Bankacılık ve sermaye piyasalarında en önemli 10 iç denetim riski

Bankacılık ve sermaye piyasalarında 10 iç denetim riski

Mali krizden yıllar sonra bile bankalar ve sermaye piyasası şirketleri hem içeriden - yönetim kurulundan, yönetici kadrodan ve paydaşlardan -hem dışarıdan - düzenleyici kurumlardan ve yatırımcılardan - büyük baskıyla karşı karşıya. İç denetçiler çözümün bir parçası olarak görüldüklerinden, görevlerini yapmaya devam etmeleri gerekiyor.

Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı, Şirket Ortağı

KPMG Türkiye

İletişim

İlgili içerik

Bankacılık ve sermaye piyasalarında en önemli 10 iç denetim riski

Yapılan çalışmaların sonucunda, bankalardaki iç denetçilerin ve sermaye piyasası şirketlerinin genel stratejilerinin, risk yönetimlerinin ve iç denetim planlarının bir parçası olarak değerlendirmesi gereken ilk 10 husus ortaya çıktı.

1- Düzenleyici kurumlardan artan beklentiler

Bankalar ve sermaye piyasası şirketleri, birden fazla düzenleyici makamın etki alanına giriyor ve bunların artan taleplerini yerine getirme noktasında zorluklar yaşıyor. Kurumların karşı karşıya kaldığı bir diğer zorluk ise düzenleyicilerin sektör içinde kontrol ortamlarına, risk değerlendirmelerine, sistemlerine dönük bir görüş hattına sahip olmaları ve bu kurumlara yönelik birinci sınıf faaliyetlerle yatay bir bakış açısı geliştirebilmeleri.

İç denetim nasıl yardımcı olabilir:

Yönetmeliklerin resmi olarak uygulamaya konulmasından önce eksikliklerin ve performans geliştirme fırsatlarının bulunması konusunda hazırlık değerlendirmesi yapar.

Kurumun iş modeli için uygun olan kural ve yönetmelikleri belirler.

İleriye dönük olarak gerekli olabilecek alanlarda pilot güvence programları/bağımsız testler gerçekleştirir.

Risk yönetimi ve uyumun yeterliliği ve kurumun değişen düzenleyici çevrede en etkin şekilde nasıl güncel kalabileceğiyle ilgili değerlendirme yapar ve görüş sunar.

Denetim ekiplerinin güvence hatlarını etkin şekilde sorgulamasını sağlamak üzere eğitim ve işe alım uygulamaları ve/veya eş kaynak kullanımı yolu ile konusunda uzman profesyoneller sunar.

Politikaların, prosedürlerin ve kontrol ortamının güncel olup olmadığını değerlendirir.

2- Kültür ve davranış

Siyasi, düzenleyici ve yasal otoriteler ile medya, bankalar ve sermaye piyasası şirketleri bünyesindeki kültüre ve davranışa ilişkin eksiklikleri ve sorunları ön plana çıkarmaya devam ediyor. Bu unsurlar, milyarlarca dolar mali zarara neden olmakla birlikte kurumların davranış ve değerleri, toplumun normları ve beklentileriyle uyuşmadığında fi nansal olmayan riske de maruz kalmalarına yol açtı.

İç denetim nasıl yardımcı olabilir:

  • Yanıtların, yönetim tarafından tanımlanan hedefl ere ve amaçlara uygun olup olmadığını görmek için çalışanlar arasında araştırma ve anket yapar.
  • Kalitatif ve kantitatif analiz ile kurumun kültürünü ve davranışını sektörel normlarla kıyaslar ve ihtiyaç duyulan gelişim alanlarını tespit eder.
  • Kurumun kültürünü ve davranışını güçlendirmek için yönetime bir yol haritası hazırlar.
  • Kültür ve davranışla bağlantılı sorunları gösterebilecek denetim ortamındaki yaygın “kültürel” konuları tespit eder.
  • Kültür ve davranışla olası bir bağlantıya ilişkin bulgular üzerinde köklü neden analizi gerçekleştirir.

