UYGULAMA REHBERİ RİSK YÖNETİMİ VE GÜVENCE GÖREVLERİNİN KOORDİNASYONU

Transkript

1 1 UYGULAMA REHBERİ RİSK YÖNETİMİ VE GÜVENCE GÖREVLERİNİN KOORDİNASYONU MART 2012 IIA ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ

2 2 IPPF UYGULAMA REHBERİ RİSK YÖNETİMİ VE GÜVENCE GÖREVLERİNİN KOORDİNASYONU İÇİNDEKİLER TABLOSU Yönetici Özeti... 3 Giriş 4 Risk Yönetimi ve Güvence (Güvence Hizmetleri). 4 Güvence Çerçevesi. 5 Risk Yönetimi, İç Denetim, Uyum ve Diğer Güvence Sağlayıcıların İlgili Rolleri 7 İDY nin (İç Denetim Yöneticisi) Koordinasyon Görevi 8 Risk Yönetim Sürecini İç Denetim Planlamasında Kullanmak 10 Güvence Haritalarının Hazırlanması 13 İç Denetim Raporlarındaki Önemli Risk Alanları Hakkında Geri Bildirim 15 Risk Yönetiminin Yeterli Olup Olmadığının İç Denetim Tarafından Değerlendirilmesi.. 16 Risk Yönetiminin İç Denetim Tarafından Teşvik Edilmesi.. 16 İç Denetimin Risk Yönetimini Kolaylaştırdığı Alanlar 16 Bir Resmi Risk Yönetimi Fonksiyonunun Bulunmamasının İç Denetim Üzerindeki Etkisi. 17

3 3 IPPF UYGULAMA REHBERİ RİSK YÖNETİMİ VE GÜVENCE GÖREVLERİNİN KOORDİNASYONU YÖNETİCİ ÖZETİ: Risk yönetimi, örgütsel kontrol açısından asli ve temel öneme sahiptir ve sağlam kurumsal yönetişimi sağlamanın kritik bir parçasıdır. Risk yönetimi, kurumun tüm faaliyetlerine ve birimlerine temas eder. Kurum-çapında etkili bir risk yönetim sistemi kurmak, hem kurum yönetiminin hem de yönetim kurulunun temel sorumluluklarından biridir ve kurum yönetimi ve yönetim kurulu, kurumsal risklerin tespiti ve tanımlanması konusunda bütüncül bir yaklaşım benimsemekten, bu riskleri hafifletmek amacına yönelik kontrol mekanizmaları yaratmaktan ve tespit edilen riskleri ve kontrolleri izlemek ve gözden geçirmekten de sorumludurlar. Kurum yönetimi ve yönetim kurulu, hem stratejik hem de operasyonel seviyede risk yönetiminin kuruma entegre edilmesini sağlamalıdırlar. Güvence faaliyetlerinin sorumluluğu geleneksel olarak kurum yönetimi, iç denetim, risk yönetimi ve uyum bölümleri arasında paylaşılmasına rağmen, güvence faaliyetleri ve görevlerinin mevcut kaynakların etkin ve etkili kullanılmalarını sağlayacak biçimde koordine edilmesi önem taşımaktadır. Pek çok kurum, geleneksel (ve birbirinden ayrı) iç denetim, risk ve uyum birimleriyle çalışmaktadırlar. Kurumların birbirlerinden bağımsız ve farklı risk yönetimi, uyum ve güvence fonksiyonlarını ifa eden ayrı gruplara sahip olmaları da yaygın görülen bir durumdur. Etkili bir koordinasyon ve raporlama olmadığı takdirde, aynı işler iki kere yapılabilir ya da temel önemi haiz riskler gözden kaçırılabilir veya yanlış değerlendirilebilir. İç denetim bölümlerinin çoğu risk yönetimiyle yakın işbirliği içerisinde çalışırlar. Bazı kurumlarda bir resmi risk yönetimi fonksiyonu veya birimi yoktur ve bu durumda, iç denetim bölümü genellikle kuruma risk yönetimi danışmanlık hizmetleri de verir. İç denetim bölümünün, kendisinin sorumlu olduğu risk yönetimi çerçevesinin herhangi bir kısmı hakkında bağımsız güvence vermemesi gerekir. Bu güvenceyi, yeterince kalifiye ve uzman olan başka birimler vermelidir.

4 4 GİRİŞ: Standart 2050: Eşgüdüm (Koordinasyon), şu öneriyi yapmaktadır: İç Denetim Yöneticisi (İDY); aynı çalışmaların gereksiz yere tekrarlanmasını asgariye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, ilgili güvence ve danışmanlık hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetlerini de onlarla eşgüdüm içinde sürdürmelidir. Bu sorumluluk, İDY nin kurumun güvence sağlayıcısı çerçevesine girmesini ve katılmasını gerektirir. Bu çerçeve ise, iç denetim, dış denetim, kurumsal yönetişim ve risk yönetimi fonksiyonları ve faaliyetlerinden ve kurumun yönetim ekibinin üstlendiği başka iş kontrol fonksiyonları / açıklamalarından oluşabilir. Bu çerçeveye girmesi ve katılması, İDY nin kurumsal hedef ve amaçlara kıyasla kurumun karşı karşıya olduğu riskleri ve bunların kontrollerini bilmesine ve anlamasına yardımcı olur. Yönetim kurulları, güvenilir bir güvence elde etmek amacıyla aralarında yönetim, iç denetim ve üçüncü şahısların da bulunduğu çeşitli kaynaklar kullanırlar. Uygulama Önerisi : Güvence Haritalarında ifade edildiği gibi, güvence haritası, kurumun yaptığı risk yönetimi güvence yatırımlarının etkinliğini ve etkililiğini artırmak amacıyla risk yönetimi ve güvence faaliyetlerinin koordine edilmesi için değerli ve faydalı bir araçtır. RİSK YÖNETİMİ VE GÜVENCE (GÜVENCE HİZMETLERİ): Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesi ( Standartlar ) Terimler Sözlüğü nde, risk yönetimi, kurumun amaçlarını gerçekleştirmek konusunda makul güvence sağlamak amacıyla potansiyel olay ve durumları belirleme, değerlendirme, yönetme ve kontrol etme süreci olarak tanımlanmaktadır. Bu tanım, Uluslararası Standartlar Kurumu nun verdiği risk yönetimi tanımına da uygundur: bir kurumu risk konusunda yönlendirmek ve kontrol etmek amacına yönelik eşgüdümlü faaliyetler. Kurumsal risk yönetimi (ERM) kurum çapında risk yönetimi olarak da kullanılmaktadır yaygın kullanılan bir terimdir. Treadway Komisyonu Sponsor Kuruluşlar Komitesi, bu terimi kurumu etkileyebilecek potansiyel gelişmeleri ve olayları tespit etmek ve mevcut riskleri risk alma iştahı çerçevesinde yönetmek ve kurumun hedeflerine ve amaçlarına ulaşması konusunda makul güvence sağlamak amacıyla tasarlanmış, kurum çapında ve strateji düzenlemesi alanında uygulanan ve kurumun yönetim kurulu, yönetimi ve başka personeli tarafından yürütülen bir süreç olarak tanımlamaktadır. Güvence hizmetleri, objektif ve profesyonel olmalıdır ve bir dizi güvence sağlayıcı firmadan alınabilir. Bu güvence sağlayıcılar, kurum içinden örneğin, iç denetim, işyeri sağlık ve emniyet, uyum ve güvenlik olabilecekleri gibi, kurum dışından da örneğin, kanuni dış denetim olabilirler.

