YÖNETİM KURULUYLA ETKİLEŞİM

Transkript

1 Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) Uygulama Rehberi YÖNETİM KURULUYLA ETKİLEŞİM AĞUSTOS 2011 IIA THE INSTITUTE OF INTERNAL AUDITORS [ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ]

2 İÇİNDEKİLER TABLOSU Yöneticiler İçin Özet 3 Giriş 3 İç Denetimin Yönetim Kuruluyla İlişkisi 6 A. Toplantılar Arasında Yönetim Kuruluyla Sık Sık İletişim Kurmak 6 B. Hassas Konular Hakkında İletişim Kurmak 7 C. Uluslararası ve Sektöre İlişkin Değerlendirmeler 8 D. CAE Değişimi 8 Bir Risk-Bazlı Denetim Planı Yoluyla İletişim Kurmak 9 Yönetim Kurulu Raporlaması 10 A. Odaklanılması Gereken Kilit Öneme Sahip Alanlar 10 B. İç Kontrol Sistemi 10 C. Denetim Planı ve Denetim Kaynaklarının Durumu 11 D. Denetim Raporlarının Dağıtımı 11 E. Suiistimaller / Soruşturmalar 11 F. Açık Denetim Sorunları 12 G. Kalite Değerlendirmeleri 12 H. Yönetim Kurulu İçin Eğitim Fırsatları 12 Yönetim Kurulu Faaliyetlerinin Yönetimi ve Eşgüdümü 13 2

3 YÖNETİCİLER İÇİN ÖZET Yönetim kurulları ve iç denetçiler birbirleriyle bağlantılı, örtüşen hedeflere sahiptir. Bu ikisi arasında kuvvetli bir iş ilişkisinin kurulması, iç denetim biriminin yalnızca yönetim kuruluna değil, aynı zamanda üst düzey yönetime, hissedarlara ve diğer paydaşlara karşı sorumluluklarını gerektiği gibi yerine getirmesi açısından kritik öneme sahip bir konudur. İç denetim yöneticisi (CAE), kurumun yönetişim yapısına bağlı olarak genellikle doğrudan doğruya yönetim kuruluna bağlıdır ve ona rapor verir. Etkili bir iç denetim faaliyeti / birimi, yönetim kuruluna güvence verir ve kurumun yönetişimi, risk yönetimi ve ilgili iç kontrollerine yönelik iyileştirme fırsatlarını telkin eder. Yönetim kurulunun sorumlulukları arasında bu rehberde bahsedilmeyen başka faaliyetler bulunmaktadır ve bu rehberde, hiçbir surette, bu sorumluluklara ilişkin kapsamlı bir tanım verilmeye çalışılmamaktadır. Yönetim kurulu ve iç denetim birimi arasında etkili bir ilişki kurulması açısından kilit öneme sahip olan ve aslen CAE aracılığıyla gerçekleştirilen çeşitli faaliyetler vardır: Yönetim kuruluyla açık yüreklilikle ve samimiyetle sürdürülen haberleşmeler de dahil olmak üzere, yönetim kurulu ve yönetim kurulu başkanıyla etkili bir iletişim kurmak. Yönetim kurulu yönetmeliğinin ilgili hedeflerini karşılayan bir risk-bazlı denetim planı hazırlamak ve bu plan çerçevesinde iç denetim biriminin yaptıklarını rapor etmek. Yönetim kuruluna düzenli olarak ve zamanında resmi ve gayriresmi raporlar vermek. Sorumluluklarını yerine getirmek için uygun bir tüzüğe, faaliyetlere ve proseslere sahip olduğunu teyit etme konusunda yönetim kuruluna yardımcı olmak. İç denetimin yönetmeliği, rolü ve faaliyetlerinin açıkça anlaşılmalarını ve yönetim kurulunun ihtiyaçlarına cevap verme niteliğine sahip olmalarını sağlamak. Yönetişim, risk yönetimi, uyum ve bağlantılı iç kontrollerle ilgili olarak düzenleyici kurumlarda ve iş çevresinde yaşanan değişimleri anlamasında yönetim kuruluna yardımcı olmak. GİRİŞ Bu uygulama rehberinin amacı, yönetim kuruluyla karşılıklı etkileşim ve iletişim kurmakla ilgili olan Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) gereklerini karşılamakta iç denetim yöneticisine (CAE) yardımcı olmaktır. UMUÇ un Terimler Sözlüğünde, yönetim kurulu, bir şirketin idare meclisi, yürütme kurulu ya da bir tüzel kişinin başkanı ya da kâr amacı gütmeyen bir kuruluşun mütevelli heyeti veya guvernörler kurulu ya da iç denetim yöneticisinin işlevsel olarak bağlı bulunduğu denetim komitesi de dahil kurumun atanan diğer birimleri gibi kendisine fonksiyonel raporlar yapılan bir yönetim organı olarak tanımlanmaktadır. UMUÇ ta, yönetim kuruluyla karşılıklı etkileşim ve iletişim kurmakla ilgili olan aşağıdaki Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar), Uygulama Rehberleri ve Uygulama Önerileri ana hatlarıyla anlatılmaktadır Amaç, Yetki ve Sorumluluklar İç denetim faaliyetinin (biriminin) amaç, yetki ve sorumlulukları, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumlu olan bir iç denetim yönetmeliğinde resmi olarak 3

