Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) Uygulama Rehberi ENTEGRE DENETİM. Temmuz 2012 IIA THE INSTITUTE OF INTERNAL AUDITORS

Transkript

1 Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) Uygulama Rehberi ENTEGRE DENETİM Temmuz 2012 IIA THE INSTITUTE OF INTERNAL AUDITORS Global (ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ)

2 UMUÇ- Uygulama Rehberi Entegre Denetim İÇİNDEKİLER TABLOSU Yönetici Özeti Giriş...3 Entegre Denetim. 1. Entegre denetim metodolojisi neden kullanılmalıdır? Entegre denetim planının oluşturulması 6 3. Entegre denetimin uygulanması Küçük çaplı denetim faaliyetlerinde entegre denetim.10 Ek: Entegre denetim etkinliği kontrol listesi...12 Yazarlar ve Gözden Geçirenler

3 YÖNETİCİ ÖZETİ Tarihsel olarak, iç denetim, finansal sistemler hakkında ve bir kurum veya işletmenin finansal kayıtlarıyla ilgili bilgi edinmeyle ilişkilendirilmiştir. Ancak denetim günümüzde güvenlik, emniyet, bilgi sistemlerinin performansı ve çevresel konular gibi finansal olmayan konu ve alanları da kapsamaktadır. Kâr amacı gütmeyen kuruluşlar ve devlet kurumlarıyla birlikte, görev amaçlarının yerine getirilmesinde başarı oranını inceleyen performans denetimlerine giderek artan bir ihtiyaç doğmuştur. Bunun sonucunda güvenlik denetiminde, bilgi sistemleri denetiminde ve çevresel konuların denetiminde uzmanlaşmış denetim uzmanları ortaya çıkmıştır. Bu bilgi tabanını tek bir denetime entegre etmek, bütünsel bir yaklaşıma göre daha etkili bir sonuç ortaya çıkarmaktadır. Risk değerlendirmesine ilişkin kararlar, denetçilerin perspektiflerini genişletmelerini ve kalıpların dışında düşünmelerini için denetçiler tarafından artan odaklanma gerektirmektedir. Bu Uygulama Rehberinin amacı, iç denetçinin entegre denetimle ilgili farkındalığını artırmak ve entegre denetime nasıl bir yaklaşım sergilemesi gerektiği konusunda rehberlik etmektedir. Bu rehberdeki temel bölümler şu konuları açıklamaya yönelik bilgiler içermektedir: Entegre denetim yaklaşımı ile entegre olmayan denetim yaklaşımı arasındaki farklar. Entegre denetim yaklaşımının avantajları. Entegre olmayan denetim yaklaşımının, entegre yaklaşımdan daha etkili olabileceği durumlar. Entegre denetim planı nasıl oluşturulur. Entegre denetimi uygulamak için gereken beceriler ve uzmanlık bilgisiyle ilgili hususlar. Küçük boyutlu denetim faaliyetlerinde entegre denetim. Bu rehberin sonunda yer alan ekte; iç denetim faaliyetinin, entegre denetim yaklaşımını etkili bir şekilde kullanıp kullanmadığından emin olmak için iç denetim yöneticisinin (IDY) sorması gereken temel soruların bir listesini bulundurur. GİRİŞ Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ), Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından yayımlanan yetkili rehberleri düzenleyen kavramsal bir çerçevedir. UMUÇ kapsamında; İç Denetimin Tanımı, Etik Kuralları, Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) ve bu Uygulama Rehberi gibi şiddetle tavsiye edilen rehberler bulunmaktadır. Entegre denetim görevlerini yerine getirirken, iç denetçiler, UMUÇ ta ana hatlarıyla belirtilen aşağıdaki standartları göz önünde bulundurmalıdırlar: Standart 1200: Yeterlilik ve Azami Mesleki Özen Standart 1210: Yeterlilik Standart 2010: Planlama Standart 2200: Görev Planlaması Standart 2210: Görev Amaçları 3

