3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun:

Transkript

1 Uygulama Önerisi : İç Denetim Yönetmeliği 1. Resmî, yazılı bir iç denetim yönetmeliğinin bulunması, iç denetim faaliyetinin (biriminin) yönetiminde kritik önemdedir. Yönetmelik, yönetimin gözden geçirme ve kabulü ile yönetim kurulunun -toplantı tutanaklarında yer aldığı üzere- onayı için kabul görmüş bir metin sunar. Ayrıca, iç denetim faaliyetinin amaç, yetki ve sorumluluklarının yeterliliğinin dönemsel olarak değerlendirilmesini kolaylaştırır, iç denetim faaliyetinin rolünü belirler. Herhangi bir sorunun ortaya çıkması hâlinde, yönetmelik, iç denetim faaliyeti hakkında üst yönetim ve yönetim kuruluna resmî ve yazılı bir anlaşma işlevini de sağlar. 2. İç Denetim Yöneticisi, yönetmelikte açıklanan ve tanımlanan amaç, yetki ve sorumlulukların iç denetim faaliyetinin hedeflerine ulaşması için yeterli olmaya devam edip etmediğini dönemsel olarak değerlendirmekten sorumludur. Ayrıca, bu dönemsel değerlendirmenin sonuçlarını üst yönetime ve yönetim kuruluna bildirmekten sorumludur. * * * Yayın: Ocak 2009 Uygulama Önerisi : Kurum İçi Bağımsızlık 1. Üst yönetim ve yönetim kurulunun desteği, iç denetim faaliyetine (birimine), denetlenenlerin işbirliğini sağlayabilmeleri ve denetçilerin işlerini her türlü müdahaleden uzak bir şekilde yapabilmeleri hususlarında yardımcı olur. 2. İç Denetim Yöneticisi, işlevsel (fonksiyonel) olarak yönetim kuruluna, idarî olarak kurumun genel müdürüne (CEO'ya) raporlama yaparak kurum içi bağımsızlığı kolaylaştırır. İç denetim yöneticisi, en azından, kurum içinde geniş bir denetim kapsamı ve alanı oluşturmak, görevle ilgili raporlamalara yeterli ilginin gösterilmesini sağlamak ve görev sonucunda verilen tavsiyelere göre uygun tedbirlerin alınmasını sağlamak konusunda yeterli yetkiye sahip bir kişiye raporlama yapmalıdır. 3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun: iç denetim faaliyetinin yönetmeliğini onaylama, iç denetimin risk değerlendirmelerini ve ilgili denetim planını onaylama, İç Denetim Yöneticisi ile yönetimin bulunmadığı özel toplantılar yapmak da dahil, iç denetim faaliyetlerinin sonuçları hakkında ya da İç Denetim Yöneticisinin gerekli gördüğü başka konularda İç Denetim Yöneticisinden raporlar alma, İç Denetim Yöneticisinin performans değerlemesi, tayini veya azliyle ilgili tüm kararları onaylama, İç denetim faaliyetinin sorumluluk ve görevlerini yerine getirmesine engel olan kapsam veya bütçe kısıtlamaları olup olmadığını tespit etmek amacıyla, İç Denetim Yöneticisi ve yönetim nezdinde uygun inceleme ve araştırmaları yapma yetkilerini içerir. 4. İdarî Hiyerarşi: İdarî hiyerarşi, kurumun yönetim yapısı içinde kurulan ve iç denetim biriminin günlük iş ve işlemlerini kolaylaştıran hiyerarşik ilişkidir. İdarî hiyerarşi normal olarak * İç Denetim Yöneticisinin yıllık ücretini ve ücret ayarlamalarını onaylama,

2 bütçeleme ve yönetim muhasebesi, personel değerlendirmeleri ve ücretleri de dahil insan kaynakları yönetimi iç haberleşme ve bilgi akışları, iç denetim faaliyetinin politikaları ve prosedürlerinin yönetimi konularını kapsar. Yayın: Ocak 2009 Uygulama Önerisi : Yönetim Kurulu ile Etkileşim 1. Bu doğrudan iletişim, İç Denetim Yöneticisinin yönetim kurulunun denetim, mali raporlama, kurumsal yönetişim ve kontrolle ilgili genel gözetim sorumluluklarına ilişkin toplantılarına düzenli olarak katıldığı zaman gerçekleşir. İç Denetim Yöneticisinin bu toplantılara katılması, stratejik planların, faaliyetlere ilişkin gelişmelerin değerlendirilmesini ve yüksek seviyedeki risklerin, sistemlerin, prosedürlerin veya kontrol gibi meselelerin erken aşamalarda ele alınmasını sağlar. Toplantılara katılım, ayrıca, iç denetim faaliyetinin (biriminin) planları ve çalışmaları hakkında bilgi alışverişinde bulunma ve tarafların karşılıklı menfaatini ilgilendiren diğer hususlarda birbirlerini bilgilendirme fırsatı sağlar. 2. Bu tarz iletişim ve etkileşim, ayrıca, İç Denetim Yöneticisinin yönetim kurulu ile özel olarak en az yılda bir kez toplandığında da gerçekleşir. Son Güncelleme: Ocak 2009 Uygulama Önerisi : Bireysel Objektiflik 1. Bireysel objektiflik, iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir şekilde inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri bir şekilde yapmalarını ve yürütmelerini gerektirir. İç denetçiler, objektif hüküm verme kabiliyetlerini olumsuz etkileyebilecek durumlara girmemeli ve itilmemelidir. 2. Bireysel objektiflik, İç Denetim Yöneticisinin, görevlendirmeleri potansiyel veya fiili menfaat çatışmalarını ve önyargıları önleyecek şekilde düzenlemesini, iç denetim personelinden, muhtemel çıkar çatışmaları ve önyargılar hakkında düzenli ve dönemsel olarak bilgi almasını ve -uygulanabilir olması hâlinde iç denetçiler arasındaki görev dağılımını dönemsel rotasyona bağlamasını içerir. 3. Görev raporları yayınlanmadan önce, sonuçların gözden geçirilmesi, denetim işinin objektif bir şekilde yapıldığından makul ölçüler içinde emin olmaya yardımcı olur. 4. İç denetçinin sistemler için kontrol standartları tavsiye etmesi ve uygulanmadan önce prosedürleri gözden geçirmesi, objektifliğini olumsuz etkilemez. Fakat denetçinin sistem tasarlaması, kurması, işletmesi ve bu sistemlerin prosedürlerini yazmasının objektifliğini bozacağı düşünülür. 5. İç denetçinin zaman zaman denetim dışı işler de yapması ve bunun, raporlama sürecinde tam ve eksiksiz açıklanması, denetçinin bağımsızlığını zayıflatmaz. Ancak iç denetçinin objektifliğini etkileyebilecek olumsuzlukları önlemek için, hem iç denetçinin hem de üst yönetimin dikkatli hareket etmesi gerekir.

