Eylül 2021’de Sayıştay’ın Merkez Bankasında yaptığı denetimin raporu yayınlandı. Denetimlerin dayanağı 6085 no’lu Sayıştay Kanunu, uluslararası denetim standartları, Sayıştay ikincil mevzuatı ve denetim rehberleridir olarak belirlenmektedir. Denetimin temel amacıysa kamu idaresinin mali tabloları ile bunları oluşturan hesap ve işlemlerinin doğruluğu, güvenilirliği ve uygunluğuna ilişkin denetim kanıtı elde etmek; uygun denetim prosedürleri ve tekniklerinin uygulanması ile risk değerlendirmesi yöntemiyle gerçekleştirmektir. Zaten ilgilisi bu denetim raporlarını hiç kaçırmadan inceler ancak, bizler özel sektörün paydaşları bu denetim raporunu nasıl okumalıyız, rapordan neler öğrenmeliyiz, gelişim aracı olarak nasıl kullanmalıyız bu ay bunu değerlendirelim istiyorum.
İlgili denetim raporunu incelediğiniz zaman uluslararası standartlara da uygun olarak hazırlandığını göreceksiniz. Bu standartlara uyum sayesinde hem rapor üçüncü kişiler tarafından da rahatlıkla anlaşılır olmakta hem de bir süre sonra bu tarz raporlardan faydalanma oranınızı artmaktadır.
Merkez bankası raporu özeline dönersek, şirketinde bir iç kontrol yapısı olan ekipler için ilk bakılması gereken bölüm “İç Kontrol sisteminin değerlendirilmesi”. İç kontrol nasıl yapılanmış, hangi denetim modellerini esas almış, hangi uluslararası standartlara uyum gösteriyor, hangi yasal düzenleme tarafından yönlendiriliyor ve hangi operasyonları uyguluyor öğrenebilirsiniz. Raporu incelediğinizde göreceksiniz ki TCMB’nin çok güçlü yapılandırılmış bir iç kontrol sistemi var. The Institute of Internal Auditors (IIA) tarafından yayımlanan Uluslararası İç Denetim Mesleki Uygulama Standartları ve Etik İlkeleri, Comittee of Sponsoring Organizations (COSO) Kurumsal Risk Yönetimi ve uluslararası geçerliliği bulunan farklı denetim modelleri esas alarak denetim yapılmaktadır. Bu sayılan kurumlar tarafından yayımlanan uygulama standartları, etik ilkeler dünyada en geçerli ve en etkin kabul edilenler olduğunu söyleyebilirim.
Standartlaşma ile birlikte rapordan anlaşıldığı üzere TCMB’de denetim süreçlerinde dijital dünyaya uyum göstermek adına AUTOAUDIT adında denetim yönetim yazılımı kullanılmaya başlanmış ancak hali hazırdaki yazılım yeterli bulunmadığı için yeni bir yazılım için çalışmalara başlanmıştır.
En ilgimi çeken ayrıntı ise “66 denetçisi bulunan birimde bilgi teknolojileri denetimi, iç denetim, süreç denetimi ve diğer banka ve finansal kuruluşların zorunlu karşılıklarına yönelik denetimler yapılmakta olup, denetçilerin 44’ü CIA sertifikasına sahiptir.”
66 denetçinin 44’ü CIA sertifikası sahibi olması biz özel sektör çalışanları için – akreditasyon sürecinde olan veya çok büyük kurum kuruluşları ayırarak söylüyorum - ciddi bir yetkinlik göstergesidir. Peki, nedir bu CIA sertifikası? CIA (Certified Internal Auditor) uluslarası bir sertifika olup, 3 basamaklı zorlayıcı sınavlar sonucunda elde edilebilen, mesleki yeterliliği kanıtlamak için çok yeterli bir sertifikadır. Özetle raporun bu maddesini okuduğumuzda net bir şekilde çok yetkin bir denetim kadrosu olduğunu anlıyoruz.
Buraya kadar iç denetim / iç kontrol sistemleri ile ilgili çalışan tüm meslektaşlarımın “vay be” diyebileceği yorumları okuduk. Sistem başarı ile kurulmuş, standartlar yürürlükte, yetkinliğini kanıtlamış bir denetim ekibi çalışıyor. Hatta danışmanlık faaliyeti almak isteyen kurumlara diyebilirim ki bu raporu okuyun anlatılan sistemi şirketinize kurun mükemmele yakın bir iç kontrol sisteminiz olur.