5 5 Standartların Terimler Sözlüğü, güvence hizmetlerini kurumun risk yönetimi, kontrol ve kurumsal yönetişim süreçlerine dair bağımsız bir değerlendirme yapmak ve sağlamak amacıyla bulguların objektif bir şekilde incelenmesi olarak tanımlamaktadır. Genellikle, güvence hizmetlerinde görev ve yer alan üç taraf bulunmaktadır: Kurum, operasyonlar, fonksiyon, süreç, sistem veya başka konularla ve risk yönetimi, uyum ve finans gibi gözetim fonksiyonlarıyla doğrudan doğruya ilgilenen ve bunlara doğrudan doğruya katılan kişi veya grup. Değerlendirmeyi yapan kişi veya grup (güvence sağlayıcı). Değerlendirmeyi kullanan kişi veya grup (üst yönetim ve yönetim kurulu gibi). GÜVENCE ÇERÇEVESİ: Güvence sağlama gereksinimi, kurumun kurumsal yönetişim süreçlerinden doğar. Kaynağı, bir kurumun yönetim kurulu ile hissedarları arasındaki koruma ve gözetme (yöneticilik) ilişkisidir. Bu yöneticilik ilişkisi, yönetim kurulunun kurumun uzun vadeli başarı beklentilerini geliştirecek ve hayata geçirecek bir tarzda kurum stratejisini ve yönelimini takip etme yetkisinin hem devredilmesine hem de sınırlandırılmasına dair süreçler tesis etmesini gerektirir. Yönetim kurulunun bu yetkinin kullanılması sürecini izlemesine olanak sağlamak amacıyla güvence hizmetlerine gereksinim duyulmaktadır. Risk yönetimi, kurumsal hedeflere etkin, etkili ve verimli bir biçimde ulaşılmasını teşvik eden bir yönetim sürecidir. Güvence ve risk yönetimi, birbirlerini tamamlayıcı süreçlerdir. Risk yönetimi sürecine destek olmak üzere, iç denetimin ve başka bağımsız güvence sağlayıcıların temel rolü ve görevi: Risk yönetimi sürecinin uygun bir biçimde uygulandığı ve sürecin unsurlarının uygun ve yeterli olduğu; Risk yönetimi sürecinin kurumun stratejik gereksinimlerine ve amaçlarına uyumlu ve uygun olduğu; Tüm önemli risklerin tespit edilmesini ve tanımlanmasını ve gereken önlemlerin alınmasını sağlayacak süreçlerin ve sistemlerin mevcut olduğu; Öncelik verilen ve tolere edilemez risklerin hepsi için, maliyet-etkin kontrol ve yönetim planlarının mevcut olduğu; Kontrollerin risk yönetimi sürecinin çıktılarına ve sonuçlarına uyumlu ve doğru bir biçimde tasarlandığı; Anahtar kontrollerin yeterli ve etkili olduğu; Risklerin aşırı ya da az ve etkisiz kontrol edilmediği;

6 6 Bölüm yönetimi gözden geçirme faaliyeti ve denetim-dışı diğer güvence faaliyetlerinin mevcut kontrollerin sürdürülmesi ve geliştirilmesi konusunda etkili olduğu; Risk yönetimi planlarının uygulanmakta olduğu ve Risk yönetimi planında rapor edildiği gibi ve uygun ilerlemenin sağlandığı konularında güvence sağlamaktır. Güvence sürecine destek olmak üzere, risk yönetimi süreci: Kuruma özgü, yazıya dökülmüş bir risk yönetimi politikası ve çerçevesi kurmalı ve oluşturmalıdır; Önemli risklerin etkin tespiti, tanımlanması ve yönetimi konularında uygun sorumluluk dağıtımını yapmalıdır ve Kurumun riskleri hakkında: - Riskleri ve bağlantılı maruziyet seviyelerini ve güncel risk derecelendirmelerini; - Risklerin uygulandığı kurumsal hedef(ler)i; - Risklerin her birinin tespiti, tanımlanması ve yönetilmesinden sorumlu olan kurumsal birimi veya organı ve - Risklerin her birini tespit etmek, tanımlamak ve yönetmek için kurulan temel kontrol sistemlerini kaydeden özel yapılandırılmış bir analiz sağlamalıdır. Güvence stratejisi, kurumun kurumsal planlarıyla veya başka stratejik planlarıyla yakından bağlantılıdır. Güvence gereksinimlerini yaratan ve yönlendiren faktörler; kurumun içinde bulunduğu hukuki ortam, mevzuat ortamı, kültürel ve ekonomik ortam ve kurumun faaliyetlerinin niteliği ve uzun-vadeli planlarıdır. Kurumsal güvenceyi kimlerin kullanacağını tespit etmek, önemli bir ilk adım teşkil eder. Yönetim kurulunun ve kurum yönetiminin asli ve birincil kullanıcılar oldukları açıktır. Diğer kullanıcılar arasında, kurumun sahipleri, düzenleyici organlar ve hükümetten veya kurumun kritik bir arz unsuru olduğu müşterilerden söz edilebilir. Günümüzün son derece geniş bağları ve bağlantıları bulunan ekonomisinde, kendi risk yönetimi süreçlerinin bir parçası olarak dış kurum ve işletmeler de kurumun güvencesine gereksinim duyabilirler. Gereken ve istenen güvence, resmi mali tabloları veya yıllık raporun içeriğini onaylamaları gerektiğinde yönetim kuruluna gereksinim duyduğu cesareti ve rahatlığı vermekten bir dış organa veya kuruluşa resmi bir uyum veya uygunluk beyanı sunmaya kadar değişen farklı biçimler alabilir. Bir kurumda kullanılacak güvence stratejisini ve özen seviyesini güvence hedefleri ve amaçları belirler, fakat temel koşulları arasında: Tüm önemli risklerin tespit edildiğine ve tanımlandığına;

