YEREL YÖNETİMLERDE RİSK ODAKLI DENETİM

Mahalli müşterek nitelikli hizmetlerin vatandaşlara en yakın yerlerde görülmesi amacıyla merkezi idare tarafından kurulan ve ayrı bir tüzel kişilik ihdas edilen belediyelerimizde, gelişen ve dolayısıyla farklılaşan çağımızda hizmet sunumunun daha etkili ekonomik ve verimli bir şekilde yerine getirebilmesi gereğini ortaya çıkartmış ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile de gerekli düzenlemeler yapılmıştır Mezkur Kanunun getirdiği yeniliklerden bir diğeri de risk odaklı denetim anlayışıdır. İç denetim faaliyetleri, kurumun maruz kalabileceği risklerin tespit edilmesi sonucunda iç denetim planı ve programı hazırlanmak suretiyle gerçekleştirilir Kamu mali yönetiminde risk yönetimi kavramı yeni olup, bu kavramla neyin ifade edildiğinin anlaşılması açısından, riskin tanımlanmasına ihtiyaç vardır.

Tanımlar

Türk Dil Kurumuna göre Risk ; "Zarara uğrama tehlikesi ve iktisadi karar birimlerinin verecekleri kararlar sonucunda ortaya çıkacak getiriyi olumsuz etkileyebilecek olayların gerçekleşme olasılığı", bir diğer tanımda "olayların gerçekleşme olasılığının bilindiği durum", olarak tanımlanmıştır. Alternatif kelimeler ise riziko ve belirsizliktir.

Risk Değerlendirmesi (Risk Evaluation); yönetim tarafından oluşturulan ve uygulanan risk yönetim sisteminin ve süreçlerinin yeterliliğinin ve etkinliğinin değerlendirilmesidir. İç denetim birimince belirlenecek nesnel risk analizlerine dayanılarak yönetim ve kontrol yapıları değerlendirme konusu yapılmaktadır.

Harcama yapılırken, gelir toplanırken ya da borçlanırken yasayla verilen yetkinin koyduğu sınırlara ve amaca önemli bakımlardan uyulmaması olasılığının denetim yöneticisince değerlendirilmesi ve karara bağlanması sürecidir. Yapılması amaçlanan incelemelere ilişkin olarak alınacak muhtelif kararların değerlendirilmesi ve önem derecesine göre sıralanması için olası hataların önem derecesi, denetlenebilirlik, zamanın uygun olup olmadığı gibi hususlar göz önünde bulundurularak yapılan bir denetim planlaması aşamasıdır.

Risk Göstergeleri (Risk Indicators); Muhtemel risk alanlarının teşhis araçlarıdır. Faaliyet raporları, yayınlanmış geçmiş yıllar denetim sonuçları, kuruluşu ziyaret, personel ile görüşmeler, yıllık bütçe tahminleri, iç denetim sonuçları parlamento ilgisi ve medya ilgisi risk göstergeleri olarak sıralanabilir.

Risk Odaklı Denetim ; yönetimi yukarıda da belirtildiği üzere idarenin işlevleri sırasında ortaya çıkabilecek risklerin önceden dikkatli bir biçimde ve ayrıntıları ile tanımlanıp değerlendirilmesi ve bu riskleri minimize ederek, önlemlerin alınması olarak tanımlamıştık Risk odaklı denetimde öncelikle risklerin belirlenmesi gerekir, ikinci adımda, tanımlanan risklerin gerçekleşme olasılıkları ve gerçekleşmeleri durumunda kuruma yükleyeceği ile ilgili değerlendirmeler yapılır. Bu değerlendirme ışığında riskler gruplandırılarak alınacak tedbirler belirlenir. Denetim planları risk derecelerine göre oluşturulur. Bilindiği üzere geleneksel mali ve idari denetimimiz, mevzuata aykırı işlemleri, hata suistimal ve kayıpları takip eder. Bu olumsuz sonuçları ortadan kaldırmaya yönelir. Söz konusu bu olumsuz sonuçlar, onları üreten mali ve idari sistemin bazı zaaflarından kaynaklanmaktadır. Sistemin aksayan yönleri belirlenip, gerekli tedbirler alınmadığı sürece, hatalar üretilmeye, denetim örgütleri de bu hataları ortaya çıkarmaya çalışır. Bu durum söz konusu aksayan durumların süreklilik arz etmesine neden olur. Risk odaklı denetim de bu noktada önem kazanmaktadır. Geleneksel mali ve idari denetimin bu yaklaşımını tamamlayıcı bir işlev üstlenerek, hatalı sonuçlara değil, onları üreten sistemin aksayan yönlerini belirleme ve yok etme üzerine yoğunlaşarak, sistemin hatalı çıktı üretmesini engellemeye çalışır. Bir başka deyişle, geleneksel mali ve idari denetimin tedavi edici hekimlik rolü yerine, risk denetimi, koruyucu hekimlik rolünü benimseyerek, daha sağlıklı bir mali ve idari sistemin oluşmasına katkıda bulunmayı hedefler. İç denetim birimleri, mali, idari sistem ve kontrol mekanizmalarının risk, hata ve zayıflıklarının belirlenmesi ve iyi uygulama örneklerinin yaygınlaştırılması yoluyla sistemlerin geliştirilmesi hedeflerine yönelik olarak, mevzuata uygunluk, yönetim ve davranış standartlarıyla, iç kontrollerin yeterliliği konularında yoğunlaşır. Özellikle, sorunları tespit eden ve sorunlar çerçevesinde ortaya çıkabilecek muhtemel riskleri indirgeyen bir denetim anlayışı yerel yönetimlerde tam anlamı ile uygulandığında gerek karar mekanizmalarında gerekse kaynakların kullanımında daha etkili ve verimli belediyeciliği getirecektir.