3- Yasal raporlama

Tarihsel olarak bakıldığında düzenleyici otoriteler kantitatif bilgilerin raporlanmasına odaklandı. Ancak mali krizden bu yana stres testi ve senaryo analizleri gibi uygulamalar ile kalitatif bilgilerin raporlanmasına yoğun şekilde odaklanılıyor ve şirketler temel düzenleyici raporları hazırlama konusunda bir dizi zorlukla karşı karşıya.

İç denetim nasıl yardımcı olabilir:

  • Düzenli inceleme ve testlerle veri kalitesinin ve süreçlerin bütünlüğünü doğrular.
  • Yasal raporlamayı etkileyen süreçleri kapsamlı olarak tespit eder ve iyileştirmeye açık alanları ve kontrol eksikliklerini belirler.
  • Sistemlerdeki ve süreçlerdeki değişimlerin yasal raporlama üzerindeki etkisini proaktif olarak tespit etmek amacı ile şirket içi kurumsal yönetim komitelerine katılır.
  • Yasal raporlama sürecini etkileyebilecek fonksiyonlardaki ilgili personelin yasal raporlama farkındalığını ve bilgisini değerlendirir, eğitim ihtiyaçlarını belirler.

4- Stres testi

Stres testlerinin amacı, ihmalden kaynaklanması muhtemel ve genel ekonomide ortaya çıkabilecek olası bir mali istikrarsızlığın etkisini saptamak ve bu durumu hafi fl etmektir. Düzenleyiciler uygunluk çıtasını sürekli olarak yükseltmeye devam ettiğinden bankalar, yıllık stres testi uygulaması boyunca zorluk yaşamaya devam ediyor.

İç denetim nasıl yardımcı olabilir:

  • İç denetim planı kapsamında stres testlerinin girdileri, çıktıları ve raporlama sonuçlarına yönelik bağımsız bir inceleme yapar.
  • İlgili kurumsal yönetim komitelerine katılır ve yıllık stres testi uygulamasına yönelik bilgi sağlar.Yıllık stres testlerinin girdi ve sonuçlarının olağan iş süreçlerine ne şekilde uygulandığına yönelik yönetimi inceler.
  • Kurumun veri toplama kabiliyetlerinin yeterliliğini, veri kalitesini ve otomasyonun etkinliği ve esnekliği ne şekilde maksimize ettiğini değerlendirir.
  • Kurumun risk yönetiminin ve iç  kontrol altyapısının risk profili ve sektörel uygulamalardaki değişimlere uygun olup olmadığı değerlendirir.

5- Model riski yönetimi

Uygun bir model riski yönetim çerçevesini oluşturan üç unsur: (1) modelleri doğru geliştirme, uygulama ve kullanma; (2) güçlü model doğrulama prosedürleri ve geriye dönük test (3) yönetim kurulu ve üst yönetim gözetimini, politikaları ve prosedürleri, kontrolleri ve model envanterini içeren kurumsal yönetim ve kontrol, uygun teşvik ve organizasyonel yapı.

İç denetim nasıl yardımcı olabilir:

  • Kurumun model geliştirme ve değişim yönetimi yaşam döngüsü politikalarının, prosedürlerinin ve kontrol ortamının yeterliliğine ilişkin değerlendirme yapar.
  • İşletmenin kullandığı modellerin envanterini çıkarırve her bir modelde uygun bir sahiplik ve kurumsal yönetim olup olmadığını ve finansal modeli geliştirenler ve kullananlar arasında görev ayrılığı olup olmadığını değerlendirir.
  • Modellerden oluşan bir alt grup seçip kurumun model gelişiminin ve değişim yönetimi yaşam döngüsünün uygulama olarak uygun şekilde takip edilip edilmediğini değerlendirir.
  • Modellerin incelendiği senaryoları değerlendirir ve genel yeterliliği ölçer.
  • Kurumun mevcut model risk yönetimi süreçlerini öncü uygulamalar ve sektör standartları ile kıyaslar.