3 Yayın: Ocak 2009 Uygulama Önerisi : Bağımsızlık veya Objektifliğin Bozulması 1. İç denetçilerin, bağımsızlık ve objektifliği fiilî veya potansiyel olarak bozucu bir etkenin varlığına dair makul gerekçelerin söz konusu olduğu veya bozucu olabilecek etkenlerin varlığına dair şüphelerinin olduğu durumları, İç Denetim Yöneticisine bildirmeleri gerekir. İç Denetim Yöneticisi, bozucu bir etkenin var olduğuna veya olabileceğine karar verirse, bu iç denetçilere başka görevler vermesi gerekir. 2. Kapsam sınırlandırması, iç denetim faaliyetine getirilen ve faaliyetin hedef ve planlarını gerçekleştirmesine engel olan bir kısıtlama anlamına gelir. Bir kapsam sınırlandırmasıyla birçok şey yanında, İç denetim yönetmeliğinde tanımlanan yetki alanları, Görevlerin ifası için gereken kaynaklara, personele, demirbaşlara ve ilgili mahallere erişim imkânı, Onaylanmış görev iş programı, Gereken görev prosedürlerinin uygulanması, Onaylanmış personel planı ve mali bütçe de kısıtlanabilir. 3. Bir kapsam sınırlandırmasının ve bu sınırlandırmanın muhtemel etkilerinin yönetim kuruluna, tercihen yazılı olarak bildirilmesi gerekir. İç Denetim Yöneticisinin, daha önce yönetim kuruluna bildirilmiş ve onun tarafından kabul edilmiş bulunan kapsam (yetki) sınırlandırmaları hakkında, bu birimlere tekrar bilgi vermenin gerekli olup olmadığını değerlendirmesi gerekir. Bu, özellikle kurumda, yönetim kurulu veya üst yönetimde değişiklik olduğunda veya başka değişiklikler olduğunda gerekli olabilir. 4. İç denetçinin, personel, denetlenen, müşteri, tedarikçi veya işle ilgili başka kişilerden objektifliğinin bozulması görüntüsü yaratabilecek şekilde ücret, hediye ve eğlence kabul etmemesi gerekir. Aksi halde denetçinin objektifliğinin bozulduğu izlenimi o denetçinin hem yapmakta olduğu hem de yapacağı görevlere gölge düşürebilir. Üstlenilen görevlerin özel şartları, ücret veya hediye almayı haklı çıkartan bir etken olarak görülmemelidir. Genel olarak herkese verilen ve çok küçük bir değere sahip olan (kalemler, ajandalar veya numuneler gibi) tanıtım malzemelerinin alınması da iç denetçinin meslekî karar ve yargılarına engel olmamalıdır. İç denetçiler, kendilerine teklif edilen bütün değeri yüksek para veya hediyeleri kendi âmirlerine derhal bildirmelidir. Yayın: Ocak 2009 Uygulama Önerisi 1130.A1-1: Denetçilerin Daha Önceden Sorumlu Oldukları Faaliyetlere İlişlkin Değerlendirmeleri 1. İç denetim faaliyetine katılan ya da geçici olarak iç denetimle görevlendirilenler, an az bir yıl geçmedikçe, daha önce kendilerinin yürüttüğü veya yönetim sorumluluğu aldıkları faaliyetleri denetlemekle görevlendirilmemelidir. Aksi halde bu kişilerin objektifliğinin bozulacağı varsayılır; bu sebeple o görevle ilgili denetimin gözetim ve kontrolünde ve görev sonuçlarının raporlanmasında ilave özen ve dikkat gösterilmelidir. * * *

4 Yayın: Ocak 2009 Uygulama Önerisi 1130.A2-1: Diğer (Denetim Dışı) İşler Karşısında İç Denetçinin Sorumluluğu 1. İç denetçilerin, dönemsel iç denetim incelemeleri ve değerlendirmelerine tâbi olan denetim dışı fonksiyon veya görevler için sorumluluk üstlenmeyi kabul etmemeleri gerekir. Bu tür bir sorumluluk üstlenmişlerse artık iç denetçi olarak görev yapmıyorlar demektir. 2. Bir iç denetim birimi, İç Denetim Yöneticisi veya iç denetçi, iç denetim biriminin denetleyebileceği bir operasyonel yükümlülükten sorumlu ise ya da kurum yönetimi ona böyle bir görev vermeyi düşünüyorsa, iç denetçinin bağımsızlık ve objektifliği bozulabilir. İç Denetim Yöneticisinin, bunun bağımsızlık ve objektiflik üzerindeki muhtemel etkilerini değerlendirirken, en azından, aşağıdaki etkenleri dikkate alması gerekir: HA Uluslararası İç Denetim Standartları (Standartlar) ve Etik Kurallarının gerekleri, Hissedarlar, yönetim kurulu, denetim komitesi, kurum yönetimi, idarî merciler, kamu kuruluşları, yasama organları ve toplumsal çıkar grupları gibi paydaşların beklentileri, İç denetim faaliyeti yönetmeliğinde verilen izinler ve/veya öngörülen kısıtlamalar, Standartların gerektirdiği açıklamalar, İç denetçinin üstlendiği görev veya faaliyetlerin daha sonraki denetim kapsamı. İlgili denetim dışı icraî görevin kurum açısından önemi (gelirler, giderler, itibar ve etki açılarından) Görevin uzunluğu veya süresi ve üstlenilen sorumluluğun kapsamı Görevler ayrılığının yeterliliği İç denetçinin objektifliğinin risk altında olabileceğine dair bir delil veya bir sicil kaydı olup olmadığı 3. İç denetim yönetmeliği, iç denetçiye denetim dışı görevlerin verilmesi konusunda belirli özel kısıtlamalar içeriyor veya sınırlandırıcı bir dil kullanıyorsa, bu kısıtlamaların açıklanması ve üst yönetimle tartışılması gerekir. Üst yönetim yine de bu görevlendirme üzerinde ısrar ediyorsa, konunun açıklanması ve Yönetim Kurulu ile tartışılması gerekir. Yönetmelik bu konuda herhangi bir hüküm içermiyorsa, aşağıdaki bentlerde verilen tavsiyelere uyulmalıdır. Aşağıdaki tavsiyeler, yönetmeliğin lâfzına bağlı olarak değerlendirilmelidir. 