4 tanımlanmalıdır. İç denetim yöneticisi, iç denetim yönetmeliğini periyodik olarak gözden geçirmeli ve üst düzey yönetim ve yönetim kurulunun onayına sunmalıdır Bağımsızlık ve Nesnellik İç denetim faaliyeti (birimi) bağımsız olmalı ve iç denetçiler görevlerini yaparken nesnel davranmalıdır. Çift yönlü raporlama ilişkisi kurularak bu sağlanabilir Kurum İçi Bağımsızlık CAE, iç denetim biriminin sorumluluklarını yerine getirmesine imkan sağlayan bir yönetim kademesine rapor vermelidir. CAE, iç denetim biriminin kurum içi bağımsızlığa sahip olduğunu yönetim kuruluna yılda en az bir defa teyit etmelidir Yönetim Kuruluyla Dolaysız Etkileşim CAE, yönetim kuruluyla aracısız olarak iletişim kurmalı ve etkileşime girmelidir. Uygulama Rehberi: İç Denetim Yöneticileri Tayin, Performans Değerlendirmesi ve Sözleşme Fesih İşlemleri CAE, üst düzey yönetimle ve yönetim kuruluyla yüksek düzeyde etkileşim ve ilişki içerisindedir; dolayısıyla, bu pozisyon için gereken doğru özniteliklere ve becerileri sergilemesi gerekir. 1300/1310 Kalite Güvence ve Geliştirme Programı CAE, iç denetim faaliyetinin (biriminin) tüm yönlerini kapsayan bir kalite güvencesi ve geliştirme programı hazırlamalı ve bunu sürdürmelidir. Bu program, hem iç hem de dış kalite değerlendirmelerini içermelidir Bildirim ve Onay CAE, önemli ara değişiklikler de dahil, iç denetim biriminin planlarını ve kaynak ihtiyaçlarını gözden geçirme ve onay için üst düzey yönetime ve yönetim kuruluna bildirmelidir. CAE, kaynak sınırlamalarının etkilerini de rapor etmelidir. Uygulama Önerisi Bildirim ve Onay 1. CAE; iç denetim planı, iş programı, personel kadro planı ve mali bütçenin bir özetini yılda bir kere üst düzey yönetim ve yönetim kurulunun onayına sunmalıdır. Bu özet, üst düzey yönetimi ve yönetim kurulunu, iç denetim çalışmasının kapsamı ve bu kapsam üzerindeki sınırlamalar hakkında bilgilendirmelidir. CAE, bütün önemli ara değişiklikleri de onay alma ve bilgilendirme amaçlarıyla sunmalıdır. 2. Onaylanmış görev iş programları, personel kadro planı ve mali bütçe ve bunlardaki bütün önemli ara değişiklikler; üst düzey yönetimin ve yönetim kurulunun, iç denetim biriminin amaç ve planlarının kurumun ve yönetim kurulunun amaç ve planlarını destekleyip desteklemediğini ve iç denetim yönetmeliğine uygun olup olmadığını belirlemesine yetecek kadar bilgi içermelidir. 4

5 Standart 2060 Üst Düzey Yönetim ve Yönetim Kuruluna Raporlama CAE, iç denetim biriminin amacı, yetkileri, görev ve sorumlulukları ve planla karşılaştırmalı olarak performans konularında, üst düzey yönetim ve yönetim kuruluna dönemsel raporlar sunmalıdır. Bu raporlar; suiistimal riskleri de dahil önemli risk maruziyetlerini ve kontrol sorunlarını, kurumsal yönetişim sorunlarını ve üst düzey yönetimin ve yönetim kurulunun ihtiyaç duyabileceği veya talep edebileceği başka konuları da içermelidir. Uygulama Önerisi Üst Düzey Yönetim ve Yönetim Kuruluna Raporlama Raporlamanın sıklığı ve içeriği, üst düzey yönetim ve yönetim kuruluyla yapılan görüşme ve tartışmalar çerçevesinde belirlenmeli ve rapor edilecek bilgilerin önemine ve üst düzey yönetim veya yönetim kurulunca alınması gereken ilgili tedbirlerin aciliyetine bağlı olmalıdır Raporlamaların Kalitesi Raporlamalar; doğru, nesnel, açık, özlü, yapıcı ve tam olmalı ve zamanında sunulmalıdır. Uygulama Önerisi Raporlamaların Kalitesi 1. Verileri ve kanıtları dikkat ve hassasiyetle toplayınız, değerlendiriniz ve özetleyiniz. 2. Tespit, sonuç ve tavsiyelerinizi, önyargısız ve tarafsız bir şekilde, kişisel çıkarlarınızı göz önüne almadan ve başkalarının etkisi altında kalmadan gözlemleyiniz / ifade ediniz. 3. Gereksiz teknik terimler kullanmaktan kaçınarak ve bu bağlamda ilgili bütün önemli bilgileri vererek açıklığı sağlayınız. 4. Sunulan her düşüncenin anlamlı, fakat özlü ve kısa şekilde formüle edildiği raporlar geliştiriniz. 5. Kurumun hedeflerine ulaşmasına odaklı, faydalı, olumlu ve anlamlı bir içerik ve ton benimseyiniz. 6. Hazırlanan raporların ve yapılan bildirimlerin kurumun tarzı ve kültürüyle tutarlı olmasını sağlayınız. 7. Gereksiz gecikmelerden kaçınmak için, görevden alınan sonuçların sunumunun zamanlamasını planlayınız Sonuçların Raporlanması CAE, görev sonuçlarını uygun taraflara raporlamalıdır. Uygulama Önerisi Hassas Bilgilerin Emir Komuta Zinciri İçerisinde ve Dışında Raporlanması 5