6- Siber güvenlik

Bağlantının kolaylıkla kurulduğu, basında yer alma ve kâr-zarar durumunu doğrudan etkileme riskinin her zaman olduğu günümüzde, siber güvenlik çok sayıda kurum için önemli bir odak noktası ve çoğunlukla yönetim kurulu gündemlerinde daha öncelikli. Sosyal ve kurumsal genel tehdit ortamı, teknoloji, düzenleyici çevreler gibi konulardaki değişimler gibi faktörler, siber güvenlik konularına yoğun şekilde dikkat edilmesini gerektiriyor.

Bankalar ve sermaye piyasası şirketleri, sahip oldukları bilgi türlerinin ve küresel ekonomide üstlendikleri işlevin bir sonucu olarak özel risk altında. Ayrıca düzenleyici kuruluşlar, kurumlara müşteri bilgilerinin gizliliği ve güvenliğiyle ilgili hesap vermelerinin beklendiği gereklilikleri ve kılavuzu sunmuş durumda.

İç denetim nasıl yardımcı olabilir:

  • Sektör standartlarını esas alarak kurumun siber güvenlik süreci için kapsamlı bir risk değerlendirmesi yapar ve süreç iyileştirmeleri önerilerinde bulunur.
  • Yönetimin sürekli değişen ortamdaki tehditleri dikkate alıp almadığını değerlendirmek üzere süreçleri inceler.
  • Çok katmanlı savunmalar, gelişmiş tespit yöntemleri ve ağdan çıkan verilerin şifrelenmesi gibi  teknoloji güvenlik modellerinin uygulanmasını değerlendirir.
  • En güncel riskleri tamamen ve yeterli ölçüde dikkate alıp almadıklarını ölçmek için üçüncü taraf güvenlik sağlayıcılarını değerlendirir.
  • Şirketin kendi verileri üzerinde sahip olduğu iç kontrol düzeyinin anlaşılmasında kurumun farklı birimlerine destek olur.

7- Üçüncü taraflarla ilişkiler / tedarikçi yönetimi

Verimliliği ve etkinliği artırmak için bankalar ve sermaye piyasası şirketleri, kritik iş fonksiyonlarının yerine getirilmesi konusunda üçüncü tarafl ara her geçen gün daha fazla bağlı hale geldi. Üçüncü tarafl ardan yararlanılması, kurum için para cezaları, düzenleyici yaptırımlar, hukuk davaları, operasyonel engellemeler, itibar zararı gibi çok sayıda riski ve olası hataları beraberinde getiriyor.

İç denetim nasıl yardımcı olabilir:

  • Üçüncü tarafların belirlenmesi, değerlendirilmesi, seçimi ve izlenmesi süreçlerini inceler.
  • Üçüncü tarafl arla olan ilişkileri gözetmek üzere yönetimin uyguladığı sözleşme yönetim süreçlerini değerlendirir.
  • Denetim hakkı maddelerini kullanmanın gerekli olup olmadığını değerlendirir.
  • Üçüncü tarafl arın kurumun bilgi güvenliği standartlarına uyup uymadığını değerlendirir ve bu konuda önerilerde bulunur.
  • Üçüncü taraf iş ortaklarından kaynaklanan olaylara ilişkin sürekli denetim mekanizmasının gelişimine ve uygulanmasına destek olur.

8- Sürekli risk değerlendirmesi

Genel olarak yıllık risk değerlendirmesi iç denetim biriminin bir sonraki yıla ait gündemini belirler. Ancak bankalar ve sermaye piyasası şirketleri, yıl içinde gerçek zamanlı olarak değişmesi muhtemel ve sürekli artan risklerle karşı karşıya kalıyor. Bu durum yıllık risk değerlendirme sürecini geçersiz kılıyor.

İç denetim nasıl yardımcı olabilir:

  • Belirlenen pilot iş birimleri için alt süreçlere yönelik sürekli risk değerlendirmeleri yaparak bunun iç denetim risk değerlendirmesine ve nihai denetim planına uygulanabilirliğini değerlendirir.
  • İşletmenin faaliyetlerindeki değişimlerin ne zaman yeni riski ortaya çıkarabileceğini görmek için iş birimi paydaşlarıyla düzenli olarak görüşür.