4. İç denetim faaliyeti (birimi) operasyonel (icraî) sorumluluklar üstlendiğinde ve bu operasyonlar denetim planına dahil edildiğinde, İç Denetim Yöneticisinin aşağıdakileri düşünmesi gerekir: İç Denetim Yöneticisine raporlayan alanların denetimlerinin tamamlanması için sözleşmeli olarak üçüncü şahıs firmalar veya dış denetçiler kullanılarak objektifliğin bozulması tehlikesini asgariye indirmek. İç Denetim Yöneticisine raporlayan alanlarla ilgili icraî sorumluluk üstlenen denetçilerin bu faaliyetlerin denetimlerine katılmamasını sağlamak. İç Denetim Yöneticisine raporlayan alanlarla ilgili güvence hizmeti veren denetçilerin gözetimini gerçekleştirmek ve değerlendirme sonuçlarını üst yönetim ve Yönetim Kuruluna raporlamak. Denetçinin denetim dışı faaliyetle ilgili icraî görev ve sorumluluklarını, söz konusu faaliyetin kurum açısından önemini (gelirler, giderler veya ilgili diğer bilgiler açısından) ve o faaliyeti denetleyenlerin ilişkisini açıklamak. 5. İç Denetim Yöneticisine raporlayan alanların denetim raporlarında ve denetçinin Yönetim Kuruluyla standart iletişiminde, iç denetçinin icraî görev ve sorumluluklarının açıklanması gerekir. Denetim sonuçları, üst yönetimle ve/veya ilgili uygun taraflarla tartışılabilir de. Bozucu etkenin

5 açıklanması, İç Denetim Yöneticisinin idari sorumluluk taşıdığı fonksiyonlara dair denetim çalışmasının iç denetim faaliyeti dışındaki bir tarafça gözden geçirilmesi ihtiyacını ortadan kaldırmaz. * * Yayın: Ocak 2009 Uygulama Önerisi Yeterlilik ve Azamî Meslekî Özen ve Dikkat 1. Yeterlilik ve azamî meslekî özen ve dikkat, İç Denetim Yöneticisinin ve her iç denetçinin kendi sorumluluğudur. Öyle ki, İç Denetim Yöneticisi, her görev için görevlendirilen kişilerin hepsinin görevi gerektiği gibi ve usulünce yapmak için gereken bilgi, beceri ve diğer vasıflara sahip olmasını sağlamalıdır. 2. Azamî meslekî özen ve dikkat, Etik Kurallarına ve gerektiğinde iç denetçilerin sahip oldukları diğer meslekî unvanların gerektirdiği davranış kuralları yanında kurumun davranış kurallarına da uymayı gerektirir. IIA'nın Etik Kuralları, iç denetimin tanımının ötesinde iki önemli unsur daha içermektedir: a. İç denetim mesleği ve uygulamasıyla ilgili ilkeler: Dürüstlük, objektiflik, gizlilik ve yetkinlik. b. İç denetçilerden beklenen davranış normlarını izah eden ve tanımlayan Davranış Kuralları. Bu kurallar, ilkelerin fiilî uygulamalara dönüştürülmesinde kullanılabilecek bir araçtır ve iç denetçilerin etik davranışlarını yönlendirme amacına yöneliktir. * * * Yayın: Ocak 2009 Uygulama Önerisi : Yeterlilik 1. Yukarıdaki standartta atfedilen bilgi, beceri ve diğer vasıflar aşağıdaki hususları içerir: Görevlerin ifası için, iç denetim standartları, prosedürleri ve tekniklerinin uygulanmasında meslekî yeterlilik. Yeterlilik, geniş ve kapsamlı teknik araştırma ve yardımlardan istifade imkânı olmasa da, mevcut bilgiyi karşılaşılması muhtemel durumlara uygulama ve bu tür durumlarla başa çıkabilme yeteneği anlamına gelir. Görevi kapsamında mali kayıt ve raporlarla çok çalışan iç denetçilerin muhasebe ilkeleri ve teknikleri hakkındaki yeterliliği. Suistimal belirtilerini teşhis etme bilgisi Teknolojik risk ve kontrollere dair anahtar bilgiler ve mevcut teknoloji tabanlı denetim teknikleri bilgisi Örnek iş uygulamalarından sapmaların önemini ve etkilerini anlamak ve değerlendirmek için, yönetim ilkelerinin anlaşılması. Yönetim ilkelerini anlamak, sahip olduğu geniş bilgiyi karşılaşılması muhtemel durumlara uygulama, bunlardan önemli sapmaları fark etme ve makul çözümlere ulaşmak için gereken araştırmaları yapabilme yeteneği anlamına gelir. Muhasebe, ekonomi, ticaret hukuku, vergilendirme, finans, kantitatif yöntemler, bilgi teknolojisi, risk yönetimi ve suistimal gibi bilim dalları ve iş konularının temellerinin bilinmesi ve idrak edilmesi. "İdrak", mevcut veya muhtemel sorunları fark etme ve bu konuda yapılması gereken ek araştırmaları veya yardım alınması gereken konuları tespit etme yeteneği anlamına gelir. İnsanlarla çalışma ve iletişim kurma, insan ilişkilerini anlama ve denetlenenlerle tatmin edici ilişkiler kurabilme becerileri. Görevin hedefleri, değerlendirmeler, sonuçlar ve tavsiyeler gibi konuları açıkça, etkili bir şekilde açıklayabilmek için gereken sözlü ve yazılı iletişim becerileri

