Uygulama Önerisi 1000-1: İç Denetim Yönetmeliği 1. Resmî, yazılı bir iç denetim yönetmeliğinin bulunması, iç denetim faaliyetinin (biriminin) yönetiminde kritik önemdedir. Yönetmelik, yönetimin gözden geçirme ve kabulü ile yönetim kurulunun -toplantı tutanaklarında yer aldığı üzere- onayı için kabul görmüş bir metin sunar. Ayrıca, iç denetim faaliyetinin amaç, yetki ve sorumluluklarının yeterliliğinin dönemsel olarak değerlendirilmesini kolaylaştırır, iç denetim faaliyetinin rolünü belirler. Herhangi bir sorunun ortaya çıkması hâlinde, yönetmelik, iç denetim faaliyeti hakkında üst yönetim ve yönetim kuruluna resmî ve yazılı bir anlaşma işlevini de sağlar. 2. İç Denetim Yöneticisi, yönetmelikte açıklanan ve tanımlanan amaç, yetki ve sorumlulukların iç denetim faaliyetinin hedeflerine ulaşması için yeterli olmaya devam edip etmediğini dönemsel olarak değerlendirmekten sorumludur. Ayrıca, bu dönemsel değerlendirmenin sonuçlarını üst yönetime ve yönetim kuruluna bildirmekten sorumludur. *** Yayın: Ocak 2009 Uygulama Önerisi 1110-1: Kurum İçi Bağımsızlık 1. Üst yönetim ve yönetim kurulunun desteği, iç denetim faaliyetine (birimine), denetlenenlerin işbirliğini sağlayabilmeleri ve denetçilerin işlerini her türlü müdahaleden uzak bir şekilde yapabilmeleri hususlarında yardımcı olur. 2. İç Denetim Yöneticisi, işlevsel (fonksiyonel) olarak yönetim kuruluna, idarî olarak kurumun genel müdürüne (CEO'ya) raporlama yaparak kurum içi bağımsızlığı kolaylaştırır. İç denetim yöneticisi, en azından, kurum içinde geniş bir denetim kapsamı ve alanı oluşturmak, görevle ilgili raporlamalara yeterli ilginin gösterilmesini sağlamak ve görev sonucunda verilen tavsiyelere göre uygun tedbirlerin alınmasını sağlamak konusunda yeterli yetkiye sahip bir kişiye raporlama yapmalıdır. 3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun: • iç denetim faaliyetinin yönetmeliğini onaylama, • iç denetimin risk değerlendirmelerini ve ilgili denetim planını onaylama, • İç Denetim Yöneticisi ile yönetimin bulunmadığı özel toplantılar yapmak da dahil, iç denetim faaliyetlerinin sonuçları hakkında ya da İç Denetim Yöneticisinin gerekli gördüğü başka konularda İç Denetim Yöneticisinden raporlar alma, • İç Denetim Yöneticisinin performans değerlemesi, tayini veya azliyle ilgili tüm kararları onaylama, • İç denetim faaliyetinin sorumluluk ve görevlerini yerine getirmesine engel olan kapsam veya bütçe kısıtlamaları olup olmadığını tespit etmek amacıyla, İç Denetim Yöneticisi ve yönetim nezdinde uygun inceleme ve araştırmaları yapma yetkilerini içerir. 4. İdarî Hiyerarşi: İdarî hiyerarşi, kurumun yönetim yapısı içinde kurulan ve iç denetim biriminin günlük iş ve işlemlerini kolaylaştıran hiyerarşik ilişkidir. İdarî hiyerarşi normal olarak * İç Denetim Yöneticisinin yıllık ücretini ve ücret ayarlamalarını onaylama, • bütçeleme ve yönetim muhasebesi, • personel değerlendirmeleri ve ücretleri de dahil insan kaynakları yönetimi • iç haberleşme ve bilgi akışları, • iç denetim faaliyetinin politikaları ve prosedürlerinin yönetimi konularını kapsar. Yayın: Ocak 2009 Uygulama Önerisi 1111-1: Yönetim Kurulu ile Etkileşim 1. Bu doğrudan iletişim, İç Denetim Yöneticisinin yönetim kurulunun denetim, mali raporlama, kurumsal yönetişim ve kontrolle ilgili genel gözetim sorumluluklarına ilişkin toplantılarına düzenli olarak katıldığı zaman gerçekleşir. İç Denetim Yöneticisinin bu toplantılara katılması, stratejik planların, faaliyetlere ilişkin gelişmelerin değerlendirilmesini ve yüksek seviyedeki risklerin, sistemlerin, prosedürlerin veya kontrol gibi meselelerin erken aşamalarda ele alınmasını sağlar. Toplantılara katılım, ayrıca, iç denetim faaliyetinin (biriminin) planları ve çalışmaları hakkında bilgi alışverişinde bulunma ve tarafların karşılıklı menfaatini ilgilendiren diğer hususlarda birbirlerini bilgilendirme fırsatı sağlar. 2. Bu tarz iletişim ve etkileşim, ayrıca, İç Denetim Yöneticisinin yönetim kurulu ile özel olarak en az yılda bir kez toplandığında da gerçekleşir. Son Güncelleme: Ocak 2009 Uygulama Önerisi 1120-1: Bireysel Objektiflik 1. Bireysel objektiflik, iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir şekilde inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri bir şekilde yapmalarını ve yürütmelerini gerektirir. İç denetçiler, objektif hüküm verme kabiliyetlerini olumsuz etkileyebilecek durumlara girmemeli ve itilmemelidir. 2. Bireysel objektiflik, İç Denetim Yöneticisinin, görevlendirmeleri potansiyel veya fiili menfaat çatışmalarını ve önyargıları önleyecek şekilde düzenlemesini, iç denetim personelinden, muhtemel çıkar çatışmaları ve önyargılar hakkında düzenli ve dönemsel olarak bilgi almasını ve -uygulanabilir olması hâlinde iç denetçiler arasındaki görev dağılımını dönemsel rotasyona bağlamasını içerir. 3. Görev raporları yayınlanmadan önce, sonuçların gözden geçirilmesi, denetim işinin objektif bir şekilde yapıldığından makul ölçüler içinde emin olmaya yardımcı olur. 4. İç denetçinin sistemler için kontrol standartları tavsiye etmesi ve uygulanmadan önce prosedürleri gözden geçirmesi, objektifliğini olumsuz etkilemez. Fakat denetçinin sistem tasarlaması, kurması, işletmesi ve bu sistemlerin prosedürlerini yazmasının objektifliğini bozacağı düşünülür. 5. İç denetçinin zaman zaman denetim dışı işler de yapması ve bunun, raporlama sürecinde tam ve eksiksiz açıklanması, denetçinin bağımsızlığını zayıflatmaz. Ancak iç denetçinin objektifliğini etkileyebilecek olumsuzlukları önlemek için, hem iç denetçinin hem de üst yönetimin dikkatli hareket etmesi gerekir. Yayın: Ocak 2009 Uygulama Önerisi 1130-1: Bağımsızlık veya Objektifliğin Bozulması 1. İç denetçilerin, bağımsızlık ve objektifliği fiilî veya potansiyel olarak bozucu bir etkenin varlığına dair makul gerekçelerin söz konusu olduğu veya bozucu olabilecek etkenlerin varlığına dair şüphelerinin olduğu durumları, İç Denetim Yöneticisine bildirmeleri gerekir. İç Denetim Yöneticisi, bozucu bir etkenin var olduğuna veya olabileceğine karar verirse, bu iç denetçilere başka görevler vermesi gerekir. 2. Kapsam sınırlandırması, iç denetim faaliyetine getirilen ve faaliyetin hedef ve planlarını gerçekleştirmesine engel olan bir kısıtlama anlamına gelir. Bir kapsam sınırlandırmasıyla birçok şey yanında, • İç denetim yönetmeliğinde tanımlanan yetki alanları, • Görevlerin ifası için gereken kaynaklara, personele, demirbaşlara ve ilgili mahallere erişim imkânı, • Onaylanmış görev iş programı, • Gereken görev prosedürlerinin uygulanması, • Onaylanmış personel planı ve mali bütçe de kısıtlanabilir. 3. Bir kapsam sınırlandırmasının ve bu sınırlandırmanın muhtemel etkilerinin yönetim kuruluna, tercihen yazılı olarak bildirilmesi gerekir. İç Denetim Yöneticisinin, daha önce yönetim kuruluna bildirilmiş ve onun tarafından kabul edilmiş bulunan kapsam (yetki) sınırlandırmaları hakkında, bu birimlere tekrar bilgi vermenin gerekli olup olmadığını değerlendirmesi gerekir. Bu, özellikle kurumda, yönetim kurulu veya üst yönetimde değişiklik olduğunda veya başka değişiklikler olduğunda gerekli olabilir. 4. İç denetçinin, personel, denetlenen, müşteri, tedarikçi veya işle ilgili başka kişilerden objektifliğinin bozulması görüntüsü yaratabilecek şekilde ücret, hediye ve eğlence kabul etmemesi gerekir. Aksi halde denetçinin objektifliğinin bozulduğu izlenimi o denetçinin hem yapmakta olduğu hem de yapacağı görevlere gölge düşürebilir. Üstlenilen görevlerin özel şartları, ücret veya hediye almayı haklı çıkartan bir etken olarak görülmemelidir. Genel olarak herkese verilen ve çok küçük bir değere sahip olan (kalemler, ajandalar veya numuneler gibi) tanıtım malzemelerinin alınması da iç denetçinin meslekî karar ve yargılarına engel olmamalıdır. İç denetçiler, kendilerine teklif edilen bütün değeri yüksek para veya hediyeleri kendi âmirlerine derhal bildirmelidir. Yayın: Ocak 2009 Uygulama Önerisi 1130.A1-1: Denetçilerin Daha Önceden Sorumlu Oldukları Faaliyetlere İlişlkin Değerlendirmeleri 1. İç denetim faaliyetine katılan ya da geçici olarak iç denetimle görevlendirilenler, an az bir yıl geçmedikçe, daha önce kendilerinin yürüttüğü veya yönetim sorumluluğu aldıkları faaliyetleri denetlemekle görevlendirilmemelidir. Aksi halde bu kişilerin objektifliğinin bozulacağı varsayılır; bu sebeple o görevle ilgili denetimin gözetim ve kontrolünde ve görev sonuçlarının raporlanmasında ilave özen ve dikkat gösterilmelidir. *** Yayın: Ocak 2009 Uygulama Önerisi 1130.A2-1: Diğer (Denetim Dışı) İşler Karşısında İç Denetçinin Sorumluluğu 1. İç denetçilerin, dönemsel iç denetim incelemeleri ve değerlendirmelerine tâbi olan denetim dışı fonksiyon veya görevler için sorumluluk üstlenmeyi kabul etmemeleri gerekir. Bu tür bir sorumluluk üstlenmişlerse artık iç denetçi olarak görev yapmıyorlar demektir. 2. Bir iç denetim birimi, İç Denetim Yöneticisi veya iç denetçi, iç denetim biriminin denetleyebileceği bir operasyonel yükümlülükten sorumlu ise ya da kurum yönetimi ona böyle bir görev vermeyi düşünüyorsa, iç denetçinin bağımsızlık ve objektifliği bozulabilir. İç Denetim Yöneticisinin, bunun bağımsızlık ve objektiflik üzerindeki muhtemel etkilerini değerlendirirken, en azından, aşağıdaki etkenleri dikkate alması gerekir: • HA Uluslararası İç Denetim Standartları (Standartlar) ve Etik Kurallarının gerekleri, • Hissedarlar, yönetim kurulu, denetim komitesi, kurum yönetimi, idarî merciler, kamu kuruluşları, yasama organları ve toplumsal çıkar grupları gibi paydaşların beklentileri, • İç denetim faaliyeti yönetmeliğinde verilen izinler ve/veya öngörülen kısıtlamalar, • Standartların gerektirdiği açıklamalar, • İç denetçinin üstlendiği görev veya faaliyetlerin daha sonraki denetim kapsamı. • İlgili denetim dışı icraî görevin kurum açısından önemi (gelirler, giderler, itibar ve etki açılarından) • Görevin uzunluğu veya süresi ve üstlenilen sorumluluğun kapsamı • Görevler ayrılığının yeterliliği • İç denetçinin objektifliğinin risk altında olabileceğine dair bir delil veya bir sicil kaydı olup olmadığı 3. İç denetim yönetmeliği, iç denetçiye denetim dışı görevlerin verilmesi konusunda belirli özel kısıtlamalar içeriyor veya sınırlandırıcı bir dil kullanıyorsa, bu kısıtlamaların açıklanması ve üst yönetimle tartışılması gerekir. Üst yönetim yine de bu görevlendirme üzerinde ısrar ediyorsa, konunun açıklanması ve Yönetim Kurulu ile tartışılması gerekir. Yönetmelik bu konuda herhangi bir hüküm içermiyorsa, aşağıdaki bentlerde verilen tavsiyelere uyulmalıdır. Aşağıdaki tavsiyeler, yönetmeliğin lâfzına bağlı olarak değerlendirilmelidir. 4. İç denetim faaliyeti (birimi) operasyonel (icraî) sorumluluklar üstlendiğinde ve bu operasyonlar denetim planına dahil edildiğinde, İç Denetim Yöneticisinin aşağıdakileri düşünmesi gerekir: • İç Denetim Yöneticisine raporlayan alanların denetimlerinin tamamlanması için sözleşmeli olarak üçüncü şahıs firmalar veya dış denetçiler kullanılarak objektifliğin bozulması tehlikesini asgariye indirmek. • İç Denetim Yöneticisine raporlayan alanlarla ilgili icraî sorumluluk üstlenen denetçilerin bu faaliyetlerin denetimlerine katılmamasını sağlamak. • İç Denetim Yöneticisine raporlayan alanlarla ilgili güvence hizmeti veren denetçilerin gözetimini gerçekleştirmek ve değerlendirme sonuçlarını üst yönetim ve Yönetim Kuruluna raporlamak. • Denetçinin denetim dışı faaliyetle ilgili icraî görev ve sorumluluklarını, söz konusu faaliyetin kurum açısından önemini (gelirler, giderler veya ilgili diğer bilgiler açısından) ve o faaliyeti denetleyenlerin ilişkisini açıklamak. 5. İç Denetim Yöneticisine raporlayan alanların denetim raporlarında ve denetçinin Yönetim Kuruluyla standart iletişiminde, iç denetçinin icraî görev ve sorumluluklarının açıklanması gerekir. Denetim sonuçları, üst yönetimle ve/veya ilgili uygun taraflarla tartışılabilir de. Bozucu etkenin açıklanması, İç Denetim Yöneticisinin idari sorumluluk taşıdığı fonksiyonlara dair denetim çalışmasının iç denetim faaliyeti dışındaki bir tarafça gözden geçirilmesi ihtiyacını ortadan kaldırmaz. • ** Yayın: Ocak 2009 Uygulama Önerisi 1200-1 Yeterlilik ve Azamî Meslekî Özen ve Dikkat 1. Yeterlilik ve azamî meslekî özen ve dikkat, İç Denetim Yöneticisinin ve her iç denetçinin kendi sorumluluğudur. Öyle ki, İç Denetim Yöneticisi, her görev için görevlendirilen kişilerin hepsinin görevi gerektiği gibi ve usulünce yapmak için gereken bilgi, beceri ve diğer vasıflara sahip olmasını sağlamalıdır. 2. Azamî meslekî özen ve dikkat, Etik Kurallarına ve gerektiğinde iç denetçilerin sahip oldukları diğer meslekî unvanların gerektirdiği davranış kuralları yanında kurumun davranış kurallarına da uymayı gerektirir. IIA'nın Etik Kuralları, iç denetimin tanımının ötesinde iki önemli unsur daha içermektedir: a. İç denetim mesleği ve uygulamasıyla ilgili ilkeler: Dürüstlük, objektiflik, gizlilik ve yetkinlik. b. İç denetçilerden beklenen davranış normlarını izah eden ve tanımlayan Davranış Kuralları. Bu kurallar, ilkelerin fiilî uygulamalara dönüştürülmesinde kullanılabilecek bir araçtır ve iç denetçilerin etik davranışlarını yönlendirme amacına yöneliktir. *** Yayın: Ocak 2009 Uygulama Önerisi 1210-1: Yeterlilik 1. Yukarıdaki standartta atfedilen bilgi, beceri ve diğer vasıflar aşağıdaki hususları içerir: • Görevlerin ifası için, iç denetim standartları, prosedürleri ve tekniklerinin uygulanmasında meslekî yeterlilik. Yeterlilik, geniş ve kapsamlı teknik araştırma ve yardımlardan istifade imkânı olmasa da, mevcut bilgiyi karşılaşılması muhtemel durumlara uygulama ve bu tür durumlarla başa çıkabilme yeteneği anlamına gelir. • Görevi kapsamında mali kayıt ve raporlarla çok çalışan iç denetçilerin muhasebe ilkeleri ve teknikleri hakkındaki yeterliliği. • Suistimal belirtilerini teşhis etme bilgisi • Teknolojik risk ve kontrollere dair anahtar bilgiler ve mevcut teknoloji tabanlı denetim teknikleri bilgisi • Örnek iş uygulamalarından sapmaların önemini ve etkilerini anlamak ve değerlendirmek için, yönetim ilkelerinin anlaşılması. Yönetim ilkelerini anlamak, sahip olduğu geniş bilgiyi karşılaşılması muhtemel durumlara uygulama, bunlardan önemli sapmaları fark etme ve makul çözümlere ulaşmak için gereken araştırmaları yapabilme yeteneği anlamına gelir. • Muhasebe, ekonomi, ticaret hukuku, vergilendirme, finans, kantitatif yöntemler, bilgi teknolojisi, risk yönetimi ve suistimal gibi bilim dalları ve iş konularının temellerinin bilinmesi ve idrak edilmesi. "İdrak", mevcut veya muhtemel sorunları fark etme ve bu konuda yapılması gereken ek araştırmaları veya yardım alınması gereken konuları tespit etme yeteneği anlamına gelir. • İnsanlarla çalışma ve iletişim kurma, insan ilişkilerini anlama ve denetlenenlerle tatmin edici ilişkiler kurabilme becerileri. • Görevin hedefleri, değerlendirmeler, sonuçlar ve tavsiyeler gibi konuları açıkça, etkili bir şekilde açıklayabilmek için gereken sözlü ve yazılı iletişim becerileri 2. İlgili işin kapsamını ve sorumlulukların düzeyini dikkate alarak, iç denetim kadrolarına atama yapılmasında aranacak olan uygun eğitim ve tecrübe kıstasları, İç Denetim Yöneticisi tarafından tespit edilir. İç Denetim Yöneticisi, her müstakbel denetçinin meslekî vasıflarının ve yeterliliğine dair makul bir güvence sağlar. 3. İç denetim faaliyeti (birimi), kurum içinde denetim görevinin yapılması için gerekli olan bilgi, beceri ve diğer vasıflara birim olarak sahip olmalıdır. İç denetim biriminin bilgi, beceri ve diğer vasıflarının yıllık bir değerlendirmesi, sürekli meslekî gelişim, işe alma veya aynı zamanda hizmeti kurum dışından alma yoluyla ele alınabilecek fırsat alanlarının belirlenmesine yardımcı olur. 4. 'Sürekli meslekî gelişim', iç denetim personelinin yeterliliğinin sürdürülmesi için gereklidir. 5. İç Denetim Yöneticisi, iç denetim biriminin tam bir yeterliliğe sahip olmadığı faaliyet sahalarını desteklemek ve tamamlamak için, iç denetim birimi dışından uzmanların yardımını sağlayabilir. • ** Yayın: Ocak 2009 Uygulama Önerisi 1210.A1-1: İç Denetim Faaliyetini Tamamlamak veya Desteklemek Amacıyla Hizmetlerin Dışarıdan Temini 1. İç denetim elemanlarının her birinin ilgili bütün bilim dallarında uzman olması gerekmez. İç denetim faaliyetinin, muhasebe, denetim, iktisat, finans, istatistik, bilgi teknolojileri, mühendislik, vergi, hukuk ve çevre sorunları gibi bilim dallarında ve iç denetim faaliyetinin sorumluluklarını yerine getirebilmesi için gerek duyulan diğer alanlarda uzman personeli bulunmalı ya da bu konularda uzman olan dış hizmet sağlayıcılarından istifade etmelidir. 2. Dış hizmet sağlayıcısı (taşeron) terimi, belirli bir bilim dalında veya alanda özel bilgi, beceri ve deneyim sahibi olan ve kurumdan bağımsız olan bir kişi veya firma anlamına gelir. Dış hizmet sağlayıcıları arasında, bunlarla sınırlı kalmamak kaydıyla, sigorta aktüerleri, muhasebeciler, kıymet takdir uzmanları (muhamminler), kültür ve dil uzmanları, çevre uzmanları, suistimal tahkikatı uzmanları, avukatlar, mühendisler, jeologlar, güvenlik uzmanları, istatistikçiler, bilgi teknoloji uzmanları, kurumun kendi dış denetçileri veya başka denetim kurumları ve firmaları sayılabilir. Bir dış hizmet sağlayıcısı, yönetim kurulu, üst yönetim veya İç Denetim Yöneticisi tarafından tutulabilir ve görevlendirilebilir. 3. İç Denetim faaliyeti, dış hizmet sağlayıcılarını diğer amaç ve konuların yanı sıra aşağıda sayılan amaçlar için de kullanabilir: • Görev iş çizelgesinde öngörülen amaçlara ulaşılması. • Bilgi teknolojisi, istatistik, vergiler ve dil çeviri hizmetleri gibi uzmanlık bilgi ve becerilerine ihtiyaç olan denetim faaliyetleri, • Arazi ve binalar, sanat eserleri, değerli taşlar, mücevherler, yatırımlar ve karmaşık mali araçlar gibi varlıkların kıymet takdiri işleri, • Maden ve petrol kaynakları gibi belirli varlıkların miktarının veya fiziksel durumunun tespit edilmesi, • Devam eden sözleşme ve projelerde tamamlanan ve tamamlanacak işlerin ölçülmesi, • Suistimal ve güvenlik soruşturmaları • Personel ücret ve haklarıyla ilgili aktüeryal tespitler gibi, uzmanlık yöntemleri gerektiren tespit ve hesaplamalar, • Hukukî, teknik ve idarî gereklerin ve hükümlerin yorumlanması, • Uluslararası İç Denetim Standartları (Standartlar) ile uyumlu olacak şekilde iç denetim faaliyetinin (biriminin) kalite güvence ve geliştirme programının değerlendirilmesi, • Birleşme ve devralmalar, • Risk yönetimi ve diğer konularla ilgili danışmanlık. 4. İç Denetim Yöneticisi, bir dış hizmet sağlayıcısının hizmetlerinden istifade etmek istediği takdirde, ilgili dış hizmet sağlayıcısının yapılacak olan görevle ilgili bağımsızlığını, objektifliğini ve bu konuda gereken vasıflara sahip olup olmadığını değerlendirmelidir. Dış hizmet sağlayıcısının üst yönetim veya yönetim kurulu tarafından seçildiği ve İç Denetim Yöneticisinin o dış hizmet sağlayıcısının hizmetlerinden yararlanmak istediği durumlarda da bu değerlendirme yapılmalıdır. Bu seçim başkaları tarafından yapıldığı ve İç Denetim Yöneticisi, kendi yaptığı değerlendirme sonucunda, o dış hizmet sağlayıcısının hizmetlerinden istifade etmesine gerek olmadığı sonucuna vardığı takdirde, yapılan bu değerlendirmenin sonuçları duruma göre üst yönetime ya da yönetim kuruluna rapor edilmelidir. 5. İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevi yapmak ve yürütmek için gereken bilgi, beceri ve diğer vasıflara sahip olup olmadığını tespit eder. Bu vasıfların değerlendirilmesi ve tespitinde, İç Denetim Yöneticisi aşağıdakileri dikkate almalıdır. • Dış hizmet sağlayıcısının ilgili bilim dalında yeterliliğini ve uzmanlığını kanıtlayan meslekî ruhsat, sertifika veya diğer belgeler, • Dış hizmet sağlayıcısının uygun bir meslek kuruluşuna üye olup olmadığı ve o kuruluşun etik kurallarına uyup uymadığı, • Dış hizmet sağlayıcısının itibarı. Bu amaçla, dış hizmet sağlayıcısının iş ve hizmetlerini tanıyan başka kişi ve kurumlarla temas kurulabilir, • Dış hizmet sağlayıcısına yaptırılmak istenilen iş ile ilgili deneyimi • Dış hizmet sağlayıcısının o belirli görevle ilgili olan bilim dallarında aldığı eğitim ve öğretimin niteliği ve düzeyi, • Dış hizmet sağlayıcısının, ilgili kurumun faaliyet gösterdiği sektördeki bilgi ve deneyimi. 6. İç Denetim Yöneticisinin, görev sırasında bağımsızlık ve objektifliğin korunmasını sağlamak amacıyla, dış hizmet sağlayıcısının kurumla ve iç denetim birimiyle ilişkilerini de değerlendirmesi gerekir. Bu değerlendirme kapsamında, İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevini ifa ederken veya sonuçları rapor ederken tarafsız ve önyargısız hüküm ve karar vermesine engel olabilecek herhangi bir mali, örgütsel veya kişisel ilişkisinin bulunmadığını doğrular. 7. Dış hizmet sağlayıcısının bağımsızlık ve objektifliğini değerlendirirken, İç Denetim Yöneticisi şu etkenleri dikkate alır: • Dış hizmet sağlayıcısının kurumda herhangi bir mali çıkar veya pay sahibi olup olmadığı, • Dış hizmet sağlayıcısının kurum içinde yönetim kurulu, üst yönetim veya başka kişilerle kişisel veya meslekî ilişkisi, • Dış hizmet sağlayıcısının denetime konu olan kurumla veya faaliyetlerle geçmiş ilişkileri, • Dış hizmet sağlayıcısının kurum için yürütmekte olduğu diğer devam eden hizmetlerin niteliği ve kapsamı, • Dış hizmet sağlayıcısının ücreti veya başka gelir ve çıkarları. 8. Dış hizmet sağlayıcısı aynı zamanda kurumun dış denetçisi ise ve ilgili görev genişletilmiş denetim hizmetlerinden oluşuyorsa, İç Denetim Yöneticisinin, yapılan işlerin dış denetçinin bağımsızlığını zayıflatmadığından emin olması gerekir. Genişletilmiş denetim hizmetleri terimi, dış denetçiler arasında genel kabul gören denetim standardı gereklerinin ötesindeki hizmetler anlamına gelir. Kurumun dış denetçileri aynı zamanda kurumun üst yöneticileri, yöneticileri veya çalışanları olarak görev yapıyorsa veya böyle görünüyorsa, onların bağımsızlığı bozulmuş sayılır. Buna ek olarak, dış denetçiler kuruma vergi ve benzeri konularda danışmanlık gibi başka hizmetler de verebilir. Ancak, bağımsızlığın, kuruma verilen hizmetlerin tamamı dikkate alınarak değerlendirilmesi gerekir. 9. İç denetim faaliyetinin amaçları karşısında, denetim işinin kapsamının yeterliliğini belirlemek için İç Denetim Yöneticisi, dış hizmet sağlayıcısının işlerinin kapsamı hakkında yeterli bilgi edinmelidir. Bu konuların ve ilgili diğer konuların bir denetim bildirim yazısı (engagement letter) veya sözleşmeyle kayda geçirilmesi uygun olabilir. İç Denetim Yöneticisi, aşağıda sayılan konuları dış hizmet sağlayıcısı ile birlikte gözden geçirmelidir: • İlgili kayıtlara, personele, demirbaşlara ve ilgili mahallere erişim, • Uygulanacak prosedürler ve kullanılacak varsayımlar, • Varsa, görevle ilgili çalışma kâğıtlarının mülkiyeti ve zilyetliği, • Görevin ifası sırasında edinilen bilgilerin gizliliği ve bu konudaki kısıtlamalar, • Mümkünse, uluslararası iç denetim standartlarına ve iç denetim faaliyetinin çalışma standartlarına uyum. 10. Bir dış hizmet sağlayıcısının yaptığı işi incelerken, İç Denetim Yöneticisi, yapılan işin yeterliliğini değerlendirmelidir. Bu değerlendirme, toplanan ve edinilen bilgilerin varılan sonuçlar için ve önemli istisnaların çözümlenmesi ya da başka olağandışı konular için makul bir temel yaratmak açısından yeterli olup olmadığı değerlendirmesini de kapsar. 