7 7 Risklerin doğru analiz edildiğine ve değerlendirildiğine; Temel kontrollerin hem yeterli hem de etkili olduklarına ve Yönetimin tolere edilemez riskleri uygun bir biçimde yönettiğine ve kontrol ettiğine dair güvence sağlamaktan söz edilebilir. Güvence sağlayıcılarının hizmet ettikleri paydaşlara, güvence sağladıkları faaliyetlerden bağımsızlık düzeylerine ve sağladıkları güvencenin kuvvetine ve sağlamlığına göre değişen üç temel sınıfı bulunmaktadır. Bu sınıflar: Kontrol öz-değerlendirmeleri yapan kişiler, kalite denetçileri, çevre denetçileri ve diğer yöneticiler (özel görevlendirilmiş güvence personeli) de dahil, yönetime bağlı olan veya yönetimin bir parçası olan güvence sağlayıcılar (yönetim güvencesi); İç denetim de dahil yönetim kuruluna bağlı olan güvence sağlayıcılar ve Geleneksel olarak bağımsız/kanuni dış denetçinin üstlendiği bir rol olarak, dış paydaşlara bağlı olan güvence sağlayıcılar (mali tablolar güvencesi). İstenen güvence seviyesi, hem riske hem de mevzuat gibi başka faktörlere göre değişecektir. Bu güvenceyi kimin sağlaması gerektiği ise, hem güvence sağlayıcının gereken bağımsızlık ve objektiflik düzeyini sağlama kabiliyetine, hem de kurumun tarihsel örgütsel tasarımına ve güvence grubu içerisinde mevcut beceri setlerine göre değişecektir. RİSK YÖNETİMİ, İÇ DENETİM, UYUM VE DİĞER GÜVENCE SAĞLAYICILARIN İLGİLİ ROLLERİ: Bir kurum için güvence sağlayıcılar arasında şunlar sayılabilir: Bölüm yönetimi ve çalışanları (yönetim, kendisinin sorumlu olduğu riskler ve kontroller üzerinde birinci derecede bir savunma hattı olarak güvence sağlar); Kurum üst yönetimi; İç ve dış denetçiler; Uyum; Kalite güvencesi; Risk yönetimi; Çevre denetçileri; İşyeri sağlık ve emniyet denetçileri; Hükümet performans denetçileri; Mali raporlama inceleme ekipleri; Yönetim kurulunun (denetim, aktüerya, kredi ve yönetişim gibi) altkomiteleri ve

8 8 Araştırmalar, uzman incelemeleri (sağlık ve emniyet) de dahil, dış güvence sağlayıcılar. İç ve dış güvence sağlayıcıların kimler olabileceği hakkında daha fazla bilgi almak için IIA nın Diğer Güvence Sağlayıcıların İç Denetim Faaliyetlerine Güvenmeleri başlıklı Uygulama Rehberine (Aralık 2011) bakınız. Aynı zamanda, iç denetimin risk yönetimi konusunda hangi rolleri üstlenmesinin uygun olacağı konusunda ise IIA nın Kurum Çapında Risk Yönetiminde İç Denetimin Rolü başlıklı Pozisyon Raporuna (Ocak 2009) bakınız. İç denetim bölümü, normalde, kurumun iç denetim yönetmeliğinde veya görevlendirme mektubu koşullarında onaylanmış bulunan kısımları üzerinde güvence hizmeti sağlar. Bu kapsama alanı, risk yönetimi süreçlerini (bu süreçlerin hem tasarım hem de işletim etkililiğini), yüksek risk olarak sınıflandırılan risklerin yönetimini (kontrollerin ve diğer cevaplarının etkililiği de dahil), risk değerlendirmesinin güvenilirliği ve uygunluğunun doğrulanmasını ve risk ve kontrol statüsünün rapor edilmesini kapsamalıdır. Güvence faaliyetlerinin sorumluluğu geleneksel olarak kurum yönetimi, iç denetim, risk yönetimi ve uyum bölümleri arasında paylaşılmasına rağmen, güvence faaliyetleri ve görevlerinin mevcut kaynakların etkin ve etkili kullanılmalarını sağlayacak biçimde koordine edilmesi önem taşımaktadır. Pek çok kurum, geleneksel (ve birbirinden ayrı) iç denetim, risk ve uyum birimleriyle çalışmaktadırlar. Standartların Terimler Sözlüğü nde, uyum kavramı, kanunların, sektör standartlarının ve kurumsal standartlar ve kodların, iyi yönetişim prensiplerinin ve genel kabul gören toplumsal ve etik standartların gereklerine uymak olarak tanımlanmaktadır. Bir uyum programı, bir araya getirildiklerinde uyumu sağlamayı hedefleyen bir görev ve faaliyetler dizisidir. Etkin ve etkili bir koordinasyon ve raporlama olmadığı takdirde, aynı işler iki kere yapılabilir ya da temel önemi haiz riskler gözden kaçırılabilir veya yanlış değerlendirilebilir. Risk yönetimi, örgütsel kontrol açısından asli ve temel öneme sahiptir ve sağlam kurumsal yönetişim sağlamanın kritik bir parçasıdır. Risk yönetimi, kurumun tüm faaliyetlerine ve birimlerine temas eder. Bu sebepledir ki, pek çok kurum daha resmi bir ERM (Kurumsal Risk Yönetimi) süreci benimseme ve uygulama yolunu tercih etmişlerdir. İDY NİN (İÇ DENETİM YÖNETİCİSİ) KOORDİNASYON GÖREVİ: Standart 2050: Eşgüdüm (Koordinasyon), şu öneriyi yapmaktadır: İç Denetim Yöneticisi (CAE); aynı çalışmaların gereksiz yere tekrarlanmasını asgariye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, ilgili güvence ve danışmanlık hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetlerini de onlarla eşgüdüm içinde sürdürmelidir. Bu sorumluluk, İDY nin kurumun güvence sağlayıcısı çerçevesine girmesini ve katılmasını gerektirir. Bu çerçeve ise, iç denetim, dış denetim, kurumsal yönetişim ve risk yönetimi fonksiyonları ve

