontroller görülebilmelidir.

Kontroller süreçler ve iş akışları üzerine yerleştirildiğinde aynı zamanda ilgili olunan fonksiyon, amaç ve hedefler de ortaya çıkmış olmaktadır. Bu bilgiler kullanılmak suretiyle kapsamlı bir “Kontrol Matrisi”(Tablo 3) oluşturulmalıdır. Bu sayede, kontroller, nitelikleri, test sıklıkları, test usulleri, ilgili oldukları riskler, önem dereceleri, faaliyetler, fonksiyonlar, amaç ve hedefler, kontrol sorumluları, kontrol kanıtları gibi bilgiler toplu olarak izlenebilecektir.

Kontrol Matrisi hazırlanmasının bir diğer yararı da kontrol çalışmalarının sonuçlarının topluca izlenmesine olanak sağlaması ve yine bu sonuçların raporlanması aşamalarında kolaylıklar sunmasıdır.

3.1.2.4       Kontrollerin Güncellenmesi

Ajans faaliyetleri zaman içerisinde değişiklik gösterebilecektir. Bu yöndeki her bir değişiklik faaliyetlerin taşıdığı riskleri ve kontrol gerekliliklerini değiştirecektir. Ayrıca, çevresel bir kısım koşulların değişmesi de Ajans faaliyetlerinin risk ve kontrol gerekliliğini değiştirecektir. Bu nedenlerle, risk bilgileri ile birlikte kontrol tasarımları ve test usulleri de periyodik olarak gözden geçirilmeli gerekli görülenler güncellenmelidir.

Gözden geçirme ve güncelleme aşamaları da ilk tasarım aşamalarında olduğu gibi icracı personelle birlikte yürütülmelidir.

Kontrol Matrisleri güncellenirken dikkat edilmesi gereken bir husus da, güncelleme öncesi verilerin arşivlenmesi, güncelleme zamanı, güncelleyen personel gibi bilgilerin de kayda geçirilmesi gerekliliğidir. Aksi halde, dönemsel olarak yürütülen çalışmalardaki farklı uygulamaların kaynağı anlaşılamayacak ve dönemsel karşılaştırmalar anlamını yitirebilecektir.

3.1.3        Kontrollerin İşletilmesi ve Test Edilmesi

3.1.3.1       Kontrollerin İşletilmesi

Kontroller tesis edilip süreçler ve iş akışları üzerine yerleştirildikten sonraki aşama bizzat kontrollerin işletilmesidir. Kontroller, söz konusu kontrollerin ait olduğu süreçleri yürütmekten sorumlu personel eliyle bizzat sürecin bir parçası olarak yürütülmelidir. Kontrollerin işletilmesi ilgili personelin ve yöneticilerinin sorumluluğundadır.

Kontrollerin, içinde bulundukları sürecin yapısına göre; günlük, haftalık, aylık, yıllık ve hatta bir defalık sıklıklarla işletilmeleri mümkündür.

3.1.3.2       Kontrollerin Test Edilmesi

Kontrollerin işletilip işletilmediği ve doğru işletildikleri hususları faaliyet sonuçlarının incelenmesi ve ilgili kontrollerin test edilmesi suretiyle anlaşılabilecektir.

Test işlemleri, bizzat süreçler gözlemlenerek, süreç sonuç dokümanları incelenerek ve süreç sahipleri ile mülakat yapılarak gerçekleştirilebilir.

Test yapılacak kontrol noktası ile ilgili tüm işlemlerin incelenmesi doğru ve etkin bir yol olmayacaktır. Bu nedenle test çalışmalarında örneklem yöntemi uygulanması gerekmektedir. Örneklemler seçilirken, kontrolün işletilme sıklığı dikkate alınmalıdır. İncelenecek örnek sayısı ile ilgili aşağıdaki kıstaslar kullanılabilecektir;

·         Her gün işletilen kontrollerin testi için yıl bazında 20 örnek

·         Haftada bir işletilen kontrollerin testi için yıl bazında 10 örnek

·         Ayda bir işletilen kontrollerin testi için yıl bazında 3 örnek

·         Üç ayda ve yılda bir işletilen kontrollerin testi için yıl bazında 1 örnek