6 2. İlgili işin kapsamını ve sorumlulukların düzeyini dikkate alarak, iç denetim kadrolarına atama yapılmasında aranacak olan uygun eğitim ve tecrübe kıstasları, İç Denetim Yöneticisi tarafından tespit edilir. İç Denetim Yöneticisi, her müstakbel denetçinin meslekî vasıflarının ve yeterliliğine dair makul bir güvence sağlar. 3. İç denetim faaliyeti (birimi), kurum içinde denetim görevinin yapılması için gerekli olan bilgi, beceri ve diğer vasıflara birim olarak sahip olmalıdır. İç denetim biriminin bilgi, beceri ve diğer vasıflarının yıllık bir değerlendirmesi, sürekli meslekî gelişim, işe alma veya aynı zamanda hizmeti kurum dışından alma yoluyla ele alınabilecek fırsat alanlarının belirlenmesine yardımcı olur. 4. 'Sürekli meslekî gelişim', iç denetim personelinin yeterliliğinin sürdürülmesi için gereklidir. 5. İç Denetim Yöneticisi, iç denetim biriminin tam bir yeterliliğe sahip olmadığı faaliyet sahalarını desteklemek ve tamamlamak için, iç denetim birimi dışından uzmanların yardımını sağlayabilir. * * Yayın: Ocak 2009 Uygulama Önerisi 1210.A1-1: İç Denetim Faaliyetini Tamamlamak veya Desteklemek Amacıyla Hizmetlerin Dışarıdan Temini 1. İç denetim elemanlarının her birinin ilgili bütün bilim dallarında uzman olması gerekmez. İç denetim faaliyetinin, muhasebe, denetim, iktisat, finans, istatistik, bilgi teknolojileri, mühendislik, vergi, hukuk ve çevre sorunları gibi bilim dallarında ve iç denetim faaliyetinin sorumluluklarını yerine getirebilmesi için gerek duyulan diğer alanlarda uzman personeli bulunmalı ya da bu konularda uzman olan dış hizmet sağlayıcılarından istifade etmelidir. 2. Dış hizmet sağlayıcısı (taşeron) terimi, belirli bir bilim dalında veya alanda özel bilgi, beceri ve deneyim sahibi olan ve kurumdan bağımsız olan bir kişi veya firma anlamına gelir. Dış hizmet sağlayıcıları arasında, bunlarla sınırlı kalmamak kaydıyla, sigorta aktüerleri, muhasebeciler, kıymet takdir uzmanları (muhamminler), kültür ve dil uzmanları, çevre uzmanları, suistimal tahkikatı uzmanları, avukatlar, mühendisler, jeologlar, güvenlik uzmanları, istatistikçiler, bilgi teknoloji uzmanları, kurumun kendi dış denetçileri veya başka denetim kurumları ve firmaları sayılabilir. Bir dış hizmet sağlayıcısı, yönetim kurulu, üst yönetim veya İç Denetim Yöneticisi tarafından tutulabilir ve görevlendirilebilir. 3. İç Denetim faaliyeti, dış hizmet sağlayıcılarını diğer amaç ve konuların yanı sıra aşağıda sayılan amaçlar için de kullanabilir: Görev iş çizelgesinde öngörülen amaçlara ulaşılması. Bilgi teknolojisi, istatistik, vergiler ve dil çeviri hizmetleri gibi uzmanlık bilgi ve becerilerine ihtiyaç olan denetim faaliyetleri, Arazi ve binalar, sanat eserleri, değerli taşlar, mücevherler, yatırımlar ve karmaşık mali araçlar gibi varlıkların kıymet takdiri işleri, Maden ve petrol kaynakları gibi belirli varlıkların miktarının veya fiziksel durumunun tespit edilmesi, Devam eden sözleşme ve projelerde tamamlanan ve tamamlanacak işlerin ölçülmesi, Suistimal ve güvenlik soruşturmaları Personel ücret ve haklarıyla ilgili aktüeryal tespitler gibi, uzmanlık yöntemleri gerektiren tespit ve hesaplamalar, Hukukî, teknik ve idarî gereklerin ve hükümlerin yorumlanması,

7 Uluslararası İç Denetim Standartları (Standartlar) ile uyumlu olacak şekilde iç denetim faaliyetinin (biriminin) kalite güvence ve geliştirme programının değerlendirilmesi, Birleşme ve devralmalar, Risk yönetimi ve diğer konularla ilgili danışmanlık. 4. İç Denetim Yöneticisi, bir dış hizmet sağlayıcısının hizmetlerinden istifade etmek istediği takdirde, ilgili dış hizmet sağlayıcısının yapılacak olan görevle ilgili bağımsızlığını, objektifliğini ve bu konuda gereken vasıflara sahip olup olmadığını değerlendirmelidir. Dış hizmet sağlayıcısının üst yönetim veya yönetim kurulu tarafından seçildiği ve İç Denetim Yöneticisinin o dış hizmet sağlayıcısının hizmetlerinden yararlanmak istediği durumlarda da bu değerlendirme yapılmalıdır. Bu seçim başkaları tarafından yapıldığı ve İç Denetim Yöneticisi, kendi yaptığı değerlendirme sonucunda, o dış hizmet sağlayıcısının hizmetlerinden istifade etmesine gerek olmadığı sonucuna vardığı takdirde, yapılan bu değerlendirmenin sonuçları duruma göre üst yönetime ya da yönetim kuruluna rapor edilmelidir. 5. İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevi yapmak ve yürütmek için gereken bilgi, beceri ve diğer vasıflara sahip olup olmadığını tespit eder. Bu vasıfların değerlendirilmesi ve tespitinde, İç Denetim Yöneticisi aşağıdakileri dikkate almalıdır. Dış hizmet sağlayıcısının ilgili bilim dalında yeterliliğini ve uzmanlığını kanıtlayan meslekî ruhsat, sertifika veya diğer belgeler, Dış hizmet sağlayıcısının uygun bir meslek kuruluşuna üye olup olmadığı ve o kuruluşun etik kurallarına uyup uymadığı, Dış hizmet sağlayıcısının itibarı. Bu amaçla, dış hizmet sağlayıcısının iş ve hizmetlerini tanıyan başka kişi ve kurumlarla temas kurulabilir, Dış hizmet sağlayıcısına yaptırılmak istenilen iş ile ilgili deneyimi Dış hizmet sağlayıcısının o belirli görevle ilgili olan bilim dallarında aldığı eğitim ve öğretimin niteliği ve düzeyi, Dış hizmet sağlayıcısının, ilgili kurumun faaliyet gösterdiği sektördeki bilgi ve deneyimi. 