4 Standart 2230: Görev Kaynaklarının Tahsisi Standart 2240: Görev İş Programı İç Denetim Yöneticisi (IDY), entegre denetim yaklaşımını, iç denetim faaliyetinde kullanılan geniş kapsamlı metodolojinin bir parçası olarak görmelidir. Amaç, daha etkili ve verimli bir denetim görevi gerçekleştirmektir. Güncel UMUÇ rehberi bu yaklaşım için sağlam bir temel oluşturmaktadır. Bu rehber, eski geleneksel denetim yaklaşımı ile güncel entegre denetim yaklaşımları arasında farklılıklar gösterebilen alanlar hakkında rehberlik sağlayarak denetim görevini geliştirecek alanları da tartışacaktır. 1. Entegre denetim metodolojisi neden kullanılır? Entegre denetim yaklaşımı ile entegre olmayan denetim yaklaşımı arasındaki farklar nelerdir? Entegre denetim, entegre olmayan denetimden kapsam ve genel kompleks yapısı açılarından farklılık göstermektedir. Geleneksel denetim ve entegre denetim kapsam, derinlik ve kapsamın genişliği bakımından birbirinden ayrılır. Örneğin; geleneksel denetim finansal veya operasyonel yönlere odaklanırken, entegre denetim daha global bir yaklaşım sergileyerek finansal, operasyonel, bilgi teknolojileri, idari, uyum, çevresel ve suiistimal konuları ile ilgili ve bunlarla sınırlı kalmaksızın pek çok hususa odaklanmaktadır. Entegre denetimin karmaşıklığı, geniş yapısıyla doğrudan bağlantılı ve ilişkilidir. Bu geniş yapısı, şunların yapılmasını gerektirmektedir: İstenilen sonuca ulaşmak amacıyla çoklu denetim tekniklerinin kullanılması. Daha fazla dış kaynak kullanılması veya personelin bilgi düzeyinin artırılması ve personele gerekli ek becerilerin kazandırılması. Koordinasyonu sağlamak ve denetimi etkili bir biçimde tamamlamak için proje yönetim becerilerinin geliştirilmesi. Özellikle daha önceden gözden geçirilmemiş alanlarla ilgili risk tanımlaması ve derecelendirilmesi konusunda dengeli bir yaklaşım benimsenmesi. Denetçi tarafından kalıpların dışında düşünebilmesi için artan gözetim ve yaratıcılık kazandırılması ve göreve katılan tüm taraflar arasında iletişimin geliştirilmesi. Güncel kadro modelinde değişiklikler yapılması. İç denetim faaliyetlerinde entegre denetim uygulanırken, görevden istenilen sonucu etkili ve verimli bir şekilde elde etmek için çoklu denetim teknikleri kullanılmalıdır. Bu denetim teknikleri; sürekli denetim, örnekleme, anketler ve veri analizini de içerir ancak bunlarla sınırlı değildir. Bunların çoğu, geleneksel denetimde de kullanılmaktadır, fakat bu tekniklerin hep birlikte kullanılması yaygın bir uygulama değildir. Birincil hedef; kalıpların dışına çıkarak düşünebilmek ve denetimden etkili bir sonuç alabilmek için uygun tekniklerin kullanılmasıdır. Entegre denetim, uygun risk tanımlama ve değerlendirmesinin olması sağlamak için artan bilgi düzeyi gerektirecektir. Güncel kadro modeline farklı departmanlardan personelin dahil edilmesi, dış danışmanlıklar, artan denetim araştırması, eğitim ve potansiyel değişiklikler denetim ekibinin uzmanlığını artırmak için gerekli tedbirler olabilirler. Artan denetim araştırması ve eğitim, denetimin süresini artırabilir ve masrafların artmasına da neden 4

