Sonuç Getiren İç Denetim Önerileri Yapmak

Denetçiler süreçleri incelemeye, prosedürleri ve işlemleri analiz etmeye ve kontrol zayıflıklarını belirlemeye çok fazla zaman ve enerji harcarken, kuruluşlara kattığımız gerçek değer denetim önerilerimizde yatmaktadır.

Yönetim, denetçilerin riskleri azaltacak, verimliliği artıracak ve kısa ve uzun vadede iş hedefleriyle uyumlu süreç iyileştirmeleri önermek için iş bilgimizi ve kök neden analizi yapma yeteneğimizi geliştirmelerini bekler.

İç denetim ekipleri, tespit edilen sorunlara yönelik önerilerin kapsamına da karar vermelidir. Potansiyel yaklaşımlar, şirket kültürüne, risk iştahına, denetim grubunun olgunluğuna ve diğer faktörlere bağlı olarak “sadece düzelt”ten çok ayrıntılı bir adım listesi sunmaya kadar değişebilir.

Burada, yönetime mesleğimizin danışman yönünü en iyi şekilde gösteren tavsiyeler sağlamak için bazı yaklaşımları ele alacağım.

1) Temel Sebep(ler)i Belirleyin

Evet, bir bulgumuz var ama ne olacak? Düzeltilmesi kolay görünen bazı sorunlar var, ancak yüzeyin altında gizlenen daha fazla sorun olabilir. Örneğin, “Raporda bir onay imzası yoktu” bulgusu kolayca çözülebilir. Bariz düşünce, “peki, imzala!” olacaktır. Bu etkili bir çözüm olarak kabul edilebilir olsa da, temel nedeni belirlemezsek, durumun gelecekte tekrarlama olasılığı yüksektir. Gerçek sorunun olası nedenleri şunları içerebilir:

  • İmza sorumlusu olarak kimse atanmadı
  • Eskiden imza atan kişi ayrıldı
  • Kimin sorumlu olduğunu gösteren bir prosedür yok
  • Sorumluluk net değil
  • Göreve öncelik atanmadı

Başka bir örnek: “Manuel Günlük Girişleri (MJE’ler) bir gözetmen tarafından onaylanmamıştır.” Denetçi tüm gerçekleri toplamalı ve yazmalıdır. Bu örnekte, aşağıdakiler meydana gelebilir:

  • Onayı zorunlu kılmak için resmi bir prosedür veya politika yoktur.
  • Süpervizör görevden ayrıldı ve henüz yeni bir kişi atanmadı
  • Muhasebe MJE talep eden ve onaylayan aynıdır
  • Yalnızca belirli MJE’lerin onaylanması gerekir

Denetlenenlerle yapılan görüşmelere ve süreç incelemelerine göre, denetçi, sorunları tetikleyen faktörleri belirleme ve temel nedene ulaşma konusunda ayrıcalıklı bir konuma sahiptir . Belirtildikten sonra, uyumun sağlanması için bunların yönetimle tartışılması gerekir.

2) Bulguyu Yazın

Bir iç denetçi bir kontrol zayıflığıyla karşılaştığında, durumu veya koşullarını yargılamadan gerçeklere odaklanmalıdır. İç denetçi, iş hedeflerini ve risk iştahını göz önünde bulundurarak, durumu ve süreç performansı üzerindeki etkisini değerlendirirken her zaman tarafsız kalmalıdır.

Denetçi, toplanan bilgilere ve belirlenen gerçeklere dayanarak konuyu yazabilir. Örneğin: “Nüfusun %x’ini ve değerin %y’sini temsil eden xx MJE’lerin bir örneğinden, yy MJE’lerin ________ nedeniyle ilişkili bir resmi onayı olmadığı kaydedildi. MJE onay gözetimi ________ neden olabilir.”

