Establishing Da Management Roles of Quality Assurance System Info on Performance Evaluation of the Department of Audit Shall Min?

Kalite Güvence Sisteminin Kurulmasında Yönetim Rolleri

Denetim Bölümünün performansını müşteri mi değerlendirmelidir?

Ramazan ayına veda edip Bayramı idrak etmek üzere olduğumuz şu günlerde bu yazımızın konusunu iç denetim yazınında COSO (Committee of Sponsoring Organizations of Treadway Commission) olarak ifade edilen olgunun ne anlama geldiği, ne işe yaradığı, neden önemli olduğu ve denetim mesleği ile iştigal edenler başta olmak üzere muhataplarına nasıl bir fayda sağladığına değinmek amacıyla belirledik. Yazımızda amaçladığımız; herkes tarafından bilinen ve ifade edilen COSO tanım ve açıklamalarından ziyade farklı bir bakış açısı kazandırmak ve COSO’nun uygulama konusundaki detaylarına dikkat çekmektir. İdeal bir iç kontrol sisteminin tesisi için genel bir çerçeve ve önemli ipuçları veren ve fakat olayın uygulaması sırasında detaylı bir şekilde izahat verilmeyen COSO’nun bileşenleri dikkate alınarak, bileşenler bazında en özet haliyle ideal bir iç kontrol sisteminin olmazsa olmazları açıklanmaya çalışılacaktır.

Denetim yeni trendler

Denetim organizasyonel yapısı küçüldü, artık denetim bölümünde yer alan herkes her işi belli bir dereceye kadar gerçekleştirebilmekte, bölümler bazında (operasyonel- finansal) denetim ayrışması ortadan kalktı, IT denetimi için spesifik kişiler istihdam etmek yerine IT denetimi de yapabilen kişilerin istihdamına gidilmekte.

Bağımsız denetim faaliyetleri ile eşgüdüm düzeyi artırılmakta, bağımsız denetim faaliyetleri öncesi özellikle iç kontrol sisteminin değerlendirilmesi de dahil hem iç denetim bağımsız denetime hem de bağımsız denetim iç denetime veri girişi sağlamakta, bağımsız denetim faaliyetleri sonrası ortaya çıkan AJE ve RJE farklar iki denetim birimi arasında konuşularak tartışılmaktadır.

İç denetimin danışmanlık fonksiyonu ayrı bir denetim raporu şeklinde yazılmaktansa mevcut iç denetim raporları içerisinde belirtilmektedir.

• Belirli tarihlerde roadshow yapıp, Grup yöneticilerimize son dönem denetim faaliyetleri, yenilikleri, değişiklikler konusunda çalışmalar ve tanıtım faaliyetleri gerçekleştirilmektedir.
• Her yıl denetim faaliyet raporu hazırlanmaktadır. Denetimin vermek istediği mesajlar içerisinde yer almaktadır.
• Her yıl stratejik plan gerçekleştirilmektedir. Denetim planı içerisindedir ama buna ek olarak nereden nereye gelindiği, ne yapılması planlandığı konularına dikkat çekilmektedir. Stratejik hedeflerimiz Grup ve idealler ile uyumludur.
• Faaliyet raporu ile stratejik plan birbirisi ile çakıştırılır.
• Üçlü savunma hattı önemlidir. Yönetim- Danışmanlık- Denetim
• Vergi, IT denetim gibi konularda örneğin Anadolu Efes- Coca Cola İçecek gibi spesifik alanlarda Holding tarafından destek alınmaktadır.
• Aksiyon kabul yüzdesi raporun ilk giriş kısmında bulunmaktadır.
• İç denetim bölümlerinde çalışanlara yönelik geliştirilen Liderlik Geliştirme Programı mevcut.
• İç denetim bölümleri çalışanları açısından iç denetim bölümü kariyerleri için bir sıçrama taşı.
• İç denetim faaliyetleri sırasında dünya üzerinde birçok yerde görev alıp, farklı coğrafya ve operasyonlarda kapsamlı tecrübe sahibi olmaktalar.
• Yaklaşık 400 personel görev almakta ve ciddi bütçelere sahipler, gelişim ve yenilenme için.
• İç denetim bölümüne ait çok kapsamlı bir intranet siteleri mevcut, sadece denetim personeli ve faaliyetlere ilişkin genel bilgi değil denetim personeli istihdam etme bölümü bile mevcut.
• Denetim faaliyetlerinde herhangi bir özel yazılım kullanılmamakta.
• GE sisteminde iç kontrol birim yöneticileri de bulunduğu için takip denetimlerine gittiklerinde örnekleme bir şekilde sonuçları değerlendiriyorlar.

• Risk yönetimi CRO düzeyinde temsil edilmektedir.
• Yönetim kurulunda bağımsız üyeler bulunmakta ve geniş bir yönetim kuruluna sahiptir.
• SOX 404 kapsamında etkin bir iç kontrol sistemine sahipler.
• İç kontrol yöneticileri dışında her çalışanın işinin bir parçası olarak da iç kontrol sorumlulukları mevcut.