Sistem harika dedik, denetim ekibi yetenekli ve yetkin peki raporun en can alıcı bölümü “6. Bölüm: Denetim Görüşü” nasıl? Sayıştay bu sistemin sonuçlarını nasıl değerlendirmiş?
Sayıştay raporuna göre 12 adet ciddi bulgu raporlanmış. Benim için çok şaşırtıcı, ancak hep anlattığımız gibi iç kontrol sistemi için çok olağan bir durum. Şimdi biraz düşünelim, bu kadar başarılı bir sistem - çoğu kurum kuruluş için “benchmark” olarak değerlendirilmektedir – bir üst denetim geçiriyor ve 12 adet kritik olduğu düşünülen bulgu bulunuyor. Bulguların tek tek üzerinden geçtiğimizde bulguların risklerinin ne kadar yüksek olduğunu, bazı bulgular için şaşırtıcı basit eksikliklerden kaynaklandığını görebiliyoruz. Örneğin, bu kadar ayrıcalıklı bir sistemde imza sürecinde ve evrak arşivlemede sıkıntı olduğunu anladığımız bulgu 3 gibi.
“Sayıştay denetimine sunulan ödeme emri belgeleri ve eklerinin büyük çoğunluğunun asıl ya da nüsha niteliğinde olmadığı, bir bütün şeklinde ve eksiksiz sunulmadığı ayrıca bazı muhasebe kayıtlarına ilişkin muhasebe işlem fişlerinin yer almadığı ve muhasebe işlem fişlerinin hiçbirisinde yetkili ve sorumluların imzalarının bulunmadığı görülmüştür.”
Başka bir konu ise, iç kontrol sisteminiz ne kadar iyi olursa olsun birinci hattınızın önemi. Birinci hat dediğimiz hattı kısaca hatırlatırsam, operasyonunuzu yöneten ekipler yani riskin esas sahipleridir. Rapordan örnekleyecek olursak Bulgu 7: Muhasebe Sisteminin Birim ve Bilişim Sistemi Anlamında Parçalı Yapıda Olması detaylı incelediğimizde çok net birinci savunma hattı güçsüzlüğü raporlandığını görüyoruz. Diyebilirsiniz ki e o kadar övdün övdün iç kontrol yapısını, iç kontrol yapısı iç denetimde bu zafiyeti neden yakalayamadı? TCMB’de kaynak sebep nedir bilemem ama benim piyasa içinde sıklıkla rastladığım bir durum var; işletme körlüğü. Yani, yıllardır süre gelen yapınızı ne kadar incelerseniz inceleyin, denetlerseniz denetleyin bazı noktaları yakalayamayabilirsiniz. Çünkü o durum, ya da o eksiklik, sizin gerçeğiniz olmuştur ve onunla yaşamak size riskli gelmez. İşte bu noktada da bağımsız denetimin dışarıdan alınacak danışmanlığın öneminden bahsederiz. Sisteminize sizin dışınızdan birinin bakması da çok önemlidir.
Kamuoyunun ilgisini çeken bir diğer madde ise BULGU 2: 237 Sayılı Taşıt Kanunu’na Ekli (1) ve (2) Sayılı Cetvellerde Yer Almayan Makamlar için Silindir Hacmi 1600 cc Üzerinde ve/veya Yerli Muhteva Oranı %50 Oranının Altında Kalan Yabancı Menşeli Makam Aracı Kiralanması. Bulguyu okuduğunuzda hem kiralanan araçlarda hem de tahsis edilen kişilerde uygunsuzluk olduğunu göreceksiniz. Sayıştay’ın başarısı mı yoksa TCMB İç kontrol sisteminde tanımlanamamış bir sıkıntı mı var bilemiyorum ancak çok iyi bildiğim bir konu var; bazı riskler küçük organizasyonlarda neredeyse yok gibiyken organizasyon büyüdükçe basit ama önemli riskler çok can sıkıcı hal alabilirler.