6 İç denetçi, yeni edindiği bilgilerin önemli ve güvenilir olduğunu düşünüyorsa, normalde, üst düzey yönetim ve yönetim kuruluna bu bilgileri gecikmeden rapor eder. İÇ DENETİMİN YÖNETİM KURULUYLA İLİŞKİSİ İç denetim ve yönetim kurulu arasında kuvvetli bir ilişki kurulması, iç denetim biriminin denetim yönetmeliğinde tanımlanan hedeflerine ulaşma kabiliyetini arttırır. Bu ilişki genellikle temelde CAE üzerinden kurulur ve sürdürülür, ancak iç denetim biriminin diğer üyeleri de yönetim kurulu toplantılarına katılmak ve yönetim kuruluna sunulacak materyalleri hazırlamak suretiyle bu ilişkiye katkıda bulunabilirler. Ayrıca, tüm iç denetim birimi personeli, projeleri baştan sona profesyonel olarak tatbik etmek ve bu projelerden alınan sonuçları analiz etmek suretiyle bu ilişkide bir rol oynar. Kuvvetli bir ilişki, önemli etkileşimler ve iletişimler kuruldukça zaman içerisinde büyümesi ve kuvvetlenmesi gereken güven ve güvenilirlik ortamına dayanır. CAE ve yönetim kurulu, iç denetim biriminden ne beklendiği konusunda açık ve net bir anlaşmaya varmalıdırlar. Bu beklentiler, periyodik olarak gözden geçirilip onaylanmaları gereken yönetim kurulu ve iç denetim birimi tüzüklerinde ve yıllık planda resmi olarak sunulurlar. Birçok yönetim kurulunun şirketin performansına, sektörün eğilimlerine ve her bir yönetim kurulu üyesinin bakış açısına göre şekillenen başka beklentileri de vardır. CAE, bu beklentileri anlamalı ve bunları karşılamak için gereken adımları atabileceğini göstermelidir. Bir CAE nin görevleri ve sorumlulukları, kurumun yönetişim yapısına ve CAE ile yönetim kurulu arasındaki işlevsel hiyerarşi ilişkisinin tabiatına bağlı olarak kurumdan kuruma geniş ölçüde değişebilir. A. Toplantılar Arasında Yönetim Kuruluyla Sık Sık İletişim Kurmak CAE ve yönetim kurulu üyeleri arasında sık sık tekrarlanan açık ve güvene dayalı iletişimlerin kurulması önemli bir konudur. Günümüz iş dünyasının ve bağlantılı risklerin karmaşıklığı ve öneminden ötürü, düzenli yapılan resmi yönetim kurulu toplantıları ve görüşmelerini desteklemek için yönetim kurulu başkanı ve yönetim kurulunun diğer üyeleriyle, sık sık, bunlar dışında başka görüşme ve tartışmalar tertip etmek gerekebilir. Kurumlara ve sürece dahil olan kişilere bağlı olarak, kurulan bu iletişimlerde, aşağıdaki gibi, önceden belirlenmiş bir protokolü izlemek bu konuda benimsenebilecek en iyi yaklaşım olabilir: Yönetim kurulu üyeleriyle gündemi önceden belirlenmiş düzenli toplantılar yapmak. Yönetim kurulu başkanı ve CAE nin katılımıyla gerçekleştirilen, kurumun karşılaştığı sorunlara ve yönetim kurulu başkanının tercihlerine bağlı olarak toplantıların sıklığını arttırmak. Önemli meseleler hakkında periyodik iletişimler kurmak. Birçok kurumda, CAE ve yönetim kurulu üyeleri arasındaki ilişki, ilişkinin tarafları açısından birbirine çok bağlı ve birbirini etkileyen bir yapı arz eder. İlişkinin bu yapısı, sadece kritik meseleler konusunda değil, aynı zamanda fazla bir aciliyet gerektirmeyen sorunlar hakkında da daha fazla spot ve önceden planlanmamış iletişim kurulması eğilimine yol açar. Birçok CAE, iş dünyası konusunda güvenilir bir danışman ve yol gösterici olarak bir ilişki tesis etmek ve kurumda neler olduğuna ilişkin farkındalığını korumak ve sürdürmek açısından, yönetim kurulu üyeleriyle rutin iş meseleleri hakkında kurduğu etkileşimin faydalı olacağını düşünür. 6