5 olabilir. Denetim ekibi, istenilen bilgiyi sağlayacak ve masraf artışının azalmasına yardımcı olacak mevcut internet denetim kaynakları ve eğitim konusunda bilgi sahibi olmalıdır. Diğer departmanlardaki mevcut kaynakları anlamak ve kullanmak, masraf artışına yol açmadan denetime uzmanlık kazandırmak için etkili bir yol olabilir. İç denetim faaliyetinin, mevcut denetim kaynak bilgisine katkı sağlamak için uzman olarak faydalanabilen kurum personel envanteri tutmak bu anlamda önerilebilecek yollardan birisidir. Denetim ekibinin kendisi de kapsamlı bir risk değerlendirmesi için toplanan bilgiyi pekiştirecek gerekli becerilere sahip olması gerekmektedir. Uygun risk derecelendirmesi sağlamak için, risk değerlendirmesiyle ilgili kararların tüm taraflar arasında koordinasyonun sağlanması gerekmektedir. Entegre denetimin daha bütünsel bir yaklaşımı ise, denetçinin perspektifini değiştirmesi ve geleneksel denetleme kapsamının ötesinde düşünmesini gerektirmektedir. Entegre denetimin başarılı olmasında, hem niteliklerini hem de denetim projesi yönetim yeteneklerinden dolayı baş denetçi (ya da sorumlu denetçi) çok önemli bir role sahiptir. Baş denetçi, denetim kapsamının tüm yönlerini göz önüne alarak denetim faaliyetinin potansiyel risklerini tam olarak anlamalıdır. Baş denetçinin, denetim personeli ile görevde uzman olarak yer alacak diğer personel arasında etkili bir takım çalışması sağlayacak yeterli sosyal becerilere sahip olması da gerekmektedir. Yukarıda belirtildiği gibi entegre denetimde risk tanımlaması ve değerlendirmesi için bilgi tabanını sağlayacak ek kaynaklar gerekebilir. Baş denetçi, tüm alanlar arasında koordinasyon sağlamansın da, risk tanımlaması ve derecelendirmesinde dengeli bir yaklaşım oluşturmakla sorumludur. Baş denetçi, görev planının başarılı bir sonuca ulaşmasında büyük rol oynamaktadır. Baş denetçi, katılan tüm taraflar arasında iletişimi sağlamalı ve denetim faaliyetlerinin zamanında tamamlanacağından emin olmalıdır. Görev tamamlanmasını gözlemlemek için programlama aracı kullanılması önerilmektedir ve artan proje yönetim becerisi gereklidir. Artan uzmanlık, denetim kadro oluşturma planında değişiklik gerektirebilir. Bu değişiklik, mevzuata uygunluk veya çevre mühendisliği konularında özel uzmanlığa sahip personel istihdam etmeyi kapsayabilir. Bu uzmanlığın türü, kuruluşun ve denetimin kapsamına bağlıdır. Doğru personel katıldığı sürece, entegre denetimin genel kompleks yapısının üstesinden gelinebilir. Bu, uzmanlık ve baş denetçinin bilgi ve becerisini paylaşmak için organizasyon içinde bölümlerin istekliliğini kapsar. Ayrıca bu, daha geniş ve kapsamlı denetimlerde başarılı sonuçlara ulaşmak için uygun kaynakları kullanma istekliliğini gerektirmektedir. Entegre denetim yaklaşımının avantajları nelerdir? Entegre bir denetim yaklaşımı benimsemek; hem iç denetim faaliyetinin güvenilirliğini artırabilir, hem ortaya çıkan işin anlamlılığını artırabilir, hem de denetçinin büyük projelerde başından itibaren önemli bir katılımcı olarak görülmesi fırsatını oluşturabilir. Birçok kişiye göre, denetçiler kendilerine olan güveni artırmakta ve etkinliklerini artırarak kuruluşun faaliyetlerinin diğer yönlerinde daha yeterli olmaktadırlar. Diğer avantajları arasında ise; arttırılmış kapsam, gelişmiş raporlama, daha etkili risk değerlendirmesi ve denetim planlaması yer almaktadır. 5

6 Geleneksel denetim yaklaşımı entegre denetim yaklaşımından hangi durumlarda daha etkilidir? Entegre denetim stratejisi benimsenmesi, kapsamı sınırlı denetimlerin artık kullanılmayacağı anlamına gelmemektedir. Risk değerlendirmeleri, tek bir unsurda yüksek riskin denetimine öncelik verilmesini önerebilir. Bu da, daha dar kapsamlı bir denetim olarak sonuçla bilir. Örnek olarak, kredi belgelerine veya yönetim bilgisinin tamlığının ve doğruluğunun denetimine ilişkin ve düzenleyici kurallara uyumun denetlenmesidir. Kaynak veya bütçe kısıtlamaları da dahil belli kısıtlamalar entegre denetim yaklaşımının etkinliğini sınırlayabilir. Denetim faaliyetinin küçük bir ekiple gerçekleştirildiği yerlerde günlük iş faaliyetlerinin aksamasını önlemek amacıyla göreve katılan denetçi sayısını sınırlamak gerekebilir. Özet olarak çeşitli denetim yaklaşımları göz önüne alınmalıdır. İç denetim yöneticisi (IDY) kuruluş açısından en iyi yaklaşımı, denetlenecek faaliyeti ve mevcut kaynakları belirlemelidir. Çoklu denetim yaklaşımlarının kullanılması, birbirini tamamlayıcı bir etki yapabilir. 2. Entegre denetim planının oluşturulması Entegre denetimi kapsayacak bir kuruluşun kurumsal yönetişim çerçevesinin yeterince olgun olması gerekmektedir. Kurul 1, iç denetim biriminin entegre denetim görevini üstlenebilecek düzeyde teknik ve idari becerilere sahip olduğuna ikna olmalıdır. Bu beceriler arasında teknik beceriler ve daha geniş kapsamlı bir denetim gerçekleştirmek için gereken kişilerarası beceriler ve yönetim becerileri bulunmaktadır. Denetimin ek boyutları nelerdir? Genişletilmiş risk tanımlaması ve risk değerlendirmesi Daha geniş kapsam alanındaki kontrollerin tanımlanması Entegre denetim planını yürütmek için gerekli ek kaynaklar, çalışan sayısı ve uzmanlık Entegre denetim planını tamamlamak için IDY nin onayı. 1. Kurulların daha ziyade sözleşmeler, mevzuata ve düzenleyici kurallara uygunluk veya başka paydaş kaygıları ve endişelerine ilişkin hukuki sorunlar hakkında denetimler yapılmasını talep etme eğilimi giderek artmaktadır. Bunun için, entegre denetim yaklaşımı, en etkili yaklaşım olabilir. 2. Kurullar ve kurum üst yönetimi, konulan kurallara kurum çapında uyulduğundan emin olabilmek için kurum içerisinde kesintisiz bir izleme yapılmasını ve bu güvencenin gerçek zamanlı olarak sağlanmasını isteyebilirler. Bu konuda da, entegre denetim en etkili ve verimli yaklaşım olabilir. 3. Bilgi teknolojileri yönetişimi ve bulut bilgi işlem gibi alanlarda güvence alınması ihtiyacı sürekli artmaktadır. Bu alanlardaki güvence görevi geleneksel denetim departmanının uzmanlık alanı dışında olabilir ancak entegre denetimle bu sorun da çözülebilir. Tablo 1 1 Standartlar sözlüğünde tanımlandığı üzere Kurul kelimesi, yönetim kurulu, denetim kurulu, hukuk bölümünün başı, kâr amaçlı olmayan kurumların mütevelli heyeti veya İç Denetim Yöneticisinin işlevsel olarak bağlı bulunduğu denetim komitesi de dahil kurumun atanan diğer birimleri gibi kurumun yönetim mercilerini ifade eder. 6