6. İç Denetim Yöneticisinin, görev sırasında bağımsızlık ve objektifliğin korunmasını sağlamak amacıyla, dış hizmet sağlayıcısının kurumla ve iç denetim birimiyle ilişkilerini de değerlendirmesi gerekir. Bu değerlendirme kapsamında, İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevini ifa ederken veya sonuçları rapor ederken tarafsız ve önyargısız hüküm ve karar vermesine engel olabilecek herhangi bir mali, örgütsel veya kişisel ilişkisinin bulunmadığını doğrular. 7. Dış hizmet sağlayıcısının bağımsızlık ve objektifliğini değerlendirirken, İç Denetim Yöneticisi şu etkenleri dikkate alır: Dış hizmet sağlayıcısının kurumda herhangi bir mali çıkar veya pay sahibi olup olmadığı, Dış hizmet sağlayıcısının kurum içinde yönetim kurulu, üst yönetim veya başka kişilerle kişisel veya meslekî ilişkisi, Dış hizmet sağlayıcısının denetime konu olan kurumla veya faaliyetlerle geçmiş ilişkileri, Dış hizmet sağlayıcısının kurum için yürütmekte olduğu diğer devam eden hizmetlerin niteliği ve kapsamı, Dış hizmet sağlayıcısının ücreti veya başka gelir ve çıkarları. 8. Dış hizmet sağlayıcısı aynı zamanda kurumun dış denetçisi ise ve ilgili görev genişletilmiş denetim hizmetlerinden oluşuyorsa, İç Denetim Yöneticisinin, yapılan işlerin dış denetçinin bağımsızlığını zayıflatmadığından emin olması gerekir. Genişletilmiş denetim hizmetleri terimi, dış denetçiler arasında genel kabul gören denetim standardı gereklerinin ötesindeki hizmetler anlamına gelir. Kurumun dış denetçileri aynı zamanda kurumun üst yöneticileri, yöneticileri veya çalışanları olarak görev yapıyorsa veya böyle görünüyorsa, onların bağımsızlığı bozulmuş sayılır. Buna ek olarak, dış

8 denetçiler kuruma vergi ve benzeri konularda danışmanlık gibi başka hizmetler de verebilir. Ancak, bağımsızlığın, kuruma verilen hizmetlerin tamamı dikkate alınarak değerlendirilmesi gerekir. 9. İç denetim faaliyetinin amaçları karşısında, denetim işinin kapsamının yeterliliğini belirlemek için İç Denetim Yöneticisi, dış hizmet sağlayıcısının işlerinin kapsamı hakkında yeterli bilgi edinmelidir. Bu konuların ve ilgili diğer konuların bir denetim bildirim yazısı (engagement letter) veya sözleşmeyle kayda geçirilmesi uygun olabilir. İç Denetim Yöneticisi, aşağıda sayılan konuları dış hizmet sağlayıcısı ile birlikte gözden geçirmelidir: İlgili kayıtlara, personele, demirbaşlara ve ilgili mahallere erişim, Uygulanacak prosedürler ve kullanılacak varsayımlar, Varsa, görevle ilgili çalışma kâğıtlarının mülkiyeti ve zilyetliği, Görevin ifası sırasında edinilen bilgilerin gizliliği ve bu konudaki kısıtlamalar, Mümkünse, uluslararası iç denetim standartlarına ve iç denetim faaliyetinin çalışma standartlarına uyum. 10. Bir dış hizmet sağlayıcısının yaptığı işi incelerken, İç Denetim Yöneticisi, yapılan işin yeterliliğini değerlendirmelidir. Bu değerlendirme, toplanan ve edinilen bilgilerin varılan sonuçlar için ve önemli istisnaların çözümlenmesi ya da başka olağandışı konular için makul bir temel yaratmak açısından yeterli olup olmadığı değerlendirmesini de kapsar. 11. Görevle ilgili raporların İç Denetim Yöneticisi tarafından düzenlendiği ve bir dış hizmet sağlayıcısından faydalanıldığı durumlarda, İç Denetim Yöneticisi, gerektiğinde, bu hizmetlere atıfta bulunabilir. Görevle ilgili raporlarda dış hizmet sağlayıcısının hizmetlerine atıfta bulunulmadan önce, bunun dış hizmet sağlayıcısına bildirilmesi ve gerekirse, onun onayının alınması gerekir. 2 * Yayın: Ocak 2009 Uygulama Önerisi : Azamî Meslekî Özen ve Dikkat 1. Azamî mesleki özen ve dikkat, aynı veya benzer durum ve koşullarda, makul sınırlar içinde tedbirli ve ehil bir iç denetçiden beklenen beceri, özen ve dikkatin gösterilmesi anlamına gelir. Bu nedenle, meslekî özen ve dikkat seviyesi, üstlenilen iş ve görevin karmaşıklık düzeyine uygun olur. Meslekî özen ve dikkat sergilemek, iç denetçilerin, suistimal, kasdî suç, hatâ, ihmal, verimsizlik, yanlış kullanım, etkisizlik, yararsızlık ve çıkar çatışmaları olasılığı karşısında olduğu gibi usulsüzlük olasılığının en yüksek olduğu koşul ve faaliyetler konusunda da uyanık ve tetikte olmalarını gerektirir. Bu ayrıca, iç denetçilerin, yetersiz kontrolleri tespit etmesini ve kontrol konusunda kabul edilebilir prosedür ve uygulamalara uymak için geliştirilmesi gereken konularda tavsiyelerde bulunmalarını gerektirir. 2. Azamî özen ve dikkat standardı, hiç hatâ yapmamayı ya da olağanüstü performans göstermeyi değil, sadece makul dikkat ve beceriyi gerektirir. Azamî özen ve dikkat standardı, iç denetçinin inceleme, kontrol ve denetimleri makul sınırlar içinde yapmasını gerektirir. Bundan dolayı, iç denetçiler, hiçbir aykırılığın veya usulsüzlüğün olmayacağı konusunda mutlak bir garanti veremez. Bununla birlikte, iç denetçi, bir iç denetim görevini üstlendiğinde, önemli usulsüzlük veya aykırılık olasılıklarını dikkate almalıdır. * * * 2 Çıktılar ve sürelerle birlikte işin hedefleri ve kapsamı, Görev raporları ve bildirimlerine dahil edilmesi beklenen özel konular,