7 Faydalanılan iletişim ortamı ve/veya iletişim aracından bağımsız olarak, temel ilkeler arasında şunlar sayılabilir: Verilen bilgilerin anlamlı, dengeli, nesnel ve eksiksiz olduğundan, gerçek olaylara dayandığından ve zamanında sunulduğundan emin olunuz. Uygun olup olmadıklarını anlamak için kurulan iletişimlerin resmiyetini ve tonunu değerlendiriniz. Elde yeterli veri olmadan cüretkar yorumlarda bulunmaktan kaçınınız. Kontrol zayıflıkları ve yönetimin başka başarısızlıkları hakkında yapılan yorum ve açıklamaların neden olabileceği yansımaları ve geri tepmeleri dikkate alınız. Mesleki ve işle ilgili nedenlerle, kurulan iletişimleri gerektiği taktirde kayıt altına alınız. Yönetim kuruluyla kuvvetli ve güçlü bir ilişki kurmaya başlamak için, hassas veya tartışmalı bir sorunla karşılaşmayı beklemeyiniz. Yönetim kurulu ve yönetim arasındaki potansiyel anlaşmazlıkları, iç denetim yönetmeliğinde belirtilen sorumluluklara göre yönetiniz. Standart 2420 Raporlamaların Kalitesi ve ilgili Uygulama Önerisi Raporlamaların Kalitesi, nerede olduğu fark etmeksizin (örneğin, resmi bir toplantıda olsun ya da daha gayriresmi bir yüz yüze görüşmede) yönetim kuruluyla iyi bir iletişim kurmak için gereken rehberliği sunmaktadır. B. Hassas Konular Hakkında İletişim Kurmak Üst düzey yönetimin stratejik riskleri ve/veya operasyonel riskleri kontrol altında tutamaması ve etik açıdan şüpheli davranış ve eylemlerde (suiistimal de dahil) bulunması gibi hassas meseleler her an ortaya çıkabilir ve bunlarla ilgilenmek gerekebilir. Dolayısıyla, CAE, elde ettiği hassas bilgileri tüm ilgili paydaşlara zamanında ve layıkıyla iletmek için çok gelişmiş sözlü ve yazılı iletişim becerilerine sahip olmalıdır. Hassas meselelerin layıkıyla iletilmesini sağlamak için, etkili resmi ve gayri resmi iletişim kanalları kurmak ve yönetim ve yönetim kurulu üyeleriyle güven ve güvenilirliğe dayanan kuvvetli ilişkiler geliştirmek gerekir. CAE, ilgili hassas meselenin unsurlarına ve koşullarına bağlı olarak, baş hukuk müşaviri (hukuk departmanının başı) gibi kilit öneme sahip yönetim üyelerine danışmak gerekip gerekmediğini değerlendirmelidir. Aşağıda sayılan temel ilkeler dikkate alınmalıdır: Meseleyle alakalı somut olaylar ve ayrıntılar erişilebilir ve belgelenmiş olmalıdır. Bulgular doğrulanabilmeli ve görüşler ve varsayımlar açıkça ifade edilmelidir. Raporlar zamanında ve gerektiğinde sunulmalıdır (ve gerçekten hassas bir konu hakkında olmalıdır). CAE, yönetimin bir meselenin rapor edilmesini geciktirmeye çalıştığı, meseleye ilişkin kritik unsurların bazılarını veya tümünü olayın dışında tutmaya çalıştığı ya da ilgili meselenin yönetim kuruluna rapor edilmesine gerek olmadığı yönünde görüş bildirdiği bir durumla karşılaşabilir. CAE, bu gibi meselelerin önemini ve anlamını dikkatle değerlendirmeli ve ne ölçüde üst kademelere rapor edilmeleri gerektiğine karar vermelidir. CAE, ayrıca, IIA nın Etik Kuralları, iç denetim yönetmeliği, kurumun davranış kuralları ve ilgili cari kanunlar ve mevzuattan doğan yükümlülüklerini dikkate almalıdır. Bu gibi bir durumda benimsenebilecek en iyi yaklaşım, meselenin hassasiyetine ve karmaşıklık düzeyine, kurumun kültürüne, yönetişim yapısına ve ilgili kanunlara ve mevzuata bağlı olacaktır. 7

8 Hassas bir meselenin yönetim kuruluna rapor edilmesine karar verildiğinde, CAE nin kurumun yönetişim yapısına bağlı olarak doğrudan doğruya yönetim kurulu başkanıyla veya ona yakın yetkileri bulunan bir kişiyle iletişim kurması önemli bir husustur. Başta önemli veya hassas meselelerle ilgili rapor ve iletiler olmak üzere, genel olarak üst kademelerle kurulan tüm iletişimleri yönetmek için en iyi yol, yönetim kurulu başkanı ve yönetim kurulunun diğer üyeleriyle profesyonel ve güvene dayanan bir ilişki kurmaktır. CAE, ilgili desteği içeren rapor ve iletilerine ait evrakları hazırlamalıdır. CAE, yönetim kurulu başkanı dışındaki kişilerle hassas meseleler hakkında yapacağı resmi veya gayri resmi görüşmelerin yönetim kurulu başkanı ve dolaylı olarak yönetim kurulunun ve yönetimin diğer üyelerinin gözünde CAE nin güvenilirliğini tehlikeye sokabileceğinin farkında olmalıdır. Uygulama Önerisi Hassas Bilgilerin Emir Komuta Zinciri İçerisinde ve Dışarısında Raporlanması maddesi, konu hakkında ek kılavuzluk sunmaktadır. C. Uluslararası ve Sektöre İlişkin Mülahazalar Yönetişim ve sahiplik yapıları, ülkeden ülkeye ve sektörler arasında farklılık gösterir. Bazı ülkelerde, yürütme organı (yürütme kurulu) ve operasyon yönetimi fonksiyonu (idare meclisi) arasında bir ayrım yapan iki kademeli bir yönetim kurulu sistemi vardır. Bu gibi durumlarda, iç denetim birimi doğrudan doğruya yönetim kuruluna değil de, şirketin sahibine ve hatta, CEO, finanstan sorumlu genel müdür yardımcısı veya operasyondan sorumlu genel müdür yardımcısı gibi bir üst düzey yöneticiye rapor verebilir. Her ne kadar temel kurumsal yapılar farklılık gösterebilecek olsa da, bu Uygulama Rehberinde ana hatlarıyla anlatılan ilkeler ve uygulamalar yine de konuyla ilgilidir. Bu uygulama rehberinde yönetim kurulu terimine atıf yapılan ifadelerin birçoğu, CAE nin rapor verdiği yönetim veya yürütme organı olarak (disiplin açısından / idari açıdan) yorumlanmalıdır. Ayrıca, yürütme kurulu ve CAE arasında tanımlanmış bir hiyerarşi ilişkisi bulunmalıdır. Birçok durumda, denetim komitesi, yürütme kuruluna bağlı alt komiteyi teşkil eder. Denetim komitesine yapılan raporlamalar, CAE nin doğrudan rapor verdiği (CEO harici) yöneticilerle ve CEO ile eşgüdümlü hale getirilmelidir. CAE, ayrıca, IIA faaliyetinin (biriminin) düzenleyici organlara uyum, hukuk, insan kaynakları, emniyet, vb. gibi diğer kurum içi departmanlarla uygun biçimde eşgüdümlü hale gelmesini sağlamalıdır. D. CAE Değişimi Yönetim kurulu, bazı kurumlarda bir CAE nin istifasını kabul etme veya bir CAE yi kovma ve yeni bir CAE yi işe alma sorumluluğuna sahip değilse bile, normalde CAE devrinin gözetiminden sorumludur. Yönetim kurulunun bu faaliyette oynadığı rol, CAE nin bağımsızlığından ve bu pozisyon için gereken yetkinliklere sahip olduğundan emin olunmasına yardımcı olur. CAE, bu pozisyona ilk kez getirildiğinde veya bu pozisyondan ayrılırken, yapılan bu değişikliğin gerekçe ve nedenlerinin tamamen şeffaf bir düzlemde görünür olmasını sağlamak için yönetim kuruluyla yakın ve eşgüdümlü bir çalışma yürütmelidir. Uygulama Rehberi: İç Denetim Yöneticileri Tayin, Performans Değerlendirmesi ve Sözleşme Fesih İşlemleri dokümanı, konu hakkında ek kılavuzluk sunmaktadır. 8