7 Tablo 1 de bir entegre denetimin düşünülmesi gereken durumlara örnekler bulunmaktadır. Birinci Adım: Risk yönetim döngüsünü gözden geçirmek. Aşağıdaki soruları sorun: Mevcut risk yönetim süreci, tüm önemli riskleri, yani, kurumun amaçlarına ulaşmasına engel olabilecek nitelikteki olayları da içine alacak düzeyde yeterince kapsamlı mıdır? Denetim evreni düşünüldüğünde, hazırlanan risk haritası, denetlenen kurumun tamamını kapsıyor mu? Bu kapsam, daha önce iç denetim biriminin görev kapsamı, yetenekleri veya uzmanlığının dışında kaldığı düşünülen bir takım alanları da içine alacaktır. Örneğin, araştırma geliştirme bölümü, yeni tasarımlar ve ürünler üretiyor mu? Süreç kontrol ekipmanları ve yazılımları gereğince korunuyor mu? Finansal enstrümanlar uygun bir şekilde test ediliyor mu? Düzenleyici sorun ve konular üzerinde de duruluyor mu? Uygun zaman ve yerlerde yeterli düzeyde lobi faaliyetleri yapılıyor mu? Kurumun itibarı korunuyor mu? Bu alanlar zaman zaman gözden geçiriliyor mu ve bunlar üst yönetime ve kurula verilen güvenceye dahil ediliyor mu? Bu ve benzer sorulara verilecek cevaplar, iç denetim birimlerinin üzerinde durmadığı risklere de işaret edebilir. Bu büyüklükte riskler teşhis edildiği takdirde, bu alanların denetimi, entegre denetim planına dahil edilebilecek özel uzmanlık alanı bilgisi gerektirebilir. İkinci Adım: İç kontrollerin gözden geçirilmesi. Daha geniş risk evreni teşhis edildikten sonra, iç denetim birimi bu risklere ilişkin kontrolleri gözden geçirmelidir. Örneğin, bir kurumun içinde, satılan malların sevkiyatı kapsamında uygulanan kontrol proseslerinde bazı gereksiz tekrarlar yapılıyor olabilir; örneğin, hem basılı evrakların kontrol edildiği, hem elektronik erişim sistemlerinin kullanıldığı, hem manuel gözetimin yapıldığı, hem de kapalı devre televizyon (CCTV) gözetleme kayıtlarının tutulduğu yerlerde. Sayılan bu münferit kontrollerin hepsinin tek tek ve ayrıca test edilmesi de mümkün olabilir; örneğin, basılı evrakların kontrolü işlevi borçlu hesaplar kaleminin gözden geçirilmesi yoluyla, elektronik erişim sistemlerinin kullanılması işlevi bina idari işler bölümünün kontrol edilmesi yoluyla, manuel gözetim örnekleme testleri işlevi sevkiyat bölümünün kontrol edilmesi yoluyla, kapalı devre televizyon sisteminin kullanılması işlevi ise güvenlik bölümünün yapacağı bir kontrol yoluyla test edilebilir. Bu örnekte görüldüğü üzere, entegre denetim, denetim sürecinin münferit işlem denetimleri ve sistem denetimleri yerine malların sevkiyat ve kayıtlarının kontrol edilmesi noktasına odaklanmasını gerektirmektedir. 7

