Değerli okurlar, bildiğiniz üzere bu köşeden ele aldığım konularda mali mevzuat ve denetim hususuna ağırlık vererek yazmaya çalışıyorum. Benimde başkan yardımcısı olduğum Yönetim Danışmanları Derneğinde (www.ydd.org.tr) birlikte çalıştığımı yönetim danışmanı arkadaşlarım “iç kontrol ve risk yönetimi” üzerine makale yazmamı istemeleri üzerine, diğer bir deyimle talep üzerine bu makaleyi sizlerle paylaşıyorum.
İç Kontrol Nedir?
İç kontrol, bir kurumun varlıklarını koruma, mali raporlama süreçlerinin doğruluğunu sağlama, operasyonel verimliliği artırma ve yasalara ve düzenlemelere uyumu sağlama amacıyla uyguladığı politika ve prosedürler bütünüdür.
İç kontrol sisteminin temel bileşenleri şunlardır:
1. Kontrol Ortamı: Kurumun kültürünü, etik değerlerini ve yönetim felsefesini belirler. Üst yönetimin kontrol ortamını desteklemesi, diğer kontrol bileşenlerinin etkinliğini artırır.
2. Risk Değerlendirmesi: Kurumun hedeflerine ulaşmasını engelleyebilecek risklerin belirlenmesi ve değerlendirilmesidir. Bu süreç, risklerin tanımlanması, analiz edilmesi ve önceliklendirilmesini içerir.
3. Kontrol Faaliyetleri: Riskleri yönetmek için uygulanan spesifik politikalar, prosedürler ve aktiviteler bütünüdür. Bu faaliyetler, yetkilendirme, onaylama, doğrulama, mutabakat, varlıkların korunması gibi işlemleri kapsar.
4. Bilgi ve İletişim: Kurum içi ve dışı bilgilerin doğru, zamanında ve uygun kişilerle paylaşılmasını sağlar. Etkin bir bilgi ve iletişim sistemi, iç kontrol süreçlerinin sağlıklı işlemesini destekler.
5. Gözetim: İç kontrol sisteminin etkinliğinin düzenli olarak izlenmesi ve değerlendirilmesidir. Bu süreç, iç denetimler, dış denetimler ve yönetim gözden geçirmelerini içerir.
Risk Yönetimi Nedir?
Risk yönetimi, bir kurumun hedeflerine ulaşmasını etkileyebilecek potansiyel olayların belirlenmesi, değerlendirilmesi ve bu risklerin minimize edilmesi veya yönetilmesi sürecidir.
Risk yönetimi süreci temel bileşenleri şunlardır:
1. Risk Tanımlama: Kurumun karşılaşabileceği potansiyel risklerin belirlenmesi. Bu adımda, stratejik, operasyonel, mali ve yasal riskler gibi çeşitli risk türleri tanımlanır.
2. Risk Değerlendirme: Tanımlanan risklerin olasılık ve etkilerinin analiz edilmesidir. Bu analiz sonucunda, risklerin kurum üzerindeki potansiyel etkileri belirlenir.
3. Risk Yanıtları: Belirlenen risklere karşı alınacak önlemlerin planlanması ve uygulanmasıdır. Bu yanıtlar riskin kabul edilmesi, transfer edilmesi (sigorta gibi), azaltılması veya tamamen ortadan kaldırılması şeklinde olabilir.
4. Risk İzleme ve Raporlama: Risk yönetimi sürecinin etkinliğinin düzenli olarak izlenmesi ve raporlanmasıdır. Bu aşama, risklerin sürekli olarak gözden geçirilmesini ve gerekli iyileştirmelerin yapılmasını sağlar.
İç Kontrol ve Risk Yönetimi Arasındaki İlişki
İç kontrol ve risk yönetimi, birbirini tamamlayan ve destekleyen süreçlerdir. İç kontrol sistemleri, risk yönetimi sürecinin bir parçası olarak, belirlenen risklere karşı kontrol faaliyetleri geliştirir ve uygular.
Risk yönetimi ise, iç kontrol sistemlerinin etkinliğini değerlendirerek, kontrol faaliyetlerinin yeterli olup olmadığını ve yeni risklerin ortaya çıkıp çıkmadığını izler.
Bu iki süreç, bir kurumun hedeflerine ulaşmasını engelleyebilecek potansiyel tehditleri minimize etmek için birlikte çalışır.
Etkin bir iç kontrol ve risk yönetimi sistemi, kurumların daha sürdürülebilir ve dirençli olmasını sağlar.
