KAMUDA RİSK YÖNETİM KÜLTÜRÜNÜN GELİŞTİRİLMESİ
Kuruluş olarak belirlenen stratejik iş hedeflerine ulaşmak, sahip olunan varlıkları korumak, suiistimalleri önlemek, etkin performans yönetimi ve yasal gerekliliklere uyumu sağlamak için etkin bir iç kontrol sisteminin oluşturulması ve bu sistemin sürekli bir şekilde iyileştirilmesi önemlidir. Etkin bir iç kontrol sisteminin oluşturulması ve işletilmesi için ise iş hedeflerine ulaşmada engel teşkil edecek risklerin tespit edilerek etkili kontrollerle yönetilmesi önem taşımaktadır.
İç kontrol kavramı kamuya ilk olarak 2003 yılında yayımlanan 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile girmiştir. Bu kanunda iç kontrol ; ‘’idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür’’ şeklinde tanımlanmıştır. 2014 yılında yayımlanan Kamu İç Kontrol Rehberinde ise iç kontrol; ‘’Uluslararası düzeyde kabul gören iç kontrol, kurumun hedeflerine ulaşması için makul güvence sağlamak üzere tasarlanmış olan bir sistemdir’’ şeklinde tanımlanmıştır. İç Kontrol, 5018’ de kontroller bütünü, rehberde ise sistem olarak tanımlanmıştır. Terminolojik olarak iç kontrolün herkes tarafından doğru bir şekilde anlaşılması, ortak bir bakış açısı ve kültür kazanılması bakımından iç kontrolün iç sistem olarak ifade edilmesi daha doğru olacaktır. İç denetim ise iç kontrol sisteminin etkin ve verimli çalıştığını risk esaslı bir denetim anlayışı ile izleyen ve iç kontrol sisteminin sürekli iyileştirilmesi ile kuruma katma değer sağlayan bir fonksiyondur. Yani iç kontrol bir sistem, iç denetim ise bu sistemin bir fonksiyonudur.
İç sistemin en iyi bilinen ve kabul gören modeli COSO modelidir. Bir kuruluşta iç kontrol sistemin iskeletini ortaya koyan COSO modeli; kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi-iletişim ve izleme olmak üzere 5 bileşen üzerine kurulmuştur. Bu modelin bileşenlerinden risk değerlendirme ve izleme bileşenleri iç sistemin fonksiyonu olan iç denetimde de yer almaktadır. İç denetim metodolojisi; risk esaslı olarak denetimi planlama, uygulama, raporlama ve izleme şeklindedir. İç denetim, risk esaslı planlama ve izleme metodolojisi ile klasik denetim anlayışından farklılaşır.
COSO modelindeki risk değerlendirme bileşeni; risklerin tespit edilmesi ve değerlendirilmesi, risklere cevap verilmesi, gözden geçirme-izleme ve raporlama süreçlerini içeren risk yönetim sürecini tanımlar. Risk değerlendirme sürecinde risk kavramının doğru bir şekilde anlaşılması ve tanımlanması, riskin doğru bir şekilde yönetilmesi bakımından büyük önem taşımaktadır. Risk kavramı Kamu İç Kontrol Rehberinde ‘’ amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar ‘’ şeklinde ifade edilmiştir. Risk kavramının birçok değişik tanımı bulunmaktadır. İç sistem açısından riskin; ‘’bir varlık üzerinde bulunan boşluğun ya da açığın bir tehdit tarafından sömürülerek varlık üzerinde zarar meydana getirme olasılığının ve etkisinin birlikte değerlendirilmesi’’ şeklinde tanımlanması daha doğru olacaktır. Bu tanımı bir senaryo ile açıklamak gerekirse; yağmur yağma ihtimali yüksek bir günde bir kişinin yanına şemsiye almadan işine yürüyerek gitmesi güzel bir örnek olabilir. Bu senaryoda; işyerine ulaşmak=amacı, kişi=varlığı, yağmur=tehdidi, şemsiye= önlem ya da kontrolü ifade etmektedir. Etki ise kişinin hastalanması ve sonucunda işine devam edememesi olarak ifade edilebilir. Batı toplumlarına nazaran bizim toplumda risk esaslı yaşam kültürünü benimsemek oldukça zordur. Türk toplumu olarak periyodik check-up yaptırmaktan pek hoşlanmayız ve bu alışkanlık toplumumuzda pek yerleşmemiştir. Oysa check-up yaptırmak ciddi hastalıkların erken teşhisinde, erken aksiyon alınmasında ve hastalığın daha ileri seviyelere ilerlemeden iyileştirilmesinde önemli rol oynar. İç denetimi iç sistemin check-upı olarak değerlendirebiliriz. İç denetim, iç sistemdeki risklere yanıt olarak kullanılan iç kontrollerin etkinliğini ölçen ve iç kontrol sistemi izleyen bir fonksiyonu olduğu için risklerin daha açığa çıkmadan engellenmesi ve olumsuzluklara karşı önceden aksiyon alınması bakımından son derece önemli bir faaliyettir. Özellikle sistem içerisindeki süreçlere entegre edilen ve sürekli otomatik denetim sağlayan gömülü modüller ile sağlanan kayıtlarının iç denetçi tarafından değerlendirilmesi, günümüzde önemi artan ve hızlı aksiyon alınmasına imkan veren çevik denetim anlayışının yerleşmesi ve gelişmesi bakımından önemlidir.