9 9 faaliyetlerinden ve kurumun yönetim ekibinin üstlendiği başka iş kontrol fonksiyonları / açıklamalarından oluşabilir. Bu çerçeveye girmesi ve katılması, İDY nin kurumsal hedef ve amaçlara kıyasla kurumun karşı karşıya olduğu riskleri ve bunların kontrollerini bilmesine ve anlamasına yardımcı olur. İç denetim birimlerinin çoğu, risklerin kurumun hedeflerine ve amaçlarına ulaşması üzerindeki potansiyel etkilerine göre öncelik sırasına konulmasına yardımcı olmayı amaçlayan yıllık ve görev-bazında risk değerlendirme faaliyetleri yürütürler. Makro-seviyede, bu faaliyetler, iç denetim birimine yönetim kuruluna sunmak üzere bir denetim planı önerisi hazırlamasında yardımcı olurlar. Mikro-seviyede ise, bu faaliyetler, iç denetim görevleriyle sağlanacak olan güvencenin ve yapılacak olan denetim çalışmasının kapsamı konusunda gerekli önceliklendirmenin yapılmasına yardımcı olurlar. Güvence sağlayıcıların yaptıkları işlerin ve sundukları hizmetlerin İDY tarafından daima ve devamlı anlaşılması, kavranması ve değerlendirilmesi önemlidir. Bu, yönetim kuruluna sunulacak denetim planı önerilerini hazırlamak için yapılan risk değerlendirme faaliyetleri de dahil, iç denetim çalışmalarının yürütülmesi ve uygulamasında gereken azami mesleki özenin ve dikkatin gösterilmesinin teminine yardımcı olur. Bu, kurumun güvence sağlayıcılarının sağladıkları güvencenin kapsamının yönetim kurulu tarafından anlaşılmasına ve kavranmasına ve böylece, yönetim kurulunun mevcut kaynakların uygun tahsisi ve kapsam-dışı kalan konuların getirdiği potansiyel risk maruziyetleri konularında daha iyi değerlendirme yapmasına da yardımcı olur. Güvence sağlayıcıları arasında gereken koordinasyonun kurulması, güvence faaliyetlerinin sonuçları ve raporlarının düzenli olarak paylaşılmasını da kapsar. Bu resmi eşgüdüm düzenli olarak gerçekleştirilmeli ve sonuçlara varmak için kullanılan teknikler ve yöntemler hakkında tartışma ve bunları gözden geçirmek için ayrılan zamanı da içermelidir. Bu, tespit edilen riskleri ve kontrol eksiklikleri ve zayıflıklarını hafifletmek amacıyla gerçekleştirilen faaliyetlerin anlaşılmasını ve yönetimin buna verdiği cevapları da kapsar. İDY (İç Denetim Yöneticisi), kurumun yönetim kuruluyla ve üst yönetim ekibiyle paylaşılacak bir yıllık rapor hazırlayabilir. Bu rapor, kurumun güvence sağlayıcı çerçevesini, sağlanan güvencenin kapsamını, kurum içerisindeki yüksek risk alanlarını ve artık/hafifletilmemiş risk alanlarını kapsamalı ve açıklamalıdır. Başka bir seçenek de, bu raporun hazırlanması ve kurumun yönetişim veya risk yönetim fonksiyonu kanalıyla dağıtılmasını İDY nin koordine etmesi olacaktır. Raporun menşeine bakılmaksızın, İDY nin güvence sağlayıcıların kullandıkları tekniklere ve yöntemlere güvenebilmesi ve dayanabilmesi de önemlidir. İyi hazırlanmış, belgelere dayanan ve kesintisiz bir risk yönetim süreci, hem iyi kurumsal yönetişimin bir parçasıdır hem de bir kurumun hedeflerine ulaşabilmesi için uygun kontrollerin mevcut olduğuna dair güvence elde etmek için önemli bir yönetim aracıdır.

10 10 Kurum-çapında etkili bir risk yönetim sisteminin kurulması, yönetimin temel ve asli sorumluluklarından biridir. Yönetim kurulu ve kurum yönetimi, kurumsal risklerin tespiti ve tanımlanması konusunda bütüncül bir yaklaşım benimsemekten, bu riskleri hafifletmek amacına yönelik kontroller yaratmaktan, tespit edilen ve tanımlanan riskleri ve kontrolleri izlemekten ve gerektiğinde gözden geçirmekten ve risk yönetimi sürecinin hem stratejik hem de operasyonel seviyede kuruma entegre edilmesini sağlamaktan sorumludurlar. Bazı kurumlar, bağımsız risk yönetimi fonksiyonlarını devretmişlerdir, fakat bazılarının bağımsız bir risk yönetim fonksiyonları yoktur ve iç denetimin bu alanda da danışmanlık hizmetleri vermesini beklerler. İç denetim, risk yönetimi metodolojilerinin tanımlanması, değerlendirilmesi ve kolaylaştırılması konularında yardımcı olabilir. İç denetim, ayrıca, risk yönetim sürecinin etkinliğini incelemek ve değerlendirmekten ve bu sürecin geliştirilmesine katkıda bulunmaktan da sorumludur. Riskleri sistemli bir biçimde tespit etmek ve tanımlamak, sağlam kararlar alınmasına destek olur. Bu, kurumun çeşitli farklı seviyelerde detaylı ve iyi bir analizinin yapılmasını; meydana gelebilecek risk olaylarının tespitini ve tanımlanmasını; bu risklerin önem düzeyleri hakkında kararlar alınmasını ve bu risklerle baş etmek için yeterli önlemlerin geliştirilmesini kapsar. RİSK YÖNETİMİ SÜRECİNİ İÇ DENETİM PLANLAMASINDA KULLANMAK Bir kurumda, risk yönetimi dokümantasyonu, stratejik risk yönetimi sürecinin altında çeşitli farklı seviyelerde olabilir. Pek çok kurum, stratejik seviyenin altındaki riskleri kaydeden ve belirli bir alanda önemli risklerin dokümantasyonunu ve bağlantılı içsel ve artık risk derecelendirmelerini, temel kontrolleri ve hafifletici faktörleri sunan risk katalogları geliştirmişlerdir. Bunun ardından, risk kataloglarında tanımlanan iç denetim faaliyeti ve risk kategorileri ve özelliklerine göre kaydedilen denetim evreninde mevcut kalemler arasındaki bağ ve bağlantıları tespit etmek amacına yönelik bir hizalama egzersizi yapılabilir. Bazı kurumlar, çeşitli yüksek (veya daha yüksek) içsel risk (potansiyel maruziyet) alanları tespit edebilirler. Bu riskler iç denetim biriminin ilgi ve dikkatini gerektirebilirler, fakat bunların tümünü gözden geçirmek her zaman mümkün olmayabilir. Risk kataloğunun belirli bir alanda içsel risk (veya büyük potansiyel maruziyet) için yüksek veya daha yüksek bir dereceleme gösterdiği ve cari riskin de benzer şekilde yüksek seviyede olduğu ve kurum yönetiminin veya iç denetim biriminin herhangi bir önlem planlamadıkları durumlarda, İç Denetim Yöneticisi (İDY), iç kontrollerin bulunmamasının veya etkisiz olmasının sebepleri ve risk analizinin detaylarıyla birlikte, bu alanları yönetim kuruluna rapor etmelidir.