11. Görevle ilgili raporların İç Denetim Yöneticisi tarafından düzenlendiği ve bir dış hizmet sağlayıcısından faydalanıldığı durumlarda, İç Denetim Yöneticisi, gerektiğinde, bu hizmetlere atıfta bulunabilir. Görevle ilgili raporlarda dış hizmet sağlayıcısının hizmetlerine atıfta bulunulmadan önce, bunun dış hizmet sağlayıcısına bildirilmesi ve gerekirse, onun onayının alınması gerekir. • 2* Yayın: Ocak 2009 Uygulama Önerisi 1220-1: Azamî Meslekî Özen ve Dikkat 1. Azamî mesleki özen ve dikkat, aynı veya benzer durum ve koşullarda, makul sınırlar içinde tedbirli ve ehil bir iç denetçiden beklenen beceri, özen ve dikkatin gösterilmesi anlamına gelir. Bu nedenle, meslekî özen ve dikkat seviyesi, üstlenilen iş ve görevin karmaşıklık düzeyine uygun olur. Meslekî özen ve dikkat sergilemek, iç denetçilerin, suistimal, kasdî suç, hatâ, ihmal, verimsizlik, yanlış kullanım, etkisizlik, yararsızlık ve çıkar çatışmaları olasılığı karşısında olduğu gibi usulsüzlük olasılığının en yüksek olduğu koşul ve faaliyetler konusunda da uyanık ve tetikte olmalarını gerektirir. Bu ayrıca, iç denetçilerin, yetersiz kontrolleri tespit etmesini ve kontrol konusunda kabul edilebilir prosedür ve uygulamalara uymak için geliştirilmesi gereken konularda tavsiyelerde bulunmalarını gerektirir. 2. Azamî özen ve dikkat standardı, hiç hatâ yapmamayı ya da olağanüstü performans göstermeyi değil, sadece makul dikkat ve beceriyi gerektirir. Azamî özen ve dikkat standardı, iç denetçinin inceleme, kontrol ve denetimleri makul sınırlar içinde yapmasını gerektirir. Bundan dolayı, iç denetçiler, hiçbir aykırılığın veya usulsüzlüğün olmayacağı konusunda mutlak bir garanti veremez. Bununla birlikte, iç denetçi, bir iç denetim görevini üstlendiğinde, önemli usulsüzlük veya aykırılık olasılıklarını dikkate almalıdır. *** 2 Çıktılar ve sürelerle birlikte işin hedefleri ve kapsamı, • Görev raporları ve bildirimlerine dahil edilmesi beklenen özel konular, Yayın: Ocak 2009 Uygulama Önerisi 1230-1: Sürekli Meslekî Gelişim 1. İç denetçiler, meslekî yeterliliklerini sürdürmek ve arttırmak amacıyla eğitimlerini devam ettirmekten sorumludur. İç denetçilerin, iç denetim standartları, prosedürleri ve tekniklerindeki gelişmeleri ve IIA'in Uluslararası Meslekî Uygulama Çerçevesini (UMUÇ) güncel olarak takip etmeleri gerekir. Bu sürekli meslekî eğitim (CPE); IIA gibi meslek örgütlerine üyelikle, katılımla ve faaliyetlerinde gönüllü olarak çalışarak, konferanslara, seminerlere, üniversite kurslarına, şirket içi eğitim programlarına katılarak, üniversite eğitimini tamamlayarak ve kendi kendine eğitim programlarına girerek ve araştırma projelerine katılarak alınabilir. 2. İç denetçilerin, meslekî yeterliliklerini, Uluslararası İç Denetçi® (CIA) unvanı ve Uluslararası İç Denetçiler Enstitüsü'nün (IIA) verdiği başka unvanlar yanında, iç denetimle ilgili başka meslekî unvan sertifikalarını alarak göstermeleri beklenir ve teşvik edilir. 3. İç denetçiler, kendi kurumlarının yönetişim, risk ve kontrol süreçleriyle ilgili yeterliliklerini sürdürebilmek amacıyla, kendi kurumlarının faaliyetleri ve sektörüyle ilgili olarak sürekli meslekî eğitim (CPE) çabası içinde olmaları için teşvik edilir. 4. Bilgi teknolojileri, vergi, aktüeryal hesaplama veya sistem tasarımı gibi uzmanlık gerektiren denetim ve danışmanlık işi yapan iç denetçiler, işlerini yetkinlikle icra etmelerini mümkün kılacak şekilde sürekli meslekî gelişim çerçevesinde uzmanlık eğitimi alabilirler. 5. Meslekî unvan sertifikası bulunan iç denetçiler, bu sertifikanın gereklerini yerine getirebilmek için yeterli miktarda sürekli meslekî eğitim (CPE) etkinliğine katılmakla yükümlüdür. 6. Hâlen uygun meslekî unvan sertifikası bulunmayan iç denetçiler, unvan sertifikasını almak için bir eğitim programına katılmaya ve/veya bu amaçla ferdî olarak çalışmaya teşvik edilirler. *** Yayın: Ocak 2009 Uygulama Önerisi 1300-1: Kalite Güvence ve Geliştirme Programı 1. İç Denetim Yöneticisi, çalışma kapsamı Standartlardaki ve iç denetimin tanımındaki tüm faaliyetleri içine alan bir iç denetim faaliyeti (birimi) kurmaktan sorumludur. Bunun sağlanması için, 'Standart 1300' İç Denetim Yöneticisinin bir kalite güvence ve geliştirme programı (KGGP) hazırlamasını gerekli kılar. 2. İç Denetim yöneticisi, iç denetim faaliyetinden yararlanan çeşitli hak sahiplerine, iç denetim faaliyetinin, • İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla uyumlu olması gereken iç denetim yönetmeliğine uygun çalıştığı, • Etkili ve verimli bir şekilde faaliyet gösterdiği, • Paydaşlar ve diğer hak sahiplerinin gözünde katma değer yaratıcı ve kurumun faaliyetlerini iyileştirici olarak görüldüğü konusunda makul bir güvence sağlamak için tasarlanan süreçlerin uygulanmasından sorumludur. Bu süreçler, gerekli gözetim, dönemsel iç değerlendirmeler, kalite güvencesinin sürekli gözlenmesi ve dönemsel dış değerlendirmeleri içine alır. 3. KGGP, İç Denetimin Tanımında, Standartlarda ve Etik Kuralları ve mesleğin en iyi uygulamalarındaki gibi, iç denetim faaliyetinin (biriminin) yönetim ve faaliyetlerinin tüm cephelerini kapsamalıdır. KGGP, İç Denetim Yöneticisi tarafından veya doğrudan onun gözetimi altında hayata geçirilir. Küçük iç denetim faaliyetleri (birimleri) hariç tutulursa, İç Denetim Yöneticisi, genellikle KGGP sorumluluklarının çoğunu astlarına dağıtır. Büyük ve karmaşık ortamlarda (çok sayıda iş biriminin veya mekânının olması gibi), İç Denetim Yöneticisi denetimden bağımsız ve iç denetim faaliyetinin çeşitli katmanlarıyla danışma hâlinde olan resmî bir KGGP hazırlar. Bu bağımsız fonksiyon, bir iç denetim yöneticisi tarafından yönetilmelidir. Bu yönetici (ve sınırlı sayıda personel) başarılı bir KGGP'nin gerektirdiği faaliyetleri idare eder ve izler. Uygulama Önerisi 1310-1: Kalite Güvence ve Geliştirme Programının Gereklilikleri 1. Bir Kalite Güvence ve Geliştirme Programı (KGGP), iç denetim faaliyeti tarafından gerçekleştirilen tüm danışmanlık ve denetim faaliyetlerinin dönemsel olarak ve devamlı suretle değerlendirilmesi demektir. Bu devamlı ve dönemsel değerlendirmeler, (her ikisi de mutat olan) zor ve kapsamlı süreçlerden; danışmanlık ve iç denetim işlerinin performansının devamlı izlenip test edilmesinden ve İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun dönemsel olarak onaylanmasından meydana gelir. Bu, ayrıca, devamlı ölçümler ve performans ölçümlerinin (yani, denetim planının başarıyla tamamlanması, çevrim süresi, kabul edilen tavsiyeler ve müşteri memnuniyeti gibi) analizlerini içine alır. Bu değerlendirmelerin sonuçları, iç denetim faaliyetinin iyileştirebileceği alanlara işaret ediyorsa, iyileştirmeler, İç Denetim Yöneticisi tarafından, KGGP kullanılarak uygulanmalıdır. 2. Değerlendirmelerle, iç denetim faaliyetinin kalitesine dair bir değerlendirme yapılır, bir hükme varılır ve daha iyiye gitmesi için tavsiyeler geliştirilmesi mümkün kılınır. KGGP'ler aşağıdaki hususların da değerlendirilmesini içine alır: • Bunlara yönelik önemli aykırılık durumlarının giderilmesi amacıyla, zamanında alınacak düzeltici tedbirlere uyum da dahil olmak üzere, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyum. • İç denetim faaliyetinin (biriminin) yönetmeliğinin, amaçlarının, hedeflerinin, politikalarının ve prosedürlerinin yeterliliği. • Kurumun yönetişim (kurumsal yönetim), risk yönetimi ve kontrol süreçlerine yapılan katkı. • Yürürlükteki kanunlara, yönetmeliklere, kamusal veya sektörel standartlara uyum. • Devamlı geliştirme faaliyetlerinin etkililiği ve 'en iyi uygulamaların' benimsenmesi. • İç denetim faaliyetinin (biriminin) kurumun faaliyetlerine ne ölçüde değer katıp bunları geliştirdiği. 3. Bütün KGGP çabaları, kaynaklarda, teknolojide, süreçlerde ve prosedürlerde gereken değişikliklerin zamanında ve uygun bir şekilde yapılmasını içeren tavsiyelere yönelik takip çalışmasını da içine alır. 4. Hesap verebilirlik ve şeffaflığın sağlanması amacıyla, İç Denetim Yöneticisi, kalite programıyla ilgili dış ve gerekirse iç değerlendirme sonuçlarını (üst yönetim, yönetim kurulu ve dış denetçiler gibi) taraflarla paylaşır. En az yılda bir kez olmak üzere, İç Denetim Yöneticisi, üst yönetime ve yönetim kuruluna, kalite programı çalışmalarını ve sonuçlarını rapor etmelidir. • ** Yayın: Ocak 2009 Uygulama Önerisi 1311-1: İç Değerlendirmeler 1. Daimî iç değerlendirme çalışmalarında kullanılan süreçler ve araçlar, şunları içine alır: • Görevin gözetimi, • Kontrol listeleri ve prosedürler (mesela, bir denetim ve prosedür kılavuzundaki) takip edilir, • Denetlenenlerden ve diğer menfaat sahiplerinden alınan geri bildirimler, • İlgili denetimlerde yer almayan denetim personeli tarafından çalışma kâğıtlarının gözden geçirilmesi, • Proje bütçeleri, zaman tutma sistemleri, denetim planı tamamlama kıstasları, maliyeti karşılama kıstasları ve/veya, • (Çevrim süresi ve kabul edilen tavsiyeler gibi) diğer performans ölçümlerinin analizi. 2. Performans kalitesinin devamlı gözden geçirilmesinin sonuçları tespit edilir ve gerekli iyileştirmelerin uygulanmasını temin etmek için bir takip çalışması yürütülür. 3. IIA'nın Kalite Değerlendirme Kılavuzu veya bunun muadili kılavuz ve araçlar, dönemsel iç değerlendirmeler için temel teşkil etmelidir. 4. Dönemsel iç değerlendirmeler: • Denetim sürecinde yer alan gruplara yönelik daha ayrıntılı ve derin araştırma ve görüşmeleri içerebilir. • İç denetim faaliyetinin (biriminin) üyeleri tarafından yapılabilir (öz değerlendirme), • Hâlen kurum içinde başka konu ve alanlarda görevli olan Uluslararası İç Denetçiler (CIA) veya diğer ehil denetçiler tarafından yapılabilir, • Daha sonra kurumun diğer birimlerindeki CIA'lar veya ehil diğer denetçilerin gözden geçirdiği çalışmalarla, öz değerlendirme çalışmalarını bir araya getirebilir, • İç denetim faaliyetinin uygulamalarının ve performans ölçümlerinin iç denetim mesleğiyle ilgili en iyi uygulamalarla karşılaştırılıp değerlendirilmesine dayanan kıyaslama (benchmarking) çalışmasını içerebilir. 5. Dış değerlendirmenin hemen öncesinde yapılacak dönemsel bir iç değerlendirme, dış değerlendirmeyi hem kolaylaştırmaya hem de maliyetini azaltmaya yardım edebilir. Eğer dönemsel iç değerlendirme, ehil ve bağımsız dışarıdan biri veya bir gözden geçirme ekibi tarafından yapılırsa, değerlendirme sonuçları, dış kalite değerlendirmesinin sonuçlarıyla ilgili bir güvence vermemelidir. Raporda, iç denetim faaliyetinin (biriminin) uygulamalarının geliştirilmesi için tavsiye ve öneriler bulunabilir. Eğer dış değerlendirme, "bağımsız onaylı özdeğerlendirme" şeklini alırsa, dönemsel iç değerlendirme, bu sürecin "özdeğerlendirme" kısmı işlevini görebilir. 6. Performans kalitesi hakkında sonuçlar derlenir, tespit edilir ve gerekirse, Standartlara uygunluğu sağlamak ve geliştirme çalışmaları yapmak amacıyla uygun tedbirler alınır. 7. İç Denetim Yöneticisi, iç değerlendirmelerin sonuçlarının rapor edilmesi amacıyla, gerekli güvenilirlik ve nesnelliği sağlayan bir yapı oluşturur. Genel olarak, devamlı ve dönemsel gözden geçirmeleri yapma sorumluluğunu üstlenen kişiler, gözden geçirme çalışmalarında, İç Denetim Yöneticisine raporlama yapar ve elde ettikleri sonuçları doğrudan doğruya İç Denetim Yöneticisine bildirir. 8. İç Denetim Yöneticisi, yılda en az bir kere, iç değerlendirme çalışmalarının sonuçlarını, gerekli eylem planlarını ve bunların başarılı uygulamalarını yönetim kuruluna ve üst yönetime raporlar. *3* Yayın: Ocak 2009 Uygulama Önerisi 1312-1 Dış Değerlendirmeler 1. Dış değerlendirmeler, iç denetim faaliyeti tarafından yürütülen denetim ve danışmanlık görevini kapsar ve sadece iç denetim biriminin KGGP'sini (Kalite Güvence ve Geliştirme Programı) değerlendirmekle sınırlı olmamalıdır. Dış değerlendirmeden optimum faydayı sağlamak için, işin kapsamında, iç denetim faaliyetinin daha verimli ve/veya etkili olmasını sağlayabilecek başlıca uygulamaların kıyaslaması (benchmarking), teşhisi ve raporlanması da bulunmalıdır. Bu, ya ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibi tarafından tam bir 'dış' gözden geçirme ile ya da ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibinin bağımsız onayından geçmiş kapsamlı bir 'iç' özdeğerlendirme ile başarılabilir. Ancak, İç Denetim Yöneticisi, kapsamın, her durumda dış değerlendirmeden beklenen sonuçları ortaya koymasını sağlamalıdır. 2. Bir iç denetim faaliyetine (birimine) yönelik 'dış' değerlendirmelerde, iç denetim faaliyeti tarafından gerçekleştirilen (veya iç denetim yönetmeliğine göre gerçekleştirilmiş olması gereken) tüm danışmanlık ve denetim işlerine yönelik bir görüş yer alır. Bu görüşte, iç denetim biriminin İç Denetim Tanımına, Etik Kurallarına, Standartlara uygunluğuna dair bir değerlendirme ve gerekirse, iyileştirme tavsiyeleri de yer alır. Uluslararası Meslekî Uygulama Çerçevesi'nin bu üç unsuruna uyumdan ayrı olarak, değerlendirmenin 'kapsamı', İç Denetim Yöneticisi, Üst Yönetim veya Yönetim Kurulunun isteğine göre ayarlanır. Bu değerlendirmeler, İç Denetim Yöneticisi ve iç denetim biriminin diğer üyeleri için, özellikle kıyaslama ve en iyi uygulamalar paylaşıldığında, çok faydalı olabilir. 3. Gözden geçirme tamamlandıktan sonra üst yönetime ve yönetim kuruluna resmî bir raporlama yapılmalıdır. 4. Dış değerlendirmelerle ilgili iki yaklaşım vardır. Birinci yaklaşımda, bir 'dış değerlendirme', ehil, bağımsız bir gözden geçirme uzmanı veya ekibi tarafından yapılmalıdır. Bu yaklaşım, tecrübeli ve profesyonel bir proje müdürünün önderliğinde, ehil profesyonellerden oluşan bir dış ekibi içerir. İkinci yaklaşımda, iç denetim birimi tarafından yapılan iç özdeğerlendirmenin ve hazırlanan raporun bağımsız onaylanmasını (validation) gerçekleştirmek üzere, gerekli özelliklere sahip, bağımsız bir gözden geçirme uzmanı veya ekibinin kullanılması söz konusudur. Bağımsız dış gözden geçirmeyi yapacak olanlar, iç denetim uygulamalarında çok tecrübeli olmalıdır. 5. Dış değerlendirmeyi yapan kişilerin, iç denetim faaliyeti (birimi) dış değerlendirmeye tâbi olan kuruma veya kurumun personeline karşı, herhangi bir yükümlülüğü -veya onlardan herhangi bir çıkarı- olmamalıdır. Ehil ve bağımsız dış değerlendirme uzmanını veya dış değerlendirme ekibini seçerken, İç Denetim Yöneticisi tarafından -yönetim kuruluna da danışılarak- bunların bağımsızlığına dair dikkate alınması gereken özel hususlar şunları içerir: 3 Standartlar hakkında güncel ve derin bilgi sahibi olması, ehil ve yetkili (sertifikalı) bir denetçi olması, • Mesleğin en iyi uygulamaları konusunda bilgili ve deneyimli olması, • Aşağıdakileri sağlayacak şirketlerin gerçek veya görünüşteki çıkar çatışmaları: - Mâli tabloların denetimi - Yönetişim, risk yönetimi, malî raporlama, iç kontrol ve diğer ilgili alanlardaki önemli danışmanlık hizmetleri. - İç denetim faaliyetine (birimine) yardım. Profesyonel hizmet sağlayıcısı tarafından yürütülen işin önem ve büyüklüğü görüşmelerde dikkate alınmalıdır. • Değerlendirmeyi yapacak olanların şirket eski çalışanları olması hâlinde bunların gerçekte ve görünürdeki çıkar çatışmaları. Kişinin kurumdan ayrılmasının üzerinden ne kadar geçmiş olduğu dikkate alınmalıdır. • Değerlendirmeyi yapacak olan kişiler, iç denetim faaliyeti değerlendirmeye alınan kurumdan bağımsızdır ve ne gerçekte ne de görünürde bir çıkar çatışmaları yoktur. "Kurumdan bağımsız olmak", iç denetim faaliyetinin bağlı olduğu kurumun bir parçası olmamak veya onun kontrolü altın olmamak anlamına gelir. Ehil ve bağımsız bir dış gözden geçirme uzmanı veya ekibinin seçiminde, onun iç kalite değerlendirmesine katılımını da içerecek şekilde, uzmanın kurumla veya onun iç denetim faaliyetiyle olan mevcut veya geçmiş ilişkilerinden dolayı gerçekte veya görünüşte herhangi bir çıkar çatışması bulunup bulunmadığına özellikle dikkat edilmelidir. • İç denetim biriminden örgütsel olarak bağımsız olsa bile, o kurumun başka bir bölümünde veya ilişkili bir kurumunda çalışan kişiler, bir dış değerlendirme çalışması açısından, bağımsız sayılmazlar. "İlişkili bir kurum", ana kurum, aynı şirketler grubuna bağlı bir ortaklık veya dış değerlendirmeye konu olan iç denetim faaliyetinin bağlı olduğu kuruma karşı gözetim, izleme veya kalite güvence sorumlulukları olan bir kurum olabilir. • Karşılıklı gözden geçirme çalışmalarının da olduğu gerçek veya görünürdeki çatışmalar. Üç veya daha fazla kurum (aynı sektörde veya diğer yakın bir grupta, bölgesel derneklerde veya diğer kurum gruplarında - önceki paragrafta yer alan "ilişkili kurum" tanımı haricinde) arasındaki karşılıklı denk gözden geçirme çalışmaları, bağımsızlık endişelerini azaltacak bir tarzda yapılandırılabilir, ama bağımsızlık hususunda endişe yaratmamaya azami özen gösterilir. İki kurum arasında karşılıklı denk gözden geçirme çalışması, bağımsızlık testinin atlanmasına yol açmamalıdır. • Bu bölümde belirtilen örneklerde olduğu gibi bağımsızlığa görünürde veya gerçekte zarar verme endişelerini gidermek amacıyla, bir veya daha fazla bağımsız kişi, bu ekibin çalışmalarını bağımsız bir şekilde onaylamak üzere, dış değerlendirme ekibine katılabilir. 6. Dürüstlük, gözden geçirme uzman(lar)ının gizlilik sınırları içinde güvenilir ve tarafsız olmasını gerektirir. Kişisel kazanç ve çıkarlar için, hizmet ve kamu güveni ve inancı feda edilmemelidir. Objektiflik, gözden geçirme uzman(lar)ının hizmetlerine değer katan bir nitelik ve zihnî bir durumdur. Objektiflik ilkesi, tarafsızlık, fikir haysiyeti ve her türlü çıkar çatışmasından uzak olma yükümlülükleri getirir. 7. Bir dış değerlendirme çalışması yapılırken ve sonuçları raporlanırken meslekî muhakemenin kullanılması gerekir. Bu sebeple, bir dış değerlendirme uzmanı olarak görev yapan bir kişinin: • İç denetim uygulamalarında veya ilgili danışmanlıkta en az üç yıllık yöneticilik tecrübesine sahip olması gerekir. Bağımsız gözden geçirme ekiplerinin başları veya özdeğerlendirmenin sonuçlarını bağımsız olarak onaylayan dış gözden geçirme uzmanları, daha önce dış kalite değerlendirmesinde çalışmış bir takım üyesi olmaktan, IIA'nın kalite değerlendirme eğitimlerini veya benzeri bir eğitimi başarıyla tamamlamaktan ve iç denetim yöneticiliğinden veya benzeri bir üst seviye iç denetim yöneticiliği deneyiminden kazanılmış daha öte bir yetkinlik ve tecrübe birikimine sahip olmalıdırlar. 8. Gözden geçirme uzman(lar)ı, ilgili teknik uzmanlığa ve sektör tecrübesine sahip olmalıdırlar. Başka uzmanlık alanlarında uzmanlığı bulunan kişiler ekibe yardımcı olabilirler. Örneğin, kurumsal risk yönetimi, bilgi sistemleri denetimi, istatistiksel örnekleme, operasyon izleme sistemleri veya kontrol özdeğerlendirme uzmanları, gözden geçirme çalışmasının belirli bölümlerine katılabilirler. 9. İç Denetim Yöneticisi, dış kalite değerlendirme sağlayıcısı seçimine ve seçim sürecine, üst yönetimi ve yönetim kurulunu dahil eder. 10. Dış değerlendirme çalışması, iç denetim faaliyetinin (biriminin) aşağıdaki unsurlarını içeren geniş bir kapsamda yapılmalıdır: • İç Denetimin Tanımına, Etik Kurallarına, Standartlara, iç denetim faaliyetinin (biriminin) yönetmelik, plan, politika, prosedür ve uygulamalarına ve yürürlülükteki mevzuat ve düzenlemelere uyum, • Yönetim kurulu, üst yönetim ve işletme müdürlerinin iç denetim faaliyetinden beklentileri, • Yönetişim sürecine katılan kilit gruplar arasındaki ilişkiler dahil, iç denetim faaliyetinin, kurumun yönetişim süreciyle bütünleştirilmesi, • İç denetim faaliyetinde kullanılan araç ve teknikler, • Personelin sürecin geliştirilmesine odaklanması dahil, personelin bilgi, tecrübe ve uzmanlık alanlarının karışımı, • İç denetim biriminin kurumun faaliyetlerine katma değer ve iyileştirme sağlayıp sağlamadığının tespit edilmesi. 11. Gözden geçirme çalışmasının ilk sonuçları, değerlendirme süreci sırasında ve sonucunda, İç Denetim Yöneticisi ile tartışılır. Nihai sonuçlar, İç Denetim Yöneticisine ya da kurum içinde inceletme yetkisi olan bir yetkiliye, tercihen üst yönetimden uygun kişilere ve yönetim kuruluna doğrudan iletilen raporlarla bildirilir. 12. Raporlamanın kapsamı şöyledir: • Planlanmış bir derecelendirme sürecine dayanarak, iç denetim faaliyetinin İç Denetimin Tanımına, Etik Kurallarına, Standartlara uyumu hakkında bir görüş: Burada kullanılan 11uyum" terimi, iç denetim faaliyetinin (biriminin) uygulamalarının, bir bütün olarak ele alındığında, Uluslararası Meslekî Uygulama Çerçevesinin bahsedilen bu üç unsurunun gereklerini yerine getirdiği anlamına gelir. Benzer şekilde "aykırılık" terimi de, iç denetim faaliyetinin uygulamalarında tespit edilen eksikliklerin etkisinin, faaliyetin görev ve sorumluluklarını yerine getirmesini engelleyecek kadar yüksek olması anlamına gelir. İç Denetimin Tanımına, Etik Kurallarına ve/veya tek tek Standartlara "kısmî uyum" derecesi, raporun genel kanaatiyle ilgiliyse, bağımsız değerlendirme raporunda da açıklanmalıdır. Dış değerlendirme sonuçları hakkında görüş beyan etmek, güçlü bir meslekî muhakeme, dürüstlük, azamî özen ve dikkatin bir araya getirilmesini gerektirir. • Hem değerlendirme sırasında gözlemlenen hem de faaliyete uygulanabilecek olan en iyi uygulamalar yönteminin kullanımı hakkında bir değerlendirme ve tespit, • Gerekirse, geliştirme amacına yönelik tavsiyeler, • İç Denetim Yöneticisi'nin bir eylem planını ve uygulama tarihlerini de içeren cevapları. 13. Hesap verebilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için planlanmış düzeltici tedbirlerin ayrıntılarını ve söz konusu planlanmış tedbirlerin başarıya ulaşıp ulaşmadığına dair müteakip bilgiyi de içerecek şekilde-, dış kalite değerlendirmelerinin sonuçlarını, üst yönetim, yönetim kurulu ve dış denetçiler gibi iç denetim birimiyle ilişkili menfaat sahipleriyle paylaşır. Yayın: Ocak 2009 Uygulama Önerisi 1312-2: Dış Değerlendirmeler: Bağımsız Onaylı Özdeğerlendirme 1. Ehil, bağımsız bir gözden geçirme uzmanı veya ekibinin dış değerlendirmesi, küçük çaplı iç denetim faaliyetleri (birimleri) için sorun çıkarabilir veya tam bir dış değerlendirmenin uygun veya gerekli görülmediği diğer kurumlarda bazı özel durumlar oluşabilir. Örneğin, iç denetim faaliyeti (birimi) (a) aşırı düzenleme ve/veya gözetimin olduğu bir sektörde olabilir, (b) yönetişim ve iç kontrol ile ilgili yoğun bir dış gözetim ve yönlendirmenin olduğu bir alanda olabilir, (c) en iyi uygulamalarla yoğun kıyaslamaların (benchmarking) dış değerlendirme veya danışmanlık hizmetleri tarafından henüz yapılmış olduğu bir ortamda olabilir veya (d) İç Denetim Yöneticisinin, dahili KGGP'nin (Kalite Güvence ve Geliştirme Programı) gücünü ve çalışanların gelişimini değerlendirmeye yönelik bir özdeğerlendirmenin (self- assessment) faydalarının, kurum 'dışından' bir ekip tarafından yapılan kalite değerlendirmesinin faydalarından fazla olduğunu düşündüğü durumlar olabilir. 