9 Yayın: Ocak 2009 Uygulama Önerisi : Sürekli Meslekî Gelişim 1. İç denetçiler, meslekî yeterliliklerini sürdürmek ve arttırmak amacıyla eğitimlerini devam ettirmekten sorumludur. İç denetçilerin, iç denetim standartları, prosedürleri ve tekniklerindeki gelişmeleri ve IIA'in Uluslararası Meslekî Uygulama Çerçevesini (UMUÇ) güncel olarak takip etmeleri gerekir. Bu sürekli meslekî eğitim (CPE); IIA gibi meslek örgütlerine üyelikle, katılımla ve faaliyetlerinde gönüllü olarak çalışarak, konferanslara, seminerlere, üniversite kurslarına, şirket içi eğitim programlarına katılarak, üniversite eğitimini tamamlayarak ve kendi kendine eğitim programlarına girerek ve araştırma projelerine katılarak alınabilir. 2. İç denetçilerin, meslekî yeterliliklerini, Uluslararası İç Denetçi (CIA) unvanı ve Uluslararası İç Denetçiler Enstitüsü'nün (IIA) verdiği başka unvanlar yanında, iç denetimle ilgili başka meslekî unvan sertifikalarını alarak göstermeleri beklenir ve teşvik edilir. 3. İç denetçiler, kendi kurumlarının yönetişim, risk ve kontrol süreçleriyle ilgili yeterliliklerini sürdürebilmek amacıyla, kendi kurumlarının faaliyetleri ve sektörüyle ilgili olarak sürekli meslekî eğitim (CPE) çabası içinde olmaları için teşvik edilir. 4. Bilgi teknolojileri, vergi, aktüeryal hesaplama veya sistem tasarımı gibi uzmanlık gerektiren denetim ve danışmanlık işi yapan iç denetçiler, işlerini yetkinlikle icra etmelerini mümkün kılacak şekilde sürekli meslekî gelişim çerçevesinde uzmanlık eğitimi alabilirler. 5. Meslekî unvan sertifikası bulunan iç denetçiler, bu sertifikanın gereklerini yerine getirebilmek için yeterli miktarda sürekli meslekî eğitim (CPE) etkinliğine katılmakla yükümlüdür. 6. Hâlen uygun meslekî unvan sertifikası bulunmayan iç denetçiler, unvan sertifikasını almak için bir eğitim programına katılmaya ve/veya bu amaçla ferdî olarak çalışmaya teşvik edilirler. * * * Yayın: Ocak 2009 Uygulama Önerisi : Kalite Güvence ve Geliştirme Programı 1. İç Denetim Yöneticisi, çalışma kapsamı Standartlardaki ve iç denetimin tanımındaki tüm faaliyetleri içine alan bir iç denetim faaliyeti (birimi) kurmaktan sorumludur. Bunun sağlanması için, 'Standart 1300' İç Denetim Yöneticisinin bir kalite güvence ve geliştirme programı (KGGP) hazırlamasını gerekli kılar. 2. İç Denetim yöneticisi, iç denetim faaliyetinden yararlanan çeşitli hak sahiplerine, iç denetim faaliyetinin, İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla uyumlu olması gereken iç denetim yönetmeliğine uygun çalıştığı, Etkili ve verimli bir şekilde faaliyet gösterdiği, Paydaşlar ve diğer hak sahiplerinin gözünde katma değer yaratıcı ve kurumun faaliyetlerini iyileştirici olarak görüldüğü konusunda makul bir güvence sağlamak için tasarlanan süreçlerin uygulanmasından sorumludur.

10 Bu süreçler, gerekli gözetim, dönemsel iç değerlendirmeler, kalite güvencesinin sürekli gözlenmesi ve dönemsel dış değerlendirmeleri içine alır. 3. KGGP, İç Denetimin Tanımında, Standartlarda ve Etik Kuralları ve mesleğin en iyi uygulamalarındaki gibi, iç denetim faaliyetinin (biriminin) yönetim ve faaliyetlerinin tüm cephelerini kapsamalıdır. KGGP, İç Denetim Yöneticisi tarafından veya doğrudan onun gözetimi altında hayata geçirilir. Küçük iç denetim faaliyetleri (birimleri) hariç tutulursa, İç Denetim Yöneticisi, genellikle KGGP sorumluluklarının çoğunu astlarına dağıtır. Büyük ve karmaşık ortamlarda (çok sayıda iş biriminin veya mekânının olması gibi), İç Denetim Yöneticisi denetimden bağımsız ve iç denetim faaliyetinin çeşitli katmanlarıyla danışma hâlinde olan resmî bir KGGP hazırlar. Bu bağımsız fonksiyon, bir iç denetim yöneticisi tarafından yönetilmelidir. Bu yönetici (ve sınırlı sayıda personel) başarılı bir KGGP'nin gerektirdiği faaliyetleri idare eder ve izler. Uygulama Önerisi : Kalite Güvence ve Geliştirme Programının Gereklilikleri 1. Bir Kalite Güvence ve Geliştirme Programı (KGGP), iç denetim faaliyeti tarafından gerçekleştirilen tüm danışmanlık ve denetim faaliyetlerinin dönemsel olarak ve devamlı suretle değerlendirilmesi demektir. Bu devamlı ve dönemsel değerlendirmeler, (her ikisi de mutat olan) zor ve kapsamlı süreçlerden; danışmanlık ve iç denetim işlerinin performansının devamlı izlenip test edilmesinden ve İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun dönemsel olarak onaylanmasından meydana gelir. Bu, ayrıca, devamlı ölçümler ve performans ölçümlerinin (yani, denetim planının başarıyla tamamlanması, çevrim süresi, kabul edilen tavsiyeler ve müşteri memnuniyeti gibi) analizlerini içine alır. Bu değerlendirmelerin sonuçları, iç denetim faaliyetinin iyileştirebileceği alanlara işaret ediyorsa, iyileştirmeler, İç Denetim Yöneticisi tarafından, KGGP kullanılarak uygulanmalıdır. 