11 11 İç denetim birimi, risk yönetimi sürecinin sonuçlarını, kurumun risk yönetimi sürecinin etkililiğini değerlendirmeye ve bu sürecin gelişmesine katkıda bulunmaya ek olarak, yıllık denetim planları geliştirmek ve münferit denetim görevlerine hazırlanmak amaçlarıyla da kullanır. İç denetim biriminden, sıklıkla, kısıtlanmış kaynaklarla daha iyi sonuçlar elde etmesi istenir. İç denetim işlerinin ve çalışmalarının, iç denetimin en iyi sonuçları elde etme konusunda en çok etkili olabileceği ve kurumun stratejik ve operasyonel hedeflerine ulaşma sonucu üzerinde en yüksek etkiyi yapan alanlara stratejik olarak yerleştirilmesi yoluyla bu amaca ulaşılabilir. Bunu başarmak için kullanılabilecek araçlardan biri de, iç denetim planlarını ve münferit denetim görevlerini, tanımlanmış temel iç riskler ve kontrollere dayandırmaktır. İç denetim birimi, faaliyet ve çalışmalarının kurumun temel risk alanlarını ve iç kontrollerini eksiksiz kapsamasını sağlamak amacıyla kısa- ve uzun-vadeli denetim planları hazırlamalıdır. İş koşullarında önemli değişiklikler olabileceğinden dolayı, denetim planlarının güncel bilgilere göre değişme esnekliğine sahip olmasını ve değişen öncelikleri ve risk alanlarını eksiksiz kapsamasını sağlamak için, yıllık planların kesintisiz izlenmesi ve periyodik revize edilmesi ve daha uzun vadeli planların en azından yıllık olarak gözden geçirilmesi gerekir. Standart 2010: Planlama şunu öngörmektedir: İç Denetim Yöneticisi [İDY] kurumun hedeflerine uygun olarak iç denetim faaliyetinin önceliklerini belirleyen risk esaslı planlar yapmalıdır. Standart 2010.A1 e göre ise, İç denetim biriminin görev planı, en az yılda bir kere yapılan bir risk değerlendirmesine dayanmalıdır. Bu süreçte, kurum üst yönetimi ve yönetim kurulunun görüş ve katkıları da dikkate alınmalıdır. Standart 2120: Risk Yönetimi şunu öngörmektedir: İç denetim birimi, risk yönetimi süreçlerinin etkililiğini değerlendirmeli ve bu risk yönetimi süreçlerinin geliştirilmesine katkıda bulunmalıdır. Kurumun hedef ve amaçlarına ulaşmasını etkileyebilecek riskleri ve risk maruziyetlerini belirlemek amacıyla, iç denetim planları hazırlanırken, aşağıdaki adımlar dikkate alınmalı ve düşünülmelidir: İşletme iş planları, stratejik planlar, işletme risk değerlendirmeleri, yıllık raporlar, yönetim kurulu toplantı tutanakları, kurum yönetimi toplantı tutanakları, dış raporlar, dış denetim raporları ve diğer uygun kaynaklar gibi kurumsal dokümanları araştırmak ve gözden geçirmek. Daha önceki iç denetim planları, ilerleme raporları ve devam eden işleri gözden geçirmek. Kaygı ve endişeler veya risk alanları konusunda kurum üst yönetimine danışmak ve bilgi talep etmek. Mevcut sorunlar hakkında bir risk değerlendirmesi yapmak ve yıllık denetim planı için öncelikleri tespit etmek. Bir denetim planı taslağı hazırlamak.

12 12 Önerilen denetim planını paydaşlara iletmek. İncelemek üzere, yüksek riskli alanlar hakkında geri bildirim ve doğrulama talep etmek. Denetim planlarına son şeklini vermek. Denetim planlarını onay için kurum yönetimine ve yönetim kuruluna sunmak. Planları değişen koşulların ışığında düzenli olarak izlemek, incelemek ve yeniden değerlendirmek. Bir iç denetim faaliyetinin daha geniş gerekçesi ve hedefleri yıllık planlama aşamasında geliştirilmesine ve belirlenmesine rağmen, denetim çalışmasının başlangıcında, detaylı hedef ve amaçları ve kapsamı tanımlamak ve kriterleri ve metodolojiyi belirlemek amacına yönelik detaylı araştırmalara ve işlere de gerek duyulur. Standart 2201: Planlamada Dikkate Alınması Gerekenler, şu önermeyi içermektedir: Denetim görevlerini planlarken, iç denetçiler: İç denetim faaliyeti ve onun hedefleri, kaynakları ve operasyonlarına yönelik önemli riskleri ve bu risklerin potansiyel etkilerini kabul edilebilir bir seviyede tutmanın yol ve araçlarını; Bir ilgili kontrol çerçevesine veya modeline kıyasla, ilgili birimin risk yönetimi ve kontrol sistemlerinin yeterliliğini ve etkililiğini ve Birimin risk yönetimi ve kontrol süreçlerinde önemli gelişmeler sağlama imkanlarını dikkate almalıdırlar. Standart 2210: Görevin Amaçları ise şunu ifade etmektedir: İç denetçiler, denetlenen faaliyetle ilgili risklerin bir ön değerlendirmesini yapmalıdırlar. Belirlenen görev hedefleri, bu değerlendirmenin sonuçlarını yansıtmalıdır. Danışmanlık görevleri konusunda, Standart 2120:C1 şu ifadeyi içerir: Danışmanlık görevleri sırasında, iç denetçiler, risk konularını görevin amaçlarıyla uyumlu bir biçimde ele almalı ve diğer önemli risklerin var olup olmadığı konusunda uyanık olmalıdırlar. Bir iç denetim faaliyetinin iyi planlanması, faaliyetin başarısı için hayati öneme sahiptir. Bu, denetlenen kuruma aşina olmak; ilgili önemli sorunlar, kaygı ve endişeler ve riskleri toplamak; bir risk değerlendirmesi yapmak ve denetimin hedefleri ve kapsamını belirlemek için bir fırsat sağlar. Bir denetim görev planını geliştirir ve hazırlarken, iç denetim ekibi, denetim sorunlarını ve risk olaylarını tespit etmek ve tanımlamak amacıyla resmi, kapsamlı ve belgelendirilmiş bir risk değerlendirmesi yapmalıdır. Bu çalışma, hem önemli araştırmalar yapılmasını, hem denetlenen kurum veya birimin yönetimine danışılmasını, hem de kurum veya birim hakkında bilgi sahibi olunmasını gerektirir.