9 9

10 BİR RİSK-BAZLI DENETİM PLANI YOLUYLA İLETİŞİM KURMAK Yönetim kuruluyla etkileşime geçmenin en önemli faydalarından biri de, iç denetim biriminin kurum genelinde riskleri izlemek ve hafifletmek üzere üst düzey yönetimle yakın bir ilişki kurduğu, yeni ortaya çıkan risklere karşı tetikte olduğu, riskler hakkındaki görüşlerinin paydaşlarla uyuştuğu ve risk yönetimi, uyum ve iç kontrollere yönelik gözetim sorumluluklarını karşılaması için İç Denetimin yönetim kuruluna nasıl yardım ettiğini gösteren bir denetim planına sahip olduğu konusunda yönetim kurulunun güvenini kazanmaktır. Bir denetim planı, yönetim kuruluyla kurulacak iletişim için bir çerçeve ve mekanizma işlevi görebilir, zira CAE, yaptığı çalışmalar ve denetim planının durumu hakkında yönetim kuruluna düzenli olarak güncel bilgi vermelidir. Yönetim kurulu, denetim planını onaylamalı ve gelişimine katkıda bulunmalıdır. CAE, iç denetim biriminin planını geliştirirken ve iç denetim kaynaklarının tahsis öncelikleri hakkında karar verirken risk değerlendirme teknikleri kullanmalıdır. Risk değerlendirme, iç denetim biriminin planına katılacak alanları seçmek için kullanılır. CAE, ayrıca, riskleri değerlendirirken, projeleri öncelik sırasına göre dizerken ve denetim kaynaklarını ayırırken yardımcı olması için yönetim kurulu ve şirketin neye önem verdiğini öğrenmelidir. Bir risk-bazlı denetim planı geliştirmeye zemin hazırlamak için yapmanız gereken en önemli şeylerden biri, genellikle yönetim kurulu ve üst düzey yönetim olan asli paydaşlarınızın risk iştahını anlamaktır. Risk iştahı, paydaşların iş yaparken kabul etmeye yanaşabileceği risk seviyesidir. Bir risk-bazlı denetim planı geliştirmek isteniyorsa, dikkate alınması gereken kilit öneme sahip faktörlerden biridir. Risk iştahını anlamak için, kurumun risk yönetimi felsefesi veya risk politikası incelenebilir; risk yönetiminden sorumlu grupla, yönetim kuruluyla ve üst düzey yönetimle görüşme ve tartışmalar tertip edilebilir ve finansal raporlama riski hakkında finanstan sorumlu genel müdür yardımcısı ve dış denetçiyle bir toplantı yapılabilir. CAE, bu inceleme ve görüşmelerden elde edilen verileri birleştirir, denetim planını hazırlar ve bu denetim planı taslağını gözden geçirmesi için yönetime ve onaylaması için yönetim kuruluna sunar. Risk konuları, bunların devam eden etkileri ve yeni ortaya çıkmakta olan riskler hakkında yönetim kuruluyla düzenli olarak (örneğin, üç ayda bir) kısa görüşmeler yapılmalıdır. En önemli ve anlamlı riskleri içermeye devam ettiğinden emin olmak için denetim planını gözden geçirmek / güncellemek gerekebilir. Ayrıca, yönetim kurulunun hangi önemli risklere değinilmediğini ve gereksinimleri karşılamak için yeterli kaynağın bulunup bulunmadığını anlaması gerekir. Kısacası, İç Denetimin yönetim kuruluna sorumluluklarını yerine getirmesi için nasıl yardımcı olduğu, yönetim kurulunca anlaşılmalıdır. Denetim planlama sürecinde Kurumsal Risk Yönetiminin kullanılması hakkında daha fazla bilgiye erişmek için, Uygulama Önerisi : İç Denetim Planlamasında Risk Yönetimi Prosesinin Kullanılması (Temmuz 2009) ve PA : Güvence Haritaları maddelerine bakınız. 10