2. "Bağımsız (dış) onaylı bir özdeğerlendirme" şunları içerir: • En azından İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun değerlendirilmesi konusunda, dış değerlendirme sürecinden daha etkili olacak şekilde kapsamlı ve bütünüyle kayıtlı hâle getirilmiş özdeğerlendirme süreci, • Vasıflı bir gözden geçirme uzmanı tarafından yerinde gerçekleştirilen bağımsız onay (on- site validation) çalışması, • Ekonomik zaman ve kaynak ihtiyaçları -örneğin, Standartlara uyumun öncelikli odak konusu olması-. • Kıyaslama (benchmarking), en iyi uygulamalar yönteminin kullanılmasıyla ilgili danışmanlık ve gözden geçirme çalışması, üst yönetim ve operasyonel birimlerin yönetimleri ile yapılan görüşmeler gibi- diğer konulara verilen sınırlı dikkat azaltılabilir. Ancak değerlendirmenin bu parçalarından elde edilen bilgiler, bir dış değerlendirme için çok yararlı bilgilerden biridir. 3. Bağımsız onaylı bir özdeğerlendirme için Uygulama Önerisi 1312-1'de belirtilen kılavuzluk esasları ve kıstaslar da uygulanabilir. 4. Bir İç Denetim Yöneticisinin yönetimi altındaki bir ekip, özdeğerlendirme sürecinin tamamını yürütür ve süreci tam olarak belgelendirir. Dış değerlendirme sonucunda hazırlanana benzer taslak bir rapor, İç Denetim Yöneticisi'nin Standartlara uyulduğuna dair görüşünü de içericek şekilde hazırlanmalıdır. 5. Vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi, özdeğerlendirme sonuçlarını onaylamak ve iç denetim faaliyetinin (birimin) İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uygunluk seviyesini açıklamak amacıyla yeteri kadar özdeğerlendirme (self- assessment) testleri uygular. Bağımsız onay çalışması, IIA' nın Kalite Değerlendirme Kılavuzu'nda belirtilen süreçteki veya benzer kapsamlı başka bir süreçteki aşamaları izler. 6. Bağımsız onayın bir parçası olarak, -özdeğerlendirme ekibine ait İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyuma ilişkin değerlendirmeleri de dikkatli bir şekilde gözden geçirerekbağımsız onay sürecini tamamladıktan sonra, bağımsız dış gözden geçirmeci: • taslak raporu gözden geçirir ve -varsa- çözüme kavuşmamış hususlar konusunda uzlaşma sağlamaya çalışır. • Eğer, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uygunluk konusundaki özdeğerlendirme ekibine ait değerlendirmelerle mutabıksa, gerektiğinde ve uygun gördüğü ölçüde, bu mutabakatı, rapordaki tespitler, sonuçlar ve öneriler kısmına ekler. • Özdeğerlendirme ekibine ait değerlendirmeler ile mutabık değilse, rapora, uygun gördüğü ölçüde, önemli bulguları, sonuçları ve önerileri ile birlikte mutabık olmadığı noktaları da belirten bir kısım ekler. • Alternatif olarak, özdeğerlendirme raporuna ek olarak, yukarıdaki kapsamda, mutabakat veya mutabakatsızları belirten ayrı bir bağımsız onay raporu hazırlayabilir. 7. Bağımsız onayı haiz nihaî özdeğerlendirme raporları özdeğerlendirme ekibi ve vasıflı, bağımsız dış gözden geçirme uzmanları tarafından imzalanır ve İç Denetim Yöneticisi tarafından üst yönetime ve yönetim kuruluna sunulur. 8. Güvenilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için alınmış planlı düzeltici faaliyetlerin özelliklerini ve bu planlı düzeltici faaliyetlerin gerçekleştirilmesine dair takip eden bilgileri içerecek şekilde, dış kalite değerlendirmelerinin sonuçlarını, üst yönetim, yönetim kurulu ve dış denetçiler gibi değişik taraflarla paylaşır. • ** Yayın: Ocak 2009 Uygulama Önerisi 1312-3: Özel Sektörde Dış Değerlendirme Ekibinin Bağımsızlığı İlgili Ana Standart 1312 - Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek zorundadır. Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair ihtiyacı göz önünde bulundurur. Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu kuruluşun kontrolü altında olmayan manasına gelir. 1. Dış değerlendirmeyi yürüten değerlendirme ekibinin bütün üyeleri kurumdan ve onun iç denetim faaliyetlerini yürüten personelinden bağımsız olmalıdır. Özellikle değerlendirme ekibinin üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde bulundurulması gereken alanlar aşağıda verilmiştir: • Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak anlamına gelir. Dış değerlendiricinin seçim sürecinde, değerlendiricinin gerçek, potansiyel ya da algısal çıkar çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurum, kurum çalışanları veya iç denetim faaliyeti ile geçmişteki, şimdiki veya gelecekteki muhtemel ilişkilerden doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da her ikisini birden kapsayabilir. • Özel sektörde (yani kamuyla ilgili olmayan), aynı kurum içinden fakat bir başka departmandan-veya ilişkili kurumdan olan bireyler, her ne kadar organizasyonel olarak iç denetim faaliyetinden ayrı olsalar da, bir dış değerlendirme faaliyetinin yürütülmesi amaçları bakımından bağımsız olarak dikkate alınmaz. İlişkili kurum; iç denetim faaliyeti dış değerlendirmeye tabi olan şirketin bağlı olduğu ana ortaklık veya grup şirketler içindeki iştiraki veya düzenli gözetim ve denetimini yapan veya kalite güvence sorumluluklarını üslenen bir kuruluş olabilir. • Üç veya daha fazla kurum arasında (bir endüstrideki veya diğer bağlantılı gruptaki veya bölgesel kurumdaki ya da organizasyonun başka bir grubundaki) karşılıklı dış değerlendirme ekibi kurma düzenlemeleri, bağımsızlık amacını başaracak şekilde yapılandırılabilir. Bağımsızlık konusunda sorun doğmayacak şekilde ve bütün ekip üyelerinin gizlilik gibi meselelere bağlı kısıtlama olmaksızın sorumluluklarını yerine getirebilmelerini sağlayacak özenin gösterilmesi gerekir. İki kurum arasında karşılıklı dış değerlendirme faaliyetinin dış değerlendirme amaçları bakımından yapılması kabul edilemez. 3. Değerlendirme ekibinin bağımsızlığı ve muhtemel çıkar çatışmaları Yönetim Kurulu‟yla müzakere edilmelidir. Uygulama Önerisi 1312-4: Kamu Sektöründe Dış değerlendirme Ekibinin Bağımsızlığı İlgili Ana Standart 1312 - Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek zorundadır. Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair ihtiyacı göz önünde bulundurur. Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu kuruluşun kontrolü altında olmayan manasına gelir. 1. “Kamu sektörü” terimi devletin bütün kademeleri ile devletin sahip olduğu veya kontrolü altında bulunan otorite veya işletmeleri (kuruluşları) kapsar. Kamu sektöründe, kamunun farklı kademelerindeki iç denetim faaliyetleri dış değerlendirme amaçları için bağımsız olabilir. 2. Birleşmiş Milletler, Avrupa Komisyonu gibi özerk kuruluşlar, birçok hükümet tarafından kontrol edilen veya birçok hükümete ait olan organizasyon, kurum ve şirketleri kapsar. Böyle organizasyonların çok taraflı yapılarından ötürü özel sektör için olan rehberi izlemeleri gerekir. 3. Dış değerlendirmeyi yürütecek olan ekibin bütün üyelerinin organizasyondan ve onun denetim faaliyetini yapan personelinden bağımsız olması gerekir. Özellikle değerlendirme ekibinin üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde bulundurulması gereken alanlar aşağıda verilmiştir: • Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak anlamına gelir. Dış değerlendiricinin seçim sürecinde gerçek, potansiyel ya da algısal çıkar çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurumla veya iç denetim faaliyeti ile geçmişteki, şimdiki veya gelecekte ortaya çıkabilecek muhtemel ilişkilerden doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da her ikisini birden kapsayabilir. • Kamu sektöründe, aynı devlet kademesinde (ulusal eyalet/vilayet, ilçe veya şehrin idaresindeki) farklı kuruluşlarda ayrı iç denetim faaliyeti yürüten bireyler dış değerlendirmelerin yürütülmesi amaçları bakımından bağımsız kabul edilebilir. • Aynı hükümet kademesi içinde bir ya da daha fazla iç denetim faaliyetinin aynı İç Denetim Yöneticisi‟ne raporlanması durumunda, bu kişiler ayrı kuruluşlarda çalışıyor olsalar bile dış değerlendirmelerin yürütülmesi amaçları bakımından bağımsız kabul edilmez. Sadece bu kuruluşların her birinden bağımsız olan denetçiler dış değerlendirmeleri yürütebilirler. Uygulama Önerisi 1321-1: "Uluslararası İç Denetim Meslekî Uygulama Standartlarına Uygundur" ibaresinin Kullanılması 1. İç denetim faaliyetinin sürekli gözlemi ve dış ve iç değerlendirmeleri, iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğuna ilişkin değerlendirme yapmak ve bir görüş belirtmek için yürütülür ve uygun görülür ise geliştirme amaçlı tavsiyeler içermelidir. 2. Kullanılacak ibare, "Standartlara uygun" ya da "Standartlarla uyumlu" olabilir. Bu ibarelerden birini kullanmak için, sürekli gözlem ve periyodik iç değerlendirmelerle birlikte, her beş yıl süresince en az bir kez yapılan bir dış değerlendirme gerekir. Ayrıca bu değerlendirmelerde, iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğu sonucuna varılmış olması gereklidir. Bir dış değerlendirme iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğunu açıkça ortaya koyana kadar, uygunluk ibaresinin kullanılması uygun değildir. 3. İç Denetim Yöneticisi (İDY), beş yıllık bir dönem içerisinde bir dış değerlendirme alamama hususu da dahil olmak üzere, iç denetim faaliyetinin genel kapsamı ve işleyişini etkileyen uygunsuzluk örneklerini üst yönetime ve yönetim kuruluna açıklamaktan sorumludur. 4. İç denetim faaliyetinin uygunluk ibaresini kullanmasından önce, iç denetim faaliyetinin kendi sorumluluklarından kurtulmasına yönelik kapasitesini zayıflatan ve bir kalite değerlendirmesi (iç ya da dış) tarafından belirtilmiş herhangi bir uygunsuzluk örneğinin gerektiği şekilde iyileştirilmesi gerekir. Buna ilâveten, aşağıda yer alan hususlar gereklidir: • Uygunsuzluğun gerektiği şekilde çözüldüğü yönünde fikir birliği sağlamak için iyileştirici faaliyetlerin, ilgili değerlendirmeyi yapan kişiye (kişilere) belgelenmesi ve raporlanması. • İyileştirici faaliyetlerin ve ilgili değerlendirmeyi yapan kişinin (kişilerin) bununla ilgili fikir birliğinin üst yönetime ve yönetim kuruluna raporlanması. • ** Yayın: Ocak 2009 Uygulama Önerisi 2010-1: Denetim Planıyla Risk ve Risk Maruziyetinin İlişkileııdirilıııesi 1. İç denetim faaliyetinin (biriminin) denetim planının geliştirilmesinde, birçok İç Denetim Yöneticisi (İDY), öncelikle denetim evreninin geliştirilmesi ya da güncellenmesini faydalı bulmaktadır. Denetim evreni, gerçekleştirilebilecek bütün denetimlerin bir listesidir. İç Denetim Yöneticisi, üst yönetim ve yönetim kurulundan denetim evrenine girdi elde edebilir. 2. Denetim evreni, kurumun stratejik planından unsurlar içerebilir. Bu hâliyle denetim evreni, kurumun genel iş hedeflerini de hesaba katmakta ve yansıtmaktadır. Stratejik planlar, muhtemelen, kurumun risk karşısındaki davranışı ve planlanan hedeflere ulaşma zorluğu hakkında da fikir verir. Denetim evreni, normal şartlar altında, risk yönetim sürecinin sonuçlarından da etkilenir. Kurumun stratejik planı, kurumun içinde faaliyet gösterdiği ortam dikkate alınarak hazırlanır. Bu çevre etkenleri, denetim evrenini ve göreli risk değerlendirmesini muhtemelen etkileyecektir. 3. İç Denetim Yöneticisi, iç denetim faaliyetinin denetim planını; denetim evrenine, üst yönetim ve yönetim kurulunun görüşlerine ve kurumu etkileyen riske ve risk maruziyetlerine dair değerlendirmeye dayalı olarak hazırlar. Anahtar denetim hedefleri, genellikle üst yönetim ve yönetim kuruluna kurumun hedeflerini gerçekleştirmelerine yardım etmek için, güvence ve bilgi sağlar. Bu sağladıklarına, risk yönetimi faaliyetlerinin etkililiğinin değerlendirilmesi de dahildir. yılda bir kere değerlendirilmesi tavsiye edilir. Bazı şartlar altında, denetim planlarının kurumun işi, faaliyetleri, sistemleri ve kontrollerindeki değişiklikleri yansıtmak için daha sık (örneğin üç ayda bir) güncellenmesi gerekebilir. 5. Görev iş çizelgeleri, diğer etkenlerin yanı sıra, risk ve risk maruziyetlerinin bir değerlendirmesine dayandırılır. Önceliklendirme, kaynakların kullanılmasına dair kararların verilmesi için gereklidir. İç Denetim Yöneticisinin söz konusu öncelikleri tespit etmesine yardımcı olabilecek çeşitli risk modelleri mevcuttur. Risk modellerinin çoğunda; etki, olasılık, önemlilik, varlıkların likiditesi, yönetimin yetkinliği, iç kontrollerin kalitesi ve iç kontrollere bağlılık, değişim veya istikrar derecesi, son denetim görevinin zamanlaması ve sonuçları, karmaşıklık ve personel ve kamuyla ilişkiler gibi etkenler kullanılır. *** Yayın: Ocak 2009 Uygulama Önerisi 2010-2 İç Denetim Planlamasında Risk Yönetim Süreçlerinin Kullanılması 1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin önemli bir parçasıdır. Birçok kurum, kurumun yönetimiyle tam olarak bütünleşmesi gereken tutarlı ve kapsamlı risk yönetim yaklaşımlarını uygulamaya koyma yönünde adımlar atmaktadır. Bu yaklaşımlar şirket, işlev ve iş birimi olmak üzere, kuruluşların tüm seviyelerinde uygulanmaktadır. Yönetim, genel olarak, bir risk yönetim çerçevesini, değerlendirmenin yürütülmesi ve değerlendirme sonuçlarının dokümantasyonunda kullanır. 2. Etkili bir risk yönetim süreci, önemli dahili risklerle ilgili anahtar kontrollerin teşhis edilmesinde yardımcı olabilir. Kurumsal Risk Yönetimi (KRY) yaygın kullanılan bir terimdir. Treadway Komisyonunun Sponsor Kurumlar Komitesi (COSO), KRY'yi şöyle tanımlar: "Bir kurumun yönetim kurulunun, yönetiminin ve diğer personelinin üzerinde etkili olduğu, strateji tespitinde ve kurumun tümüne uygulanan, kurumu etkileyecek muhtemel olayları teşhis etmek ve risk iştahı içindeki riski yönetmek ve de kurumun hedeflerine ulaşma konusunda makul bir güvence sağlamak için tasarlanmış bir süreç". Kontrollerin hayata geçirilmesi, yönetimin, risk iştahı içinde kalacak biçimde, riski yönetmek için kullanabileceği yaygın bir yöntemdir. İç denetçiler, anahtar kontrolleri denetlerler ve önemli risklerin yönetimi konusunda güvence sağlarlar. 3. IIA'nın Uluslararası İç Denetim Meslekî Uygulama Standartları, kontrolü şöyle tanımlamaktadır: "Yönetim, yönetim kurulu ve diğer taraflarca, riski yönetmek ve hedeflenen amaçlara ulaşma ihtimalini arttırmak için alınan önlem. Yönetim, hedef ve amaçlara ulaşılacağına dair makul güvence sağlamak için yeterli önlemlerin uygulanışını planlar, organize eder ve yönetir." 5. Anahtar kontroller, aksi halde kabul edilemeyecek bir riski, kabul edilebilir bir seviyeye indirmeye yardımcı olan kontroller veya kontrol grubu olarak tanımlanabilir. Kontroller, riskleri yönetmek için var olan kurumsal süreçler olarak kabul edilebilir. Etkili bir risk yönetimi sürecinde (uygun dokümantasyon ile), anahtar kontroller, önemli risklerin derecelendirilmesini azaltmada itibar edilen bütün riskten etkilenen sistemlerdeki dahili ve artık riskler arasındaki farkı ayırt etmede kolaylıkla kullanılabilir. Eğer, dahilî risk için bir derecelendirme yapılmamışsa, iç denetçi dahili risk derecelendirmesi için bir tahmin yapar. Anahtar kontrolleri teşhis ederken (ve iç denetçinin, risk yönetim sürecinin olgunlaştığı ve güvenilir olduğu sonucuna vardığını varsayarak), iç denetçi şunlara bakacaktır: - Dahilî riskten artık riske önemli bir azalmanın olduğu münferit risk faktörleri (özellikle dahili risk çok yüksek ise). Bu, kurum için önemli olan kontrolleri ortaya koyar. - Çok sayıdaki riski azaltmaya yarayan kontroller. 6. İç denetim planlaması, kurumsal risk yönetim sürecinden yararlanmaya ihtiyaç duyar. Bir görevin planlanmasında iç denetçi, faaliyetin önemli risklerini ve yönetimin riski kabul edilir bir seviyeye indirmek için kullandığı araçları dikkate alır. İç denetçi, iç denetim faaliyetinin planını geliştirirken ve iç denetim kaynaklarını tahsis etmede öncelikleri belirlerken, risk değerlendirme tekniklerini kullanır. Risk değerlendirme, denetlenebilir birimleri araştırmada ve gözden geçirme için iç denetim faaliyetinin planları içine alınacak en büyük riske sahip alanları seçmede kullanılır. 7. İç denetçiler, her risk kategorisini ve kurumdaki KRY sürecini (iş yeri sağlık ve güvenliğinin iç denetimi, çevresel denetim veya karmaşık finansal araçların denetimi gibi) gözden geçirme ehliyetine sahip olmayabilirler. İç denetim yöneticisi (İDY), özel uzmanlık vasfına sahip iç denetçilerin veya dış hizmet sağlayıcılarının uygun şekilde kullanılmasını temin eder. Bunun yanında iç denetçi, diğer güvence sağlayıcılar ile koordinasyonu sağlar ve bunların işlerini dayanak almayı bir plan dahilinde dikkate alır. Bkz: Uygulama Önerisi 2050-2: Güvence Haritaları. 10. İç denetim yönetmeliği normal şartlarda, iç denetim faaliyetinin, dahili ve artık risk dahil olmak üzere, yüksek risk alanlarına yoğunlaşmasını gerektirir. İç denetim faaliyetinin, yüksek dahilî risk ve yüksek artık risk alanları ile kurumun en önem verdiği anahtar kontrol sistemlerini teşhis etmesi gerekir. Eğer iç denetim faaliyeti kabul edilemez artık risk alanlarını teşhis ederse, yönetimin, riske müdahale edilebilmesi için bilgilendirilmesi gerekir. İç denetçi, stratejik denetim planlama sürecini yönetiyor olmanın bir sonucu olarak, iç denetim faaliyet planına dahil edilmek üzere, farklı faaliyet türlerini teşhis edebilecektir. Bu faaliyetler şunlardır: • Kontrollerin gözden geçirilmesi/ güvence faaliyetleri - bu faaliyetlerde, iç denetçi, kontrol sistemlerinin yeterliliğini ve verimliliğini gözden geçirir, kontrollerin işlediği ve risklerin etkili şekilde yönetildiği konusunda güvence sağlar. • Araştırma faaliyetleri - bu faaliyetlerde kurum yönetimi, bir iş faaliyetiyle ilgili kontroller veya teşhis edilen risk alanında kabul edilemeyecek seviyede bir belirsizlik yaşamaktadır ve iç denetçi, artık riskin daha iyi anlaşılması için gerekli prosedürleri uygular. • Danışmanlık faaliyetleri - bu faaliyetlerde, iç denetçi kurumsal yönetime, kabul edilemez mevcut riskleri en aza indirmek amacıyla kontrol sistemlerinin geliştirilmesi konusunda tavsiyelerde bulunur. İç denetçiler ayrıca, riski verimsiz şekilde azaltan, gereksiz, fazla, ilgisiz, aşırı veya karmaşık kontrolleri teşhis etmeye de çalışır. Bu gibi durumlarda, kontrolün maliyeti, elde edilecek faydadan daha fazla olabilir ve bu yüzden kontrolün tasarımında verimliliği arttırma fırsatları mevcuttur. 11. İlgili risklerin teşhis edilmesini güvence altına almak için, risk teşhisine yönelik kullanılan yaklaşım, sistematiktir ve çok açık bir şekilde kayıtlı hâle getirilmiştir. Yaklaşımın kayıtlı hâle getirilmesi (dokümantasyonu), küçük kurumlarda hesap tablosu kullanımından, büyük kurumlarda özel yazılım kullanmaya kadar değişik şekillerde yapılabilir. Burada dikkat edilmesi gereken husus, risk yönetim çerçevesinin eksiksiz bir şekilde dokümantasyonudur. 12. Bir kurumda, risk yönetiminin dokümantasyonu, risk yönetim sürecinin stratejik seviyesinin altında farklı seviyelerde olabilir. Birçok kurum, stratejik seviyenin altındaki riskleri belgelendiren risk kütükleri geliştirmiştir ve belli bir konudaki önemli risklerin, ilgili dahili ve artık risklerin, anahtar kontrollerin ve riski azaltıcı unsurların dökümantasyonunu sağlamaktadır. Böylece, risk kütüklerinde belirtilen "risk sınıfları" ve "riskli tarafları" arasındaki doğrudan bağlantıları ve, uygulanabilen yerlerde, iç denetim faaliyeti marifetiyle kayıtlı hâle getirilmiş denetim evreninde halihazırda mevcut olan konuları teşhis etmek için bir hizalama çalışması yapılabilir. 13. Bazı kurumlar, birçok yüksek (veya daha yüksek) dahili risk alanları teşhis edebilir. Bu riskler, iç denetim faaliyetinin dikkatini çekebilse de, hepsinin gözden geçirilmesi her zaman mümkün değildir. Risk kütüğünde belli alanda dahili risk için yüksek (veya daha fazlası) bir sıralama (ranking) olduğu gözüküyorsa, artık risk büyük oranda olduğu gibi kalırsa ve yönetim hiçbir önlem almazsa veya iç denetim faaliyeti planlaması yapılmazsa, İç Denetim Yöneticisi (İDY), yönetim kuruluna bu alanları ayrı bir şekilde, risk analizinin ayrıntılarıyla ve iç kontrolün eksik veya etkisiz olma sebepleriyle rapor eder. 14. Düşük risk seviyeli iş birimi veya şube denetimleri, onları da denetim kapsamına almak ve risklerinin değişmediğini teyit etmek için, iç denetim faaliyeti planına periyodik olarak alınmalıdır. İç denetim faaliyeti aynı zamanda henüz denetlenmemiş açık riskleri önceliklendirmek için bir yöntem de belirler. 15. İç denetim faaliyet planı normal şartlarda şu hususlar üzerine yoğunlaşacaktır: • Yönetimin önlem almasını gerektiren kabul edilmeyen mevcut riskler. Bunlar, üst yönetiminin âcilen denetlenmesini istediği, asgarî seviyedeki anahtar kontrollerinin veya riski azaltıcı unsurların olduğu alanlar olacaktır. • Kurumun en fazla bel bağladığı kontrol sistemleri. • Dahili ve artık risk arasındaki farkın büyük olduğu alanlar. • Dahili riskin çok yüksek olduğu alanlar. 16. Münferit iç denetimler planlanırken, iç denetçi, gözden geçirilen alanla ilgili riskleri belirler ve değerlendirmesini yapar. • ** Yayın: Temmuz 2009 Uygulama Önerisi 2020-1: Bildirim ve Onay 1. İç Denetim Yöneticisi, iç denetim faaliyetinin yıllık denetim planının, iş çizelgesinin, personel kadro planının ve mali bütçesinin bir özetini yılda bir kere, gözden geçirme ve onay için, üst yönetime ve yönetim kuruluna sunar. Bu özet, üst yönetimi ve yönetim kurulunu, iç denetim çalışmasının kapsamı ve bu kapsam üzerindeki sınırlandırmalar hakkında bilgilendirir. İç Denetim Yöneticisi, bütün önemli ara değişiklikleri de onay ve bilgi için sunar. 2. Onaylanmış görev iş çizelgelerinin, personel kadro planlarının, mali bütçenin ve bunlardaki bütün önemli ara değişikliklerin, iç denetim faaliyetinin (biriminin) amaç ve planlarının kurumun ve yönetim kurulunun amaç ve planlarını destekleyip desteklemediğine ve tüm bunların iç denetim yönetmeliği ile uyumlu olup olmadığına dair üst yönetim ve yönetim kurulunun kanaat sahibi olmasını mümkün kılacak seviyede bilgi içermesi gerekir. *** Yayın: Ocak 2009 Uygulama Önerisi 2030-1: Kaynak Yönetimi 1. İç Denetim Yöneticisi, öncelikle, iç denetim yönetmeliğinde ayrıntılarıyla anlatılan iç denetimin sorumluluklarının yerine getirilmesini sağlayan iç denetim kaynaklarının yönetiminden ve yeterliliğinden sorumludur. Bu sorumluluk, üst yönetim ve yönetim kuruluna kaynak ihtiyacının etkili bir şekilde bildirilmesini ve konumunun rapor edilmesini içerir. İç denetim kaynakları içinde, çalışanlar, dış hizmet sağlayıcıları, finansal destek ve teknoloji tabanlı denetim teknikleri olabilir. İç denetim kaynaklarının yeterliliğinin güvencesi tamamen üst yönetimin ve yönetim kurulunun sorumluluğundadır. İç Denetim Yöneticisi, bu sorumluluğun yerine getirilmesinde onlara yardım etmelidir. 2. İç denetim personelinin becerileri, kabiliyetleri ve teknik bilgileri, planlanan faaliyetlere uygun olmalıdır. İç Denetim Yöneticisi, iç denetim faaliyetlerini gerçekleştirmek için gerekli olan özel becerileri belirlemek üzere, dönemsel olarak kadrosunun becerilerinin bireysel ve toplu bir değerlendirmesini yapar. Beceri değerlendirmesi, risk değerlendirme ve denetim planında tanımlanan değişik ihtiyaçları dikkate alır ve bunlar üzerine kurulur. Bu değerlendirme, teknik bilginin, dil becerilerinin, iş anlayışının, suistimalin tespit ve engelleme becerisinin, yeterliliğinin, muhasebe ve denetim uzmanlığının değerlendirilmesini içerebilir. 3. İç denetim kaynakları, denetim faaliyetlerinin, iç denetim yönetmeliğinde belirtildiği şekilde, yönetim kurulunun beklediği genişlik, derinlik ve zamanlamayla yerine getirilmesi için yeterli olmalıdır. Kaynak planlama düşünceleri, denetim evrenini, ilgili risk seviyelerini, yıllık denetim planını, kapsam beklentilerini, beklenmeyen faaliyetlerin tahminini içerir. 