13 13 Risk değerlendirme yöntemleri değişiklik gösterebilir; bununla birlikte, tüm risk değerlendirmeleri en azından aşağıdaki noktaları kapsamalıdır: Risk olayının tanımı (olumsuz olay, istenmeyen olay). Bu olayın gerçekleşme ihtimali (kuvvetli, orta, zayıf). Olumsuz olayın hedef ve almaçlara ulaşma üzerindeki etkisi (yüksek, orta ve düşük). Halen mevcut bulunan kontroller (sistemler, politikalar, prosedürler, vb.) ve bunların etkin ve etkili olup olmadıkları (etkili/etkili değil). Risk olayları sıralaması. Her potansiyel denetim, incelenmek üzere bir çeşitli farklı sorunlar dizisini ortaya çıkartır. Bununla birlikte, bu sorunların hepsine bakmak hem gerekmez, hem makul değildir, hem de maliyet-etkin değildir. Denetim ekibinin en önemli ve en yüksek risk taşıyan sorunları tespit etmesi ve çabalarını bunların üzerinde yoğunlaştırması gerekir. Olası risk olaylarını sıralandırarak, bu süreç, en önemli ve en yüksek sırada yer alan sorunları tespit eder ve tanımlar. Bu noktada, denetimin hedefleri ışığında hangi sorunların önemli olduğu ve denetleneceği konusunda bir karara varılabilir ve bu bağlamda, denetlenebilirlik, kaynaklar ve zamanlama gibi başka faktörler de dikkate alınabilir. Risk değerlendirmesi sonuçları, mutabakat ve doğrulama amacıyla, denetlenen kurumun yönetimine sunulmalı ve onlarla da tartışılmalıdır. GÜVENCE HARİTALARININ HAZIRLANMASI: Yönetim kurulları, güvenilir güvenceler almak amacıyla kurum yönetimi, iç denetim ve üçüncü şahıslar da dahil çeşitli farklı kaynaklardan istifade ederler. Pek çok kurum, ayrı iç denetim, risk ve uyum fonksiyonları ve birimleriyle çalışırlar ve kurumların farklı risk yönetimi fonksiyonlarını birbirlerinden bağımsız ifa eden çeşitli ayrı grupları bulunan kurumlar da sık görülmektedir. Uygulama Önerisi de açıklandığı gibi, güvence haritası, bir kurumun yaptığı güvence yatırımlarının etkinliği ve etkililiğini artırmak amacıyla bu risk yönetimi ve güvence faaliyetlerinin koordine edilmesi için kullanılan değerli bir araçtır. Güvence haritaları: Güvence kapsama alanlarında olası tekrar ve örtüşmelerin tespit edilmesine ve böylece, yönetim kurulu ve üst yönetimin bu örtüşmenin gerekli olduğuna, bilinçli olduğuna ya da bertaraf edilmesi gerektiğine karar vermelerine olanak sağlanmasına ve Doğru risklere doğru kaynakların tahsis edilmesini sağlamak amacıyla çeşitli farklı güvence sağlayıcılarının rol ve sorumluluklarının ve kapsam sınırlarının tanımlanmasına ve böylece, güvence sağlayıcıların ilgilenmeleri gereken alanlar üzerinde odaklanmalarını sağlayarak ve yönetim kurulunun ve üst yönetimin beklentilerini açık bir şekilde ifade ederek güvence sağlayıcıların etkinliğinin artırılmasına ve

14 14 Güvence kapsama alanında bulunan ve kapatılması gereken boşlukların tespit edilmesi ve bulunmasına yardımcı olabilirler. Yönetim kurulunun ve kurumun güvence isteklerini anlamak ve iç denetim faaliyetinin oynadığı rolü ve sağladığı güvence seviyesini açıklamak İç Denetim Yöneticisinin (İDY) sorumluluğundadır. Bununla birlikte, kurum içinde güvence faaliyetlerini izlemek için özgün ve uygun bir gözetleme konumu ve yerinde olması sayesinde, İç Denetim Yöneticisi, bu adımı bir adım daha ileri götürebilir ve kurum için bir güvence haritasının yaratılması ve geliştirilmesine yardımcı olabilir. Bu, sadece yönetim kuruluna kurumsal yönetişimi gözetlemesinde ve izlemesinde yardımcı olmakla kalmayacak, aynı zamanda denetim biriminin kaynaklarını optimum kullanarak maksimum güvence değeri elde etmesini ve etkin ve etkili eşgüdüm yoluyla daha bağlantılı ve sıkı bir güvence toplumu yaratmasını sağlamak konusunda İDY ye de yardımcı olacaktır. İÇ DENETİM RAPORLARINDAKİ ÖNEMLİ RİSK ALANLARI HAKKINDA GERİ BİLDİRİM: Tüm güvence çalışmaları esnasında, özellikle, çalışmaların bir kurumun risk yönetim sürecinde tespit edilen önemli potansiyel risk maruziyetlerini kapsadığı durumlarda, denetim yaklaşımı, denetim prosedürleri ve iletişim yolları, kontrollerin tespit edilen risklerin kurumun risk toleransı eşiğine indirilmesinde etkili ve etkin olup olmadıkları hakkında kurum yönetiminin ileri sürdüğü savları değerlendirebilecek şekilde tasarlanmalıdırlar. Yönetime ve yönetim kuruluna sunulan raporlar, risk derecelendirmeleri hakkında denetim değerlendirmesiyle birlikte, mevcut güncel risklere potansiyel maruziyet düzeyini ve yönetimin bununla ilgili değerlendirmesini (mevcut kontrollerin zımni değeriyle birlikte) tanımlayabilirler. Tespit edilen farkların değerlendirilmek üzere yönetimin risk yönetimi sürecine iletilmesi ve sunulması gerekir. Bu güvence faaliyetlerinin belirli risk alanları üzerinde zaman içerisinde yaptığı kümülatif etkinin bir risk-bazlı denetim planıyla belirlenmesi, sadece bu alanlar üzerinde güvence sağlamakla kalmayacak, aynı zamanda genel risk yönetimi sürecinin etkililiği üzerinde de bir güvence sağlayacaktır.