Belki her bulgu üzerine ayrı ayrı bir yazı yazılır ama benim esas dikkati çekmek istediğim nokta şu; TCMB gibi herkesin gözünün üzerinde olduğu bir kurumda, Türkiye’nin belki en yetkin ekipleri ile sisteminizi kuruyorsunuz. Sisteminizin en etkin şekilde çalıştığını düşünüyorsunuz ancak bağımsız bir göz tarafından yapılan denetimde 12 adet kritik bulgulu bir raporunuz oluyor. Şimdi dönüp kendi organizasyonunuza baktığınızda iç kontrol sisteminiz hakkıyla çalışmıyorsa ve ekiplerinizin yetkinliği ile ilgili şüpheleriniz varsa şunu düşünüyor musunuz “sizin başınıza kim bilir neler geliyor ama haberiniz bile olmuyor?”
Yorum Ekle
Yorumlar
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Web.tv
Nazlı Merve Taş
Sayıştay raporundan neler öğrenebilirsiniz?
İlgili denetim raporunu incelediğiniz zaman uluslararası standartlara da uygun olarak hazırlandığını göreceksiniz. Bu standartlara uyum sayesinde hem rapor üçüncü kişiler tarafından da rahatlıkla anlaşılır olmakta hem de bir süre sonra bu tarz raporlardan faydalanma oranınızı artmaktadır.
Merkez bankası raporu özeline dönersek, şirketinde bir iç kontrol yapısı olan ekipler için ilk bakılması gereken bölüm “İç Kontrol sisteminin değerlendirilmesi”. İç kontrol nasıl yapılanmış, hangi denetim modellerini esas almış, hangi uluslararası standartlara uyum gösteriyor, hangi yasal düzenleme tarafından yönlendiriliyor ve hangi operasyonları uyguluyor öğrenebilirsiniz. Raporu incelediğinizde göreceksiniz ki TCMB’nin çok güçlü yapılandırılmış bir iç kontrol sistemi var. The Institute of Internal Auditors (IIA) tarafından yayımlanan Uluslararası İç Denetim Mesleki Uygulama Standartları ve Etik İlkeleri, Comittee of Sponsoring Organizations (COSO) Kurumsal Risk Yönetimi ve uluslararası geçerliliği bulunan farklı denetim modelleri esas alarak denetim yapılmaktadır. Bu sayılan kurumlar tarafından yayımlanan uygulama standartları, etik ilkeler dünyada en geçerli ve en etkin kabul edilenler olduğunu söyleyebilirim.
Standartlaşma ile birlikte rapordan anlaşıldığı üzere TCMB’de denetim süreçlerinde dijital dünyaya uyum göstermek adına AUTOAUDIT adında denetim yönetim yazılımı kullanılmaya başlanmış ancak hali hazırdaki yazılım yeterli bulunmadığı için yeni bir yazılım için çalışmalara başlanmıştır.
En ilgimi çeken ayrıntı ise “66 denetçisi bulunan birimde bilgi teknolojileri denetimi, iç denetim, süreç denetimi ve diğer banka ve finansal kuruluşların zorunlu karşılıklarına yönelik denetimler yapılmakta olup, denetçilerin 44’ü CIA sertifikasına sahiptir.”
66 denetçinin 44’ü CIA sertifikası sahibi olması biz özel sektör çalışanları için – akreditasyon sürecinde olan veya çok büyük kurum kuruluşları ayırarak söylüyorum - ciddi bir yetkinlik göstergesidir. Peki, nedir bu CIA sertifikası? CIA (Certified Internal Auditor) uluslarası bir sertifika olup, 3 basamaklı zorlayıcı sınavlar sonucunda elde edilebilen, mesleki yeterliliği kanıtlamak için çok yeterli bir sertifikadır. Özetle raporun bu maddesini okuduğumuzda net bir şekilde çok yetkin bir denetim kadrosu olduğunu anlıyoruz.
Buraya kadar iç denetim / iç kontrol sistemleri ile ilgili çalışan tüm meslektaşlarımın “vay be” diyebileceği yorumları okuduk. Sistem başarı ile kurulmuş, standartlar yürürlükte, yetkinliğini kanıtlamış bir denetim ekibi çalışıyor. Hatta danışmanlık faaliyeti almak isteyen kurumlara diyebilirim ki bu raporu okuyun anlatılan sistemi şirketinize kurun mükemmele yakın bir iç kontrol sisteminiz olur.
Sistem harika dedik, denetim ekibi yetenekli ve yetkin peki raporun en can alıcı bölümü “6. Bölüm: Denetim Görüşü” nasıl? Sayıştay bu sistemin sonuçlarını nasıl değerlendirmiş?