Risk yönetim süreci, Kamu İç Kontrol Rehberinin ikinci bölümü olan risk değerlendirme başlığı altında ayrıntılı açıklanmaktadır. Etkin bir iç kontrol sisteminin kurulması ve işletilmesi etkin bir risk yönetim sürecinin oluşturulması ile başlar. Etkin bir risk değerlendirme süreci sonucunda, uygun ve etkili kontrollerin uygulanması sağlanacak ve böylece kuruluşun iş hedeflerine ulaşması ve iş sürekliliği sağlanacaktır. Bundan dolayı risk yönetim sürecini kurumdaki diğer süreçler gibi ele alıp bu sürecin standartlaşması ve sürekli iyileştirilmesi amaçlanmalıdır. Bundan dolayı risk yönetim sürecinde, PUKÖ yönteminin kullanılması faydalı olacaktır. PUKÖ, süreçlerde sürekli iyileştirmeyi amaçlayan bir döngüdür. PUKÖ döngüsündeki aşamalar sırasıyla; planla, uygula, kontrol et ve önlem al aşamalarıdır. Bu aşamalar planla; stratejiye göre süreçleri(proses) oluştur ve düzenle, uygula; süreçleri işlet, kontrol et; süreçlerin amaçları karşıladığını teyit et, ölç ve raporla, önlem al; süreçleri sürekli iyileştir şeklinde ifade edilebilir. Katılımcı düşünce tarzı olan PUKÖ döngüsü sadece risk yönetim sürecinde değil tüm süreçlerin standartlaşmasına ve sürekli bir şekilde iyileştirilmesine katkı sağlayacak ve arzulanan seviyede bir iç kontrol sisteminin oluşmasına imkân verecektir.
Kuruluş, tüm süreçlerde olduğu gibi risk yönetim sürecinde de hangi seviyede olduğunu bilmeli, hangi seviyeye erişmeyi amaçladığını ve o seviyeye erişmek için ne tür uygulamaları geliştirmesi gerektiğini görebilmeli ve kendisi için bir yol haritası çizebilmelidir. Bu amaçla tüm süreçlerde kullanılabileceği gibi risk yönetim sürecinde de Olgunluk Seviyesi Modeli kullanılabilir. 5 temel seviyenin olduğu modelde, hangi seviyede olunduğu belirlenmeli ve en üst seviye olan 5. seviyeye ulaşarak sürecin optimize edilmesi amaçlanmalı ve bunun için yol haritası belirlenmelidir.
Süreç Olgunluk Seviyeleri
(1) Başlangıç; süreçlerin nasıl işlediği tam olarak bilinemiyor.
(2) Yönetilen; süreçler önceden planlanmış bir şekilde işletilmekte, ölçülmekte ve kontrol edilebilmektedir.
(3) Tanımlanmış; süreçlerin nasıl işleyeceği iyice anlaşılmış olup prosedürlerde, standartlarda, kullanılan araçlarda ve yöntemlerde tanımlanmıştır.
