denetim günlükleri: risk kontrol matrisi ile imtihan olmak

iç denetimin önemli bir aşaması da risk kontrol matrisinin hazırlanmasıdır, günlüğüm.. konunun faaliyet-birim ilişkileri tasarımında ya da risk-kontrol-test üçlüsünün kurgusunda bir sorun gözükmemektedir.. burada en kritik bölüm risklerin yazılmasıdır.. genelde “açılacak kurslarla ilgili olarak akademik birim ve karar organlarınca alınması gerekli karar ve onayların zamanında alınmaması riski.. taşınırların giriş ve çıkışına ilişkin kayıtları tutmak, bunlara ilişkin belge ve cetvelleri düzenlemek ve taşınır yönetim hesabını harcama yetkilisine sunmak görevlerinin yapılmaması riski.. sözleşmelerde çelişkili ifadelere yer verilmesi nedeniyle uygulamada sorun yaşanması riski.. fiilen yürütülen bilmem ne sürecinin kapsamının, niteliğinin ve işlevinin olması gereken standartlar ile mevcut ihtiyaçları karşılamak için yeterli ve uygun olmaması risk” gibi aslında sonucunu bildiğimiz ve adeta tüdengelimsel bir mahiyet kesbetmektedir.. bu sonucun ortaya çıkmasında risk kavramına alışık olmayışımızın ve yine bir parça da iç denetim kırtasiyeciliğinin rolü büyüktür.. şööle bi düşünelim.. biz şimdi iç denetçi olmadan evvel mesela muassssebe denetmeni iken – bu vesileyle muassebe denetmeni canım devrelerime en kalbi selamlarımı sunarım💓- sanki risksiz alanları mı denetliyorduk?.. hayır😣 tabii ki de yine riski alanları denetliyor ve bulgularımızı riskine göre bina ediyorduk.. yalnız bir fark vardı: risk kelimesini terennüm etmiyorduk.. ismen geçmese de bu husus, yani risk-killer (tamlamanın patenti bana aittir😍) tutum işimizin gereği idi.. şimdi yazılım/sistem illa "riski yaz" deyince işte o zaman bir helecan ve taşikardi 😱içersinde sondan gelerek tamamlama cihetine düçar olduk.. bu ilk evvela pratik bir şey.. zaten riskli alanların üzerine gidiyorsun, ispatlayınca da bunları sisteme geçiriyorsun.. kebap yani.. ikincisi tümevarımsal bir method izleyebilmek için idarenin tüm süreçlerini ve onların olası risklerini çok sağlıklı bir şekilde bilmek gerekiyor.. bu ikincisi çok zor.. çünkü iç kontrol yazılımı şu an için risk bazlı değil ve kurumlar bu bilinç düzeyinden hareket etmiyorlar.. netekim yıllar evvel gerçekleştirdiğim bir alan araştırmasında “bizde risk bulunmaz ki (seni sersem)”, ya da “riskimizi büyüklerimiz bilir”😎 şeklinde cevaplar aldıydım.. dolayısıyla iç denetim de tümden gelimi/boşluk doldurmayı seçiyor.. bu durumun önemli bir sakıncası, bizi, riskleri sadece olumsuz durumlar olarak gören gelenekçi yaklaşıma saplayıp bırakması.. oysa coso erm 2017 de risk strateji ve performans ile birlikte ele alan anlayış söz konusu.. ve bu bağlamda iç kontrol sisteminde yapılacak olası bir değişimin bizi bu tür strateji ve performansa gömük bir risk anlayışına dönüştürmesi kaçınılmaz görünüyor.. ee bu da daha az uygunluk, mali denetim daha çok performans ve sistem denetimi demek.. anlatabildik mi?.. hikayeyi…