Prensip 26: İç kontrol ve denetim:
Kamu denetleme otoritesi, bankaların işlerini risk profillerini dikkate alarak ve hesaba katarak yürütmek için uygun bir şekilde kontrol edilen bir işletme ortamı kurmak ve sürdürmek için yeterli bir iç kontrol çerçevesine sahip olup olmadıklarını belirler. Bunlar, yetki ve sorumlulukların devri ve tevkili için; bankanın yükümlülük altına sokulması, fonlarının ödenmesi ve aktifleri ve pasifleri için muhasebe tutulması fonksiyonlarının ayrılması için; bu proseslerin mutabakatının sağlanması için; bankanın varlık ve aktiflerinin korunması için ve bu kontrollere ve ilgili cari kanunlara ve mevzuata uyumu test etmek amacına yönelik uygun bağımsız80 iç denetim ve uyum fonksiyonlarının sürdürülmesi için açık düzenlemeleri de içerirler.
(Referans dokümanlar: Bankalarda iç denetim fonksiyonu, Haziran 2012; Basel II çerçevesinde geliştirme çalışmaları, Temmuz 2009; Bankalarda uyum ve uyum fonksiyonu, Nisan 2005 ve Bankacılık kuruluşlarında iç kontrol sistemleri için çerçeve, Eylül 1998.)
Temel Kriterler:
-
Cari kanun ve yönetmelikler veya kamu denetleme otoritesi, bankanın risk profilini de dikkate alarak işinin yürütülmesi için usulüne uygun kontrol edilen bir işletme ortamı oluşturmak için yeterli olan iç kontrol çerçevelerine sahip olmasını öngörürler. Bu kontroller, bankanın Yönetim Kurulu ve/veya üst yönetiminin sorumluluğundadır ve örgütlenme yapısı, muhasebe politikaları ve prosesleri, denetim ve denge ve varlıkların ve yatırımların korunmasıyla ilgilidirler (sahtekârlık, zimmete para geçirme, yetkisiz alım satım ve bilgisayar sistemlerine tecavüz gibi suiistimallerin önlenmesi ve erkenden tespit ve rapor edilmesi amacına yönelik tedbirler de dahil). Daha somut olarak ifade edersek, bu kontroller:
-
örgütlenme yapısıyla: açık yetki devirleri (örneğin, açık kredi onay limitleri), karar alma politikaları ve prosesleri, kritik fonksiyonların (örneğin, yeni iş yaratma, ödemeler, mutabakat, risk yönetimi, muhasebe, denetim ve uyum) ayrılması da dahil görev ve sorumlulukların tanımları;
-
muhasebe politikaları ve prosesleriyle: hesap mutabakatı, kontrol listeleri, yönetim için bilgilendirme;
-
denetim ve dengeyle (ya da “dört göz prensibi”): görev ayrımı ve dağılımı, çapraz kontroller, varlıkların ikili kontrolü, çift imza kuralı ve
-
varlık ve yatırımların korunmasıyla: fiziksel kontroller ve bilgisayar erişimi de dahil
ilgilidirler.
-
Kamu denetleme otoritesi; yeni iş yaratma birimleriyle ilgili operasyonel yönetim ve arka büro ve kontrol fonksiyonlarının beceri ve kaynakları arasında uygun dengenin bulunup bulunmadığını tespit eder. Kamu denetleme otoritesi, arka büro ve kontrol fonksiyonları personelinin örgüt içerisinde yeni iş yaratma birimlerinde etkin bir denetim ve denge sağlamak için yeterli uzmanlığa ve yetkiye (ve uygunsa, kontrol fonksiyonlarında, banka Yönetim Kuruluna yeterli erişim imkanına) sahip olup olmadıklarını da tespit eder.
-
Kamu denetleme otoritesi, bankanın karşılaştığı uyum risklerinin etkin yönetimi konusunda üst yönetime yardımcı olan, yeterli personeli bulunan, daimi ve bağımsız bir uyum fonksiyonuna81 sahip olup olmadığını tespit eder. Kamu denetleme otoritesi, uyum fonksiyonuna bağlı personelin yeterince eğitilmiş olup olmadıklarını, gereken deneyime sahip olup olmadıklarını ve banka içinde görevlerini etkin bir şekilde yapabilmek için gereken yetkilere sahip olup olmadıklarını tespit eder. Kamu denetleme otoritesi, banka Yönetim Kurulunun uyum fonksiyonu yönetimini gözetleyip gözetlemediğini de tespit eder.
-
Kamu denetleme otoritesi, bankanın:
-
mevcut politikalar, prosesler ve iç kontrollerin (risk yönetimi, uyum ve kurumsal yönetim prosesleri de dahil) etkin ve uygun olup olmadıklarını ve bankanın işi için yeterli olup olmadıklarını değerlendirmekle ve
-
politika ve proseslere uyulmasını sağlamakla
görevli, bağımsız, daimi ve etkin bir iç denetim fonksiyonuna82 sahip olup olmadığını tespit eder.
-
Kamu denetleme otoritesi, iç denetim fonksiyonunun:
-
denetlediği işleri anlamak ve değerlendirmek için yeterli kaynaklara ve uygun eğitimi almış personele ve gereken deneyime sahip olup olmadığını;
-
banka Yönetim Kuruluna ve Yönetim Kurulu denetim komitesine bağlı hiyerarşik yapı içerisinde gereken bağımsızlığa ve banka içerisinde üst yönetimin onun tavsiyelerine uygun hareket etmesini sağlamak için gerekli statüye ve yetkiye sahip olup olmadığını;
-
bankanın risk yönetim stratejisi, politikaları veya proseslerinde yapılan önemli değişikliklerden zamanında haberdar edilip edilmediğini;
-
görevlerinin ifası için gerektiğinde, bankanın ve bağlı şirketlerinin kayıtları, dosyaları ve verilerine tam erişime ve tüm personele tam erişime ve tüm personelle iletişim imkanına sahip olup olmadığını;
-
bankanın karşı karşıya olduğu önemli riskleri ele alan bir metodoloji kullanıp kullanmadığını;
-
kendi risk değerlendirmesine dayanan ve düzenli olarak gözden geçirilen bir denetim planı hazırlayıp hazırlamadığını ve kaynaklarını da uygun bir şekilde tahsis edip etmediğini ve
-
dış kaynaktan temin edilen fonksiyonları değerlendirme yetkisine sahip olup olmadığını
tespit eder.
Dostları ilə paylaş: |