11 YÖNETİM KURULU RAPORLAMASI Diğer herkes için de geçerli olduğu gibi, yönetim kurulunun da zamanı kısıtlıdır ve sorumlulukları zamanla artmaktadır. CAE, yönetim kuruluna sunduğu bildiri ve raporlarda risklere odaklanmalıdır. Yönetim kuruluyla kurulan iletişimlerde dikkat edilmesi gereken temel ilkelerden biri, yönetim kurulunun nelerle ilgilendiğini anlamak ve bu alanlarda görülen sadece olağandışı durumlar için hazırlanan rapordan neler beklendiğini belirlemektir. Ayrıca, iç denetim yönetmeliğinin raporlama şartları da dikkate alınmalıdır. Ele alınan salt okunur materyallerin önemli, tam ve risk-bazlı olması durumunda, resmi yönetim kurulu toplantılarından tüm taraflar daha iyi faydalanabilir ve önemli ve anlamlı konu başlıkları veya sorular hakkında daha ayrıntılı yüz-yüze görüşmeler yapmak için zaman kalır. Aşağıda, resmi yönetim kurulu görüşmelerinde dikkat edilmesi gereken alanlar sayılmaktadır. A. Odaklanılması Gereken Kilit Öneme Sahip Alanlar Odaklanılması gereken kilit öneme sahip alanlar; yönetim kurulunun dikkat etmesi gereken, denetim planlama sürecinde belirlenen risk konuları, bir önceki yıl içerisinde ilk kez görülen risk konuları ve özel görevlendirmelerle ilgili sorunlar gibi kritik meselelerin bir birleşimidir. CAE, kurulan iletişimlerin ilgili meselelerin ciddiyetinin ve öneminin yönetim kurulunca anlaşılmasını sağlayacak şekilde layıkıyla ve usulünce ayarlanmalarını sağlamalıdır. Yönetim kuruluna, konu hakkında neler yapılmış olduğuyla ilgili olarak sürekli güncel bilgi verilmelidir: rapor tarihine kadar alınan sonuçlar, iyileştirme planları, iyileştirme planlarına kıyasla ilerleme, risk alanına ilişkin güncel değerlendirme ve kilit alanlar / konular hakkında ne planlandığı. Her ne kadar bu dokümanda yönetim kuruluna sunulan raporların sadece önemli konularla ve olağandışı durumlarla sınırlanması gerektiği savunuluyor olsa da, yönetim kurulunun düşük risk alanları da dahil kurum genelinde neler olduğuna dair bir içgörüsünün olması gerekir. Günümüzde gelişmekte olan bir eğilim, yarın için yeni ortaya çıkan bir risk meselesi olabilir. Denetim sonuçlarına ilişkin eğilim analizi, yönetimin dikkatinin hangi alanlarda yoğunlaşması gerektiğini genellikle ortaya çıkarır ve yönetimin dikkatinin ilgili alanlara hafifçe kaydırılması, bir eğilimin, yeni ortaya çıkmakta olan bir mesele haline dönüşmesini engelleyebilir. B. İç Kontrol Sistemi Bir kurumun temelinin sağlam olup olmadığını değerlendirmek için dikkate alınması gereken başlıca kıstaslardan biri, iç kontrol sisteminin etkinliği ve verimliliğidir. Eğilimlere benzer şekilde, iç denetimin iç kontrol sistemi hakkındaki analizi ve düşünceleri, hem yönetim kurulunu güncel tutmaya hem de yapılacak iyileştirmeleri planlaması ve hayata geçirmesi için yönetime güç vermeye yarar. Etkili ve verimli izleme faaliyetleri gerçekleştirerek, iç kontrol sisteminin zaman içerisinde etkinliğini kaybetmemesini ve layıkıyla işlerlik göstermeye devam etmesini sağlamak yönetim için özellikle önemli bir husustur. İç denetim, yönetimin gerçekleştirdiği izleme faaliyetlerinin etkinliği hakkında yönetim kuruluna rapor vermelidir. 11

12 CAE; yönetim kurulunun yönetişim, risk yönetimi ve iç kontroller hakkında bir görüşe önem verip vermediğini ve böyle bir güvence sağlayabilmek için çalışmanın kapsamını yeterli bulup bulmadığını anlamalıdır. C. Denetim Planı ve Denetim Kaynaklarının Durumu CAE, yönetim kuruluyla denetim planının durumu hakkında düzenli olarak görüşmelidir. CAE, yönetim kurulunu, denetim planında yapılan değişikliklerden ve bu değişikliklerin gerekçelerinden haberdar etmelidir. CAE ve yönetim kurulu, planda yapılan değişiklikler ve bu değişiklikler için yönetim kurulunun onayını alma protokolü hakkında bir anlaşmaya varmalıdırlar. Kurumun dinamiklerine ve kurumun faaliyet gösterdiği sektör ve çalışma ortamında görülen değişimlere bağlı olarak, denetim planlarında değişiklik yapılması genellikle beklenen bir durumdur. Denetim planında, iç denetimin kurum inisiyatiflerinde bir danışman sıfatıyla yapabileceği katkılar hakkında öngörülerde bulunulabilir. Bu gibi durumlarda, yönetim kurulu bu projelerin kapsamlarından haberdar olmalıdır ve CAE, yönetim kuruluna rapor edilebilecek en uygun içeriği belirlemelidir. Bu gibi raporlar hazırlanırken, iç denetim biriminin yönetmeliği ve bu hizmetlerin bağımsızlık ve nesnelliğe etkileri bağlamında bu hizmetlerin niteliği ve tabiatına değinilmesine gerek olup olmadığı değerlendirilmelidir. CAE, ayrıca, iç denetim biriminin denetim planını tamamlayıp tamamlayamayacağını tartışmalı ve bu çerçevede, iç denetimin uygun ve yeterli kaynaklara sahip olup olmadığını ve yönetimin iç denetçilerin çalışmasının kapsamında herhangi bir sınırlama yapılmasını emredip emretmediğini belirtmelidir. Öte yandan, CAE, yönetim kuruluna denetim personelinin kalifikasyonlarını görme imkanı tanıyarak, iç denetim birimine yeterli kaynağın tahsis edilmiş olup olmadığını değerlendirebilmesini sağlamalıdır. D. Denetim Raporlarının Dağıtımı Denetim raporlarının yönetim kuruluna dağıtılıp dağıtılmayacağı, yönetim kurulunun tercihine bağlıdır. Ancak CAE, yine de, yönetim kuruluna gerçekleştirilen denetimlerin kapsamına ve elde edilen bulgulara ilişkin bir açıklama sunmak zorundadır. Bunu yapmak için, yönetim kuruluna düzenli olarak denetim raporları, her rapor için ayrı bir yöneticiler için özet dokümanı ya da elde edilen bulgulara ilişkin bir özet verilebilir. CAE, üst düzey yönetimden gelen bilgileri dikkate almalı ve bu tip bilgileri sunmak için en uygun yaklaşımın ne olacağı konusunda yönetim kuruluna danışmalıdır. E. Suiistimaller / Soruşturmalar Suiistimaller / Soruşturmalar genellikle iç denetim birimlerinin sorumluluğundadır. Bu gibi bir durumda, iç denetim, önemli bir niteliğe sahip olan veya kontrol yapısı açısından kritik bir pozisyondaki personeli ilgilendiren suiistimal fiillerini / soruşturmaları yönetim kurulunun dikkatine sunmalıdır. CAE, yönetim kurulunun rapor edilmesi gereken bilgilerin ayrıntılılık düzeyi ve soruşturma tipleri hakkındaki beklentilerini anlamalıdır. Yönetim kurulu; potansiyel bir olayın tabiatı ve mahiyetini, hem olayın etkilerinin hem de bu olaya neden olan koşul ve durumların ne olduğunu soruşturmak ve anlamak için neler yapıldığından, düzeltici eylem planları ve uygulamada kat edilen ilerlemeden ve cezai 12