8 Üçüncü Adım: Gereken uzmanlık düzeyini tespit etmek. IDY, normal şartlarda tarihsel iç denetim yaklaşımı kapsamında yer almayan uzmanlıkları düşünmelidir. Gözden geçirme işlevini yerine getirmek için gereken uzmanlık bilgisi, kurum içinde mevcut olabilir, ancak iç denetim biriminde bulunmayabilir ya da dış kaynak kullanılmasını gerektiren bir uzmanlık bilgisi boşluğu belirlenebilir. Dördüncü Adım: Metotları ve zamanlamayı göz önünde bulundurmak. Yeni ve genişletilmiş riskler listesinin gerektirdiği denetim kapsamına uygulanabilecek metotlar ve zamanlamanın ayrıntılı bir planını oluşturun. Bu, her görev için gereken toplam adam-saat sayısının hesaplandığı, doğrudan hesaplama sürecidir. Beşinci Adım: Kaynakları hesaplamak. İç denetim biriminde ve kurum içinde mevcut kapasiteyi ve gerekli olabilecek yeni kapasiteleri, örneğin belirli alanları denetlemek için yeterli niteliklere sahip kişiler gibi kaynak gereksinimleri hesaplayın. Bu hesaplama sonucunda, entegre denetimi gerçekleştirmek için gereken bileşen maliyet ortaya çıkacaktır. Altıncı Adım: Denetim planı içerisindeki denetlenebilir faaliyetlerin öncelik sıralamasını yapmak. Kurumda denetlenen tüm alanlarda entegre denetim programının ele aldığı riskleri karşılaştırmak ve değerlendirmek için kullanılan kriterlere tek ve ortak bir puanlama sisteminin kullanılması da önemlidir. Yedinci Adım: Maliyetleri birleştirmek. Entegre denetim planının maliyeti belirlenmelidir. Bu süreç, beşinci adımda belirtilen maliyet kalemlerinin, altıncı adımda tanımlanan öncelik sıralaması yapılmış denetimlerin listesiyle bir araya getirildiği ve eşleştirildiği basit bir süreçtir. Sekizinci Adım: Yönetim kurulunun onayını almak. IDY, yönetim kuruluna onay için sunduğu genel (programlı) denetimler setinin bir parçası olarak, entegre denetim planı hazırladığında ve ibraz ettiğinde aşağıdaki soruları yanıtlamaya hazırlıklı olmalıdır: Entegre denetim yaklaşımı, yönetim kuruluna ve üst yönetime daha büyük bir güvence veriyor mu? Bu, ispatlanabilir mi? Entegre denetim planı, bir evrak olarak sunulabilir mi? Maliyeti ne kadardır? Bu yaklaşımın faydalarını kanıtlayan bir denetim maliyeti güvence maliyeti karşılaştırma denklemi var mıdır? 8