İdareler faaliyetlerini yürütürken birçok risk ve belirsizlikle karşı karşıya kalabilirler, idareler maruz kaldıkları bu riskleri risk yönetimi kapsamında üstlenerek, kaçınarak, transfer ederek veya kontrol ederek yönetebilirler. Risk ve belirsizliklerin olumsuz etkilerinin azaltılmasında, oluşturulacak iç kontrol süreçleri en etkili çözüm olacaktır.

İç denetimde olduğu kadar iç kontrol açısından da risk odaklı yönetim önemli bir araçtır Maliye Bakanlığınca 31.12.2005 tarih ve 26040 sayılı Resmi Gazetede "iç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esaslar Hakkında Yönetmelik" yayımlanmıştır. Bu Yönetmeliğin 6. maddesinin (b) bendinde "İç kontrol faaliyet ve düzenlemelerinde öncelikle riskli alanlar dikkate alınır" denilmektedir 7. maddede de iç kontrolün unsurları açıklanmaktadır. Bu maddede "risk değerlendirmesi" de yer almaktadır. Risk değerlendirmesi kavramı, mevcut koşullarda meydana gelen değişiklikler dikkate alınarak gerçekleştirilen ve süreklilik arz eden bir faaliyettir İdare, stratejik planında ve performans programında belirlenen amaç ve hedeflerine ulaşmak için iç ve dış nedenlerden kaynaklanan riskleri değerlendirir. İç kontrolün en önemli özelliği muhtemel risk alanlarını belirlemesi ve buna göre önlem almasıdır. Aynı durum ön mali kontrol için de geçerlidir.

Genel olarak riskte üç unsur bulunmaktadır Bunlar; amaç, tehdit ve etkidir. Amaç kurumsal hedefleri gösterirken, tehdit bunu engelleme ihtimali olan eylem ya da olayları, etki de tehdidin gerçekleşmesi halinde ortaya çıkabilecek sonuçları ifade etmektedir. Bu bakımdan risk yönetimi, kurumsal bir fonksiyon olarak riskin en alt düzeye indirgenmesi suretiyle idarenin bu süreci en az zararla tamamlamasıdır.

5018 sayılı Kanunun 63. maddesinde iç denetim faaliyetleri ile risk yönetimi arasındaki değerlendirme ve geliştirmeye dönük bir bağ kurulmuştur. 64. maddede ise iç denetçilerin görevleri arasında, nesnel risk analizlerine dayanarak kamu idarelerinin yönetim ve kontrol yapılarını değerlendirme faaliyeti sayılmıştır.

İç Denetim Birim Yönergesinin 14 maddesine göre; İç denetim, kurumun karşı karşıya olduğu riskler esas alınarak hazırlanan risk odaklı iç denetim plan ve programı çerçevesinde yapılacağı hüküm altına alınmıştır. Risk değerlendirmesi ile ilgili olarak Kurulca belirlenen esas ve usullere uyulacağı da belirtilmekte ve böylece bu alandan da koordinasyon amaçlanmaktadır.

Yönetim tarafından tanımlanan riskler, iç denetim birimince kapsamlı bir risk analizine tabi tutulur. Bu analiz sonucunda riskler, oran ve önem dereceleri belirlenerek sıralanır. İç denetim birimince; kurumun hedefleri, faaliyetleri ve varlıklarını etkileyebilecek önemli risklere ilişkin olarak yapılan analiz sonucunda, en yüksek risk içeren alan ve konulardan başlanarak iç denetim planı ve uygulamaya ilişkin programlar hazırlanır.