13 tedbirlerden haberdar olmalıdır (Odaklanılması Gereken Kilit Öneme Sahip Alanlara benzer şekilde). F. Çözümlenmemiş (Açık) Denetim Sorunları Her ne kadar IIA Standardı 2500 İlerlemenin Gözlenmesi maddesine göre sorunları çözüme kavuşturmaktan sorumlu olan taraf genellikle yönetim olsa da, iç denetim birimi de açık denetim sorunlarını çözüme kavuşturma süreçlerini takip etmeli ve izlemelidir. Programlanan zamanda çözüme kavuşturulabilmeleri beklenmeyen veya çözüme kavuşturulmaları için belirlenen son tarih geçmiş olan önemli açık denetim sorunları, bir iyileştirme planı ve bu iyileştirme planının uygulanabilirliği ve başarı şansı hakkındaki bir görüşle beraber yönetim kuruluna rapor edilmelidir. Gelecek toplantılarda, iyileştirme planı çerçevesinde neler olduğunun takibine ilişkin bir rapor da takdim edilmelidir. G. Kalite Değerlendirmeleri İç denetim birimi, uygun bir iç değerlendirme programı geliştirmeli ve uygun Kilit Performans Göstergelerini (KPI lar) belirlemelidir. İç denetim birimi KPI ları, iç denetim birimiyle ilgili meseleleri tartışmak ve gerekli değişiklikler konusunda potansiyel olarak yönetim kurulunun desteğini almak için bir zemin hazırlar. KPI ları belirleme süreci hem üst düzey yönetim hem de yönetim kurulunun dahil olduğu bir grup çatısı altında yürütülmeli ve seçilen KPI ların anlamlı ve uygun oldukları tüm taraflarca kabul edilmelidir. KPI lar, departmanla ilgili meseleler hakkında yürütülen tartışmaların yönünü tayin eden unsurlar olmalarının yanı sıra, CAE ye yönelik performans değerlendirmesiyle de ilgilidirler. KPI lar yönetim kurulunca anlaşılıp kabul edildiklerinde, arzu edilen performansa karşı fiili performansın ayrıntılı açıklama ve gerekçelerle birlikte sık sık rapor edilmesi önemli bir konu haline gelir. Önemli KPI ların karşılanamayacağı durumlarda, konu hakkında yönetime gönderilecek bildirimin zamanında hazırlanması ve aşağıda sayılan konu başlıklarını içermesi gerekir: İlgili performans göstergesinin tipi. Arzu edilen performans ve fiili performans arasındaki uyuşmazlık. Sapmanın gerekçesi. Eksikliği kapatmak için yapılan planlar. KPI lar, KPI analizi sonucunda iç denetim faaliyetinde ve biriminde yapılan iyileştirmeler hakkında birtakım bilgi ve göstergeler de sunmalıdırlar. Ayrıca, dış ve iç değerlendirmelerden alınan sonuçlar (IIA Standardı 1300 te de atıf yapıldığı gibi) yönetim kuruluna rapor edilmeli ve CAE, verilen tavsiyelerin nasıl hayata geçirileceklerini göstermelidir. Bir iç değerlendirme programının bir parçası olarak KPI ları geliştirmek ve kullanmak için bilinmesi gereken diğer bilgiler (IIA Standardı 1311), İç Denetimin Verimliliği ve Etkinliğinin Ölçülmesi başlıklı Uygulama Rehberinde bulunabilir. H. Yönetim Kurulu İçin Eğitim Fırsatları CAE, yönetim kurulunu güncel başlıklardan haberdar ederek oynadığı kritik rol sayesinde, yönetim kurulunun kendi yönetmeliğinde tanımlanan yükümlülüklerini yerine getirmesine yardımcı olabilir. CAE; örneğin yönetişim, risk yönetimi, uyum ve bağlantılı kontrollerle ilgili düzenleyici ortam ve iş ortamındaki değişimleri anlamasında yönetim kuruluna yardımcı 13