15 15 RİSK YÖNETİMİNİN YETERLİ OLUP OLMADIĞININ İÇ DENETİM TARAFINDAN DEĞERLENDİRİLMESİ: Standart 2100: İşin Niteliği, Standart 2120: Risk Yönetimi ve Standart 2400: Sonuçların Raporlanması başlıkları altında açıklandığı gibi, iç denetim birimi, üst yönetime ve nihai olarak yönetim kuruluna, kurumun risklerini etkin bir tarzda yönettiği konusunda güvence sağlamalıdır. İç denetimin bu kapsam içinde risk yönetiminin yeterli olup olmadığını da incelemesi ve değerlendirmesi gerektiği takdirde, düşünülmesi gereken iki boyut vardır: 1. Risk yönetimi fonksiyonunun görev kapsamı içine tüm uygun risk alanlarını alıp almadığı ve 2. Risk yönetimi fonksiyonunun etkili çalışıp çalışmadığı. İç denetim biriminin değerlendirmesinde dikkate alması gereken temel unsurlar ve konular, Uygulama Önerisi : Risk Yönetimi Süreçlerinin Yeterliliğinin Değerlendirilmesi başlığı altında büyük oranda açıklanmakta ve tanımlanmaktadırlar. Ana özellikleri şöyledir: Yönetim kurulları, genel gözetim rollerinin bir parçası olarak, iç denetimden, risk yönetiminin yeterli olup olmadığını inceleyerek ve vardığı sonuçları rapor ederek yardımcı olmasını isteyebilirler. Risk yönetiminden kurum yönetimi ve yönetim kurulu sorumludurlar; ancak danışmanlık rolünü üstlenen iç denetçiler de kurum yönetimine bu sorumluluk konusunda yardımcı olabilirler. Kurumun resmi bir risk yönetim sürecinin bulunmadığı hallerde, İç Denetim Yöneticisi (İDY), durumu kurum yönetimiyle ve yönetim kuruluyla tartışmalıdır. İç Denetim Yöneticisi (İDY): Etkin ve etkili bir risk yönetimi kültürünün bulunmasını; Kurumun karşı karşıya olduğu potansiyel risk maruziyetleri ve içsel risklerin kurumun tüm kademelerinde net ve açık bir şekilde anlaşılmasını ve bilinmesini (örneğin, bir risk kataloğu); Kurum içerisinde riskin mevcut seviyesinin net ve açık bir şekilde anlaşılmasını; Kurumun her kademesi ve seviyesinde üstlenilen risk miktarının açıkça tanımlanmasını ve anlaşılmasını; Riskleri hafifletmek amacına yönelik yeterli ve etkin kontrollerin mevcut olmasını ve Risk yönetim sisteminin etkililiğini üst yönetime ve yönetim kuruluna bildirmek için uygun bir yöntemin bulunmasını sağlamalıdır. İç Denetim Yöneticisinin diğer denetim görevlerinde de olduğu gibi risk yönetiminin gözden geçirilmesi konusunda da üç önemli fonksiyonu vardır:

16 16 Kontrolleri test etmek; Etkili olmayan veya eksik kontrolleri rapor etmek ve İyileştirme ve geliştirme yolları önermek. RİSK YÖNETİMİNİN İÇ DENETİM TARAFINDAN TEŞVİK EDİLMESİ: Standart 2100 e göre: İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, risk yönetimi, kontrol ve yönetişim sistemlerini değerlendirmeli ve bu sistemlerin iyileştirilmesine katkıda bulunmalıdır. İç denetim birimi, genelde, kurumun yönetim kuruluna kurumun ERM faaliyetlerinin etkinliği hakkında bağımsız ve objektif güvence sağlamakla da görevlidir. Bu görev, işle ilgili temel risklerin uygun bir tarzda yönetilmesinin ve kurumun iç kontrol sisteminin etkili ve etkin çalışmasının sağlanması hedefine de yardımcı olur. Risk yönetimi, kurumsal hedeflere maliyet-etkin bir tarzda ulaşılmasını sağlayan bir yönetim sürecidir. Güvence, risk yönetimi faaliyetinin başarıları hakkında güvenilir bilgi sağlar. Güvence ve risk yönetimi, birbirlerini tamamlayan süreçlerdir. Bir kurumun iç denetim faaliyeti, sıklıkla, risk yönetimi fonksiyonuyla ve bölümüyle yakın işbirliği içerisinde çalışır. Bir kurumun risk yönetimi sürecini bağımsız bir gözle incelemek ve gözden geçirmek suretiyle, iç denetim birimi, kurum çapında risk yönetimini teşvik edebilir ve denetim süreci de risk yönetimi çerçeveleriyle uyumlu hale getirilebilir. İç denetim birimi, kurum çapında kullanılan tutarlı risk dilini benimseyebilir. İç denetim biriminin risk tespiti ve tanımlaması, risk değerlendirmesi, kontrol tanımlaması ve değerlendirmesi ve uygun risk uygulamalarını gözden geçirmesi, kurumun risk kataloğu ve risk yönetimi çerçevesini destekler ve geliştirir. İÇ DENETİMİN RİSK YÖNETİMİNİ KOLAYLAŞTIRDIĞI ALANLAR Bazı kurumların resmi bir risk yönetimi fonksiyonu veya birimi yoktur; bu durumda, kuruma ihtiyaç duyduğu risk yönetimi danışmanlık hizmetlerini iç denetim birimi verebilir. İç denetim birimi, risk yönetimi danışmanlığını, belirli koşulların gerçekleşmiş olması şartıyla yapabilir: İç denetim biriminden risk yönetimi programını kolaylaştırmasının istendiği kurumlarda bile, risk yönetiminden kurum yönetiminin sorumlu olduğu ve sorumluluğunun devam ettiği açıkça belirtilmelidir. İç denetim birimi, riskleri kurum yönetimi adına yönetmemeli ve kurumun risk iştahı hakkında ya da riskleri kontrol altında tutmak veya hafifletmek amacıyla tahsis edilen kaynakların seviyesi hakkında nihai kararlar almamalıdır. İç denetim biriminin risk yönetimi