Risk değerlendirilmesinde; Bütçe büyüklüğü, işlem hacmi ve personel sayısı, faaliyetlerin karmaşıklığı, mevzuatın yoğunluğu, yapısal, işlevsel ve teknik değişiklikler ile bilgi teknolojileri sisteminin yapısı gibi kriterler esas alınır. Yüksek risk içeren faaliyetler denetim programına öncelikle alınır. Programların hazırlanmasında; üst yöneticinin riskli gördüğü ve öncelik verilmesini istediği hususlar da dikkate alınır. Denetim sonuçlarına göre mevcut riskler yıl sonlarında yeniden gözden geçirilir. Dolayısıyla risk alanlarının belirlenmesi kurumdan kuruma, kurum içerisinde de birimden birime değişiklik göstermektedir.

Makro-Mikro Risk Analizi

Yıllık denetimlerde ve bireysel denetimlerde risk odaklı denetimin planlanması daha etkin ve verimli bir denetimi ortaya çıkaracaktır. 5018 sayılı Kanun çerçevesinde iç denetim birimleri iki şekilde risk değerlendirmesi konusu ile ilgileneceklerdir, ilki denetimin planlanmağıdır. Buna makro risk analizi de denilmektedir. Denetimin planlanması aşamasında yapılacak bu risk analizinde önceden belirlenen bir puanlama yöntemi seçilerek risk dereceleri belirlenecek, riskler mevcut kontrol tedbirleri ile karşılaştırılacaktır. Diğer risk analizi ise mikro risk analizi olarak ifade edilebilecek ve iç denetçi tarafından denetim sahasına gidildiğinde, denetime başlamadan önce, bireysel denetimin planlanması amacıyla yapılacaktır. Bu çerçevede:

  • Yıllık Denetim Planının Risk Odaklı Olarak Yapılması (Makro Risk Analizi)

- Denetim önceliklerinin belirlenmesi,

- Denetim kaynaklarının en riskli faaliyetlerden başlatılmasını, hedefler,

  • Bireysel Denetimlerde Risk Analizi (Mikro Risk Analizi)

- Denetlenen faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin indirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesini kapsar.

Sonuç

Risk odaklı denetimi, özellikle günümüzde önemi artan bir denetim türü olup, geleneksel denetim anlayışının aksine ortaya çıkan soruların nedenini tespit etme ve bu sorunların (risklerin) minimize edilmesi için gerekli saptamalarda bulunan gelecek odaklı bir denetimdir. Dolayısıyla her türlü riskin tanımlanması, ölçülmesi, değerlendirilmesi ve giderilmesini kapsayan sistematik bir denetim uygulamasıdır. Özellikle mahalli idarelerin artan görev ve yetkileri karşısında kaynaklarını daha etkili, ekonomik ve verimli bir şekilde kullanmaları amacına dayanan yeni yapılanmada öngörülen iç denetim sisteminde risk odaklı denetimin tasarlanması ve denetimlerde ön planda tutulması önem arz etmektedir. İç denetimde risk. kurumun hedeflerinin gerçekleştirilmesini engelleyebilecek her türlü olay veya durumlardır. Bu çerçevede riskler, oluşma sıklıklarına ve oluşturacakları hasara göre ölçülürler ve uygun iç kontrol önlemleriyle minimize edilirler. Risklerin tanımlanması ve kontrolü için gerekli stratejilerin geliştirilmesinden ve uygulanmasından yönetimler sorumludur. Yönetim mekanizmalarında geçmişten geleceğe doğru birikimli bir şekilde süren hatalar ve sorunlar yumağını dikkate alarak stratejik bir şekilde riskli alanların belirlenmesi ve bu risklerin minimize edilmesi amacıyla çeşitli kararlar alınmalıdır. Böylece idarelerin faaliyetlerini gerçekleştirirken maruz kalabilecekleri hususlar tanımlanmış ve yönetim taralından gerekli tedbirler alınmak suretiyle amaçlara ve hedeflere ulaşmada engel olabilecek durumlar belirlenmek suretiyle oluşabilecek zararlar minimize edilmiş olacaktır. İç denetim birimlerinde de konuya iç denetçiler; risk odaklı denetim anlayışı ile ciddi katkılar sağlamalıdırlar.

İbrahim Düzoğlu
İç Denetçi


* Bu makale ; Türkiye İç Denetim Enstitüsü yayını olan "İÇ DENETİM" dergisinin Yaz 2009 dönemi 23 Nolu sayısında yayınlanmıştır.