4. İç Denetim Yöneticisi ayrıca kaynakların etkili kullanımını da güvence altına alır. Bunun içinde, özel görevler için vasıflı ve ehil denetçilerin görevlendirilmesi de vardır. Bu ayrıca, kurumun iş yapısına, risk profiline ve coğrafi dağılımına uygun bir kaynak yaklaşımının ve organizasyonel yapının geliştirilmesini içerir. 5. Genel bir kaynak yönetimi açısından İç Denetim Yöneticisi, haleflik planlaması (succession planning), personel değerlendirmesi ve gelişim programları ve diğer insan kaynakları disiplinlerini dikkate alır. İç Denetim Yöneticisi ayrıca, bu beceriler iç denetim faaliyetinin kendisinde olsun olmasın, iç denetimin faaliyetinin kaynak ihtiyaçlarım tespit eder. Kaynak ihtiyaçlarının tespit edilmesinde diğer yaklaşımlar, dış hizmet sağlayıcılarını, şirketin diğer bölümlerindeki çalışanları veya uzman danışmanları içerir. 6. Kaynakların yapısının hassas olması sebebiyle, İç Denetim Yöneticisi, iç denetim faaliyeti için gerekli olan kaynakların yeterliği konusunda üst yönetim ve yönetim kurulu ile devamlı iletişim ve diyalog hâlinde olur. İç Denetim Yöneticisi, üst yönetime ve yönetim kuruluna kaynakların yeterliği ve durumu hakkında düzenli olarak bir durum raporu sunmalıdır. Bu amaçla, İç Denetim Yöneticisi, kaynakların genel yeterliğini gözlemlemek için uygun ölçümler, amaçlar ve hedefler geliştirir. Bunların içinde, yıllık denetim planı ile kaynakların kıyaslanması, geçici boşluk veya eksikliklerin etkisi, eğitim faaliyetleri, kurumun işinde, operasyonlarında, programlarında, sistemlerinde ve kontrollerindeki değişikliklere dayanan özel beceri ihtiyaçlarındaki değişiklikler de yer alır. *** Yayın: Ocak 2009 Uygulama Önerisi 2040-1: Politika ve Prosedürler 1. İç Denetim Yöneticisi, politika ve prosedürler geliştirir. Bütün iç denetim faaliyetleri tarafından (birimlerinin) resmî nitelikte idarî ve teknik denetim el kitapçıklarına ihtiyaç duyulmayabilir. Küçük bir iç denetim faaliyeti resmî nitelikteki bu düzenlemeler olmadan da yönetilebilir. Bunların personeli, günlük yakın bir gözetimle ve izlenmesi gereken politika ve prosedürleri belirten basit müzekkerelerle (memoranda) kontrol edilip yönlendirilebilir. Büyük iç denetim faaliyetlerinde ise iç denetim planını uygularken iç denetçilere yol gösterecek daha resmî ve kapsamlı politika ve prosedürler gereklidir. *** Yayın: Ocak 2009 Uygulama Önerisi 2050-1: Eşgüdüm (Koordinasyon) 1. Dış denetçilerin çalışmalarının gözetimi, iç denetim faaliyetiyle eşgüdümün sağlanması dahil, yönetim kurulunun sorumluluğundadır. İç ve dış denetim çalışmalarının eşgüdümü İç Denetim Yöneticisinin (İDY) sorumluluğudur. İDY, denetim işlerinin etkin eşgüdümünü sağlamak için yönetim kurulunun desteğini alır. 2. Kurumlar iç denetim kapsamındaki faaliyetlerle ilgili güvence sağlamak için dış denetçilerin çalışmalarını kullanabilirler. Bu durumlarda, İç Denetim Yöneticisi dış denetçiler tarafından gerçekleştirilen işleri anlamak için aşağıda belirtilenler dahil gerekli adımları yerine getirir: • Dış denetçilerin planladıkları çalışmaların niteliği, kapsamı ve zamanlaması, kendi çalışmaları ile birlikte iç denetçilerin planlanan çalışmalarını ve 2100 numaralı standardın gerekliliklerini karşılar. • Dış denetçinin risk ve önemlilik değerlendirmesi • İç denetim yöneticisinin (1) iç ve dış denetim çalışmalarının koordinasyonunu gerçekleştirmesi; (2) emniyet amacıyla dış denetçilerin çalışmalarını değerlendirmesi ve (3) dış denetçilerle etkin iletişim sağlaması amacıyla dış denetçilerin teknikleri, metodları ve terminolojisi. • İç denetim amaçları için dış denetçilerin çalışmalarına güvenebilmesini sağlamak için dış denetçilerin program ve çalışma kâğıtlarına erişim. İç denetçiler bu programların ve çalışma kâğıtlarının gizliliğinin sağlanmasından sorumludur. 3. Dış denetçi, çalışmasını yerine getirirken iç denetim faaliyetinin çalışmalarını dayanak alabilir. Bu durumda, iç denetim yöneticisi, dış denetçilerin iç denetim tarafından yapılan çalışmalara güvenilebilmesini sağlamak için iç denetçilerin tekniklerinin, metodlarının ve terminolojisinin analaşılabilmesi için yeterli bilgiyi sağlamak zorundadır. Dış denetim amaçları için iç denetçilerin çalışmalarına güvenebilmesini sağlamak için dış denetçilerin iç denetçilerin program ve çalışma kâğıtlarına erişimine imkân sağlanması. 4. İç ve dış denetçilerin çalışmalarının koordinasyonunun etkili bir biçimde sağlanması ve birbirlerinin çalışmalarına güvenebilmeleri için benzer teknikleri, metodları ve terminolojiyi kullanması verimli olabilir. 5. Denetim kapsamı konusunda eşgüdümü sağlamak ve aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek için, iç ve dış denetçilerin planladığı denetim faaliyetlerinin görüşülmesi gerekir. Denetim süreci sırasında, denetim çalışmalarının eşgüdümünü ve denetim faaliyetlerinin verimli ve zamanında tamamlanmasını sağlamak ve o güne kadar yapılan işlerle ilgili gözlem ve tavsiyelerin planlanan işlerin kapsamında bir ayarlama yapılmasını gerektirip gerektirmediğine karar vermek amacıyla, yeterli sayıda toplantı düzenlenmelidir. 6. İç denetim biriminin nihaî rapor ve yazıları, yönetimin bu rapor ve yazılara verdiği yanıtlar ve daha sonraki takip çalışmaları, dış denetçilere de açık olmalıdır. Bu rapor ve yazılar, dış denetçilerin denetim işlerinin kapsam ve zamanlamasını tespit etmesine ve gerekli ayarlamaları yapmasına yardımcı olur. Ayrıca, iç denetçilerin de dış denetçilerin sunumlarına, raporlarına ve bunlarla ilgili idari yazılara erişebilmesi gerekir. Bunlarda ele alınan ve tartışılan sorun ve konular, İDY tarafından anlaşılmalı ve iç denetçilerin gelecekteki iç denetim çalışmalarında öne çıkartılması gereken alan ve konuların planlanmasında kullanılmalıdır. İdarî yazışmaların incelenmesinden ve ilgili yöneticilerin ve yönetim kurulunun gereken düzeltici tedbirleri başlatmasından sonra, İDY gerekli takip ve düzeltme çalışmasının yapılmasını sağlamalıdır. 7. İç Denetim Yöneticisi, iç ve dış denetçiler arasındaki eşgüdümü düzenli olarak değerlendirmelidir. Bu değerlendirmeler, toplam denetim maliyeti de dahil, iç ve dış denetim işlevlerinin genel etkililik ve verimliliğini de içerebilir. İDY, bu değerlendirmelerin sonuçlarını, dış denetçilerin performansına yönelik yorumuyla birlikte, üst yönetime ve yönetim kuruluna iletir. *4* Yayın: Ocak 2009 Uygulama Önerisi 2050-2: Güvence Haritaları 1. Yönetim kurulunun en önemli sorumluluklarından birisi, süreçlerin belirtilen hedeflere ulaşmak için koyulan parametreler doğrultusunda işlediği konusunda güvence elde etmektir. Risk yönetim 4 Yönetime rapor veren ve/veya yönetimin bir parçası olanlar (yönetim güvencesi), kontrol özdeğerlendirmelerini yapan kişiler dahil, kalite denetçileri, çevre denetçileri ve yönetimin belirlediği diğer güvence personeli. • İç denetim dahil, yönetim kuruluna rapor verenler. süreçlerinin etkili bir şekilde yürüdüğünün ve anahtar veya kritik iş risklerinin, kabul edilir bir seviyede yönetilip yönetilmediğinin tespit edilmesi gerekmektedir. 2. Üst yönetimin ve yönetim kurullarının rollerine ve sorumluluklarına gösterilen dikkatin artması, birçok kurumun, güvence faaliyetlerine daha büyük bir önem vermesine sebep olmuştur. Standartların Terimler Sözlüğü'nde 'güvence' şöyle tanımlanmaktadır: "Kurumun yönetişim, risk yönetimi ve kontrol süreçlerine ilişkin bağımsız değerlendirmenin sağlanması amacıyla kanıtların tarafsız olarak incelenmesi". Yönetim kurulu, sağlam bir güvence elde etmek için birçok kaynak kullanacaktır. Yönetimden alınan güvence, esas teşkil eder ve bu güvence, iç denetimden ve üçüncü partilerden gelecek objektif güvence ile tamamlanmalıdır. Risk yöneticileri, iç denetçiler ve uyum görevlileri (compliance practitioners) şu soruyu sorarlar: "Kim, neyi niçin yapar?" Özellikle yönetim kurulları, güvencenin kim tarafından verildiğini, işlevler arasındaki sınırın nerede bitip nerede başladığını ve bir çakışma olup olmadığını sorgulamaya başladılar. 3. Temel olarak üç sınıf güvence sağlayıcısı vardır. Aralarındaki fark, hizmet ettikleri paydaşlardan, güvence sağladıkları faaliyetlerdeki bağımsızlık seviyelerinden ve bu güvencenin sağlamlığından kaynaklanır. • Dış hissedarlara rapor verenler (dış denetim güvencesi), ki bunların işleri tamamen bağımsız/yasal denetçi tarafından yerine getirilir. İstenen güvencenin seviyesi ve bu güvenceyi kimin sağlayacağı, riske göre değişir. 4. Bir kurum için birçok güvence sağlayıcısı vardır. • Alt yönetim ve çalışanlar (yönetim, sorumlu olduğu riskler ve kontroller için birinci seviyeden koruma sağlar.) • Üst yönetim. • İç ve dış denetçiler. • Uyum. • Kalite güvencesi. • Risk yönetimi. • Çevresel denetçiler. • İş yeri sağlık ve güvenlik denetçileri. • Kamu performans denetçileri. • Finansal raporlama denetim ekipleri. • Yönetim kurulunun alt komiteleri (denetim, sigorta, kredi, yönetişim komiteleri gibi). • Araştırmalar, uzman incelemeleri (sağlık ve güvenlik), v.b. dahil, dış güvence sağlayıcıları. 5. İç denetim faaliyeti normal şartlarda, tüm kuruma güvence sağlayacaktır. Buna, (hem tasarım hem de etkili işleyişleri konusunda) risk yönetim süreçleri, "anahtar" olarak sınıflandırılan bu risklerin yönetimi (kontrollerin etkililiği ve bunlara karşı alınan diğer tedbirler dahil), risk değerlendirmesinin güvenilirliğinin ve uygunluğunun doğrulanması ve risk ve kontrol durumlarının raporlandırılması da dahildir. 6. Güvence faaliyetlerinin sorumluluğu geleneksel olarak yönetim, iç denetim, risk yönetimi ve uyum arasında paylaşıldığından, güvence faaliyetlerinin, kaynakların en verimli ve etkili şekilde kullanılmak üzere koordine edilmesi çok önemlidir. Birçok kurum, geleneksel (ve müstakil) iç denetim, risk ve uyum faaliyetleri ile çalışır. Kurumlarda, farklı risk yönetimi, uyum grupları vardır ve güvence işlevleri birbirinden bağımsız iş yaparlar. Etkili bir koordinasyon ve raporlama olmazsa, çifte iş yükü oluşabilir veya anahtar riskler gözden kaçırılabilir ya da yanlış değerlendirilebilir. 7. Birçok kurum, iç denetim, risk yönetimi ve uyum faaliyetlerini izlerken, çoğu bu faaliyetleri bütünsel bir bakış açısıyla gözlemlemez. Bir güvence haritası çalışmasında, bir kurumun anahtar risklerini kapsayacak güvence haritası çıkartılır. Bu süreçte, kurumun risk yönetim sürecinde bütün eksikliklerinin teşhis edilmesi ve ele alınması sağlanır ve hissedarlara, risklerin yönetildiği ve rapor edildiği, ayrıca düzenleme ve yasal yükümlülüklerin de yerine getirildiği garantisi verilir. Kurumlar, karşılaştıkları riskler ve bu risklere nasıl karşılık verildiği konusunda yönetime bilgi verildiği için, böylesine düzenli bir yaklaşımdan oldukça kârlı çıkacaklardır. Haritalandırma, tüm kurum dikkate alınarak yapılır ve böylece, tüm risk ve güvence rolleri ve sorumluluklar yerli yerine oturur. Buradaki amaç, ortada kapsamlı bir risk ve güvence sürecinin olduğunu ve bu süreçte harcanan iş yükünün artmadığını ve muhtemel açıklar olmadığını garanti altına almaktır. 8. Çoğu zaman bir kurum, risk yönetim çerçevesini oluşturan önemli risk sınıflarını tanımlamış olacaktır. Bu gibi durumlarda, güvence haritası bu çerçevenin yapısını temel alacaktır. Örneğin, bir güvence haritasında şu sütunlar olabilir: • Önemli risk sınıfı • Riskten sorumlu yönetimin rolü (riskin sahibi) • Dahili risk derecelendirmesi • Artık risk derecelendirmesi • Dış denetimin kapsamı • İç denetimin kapsamı • Diğer güvence sağlayıcısının kapsamı Bu örnekte, iç denetim yöneticisi (İDY), iç denetimin kapsamı sütununu henüz tamamlanmış bir kapsamla doldurabilir. Genellikle önemli her bir riskin bir sahibi veya bu riskle ilgili güvence faaliyetinin koordine edilmesinden sorumlu biri vardır ve bu kişi, diğer güvence sağlayıcısının kapsam sütununu dolduracaktır. Kurum içindeki her bir önemli birimin kendi güvence haritası olabilir. Ya da bunun yerine, iç denetim faaliyeti, kurumun güvence haritasının geliştirilmesi ve tamamlanmasında bir koordinasyon rolü üstlenebilir. 9. Kurumun güvence haritası tamamlandığında, yetersiz güvence kapsamlı önemli riskler veya fazladan gayret harcanmış güvence kapsamlı alanlar teşhis edilebilir. Üst yönetim ve yönetim kurulunun, bu riskler için güvence kapsamıyla ilgili değişiklikler yapması gerekecektir. İç denetim faaliyetinde, yetersiz kapsamlı alanları, iç denetim planı geliştirilirken dikkate alınmalıdır. 10. İç denetim faaliyetinin rolünü ve sağladığı güvence seviyesini netleştirmek, yönetim kurulunun ve kurumun ihtiyaç duyduğu bağımsız güvence gereksinimlerini anlamak iç denetim yöneticisinin sorumluluğundadır. Yönetim kurulu, bütün güvence sürecinin olması gerektiği gibi işlediğinden ve kurumun risklerinin etkili bir şekilde yönetildiğinden ve raporlandığından emin olmalıdır. 11. Yönetim kurulu, her bir risk sınıfında hem uygulanan hem de planlanan güvence faaliyetleri konusunda bilgi almalıdır. İç denetim faaliyeti ve diğer güvence sağlayıcılar, yönetim kuruluna kurumun belli kategorilerinde var olan riskin seviyeleri ve niteliği için uygun seviyede güvenceyi sunar. 12. İç denetim yöneticisinin genel bir fikir sunmasını isteyen kurumlarda, iç denetim yöneticisi, kurumun yönetişimi, risk yönetimi ve kontrol süreçleriyle ilgili genel bir fikir sunmadan önce, diğer güvence sağlayıcılarının yaptıklarını dikkate almak için (uygun olduğunda dayanak almak için), entegre güvence haritasının yapısını, kapsamını ve büyüklüğünü anlamalıdır. IIA'nın 'Practice Guide Formulating and Expressing Internal Audit Opinions' (İç Denetim Düşüncelerinin Hazırlanması ve Sunulmasına Dair Uygulama Rehberi) isimli yayınında ilâve yönlendirmeler bulunabilir. 13. Kurumun genel bir fikir istemediği durumlarda, iç denetim yöneticisi, güvencede bilinen ve kabul edilen hiçbir açıklık veya boşluğun olmadığını temin etmek için, güvence sağlayıcılarının koordinasyonunu sağlayabilir. İç denetim yöneticisi, diğer güvence sağlayıcılardaki herhangi bir girdi/ilgi/gözetim/güvence eksikliğini rapor eder. Eğer iç denetim yöneticisi, güvence kapsamının uygun veya yeterli olmadığına hükmederse, üst yönetim ve yönetim kuruluna bu yönde tavsiyede bulunulması gerekir. 14. İç denetim yöneticisi, Standart 2050'ye göre, diğer güvence sağlayıcılarla olan faaliyetleri eşgüdümlü hâle getirir; bunun için güvence haritasından yararlanılabilir. Güvence haritaları her geçen gün, bu eşgüdümün daha etkili bir şekilde yapılmasını sağlamaktadır. *** Yayın: Temmuz 2009 Uygulama Önerisi 2050-3: Diğer Güvence Sağlayıcıların Çalışmalarına Güvenme (Ekim 2010) İlgili Ana Standart 2050 – Eşgüdüm (Koordinasyon) İç Denetim Yöneticisi; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, güvence ve danışmanlık hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetleri bunlarla eşgüdüm içinde sürdürmelidir. 1. İç denetçi, Yönetim Kurulu‟na kurumsal yönetişim, risk yönetimi ve kontrol güvencesi sağlamada diğer iç ve dış sağlayıcıların çalışmalarından yararlanabilir veya bu çalışmalara güvenebilir. İç güvence sağlayıcılar; yönetimin gözlemleme faaliyetleri yanında, (Mevzuata) Uygunluk, Bilgi Güvenliği, Kalite, İş Sağlığı ve Güvenliği gibi işletme fonksiyonlarını içerebilir. Dış güvence sağlayıcılar; bağımsız denetçileri, ortak teşebbüs paydaşlarını, uzman görüşlerini veya Uluslararası Güvence Hizmetleri (bağımsız denetim) Standardı 3402: Bir Hizmet Örgütündeki Kontrollere İlişkin Güvence Raporları Standardına göre raporlama yapanlar da dahil olmak üzere üçüncü taraf denetim şirketlerini içerebilir. 2. Diğer güvence sağlayıcıların çalışmalarına güvenme kararı; iç denetim faaliyetinin yetkinliklerinin dışında kalan alanlar dahil olmak üzere, diğer güvence sağlayıcılarından bilgi almak veya iç denetim planının dışında kalan riskin karşılanma düzeyini verimli bir şekilde arttırmak gibi çok çeşitli nedenlerle olabilir. 3. İç denetim yönetmeliği ve/veya denetim sözleşmesi, iç denetim faaliyetinin diğer iç ve dış güvence sağlayıcıların çalışmalarına erişebileceğini belirtmelidir. 4. Güvence sağlayıcısı tutması durumunda, iç denetçi görev beklentilerini bir kontrat ya da anlaşma olarak yazılı hale getirmelidir. Çıktıların niteliği ve aidiyeti, metot/teknikler, kullanılacak bilgi ve prosedürlerin doğası gereği, yapılan işin uygunluğundan emin olmak için kullanılacak ilerleme raporları/gözetimi ve raporlama gereksinimleri için olası en küçük beklentiler karşılanmalıdır. 5. Eğer kurum yönetimi üçüncü taraf bir güvence sağlayıcıyla sözleşme imzalarsa veya o yönde bir talimat verirse iç denetçinin talimatın uygun olduğu, anlaşıldığı ve yerine getirildiği konusunda ikna olması gereklidir. 6. İç denetçi diğer güvence sağlayıcının çalışmasının doğruluğuna güvenip güvenmeyeceğine veya onun çalışmasını kullanıp kullanmayacağına karar verirken, güvence sağlayıcının bağımsızlık ve tarafsızlığını göz önünde bulundurması gereklidir. Eğer bir güvence sağlayıcı iç denetim yerine yönetim tarafından tutulduysa ve/veya yönetiliyorsa, bu düzenlemenin güvence sağlayıcının bağımsızlık ve tarafsızlığına etkisinin değerlendirilmesi gereklidir. 7. İç denetçi güvence sağlayıcının yetkinliğini ve niteliğini değerlendirmelidir. Yeterliliğe dair örnekler; güvence sağlayıcının uygun mesleki deneyime ve niteliğe sahip olduğunun doğrulanması, ilgili mesleki kurum veya enstitülerde güncel kaydının olması ve sektörde yetkinliği ve dürüstlüğü ile tanınmasını kapsar. 8. İç denetçinin, Standart 2310: Bilgilerin tespiti ve Tanımlanması gereği güvence sağlayıcının uygulamalarının makul bir güvenceye sahip olduğu, bulguların yeterli, güvenilir, ilgili ve yararlı bilgiye dayandırılmış olduğu kanaatinde olmalıdır. Diğer güvence sağlayıcının çalışmasının hangi ölçüde kullanıldığına bakılmaksızın, Standart 2310‟un gereğinin İç Denetim Yöneticisi tarafından yerine getirilmesi zorunludur. 9. İç denetçi güvence sağlayıcının çalışmasının uygun bir şekilde planlandığından, yönetildiğinden, dokümante edildiğinden ve değerlendirildiğinden emin olmalıdır. İç denetçi güvence sağlayıcısının çalışmasının kullanılabilirlik ve güvenilebilirlik oranını saptayabilmek için denetim bulgularının uygun ve yeterli olup olmadığını değerlendirmelidir. Diğer güvence sağlayıcı tarafından yapılan çalışmanın değerlendirmesine bağlı olarak uygun ve yeterli denetim bulgusuna ulaşabilmek için ek çalışmalara ya da test prosedürlerine ihtiyaç duyulabilir. İç denetçi güvence Uygulama Önerisi 2110-3: Yönetişim: Değerlendirmeler (Nisan 2010) İlgili Ana Standart 2110 – Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır: • Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi, • Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini, • Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi, • Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak. 1. İç denetçiler yönetişim uygulamalarının gelişimini değerlendirmede ve katkıda bulunmada bazı farklı yetkilerle hareket edebilirler. Bilindiği üzere, iç denetçiler kurumun yönetişim süreçlerinin tasarım ve işleyiş etkinliğinin bağımsız, tarafsız değerlendirmesini sağlar. Ayrıca, bu süreçleri geliştirme yöntemleri hakkında danışmanlık hizmetleri ve tavsiyeler de sunabilirler. Bazı durumlarda iç denetçilerden, yönetişim uygulamalarının öz değerlendirmeleri konusunda Yönetim Kurulu‟na yardımcı olmaları istenebilir. 2. Uygulama Önerisi 2110-1 Yönetişim: Tanım‟da belirtildiği üzere, denetim amaçlı yönetişimin tanımı üzerinde, uygun olduğu ölçüde Yönetim Kurulu ve üst düzey yöneticilerin anlaşması gereklidir. Buna ek olarak, iç denetçinin kurumun yönetişim süreçlerini ve yönetişim, risk ve kontrol arasındaki ilişkileri anlaması gereklidir. (Uygulama Önerisi 2110-2 Yönetişim: Risk ve Kontrolle İlişki‟ye bakınız.) 3. Denetim planının, kuruma yönelik risklerin değerlendirilmesine dayandırılarak oluşturulması gereklidir. Risk değerlendirmesinde tüm yönetişim süreçlerinin göz önünde bulundurulması gereklidir. Bu Planın, süreçlerin değerlendirilmesi veya yönetimin yapılmasını talep ettiği işlerde dikkate alınması gereken riskli alanlar da dahil olmak üzere daha yüksek risk içeren yönetişim süreçlerini kapsaması gereklidir. Planın yürütülmesi gereken işin niteliğini, uyulması gereken yönetişim süreçlerini ve yapılacak değerlendirmelerin yapısını (örneğin makro olarak - tüm yönetişim çerçevesini dikkate almak veya mikro olarak- belirli riskleri, süreçleri, faaliyetleri veya bunların her ikisinin bazı bileşimlerini dikkate almak) tarif etmesi gereklidir. 4. Bilinen kontrol sorunları varsa veya yönetişim süreci olgunlaşmamışsa, İç Denetim Yöneticisi biçimsel değerlendirmelere ek olarak veya bunların yerine danışmanlık hizmetlerini kullanarak kontrol ve yönetişim süreçlerini geliştirmede farklı metotları değerlendirebilir. 5. Yönetişim süreçleriyle ilgili iç denetim değerlendirmelerinin zaman içinde yürütülen sayısız denetim görevinden elde edilen bilgiye dayanıyor olması muhtemeldir. İç denetçinin aşağıdaki hususları dikkate alması gereklidir: • Özellikli yönetişim süreçlerinin denetim sonuçları (örneğin ihbar süreci, strateji yönetim süreci). • Özellikle yönetişime odaklanmayan denetimlerde ortaya çıkan yönetişim sorunları (örneğin risk yönetimi süreci denetimleri, finansal raporlama üzerindeki kontroller, hile riski) • Diğer iç ve dış güvence sağlayıcıların çalışmalarının sonuçları (örneğin baş hukuk danışmanı tarafından soruşturma sürecini incelemek üzere görevlendirilen bir şirket). (Uygulama Önerisi 2050 - Eşgüdüm‟e bakınız.) • Yönetişim süreçlerinin geliştirilmesi için bir fırsata işaret eden olumsuz olaylar gibi yönetişim sorunları hakkındaki diğer bilgiler. 6. İç denetçinin, planlama, değerlendirme ve raporlama aşamalarında, sonuçların niteliği ve detaylandırılma potansiyeline karşı duyarlı olması ve Yönetim Kurulu ve üst yöneticilerle uygun iletişimi sağlaması gereklidir. İç denetçinin denetime başlamadan ve raporu sonuçlandırmadan önce hukuk danışmanına danışmayı düşünmesi gereklidir. 7. İç denetim faaliyeti yönetişim sürecinin asli bir parçasıdır. Yönetim Kurulu ve üst yöneticilerin, iç denetimin etkililiğinin güvencesi olarak, Uluslararası İç Denetim Mesleki Uygulama Standartları‟na uygun olarak yürütülen dış kalite değerlendirmeleri ile bağlantılı bir şekilde iç denetim faaliyetinin kalite güvence ve geliştirme programının doğruluğuna güvenebilmesi gereklidir. Uygulama Önerisi 2060-1: Üst Yönetime ve Yönetim Kuruluna Raporlamalar 1. İç Denetim Yöneticisinin, üst yönetime ve yönetim kuruluna yıl boyunca dönemsel olarak faaliyet raporları sunması gerekir. Bu faaliyet raporları, görevle ilgili önemli tespit ve tavsiyeleri içermeli ve onaylanmış görev iş programları, personel (kadro) planları, mali bütçelerden önemli sapmalar ile bunların sebeplerini ve alınan veya alınması gereken tedbirleri üst yönetime ve yönetim kuruluna bildirmelidir. 2. Görev esnasında elde edilen önemli tespitler, İç Denetim Yöneticisinin görüş ve kanaatine göre, kurumu olumsuz etkileyebilecek durumlardır. Bu önemli tespitler; suistimaller, usulsüzlükler, yasa dışı fiil ve işlemler, hatâlar, verimsizlik, israf, etkisizlik, çıkar çatışmaları ve kontrol zayıflıkları gibi durumları kapsayabilir. 