9 3. Entegre denetimin uygulanması Baş denetçiyi ilgilendiren hususlar Denetim planlaması esnasında, baş denetçi, denetim planının tüm yönlerini anlamalı ve planı uygulamak için hangi becerilerin ve uzmanlık bilgisinin gerektiğini bilmelidir. Baş denetçi, gözden geçirilen faaliyetle ilgili riskleri ve kontrolleri değerlendirecek bilgiye ve tecrübeye sahip kişilerden oluşan bir ekip kurmalıdır. Bu ekibi kurarken, baş denetçi, denetimin kalitesini artırmak için ekibin uzmanlık becerilerinin mi, yoksa bilgi düzeyinin mi artırılması gerektiği üzerinde düşünmelidir. Ekip lideri, belirlenen hatalarla ilgili veya rapor edilen prosedürel / kontrol eksikliklerle ilgili yeterli kanıt olup olmadığını doğrulamak için, uzmanın yaptığı işi gözetlemelidir. Ekip lideri, bilgi ve becerilerin denetim ekibine aktarıldığından emin olmak için denetim personelini uzmanlarla yakın çalıştırarak iç denetçilerin gelişmesini sağlayabilir. Uzmanın yapacağı işten beklentiler, ekip lideriyle açıkça konuşulmalıdır. Entegre denetim ekibi kadrosunun kurulması Uzmanlık bilgisi ve becerisine sahip olanların dahil olduğu denetim ekibi üyelerinin etkin bir şekilde seçilmesi, entegre denetimden olumlu bir sonuç almak için gereklidir. Daha küçük çaplı denetim birimlerinde uygun denetim ekibi kadrosunun kurulabilmesi için belli bir denetim uzmanlık bilgisine sahip personel bulunmayabilir. Bu soruna getirilen çözümler genellikle, eşkaynak kullanımı, misafir denetçiler ya da iç veya dış uzmanların kullanılmasıdır. Uzmanlar, mevcut personelin becerilerini ve kurumla ilgili bilgi birikimlerini tamamlarlar. Ekibin tüm üyeleri hem rollerini hem de bu rolün denetimle ve gözden geçirilen faaliyetin riskleriyle olan ilişkilerini iyi anlamalıdırlar. Entegre denetim biriminin yetkinlikleri IDY nin denetim departmanında başarılı entegre denetimler için gereken bilgi, beceri ve uzmanlıklara sahip olacak şekilde bir kadro oluşturmak için seçenekleri vardır. İç denetçilere, her türlü denetim türünü üstlenebilmek için gereken bilgi ve becerileri elde edebilecekleri fırsatlar sağlanmalıdır. IIA Standart 1210: Yeterlilik bölümünde, tüm iç denetçilerin kişisel olarak sorumluluklarını yerine getirebilmeleri için gereken bilgi, beceri ve diğer yetkinliklere sahip olmaları gerektiği belirtilmektedir. Ancak tüm iç denetçileri her yönden eğitmek için gereken maliyet ve zaman, birçok kurum için engelleyici bir faktör olabilir. Kaynakların en iyi şekilde kullanılması, iç denetçilerin ve uzmanların eğitildikleri ve uygulamada en yetkin oldukları çalışma alanlarında faydalanılmasıyla mümkün olabilir. Ancak bu sefer de, birçok beceriye sahip iç denetçileri şirkette tutamama riski doğar, çünkü bu kişiler piyasada giderek artan bir cazibeye kavuşurlar. Aşırı yüksek personel değişim oranı, kaybedilen personelin yerine yenisini koymak için yeniden eğitim yapılmasını gerektirebilir. Ancak bu ihtimal, kurumları, denetim biriminin bilgi ve beceri tabanını genişletmek için girişken bir eğitim stratejisi benimsemekten alıkoymamalıdır. IDY ler, personel kaybını önlemek için personeli elde tutma stratejisi üzerinde düşünmelidir. Yeni becerilere yönelik eğitimler, pozitif personeli elde tutma stratejisinin bir parçası olabilir. 9

10 4. Küçük denetim birimlerinde entegre denetim Küçük denetim birimlerinin çoğu, hizmet verdikleri şirketlerin büyüklüğü ve bünyesine uygun olarak yapılandırılırlar. Bu kurumlar, aşağıda belirtilen ortak özelliklere sahip olabilirler: Bir ila beş denetçi Yılda ün altında verimli iç denetim saati Sınırlı düzeyde eşkaynak ve dış kaynak kullanımı Küçük bir denetim birimi, daha büyük bir birimin rahatlıkla destekleyebileceği bir entegre denetim programı veya planını destekleyebilecek altyapıya sahip olmayabilir. Küçük bir denetim alanında entegre denetimi etkili bir şekilde uygulamak için, kurumun risk yönetim hedeflerini destekleyecek nitelikte bir entegre denetimin nasıl geliştirilebileceği üzerinde daha fazla durulmalıdır. IIA Standart 2000 İç Denetim Biriminin Yönetilmesi : İç Denetim Yöneticisi (IDY), iç denetim birimini, birimin kuruma değer katmasını sağlayacak etkili bir tarzda yönetmelidir. Entegre risk değerlendirmesi bakış açısıyla yürütülen bir görev planlaması, risk tabanlı bir model geliştirerek, küçük bir denetim birimine bile daha fazla verimliliğe sahip olma fırsatı sağlayabilir ve denetim programı ve amaçları içerisinde etkili bir risk kapsama alanını destekleyebilir. Çoklu risk alanları çerçevesinde görev planlamasının ve kapsamının düzenlenmesini daha iyi desteklemek için, entegre denetim kavramı çoğu kez denetim konu alanı veya teknik denetim uzmanlığına sahip departmanın dışında başka kaynaklara da dahil edebilir. Bazı durumlarda, bu kaynaklar, objektifliklerinden taviz vermemek şartıyla kurum içinden sağlanabilir. Diğer durumlarda ise, görev kapsamının geliştirilmesine kılavuzluk edebilecek düzeyde gereken konu veya teknik uzmanlık bilgisine sahip kaynaklar dışarıdan temin edilebilir. Denetim departmanı personeli, mümkünse dış uzmanlarla çalışmalı ve her türlü öğrenme fırsatından istifade etmelidir. Çoklu görevler için gereken personel becerileri veya bilgisine eğitim yoluyla ulaşmak mümkün olduğu sürece, eğitimin maliyetine katlanılmalı ve denetçilere bu fırsatlar verilmelidir. Görevlerin entegre bir modele en iyi şekilde uymasını sağlayacak biçimde düzenleme yapmak amacıyla, risk tabanlı denetim prosedürleri kontrol listelerinin, kapsam belirleme mekanizmalarının ve ortak test metodolojilerinin geliştirilmesi, görevin etkili bir şekilde yürütülmesini sağlayacak ve faydalı olacaktır. Planlama aşamasında genellikle düşünülmesi gereken konular; görevin karmaşıklığı, görevin süresi, kadro oluşturulması ve kontrol listelerinin değeri (yani, görevi tekrarlama ihtimalinin bulunup bulunmadığı) olabilir. Bu materyal, görevleri etkili bir biçimde tamamlamak ve görevin hedeflerine ulaşabilmek için personelin ihtiyaç duyduğu zamanı azaltacak entegre denetim çalışması program şablonlarının geliştirilmesini sağlayabilir. Daha küçük denetim birimleri, incelenen alanların temel risk kapsamında görev için gerekli kadroyu tercih edebilirler. Riskin daha yüksek veya görevin daha karmaşık olduğu durumlarda denetim sürecine IDY lerin de katılması uygun olacaktır. 10