14 olarak, yönetim kurulunun görevlerini yerine getirme kabiliyetini etkileyen meseleler hakkında yönetim kurulunun sürekli güncel tutulmasına destek olmak suretiyle yönetim kurulunun ihtiyaçlarını dikkate almalıdır. CAE, yönetim kurulunun ortam kaynaklı riskleri (örneğin, sektör riskleri, düzenleyici ortam değişimleri, muhasebe kanunlarındaki değişimler) anlamasına yardımcı olacak önemli ve ilgili eğitim materyallerini temin etmelidir. YÖNETİM KURULU FAALİYETLERİNİN YÖNETİMİ VE EŞGÜDÜMÜ CAE, yönetim kurulu faaliyetlerini incelemek ve iyileştirme ve geliştirme tavsiyelerinde bulunmak suretiyle yönetim kurulunun idari ve yönetişimsel sorumluluklarını yerine getirmesine yardımcı olarak doğrudan doğruya önemli bir danışman görevi görebilir. Kurumun yönetişim yapısına bağlı olarak CAE nin üstlenebileceği faaliyetlere verilebilecek örnekler aşağıda sayılmaktadır: Yönetim kurulunu, faaliyetlerde a) yönetim kurulu yönetmeliğine başarıyla uyulup uyulamadığını ve b) öncülük eden uygulamalarla tutarlılık sağlanıp sağlanamadığını belirlemek üzere faaliyetlerine ve uygulamalarına yönelik periyodik incelemeler gerçekleştirmesi yönünde teşvik ediniz. Yapılan araştırma ve anketlere dayanan bir özdeğerlendirme gerçekleştirmeyi kolaylaştırmak, dış rehberlere karşı bir kıyaslama yapmak, vb. eylemler bunun kapsamına girebilir. Yılda en az bir defa yönetim kurulu yönetmeliğini gözden geçiriniz ve tüzükte, ilgili düzenleyici organların beklediği sorumlulukların tümüne değinilip değinilmediği hakkında yönetim kurulunu bilgilendiriniz. Yönetim kurulu toplantıları için, öngörülen faaliyetlerin gerçekleştirilip gerçekleştirilmediğini detaylandıran ve gereken görevleri tamamen yerine getirdiğinin yönetim kuruluna yıllık bazda raporlanmasını kolaylaştıran bir gündem belirleme ve planlama mekanizması kurunuz. Yönetim kurulu başkanı veya muadili pozisyonlarda yer alan başka bir üst düzey yönetici için yönetim kurulu toplantısının gündem maddelerinin taslağını çıkarınız, hazırlanan materyalin yönetim kurulu üyelerine dağıtımını kolaylaştırınız ve yönetim kurulu toplantılarının tutanaklarını inceleyiniz veya hazırlayınız. Yönetim kuruluna sunulan materyal ve bilgilerin yönetim kurulunun ihtiyaçlarını karşılayıp karşılamadığını tartışmak amacıyla, yönetim kurulu başkanı veya muadili pozisyonlarda yer alan başka bir üst düzey yöneticiyle periyodik toplantılar tertip ediniz. Örneğin, yönetim kurulunun sorumluluklarını etkileyen, düzenleyici otoritelerin yaptıkları değişiklikler hakkındaki güncellemeler veya yönetim kurulunun yeni üyeleri için riskler ve kontroller hakkındaki toplantılar gibi, eğitici veya bilgilendirici toplantı veya sunumların faydalı olup olmadıklarını belirlemek için yönetim kuruluyla birlikte çalışınız. Yapılan toplantıların sıklığının ve yönetim kurulu için ayrılan sürenin yeterli olup olmadığı hakkında yönetim kurulu üyelerinden bilgi ve fikir alınız. Mevcut teşkilat yapısının IIA Standardı 1110 a göre iç denetçiler için yeterli bağımsızlığı sağlayıp sağlayamadığını değerlendirmek için, iç denetim biriminin işlevsel ve idari raporlama hatlarını yönetim kuruluyla birlikte gözden geçiriniz. İç denetimin sorumluluklarını yerine getirmesinin önünde bir engel oluşturan herhangi bir kadro, bütçe veya kapsam kısıtlaması olup olmadığını belirlemek maksadıyla, 14

15 denetim personeli ve bütçesinin yeterliliğini ve iç denetim faaliyetlerinin kapsamı ve sonuçlarını değerlendirmesinde yönetim kuruluna yardımcı olunuz. Diğer kontrol, güvence ve izleme fonksiyonlarının (örneğin, risk yönetimi, uyum, emniyet, iş sürekliliği, hukuk, etik, çevre ve dış denetim) eşgüdümü ve gözetimi hakkında bilgi edininiz. 15

16 YAZARLAR Richard A. Schmidt, CIA Kevin D. Lacy, CIA Erich Schumann, CIA GÖZDEN GEÇİRENLER VE KATKIDA BULUNANLAR Douglas J. Anderson, CIA James Rose, CIA Steven E. Jameson, CIA, CCSA, CFSA 16

17 Enstitü Hakkında 1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD de bulunan bir uluslararası meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi, genel kabul gören lideri, baş savunucusu ve baş eğitmenidir. Uygulama Rehberleri Hakkında Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda ayrıntılı bir kılavuz bilgisi sağlar. Bu rehberler; proses ve prosedürler hakkında ve daha spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Uygulama Rehberleri, IIA nın UMUÇ Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye Edilen rehberler kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat kuvvetle tavsiye edilirler ve bu rehberler, IIA nın resmi inceleme ve onay sürecinden geçirilmek suretiyle onaylanmışlardır. IIA nın yayımladığı ve sunduğu başka yol gösterici rehber materyalleri ve belgeleri için, lütfen adresindeki web sitemizi ziyaret ediniz. Sorumluluğun Reddi Beyanı IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden kişiler için herhangi bir sorumluluk kabul etmez. Telif Hakkı Uyarısı Telif hakları 2011 The Institute of Internal Auditors. Bu rehberi çoğaltma izni almak için, lütfen adresinden IIA ile temas kurunuz. IIA THE INSTITUTE OF INTERNAL AUDITORS [ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ) GLOBAL GENEL MERKEZ 247 Maitland Ave. Altamonte Springs, FL USA Telefon : Faks : Web sitesi : 17