• AT&T gibi yapılar güçlü ve organize bir mali işler yapısına sahip olduğu için, aynı zamanda denetim sonuçlarının doğrudan finansal tablolara olan etkisinin ortaya çıkardığı sorumluluk gereği Denetim bölümü CFO’ya raporlama yapmaktadır.
• Yaklaşık 150 personele sahip ve %15-20 civarı IT denetimi odaklı.
• Genellikle iç denetim ve iç kontrol tecrübesi olan personel istihdam edilmektedir.
• İç denetim birimlerinde yetişen personel başka bölümlere transfer olmakta, bu iç denetim yöneticilerinin performans değerlendirmesi ve önerileri doğrultusunda gerçekleştirilmektedir.
• Herhangi bir iç denetim yazılımı kullanılmamakta ama yönetim için TeamMate’den yararlanılmaktadır.
• Çeşitli sektörel tecrübeleri olan ve halihazırda da başka şirketlerde çalışmaya devam eden profesyonel yöneticiler bağımsız yönetim kurulu üyesi olarak çalışmaktadır.
• SOX 404 çerçevesi kapsamında iç kontrol faaliyetleri yerine getirilmektedir.
• İç kontrol birimi CFO’ya bağlıdır.
• Oracle sistemi mevcut Hyperion üzerinden konsolidasyon yapılmaktadır.

• İç kontrol bölümü, kontrollerin dizaynı ve yeniden dizaynı konularında çalışıyor. Değişen ve gelişen iş konularında yeniden dizayn edilen kontrol noktaları oluyor. Tasarlanan kontrol noktalarının düzgün çalışıp çalışmadığının testi ise ise dışarıdan hizmet alınarak sağlanıyor.
• İç kontrolün başındaki kişi, controller’a raporlama yapıyor, controller ise CFO ya raporluyor. Bunlar dışında yılda 4 kez, denetim komitesine iç kontroller hakkında raporlama yapılıyor.
• İşin ve süreçlerin alanı ve özelliğine göre de ana riskli alanlar belirlenip, anahtar kontroller oluşturuluyor.
• İç kontrol süreçlerinin tamamını kapsayacak bir bilgisayar programı kullanmıyorlar.
• İç kontrol tasarlarken, kontrol süreci ve noktaları ekstre bir iş yükü olarak algılanmamalı çalışanlar tarafından. İş sürecinin doğal bir akışı olarak yürütülmeli.
• Süreç sahipleri kendi iç kontrol sistemlerini kendileri test edip, peer review şeklinde raporlamaları kendileri yapabiliyorlar. (kendi iç denetimlerini kendileri yapıyorlar gibi)
• Internal audit CFO ya bağlı olduğu için tam bağımsız değil ama CFO denetim raporuna müdahale edemez, eder ise denetim komitesinde konu gündeme gelir.
• İç kontrollerde oluşan sorunları denetimden saklama, üst makamlara bidirmeme şeklinde bir durum olamaz. Öyle bir kültür yok ve bulgular bir çok farklı kademede ve konumda çalışan tarafından imzalanıyor. Kendi aramızda halledelim olayı yok. Bunun dışında CFO, süreçlerden sorumlu olmadığı için böyle bir şey talep etmesine de gerek yok.
• Farklı birimlerden farklı pozisyonlarda çalışan herkes birbirine her an ulaşabilir durumda ve kontrollerde ki suiistimalleri bildirebilir.
• Etik biriminden her yıl çalışanlara mail geliyor, bir durum var mı şeklinde. Bunun dışında hot line mevcut.

• Denetçiler, denetim biriminden 4- 5 yıl sonra ayrılıp farklı şirketler de farklı birimlerde çalıştıktan sonra denetim müdürü olarak görev alabiliyorlar. Şu anki 4 müdürden 3 ü bu şekilde. Denetim biriminde şirket için liderler yetiştiriliyor. Denetçiler genellikle 4 yıldan sonra farklı birimlerde çalışmak için görevlendiriliyorlar.
• Takip denetimleri gerçekleştiriliyor ve tüm bulgulara yeniden bakılıyor. Random seçme ya da en riskli alanlara tekrar bakılması gibi bir durum yok. Testler sıfırdan yapılıyor.
• Denetçiler ERP sistemlerin kurulumunda rehber danışman konumunda oluyorlar. ERP programları alınmadan önce denetimden onay alıyorlar.

İÇ KONTROL

-Bunun dışında da yılda 2 kere,  şirketin doğru iç kontrollere sahip olup olmadığı hakkında toplantı yapılıyor.

-Süreç sahipleri ile sürekli iletişim halinde olunup, belirlenen kontrol noktalarının anlaşıldığı ve uygulanabildiği, anahtar kontrolleri sağlayıp sağlayamadıkları konusunda konuşulup görüşülüyor.

-İç kontrol bölümü , kontrollerin dizaynı ve yeniden dizaynı konularında çalışıyor. Değişen ve gelişen iş konularında yeniden dizayn edilen kontrol noktaları oluyor.