2. Değerlendirmelerle, iç denetim faaliyetinin kalitesine dair bir değerlendirme yapılır, bir hükme varılır ve daha iyiye gitmesi için tavsiyeler geliştirilmesi mümkün kılınır. KGGP'ler aşağıdaki hususların da değerlendirilmesini içine alır: Bunlara yönelik önemli aykırılık durumlarının giderilmesi amacıyla, zamanında alınacak düzeltici tedbirlere uyum da dahil olmak üzere, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyum. İç denetim faaliyetinin (biriminin) yönetmeliğinin, amaçlarının, hedeflerinin, politikalarının ve prosedürlerinin yeterliliği. Kurumun yönetişim (kurumsal yönetim), risk yönetimi ve kontrol süreçlerine yapılan katkı. Yürürlükteki kanunlara, yönetmeliklere, kamusal veya sektörel standartlara uyum. Devamlı geliştirme faaliyetlerinin etkililiği ve 'en iyi uygulamaların' benimsenmesi. İç denetim faaliyetinin (biriminin) kurumun faaliyetlerine ne ölçüde değer katıp bunları geliştirdiği. 3. Bütün KGGP çabaları, kaynaklarda, teknolojide, süreçlerde ve prosedürlerde gereken değişikliklerin zamanında ve uygun bir şekilde yapılmasını içeren tavsiyelere yönelik takip çalışmasını da içine alır. 4. Hesap verebilirlik ve şeffaflığın sağlanması amacıyla, İç Denetim Yöneticisi, kalite programıyla ilgili dış ve gerekirse iç değerlendirme sonuçlarını (üst yönetim, yönetim kurulu ve dış denetçiler gibi) taraflarla paylaşır. En az yılda bir kez olmak üzere, İç Denetim Yöneticisi, üst yönetime ve yönetim kuruluna, kalite programı çalışmalarını ve sonuçlarını rapor etmelidir. * *

11 Yayın: Ocak 2009 Uygulama Önerisi : İç Değerlendirmeler 1. Daimî iç değerlendirme çalışmalarında kullanılan süreçler ve araçlar, şunları içine alır: Görevin gözetimi, Kontrol listeleri ve prosedürler (mesela, bir denetim ve prosedür kılavuzundaki) takip edilir, Denetlenenlerden ve diğer menfaat sahiplerinden alınan geri bildirimler, İlgili denetimlerde yer almayan denetim personeli tarafından çalışma kâğıtlarının gözden geçirilmesi, Proje bütçeleri, zaman tutma sistemleri, denetim planı tamamlama kıstasları, maliyeti karşılama kıstasları ve/veya, (Çevrim süresi ve kabul edilen tavsiyeler gibi) diğer performans ölçümlerinin analizi. 2. Performans kalitesinin devamlı gözden geçirilmesinin sonuçları tespit edilir ve gerekli iyileştirmelerin uygulanmasını temin etmek için bir takip çalışması yürütülür. 3. IIA'nın Kalite Değerlendirme Kılavuzu veya bunun muadili kılavuz ve araçlar, dönemsel iç değerlendirmeler için temel teşkil etmelidir. 4. Dönemsel iç değerlendirmeler: Denetim sürecinde yer alan gruplara yönelik daha ayrıntılı ve derin araştırma ve görüşmeleri içerebilir. İç denetim faaliyetinin (biriminin) üyeleri tarafından yapılabilir (öz değerlendirme), Hâlen kurum içinde başka konu ve alanlarda görevli olan Uluslararası İç Denetçiler (CIA) veya diğer ehil denetçiler tarafından yapılabilir, Daha sonra kurumun diğer birimlerindeki CIA'lar veya ehil diğer denetçilerin gözden geçirdiği çalışmalarla, öz değerlendirme çalışmalarını bir araya getirebilir, İç denetim faaliyetinin uygulamalarının ve performans ölçümlerinin iç denetim mesleğiyle ilgili en iyi uygulamalarla karşılaştırılıp değerlendirilmesine dayanan kıyaslama (benchmarking) çalışmasını içerebilir. 5. Dış değerlendirmenin hemen öncesinde yapılacak dönemsel bir iç değerlendirme, dış değerlendirmeyi hem kolaylaştırmaya hem de maliyetini azaltmaya yardım edebilir. Eğer dönemsel iç değerlendirme, ehil ve bağımsız dışarıdan biri veya bir gözden geçirme ekibi tarafından yapılırsa, değerlendirme sonuçları, dış kalite değerlendirmesinin sonuçlarıyla ilgili bir güvence vermemelidir. Raporda, iç denetim faaliyetinin (biriminin) uygulamalarının geliştirilmesi için tavsiye ve öneriler bulunabilir. Eğer dış değerlendirme, "bağımsız onaylı özdeğerlendirme" şeklini alırsa, dönemsel iç değerlendirme, bu sürecin "özdeğerlendirme" kısmı işlevini görebilir. 6. Performans kalitesi hakkında sonuçlar derlenir, tespit edilir ve gerekirse, Standartlara uygunluğu sağlamak ve geliştirme çalışmaları yapmak amacıyla uygun tedbirler alınır. 7. İç Denetim Yöneticisi, iç değerlendirmelerin sonuçlarının rapor edilmesi amacıyla, gerekli güvenilirlik ve nesnelliği sağlayan bir yapı oluşturur. Genel olarak, devamlı ve dönemsel gözden geçirmeleri yapma sorumluluğunu üstlenen kişiler, gözden geçirme çalışmalarında, İç Denetim Yöneticisine raporlama yapar ve elde ettikleri sonuçları doğrudan doğruya İç Denetim Yöneticisine bildirir.