11 Küçük denetim birimlerinde, denetim prosedürlerinin kararlaştırılması ve denetim işinin koordine edilmesi şarttır. Ekip üyeleri arasında iletişim, görevin en etkin ve verimli şekilde yerine getirilmesini sağlamak açısından kritik öneme sahiptir. Küçük kurumlarda çoğunlukla denetim birimi de küçük olduğundan, denetlenenin sorumlu olduğu birçok alan ve sıralamada tâbi olduğu birçok öncelik olabilir. Görevin zamanında tamamlanmasını ve ilgili raporlamanın zamanında yapılmasını desteklemek amacıyla, böyle bir ortamda esas öncelik etkin denetlenen ve veri yönetimine verilmelidir. Görevi yürütme süreci, Standartlar a uygun olarak gerçekleştirilen diğer görevlerin yürütme süreci gibi olacaktır. IDY nin bu bağlamda dikkate alması gereken temel mülahaza, yapılan işin sonuçlarının etkili bir şekilde rapor edilmesi olabilir. Eğer ki görev planlamasının bir parçası olarak gerekirse, göreve özgü raporlama sistemi tanımlanmalıdır. Bu sistem içerisinde, iletişimin beklenen içeriği ve formatı, iletişimin kime yönlendirilmesi gerektiğine ilişkin yol gösterici bilgiler ve yanı sıra, görevi bitirmeden ve sonuçları rapor etmeden önce denetim birimi dışında birilerine de danışmak gerekip gerekmediğine dair bilgiler bulunmalıdır. Entegre denetim görevleri, çoklu risk alanlarının mülahazasını kapsar; bu sebeple, denetim görevi sonucunda rapor edilen bulguların, toplumsallaşabilmesi için daha geniş bir kitleye sunulması ve gereken eylem planlarını hayata geçirmesi için ilgili uygun koordinasyon gerektirecektir. 11