17 17 süreçlerinin kurulması veya iyileştirilmesi konusunda yönetim ekibine yardımcı olduğu durumlarda, iç denetim biriminin çalışma planı, denetim komitesinin onayından geçirilmelidir. İç denetim biriminin ne gibi sorumlulukları bulunduğu iç denetim yönetmeliğine yazılmalı ve yönetim kurulunun onayından geçirilmelidir. Güvence faaliyetlerinin kapsamı dışındaki işler, bir danışmanlık görevi olarak kabul edilmeli ve genelde bu tip görevlere uygulanan uygulama standartları uygulanmalıdır. İç denetim birimi, risk yönetimi kararları almak yerine, kurum yönetiminin bu konuyla ilgili karar alma sürecine danışman sıfatıyla katılmalı, gerektiğinde sorgulamalı ve destek olmalıdır. İç denetim birimi, risk yönetimi çerçevesinin kendi sorumluluğunda bulunan herhangi bir kısmı hakkında objektif güvence veremez. Bu güvencenin uygun kalifikasyonlara sahip başka taraflarca sağlanması gerekir. IIA nın Kurum Çapında Risk Yönetiminde İç Denetimin Rolü başlıklı Pozisyon Raporu (Ocak 2009), iç denetim biriminin risk yönetimi konusunda üstlenmesinin uygun olduğu rol ve görevleri tanımlamaktadır. BİR RESMİ RİSK YÖNETİMİ FONKSİYONUNUN BULUNMAMASININ İÇ DENETİM ÜZERİNDEKİ ETKİSİ: Bir kurumun risk yönetimi fonksiyonu/bölümü yoksa, normalde, İç Denetim Yöneticisi nin (İDY) risk yönetimi ve güvence faaliyetlerini yönetim kuruluna bildirmek ve rapor etmek için ekstra çaba göstermesi gerekir. İç denetimin risk değerlendirmesinin kalitesi konusuna, yönetim kurulunun maruz kalabileceği tek risk olması sebebiyle özel bir önem verilmektedir. İç Denetim Yöneticisi, risk yönetimi fonksiyonunu, kuruma hedeflerine ulaşması konusunda yardımcı olan ve böyle bir sürecin kurulması hakkında tavsiyeler sunan önemli bir faaliyet olarak desteklemeli ve uygulamalıdır. İstenmesi halinde, İDY, kurum için bir risk yönetim sürecinin ilk kuruşu aşamasında kuruma yardımcı olmak için proaktif bir danışman rolü üstlenebilir. İç denetim fonksiyonu risk yönetim süreçlerinin kurulmasına yardımcı olabilir veya onu kolaylaştırabilir; ancak buna rağmen, süreçlerin kendisinden veya tanımlanan risklerin yönetilmesinden iç denetim birimi sorumlu tutulmamalıdır. Başlangıçta, iç denetim fonksiyonu, yönetimin risk değerlendirme süreçlerini kolaylaştırabilir; bununla birlikte, İDY nin organizasyonunda bu kolaylaştırma faaliyetleri ve süreçlerinin güvence faaliyetlerinden ayrılması iyi olur. İç denetim biriminin görevi normal güvence ve danışmanlık faaliyetlerini bağımsızlığını tehlikeye atabilecek düzeyde aştığı takdirde, İDY, ilgili Standartlarda öngörülen özel durum açıklaması gereklerine uymalıdır.

18 18 YAZARLAR: Andrew MacLeod, CIA, CMIIA Brian Foster, CIA Patricia Macdonald Andy Robertson Teis Stokka, CIA Benito Ybarra, CIA GÖZDEN GEÇİRENLER: Doug Anderson, CIA, CRMA Andy Dahle, CIA Steve Jameson, CISA, CCSA, CFSA, CRMA David Zechnich, CIA, CPA

19 19 Enstitü Hakkında 1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA), dünya genel merkezi Altamonte Springs, Fla., ABD de bulunan bir uluslararası meslek derneği ve kuruluşudur. IIA, iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi, benimsenmiş lideri, baş savunucusu ve baş öğretmenidir. Uygulama Rehberleri Hakkında Uygulama Rehberleri, iç denetim faaliyetlerinin yürütülmesi hakkında detaylı kılavuzluk sağlayan dokümanlardır. Uygulama Rehberlerinde hem araçlar ve teknikler, programlar ve adım-adım yaklaşımlar gibi detaylı süreç ve prosedürler, hem de teslim edilecek materyallerin örnekleri bulunur. Uygulama Rehberleri, IIA nın UMUÇ unun bir parçasıdır. Kuvvetle Tavsiye Edilen kategorisinde olmalarından dolayı, Uygulama Rehberlerine uymak zorunlu olmasa da şiddetle tavsiye edilmektedir ve IIA bu rehberleri resmi gözden geçirme ve onay süreçlerinden geçirerek onaylamış bulunmaktadır. IIA nın çıkarttığı diğer âmir kılavuz materyalleri ve dokümanları için, lütfen adresindeki websitemizi ziyaret ediniz. Sorumluluğun Reddi Beyanı IIA, bu dokümanı sadece bilgilendirme ve eğitim amacıyla yayımlamaktadır. Bu kılavuz dokümanı, belirli somut münferit durumlara ve sorunlara kesin cevaplar vermek gibi bir amaç taşımamaktadır ve bu nedenle sadece bir kılavuz olarak kullanılması amaçlanmaktadır. IIA, sizin bu somut durum ve olaylar hakkında daima ve doğrudan doğruya bağımsız uzman tavsiyeleri almanızı tavsiye eder. IIA, sadece bu kılavuza dayanarak karar alan kimseler nedeniyle herhangi bir sorumluluk kabul etmez. Telif hakkı: Telif hakkı 2012 Uluslararası İç Denetçiler Enstitüsü. Çoğaltma izni için lütfen adresinden IIA ile temas kurunuz. IIA The Institute of Internal Auditors Dünya Genel Merkezi 247 Maitland Ave. Altamonte Springs, FL ABD