3) Öneride Bulunun

Denetim tavsiyeleri, yönetim tarafından alınması gereken eylemleri vurgulayan kılavuzlardan oluşur. Uygulandığında, süreç riskleri azaltılmalı ve performans artırılmalıdır. Şirket kültürüne ve sorunun etkisine bağlı olarak, öneriler az çok ayrıntılı olabilir. Denetçiler, çok basit olmakla yönetimin işini yapmaya çalışan aşırı ayrıntılı prosedürler sağlamak arasında bir denge bulmalıdır. Ayrıca, bulgunun alaka düzeyi ve ciddiyeti raporun tonunu etkileyecektir. Örneğin: “Yönetim aşağıdaki işlemleri yapabilir / yapmalı / yapmalıdır…”

Öneri türleri:

Belirtilen konuların alaka düzeyine ve karmaşıklığına bağlı olarak, karşılık gelen tavsiyelerin düzeyi değişebilir. Burada bazı kategoriler oluşturmaya çalıştım:

Düz eylemler: Doğru bir şekilde tanımlanmış bir kök neden olduğunda, denetçi ulaşılabilir olan belirli eylemler konusunda tavsiyelerde bulunabilir. Bazı durumlarda bunlar saha çalışması sırasında uygulanabilir ve bu durum raporda “ele alındı” şeklinde belirtilebilir. Örneğin: “AP memuru, doğru kodlamanın kullanıldığından emin olmak için belirli ödeme türlerinin nasıl işleneceği konusunda eğitilmelidir.” Bu durumda tavsiye çok spesifiktir. Yine de, bu amaca ulaşmak için araçlara ve zamanlamaya karar vermek yönetime kalmıştır. Bu eğitim saha çalışması sırasında gerçekleştiyse, konu “ele alınan” olarak kategorize edilebilir.

Genel: Bir sorunun çözümüne birden fazla iş grubunun dahil olduğu durumlar vardır ve bu sorunu ele alacak eylemleri tanımlamak için ortak çaba gerekir. Bu daha karmaşık bir durum olduğundan, denetçi tavsiyede rehberlik sağlayabilir, ancak muhtemelen ayrıntılı bir eylem planı sağlayamaz. Örneğin, tavsiye şu şekilde olabilir: “Denetçiler, uygun kullanıcı profillerinin sürdürülmesini sağlamak için kuruluşlarındaki herhangi bir değişikliği eş zamanlı olarak İK ve BT’ye bildirmelidir. Bunun gerçekleştirilmesini sağlamak için resmi bir prosedür tanımlanmalıdır. Ayrıca BT, bu süreci hızlandırmak ve verileri “yalnızca gerektiği kadar” esasına göre sınırlandırmak için araçlar önerebilir.” Bu durumda, denetçi seçenekleri açık bırakır ancak minimum gereklilikler belirlenir.

Detaylı:Örgüt kültürü bir öğrenme eğrisi aşamasında olduğunda ve iç denetçi denetlenen süreçte Konu Uzmanı (SME) seviyesine sahip olduğunda, özel bir öneri sunulabilir. Örneğin, tavsiye şu şekilde olabilir: “Ertelenmiş gelir yönetimi ve ayırmaya ilişkin bir prosedür tanımlanmalıdır. Prosedür en azından şunları içermelidir: a), b), c) … Tanımlandıktan sonra, prosedür tüm ilgili paydaşlar tarafından resmi olarak onaylanmalı ve sürece dahil olan tüm ilgili taraflara eğitim sağlanmalıdır. Prosedür, yeni finans çalışanları için işe alım eğitiminin bir parçası olarak dahil edilmelidir. Bu gereksinime uyulmasını sağlamak için eğitim kayıtları dosyada tutulmalıdır.

4) Yönetim Eylem Planları (MAP’ler)

Ardından, çabaları paydaşlarla koordine edin. Yukarıda bahsedildiği gibi, denetçi, siloları aşmak ve zayıf iletişim, formalite eksikliği, tanımlanmamış sorumluluk, kaynak mevcudiyeti, yetersiz görev ayrımı, fazlalıklar ve diğer zorluklardan etkilenen süreç bozulmalarını belirlemek için benzersiz bir konumdadır. Bir iç danışman olarak, iç denetçi, yönetimi bu durumları fark etmesi için desteklemenin yanı sıra, aynı zamanda süreç iyileştirme zihniyetiyle bir değişim temsilcisidir. Denetim sürecinin başından itibaren, denetlenen kurum için, inceleme görevlilerinin kendileriyle aynı ekipte yer aldığı ve genel amacın, iç kontroller açısından paydaşların şirket performansı konusunda sahip oldukları rahatlık düzeyini artırmak olduğu açık olmalıdır. .

Yönetim, denetim raporunu aldığında, denetim bulgularını ele alacak eylemler dizisini sağlamakla yükümlüdür. Bu eylemler genellikle Yönetim Eylem Planları olarak bilinir.