3. Üst yönetim ve yönetim kurulu, önemli tesbit ve tavsiyelerle ilgili alınması gereken tedbirler hakkında kararlar alır. Üst yönetim ve yönetim kurulu, maliyetinden veya başka hususlardan dolayı, rapor edilen bir sorunu düzeltmeme ve çözmeme riskini üstlenmeye karar verebilir. Üst yönetimin önemli tespit ve tavsiyelere ilişkin bütün kararlarının, yönetim kuruluna bildirilmesi gerekir. 4. Üst yönetimin ve yönetim kurulunun rapor edilen sorunu düzeltmeme ve çözmeme riskini üstlendiği durumlarda, İç Denetim Yönetici, görevle ilgili olarak daha önce rapor edilen önemli tespit ve tavsiyeler hakkında yönetim kuruluna bilgi vermenin uygunluğunu değerlendirir. Bu, risk profilini etkileyen önemli değişiklikler olduğu zaman, gerekli olabilir. *** Yayın: Ocak 2009 Uygulama Önerisi 2060-1: Üst Yönetim ve Yönetim Kuruluna Raporlama (Mayıs 2010) İlgili Ana Standart 2060 - Üst Yönetim ve Yönetim Kuruluna Raporlama İç Denetim Yöneticisi, iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve plana kıyasla performansı konularında, üst yönetime ve Yönetim Kurulu‟na dönemsel raporlar sunmak zorundadır. Bu raporlar, suiistimal risklerini, yönetişim sorunlarını ve üst yönetimin ve denetim komitesinin, Yönetim Kurulu‟nun ihtiyaç duyabileceği veya talep edebileceği başka konuların da dahil olduğu önemli riskleri ve kontrol sorunlarını içermek zorundadır. Yorum: Raporlamanın sıklığı ve içeriği, üst yönetim, denetim komitesi ve yönetim kurulu ile tartışılarak belirlenir ve iletilecek bilginin önemine ve üst yönetim, denetim komitesi ve yönetim kurulu tarafından alınacak tedbirlerin aciliyetine bağlıdır. 1. Raporlamanın amacı üst yönetime ve Yönetim Kurulu‟na; yönetişim süreci (Standart 2110), risk yönetimi (Standart 2120) ve kontrol (Standart 2130) hakkında güvence sağlamaktır. İç Denetim Yöneticisi, Yönetim Kurulu ile doğrudan iletişim kurmak ve karşılıklı etkileşimde bulunmak zorundadır. Standart 1111‟e göre “İç Denetim Yöneticisi Yönetim Kurulu ile doğrudan iletişim ve etkileşimde olmak zorundadır.” 2. İç Denetim Yöneticisi (İDY), iç denetim biriminin yönetmeliği (örneğin amacı, yetkisi, sorumlulukları) ve performansı konusunda üst yönetime yapılacak olan raporlamanın sıklığı ve niteliğini Yönetim Kurulu ile kararlaştırmalıdır. Performans raporlaması, üst yönetim ve Yönetim Kurulu‟nu onaylanmış denetim planı, personel atama planları ve finansal bütçelerden önemli sapmalar ile bu sapmaların nedenleri ve alınması gereken tedbirler hakkında bilgilendirmesi gereken en son onaylı denetim planı ile ilintili olmalıdır. Standart 1320‟e göre “İç Denetim Yöneticisi‟nin, uygulanan kalite güvence ve geliştirme programının sonuçlarını üst yönetime ve Yönetim Kurulu‟na iletmek zorundadır.” 3. Maruz kalınabilecek önemli riskler ve kontrol sorunları, İDY‟nin görüşüne göre; kurumu ve onun stratejik, finansal raporlama, faaliyet ve uygunluk amaçlarına erişme yeteneğini olumsuz etkileyebilecek koşullardır. Önemli sorunlar; kontrol zafiyeti, yolsuzluk (hile), düzensizlik, yasa dışı faaliyet, hata, verimsizlik, israf, etkin olamama, çıkar çatışması ve finansal sürdürülebilirlik dahil, kabul edilemez iç ve dış risklere maruz bırakabilir. 4. Üst yönetim ve Yönetim Kurulu önemli sorunlara karşı alınması uygun olan tedbirler hakkında kararlar alır. Bu yöneticiler, maliyet veya diğer etkenlerle, raporlanan koşulun düzeltilmemesi riskini üstlenme kararı alabilirler. Üst yönetim, iç denetim tarafından ortaya konulan bütün önemli sorunlar hakkında Yönetim Kurulunu bilgilendirmelidir. 5. İDY, kurumun kabul edilemez olarak değerlendireceği bir riskin üst yönetim tarafından üstlenildiğine inandığında, İDY bu konuyu üst yönetimle Standart 2600‟de belirtildiği şekilde tartışmak zorundadır. İDY yönetimin kararının dayanağını anlamalı, uyuşmazlığın sebebini belirlemeli ve yönetimin bu riski üstlenme yetkisi olup olmadığını saptamalıdır. Uyuşmazlıklar; riskin olasılığı ve potansiyel etkisi, risk iştahı konusundaki anlayış, maliyet ve kontrolün düzeyine ilişkin olabilir, İDY, uyuşmazlığı, tercihen üst yönetimle çözmelidir. 6. Şayet İDY ile üst yönetim bir uzlaşıya varamazsa, Standart 2600 İDY‟nin Yönetim Kurulunu bilgilendirmesini öngörür. Mümkünse, İDY ve yönetim, çatışan durumlar hakkında ortak bir sunum yapmalıdır. Finansal raporlama sorunları için, İDY‟lerinin bu sorunları uygun bir zamanlama ile dış denetçilerle tartışmayı göz önünde bulundurması gereklidir. Uygulama Önerisi 2110-1: Yönetişim: Tanım (Nisan 2010) İlgili Ana Standart 2110 – Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır: • Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi, • Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini, • Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi, • Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak. 1. İç denetimin tanımında da belirtildiği üzere iç denetim rolü güvence işlevinin bir parçası olarak yönetişim süreçlerini değerlendirme ve geliştirme sorumluluğunu içerir. 2. Yönetişim kavramının yasal çerçevelerin yanı sıra çeşitli çevresel, yapısal ve kültürel koşullara dayanan bir dizi tanımı bulunmaktadır. Uluslararası İç Denetim Mesleki Uygulama Standartları, yönetişimi; “Kurumun amaçlarının başarılmasına yönelik olarak Yönetim Kurulu tarafından faaliyetlerin bildirilmesi, yönlendirilmesi, yönetilmesi ve izlenmesi için uygulanan yapı ve süreçlerin bir birleşimi” olarak tanımlamaktadır. İç Denetim Yöneticisi (İDY) kurumun farklı yönetişim çerçeveleri veya modelleri benimsemesi halinde, denetim amaçları doğrultusunda farklı bir tanım kullanabilir. 3. Dünya genelinde, diğer kuruluşlar ve yasal ve düzenleyici kurumlar tarafından yayımlanmış çok sayıda yönetişim modeli bulunmaktadır. Örneğin Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) yönetişimi; “…şirketin yönetimi, Yönetim Kurulu, hissedarları ve diğer paydaşları arasındaki ilişkiler bütünü” olarak tanımlamaktadır. OECD‟ye göre “Kurumsal yönetişim, şirketin amaçlarının oluşturulduğu ve bu amaçlara ulaşma ve performansı izleme araçlarının belirlendiği bir yapı sağlar.” Avustralya Menkul Kıymetler Borsası Kurumsal Yönetim Konseyi yönetişimi; “…şirketlerin yönlendirildiği ve yönetildiği bir sistem” olarak tanımlar ve “Böyle bir sistem şirketin amaçlarının nasıl oluşturulacağını ve başarılacağını, riskin nasıl izleneceği ve değerlendirileceğini, performansın nasıl en iyi düzeye çıkarılacağını etkiler.” diye belirtir. Çoğu durumda, yönetişimin durağan olmayan bir süreç veya sistem olduğu kabul edilir. Standartlardaki yaklaşımın ayırt edici özelliği; Yönetim Kurulu‟na ve onun yönetişim faaliyetlerine özel önem vermesidir. 4. Yönetişim için gerekli çerçeveler ve gereksinimler kuruluşun türüne ve düzenleyici yasal kuruma göre değişkenlik gösterir. Örnek vermek gerekirse halka açık ticari şirketler, kar amacı gütmeyen organizasyonlar, birlikler, kamu kuruluşları veya kamu özel teşebbüsleri, akademik enstitüler, özel şirketler, komisyonlar ve menkul kıymetler borsaları gibi şirketler bu kapsamdadır. 5. Bir kurumun etkili yönetişimin ilkelerini nasıl tasarlayacağı ve uygulayacağı o kuruluşun büyüklüğüne, karmaşıklığına, yaşam süresindeki olgunluğuna, paydaşlarının yapısına, yasal ve kültürel gereksinimlerine vs. bağlı olarak da değişiklik gösterir. 6. Yönetişimin tasarım ve yapısındaki değişkenliklerin bir sonucu olarak, İç Denetim Yöneticisi‟nin, denetim amaçları açısından yönetişimin en uygun şekilde nasıl tanımlanacağına karar verebilmek için, Yönetim Kurulu ve üst yönetim ekibiyle birlikte çalışması gereklidir. Uygulama Önerisi 2120-1: Risk Yönetim Süreçlerinin Yeterliliğinin Değerlendirilmesi 1. Risk yönetimi, kurum yönetiminin, yönetim kurulunun temel sorumluluklarından biridir. İş hedeflerine ulaşabilmek için, yönetimin, kurumiçinde sağlam risk yönetimi süreçlerinin bulunmasını ve kullanılmasını sağlaması gerekir. Yönetim kurulu, uygun risk yönetimi süreçlerinin bulunup bulunmadığını ve bu süreçlerin yeterli ve etkin olup olmadığını tespit etmek konusunda gözetim görevini üstlenmiştir. Bu görev kapsamında yönetim kurulu, iç denetim faaliyetini, yönetimin uyguladığı risk süreçlerinin yeterliliği ve etkililiğini incelemesi, değerlendirmesi, rapor etmesi ve bu konuda iyileştirici önlemler önermesi için yönlendirerek kendilerine destek olmasını sağlayabilir. 2. Kurumun risk yönetimi ve kontrol süreçlerinden üst yönetim, ve yönetim kurulu sorumludur. Ancak, danışmanlık rolünü üstlenen iç denetçiler de, bu risklerin tanımlanması, değerlendirilmesi ile risk yönetimi yöntemlerinin uygulanması, bu risklerle ilgili kontrol önlemlerinin alınması ve uygulanması konularında kuruma yardımcı olabilirler. 3. Kurumun resmî risk yönetim süreçlerine sahip olmadığı durumlarda, iç denetim yöneticisi; üst yönetim ve yönetim kurulu ile kurum içinde riski anlamalarına, yönetmelerine ve izlemelerine yönelik yükümlülükleri hakkında görüşür ve üst yönetimin ve yönetim kurulunun, resmî olmasa bile, kendilerini tatmin edecek, kurum içinde anahtar risklerin görülebildiği uygun bir seviyede bir bilgi sağlayan ve risklerin nasıl yönetilebileceğini ve izlenebileceğini belirten süreçlerin varlığının gerekli olduğu konusunu tartışır. 4. İç Denetim Yöneticisi, kurumun risk yönetimi sürecinde, üst yönetim ve yönetim kurulunun iç denetim faaliyetinden beklentilerini öğrenmeli ve kavramalıdır. Bu bilgiler, iç denetim yönetmeliğine ve yönetim kurulunun yönetmeliklerine de yazılmalıdır. İç denetimin sorumluluklarının, kurumun • hiç rolü olmamaktan, • iç denetim planının bir parçası olarak risk yönetimi sürecini denetlemeye, • gözetim komitelerine, izleme faaliyetlerine ve durum raporlama çalışmalarına katılmak gibi, risk yönetim sürecinde faal ve kesintisiz destek ve katılıma, • risk yönetim sürecinin yönetimi ve koordinasyonuna kadar uzanan bir aralıkta olabilir. 5. Son olarak, iç denetimin risk yönetimi sürecindeki rolünü tespit etmek, üst yönetimin ve yönetim kurulunun görevidir. Yönetimin iç denetimin rolü konusundaki görüşü de, muhtemelen, kurumsal kültür, iç denetim personelinin kabiliyeti, ülkenin mahallî koşulları ve gelenekleri gibi etkenler dikkate alınarak belirlenir. Ancak, risk yönetim sürecine ilişkin yönetim sorumluluğunun üstlenilmesi ve iç denetim faaliyetinin bağımsızlığına ilişkin olası tehditlerin olması bu konunun detaylı olarak tartışılmasını ve yönetim kurulunun onayını gerekli kılar. 6. Muhtelif kurumların kendi risk yönetimi uygulamalarında kullandığı teknikler arasında önemli farklar olabilir. Kurumun işle ilgili faaliyetlerinin büyüklüğüne ve karmaşıklık düzeyine bağlı olarak, risk yönetimi süreçleri: • resmî veya gayriresmî olabilir, • kantitatif (nicel kıstaslara bağlı) veya sübjektif olabilir, • ilgili iş birimlerinin içine yerleştirilebilir veya kurumsal düzeyde merkezîleştirilebilir. 7. Bir kurum süreçlerini kendi kültürüne, yönetim tarzına ve iş hedeflerine bağlı bir şekilde tasarlar. Örneğin, kurumun türev araçlar kullanması veya sermaye piyasalarının başka gelişmiş ürünlerini kullanması hâlinde, kantitatif risk yönetimi araçlarının kullanılması gerekir. Daha küçük ve daha az karmaşık olan kurumlar, kurumun risk profilini tartışmak ve dönemsel eylemlere girişmek için bir gayriresmî risk kurulundan yararlanabilir.Denetçi, seçilen yöntemin kurumun faaliyetleri açısından uygun ve yeteri kadar kapsayıcı olup olmadığını belirler. 8. İç denetçiler, risk yönetimi süreçlerinin yeterliliği yönünde bir görüş belirtebilmek için, risk yönetimi süreçlerinin temel hedeflerine uygunluğundan emin olmalı ve bu konuda yeterli kanıt toplamalıdır. Bu kanıtların toplanmasında, iç denetçi, aşağıda sayılan tiplerde denetim prosedürlerini dikkate almalıdır: • Bu riskleri önlemek, izlemek ve tekrar değerlendirmek için kullanılan kontrol prosedürlerini incelemek ve kurumu etkileyebilecek riskleri ve risk maruziyetlerini tespit etmek amacıyla, kurumun yaptığı işle ilgili mevcut sektör gelişmeleri, eğilimleri, bilgileri ve başka uygun bilgi kaynaklarını araştırmak ve gözden geçirmek, • Kurumun iş stratejilerini, risk yönetimi felsefesini ve yöntemini, risk iştahını ve riskleri kabulünü tespit etmek amacıyla, kurumsal politikaları, yönetim kurulunun tutanaklarını gözden geçirmek, • Yönetimin, iç denetçilerin, dış denetçilerin ve bu raporları çıkartabilecek başka kaynakların daha önce düzenlediği risk değerlendirme raporlarını gözden geçirmek, • İş birimlerinin hedeflerini, ilgili riskleri ve kurum yönetiminin riskleri azaltma ve kontrol izleme çalışmaları ile faaliyetlerini tespit etmek amacıyla, üst yönetimle ve birim yönetimleriyle görüşmeler yapmak, • Risklerin azaltılmasının, gözlenmesinin, raporlanmasının ve ilgili kontrol faaliyetlerinin etkililiğini bağımsız bir gözle değerlendirmek amacıyla bilgileri özümsemek, • Hiyerarşik örgütlenmenin risk gözleme faaliyetleri için uygunluğunu değerlendirmek, • Risk yönetimi sonuçlarıyla ilgili raporlamanın yeterliliğini ve zamanında yapılıp yapılmadığını gözden geçirmek, • Yönetimin risk analizlerinin tam olup olmadığını ve risk yönetimi süreçleriyle anlaşılan sorunları gidermek için alınan tedbirlerin uygunluğunu gözden geçirmek ve iyileştirici eylemler önermek, • Yönetimin uyguladığı iç değerlendirme süreçlerinin etkililiğini, gözlemlerle, doğrudan kontrol testleriyle ve gözlem prosedürleriyle, gözlem faaliyetlerinde kullanılan bilgilerin doğruluğuna ilişkin testlerle ve başka uygun tekniklerle tespit etmek, • Risk yönetimi uygulamalarındaki zayıflıkları gösteren riskle ilgili sorunları incelemek ve gerekirse, bu konuyu üst yönetimle ve yönetim kuruluyla tartışmak. Denetçi, yönetimin kurumun risk yönetimi stratejisi veya politikalarına uygun olmayan ya da kurumun kabul edemeyeceği bir risk düzeyi kabul ettiğine inandığı takdirde, ek tavsiyeler için, "Yönetimin Artık Riskleri Üstlenme Kararı" başlıklı Standart 2600'e ve ilgili diğer standartlara bakmalıdır. • 5* 5 Kalite Güvence ve Geliştirme Programı: Etkili bir kalite güvence ve geliştirme programını uygulamaya sokabilmek, her iç denetim faaliyeti için hayatî önem taşır. • Denetim Evreninin Dönemsel Değerlendirilmesi: Kuruluşun dinamik risk profilini mutad olarak değerlendirerek, denetim evreninin tam olduğunu temin amacıyla metodolojinin gözden geçirilmesi. • Denetim Planının Dönemsel Değerlendirilmesi: Hangi görevlerin daha riskli olduğunun değerlendirmesini yapmak için, uygulanmakta olan denetim planının gözden geçirilmesi. "Daha riskli görevleri "dikkat çekici hâle getirerek" (flagging) iç denetim faaliyetinin yönetimi daha görünür hâle gelir ve kritik görevlere yaklaşımı anlamak için daha fazla zaman harcanabilir. • Etkili Planlama: Etkili bir denetim planlamasının yerini hiçbir şey tutamaz. Denetlenen ile ilgili gerçekleri güncellemeyi ve etkili bir risk değerlendirme çalışmasını kapsayan mükemmel bir planlama süreci, denetim hata risklerini önemli ölçüde azaltabilir. Bunun yanında, görev kapsamının ve Yayın: Ocak 2009 Uygulama Önerisi 2120-2: İç Denetim Faaliyetinin Riskinin Yönetilmesi 1. İç denetimin rolü ve önemi çok büyümüştür ve önemli paydaşların (yönetim kurulu, üst yönetim gibi) beklentileri de artmaya devam etmektedir. İç denetim faaliyetlerinin, finansal, operasyonel, bilgi teknolojisi, yasal düzelme ve stratejik riskleri kapsayan geniş yetkileri vardır. Aynı zamanda, birçok iç denetim faaliyeti, küresel iş piyasalarında kalifiye personel bulunabilirliğiyle, artan ücret maliyetleriyle ve (bilgi sistemleri, suistimal, türev ürünler, vergiler gibi) özel kaynaklara yönelik yüksek taleplerle ilgili zorluklarla karşılaşmaktadır. Bu etkenlerin bir araya gelmesi, bir iç denetim faaliyetinde yüksek risk seviyesinin ortaya çıkmasına sebep olmaktadır. Bunun sonucu olarak, iç denetim yöneticileri, iç denetim faaliyetlerine ve hedeflerine ulaşmaya yönelik riskleri göz önünde bulundurmalıdırlar. 2. İç denetim faaliyeti, risklerden muaf değildir. Kendi risklerini yönettiğinden emin olmak için gerekli önlemleri almalıdır. 3. İç denetim faaliyetlerindeki riskler üç büyük gruba ayrılır: denetim hatâları, yanlış güvence ve itibar riskleri. Aşağıdaki tartışma, bu risklerle ilgili anahtar hususların ve bunların yönetimi için iç denetim ekibinin dikkate alması gereken önlemlerin altını çizmektedir. 4. Her kuruluşta kontrol sorunları yaşanacaktır. Genellikle kontroller başarısız olduğunda veya suistimal meydana geldiğinde, birisi şu soruyu sorar: "İç denetçiler neredeydi?" İç denetim faaliyeti şu sebeplerden dolayı bu başarısızlıklara katkıda bulunmuş olabilir: • Uluslararası İç Denetim Meslekî Uygulama Standartlarına uymadığı için. • İç denetçinin bağımsızlığını ve objektifliğini izlemek için gerekli prosedürler dahil olmak üzere, uygun olmayan bir kalite güvence ve geliştirme programı (Standart 1300). • Stratejik risk değerlendirmesi sırasında, kilit öneme sahip denetim alanlarının yanı sıra, münferit denetimin planlanmasında yüksek risk alanların teşhis edilmesinde gerekli olan etkili bir risk değerlendirme sürecinin yokluğu ve bunun bir sonucu olarak doğru denetimlerin yapılamaması ve/veya yanlış denetimlerle zaman kaybedilmesi. • "Gerçek" riskleri ve doğru kontrolleri test etmede gerekli etkili iç denetim prosedürlerinin tasarımındaki başarısızlık. • İç denetim prosedürlerinin parçası olarak, hem tasarım yeterliliği hem de kontrol etkililiğinin değerlendirilmesindeki başarısızlık. • Yüksek risk alanları konusunda bilgi ve tecrübe açısından uygun niteliklere sahip olmayan denetim ekiplerinin kullanılması. • Bulgular veya kontrol zafiyetleriyle ilgili meslekî şüphecilik ve genişletilmiş iç denetim prosedürlerinin kullanılmaması. • Uygun iç denetim gözetim ve kontrolünün kullanılmaması. • Ortada bir suistimal delili bulunmasına rağmen - örneğin "Muhtemelen çok önemli değil" veya "Bu konuyla ilgilenmek için zaman ya da kaynağımız yok" gibi yanlış kararlar almak. • Şüphelerle ilgili doğru kişilerle iletişime geçmemek. • Yeterli raporlamanın eksik olması. uygulanacak iç denetim prosedürlerinin anlaşılması da denetim hatâsı risklerini azaltacak olan önemli denetim planlaması unsurlarıdır. Sürecin içine, iç 5. İç denetim hatâları, iç denetim faaliyetlerini zor durumda bırakmakla kalmaz, kuruluşun önemli bir riske maruz kalmasına da sebep olabilir. Denetim hatâlarının olmayacağına dair kesin bir güvence söz konusu olmadığından, bir iç denetim faaliyeti riski en aza indirmek için şu uygulamaları hayata geçirebilir: denetim faaliyetinin yönetimi ile ilgili kontrol noktalarının konulması ve üzerinde uzlaşmaya varılan plandan herhangi bir sapma olması durumda, onay alınması da önemlidir. • Etkili Denetim Tasarımı: Birçok durumda, ne kadar etkili olduğunun test edilmesine başlamadan önce, uygun kontrollerin sağlanıp sağlanmadığını temin etmek amacıyla, iç kontrol sistemlerinin anlaşılması ve analiz edilmesi için oldukça zaman harcanır. Bu, bazen kontrol zayıflığının sebebine işaret etmek yerine söz konusu tasarım zayıflığının bir sonucu olarak iç denetim yorumları için sağlam bir zemin teşkil eder. Bu, ayrıca gözden kaçan kontrollerin teşhis edilmesini sağlayarak denetim hatâsı ihtimalini de azaltır. • Etkili Yönetim Gözden Geçirmesi ve Eskalasyon Prosedürleri: İç denetim yönetiminin, iç denetim sürecine (yani rapor taslağından önce) katılımı, denetim hatâsı riskinin en aza indirilmesinde önemli bir rol oynar. Bu katılım, çalışma kâğıtlarının gözden geçirilmesini, bir kapanış toplantısını veya bulgularla ilgili 'gerçek-zaman" tartışmalarını kapsayabilir. İç denetim sürecine, iç denetim faaliyetinin yönetimini dahil ederek, muhtemel sorunlar, görev esnasında daha erken teşhis edilebilir ve değerlendirilebilir. Bunun yanında, iç denetim faaliyetinin, hangi konuların ve ne zaman iç denetim biriminin hangi yönetim kademesine yönlendirileceğini düzenleyen rehberleri olabilir. • Uygun Kaynak Tahsisatı: Her bir iç denetim görevinde doğru kişilerin görevlendirilmesi çok önemlidir. Bu, özellikle yüksek riskli veya çok teknik bir görevin planlamasında önemlidir. Ekipte gerekli niteliklerin olduğundan emin olmak, denetim hata riskini azaltmada hayatî öneme sahiptir. Doğru niteliklerin yanı sıra, ekibin gerekli tecrübeye ve bunun yanında, bir iç denetim görevinin yönetilmesinden sorumlu olanların da proje yönetiminde güçlü becerilere sahip olması önemlidir. 6. Bir iç denetim faaliyeti, farkında olmadan, belli bir seviyede yanlış güvence sunabilir. "Yanlış güvence", olgulardan çok, sezgi veya tahminlere dayalı bir güven veya güvence seviyesidir. Birçok durumda, iç denetimin bir meseleye müdahil olması, bir seviyeye kadar yanlış güvence oluşturabilir. 7. Maruz kalınacak önemli risklerin belirlenmesi ve değerlendirilmesi projelerinde kuruluşa yardımcı olurken iç denetim faaliyetlerinin bir parçası olmaksızın iç denetim kaynakları kullanılacaksa bu husus açıkça belirlenmelidir. Örneğin, bir iş birimi tarafından iç denetim faaliyetinden, yeni bilgisayar sisteminin uygulanmasında yardımcı olması için bazı "kaynaklar" tedarik etmesi istemiştir. İş birimi, bu kaynakları, yeni sistemin bazı test aşamalarını desteklemek için kullanmıştır. Bu kullanımın sonucu olarak, sistemin tasarımındaki bir hata, finansal raporların yeniden düzenlenmesi şeklinde sonuçlanmıştır. Bunun nasıl olduğu sorulduğunda, iş birimini buna, iç denetim faaliyetinin, süreçte yer aldığı ve konuyu teşhis etmediği şeklinde cevap vermiştir. İç denetçinin katılımı, bir seviyede yanlış güvence oluşturmuştur ve bu durum da, projedeki gerçek rolüyle tutarlı değildir. 8. Yanlış güvence riskini tamamını yok etmenin bir yolu olmasa da, iç denetim faaliyeti, bu alandaki riski daha önceden tedbir alarak yönetebilir. Açık ve sürekli iletişim, yanlış güvence yönetiminde anahtar stratejidir. Önde gelen diğer uygulamalar şunlardır: bulundurulabilir: Projenin kapsamı, iç denetim faaliyetinin rolü, raporlama beklentileri, gerekli nitelikler ve iç denetçilerin bağımsızlığı. • Eğer iç denetçiler, bir projenin veya inisiyatifin personel kadrosunu arttırmak için kullanılırsa, iç denetçileri, yanlış güvenceye sebep olabilecek "geçici" kaynak olarak kullanmak yerine, bu projedeki rollerinin ve katılımlarının kapsamı yanında gelecekteki objektiflik ve bağımsızlıkları da yazılı hâle getirilmelidir. 9. Bir iç denetim faaliyetinin güven telkin eden itibarı, etkililiğinin önemli bir parçasını teşkil eder. Saygın görülen iç denetim birimleri yetenekli meslek insanlarını çekebilirler ve kurumları için çok değerlidirler. Güçlü bir "marka" olmak, iç denetim faaliyetlerinin başarısını ve becerisini kuruluş içinde en üst noktaya çıkartır. Çoğu zaman, iç denetim faaliyetinin markası gücünü, uzun yıllar boyunca aksamadan çıkartılan yüksek nitelikli işlerden almaktadır. Maalesef bu marka, güçlü ve ters bir olayda birden yok olabilir. 10. Örneğin, bir iç denetim faaliyeti, çeşitli rotasyonlar sonrası üst düzey finansalyönetici görevlerine gelmiş iç denetçilerden dolayı, gelecek yöneticiler için eğitim platformu olarak da algılanıp önemli görülebilir. Ancak, bir dizi önemli mali tablo düzeltmesi ve yasal inceleme, iç denetim faaliyetinin itibarını etkileyebilir. Yönetim kurulu, iç denetim ekibinin doğru yetenek ve 'kalite güvence ve geliştirme programına' sahip olup olmadığını sorgulayabilir. 11. Başka bir örnekte, insan kaynaklarının denetimi sırasında, iç denetçiler, çalışanların meslekî geçmişlerinin gerektiği şekilde incelenmediğini tespit edebilirler. Yeni işe alınmış bazı iç denetçilerin eğitim geçmişlerinin yeterli olmadığının, diğer bir kısmının, daha önce suç teşkil eden bir faaliyete katılmış olduğunun tespit edilmesi iç denetim faaliyetinin güvenilirliğini ciddi şekilde sarsabilir. 12. Bu gibi durumlar, durumu zorlaştırmakla kalmaz, aynı zamanda, iç denetim faaliyetinin yararlılığını da zedeler. İç denetim faaliyetinin itibar ve "markası"nın korunması, sadece iç denetim faaliyeti için değil, tüm kuruluş için önemlidir. İç denetim faaliyeti, hangi tür risklerin, itibarını zedeleyebileceğini göz önünde bulundurmalı ve bu risklere karşı stratejiler geliştirmelidir. 13. Uygulamalardan bazıları şunlardır: • İç denetim faaliyetinin, insan kaynakları ve işe alım dahil bütün süreçlerinde, güçlü bir kalite güvence ve geliştirme programı uygulanır. • "Markasını" olumsuz etkileyebilecek muhtemel riskleri teşhis etmek için, iç denetim faaliyeti, dönemsel olarak risk değerlendirmesi yapar. • IIA'nın iç denetçilere yönelik Etik Kuralları dahil olmak üzere, davranış kuralları ve etik davranış standartları güçlendirilir. • İç denetim faaliyetinin, şirketin bütün politika ve uygulamalarıyla uyum içinde olması temin edilir. 14. Bir iç denetim faaliyeti, yukarıda belirtilenlere benzer bir olayla karşılaştığında, İç Denetim Yöneticisi, olayın içeriğini gözden geçirmeli ve sorunun ana sebeplerini anlamalıdır. Bu analiz, oluşabilecek olumsuzlukları azaltmak için, iç denetim süreci ve kontrol sisteminde dikkate alınması gereken potansiyel değişikliklere karşı derinlikli bir bakış açısı getirir. • 6* Yayın: Nisan 2009 Uygulama Önerisi 2130-1: Kontrol Süreçlerinin Yeterliliğinin Değerlendirilmesi 1. Bir kurum, etkili risk yönetimi ve kontrol süreçleri oluşturur ve devamlılığını sağlar. Kontrol süreçlerinin amacı, risklerin yönetilmesinde ve daha önce oluşturulmuş ve kurumun içindeki insanlara açıklanmış olan hedeflere ulaşılmasında kurumu desteklemektir. Diğer şeylerin yanı sıra, kontrol süreçlerinin aşağıdaki koşulları sağlaması beklenir: 6 İç denetim faaliyetinin rolü ve yetkisi üst yönetime ve diğer paydaşlara önceden iletilir. • Risk yönetiminin, iç denetim planının ve iç denetim işinin neleri kapsadığı açıkça anlatılır. Ayrıca, risk değerlendirme ve iç denetim planının kapsamında nelerin olmadığı da açıkça anlatılır. • Her bir projeyle ilgili risk seviyesinin ve iç denetimin projedeki rolünün değerlendirilmesinde "proje kabulü" süreci olmalıdır. Değerlendirmede şunlar göz önünde • Mali ve operasyonel bilgilerin güvenilir ve doğru ve eksiksiz olması, • Faaliyetlerin verimli bir biçimde yürütülmesi ve kurumun önceden belirlenmiş amaçlarına ulaşılması, • Varlıkların korunması, • Kurumun eylem ve kararlarının kanunlara, mevzuata ve sözleşmelere uygun olması. 2. Üst yönetimin rolü, risk yönetim sistemi ve kontrol süreçlerinin oluşturulması, idaresi ve değerlendirilmesi çalışmalarını gözetmektir. Bölüm müdürlerinin görev ve sorumluluklarından biri de, kendi alan ve bölümlerinde kontrol süreçlerini incelemek ve değerlendirmektir. İç denetçiler, kurumun belirli seçilmiş faaliyet ve işlev alanlarında risk yönetimi ve kontrolü süreçlerinin etkililiği konusunda değişen derecelerde güvence sağlarlar. 3. İç Denetim Yöneticisi, kontrol süreçlerinin yeterliliği ve etkililiği konusunda genel bir kanaat oluşturur. İç Denetim Yöneticisinin bu kanaati, denetimlerin tamamlanması suretiyle elde edilen yeterli sayıda denetim kanıtına ve uygun olan durumlarda diğer güvence sağlayıcıların yaptıkları çalışmalara dayanır. İç Denetim Yöneticisi, bu kanaatini üst yönetime ve yönetim kuruluna bildirir. 4. İç Denetim Yöneticisi, kontrol süreçlerinin etkililiğini değerlendirmek için yeterli kanıt ve bilgi toplanmasına imkân veren bir yıllık denetim planı önerisi hazırlar. Bu plan, değerlendirilecek bütün önemli faaliyet birimleri ile iş fonksiyonları hakkında gereken bilgileri toplamak amacına yönelik denetim görevleri veya benzeri başka prosedürler ile kurum genelindeki tüm temel kontrol süreçlerinin gözden geçirilmesini de içerir. Önerilen plan, yıl içinde yönetim stratejilerinde, dış koşullarda veya önemli risk alanlarında meydana gelen değişiklikler ya da kurumun hedefleri ve amaçlarına ulaşma konusundaki beklentilerde yapılan revizyonlara göre ayarlamaların yapılmasına imkân verecek şekilde esnek olmalıdır. 5. Denetim planı, yakın zamanlı ya da beklenmeyen gelişmelerden en fazla etkilenen faaliyetlere özel bir önem verir. Şartlardaki değişiklikler örneğin, piyasadan ya da yatırım koşullarından, şirket satın almadan ve elden çıkartmadan, yeniden yapılanmadan, yeni sistemlerden ve yeni girişimlerden kaynaklanabilir. 6. Denetim planı çerçevesinde beklenen denetim kapsamının belirlenmesinde, İç Denetim Yöneticisi Üst Yönetime güvence hizmeti veren diğer taraflarca gerçekleştirilen ilgili çalışmaları (örneğin kurumsal uyum yöneticileri tarafından gerçekleştirilen çalışmalar) dikkate alır. İç Denetim Yöneticisinin denetim planı, aynı zamanda dış denetçiler tarafından gerçekleştirilen çalışmalar ile Yönetimin risk yönetim süreçleri, kontrolleri ve kalite geliştirme süreçleri ile kendi kendine yaptığı değerlendirmeleri de dikkate alır. 7. İç denetim yöneticisi, kurumun risk yönetim ve kontrol süreçleri hakkında bir kanaat belirtilebilmesi için yeterli kapsamda olup olmadığını belirlemek amacıyla önerilen denetim planının kapsamının genişliğini değerlendirmelidir. İç denetim yöneticisi, bu süreçlerin tamamı üzerinde bir kanaat belirtilmesini engelleyebilecek, denetim kapsamındaki eksiklikler hakkında üst yönetimi ve yönetim kurulunu bilgilendirmelidir. 8. İç denetim faaliyeti açısından çözülmesi gereken anahtar bir konu, kurumun kontrol süreçlerinin etkililiğinin çok sayıda bireysel değerlendirmenin toplamına dayandırılarak değerlendirilmesidir. Bu değerlendirmeler büyük ölçüde iç denetim görevlerinden, yönetimin kendi yaptığı değerlendirmelerin gözden geçirilmesi ile ve diğer güvence sağlayıcılardan elde edilmektedir. Görev ilerledikçe, iç denetçiler, tespit edilen kontrol eksikleri veya zayıflıklarının etki ve sonuçlarını azaltmak veya düzeltmek amacıyla gereken tedbirlerin derhal alınmasını sağlamak amacıyla, bulgularını uygun yönetim kademelerine zamanında iletirler. 9. Kurumun kontrol süreçlerinin genel etkililiğini değerlendirirken İç Denetim Yöneticisi, şu hususları dikkate alır: • Önemli eksiklik veya zayıflıklar tespit edilmiş midir? • Bu tespit üzerine düzeltici veya iyileştirici tedbirler alınmış mıdır? • Bu tespitler ve onların muhtemel olumsuz sonuçları, kabul edilemez düzeyde iş risklerine yol açabilecek yaygın bir sorunun bulunduğu sonucuna varılmasını gerektiriyor mu? 10. Önemli bir kontrol eksikliği veya zayıflık, her zaman sorunun yaygın olduğu ve kabul edilemez bir iş riski taşıdığı anlamına gelmez. İç denetçi, kontrol süreçlerinin etkililiğinin tehlikeye girip girmediği ve kabul edilemez bir riskin var olup olmadığını belirlemek için muhtemel olumsuz sonuçların seviyesi kadar karşı karşıya kalınan riskin niteliğini ve boyutunu da dikkate alır. 11. İç Denetim Yöneticisinin kurumun kontrol süreçleri ile ilgili raporu, üst yönetime ve yönetim kuruluna, genellikle yılda bir kere sunulur. Bu rapor, kontrol süreçlerinin kurumun hedeflerine ulaşılmasındaki kritik rolüne yer verir. Rapor, aynı zamanda iç denetim faaliyeti tarafından gerçekleştirilen çalışmanın niteliği ve boyutu ile kanaatin biçimlendirilmesinde diğer güvence sağlayacılara olan güvenin boyutunu ve niteliğini de tanımlar. • ** Yayın: Ocak 2009 Uygulama Önerisi 2130.A1-1: Bilgilerin Güvenilirliği ve Doğruluğu 1. İç denetçiler, üst yönetimin ve yönetim kurulunun bilgi güvenilirliği ve doğruluğunun idarî bir sorumluluk olduğu konusunda açık bir anlayışa sahip olup olmadıklarını belirler. Bu sorumluluk, bilgilerin nasıl saklandığına bakılmaksızın kurum için hayatî öneme sahip bütün veri ve bilgileri kapsar. 2. İç Denetim Yöneticisi (İDY), iç denetim biriminin, bilgi güvenilirliği ve doğruluğunu ve bunlara dair riskleri değerlendirmek için, yeterli ve uygun denetim kaynaklarına veya bu kaynaklara erişim olanağına sahip olup olmadığını tesbit eder. Bu, kurumun dış kurumlarla ilişkilerinden kaynaklananlar dahil hem iç hem dış risklerini kapsar. 3. İDY, bilgi güvenilirliği ve doğruluğu ihlâllerinin ve kurum açısından tehlike oluşturabilecek durumların, üst yönetim, yönetim kurulu ve iç denetim birimine derhal bildirilip bildirilmediğini tesbit eder. 4. İç denetçiler, gerektiğinde, geçmiş ve gelecekteki muhtemel saldırılara veya saldırı girişimlerine karşı, önleyici, tespit edici ve azaltıcı tedbirlerin etkililiğini değerlendirir. İç denetçiler; yönetim kurulunun, mevcut tehditler, olaylar, karşılaşılan zayıflıklar ve uygulanan düzeltici tedbirler hakkında yeterince bilgilendirilip bilgilendirilmediğini tesbit eder. 5. İç denetçiler, kurumun bilgi güvenilirliği ve doğruluğu uygulamalarını dönemsel olarak değerlendirir; mevcut koruma ve kontrol iyileştirmeleri ya da yeni koruma ve kontrol uygulamaları (hangisi uygunsa) tavsiye eder. Bu değerlendirmeler, bağımsız bir denetim veya yıllık denetim planının bir parçası olan başka denetim veya görevlerle bütünlük arz edecek şekilde yapılabilir. Üst yönetim ve yönetim kuruluna en uygun raporlama sürecini, görevin niteliği belirler. *** Yayın: Ocak 2009 Uygulama Önerisi 2130.A1-2: Bir Kurumun Gizlilik Çerçevesinin Değerlendirilmesi 1. Kişisel bilgilerin uygun kontrollerle korunmasındaki başarısızlık, kurumlar açısından kayda değer seviyede olumsuz sonuçlara sebebiyet verebilir. Bu başarısızlık kişilerin ve/veya kurumların itibarını zedeleyebilir ve kurumları yasal sorumluluk ve müşteri ve/veya çalışan güveninde azalma gibi risklere maruz bırakabilir. 2. Gizlilik tanımları kurumun faaliyet gösterdiği ülkenin kültürüne, siyaset ortamına ve hukuk sistemine bağlı olarak büyük oranda farklılık göstermektedir. Bilginin gizliliği ile ilgili riskler, kişisel gizliliği (fiziksel ve fizyolojik); yer gizliliğini (gözetimden uzak olmak); iletişim gizliliğini (izleme ve gözlemden uzak olmak) ve bilgi gizliliğini (kişisel bilgilerin başkalarınca toplanması, kullanılması ve ifşa edilmesi) kapsar. Kişisel bilgiler, genel olarak, belirli bir bireyle ilgili olan bilgiler ya da başka bilgilerle birleştirildiğinde belirli bir kişiyle ilişkilendirilebilecek ayırt edici nitelikteki bilgiler anlamına gelir. Kişisel bilgiler, kayıtlı olsun veya olmasın, herhangi bir ortam veya formatta maddi olgularla ilgili veya subjektif bilgileri içerebilir. Kişisel bilgilere örnek olarak, şunlar sayılabilir: • İsim, adres, kimlik numaraları, aile ilişkileri, • Çalışanların kayıtları, değerlendirmeler, görüşler, sosyal statü veya sabıka kayıtları veya disiplin cezaları, • Kredi geçmişi bilgileri, gelir, mali durum bilgileri, • Tıbbî durum bilgileri. 3. Kişisel bilgilerin korunmasına ilişkin etkili bir kontrolün sağlanması, kurumun yönetişim, risk yönetimi ve kontrol süreçlerinin önemli bir bileşenidir. Kurumun temel ve büyük risklerinin belirlenmesinden ve belirlenen bu riskleri azaltmak için uygun kontrol süreçlerinin uygulanmasından, nihai olarak yönetim kurulu sorumludur. Bu sorumluluk, kurum için gereken gizlilik politikasının oluşturulmasını ve uygulanmasının izlenmesini de kapsar. 4. İç denetim faaliyeti, üst yönetimin gizliliğin (mahremiyetin) korunması amacına yönelik riskleri belirlemesinin yeterliliği ile bu risklerin kabul edilebilir seviyeye indirilmesi amacıyla oluşturduğu kontrollerin yeterliliğini değerlendirmek suretiyle kurumun iyi yöneti(şi)m ve risk yönetimine katkıda bulunabilir. İç denetçi, kendi kurumundaki gizlilik politikasının değerlendirilmesi, önemli risklerin belirlenmesi ve bu riskleri azaltıcı uygun tavsiyelerin yapılması konusunda da, benzersiz bir konumdadır. 5. İç denetim faaliyeti, kendi kurumunun topladığı kişisel veya özel sayılan bilgilerin türlerini ve uygunluğunu, kullanılan bilgi toplama yöntemini, kurumun bu bilgileri asıl kullanım amacına ve geçerli mevzuata uygun kullanıp kullanmadığını belirler. 6. Konunun son derece teknik ve hukukî bir nitelik taşıdığı dikkate alınarak, iç denetim faaliyeti, kurumun gizlilik politikasına ilişkin kontrollerin ve risklerin değerlendirmesini yapmak için yeterli bilgi ve yetkinliğe ihtiyaç duyar. 7. Kurumun gizlilik politikalarının yönetimine ilişkin böyle bir değerlendirme yapılırken, iç denetçi: • Kurumun içinde faaliyetini sürdürdüğü yargı sistemindeki gizlilikle ilgili kanun, düzenleme ve politikaları dikkate alır. • Kurumun faaliyet yürüttüğü ülke/ülkelerde geçerli olan ve kurumun tâbi olduğu kanunlar, düzenlemeler ile diğer standartların ve uygulamaların niteliğinin tam olarak belirlenmesi amacıyla kurumun hukuk danışmanıyla irtibat hâlinde olur. • Bilgi güvenliği ve veri koruma kontrollerinin var olduğunun ve uygunluğunun düzenli olarak gözden geçirildiğinin ve değerlendirildiğinin belirlenmesi amacıyla bilgi teknolojisi uzmanlarıyla irtibat hâlinde olur. • Kurumun gizlilik uygulamalarının seviyesi veya gelişmişliğini dikkate alır. Bu seviyeye bağlı olarak, iç denetçi, farklı ve değişen roller üstlenebilir. Denetçi; gizlilik programının geliştirilmesini ve uygulanmasını kolaylaştırabilir, kurumun ihtiyaçlarını ve maruz kaldığı riskleri tespit etmek amacıyla yönetimin gizliliğe ilişkin risk değerlendirme çalışmasını değerlendirebilir ya da kurum genelindeki gizlilik politikaları, uygulamaları ve kontrollerinin etkililiğini inceleyebilir ve bu konuda güvence verebilir. İç denetçi, bir gizlilik programının geliştirilmesi ve uygulanmasına ilişkin herhangi bir sorumluluk üstlenirse, bağımsızlığı zedelenebilir. • 7* Yayın: Ocak 2009 Uygulama Önerisi 2200-1: Görev Planlaması 1. İç denetçi, üstlerinin gözetimi ve onayına tâbi olarak, görevi planlar ve yürütür. Göreve başlamadan önce iç denetçi; 2. İç Denetim Yöneticisi, kurum için uygun olan bir resmiyet ve dokümantasyon seviyesi (örneğin planlanan toplantıların sonuçları, risk değerleme prosedürleri, çalışma programındaki ayrıntı seviyesi gibi) talep etmelidir. Dikkate alınacak etkenler şunları içerebilir: • Yapılan işe ve/veya görevin sonuçlarına diğer taraflarca (örneğin dış denetçiler, düzenleyiciler veya yönetim) itibar edilip edilmeyeceği. • Yapılan işin muhtemel ya da mevcut bir hukukî ihtilâfa karışmış hususlarla ilgili olup olmayacağı. • İç denetim ekibinin tecrübe seviyesi ve gereken doğrudan gözetim seviyesi. • Projeye personel atamasının içeriden, ziyaretçi denetçilerden (guest auditors) ya da dış hizmet sağlayıcılarından mı yapılacağı. • Projenin karmaşıklığı ve kapsamı. • İç denetim biriminin boyutu. • Belgelendirmenin değeri (örneğin sonraki yıllarda kullanılıp kullanılmayacağı). 3. İç denetçi kapsanan dönem ve tahminî tamamlanma tarihi gibi, görevle ilgili diğer gerekleri tespit eder. İç denetçi ayrıca nihaî rapor formatını da dikkate alır. Bu safhada düzgün bir planlama yapılması, görevin tamamlanması sırasındaki iletişim sürecine de katkı sağlar. 4. İç denetçi görev hakkında bilgilendirilmesi gereken bütün yöneticilere bilgi verir, denetlenmekte olan faaliyetlerden sorumlu yöneticilerle toplantılar düzenler, toplantılarda konuşulan konuları özetler 7 görevin amaçlarını açıklayan, • incelenmesi gereken teknik ihtiyaçları, hedefleri, riskleri, süreçleri ve işlemleri tanımlayan, • gereken testlerin niteliğini ve kapsamını gösteren, • iç denetçinin görev sırasında veri toplama, analiz etme, yorumlama ve belgeleme süreçlerini yazılı hâle getiren, • gerekli görülen durumlarda denetim sırasında İç Denetim Yöneticisi ya da görevlendirdiği bir temsilcinin onayıyla değiştirilen bir denetim programı hazırlar. ve tartışılan hususları ve varılan sonuçları ilgililerine dağıtır ve belgeleri görev çalışma kâğıtları içerisinde muhafaza eder. Tartışma konuları şunlar olabilir: • Planlanan görev amaçları ve yapılan işin kapsamı. • Göreve konu olan işlerin zamanlaması ve kaynakları. • İç ve dış çevrede meydana gelen yakın tarihli değişiklikler dahil olmak üzere denetlenmekte olan birimin çalışma şartları ve faaliyetlerini etkileyen anahtar unsurları. • Yönetimin endişeleri ve talepleri. 5. İç Denetim Yöneticisi, görev sonuçlarının nasıl, ne zaman ve kime bildirileceğini belirler. İç denetçi bunu yazılı hâle getirir ve planlama safhasında uygun görülen yönetim kademesine kadar iletir. İç denetçi, sonradan ortaya çıkan ve görev sonuçlarının zamanlama ve raporlamasını etkileyen değişiklikleri yönetime bildirir. • ** Yayın: Ocak 2009 Uygulama Önerisi 2200-2: İç Denetim Görevinde Değerlendirilmesi Gereken Kontrolleri Belirlemek Üzere Yukarıdan-Aşağıya, Risk Esaslı Bir Yaklaşımın Kullanılması (Nisan 2010) İlgili Ana Standart 2200 - Görev Planlaması İç denetçiler, her görev için, amaçları, kapsamı, zamanlama ve kaynak dağılımı hususlarını da dikkate alan ayrı bir plan hazırlamak ve yazılı hâle getirmek zorundadır. 1. Bu uygulama önerisini; 2010-2: İç Denetim Planlamasında Risk Yönetimi Süreçlerinin Kullanılması, 2210-1: Görevin Amaçları ve 2210.A1-1: Görev Planlamasında Risk Değerlendirmesi başlıklı uygulama önerileri ve İş ve BT Riskleri İçin Uygulama Rehberi (GAIT-R) ile bağlantılı okuyunuz. 2. Bu uygulama önerisi, iç denetim planlama sürecinde, iç denetim görevinin amaçlarının belirlenmiş ve ele alınacak risklerin tanımlanmış olduğunu varsayar. Bu öneri riskleri yönetmede kullanılan anahtar kontrolleri (Standart 2220 ye göre) belirlemek ve iç denetim kapsamı içine almak için yukarıdan aşağıya, risk temelli bir yaklaşımın kullanılması konusunda rehberlik eder. 3. “Yukarıdan-aşağıya” ibaresi kapsam belirlemede, kuruma yönelik daha önemli risklerin esas alınması anlamına gelir. Bu, kurumun bütünü için önemli olmayabilecek spesifik bir lokasyondaki risklere dayalı kapsam oluşturmanın tersidir. Yukarıdan-aşağıya yaklaşımı Uygulama Önerisi 2010-2‟de belirtildiği üzere, iç denetimin “önemli risklerin yönetiminde güvence sağlamak” konusuna odaklanmasını sağlar. 4. Bir iç kontrol sistemi genellikle manüel ve otomatik kontrollerin her ikisini birden kapsar. (Bu, her seviyedeki kontroller –kurum, iş süreci, bilgi teknolojisi (BT) genel kontrolleri- ve kontrol çerçevesinin bütün katmanları için geçerlidir. Örneğin kontrol ortamı, izleme ya da risk değerlendirme katmanlarındaki faaliyetler de otomatik olabilir.) İş risklerinin etkin şekilde yönetilip yönetilmediğini tespit etmek amacıyla, her iki tip kontrolün de değerlendirilmesine gerek vardır. İç denetçi, özellikle iş risklerinin kurumun toleransları içinde kalmasını sağlamak için; BT ile ilgili kontroller de dahil olmak üzere kontrollerin uygun bir bileşimi olup olmadığını değerlendirmeye ihtiyaç duyar. İç denetçi risk toleranslarının güncel ve uygun olduğunu değerlendirmeyi ve doğrulamayı da kapsama almayı göz önünde bulundurmalıdır. 5. İç denetim faaliyetinin kapsamı, risklerin (aşağıda paragraf 9‟daki yorumlara bağlı olarak) etkili bir şekilde yönetildiğine dair makul güvence sağlamada gerekli olan bütün kontrolleri içermelidir. Kritik bir iş hedefi ile bağlantılı riskleri yönetmek için gerekli olan bu kontroller anahtar kontroller olarak adlandırılır. Yalnızca anahtar kontrollerin değerlendirilmesine ihtiyaç duyulmakla birlikte, güvence sağlamak işletmeye değer katacak ise iç denetçi anahtar olmayan diğer kontrolleri de (örneğin aşırı, mükerrer kontroller vb.) değerlendirmeyi tercih edebilir. İç denetçi ayrıca anahtar olmayan kontrollerin gerekli olup olmadığını yönetimle de tartışabilir. 6. Kurumun iyi hazırlanmış ve etkin bir risk yönetim programı varsa, her bir riskin yönetilmesinde güvenilecek olan anahtar kontroller tanımlanmış olacaktır. Böyle durumlarda iç denetçinin, yönetimin anahtar kontrolleri belirlemesinin ve değerlendirmesinin yeterli olup olmadığını değerlendirmesi gerekir. 7. Anahtar kontroller aşağıdaki şekillerde olabilir: • Kurum seviyesindeki kontroller (örneğin işletmenin davranış kurallarını anlamaları için çalışanların eğitilmesi ve sınava tabi tutulması). Kurum seviyesindeki kontroller manüel, otomatik ya da kısmen otomatik olabilir. • Bir iş sürecindeki manüel kontroller (örneğin fiziksel envanterin sayılması). • Bir iş sürecinde tamamen otomatik olan kontroller (örneğin defteri kebirdeki hesapların eşleşmesi ya da güncellenmesi). • Bir iş sürecinde kısmen otomatik olan kontroller (aynı zamanda “hibrit/melez” ya da “BT bağımlı kontroller” olarak da adlandırılır), bir istisna raporunda olduğu gibi manüel bir kontrol uygulamanın işlerliğine dayanır. Bu işlerliğe ilişkin bir hata tespit edilemezse tüm kontrol etkisini kaybetmiş olabilir. Örneğin mükerrer ödemeleri tespit edici bir anahtar kontrol, sistemde oluşturulan bir raporun gözden geçirilmesini kapsayabilir. Kontrolün manüel kısmı raporun eksiksiz olduğunu garanti etmeyecektir. Bu yüzden, raporun oluşturulduğu uygulamanın işlerliğinin denetim kapsamında olması gereklidir. Risklerin yönetilmesinde kullanılan ve manüel, otomatik ve BT genel kontrol süreçlerinde yer alan kontrolleri içeren tüm anahtar kontrollerin belirlenmesi ve değerlendirilmesi koşuluyla, iç denetçi başka yöntemler veya çerçeveler kullanabilir. 8. Tamamen ya da kısmen otomatik kontroller –kurum seviyesinde ya da bir iş sürecinin içinde olsun- genellikle BT genel kontrollerinin uygun şekilde tasarlanmasına ve etkili bir şekilde işletilmesine dayanır. İş ve BT Riskleri İçin Uygulama Rehberi‟nde (GAIT-R) anahtar BT genel kontrollerinin belirlenmesinde önerilen süreç ele alınmıştır. 9. Anahtar kontrollerin değerlendirilmesi tek bir entegre denetim görevinde yapılabilir ya da iç denetim görevlerinin bileşimi ile yapılabilir. Örneğin bir iç denetim görevi, iş süreçlerindeki kullanıcıların gerçekleştirdiği anahtar kontrollere yönelik olabilirken bir başkası anahtar BT kontrollerini kapsar ve bir üçüncüsü ise kurum seviyesindeki kontrolleri değerlendirir. Bu, aynı kontrollere (özellikle kurum seviyesindeki kontroller ya da BT genel kontrolleri) birden fazla risk alanında dayanıldığı durumlarda yaygındır. 10. Paragraf 5‟te belirtildiği üzere, iç denetim kapsamında ele alınan risklerin etkili yönetimi hakkında bir görüş sağlamadan önce, bütün anahtar kontrollerin bileşiminin değerlendirilmesi gerekir. Her birinde bazı anahtar kontrollerin ele alındığı birden fazla iç denetim görevi yerine getirilmiş olsa bile, iç denetçi anahtar kontrollerin tasarımının bir bütün halinde (ilgili tüm iç denetim görevlerini kapsayacak şekilde) değerlendirilmesini ve bu kontrollerin risklerin kurum toleransları içinde yönetilmesi bakımından yeterli olup olmadığının değerlendirilmesini denetim görevlerinin en azından birinin kapsamına dahil etmeye ihtiyaç duyar. 11. İç denetimin kapsamı (Paragraf 9‟da tartışılan diğer iç denetim görevlerini dikkate alarak) hedeflenen riskleri yönetmek için gereken anahtar kontrollerin tümünü değil de bazılarını içeriyorsa, kapsam sınırlaması göz önüne alınmalı ve iç denetim bildiriminde ve nihai raporda açıkça belirtilmelidir. Uygulama Önerisi 2210-1: Görevin Amaçları 1. İç denetçiler, görevin amaçlarını, denetlenen faaliyetle ilgili risklere göre belirler. Planlı görevlerde, bu amaçlar, iç denetim planının oluşturulduğu risk değerlendirme süreci sırasında belirlenen amaçlarla uyumlu bir seyir izler.Plansız görevlerde ise amaçlar, görevden önce belirlenir ve görevlendirmeye yol açan belirli bir konuya yönelik tasarlanır. 2. Görevin planlama safhasındaki risk değerlendirmesi, daha sonra,başlangıç amaçlarını tanımlamak ve diğer ele alınacak önemli alanları belirlemek için kullanılır. 3. Riskleri tanımladıktan sonra, iç denetçi, uygulanacak prosedürleri ve bu prosedürlerin kapsamını (niteliğini, zamanlamasını ve büyüklüğünü) belirler. Belirlenen kapsamda uygulanan görev prosedürleri, görevin amaçlarıyla ilgili sonuçlara ulaşmanın araçlarıdır. *8* Yayın: Ocak 2009 Uygulama Önerisi 2210.A1-1: Görev Planlamasında Risk Değerlendirmesi 1. İç denetçiler, yönetimin denetlenen faaliyetle ilgili risk değerlendirmesini göz önüne alır. İç denetçiler ayrıca şunları da dikkate alır: • Yönetimin risk değerlendirmesinin güvenilirliği, • Yönetimin, risk ve kontrol meselelerini izlemesine, raporlamasına ve çözüme kavuşturmasına ilişkin süreçleri, • Kurumun risk iştahı sınırlarını aşan durumlara dair yönetime raporlamalar ve bu raporlara yönetimin cevapları, • Denetlenen faaliyetle ilişkili diğer faaliyetlerdeki riskler, 2. İç denetçiler incelenecek olan faaliyetler hakkındaki temel (arkaplan) bilgileri, görevin amaçları ve kapsamı üzerindeki muhtemel etkilerini tespit etmek amacıyla temin eder ve bunları günceller. 3. İç denetçiler, gerekirse, faaliyetlere, risklere ve kontrollere aşina olabilmek, görev için önemli olan alan ve konuları tespit etmek ve denetlenenlerin yorum ve tavsiyelerini almak amacıyla bir anket çalışması yapar. 4. İç denetçiler, yönetimin risk değerlendirmelerinden, temel (arkaplan) bilgilerden ve anket bulgularından elde edilen sonuçların bir özetini hazırlar. Bu özet şu hususları içerir: • Önemli sorunlar ve bunların daha derinlemesine incelenmesinin sebepleri, 8 İhtiyaç duyulan iç denetim personelinin sayısı ve tecrübe seviyesi. • Görev için iç denetçi seçimi yaparken, iç denetim personelinin bilgi, beceri ve diğer yetkinlikleri. • Görevin amaçları ve prosedürleri, • Bilgisayar destekli denetim ve örnekleme teknikleri gibi, kullanılacak metodolojiler, • Potansiyel kilit kontrol noktaları, kontrol zafiyetleri ve/veya aşırı kontroller, • Gerekirse, göreve devam edilmemesinin veya görev amaçlarında yapılan önemli değişikliklerin sebepleri. • ** Yayın: Ocak 2009 Uygulama Önerisi 2230-1: Görev Kaynaklarının Tahsisi 1. İç denetçiler kaynakların uygunluğunu ve yeterliliğini belirlerken aşağıdaki hususları göz önüne alır: • Ek bilgi, beceri ve diğer kabiliyetlerin gerektiği durumlarda, kurum dışı kaynakların mevcudiyeti. • Her görevlendirme, iç denetim faaliyetinin (biriminin) gelişme ihtiyaçlarının karşılanmasına da hizmet ettiğinden, iç denetçilerin eğitim ihtiyaçları. • ** Yayın: Ocak 2009 Uygulama Önerisi 2300-1: Denetim Görevinin Yürütülmesinde Kişisel Bilginin Kullanılması (Mayıs 2010) İlgili Ana Standart 2300-Görevin Yapılması İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgiyi belirlemek, analiz etmek, değerlendirmek ve kayıtlı hale getirmek zorundadır. 1. Bilgi teknolojileri ve iletişimdeki ilerlemeler, gizlilikle ilgili riskler ve tehditler oluşturmaya devam ettikçe, iç denetçilerin denetim görevleri süresince topladıkları kişisel nitelikteki bilgilerin korunmasıyla ilgili konuları göz önünde bulundurmaları gerekmektedir. Gizlilik kontrolleri birçok hukuk sisteminde yasal bir gerekliliktir. 2. Kişisel bilgi genellikle belirli bir kişiyle veya başka bilgilerle de birleştirilebilen belirleyici niteliksel özelliklere sahip bir veriyle ilgili bilgiyi ifade eder. Bu; herhangi bir biçim ve ortamda, kayıtlı olan veya olmayan, somut ya da öznel (sübjektif) bilgiyi kapsar. Kişisel bilgi şunları içerir; • Ad, adres, kimlik numaraları, gelir, kan grubu • Değerlendirmeler, sosyal durum, disiplinle ilgili olaylar • Çalışan dosyaları, alacak ve borç kayıtları • Çalışan sağlığı ve tıbbi veriler 3. Birçok hukuk sisteminde, yasalar kurumların toplama aşamasında ya da öncesinde hangi kişisel bilgiyi toplayacaklarına ilişkin amaç belirlemelerini öngörür. Bu yasalar aynı kişinin kendi rızası ya da yasanın gerektirdiği haller dışında kişisel bilgilerin toplanma amacı dışında kullanılmasını ve açıklanmasını yasaklar. 4. İç denetçilerin, kişisel bilgilerin kullanımıyla ilgili kendi hukuk sistemlerindeki veya işletmenin faaliyetlerini yürüttüğü hukuk sistemlerindeki bütün yasaları anlaması ve bunlara uyması önemlidir. 5. Belirli iç denetim görevlerinin yerine getirilmesi sırasında, kişisel bilgilere erişilmesi, alınması, gözden geçirilmesi, üzerinde oynanması veya kullanılması uygunsuz ve hatta bazı durumlarda yasaya aykırı olabilir. Eğer iç denetçi kişisel bilgilere erişirse, bu bilgilerin güvenliğini temin edecek prosedürler geliştirmek gerekebilir. Örneğin iç denetçi bazı hallerde kişisel bilgiyi çalışma kâğıtlarına kaydetmemeye karar verebilir. 6. Kişisel bilgilere erişimle alakalı sorunlar veya endişeler varsa, iç denetçi denetim çalışmasına başlamadan önce hukuk danışmanının tavsiyelerini alabilir. Uygulama Önerisi 2320-1: Analitik Prosedürler (Mayıs 2010) İlgili Ana Standart 2320 - Analiz ve Değerlendirme İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını uygun analiz ve değerlendirmelere dayandırmak zorundadır. 1. İç denetçiler denetim kanıtı elde etmek için analitik yöntemler kullanabilir. Analitik yöntemler finansal olan ve olmayan bilgiler arasındaki ilişkilerin karşılaştırılmasını kapsar. Analitik yöntemlerin uygulanması; bilinenin aksine koşulların bulunmaması halinde, bilgiler arasındaki ilişkilerin makul bir şekilde var olma ve sürdürülme beklentisi temeline dayanır. Alışılmamış ya da tekrar etmeyen işlemler veya olaylar; muhasebe, organizasyon, faaliyetler, çevre ve teknoloji ile ilgili değişiklikler, verimsizlikler; etkisizlikler; hatalar; yolsuzluk veya yasa dışı eylemler, bilinen aksine koşullara örnek olarak verilebilir. 2. Analitik yöntemler çoğunlukla iç denetçiye etkin ve verimli şekilde kanıt elde etme imkânı sağlar. Değerlendirme, bilginin iç denetçi tarafından tanımlanan veya belirlenen beklentiler ile karşılaştırılmasından doğar. Analitik yöntemler aşağıdakilerin saptanmasında yararlı olur. • Tahmin edilemeyen farklılıklar. • Tahmin edilen farklılıkların yokluğu. • Potansiyel hatalar. • Potansiyel yolsuzluk veya yasa dışı faaliyetler. • Diğer olağan dışı veya tekrar etmeyen işlem veya olaylar. 3. Analitik denetim prosedürleri şunları içerir: • Bütçe ve tahminler dahil geçmiş dönemlerin benzer bilgilerine dayanarak belirlenen beklenti ile cari dönem bilgilerinin karşılaştırılması. • Finansal bilgi ile uygun finansal olmayan bilgi arasındaki ilişkilerin incelenmesi (örneğin kayıtlarda yer alan bordro-ücret gideri ile ortalama çalışan sayısındaki değişikliklerin karşılaştırılması). • Bilginin unsurları arasındaki ilişkilerin incelenmesi (örneğin kayıtlarda yer alan faiz giderindeki dalgalanma ile ilişkili borç bakiyesindeki değişimlerinin karşılaştırılması). • Bilgilerin, kurumun faaliyet gösterdiği sektör de dâhil olmak üzere diğer organizasyonel birimlere ait benzer bilgilere dayanan beklentiler ile karşılaştırılması. 4. İç denetçiler, parasal tutarları, fiziksel miktarları, oranları veya yüzdeleri kullanarak analitik yöntemler uygulayabilirler. Bilinen analitik yöntemler; oran, eğilim ve ilişki (regresyon) analizi, nedensellik testleri, dönemsel karşılaştırmalar, bütçe karşılaştırmaları, tahminler ve dış ekonomik bilgilerle karşılaştırmaları kapsar. Analitik yöntemler iç denetçilere, ilave denetim yöntemleri gerektiren koşulların tespitinde yardımcı olur. Bir iç denetçi analitik yöntemleri Standart 2200 kapsamındaki kılavuzlara uygun şekilde denetim görevinin planlanmasında kullanır. 5. İç denetçiler analitik yöntemleri denetim görevi süresince kanıt oluşturmak için kullanabilirler. Analitik yöntemlerin kapsamını belirlerken, iç denetçiler aşağıdaki hususları göz önünde bulundurur: • Denetlenen alanın önemi. • Denetlenen alandaki risk yönetiminin değerlendirmesi. • İç kontrol sisteminin yeterliliği. • Finansal ve finansal olmayan bilginin hazır ve güvenilir olması. • Analitik denetim yöntemlerle öngörülebilen sonuçların doğruluğu. • Kurumun faaliyet gösterdiği sektörle ilgili bilginin hazır ve karşılaştırılabilir olması. • Diğer yöntemlerin kanıt sağlama derecesi. 6. Analitik denetim yöntemleri beklenmeyen sonuçlar verdiğinde, iç denetçi bu sonuçları ve ilişkileri değerlendirir. Bu değerlendirmede, beklenene göre ortaya çıkan farkın; yolsuzluk (hile), hata veya koşulların değişmesi nedenlerine bağlı olup olmadığı belirlenir. Denetçi yönetime, farkın nedenlerini sorabilir ve yönetimin açıklamasını; beklentiyi düzelterek ve farkı yeniden hesaplayarak veya başka denetim yöntemleri uygulayarak doğrulayabilir. İç denetçinin açıklamada özellikle; hem değişimin yönünün (örneğin azalan satışlar) ve hem de farkın miktarının (örneğin %10 azalan satışlar) dikkate alındığından emin olması gerekir. Analitik yöntemlerin uygulanmasıyla ortaya çıkan açıklanmamış sonuçlar veya ilişkiler, önemli sorunların (örneğin hata, yolsuzluk veya yasa dışı faaliyet gibi) göstergesi olabilir. Yeterli şekilde açıklanmamış sonuçlar veya ilişkiler, Standart 2060‟a göre üst yönetim ve Yönetim Kurulu‟na bildirilmesi gereken bir durumun varlığına işaret ediyor olabilir. Koşullara bağlı olarak iç denetçi uygun bir önlem tavsiye edebilir. Uygulama Önerisi 2330.A1-1 Görev Kayıtlarının Kontrolü 1. İç denetim görev kayıtları, kaydedildiği yere bakılmaksızın, raporları, destekleyici belgeleri, gözden geçirme notlarını ve yazışmaları içerir. Görev kayıtları veya çalışma kâğıtları, kurumun mülkiyetindedir. İç denetim faaliyeti çalışma kâğıtlarını kontrolünde tutar ve sadece yetkili kişilerin erişimine izin verir. 2. İç denetçiler, görev kayıtlarına kurum dışı taraflarca erişim hakkında yönetimi ve yönetim kurulunu eğitebilirler. Görev kayıtlarına erişim ile ilgili politikalar, erişim taleplerinin değerlendirilmesi ve görevin soruşturmayı gerektirmesi hâlinde izlenecek prosedürlerin yönetim kurulu tarafından gözden geçirilmesi gerekir. 3. İç denetim politikaları, faaliyet kayıtlarının kontrol ve güvenliğinden kurum içinde kimin sorumlu olduğunu, görev kayıtlarına hangi kurum içi veya dışı taraflar için erişim yetkisi verilebileceğini ve bu kayıtlara erişim taleplerinin nasıl değerlendirilmesi gerektiğini açıklar. Bu politikalar, şirketin niteliğine, sektörde takip edilen uygulamalara ve kanunlar tarafından getirilen erişim önceliklerine göre değişir. 4. Kurumun yönetimi ve diğer elemanları da bütün veya bazı özel çalışma kâğıtlarına erişim hakkı talep edebilir. Bu erişim, tespit ve tavsiyeleri kanıtlamak veya açıklamak için ya da işle ilgili başka amaçlarla gerekli olabilir. Bu talepleri, İç Denetim Yöneticisi onaylar. 5. Dış denetçilerin görev çalışma kâğıtlarına erişimini İç Denetim Yöneticisi onaylar. 6. Dış denetçilerden başka, kurum dışından tarafların da görev çalışma kâğıtlarına ve raporlara erişim talebinde bulunması mümkündür. Bu durumda, belgeler dışarı verilmeden önce, İç Denetim Yöneticisi, üst yönetimin ve/veya hukuk danışmanının onayını alır. 7. Özel olarak korunmayan iç denetim kayıtlarına kanuni kovuşturmalarda erişilebilir. Hukuki gerekler, farklı yargı sistemlerinde önemli değişiklikler gösterir. Kanuni bir kovuşturma ile ilgili görev kayıtlarına erişime yönelik özel bir talep geldiğinde, İç Denetim Yöneticisi, hangi belgelerin verileceğine karar verirken hukuk müşaviriyle müşterek çalışır. *** Yayın: Ocak 2009 Uygulama Önerisi 2330.A1-2: Denetim Kayıtlarına Erişim Yetkisinin Verilmesi (Mayıs 2010) İlgili Ana Standart 2330 – Bilgilerin Kayıtlı Hale Getirilmesi 2330.A1 - İç Denetim Yöneticisi, görev kayıtlarına erişimi kontrol etmek zorundadır. İç Denetim Yöneticisi, gerektiğinde, bu kayıtları kurum dışı taraflara vermeden önce, üst yönetimin ve/veya hukuk danışmanının onayını almak zorundadır. Uyarı: Farklı yargısal yetkiler (düzenlemeler) çerçevesinde gereksinimler önemli ölçüde değişebildiğinden iç denetçilerin yasal sorunları kapsayan konularda hukuk danışmanlarının görüşlerini almaları teşvik edilir. Bu uygulama önerisi kapsamında yer alan rehber temel olarak, ABD’deki yasal sitemde olduğu gibi, bilgiyi ve yapılan çalışmayı veya iletişimi korumak üzere anlaşmalı bir avukatın (örneğin müşteri- avukat hakkı) bulunduğu hukuk sistemlerini esas alır. Uygulama Önerisi 2400-1’de müşteri-avukat hakkı ele alınmıştır. 1. İç denetim görev kayıtları; raporları, destekleyici belgeleri, gözden geçirme notlarını ve hangi ortamda saklandığından bağımsız olarak kapsar. Görev kayıtları genellikle gizli oldukları ve olgular ile düşüncelerin bir karışımını içerebilecekleri varsayımıyla üretilir. Ancak kurumu veya iç denetim sürecini tam olarak bilmeyenler bu olgu ve düşünceleri yanlış anlayabilirler. Üçüncü taraflar; cezai takibatlar ve hukuki ihtilaflar, vergi denetimleri, yasal incelemeler, kamu ihale incelemeleri ve öz düzenleyici kurumların incelemelerini kapsayan farklı adli soruşturmalar çerçevesinde görev kayıtlarına erişmek isteyebilirler. Adli takibatlarda, müşteri-avukat-hakkı çerçevesinde korunmayan kurum kayıtlarının çoğuna erişilebilir. Cezai olmayan takibatlarda erişim konusu çok açık değildir ve kurumun tabi olduğu yargısal düzenlemeye göre değişebilir. 2. İç denetim faaliyetinin açık olarak bilinen uygulamaları, görev kayıtlarına erişimin kontrolünü artırabilir. 3. İç denetim faaliyeti, saklandığı ortam ne olursa olsun iç denetim kayıtlarına erişim ve kontrolü işaret edebilir. 4. İç denetim faaliyetine ilişkin politikaların; görev kayıtlarında neler bulunacağını, bunların içerik ve şekillerini, iç denetçilerin çözümlenen yeniden inceleme notlarını nasıl ele alacağını içermesi gereklidir. Bu politikaların ayrıca iç denetim kayıtlarının ne kadar süre ile saklanacağını da belirlemesi gereklidir. İç Denetim Yöneticisi (İDY) görev kayıtlarının saklama süresini belirlerken, yasal gerekliliklerin yanı sıra kurumun ihtiyaçlarını da dikkate almalıdır. 5. İç denetim faaliyeti politikaları, iç denetim kayıtlarının kontrol ve güvenliğinden kimin sorumlu olduğunu, kimlerin görev kayıtlarına erişim hakkı bulunduğunu ve bu kayıtlara erişim taleplerinin nasıl yönetileceğini yazılı hale getirebilir. Bu politikalar kurumun içinde bulunduğu sektörde veya tabi olduğu yasal hükümler çerçevesinde izlediği uygulamalara bağlıdır. İDY sektördeki uygulamalarda meydana gelen değişikliklerin veya yasal içtihatlardaki değişiklerin farkında olması gereklidir. Politikaları geliştirirken, İç Denetim Yöneticisi‟nin iç denetim kayıtlarına kimlerin erişmeyi talep edebileceğini göz önüne alması gereklidir. 6. Görev kayıtlarına erişim izni veren politika, aynı zamanda aşağıdaki süreçleri tarif edebilir: • Erişim sorunlarının çözümlenmesi. • Çalışma sonuçlarına erişime ilişkin risk ve sorunlarla ilgili olan personelin eğitimi. • Gelecekte kimlerin iş çalışma sonuçlarına erişim talep edebileceğinin belirlenmesi. 7. İDY, ayrıca üst yönetimi ve Yönetim Kurulu‟nu görev kayıtlarına erişimin riskleri hakkında eğitebilir. Yönetim Kurulu kimlere görev kayıtlarına erişim izni verilebileceği ve bu taleplerin nasıl yönetileceği ile ilgili politikaları gözden geçirebilir. Belirlenen politikalar, kurumun yapısı ve yasalarla tesis edilen erişim haklarına bağlı olarak değişecektir. 8. Görev kayıtları sunulurken, İDY genellikle; • Yalnızca hukuk danışmanının ya da politikaların yönlendirdiği belirli belgeleri verir. Bunlar genellikle avukat-müvekkil hakkı dışında kalan belgelerdir. Avukatın düşünceleri süreç ve stratejileri gösteren belgeler genellikle ayrıcalıklıdır ve zorla açıklamaya tabi değildir. • Belgeleri değiştirilemeyecek bir şekilde (örneğin Word dosyası yerine imaj/resim formatında) sunar. İDY kâğıt ortamdaki belgelerin asıllarını saklayarak kopyalarını paylaşır. • Her bir belgeye gizlidir damgası basar ve izin alınmaksızın ikincil dağıtımının yapılamayacağına dair bir not koyar. Uygulama Önerisi 2330.A2-1 Kayıtların Saklanması 1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir. 2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir. 3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir. *** Yayın: Ocak 2009 Uygulama Önerisi 2240-1: Görev İş Programı 1. İç denetçiler, bir iç denetim görevine başlamadan önce iş programlarının yazılı bir onayını alırlar. İş programı teknoloji destekli denetim ve örnekleme teknikleri gibi kullanılacak metodolojileri içerir. 2. Görev amaçlarına ulaşılması ve denetçinin objektifliğinin korunması için makul bir güvence sağlamak amacıyla, bilgi toplama, analiz, yorumlama ve belgelendirme süreçleri kontrol edilmelidir. Uygulama Önerisi 2330-1: Bilgilerin Kayıtlı Hâle Getirilmesi 1. İç denetçiler, çalışma kâğıtları hazırlar. Çalışma kâğıtları, toplanan bilgileri, yapılan analizleri, hükümlerin dayanaklarını ve görevin sonuçlarını belgelendirir. İç denetim yönetimi hazırlanan çalışma kâğıtlarını gözden geçirir. 2. Görevle ilgili çalışma kâğıtları, genel olarak; • görevlerin planlanması, uygulanması ve gözden geçirilmesine yardımcı olur, • görev sonuçlarına en büyük desteği sağlar, • görev amaçlarına ulaşılıp ulaşılmadığını gösterir, • yapılan işin tam ve kesin olmasına destek olur, • iç denetim faaliyetinin kalite güvence ve geliştirme programı için temel oluşturur, • üçüncü şahısların incelemelerini kolaylaştırır. 3. Görev çalışma kâğıtlarının düzeni, tasarımı ve içeriği, görevin niteliğine, amaçlara ve kurumun ihtiyaçlarına bağlıdır. Görev çalışma kâğıtları, görev sürecinin -planlamadan raporlamaya kadar- tüm aşamalarını belgelendirir. İç denetim birimi çalışma kâğıtlarının hangi ortamda hazırlanacağına ve saklanacağına karar verir. 4. İç Denetim Yöneticisi, yapılan çeşitli görev türlerine göre çalışma kâğıdı politikaları belirler. Soru formları ve denetim programları gibi standart görev çalışma kâğıtları, bir görevin verimliliğini artırabilir ve görevle ilgili işlerin paylaşımını kolaylaştırabilir. Çalışma kâğıtları, önemini her zaman koruyan bilgileri içeren, 'sabit' veya 'ileride de kullanılacak görev dosyaları olarak sınıflandırılabilir. • ** Yayın: Ocak 2009 Uygulama Önerisi 2330.A2-1: Kayıtların Saklanması 1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir. 2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir. 3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir. *9* Yayın: Ocak 2009 Uygulama Önerisi 2340-1: Görevin Gözetim ve Kontrolü 1. İç Denetim Yöneticisi veya atadığı kişi, uygun bir şekilde görevin gözetim ve kontrolünü sağlar. Gözetim ve kontrol, planlama ile başlayan ve görev boyunca devam eden bir süreçtir. Bu süreç şunları içine alır: • Görevlendirilen iç denetçilerin toplu olarak, görevi yapmaları için gerekli bilgi, beceri ve diğer kabiliyetlere sahip olmasının sağlanması, • Planlama safhasında gerekli talimatların verilmesi ve görev programının onaylanması, • Gerekli ve onaylı değişiklikler söz konusu olmadıkça, onaylanmış olan görev programının tamamlanmasının sağlanması, 9 İç denetçilerin veya iç denetim birimi adına çalışan başka kişilerin, İç Denetim Yöneticisinin meslekî kararlarına -görevi olumsuz etkiyebilecek kadar- aykırı şekilde karar almaları riskini asgarîye indirmek, • Görevle ilgili önemli konularda, İç Denetim Yöneticisi ile iç denetim personelinin meslekî kararları arasındaki farkları gidermek. Bu yol ve araçlardan bazıları, tesbit ve bulguların • Görev çalışma kâğıtlarının; tespitleri, sonuçları ve tavsiyeleri yeterince destekleyip desteklemediğinin değerlendirilmesi, • Raporlamaların açık, doğru, objektif, özlü ve yapıcı olmasını ve zamanında yapılmasının sağlanması, • Görev amaçlarına ulaşılmasının sağlanması • İç denetçilerin bilgi, beceri ve diğer kabiliyetlerini geliştirmeleri için uygun imkânların yaratılması. 2. İç Denetim Yöneticisi, iç denetim birimi tarafından veya iç denetim birimi adına yapıldığına bakılmaksızın, bütün iç denetim görevlerinden ve tüm görev aşamalarında alınan bütün önemli meslekî kararlardan sorumludur. İç Denetim Yöneticisi, ayrıca, bu sorumluluğunun gereğini yerine getirmek için uygun araç ve yollar geliştirir. Uygun araç ve yollar terimi, aşağıdaki amaçlarla hazırlanmış politika ve prosedürleri kapsar: tartışılması, ek araştırma ve/veya inceleme yapılması, çalışma kâğıtlarındaki farklı görüşlerin kaydedilmesi ve farklılıkların giderilmesidir. Etik bir meselede fikir ayrılığı olması hâlinde, konunun kurumdaki etik görevlilerine götürülmesi de 'uygun araç ve yollar' terimi içinde değerlendirilebilir. 3. Tüm görev çalışma kâğıtları, yapılan raporlamaları gerektiği şekilde desteklediklerinden ve gerekli tüm denetim prosedürlerinin yerine getirildiğinden emin olunacak şekilde gözden geçirilir. Gözden geçirmenin yapıldığına dair kanıtlar, gözden geçirenin her gözden geçirmeden sonra attığı parafı ve tarihi de içerir. Bu yönde kanıt sağlayacak diğer teknikler arasında, görev çalışma kâğıdı 'gözden geçirme kontrol listesi'nin kullanılması, gözden geçirmenin nitelik, kapsam ve sonuçlarını gösteren bir tutanak düzenlenmesi veya yapılan gözden geçirmeleri elektronik çalışma kâğıdı yazılımı içinde değerlendirme ve kabul yöntemi de sayılabilir. 4. Gözden geçirme yapanlar, gözden geçirme sürecinde ortaya çıkan sorular hakkında yazılı bir kayıt (mesela gözden geçirme notları) oluşturabilir. Gözden geçirme notları düzenlenirken, çalışma kâğıtlarında gözden geçirme sırasında ortaya çıkan soruların cevaplandığını tevsik eden yeterli kanıt olduğundan emin olmak gerekir. Gözden geçirme notlarının kullanılmasıyla ilgili kabul edilebilir seçenekler şunlardır: • Gözden geçirme notlarının, gözden geçirmeyi yapanların ortaya koyduğu sorunların, bu sorunlarla ilgili yapılanların ve yapılanların sonuçlarının bir kaydı olarak saklanması. • Ortaya konulan sorunlar çözüldükten ve ilgili çalışma kâğıtları istenen ek bilgileri de içerecek şekilde değiştirildikten sonra, gözden geçirme notlarının atılması. 5. Görevin gözetim ve kontrolü, personelin eğitim ve gelişimini ve performans değerlendirmesini de hesaba katar. • ** Yayın: Ocak 2009 Uygulama Önerisi 2400-1: Sonuçların İletilmesinde Hukuki Mülahazalar (Mayıs 2010) İlgili Ana Standart 2400 - Sonuçların Raporlanması İç denetçiler, görev sonuçlarını raporlamak zorundadır. İç denetçilerin görev sonuçlarını raporlaması gerekir. Uyarı: Farklı yargısal yetkiler (düzenlemeler) çerçevesinde gereksinimler önemli ölçüde değişebildiğinden iç denetçilerin yasal sorunları kapsayan konularda hukuk danışmanlarının görüşlerini almaları teşvik edilir. Bu uygulama önerisi kapsamında yer alan rehber temel olarak, ABD’deki yasal sitemde olduğu gibi, bilgiyi ve yapılan çalışmayı veya iletişimi korumak üzere anlaşmalı bir avukatın (örneğin müşteri- avukat hakkı) bulunduğu hukuk sistemlerini esas alır. Uygulama Önerisi 2400-1’de müşteri-avukat hakkı ele alınmıştır. 1. İç denetçi, yasalara, düzenlemelere aykırılığı ve başka hukukî sorunları iletirken dikkatli olmalıdır. Bu tip durumların yönetilmesine ilişkin politika ve prosedürlerin geliştirilmesi ve diğer alanlarla (örneğin hukuk danışmanı, mevzuata uyum) yakın bir çalışma ilişkisi kurulması şiddetle tavsiye edilir. 2. İç denetçi delilleri toplar, analitik değerlendirmeler yapar, sonuçları raporlar ve yönetimin gereken düzeltici tedbirleri alıp almadığını belirler. İç denetçinin çalışma kayıtlarını oluşturma ihtiyacı, hukuk danışmanının hukuki sorunlarda kurumun pozisyonunu zarara uğratabilecek keşfedilebilir kanıt bırakmama arzusuyla çelişebilir. Örneğin bir iç denetçi bilgiyi gerektiği şekilde toplasa ve değerlendirse bile, açıklanan gerçekler ve analizler, kurumu yasal açıdan olumsuz olarak etkileyebilir. Aniden yapılan bir açıklamada hukuk danışmanıyla iç denetçinin birbiriyle çelişen konumda olmaması için - rol tanımlarını ve iletişim biçimlerini de içerecek şekilde- uygun planlama yapılması ve politikaların oluşturulması şarttır. Her iki tarafın da, oluşturulan politikalar konusunda yönetimi eğiterek ve duyarlı hale getirerek, kurum içinde etik ve önleyici bir bakış açısını teşvik etmesi gerekir. 3. Avukat-müşteri hakkının korunabilmesi için, hak sahibi kişiler arasında -müşteri için hukuki yardım istemek, almak ve vermek amacına yönelik güvene dayalı- bir iletişime ihtiyaç vardır. Esas olarak avukatlarla yapılan iletişimin gizliliğini korumak amacıyla kullanılan bu hak, bir avukatla birlikte çalışan üçüncü kişilerle yapılan iletişimlere de uygulanabilir. 4. Bazı mahkemeler, öz eleştiri niteliği taşıyan (örneğin denetim çalışması ürünleri) malzemeleri ifşa edilmekten koruyan, bir kritik öz değerlendirme hakkı tanımıştır. Genellikle, bu ayrıcalığın tanınmasının altında yatan mantık, böyle davalarda öz analizin gizliliğinin korunmasının sağlayacağı faydanın, beklenen kamu yararından daha fazla olmasıdır. 5. Ayrıcalık (hak) genellikle şu durumlarda uygulanır: • Bilgiler, ayrıcalık talep eden tarafın kendisinin yaptığı (öz)eleştirel bir analiz sonucunda elde edilmiş ise. • Eleştirel analize konu bilgilerin serbest akışının korunmasında kamunun güçlü bir menfaati bulunuyorsa. • Bilgiler, açıklanmasına izin verildiği takdirde, bilgi akışı kesilecek türde bilgiler ise. 6. Belgelerin bir özel hukuki meseleye dahil olan kişi tarafından değil de bir kamu kuruluşu tarafından talep edildiği durumlarda, öz değerlendirme ayrıcalığının sağlanma olasılığı daha düşüktür. Bunun nedeni, muhtemelen, kanunların uygulanması konusunda kamu çıkarının daha güçlü olmasıdır. 7. „Çalışma ürünleri doktrini‟ kapsamında korunması istenen belgelerin genellikle; • herhangi bir çalışma sonucu tipine uyması (örneğin tutanak, bilgisayar programı), • bir dava açılabileceği düşüncesiyle hazırlanmış olması, • bir avukatın yönlendirmesiyle çalışan birisi tarafından hazırlanmış olması gereklidir. 8. Avukat-müvekkil ilişkisi kurulmadan önce hazırlanarak avukata teslim edilen belgeler genellikle avukat-müvekkil ayrıcalığı tarafından korunmaz. Uygulama Önerisi 2410-1: Raporlama Kıstasları 1. Nihaî görevle ilgili raporların formatı ve içeriği kurumdan kuruma veya görevin türüne göre değişmesine rağmen, her raporda, en azından, görevin amacı, kapsamı ve sonuçları ifade edilir. 2. Nihaî görevle ilgili raporlarda, temel (arkaplan) bilgiler ve özetler de yer alabilir. Temel bilgiler, denetlenen birimlerin ve faaliyetlerinin anlaşılmasını sağlar ve gerekli bilgi ile verileri sunar. Bu temel bilgiler, daha önceki raporlarda bulunan tespitlere, sonuçlara ve tavsiyelere de yer verebilir; raporun önceden programlanmış bir görevin sonucu mu, yoksa talep üzerine yapılan bir denetimin sonucu mu olduğunu bildirir. Özetler, raporun esasını verecek nitelikteki ifadelerden ibarettir. 3. Raporun "Amaçlar" başlığı altında, görevin hedefleri açıklanır. Okuyucu bu kısımda, görevin neden yapıldığı ve görevden ne beklendiği konusunda bilgilendirilebilir. 4. Raporun "Kapsam" başlığı altında, denetlenen faaliyetler belirtilir ayrıca denetimin kapsadığı süre dilimi gibi destekleyici bilgiler ve görevin sınırlarını açıkça çizmek amacıyla, denetlemeye konu olmayan ilgili faaliyetler de bu kısımda yer alabilir. Yapılan görevin niteliği ve kapsamı bu kısımda tanımlanabilir. 5. Görev sonuçları; tespitleri, kanaatleri, düşünceleri, tavsiyeleri ve eylem planlarını içerir. 6. Tespitler, maddî olay ve olgularla ilgili açıklamalardır. İç denetçi vardığı sonuçları ve yaptığı tavsiyeleri desteklemek veya bunların yanlış anlaşılmasını önlemek için gerekli görülen tespitlerini açıklar. İç denetçi daha az önemli görülen tespitlerini veya tavsiyelerini gayri resmî yollarla bildirebilir. Uygulama Önerisi 2420-1: Raporlamaların Kalitesi 1. Veri ve delilleri, dikkat ve hassasiyetle toplayın, değerlendirin ve özetleyin. 2. Tespit, sonuç ve tavsiyeleri, önyargısız ve tarafsız bir şekilde, kişisel çıkarları göz önüne almadan ve başkalarının etkisi altında kalmadan ortaya çıkartın ve ifade edin. 3. Gereksiz teknik terimler kullanmaktan kaçınarak ve konuyla ilgili ve önemli bütün bilgileri vererek, raporların anlaşılabilirliğini artırın. 4. Sunulan her düşüncenin anlamlı fakat özlü ve kısa olması amacıyla raporlarınızı hazırlayın. 5. Kurumun amaçlarına odaklanan, faydalı, olumlu, anlamlı bir rapor içeriği ve tarzı benimseyin. 6. Raporlamanın kurumun tarzı ve kültürü ile uyumlu olmasını temin edin. 7. Gecikmelerden kaçınmak için, görev sonuçlarıyla ilgili raporun zamanlamasını planlayın. *** Yayın: Ocak 2009 Uygulama Önerisi 2440-1: Sonuçların Dağıtımı 1. İç Denetim Yöneticisi, nihaî görev raporlarını hazırlamadan önce, iç denetçiler, görev sonuçları ve tavsiyelerini uygun yönetim kademeleriyle tartışır. Sonuçların ve tavsiyelerin tartışılması, genellikle, görev sırasında ve/veya görev sonrası toplantılarda (yani kapanış toplantılarında) yapılır. 2. Başka bir usul de, denetlenen faaliyet ve birimin yönetiminin taslak raporları, tespitleri ve tavsiyeleri gözden geçirmesidir. Bu tartışma ve gözden geçirmeler, denetlenenlerin özel konuları açıklığa kavuşturmasına fırsat vererek yanlış anlaşılma ve yorumlamalardan kaçınılmasına ve denetlenenlerin tespit, sonuç ve tavsiyeler hakkında görüşlerini ifade etmesine yardımcı olur. 3. Tartışma ve gözden geçirmelere katılanların düzeyi kurumdan kuruma ve raporun niteliğine göre farklılık gösterir; katılanlar, genellikle, faaliyetlerin ayrıntılarına vâkıf veya gerekli tedbirlerin alınmasına izin ve yetki verebilecek kişilerdir. 4. İç Denetim Yöneticisi, nihai görev raporunu denetlenen birimin yönetimine ve görev sonuçlarının uygulanmasını sağlayabilecek olan ve düzeltici eylemleri yerine getirebilecek veya bunu temin edebilecek kurum çalışanlarına dağıtır. Gerekli hallerde, İç Denetim Yöneticisi, kurum içindeki daha üst düzey yetkililere özet bir rapor sunabilir. İç denetim yönetmeliği veya kurum politikası gerektirdiğinde, İç Denetim Yöneticisi, dış denetçiler ve yönetim kurulu gibi diğer ilgili veya etkilenen taraflara da raporu dağıtır. *** Yayın: Ocak 2009 Uygulama Önerisi 2440-2: Hassas Bilgilerin Hiyerarşi İçindeki ve Dışındaki Kişilere İletilmesi (Mayıs 2010) İlgili Ana Standart 2440 – Sonuçların Dağıtımı İç Denetim Yöneticisi, görev sonuçlarını uygun taraflara dağıtmak zorundadır. Yorum: İç Denetim Yöneticisi veya görevlendirdiği denetçi, nihai görev raporunu yayımlanmadan önce gözden geçirerek onaylar ve kime ve nasıl dağıtılacağına karar verir. 1. İç denetçiler, sıklıkla kurum için önemli olan veya önemli potansiyel sonuçlar doğurabileceği öngörülen son derece hassas bilgiler elde edebilir. Bu bilgiler, kamu sağlığını veya güvenliğini tehlikeye atan teşhir, tehditler, belirsizlikler, hileler, kayıplar ve kötü yönetim, yasadışı faaliyetler, gücün kötüye kullanımı, suiistimaller veya başka hatalarla ilgili olabilir. Ayrıca, bu konular kurumun itibarını, imajını, rekabet gücünü, başarısını, sürekliliğini, piyasa değerlerini, yatırımlarını, maddi olmayan duran varlıklarını veya kazançlarını olumsuz olarak etkileyebilir. 2. Yeni bilgilerin önemli ve güvenilir olduğunu düşündüğünde, iç denetçinin bu bilgileri Standart 2060 ve Uygulama Önerisi 2060-1‟a uygun olarak - zamanında- üst yönetime ve Yönetim Kurulu‟na iletmesi gerekir. Bu iletişim, iç denetçi için genellikle normal hiyerarşik ilişki dahilinde gerçekleşir. 3. Bu görüşmelerden sonra, eğer İç Denetim Yöneticisi, üst yönetimin kurumu kabul edilemez bir riske maruz bıraktığı ve uygun önlemleri almadığı sonucuna varırsa, bu bilgileri ve görüş farklılıklarını Standart 2600‟a uygun olarak Yönetim Kurulu‟na sunması gerekir. 4. Tipik hiyerarşik iletişim senaryosu belirli tipteki hassas olaylar için yasalar, yönetmelikler veya müşterek uygulamalar nedeniyle hızlandırılabilir. Örneğin halka açık menkul kıymetleri bulunan bir kurumun hileli finansal raporlama yaptığının kanıtlanması durumunda, üst yönetim ve İç Denetim Yöneticisi alınması gereken önlemler konusunda mutabık olsa dahi, yerel düzenlemeler, yanıltıcı finansal raporlara yol açabilecek şartlar hakkında Yönetim Kurulu‟nun acilen bilgilendirilmesini öngörebilir. Bazı yargısal sistemlerde yasa ve düzenlemeler menkul kıymetler, gıda, ilaç veya çevre yasalarının ihlalinin yanı sıra kamu görevlilerine, tedarikçilere veya müşterilere rüşvet verilmesi veya uygunsuz ödemeler yapılması gibi diğer yasadışı eylemlerin tespitinde Yönetim Kurulu‟nun bilgilendirilmesi gerektiğini belirtir. 5. Bazı durumlarda, bir iç denetçi, bilginin normal hiyerarşi dışındaki kişilere veya kurum dışına iletilmesine karar vermekte ikilemle karşılaşabilir. Bu iletişim genellikle “ihbar” olarak nitelendirilir. Olumsuz bilgileri kurum içinde ancak iç denetçinin normal hiyerarşi dışındaki birine açıklama eylemi iç ihbar olarak nitelendirilirken, olumsuz bilginin bir kamu kurumuna veya kurum dışında başka bir otoriteye açıklanması dış ihbar olarak nitelendirilir. 6. İhbarda bulunanların çoğu, yasa dışı veya diğer uygunsuz faaliyet iddialarının araştırılması ve uygun önlemlerin alınması açısından kurumun politika ve mekanizmalarına güveniyorlarsa normal hiyerarşi dışında olsa bile, hassas bilgileri kurum içinde ifşa ederler. Ancak, hassas bilgilere sahip bazı kişiler işverenlerinin veya iş arkadaşlarının misilleme yapacağından korkarlarsa, konunun uygun bir şekilde araştırılacağı konusunda şüpheleri varsa, konunun örtbas edileceğine inanıyorlarsa veya kurum ya da toplum içindeki insanların sağlığını, güvenliğini veya refahını tehlikeye atacak yasadışı veya uygunsuz bir faaliyete ilişkin kanıta sahiplerse bu bilgileri kurum dışına taşımaya karar verebilirler. 7. İç ihbar seçeneğinin tercih edildiği bir durumda, iç denetçi, gördüğü riski normal hiyerarşi dışındaki kişi veya gruplara iletmenin alternatif yollarını değerlendirmek zorundadır. Bu yaklaşımlarda ortaya çıkabilecek riskler ve sonuçlar nedeniyle iç denetçinin her muhtemel eylemin avantaj ve dezavantajlarını da değerlendirmesi ve verdiği sonuçların kanıtını ve makul olup olmadığını anlama konusunda dikkatle hareket etmesi gerekir. Bu hareketin benimsenmesi üst düzey yönetim veya Yönetim Kurulu‟ndaki kişiler tarafından sorumlu eylemle sonuçlandırılabilecekse uygun olabilir. 8. Birçok yargısal sistem, bir müfettişi, diğer bir kamu görevlisini veya ombudsmanı bilgilendirmek üzere, yasadışı veya etik olmayan eylemler hakkında bilgi sahibi kamu görevlileri gerektiren yasalara veya düzenlemelere sahiptir. İhbar eylemleriyle ilgili bazı yasalar, belirli türdeki uygunsuz faaliyetlerin açığa çıkarılması konusunda vatandaşlarını korur. Bu yasa ve düzenlemelerin kapsadığı faaliyetler aşağıda listelenmiştir; • Yasal yükümlülüklere uyumla ilgili suçlar veya başka itaatsizlikler • Adli hata olarak nitelendirebilecek hareketler • Bireylerin sağlığını, güvenliğini veya refahını tehlikeye sokacak hareketler • Çevreye zarar veren hareketler • Yukarıdaki faaliyetlerden her hangi birini gizlemeye veya üstünü örtmeye yönelik faaliyetler Bazı yargısal sistemler çalışanlara hiçbir rehberlik veya koruma sunmaz ya da sadece kamu (örneğin hükümet) çalışanlarına sunar. 9. İç denetçinin kurumun faaliyet gösterdiği çeşitli yargısal sistemlerdeki yasa ve düzenlemelerden haberdar olması gerekir. İhbarın hukuki yönleri hakkında bilgi sahibi olan hukuk danışmanı bu sorunla karşılaşan iç denetçilere yardım edebilir. İç veya dış ihbarlarla uğraşmanın yasal gerekleri veya sonuçları hakkında şüphesi bulunan iç denetçinin her zaman yasal tavsiye alması gerekir. 10. Birçok meslek kuruluşu, üyelerini yasadışı ya da etik olmayan faaliyetleri açıklamaktan sorumlu tutar. Bir mesleğin ayırt edici işaretlerinden birisi de kamuya karşı geniş sorumluluklar benimsemesi ve genel refahı korumasıdır. IIA üyeleri ve tüm sertifikalı iç denetçiler, yasal gerekliliklerin incelenmesine ek olarak, IIA‟in Etik Kurallarında belirtilen gereklilikleri takip etmek zorundadır. 11. İç denetçinin, tüm kanıtları ve ulaştığı sonuçların uygunluğunu dikkatli bir şekilde değerlendirmek ve kurumun çıkarlarını, paydaşlarını, toplumu ve toplumsal kuruluşları korumak için ilave önlemlere ihtiyaç olup olmadığına karar vermek gibi profesyonel bir görevi ve etik bir sorumluluğu vardır. Ayrıca iç denetçinin, bilginin değerine ve sahipliğine saygı göstermek ve yasal ve mesleki bir zorunluluk olmadıkça, uygun yetkisi olmaksızın açıklamaktan kaçınması için IIA‟in Etik Kuralları‟nda düzenlenen gizlilik görevini göz önünde bulundurması gerekir. İç denetçi, bu değerlendirme sürecinde, hukuk danışmanının ve eğer mümkünse diğer uzmanların tavsiyelerini arayabilir. Bu görüşmeler hem koşullar üzerinde farklı bakış açıları geliştirmek hem de olası eylemlerin muhtemel etki ve sonuçları hakkında görüş sunmak açısından faydalı olabilir. İç denetçinin, bu karmaşık ve hassas durumu çözmek için aradığı yöntem misillemelere ve potansiyel sorumluluk doğmasına yol açabilir. 12. İç denetçi, işverene karşı yükümlülükleri hakkında mesleki bir karar verir. Normal hiyerarşi dışındaki kişilerle iletişime geçme kararının, yapılan yanlışlıkların önemli, inandırıcı delillerle desteklendiği ve yasa ya da düzenlemenin emredici hükmü veya mesleki ya da etik yükümlülük gereği başka önlemlerin alınması gerektiği gibi sağlam düşüncelere dayanması gerekir. Uygulama Önerisi 2440.A2-1: Kurum Dışı İletişim İlgili Ana Standart 2440 - Sonuçların Dağıtımı 2440.A2 - İç Denetim Yöneticisi, aksi kanunî, hukukî düzenlemelerle emredilmediği takdirde, görev sonuçlarını kurum dışındaki taraflara iletmeden önce, kuruma doğabilecek muhtemel riskleri değerlendirmek, uygun olduğu şekilde üst yönetim ve/veya hukuk danışmanı ile istişare etmek ve sonuçların raporlanmasını, kullanımını kısıtlayarak, kontrol etmek zorundadır. 1. İç denetim yönetmeliği, Yönetim Kurulu‟nun çalışma usul ve esasları belirleyen yönetmelik, kurum politikaları veya denetim sözleşmesi bilginin kurum dışına raporlanmasına ilişkin rehberlik içerebilir. İç Denetim Yöneticisi, böyle bir rehberliğin bulunmadığı durumlarda aşağıda belirtilenleri kapsayabilen politikaların benimsenmesine yardımcı olabilir; • Kurum dışına bilgi raporlanması için gerekli yetkilendirme. • Bilginin kurum dışına raporlanmasında onay alınması süreci. • Raporlanmasına izin verilebilecek veya verilemeyecek bilgiye ilişkin kurallar. • Bilgi almaya yetkili kurum dışı şahıslar ve alabilecekleri bilgi türleri. • Kurum dışına bilgi raporlanması ile ilgili gizlilik düzenlemeleri, düzenleyici kurumların gereksinimleri ve hukuki mütalaalar. • Kurum dışına iletilecek bilgiler kapsamında yer alabilecek tavsiyelerin, önerilerin, görüşlerin, rehberlik ve diğer bilgilerin niteliği. 2. Talepler mevcut bilgilerle (örneğin daha önce yayımlanan bir iç denetim raporu) ilgili olabileceği gibi yeni bir iç denetim görevi veya raporu sonucunda hazırlanabilecek veya belirlenebilecek bilgilerle de ilgili olabilir. Talep mevcut bir bilgiyle veya raporla ilgiliyse iç denetçinin bunun kurum dışına dağıtılmasının uygun olup olmayacağına karar vermesi gerekir. 3. Belirli durumlarda, raporu kurum dışına dağıtmaya uygun hale getirmek için hâlihazırda mevcut olan bir rapor veya bilgiye dayanan özel amaçlı bir rapor hazırlanması mümkün olabilir. 4. Kurum dışına bilgi raporlanması sırasında dikkate alınması gereken bir takım hususlar şunlardır: • Alıcıyla, raporlanacak bilgi ve iç denetçinin sorumlulukları ile ilgili yazılı bir anlaşma yapılmasının faydası. • Dağıtılan rapor veya bilginin, bilgi sağlayıcılarının, kaynaklarının, raporu imzalayanların, alıcıların ve ilgili kişilerin tanımlanması. • Geçerli bilginin elde edilmesinde gerçekleştirilmesi gereken amaç, kapsam ve prosedürlerin tanımlanması. • Görüşler, tavsiyelere yer verilmesi ya da verilmemesi, itirazlar, sınırlamalar ile sağlanması gereken güvence veya iddiaların türünü kapsayacak şekilde raporun veya başka tür bir iletişimin niteliği. • Telif hakkı sorunları, bilginin kullanım amacı ve bilginin ilave dağıtımı veya paylaşılması üzerindeki kısıtlamalar. 5. İç denetçinin, bilginin kurum dışına dağıtılmasını gerektiren denetim görevlerini yürütürken üst yönetime veya Yönetim Kurulu‟na raporlanabilecek bir bilgi keşfetmesi durumunda, İç Denetim Yöneticisi‟nin Yönetim Kurulu‟yla uygun iletişimi sağlaması gerekir. Uygulama Önerisi 2500-1: İlerlemenin Gözlenmesi 1. Sonuçların akıbetinin etkili bir şekilde gözlenebilmesi için, İç Denetim Yöneticisi aşağıdakileri içerecek şekilde prosedürler oluşturur: • Yönetimin rapordaki sonuçlara, tespitlere ve tavsiyelere cevap vermesi için tanınan süre, • Yönetimin verdiği cevabın değerlendirilmesi, • Cevabın doğrulanması (gerekiyorsa), • Bir takip görevinin yapılması (gerekiyorsa), • Risklerin üstlenilmesi de dahil, tatmin edici olmayan cevapların/eylemlerin uygun üst yönetim kademelerine veya yönetim kuruluna iletilmesine yönelik bir raporlama süreci. 2. Rapordaki bazı tespitler ve tavsiyeler, yönetimin veya yönetim kurulunun derhal tedbir almasını gerektirecek kadar önemli ise, iç denetim faaliyeti (birimi) bunlar düzeltilene veya tavsiyeler uygulanana kadar, alınan tedbirleri izler. 3. İç denetim birimi, şunları yaparak ilerlemeyi etkili bir şekilde gözler: • Tespit ve tavsiyelerin, tedbirleri almaktan sorumlu olan uygun yönetim kademelerine iletilmesi. • Yönetimin tespit ve tavsiyelerle ilgili cevaplarının ve önerilen eylem planının, görev süresinde veya görev sonuçlarının rapor edilmesinden sonra, makul bir süre içinde, alınması ve değerlendirilmesi. Yönetimin cevapları, İç Denetim Yöneticisinin önerilen tedbirlerin zamanlamasını ve uygunluğunu değerlendirmesi için yeterli bilgi içeriyorsa, daha faydalı olur. • Yönetimin, raporlanan durumları düzeltmeye veya önerileri uygulamaya yönelik çabalarını değerlendirmek için yönetimden düzenli olarak güncel bilgi alınması. • İzleme veya düzeltme eylemlerinden sorumlu diğer birimlerden bilgi alınması ve bu bilgilerin değerlendirilmesi. • Tespit ve tavsiyelere alınan cevapların durumu hakkında üst yönetime ve/veya yönetim kuruluna rapor verilmesi. • ** Yayın: Ocak 2009 Uygulama Önerisi 2500.A1-1: Takip Süreci 1. İç denetçiler, düzeltici tedbirlerin alınıp alınmadığını veya tavsiyelerin uygulanıp uygulanmadığını tesbit eder. İç denetçi, istenen sonuçlara ulaşılıp ulaşılmadığını ya da üst yönetimin veya yönetim kurulunun, gerekli tedbirleri almamanın veya tavsiyeleri uygulamamanın riskini üstlenip üstlenmediğini belirler. 2. Takip, dış denetçilerin ve diğerlerininkiler de dahil, rapor edilen tespit ve tavsiyeler üzerine yönetimin aldığı tedbirlerin yeterliliği, etkililiği ve zamanlamasını iç denetçilerin değerlendirdiği bir süreçtir. Bu süreç, ayrıca, üst yönetimin veya yönetim kurulunun, raporlanan tespitlere yönelik gerekli tedbirleri almamasının veya tavsiyeleri uygulamamasının riskini üstlenip üstlenmediğini belirler. 3. İç denetim faaliyetinin (biriminin) yönetmeliğinde, takip sorumluluğu tanımlanmalıdır. İç Denetim Yöneticisi, takibin niteliğini, zamanlamasını ve kapsamını, aşağıdaki hususları dikkate alarak, tespit eder: • Rapor edilen tespit veya tavsiyenin önemi, • Rapor edilen sorunun düzeltilmesi için gereken çaba miktarı ve maliyet, • Düzeltici tedbirin yetersiz kalmasının muhtemel etkileri, • Düzeltici tedbirin karmaşıklığı, • Gereken süre. 4. İç Denetim Yöneticisi, görev iş programlarının bir parçası olarak, takip görev ve faaliyetlerini programlamaktan sorumludur. Takip programı, düzeltici tedbirlerin uygulanma zorluğu ve zamanlamasının önemi yanında, risk ve riske maruz kalma seviyesine dayanarak yapılır. 5. İç Denetim Yöneticisi, yönetimin sözlü veya yazılı cevabının -tesbit ve tavsiyenin göreli önemi de tartılarak- alınan tedbirin yeterli olduğuna işaret ettiğine kanaat getirdiğinde, iç denetçiler, bir sonraki görevin bir parçası olarak bir takip çalışması yapabilir. 6. İç denetçiler, tesbitlerle ve tavsiyelerle ilgili tedbirlerin altta yatan temel şartları düzeltip düzeltmediğini saptar. Takip faaliyetleri, usulüne uygun olarak kayıtlı hâle getirilir. • ** Yayın: Ocak 2009 4. Denetim evreni ve ilgili denetim planı, yönetimin yönelimlerindeki, hedeflerindeki, önceliklerindeki ve odaklandığı hususlardaki değişiklikleri yansıtacak şekilde güncellenir. Denetim evreninin, kurumun en güncel stratejilerini ve yönelimlerini yansıtması için en az 4. Dahilî (doğal) risk ve artık risk (bakiye risk olarak da bilinir) iki temel risk kavramıdır. Finansal/dış denetçiler, ilgili azaltıcı kontroller olmadığı varsayımı ile, bilgi veya verilerin önemli bir hatâlı gösterime (mali tablolarda) hassasiyeti olarak özetlenebilecek dahili risk kavramını uzun zamandır kullanmaktadırlar. Artık risk, Standartlarda şöyle tanımlanmaktadır: 11Yönetimin, olumsuz bir olayın etki ve ihtimalini azaltmak amacıyla, riski karşılamaya yönelik kontrol faaliyetleri de dahil, aldığı tedbirlerden sonra kalan risktir." Artık risk genellikle, "mevcut kontroller ve kontrol sistemleriyle yönetilen risk" olarak da tanımlanır. 8. Risk yönetim süreci ve sistemleri, dünyada farklı şekillerde kurulmuştur. Kurumun risk yönetimiyle ilgili olgunluk seviyeleri, kurumdan kuruma farklılık gösterir. Kurumların merkezî bir risk yönetimi faaliyetinin olduğu durumlarda, bu faaliyetin rolleri arasında, iç kontrol yapısının devam eden gözden geçirmesini de dikkate alarak yönetim ile koordinasyonu sağlamak ve yapıyı, değişen risk iştahına göre güncellemek bulunmaktadır. Dünyanın değişik yerlerinde kullanılmakta olan risk yönetim süreçleri farklı mantık, farklı yapı ve terminolojiye sahip olabilir. Bu yüzden, iç denetçiler, kurumun risk yönetimi sürecinin bir değerlendirmesini yapar ve iç denetim faaliyet planının gelişmesinde ve münferit iç denetim görevlerinin planlanmasında hangi kısımların kullanılabileceğini belirler. 9. İç denetim planının geliştirilmesinde iç denetçilerin dikkate aldığı unsurlar şunlardır: • Dahilî riskler - Belirlenip değerlendirildiler mi? • Artık riskler - Belirlenip değerlendirildiler mi? • Azaltıcı kontroller, âcil durum planları ve izleme faaliyetleri - Münferit olaylar ve/veya risklerle bağlantıları kurulmuş mu? • Risk kayıtları (risk registers) - Sistematik mi, tam mı ve doğru mu? • Dokümantasyon - Riskler ve faaliyetler belgelenmiş mi?