·         Bir defaya mahsus işletilen kontrollerin testi eşzamanlı olarak

Test sonuçlarını doğrulamak amacıyla her bir örnek için mutlaka test kanıtı oluşturulmalı ve test sonuçları ile birlikte arşivlenmelidir. Denetim kanıtı olarak aşağıdaki dokümanlar kullanılabilir;

·         Sistem çıktıları

·         Kontrol listeleri

·         İşleme ilişkin tutanaklar

·         Kontrol çalışmasına ilişkin tutanaklar

·         Manuel oluşturulan tablolar

·         Matbu dokümanlar

·         Karar tutanakları

·         Resmi yazılar

·         Analiz çalışması dosyaları

·         Ekran görüntüleri

·         E-postalar

3.1.3.3       Test Sonuçlarının Raporlanması ve İzlenmesi

İç Kontrol bulgularının tespiti ve raporlanması kadar takibi de önemlidir. Yönetimin bu hususlarda yeteri kadar zaman ve kaynak tahsis edememesi, bulgunun içerdiği riskin düzeyini yeterince algılayamaması gibi nedenlerle gerekli önlemler zamanında alınamayabileceğinden etkin bir bulgu takip mekanizması gerekecektir.

Test sonuçları, birim iç kontrol sorumluları tarafından Kontrol Matrisi üzerine işlenmelidir. Bu sayede takip ve raporlama kolaylığı sağlanacaktır.

Kontrol Matrisi üzerine işlenen test sonuçları, İç Kontrol Sistem Sorumlusu tarafından bir araya getirilerek test çalışmalarının tamamlanma takviminden hemen sonra Ajans Yönetimine raporlanmalıdır.

Test sonuçlarına ilişkin iç kontrol raporlarında asgari olarak test edilen kontrol noktası sayısı, kontrol noktası işletilmesi performans bilgisi, kontrol eksikliği tamamlama performans bilgisi, tamamlanması muhtemel görünmeyen eksiklik bilgileri ve nihai durumdaki kontrol edilen ve edilemeyen risk durumu bilgileri bulunmalıdır.

Yapılan testler sonucunda, Ajans İç Kontrol Sistemi Sorumlusu tarafından, tespit edilen eksiklikler ve kontrol zaafları için birim iç kontrol sorumlularından iyileştirme aksiyonu taahhütleri alınmalı ve bu taahhütler de Kontrol Matrisi üzerine işlenmelidir.

İyileştirme aksiyonları mutlaka izlenmelidir. İzleme faaliyetleri de iç kontrol sistemi sorumlusu tarafından gerçekleştirilmelidir. İzleme çalışmaları sonucunda tespit edilen gelişmeleri Kontrol Matrisi üzerine anlık olarak işlenmeli ve izleme sonuçları da belirli periyotlarla Ajans yönetimine raporlanmalıdır.

SONUÇ

Kalkınma Ajanslarının başarısı için kurumsallaşmaya verilen önem derecesinde Kurumsal Risk Yönetimi ve İç Kontrol Sistemine de önem verilmelidir. Bu iki sistem kurumsallaşmanın temel yapılarını teşkil edecekleri gibi diğer kurumsal yapıların ve daha önemlisi karar mekanizmalarının da etkinliğini sağlayacaktır.

Ajans yönetimi, Kurumsal Risk Yönetimi ve İç Kontrol Sisteminin tesis edilmesi ve işletilmesi yönünde mevzuatın gereklerine uymanın ötesinde iradelerini ortaya koymalıdırlar. Kurumsa her yapıda olduğu gibi Kurumsal Risk Yönetimi ve İç Kontrol Sistemi uygulamalarının başarısı da öncelikle yönetimin desteğiyle doğru orantılıdır.

Kurumsal Risk Yönetimi ve İç Kontrol Sistemlerinin tesisi, işletilmesi, etkin olması ve organizasyon içerisinde kabulünün diğer bir teminatı da Ajansların tabi olduğu denetim çalışmalarıdır. Mevzuat bu husus üzerinde yeteri kadar durmuş ve her bir denetim çalışmasından Ajansların Kurumsal Risk Yönetimi ve İç Kontrol Sistemi hususlarında da değerlendirmelerde bulunmaları istenmiştir.