9- Veri analitiğinin kullanımı ve sürekli denetim

Son yıllarda veri analitiği, bankaların ve sermaye piyasası şirketlerinin özellikle denetim kapsamını etkin şekilde genişletme ve iyileştirme konularında riski değerlendirme ve izlemesine ciddi destek sağladı. Veri analitiği ve sürekli denetim, iç denetim fonksiyonlarının denetim süreçlerini basitleştirmesine ve iyileştirmesine yardımcı olarak, kaliteli ve katma değeri yüksek denetimlerin ve işletme açısından somut değerin kazanılmasını sağlıyor.

İç denetim nasıl yardımcı olabilir:

  • Belirlenen risk kriterleri doğrultusunda sistemden otomatik olarak verinin çekilmesi, dönüştürülmesi ve yüklemesi süreçlerini tasarlar.
  • Şirketin stratejik hedefl erinin ve amaçlarının, risk yönetim uygulamalarıyla uyumunu değerlendirir ve hedefleri ve riskleri sürekli olarak izler, önceliklendirir.
  • Veri analitiği temelli denetim programlarını geliştirir.
  • Kök neden analizine ve iş anormallikleri ile tetikleyici olaylar dâhil olmak üzere yönetimin risklere verdiği yanıtlara odaklanarak otomatik denetim uygular.

10- İç denetim için yetenek bulma ve koruma

İç denetçilerin kurum içerisindeki varlıklarını genişletmesi ve stratejik ortak olarak hareket etmesi her geçen gün daha fazla isteniyor. İş süreçlerini yeni gereklilikler doğrultusunda anlayan, test eden, değerlendiren ve güvence hatlarını etkin bir şekilde sorgulayan ve kantitatif ve teknik becerilere sahip kişilere daha fazla ihtiyaç duyuluyor. İç denetim, sektör içerisinde bulunan yetenek boşluklarıyla ve kıt kaynaklara yönelik artan rekabetle karşı karşıya kalıyor. İç denetim fonksiyonları artan beklentileri karşılamak istiyorsa, sektör ve kurumun değişen risk profi li hakkında bilgi sahibi olan uzman ve yetenekli profesyonellere ihtiyaç duyacak. Kurumlar üstün yetenekleri bulma, elde tutma ve iç denetim fonksiyonundaki üst seviye yöneticiler için ardıl planlaması zorluklarıyla karşı karşıya.

İç denetim nasıl yardımcı olabilir:

  • Periyodik olarak yetenek değerlendirmesi yapar ve iç denetimin hedefl erine ulaşmak için gerekli dış kaynakları ya da ek eğitimin gerekli olduğu alanları tespit eder.
  • Kurum bünyesindeki diğer kişilerin aktif katılımını teşvik edecek bir rotasyon programı geliştirir.
  • İç denetim, kurum ve işletmenin stratejik girişimleriyle daha fazla bütünleşmeye başladığından kaynak ihtiyaçlarını değerlendirebilir.
  • Geniş kapsamlı iş hedefleri ve mevzuat gelişmeleri ile uyumlu eğitim ve gelişim programları sunar.
  • Gerektiğinde konunun uzmanlarından faydalanabilmek için dış hizmet sağlayıcılarıyla ilişki geliştirir.

KPMG Gündem sayı 26

KPMG Gündem 26. sayısında iş dünyasındaki profesyonellere zengin ve renkli bir içerik sunuyor. 

 
Daha fazlasını oku

Bilgi Sistemleri Risk Yönetimi Bölümü (IRM)

Bilgi teknolojileri risklerinin doğru şekilde yönetilmesi olumlu sonuçlar doğurmaktadır.

 
Daha fazlasını oku

Bize ulaşın

 

Teklif talebi

 

Gönder

KPMG’nin yeni dijital platformu

KPMG International, yeni ve ilişkili içeriklere uygun, deneyiminizi geliştiren son teknoloji bir dijital platform geliştirdi.