Sayıştay raporuna göre 12 adet ciddi bulgu raporlanmış. Benim için çok şaşırtıcı, ancak hep anlattığımız gibi iç kontrol sistemi için çok olağan bir durum. Şimdi biraz düşünelim, bu kadar başarılı bir sistem - çoğu kurum kuruluş için “benchmark” olarak değerlendirilmektedir – bir üst denetim geçiriyor ve 12 adet kritik olduğu düşünülen bulgu bulunuyor. Bulguların tek tek üzerinden geçtiğimizde bulguların risklerinin ne kadar yüksek olduğunu, bazı bulgular için şaşırtıcı basit eksikliklerden kaynaklandığını görebiliyoruz. Örneğin, bu kadar ayrıcalıklı bir sistemde imza sürecinde ve evrak arşivlemede sıkıntı olduğunu anladığımız bulgu 3 gibi.
“Sayıştay denetimine sunulan ödeme emri belgeleri ve eklerinin büyük çoğunluğunun asıl ya da nüsha niteliğinde olmadığı, bir bütün şeklinde ve eksiksiz sunulmadığı ayrıca bazı muhasebe kayıtlarına ilişkin muhasebe işlem fişlerinin yer almadığı ve muhasebe işlem fişlerinin hiçbirisinde yetkili ve sorumluların imzalarının bulunmadığı görülmüştür.”
Başka bir konu ise, iç kontrol sisteminiz ne kadar iyi olursa olsun birinci hattınızın önemi. Birinci hat dediğimiz hattı kısaca hatırlatırsam, operasyonunuzu yöneten ekipler yani riskin esas sahipleridir. Rapordan örnekleyecek olursak Bulgu 7: Muhasebe Sisteminin Birim ve Bilişim Sistemi Anlamında Parçalı Yapıda Olması detaylı incelediğimizde çok net birinci savunma hattı güçsüzlüğü raporlandığını görüyoruz. Diyebilirsiniz ki e o kadar övdün övdün iç kontrol yapısını, iç kontrol yapısı iç denetimde bu zafiyeti neden yakalayamadı? TCMB’de kaynak sebep nedir bilemem ama benim piyasa içinde sıklıkla rastladığım bir durum var; işletme körlüğü. Yani, yıllardır süre gelen yapınızı ne kadar incelerseniz inceleyin, denetlerseniz denetleyin bazı noktaları yakalayamayabilirsiniz. Çünkü o durum, ya da o eksiklik, sizin gerçeğiniz olmuştur ve onunla yaşamak size riskli gelmez. İşte bu noktada da bağımsız denetimin dışarıdan alınacak danışmanlığın öneminden bahsederiz. Sisteminize sizin dışınızdan birinin bakması da çok önemlidir.
Kamuoyunun ilgisini çeken bir diğer madde ise BULGU 2: 237 Sayılı Taşıt Kanunu’na Ekli (1) ve (2) Sayılı Cetvellerde Yer Almayan Makamlar için Silindir Hacmi 1600 cc Üzerinde ve/veya Yerli Muhteva Oranı %50 Oranının Altında Kalan Yabancı Menşeli Makam Aracı Kiralanması. Bulguyu okuduğunuzda hem kiralanan araçlarda hem de tahsis edilen kişilerde uygunsuzluk olduğunu göreceksiniz. Sayıştay’ın başarısı mı yoksa TCMB İç kontrol sisteminde tanımlanamamış bir sıkıntı mı var bilemiyorum ancak çok iyi bildiğim bir konu var; bazı riskler küçük organizasyonlarda neredeyse yok gibiyken organizasyon büyüdükçe basit ama önemli riskler çok can sıkıcı hal alabilirler.
Belki her bulgu üzerine ayrı ayrı bir yazı yazılır ama benim esas dikkati çekmek istediğim nokta şu; TCMB gibi herkesin gözünün üzerinde olduğu bir kurumda, Türkiye’nin belki en yetkin ekipleri ile sisteminizi kuruyorsunuz. Sisteminizin en etkin şekilde çalıştığını düşünüyorsunuz ancak bağımsız bir göz tarafından yapılan denetimde 12 adet kritik bulgulu bir raporunuz oluyor. Şimdi dönüp kendi organizasyonunuza baktığınızda iç kontrol sisteminiz hakkıyla çalışmıyorsa ve ekiplerinizin yetkinliği ile ilgili şüpheleriniz varsa şunu düşünüyor musunuz “sizin başınıza kim bilir neler geliyor ama haberiniz bile olmuyor?”