Son olarak ifade edilmesi gereken bir husus ise, Kurumsal Risk Yönetimi ve İç Kontrol Sistemi uygulamalarının her ne kadar bir ekip tarafından koordine bağlamında yönetilmesi söz konusu ise de gerçekte bu süreçlerin işletilmesi ve etkinliği tüm çalışanların sorumluluğundadır. Çalışanlar başta risklerden korunarak hedeflere ulaşmak olmak üzere bu sistemlerden elde edecekleri tüm faydalara ulaşmak amacıyla bu süreçleri benimsemeli ve desteklemelidir.

Kaynakça

  1. KALKINMA AJANSLARININ KURULUŞU, KOORDİNASYONU VE GÖREVLERİ HAKKINDA KANUN, 5449 Sayılı, Resmi Gazete, Sayı: 26074, 08 Şubat 2006.
  2. KALKINMA AJANSLARI BÜTÇE VE MUHASEBE YÖNETMELİĞİ, Resmi Gazete, Sayı: 26303, 28 Eylül 2006.
  3. KALKINMA AJANSLARI DENETİM YÖNETMELİĞİ, Resmi Gazete, Sayı: 27308, 03 Ağustos 2009.
  4. KALKINMA AJANSLARI PROJE VE FAALİYET DESTEKLEME YÖNETMELİĞİ, Resmi Gazete, Sayı: 27048, 08 Kasım 2011.
  5. TAMER, Ahmet, “Kalkınma Ajanslarının Türk Hukuk Sistemi İçindeki Yeri”, DPT Uzmanlık Tezi, Ankara 2010
  6. TAMER, Ahmet, “Kalkınma Ajansları Mevzuatı”, Ankara 2012
  7. T.C. MALİYE BAKANLIĞI STRATEJİ GELİŞTİRME BAŞKANLIĞI, 5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, 2010, Ankara.
  8. CERAN, Yunus (2010), “Kalkınma Ajanslarında İç Denetim”, Niğde Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, C:3, S:2, Niğde, s. 19-34
  9. EROĞLU, Müzeyyen, KUM, Melike, (2010), “Türkiye’de Kalkınma Ajanslarının İdari Teşkilat İçindeki yeri”, Erciyes Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, Sayı: 35, s. 175-198
  10. DERİCİ, Onur, TÜYSÜZ, Zekeriye, SARI, Aydın,  “Kurumsal Risk Yönetimi ve Sayıştay Uygulamaları”, Sayıştay Dergisi, Sayı: 65 (Özel), s. 151-172
  11. EMHAN, Abdurrahim, (2009), “Risk Yönetim Süreci ve Risk Yönetmekte Kullanılan Teknikler”, Atatürk Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, C:23, Sayı: 3, s. 209-220
  12. KOÇBERBER, Seyit,  “Kalkınma Ajansları ve Sayıştay Denetimi”, Sayıştay Dergisi, Sayı: 61, s. 37-55
  13. SAYIŞTAY DENETİM YÖNETMELİĞİ, Resmi Gazete, Sayı: 28145, 17 Aralık 2011
  14. T.C. Sayıştay Başkanlığı, Düzenlilik Denetimi Rehberi, Haziran 2011
  15. Province of British Columbia,  http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf
  16. ARPACI, Altar Ömer, “Vergi Denetimi Ve Gelir İdaresinin Yeniden Yapılanması”, <http://www.alomaliye.com/altar_omer_vergi_denetimi.htm>, (2012)
  17. ATAMAN, Başak (2010) “Türkiye’de Kamu Denetimi Ve Kamu Denetçilerine Genel Bakış”, Maliye Finans Yazıları, Yıl:24, Sayı 87, s 17-26)
  18. IIA (Ocak 20120), “Uluslararsı  İç Denetim Standartları Uluslararası Mesleki Uygulama Çerçevesi”, TİDE, İstanbul.
  19. TBMM, “5449 Sayılı Kalkınma Ajanslarının Kuruluşu, Koordinasyonu ve Görevleri Hakkında Kanun Genel Gerekçesi”, http://www2.tbmm.gov.tr/d22/1/1-0950.pdf, (2012)
  20. CAN, Ergüder (2011), “Bölgesel Kalkınmada Kalkınma Ajanslarının Rolü, İzmir Kalkınma Ajansı Örneği”, Altın Nokta Yayınevi, İzmir