(4) Sayısal olarak yönetilen; süreçlerin performansı ve kaliteli işleyişi istatiksel olarak ölçülebildiği ve tüm süreç boyunca yönetilebildiği için “tahmin edilebilir” durumdadır. Süreçlerde kullanılan formlar bu aşamaya girdi sağlar.
(5) İyileştirilen (optimum durumda); süreçler içerisinde bulunan her türlü değişimlere yol açan her türlü sebep sayısal olarak izlenebilmekte ve anlaşılmakta olup sürekli iyileştirmeye girdi sağlamaktadır.
Siber tehditlerin giderek arttığı günümüzde bilgi teknolojilerine ilişkin risklerin yönetilmesi önem arz etmektedir. Kuruluşun sahip olduğu bilgi kaynaklarının siber ve diğer tehditlere karşı korunması ve bu konudaki risklerin yönetilmesi çok önemlidir. Kamu İç Kontrol Rehberinin dördüncü bölümünde yer alan Bilgi Güvenliği kısmında kuruluşun sahip olduğu bilgi varlıklarının bütünlüğünün, gizliliğinin ve erişilebilirliğinin sağlanması amacıyla Bilgi Güvenliği Yönetim Sisteminin(BGYS) kurulmasının gerekliliğinden bahsedilmektedir. Bu konuda dünyada kabul görmüş ISO 27001 Bilgi Güvenliği Yönetim Sistemi standartlarının tüm kamu kurumlarınca uygulanması çalışmalarının, risk yönetme kültürünün kamuda yerleşmesinde önemli katkı sağlayacaktır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kuruluştaki tüm birimleri kapsayacak şekilde kurulacağı gibi sadece bir birim değerlendirmeye alınarak da kurulabilir. Ancak ISO 27001 Bilgi Güvenliği Yönetim Sisteminin, kuruluşun bilgi işlem birimindeki süreçleri ve diğer kritik bilgi varlıklarını kapsayacak şekilde ele alınarak kurulması çok önemlidir ve gereklidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi oluşturma safhaları; bilgi varlıklarının envanterinin çıkarılması, bu varlıklar üzerindeki risklerin tanımlanması, kontrol hedeflerinin belirlenmesi, iş sürekliliği ve felaket kurtarma planlarının oluşturulması, olay müdahale planının oluşturulması şeklindedir. Bu çalışmalarda risklerin doğru tespiti ve uygulanacak etkin kontrollerin belirlenmesi önemlidir. Bilgi İşlem birimindeki süreçlerin ve bilginin sahibi olan personelce bu çalışmaların yürütülmesi hem etkin bir risk yönetiminde hem de BGYS’ nin sürekli iyileştirilmesi, izlenmesi ve devamlılığının sağlanmasını bakımından önemlidir. BGYS’ nin kurulum çalışmalarında bilgi işlem personelince kazanılan tecrübelerin diğer birimlerle paylaşılması, risk değerlendirme sürecinin standartlaşmasında ve riski yönetme kültürünün gelişmesinde önemli katkı sağlayacaktır.
Hayatımızdaki olaylara risk odaklı yaklaşmak, istediğimiz hedeflere ulaşmamızda araç olacaktır ve bize fayda sağlayacaktır. Yaşantımızda mutluluğumuza engel olacak faktörleri tespit edip bu faktörleri ortadan kaldırarak ya da minimize ederek mutlu olma hedefine ulaşabiliriz. Dolayısıyla günlük hayatımızdaki olaylara risk odaklı yaklaşım tarzı, iş hayatımıza da yansıyacak ve riski yönetme kültürümüze katkı sağlayacaktır. İç kontrol sisteminin en önemli bileşenlerinden biri olan risk değerlendirmede, risklerin doğru ve gerçekçi bir şekilde değerlendirilmesi ve yönetilmesi etkin bir iç kontrol sistemini oluşturacaktır. İç denetim fonksiyonu ise iç kontrol sisteminin etkinliğini ölçerek ve sistemin check-upını yaparak sistemin sürekli iyileştirilmesine katkı sağlayacaktır.
Ümit KAÇAR
İç Denetçi, CISA
Kaynaklar
- 5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu
- Kamu İç Kontrol Rehberi
- Bankaların Operasyonel Risk Yönetimi Olgunluk Seviyelerinin Oryos Endeksi ile Ölçülmesi. (Hasan Aykın, M.Hasan Eken)
