yonu gerçekleştiren bu birimler, kendi |
hatların kolektif çalışmasıyla daha |
veya reaktif olarak takip edildiği bir |
|
süreçlerindeki riskleri en iyi bilen ve |
doğru ve bütüncül bir resmin ortaya |
model olmaktan çıktığını ve bununla |
|
kontrolleri de bilfiil uygulayan taraf- |
çıkmasını kolaylaştırır. |
birlikte proaktif ve öngörülebilir şekil- |
|
tır. Hiçbir departman veya dış denetçi |
de sistematik olarak yönetilen bir mo- |
||
kontrollerin etkinliğini ve eksikliğine |
Temel bileşenler |
del haline geldiğini görürüz. |
|
|
bağlı riskleri iş birimi kadar iyi bilemez. Tam bu yüzden, kontrollerin yalnızca uygulanması değil, belirli aralıklarla test edilmesi ve iyileştirilmesi için aksiyonların alınması da yine birinci hattın sorumlulukları arasında gösterilir.
İkinci hat olarak uyum fonksiyonu, uyum risk değerlendirilmelerine ilişkin metodolojiyi belirler, rehberlik eder ve süreci izler. Uyum ekipleri riskleri iş birimleri adına yönetmez; şirket için en uygun metodolojiyi hazırlar, iş birimlerine rehberlik eder ve tutarlılığı sağlar. Üçüncü hat olan iç denetim ise bağımsız güvence sağlar ve uyum risk değerlendirme çalışmalarının etkinliğini değerlendirir.
|
Etkili bir sistematik uyum risk analizi aşağıdaki temel bileşenlerden oluşur:
• Risk envanteri ile risklerin açık şekilde tanımlanması,
• Her risk için mevcut kontrollerin belirlenmesi,
• Risk ve kontrol sahipliğinin net şekilde belirlenmesi,
• Sürece tüm iş birimlerinin dahil edilmesi,
• Etki ve olasılık değerlendirmesi ile risklerin derecelendirilmesi( Örn. Yüksek, Orta, Düşük),
• Kontrol testlerinin belirli aralıklarla tekrarlanması ve sonuçların değerlendirilmesi,
• Gelişime açık alanlar için aksiyon planlarının oluşturulması ve takibi,
• Sürecin periyodik olarak tekrarlanması.
|
Kontrollerin test edilmesi ve değerlendirilmesi
Kontrollerin yalnızca yazılı olarak politika
veya prosedürlerde yer alması
uyum risklerinin etkin bir şekilde
yönetildiği anlamına gelmez. Burada
önemli olan, bu kontrollerin gerçekten
çalışıp çalışmadığının düzenli olarak
test edilmesi ve test sonuçlarının iş
birimleri tarafından değerlendirilmesidir
. Bu testler sayesinde, kontrol
ortamı sadece teorik olarak takip edilmez
, fiili olarak da kontrol edilir. Örneğin
, şirket politikası gereği 100.000
TL üzerindeki tüm ödemeler için iki
imza kontrolü tasarlanmış olabilir. Ancak
mevcut kontrolü test ettiğimizde,
bazı ödemelerin parçalara bölünerek
100.000 TL altına indirildiği ve bu sayede
ikinci onay alınmadan gerçekleş-
|
41 |
tirildiğini tespit edebiliriz. Bu durum |
|||
Bu çerçeve hem rol ve sorumlulukla- |
Bu bileşenler etkin şekilde bir araya |
bize kontrolün kâğıt üzerinde var ol- |
|
rın daha net biçimde ortaya konmasını |
getirildiğinde, uyum risklerinin yöne- |
duğunu ancak fiilen beklenen şekilde |
|
sağlar hem de uyum risklerinin bütün |
timinin sadece risklerin tariflendiği |
çalışmadığını gösterir. |
|
Kontrollerin yalnızca yazılı |
|||
olarak politika veya prosedürlerde |
|||
yer alması uyum risklerinin |
|||
etkin bir şekilde yönetildiği anlamına |
|||
gelmez. Burada önemli |
|||
olan, bu kontrollerin gerçekten |
|||
çalışıp çalışmadığının düzenli |
|||
olarak test edilmesi ve test |
|||
sonuçlarının iş birimleri tarafından |
|||
değerlendirilmesidir. |