12 EK: Entegre denetim etkinliği kontrol listesi Aşağıda, iç denetim faaliyetinin entegre denetim yaklaşımını etkin bir şekilde kullandığından emin olmak için IDY nin sorması gereken başlıca sorular yer almaktadır. Etkili bir entegre denetim yaklaşımı, denetlenecek kapsama alanının tamamını içermelidir. Bu kapsama alanlarında finansal, operasyonel, bilgi teknolojileri, çevresel konular, mevzuata uyum ve suiistimal ile ilgili konular dâhildir, ancak bunlarla sınırlı kalmaksızın pek çok konu bulunabilir. 1. Yıllık Denetim Planı a. Denetim planı, tüm yüksek riskli alanları kapsamı içine alıyor mu? b. Her denetlenebilir faaliyet, kendi görev kapsamı dahilindeki alanların içermesini sağlayacak bir biçimde tanımlanıyor mu? c. Risk değerlendirmesi entegre bir tarzda yerine getiriliyor mu? d. Örneğin, risk değerlendirmesi risk faktörleri, yüksek riskli alanların da kapsanmasını garanti ediyor mu? e. Her faktörün tanımı plana dahil ediliyor mu? 2. Yazılı İletişim a. Sorununuzu dile getirdiğiniz yazılı rapor,denetlenebilir faaliyet kapsamı b. dahilinde alan analizi yoluyla kök sebebi yeterince açıklıyor mu? c. Yapılan tavsiyeler, kök sebebi etkileyecek nitelikteki alanların ve faktörlerin de plana dahil edilmesini temin ediyor mu? d. Dile getirilen genel kanaat (varsa), yapılan gözlemleri yansıtıyor mu ve planlama yapılırken belirlenen çerçevenin çizgisine uygun mu? 3. Denetim Planı (Görev) a. Denetim kapsama alanı genel bir çerçeve içeriyor mu? b. Kadro oluşturma modeli, görev kapsamına tamamlayıcı bir etki yapıyor mu? c. Ekip üyeleri, yaptıkları faaliyetlerin birbirleriyle ne şekilde ilişkili olduğunu, ve denetim amaçlarını ve kapsamını nasıl etkilediğini anlıyorlar mı? d. Spesifik denetim testlerinin sonuçları, denetim planlama aşamasında kontrol çerçevesi kurulumu üzerinde duruyor mu? e. Tüm üyelerin görev sonucunda ulaşmak istedikleri hedefin ne olduğunu bildiklerinden emin olmak için, görev ekibi üyeleri periyodik olarak toplanıyor mu ve ulaştıkları sonuçlar planlama aşamasında belirlenen çerçeveyle aynı çizgide mi? f. Denetim görevi boyunca, ekip üyeleri, herhangi bir olası eksikliğin oluşturacağı etkiyi düzgün ve etkili bir şekilde değerlendirebilecek düzeyde, çeşitli kontroller arasındaki iç ilişkilerin farkındalar mı? g. Entegre denetim yaklaşımı dikkate alındı mı? h. Ekip entegre denetim yaklaşımının belirlenen görev amaçlarına ulaşılmasını kolaylaştırmayacağına karar verdiyse, bunun sebeplerini de açıkladı mı? 12

13 4. Kadro Modeli a. Kadro oluşturma modeli, denetim projesinin gereklerini karşılıyor mu? b. Geçerli yılın yıllık denetim planına göre, denetim ekibini destekleyecek, yeterli bilgiye sahip iç veya dış kadrolar mevcut mu? Mevcut değilse, denetim başlamadan önce denetim ekibinin bilgi düzeyini artıracak bir eğitim planlanıyor mu? 5. Görev Sonrası Değerlendirmeler a. Öz-değerlendirmeler, emsal birim/kişi tarafından yapılan değerlendirmeler ve departman kalite standartları, entegre görev amaçlarının başarıyla yerine getirildiğini ve bu amaçların plan çerçevesiyle aynı çizgide olduğunu doğruluyor mu? b. Ekip üyelerinin entegre denetim sürecinden ne öğrendikleriyle ilgili tartışmalar/ geri bildirimler de değerlendirmede yer alıyor mu? (Örneğin, operasyonel denetçiler, bilgi teknolojileri kontrollerini anlıyorlar mı?) c. Yönetim anketine verilen yanıtlar, entegre yaklaşımın katma değer sonuçlar verdiğini gösteriyor mu? 13

14 YAZARLAR: James Reinhard, CIA, CPA, CISA Brad Ames, CPA, CISA Andrew Robertson Rita Thakkar, CIA, CPA, CA Ryon Pulsipher, CPA David Bentley GÖZDEN GEÇİRENLER Steve Hunt, CIA, CISA, CRMA, CGEIT, CRISC, CBM Steven Jameson, CIA, CCSA, CFSA, CRMA, CPA, CF 14

15 Enstitü Hakkında 1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD de bulunan bir uluslararası meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi, genel kabul gören lideri, baş savunucusu ve baş eğitmenidir. Uygulama Rehberleri Hakkında Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda ayrıntılı bir kılavuz bilgisi sağlar. Bu rehberler; proses ve prosedürler hakkında ve daha spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Uygulama Rehberleri, IIA in UMUÇ Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye Edilen rehberler kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat kuvvetle tavsiye edilirler ve bu rehberler, IIA in resmi inceleme ve onay sürecinden geçirilmek suretiyle onaylanmışlardır. IIA in yayımladığı ve sunduğu başka yol gösterici rehber materyalleri ve belgeleri için, lütfen adresindeki web sitemizi ziyaret ediniz. Sorumluluğun Reddi Beyanı IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden kişiler için herhangi bir sorumluluk kabul etmez. Telif Hakkı Uyarısı Telif hakları 2012 The Institute of Internal Auditors. Bu rehberi çoğaltma izni almak için, lütfen adresinden IIA ile temas kurunuz. IIA THE INSTITUTE OF INTERNAL AUDITORS (ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ) GLOBAL GENEL MERKEZ 247 Maitland Ave. Altamonte Springs, FL USA Telefon : Faks : Web sitesi : 15