TAB’lar yönetimin sorumluluğunda olsa da, genellikle iç denetimin girdilerini ararlar. Genel olarak, denetlenenlere SMART metodolojisini takip etmelerini tavsiye ederim:

S – Spesifik: Mümkün olduğu ölçüde, belirsizlikten kaçınılmalıdır. Tanımlanan eylemler spesifik olmalıdır. Örneğin, “personel eğitilecek”, “Tedarik personeli bu özel prosedürlerde eğitilecek…” kadar spesifik değildir.

M – Ölçülebilir: Ölçülemeyen bir süreci yönetemezsiniz. Bunu akılda tutmak, süreç sahiplerinin süreçle ilgili önlemleri belirlemesine olanak tanır. Örneğin, “Haziran ayına kadar tedarik alanı personelinin yüzde 80’i bu özel prosedürler konusunda eğitim alacak ve Aralık ayına kadar yeni çalışanlar da dahil olmak üzere tüm personel eğitimi tamamlamış olacaktır.”

A – Ulaşılabilir: Her bir eylem planı maddesi, grup ve tüm organizasyon için ulaşılabilir olmalıdır. Örneğin, “Tüm Manuel Günlük Girişleri (MJE’ler) bir gözetmen tarafından incelenecek ve onaylanacaktır” ifadesini elde etmek zor olacaktır. Orta ölçekli bir şirkette, hacim göz önüne alındığında, sadece bu eylem planına uymak için bir pozisyon oluşturulması gerekirdi. Ancak, “Şirket tarafından tanımlanan eşiğin üzerindeki tüm MJE’ler bir gözetmen tarafından gözden geçirilecek ve onaylanacaktır”, riski ele alan ve makul bir çabayla gerçekleştirilebilecek bir eylemdir.

R – Alakalı: Eylem planı öğesinin genel iş hedefleriyle uyumlu olup olmadığını değerlendirin. Örneğin: “Tüm Kara Para Aklamayı Önleme (AML) prosedürleri tüm banka personelinin kullanımına sunulacaktır”, örneğin bireysel bankacılıktan daha fazla özel bankacılık için geçerli prosedürler olabileceğinden, o kadar etkili olmayabilir.

T – Time Bound: Eylemler belirli bir zaman diliminde gerçekleştirilmelidir, aksi takdirde yürütülmeme ihtimalleri vardır. Zamanında uygulama, takip sürecinde gerektiği gibi revize edilmelidir. MAP’ler, “bu eylem 15 Kasım 2022’ye kadar gerçekleştirilmelidir” gibi belirli tarihler içerebilir. Ancak yaklaşık değerler ve aralıklar da kabul edilebilir. Örneğin: “Eylem eylemleri 2. Çeyreğe kadar uygulanacaktır.”

Bu tanımları akılda tutmak, denetçinin, daha sonra etkinlik açısından doğrulanabilecek gerekli MAP’leri oluşturmaya ve sunmaya yönelik yönetim çabalarını desteklemesine izin verecektir.

5) Takip

İç denetçinin rolü, denetim raporunun teslim edilmesiyle sona ermez. TAB’larda belirlenen süre geçtikten sonra, denetçi taahhüt edilen eylemlerin uygulandığını ve belirlenen riskleri ele aldıklarını doğrulamalıdır. Ancak o zaman denetim döngüsü tamamlanır. Takip sürecini ihmal etmeyin !

Bu adımların izlenmesi, bir denetim sırasında iç denetimin belirlediği her sorunun sihirli bir şekilde çözülmesini garanti etmeyebilir, ancak iç denetimin yönetime sağladığı tavsiyelerin iyileştirilmesine yardımcı olacaktır. İç denetimin sorunları işaret etmesi ve çekip gitmesi yeterli değildir. Kuruluşta gerçek değer sağlamak için iç denetim, çözümler konusunda tavsiyelerde bulunmada ve iyileştirmeye yönelik zorlu çalışmanın tamamlanmasını sağlamada hayati bir rol oynayabilir. Daha iyi denetim önerileri, bu hedeflere ulaşmada uzun bir yol kat edecektir.  

Hector Garcia, iç denetçiler için yeni bir öğrenme ve işbirliği platformu olan Audiopia’nın aktif bir topluluk üyesi ve aynı zamanda bir LinkedIn içerik oluşturucusudur .

Kaynak:

https://internalaudit360.com/making-internal-audit-recommendations-that-get-results/

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn