Kamu sektörü kuruluşları, siber tehditlerden bütçe kısıtlamalarına ve uyumluluk endişelerine kadar çeşitli risklerle karşı karşıyadır. Devlet sektöründeki iç denetim ekipleri tüm bu riskleri çözmekten sorumlu olmasa da, ilgili risk yönetimi protokollerini uyguladıklarından emin olmaları gerekir.
Bu nedenle, bu risklerin neye benzediğini anlamak için iç denetim ekiplerinin iç denetim risk değerlendirmeleri yapması önemlidir.
İç Denetçiler Enstitüsü’ne (Institute of Internal Auditors-IIA) göre; “Riske dayalı denetim, iç denetim faaliyetinin çabalarını kuruluşun en önemli riskleriyle ilgili güvence ve danışmanlık hizmetleri sağlamaya odaklamasını sağlar. Riske dayalı denetim yoluyla, iç denetim faaliyeti, üst yönetime ve yönetim kuruluna, kuruluşun risk yönetimi süreçlerinin yeterli olup olmadığını ve iyi yönetişim, risk yönetimi ve kontrol yoluyla kurumsal hedeflere nasıl daha iyi ulaşılabileceğini anlamasına yardımcı olur. Bu, iç denetçilerin risk ve risk yönetimi ile ilgili temel kavramlar.” (<https://www.theiia.org/en/products/learning-solutions/course/fundamentals-of-risk-based-auditing/ > erişim tarihi 07 Ağustos 2022)
Bu yazıda, kamu sektörü iç denetçilerinin daha iyi risk temelli denetim (risk-based audit) planları oluşturmasına yardımcı olacak beş ipucu incelenmektedir ki, bunlar şunlardır:
Hedeflerin tanımlanması
Bir iç denetim risk değerlendirmesi yürütmenin ayrıntılarına çok fazla saplanmadan önce, bir adım geri atıp, neyin başarılmaya çalışıldığının düşünülmesi gerekir. Bunu yapmak, denetim ekibi içinde ve diğer paydaşlarla iç uyumu bulmayı gerektirir. İç denetimin değer katabileceği yaklaşım veya diğer faaliyetlerin belirlenmesi için, iç denetim ekipleri, süreci açıklamak, sonuçlar için beklentileri belirlemek ve arzu edilen sonuçları dinlemek için çeşitli paydaş gruplarıyla (yönetim, denetim komitesi ve yönetim organı) bir araya gelmelidir.
Verilerin düzenlenmesi
Bir iç denetim risk değerlendirmesi yapmak da güçlü veri uygulamaları gerektirir. Ancak, temel riskleri belirlemek için veri analitiğinin kullanıldığı bir yere varmadan önce, kamu sektörü kuruluşlarının genellikle verilerini düzenlemeleri gerekir. Bilgi, analizi etkisiz değilse de etkisiz hale getiren çeşitli sistemlerde tutulabilir. Bu konudaki araçlar, yönetişim, risk ve uyumluluk (governance, risk, and compliance-GRC) sistemleri ve kurumsal kaynak planlama (enterprise resource planning-ERP) araçları gibi farklı kaynaklardan gelen verileri bir araya getirmek için bir veri alışverişi API (Application Programming Interface/Uygulama Programlama Arayüzü) çerçevesi kullanır ve kuruluş içinde neler olduğuna dair eksiksiz bir resim sunar.
Çevik olunması
Yol boyunca herhangi bir geri bildirim almadan riske dayalı bir denetimden geçildiğinde, yoldan çıkmak kolaydır. Birincisi, riskler denetimin başladığı andan sona erdiği vakte kadar değişmiş olabilir. Ve risk değerlendirmesinin sonunda paydaş liderlere sunum yapıldığında, onların geri bildirimlerinin iç kontrol ve güvence süreçlerine dâhil edilmesi zor olabilir. Çevik denetime katılmak buna yardımcı olabilir. Kamu sektörü iç denetçileri, bir iç denetim risk değerlendirmesini daha yönetilebilir parçalara bölerek -farklı risk alanlarının kısa sprintlerde planlamadan sunum aşamalarına geçtiği yerlerde- değişime uyum sağlamak ve geri bildirimleri dâhil etmek için daha kolay bir zamana sahip olabilir.
Dinamik olunması
Çevik denetim, dinamik bir iç denetim risk değerlendirmesi oluşturur. Bu değerlendirmelere yıllık bir olay olarak yaklaşmak yerine, kamu sektörü riskleri daha sürekli olarak gözden geçirilebilir.
Bu, iyi veri paylaşım uygulamalarının da kullanışlı olduğu ortaya çıkan risklere ayak uydurmak için yıl boyunca diğer departmanlarla işbirliği yapmak anlamına gelir. Dinamik veya sürekli risk değerlendirmeleri, daha sık raporlama yapılmasına neden olabilir, böylece bu herkesi döngüde tutabilir ve zamanında geri bildirim alınabilir. Bununla ilgili ekipler, risk puanlamasının basitleştirilmesine ve verimli denetim raporları oluşturulmasına yardımcı olabilecek güçlü bir iç denetim risk değerlendirme aracına sahip olmak büyük bir fark yaratır.
Kamu sektörü yükümlülüklerine ayak uydurulması
Son olarak, devlet sektöründe iç denetimde çalışmak, belirli kamu politikası yönergelerini ve düzenlemelerini karşılamanın yanı sıra, siber güvenlik ve finansal kaygılar gibi genel risklerin üstünde kalmak anlamına gelir. Kamu sektörü iç denetçileri genellikle, bir devlet kurumu olarak iç denetimi güçlendirmek için ne yapılması gerektiğinin öğrenilebilmesi amacıyla web seminerleri ve diğer Uzman Görüşleri gibi kaynak sağlayıcılara başvururlar.
Bu beş ipucunun takip edilmesiyle, güçlü bir iç denetim risk değerlendirmesi ve genel olarak daha iyi bir denetim süreci oluşturmak için uzun bir yol kat edilebilir. Kamu kuruluşu pek fazla riskle karşı karşıya değil gibi görünse bile, riske dayalı bir denetim yapmak, risk seviyesindeki herhangi bir değişiklikten haberdar olunmasına yardımcı olabilir. Hazırlıksız yakalanmak yerine, güvenilir bir iç denetim risk değerlendirme planı oluşturmak, kamu kuruluşunun riski kontrol etmesine yardımcı olabilir.
Önemli Not:
Bu yazıda yer alan görüşler yazarına ait olup çalıştığı kurumu bağlamaz, yazarın çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Yazıdaki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler yazarına aittir.