12 8. İç Denetim Yöneticisi, yılda en az bir kere, iç değerlendirme çalışmalarının sonuçlarını, gerekli eylem planlarını ve bunların başarılı uygulamalarını yönetim kuruluna ve üst yönetime raporlar. * 3 * Yayın: Ocak 2009 Uygulama Önerisi Dış Değerlendirmeler 1. Dış değerlendirmeler, iç denetim faaliyeti tarafından yürütülen denetim ve danışmanlık görevini kapsar ve sadece iç denetim biriminin KGGP'sini (Kalite Güvence ve Geliştirme Programı) değerlendirmekle sınırlı olmamalıdır. Dış değerlendirmeden optimum faydayı sağlamak için, işin kapsamında, iç denetim faaliyetinin daha verimli ve/veya etkili olmasını sağlayabilecek başlıca uygulamaların kıyaslaması (benchmarking), teşhisi ve raporlanması da bulunmalıdır. Bu, ya ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibi tarafından tam bir 'dış' gözden geçirme ile ya da ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibinin bağımsız onayından geçmiş kapsamlı bir 'iç' özdeğerlendirme ile başarılabilir. Ancak, İç Denetim Yöneticisi, kapsamın, her durumda dış değerlendirmeden beklenen sonuçları ortaya koymasını sağlamalıdır. 2. Bir iç denetim faaliyetine (birimine) yönelik 'dış' değerlendirmelerde, iç denetim faaliyeti tarafından gerçekleştirilen (veya iç denetim yönetmeliğine göre gerçekleştirilmiş olması gereken) tüm danışmanlık ve denetim işlerine yönelik bir görüş yer alır. Bu görüşte, iç denetim biriminin İç Denetim Tanımına, Etik Kurallarına, Standartlara uygunluğuna dair bir değerlendirme ve gerekirse, iyileştirme tavsiyeleri de yer alır. Uluslararası Meslekî Uygulama Çerçevesi'nin bu üç unsuruna uyumdan ayrı olarak, değerlendirmenin 'kapsamı', İç Denetim Yöneticisi, Üst Yönetim veya Yönetim Kurulunun isteğine göre ayarlanır. Bu değerlendirmeler, İç Denetim Yöneticisi ve iç denetim biriminin diğer üyeleri için, özellikle kıyaslama ve en iyi uygulamalar paylaşıldığında, çok faydalı olabilir. 3. Gözden geçirme tamamlandıktan sonra üst yönetime ve yönetim kuruluna resmî bir raporlama yapılmalıdır. 4. Dış değerlendirmelerle ilgili iki yaklaşım vardır. Birinci yaklaşımda, bir 'dış değerlendirme', ehil, bağımsız bir gözden geçirme uzmanı veya ekibi tarafından yapılmalıdır. Bu yaklaşım, tecrübeli ve profesyonel bir proje müdürünün önderliğinde, ehil profesyonellerden oluşan bir dış ekibi içerir. İkinci yaklaşımda, iç denetim birimi tarafından yapılan iç özdeğerlendirmenin ve hazırlanan raporun bağımsız onaylanmasını (validation) gerçekleştirmek üzere, gerekli özelliklere sahip, bağımsız bir gözden geçirme uzmanı veya ekibinin kullanılması söz konusudur. Bağımsız dış gözden geçirmeyi yapacak olanlar, iç denetim uygulamalarında çok tecrübeli olmalıdır. 5. Dış değerlendirmeyi yapan kişilerin, iç denetim faaliyeti (birimi) dış değerlendirmeye tâbi olan kuruma veya kurumun personeline karşı, herhangi bir yükümlülüğü -veya onlardan herhangi bir çıkarı- olmamalıdır. Ehil ve bağımsız dış değerlendirme uzmanını veya dış değerlendirme ekibini seçerken, İç Denetim Yöneticisi tarafından -yönetim kuruluna da danışılarak- bunların bağımsızlığına dair dikkate alınması gereken özel hususlar şunları içerir: 3 Standartlar hakkında güncel ve derin bilgi sahibi olması, ehil ve yetkili (sertifikalı) bir denetçi olması, Mesleğin en iyi uygulamaları konusunda bilgili ve deneyimli olması,

13 Aşağıdakileri sağlayacak şirketlerin gerçek veya görünüşteki çıkar çatışmaları: - Mâli tabloların denetimi - Yönetişim, risk yönetimi, malî raporlama, iç kontrol ve diğer ilgili alanlardaki önemli danışmanlık hizmetleri. - İç denetim faaliyetine (birimine) yardım. Profesyonel hizmet sağlayıcısı tarafından yürütülen işin önem ve büyüklüğü görüşmelerde dikkate alınmalıdır. Değerlendirmeyi yapacak olanların şirket eski çalışanları olması hâlinde bunların gerçekte ve görünürdeki çıkar çatışmaları. Kişinin kurumdan ayrılmasının üzerinden ne kadar geçmiş olduğu dikkate alınmalıdır. Değerlendirmeyi yapacak olan kişiler, iç denetim faaliyeti değerlendirmeye alınan kurumdan bağımsızdır ve ne gerçekte ne de görünürde bir çıkar çatışmaları yoktur. "Kurumdan bağımsız olmak", iç denetim faaliyetinin bağlı olduğu kurumun bir parçası olmamak veya onun kontrolü altın olmamak anlamına gelir. Ehil ve bağımsız bir dış gözden geçirme uzmanı veya ekibinin seçiminde, onun iç kalite değerlendirmesine katılımını da içerecek şekilde, uzmanın kurumla veya onun iç denetim faaliyetiyle olan mevcut veya geçmiş ilişkilerinden dolayı gerçekte veya görünüşte herhangi bir çıkar çatışması bulunup bulunmadığına özellikle dikkat edilmelidir. İç denetim biriminden örgütsel olarak bağımsız olsa bile, o kurumun başka bir bölümünde veya ilişkili bir kurumunda çalışan kişiler, bir dış değerlendirme çalışması açısından, bağımsız sayılmazlar. "İlişkili bir kurum", ana kurum, aynı şirketler grubuna bağlı bir ortaklık veya dış değerlendirmeye konu olan iç denetim faaliyetinin bağlı olduğu kuruma karşı gözetim, izleme veya kalite güvence sorumlulukları olan bir kurum olabilir. Karşılıklı gözden geçirme çalışmalarının da olduğu gerçek veya görünürdeki çatışmalar. Üç veya daha fazla kurum (aynı sektörde veya diğer yakın bir grupta, bölgesel derneklerde veya diğer kurum gruplarında - önceki paragrafta yer alan "ilişkili kurum" tanımı haricinde) arasındaki karşılıklı denk gözden geçirme çalışmaları, bağımsızlık endişelerini azaltacak bir tarzda yapılandırılabilir, ama bağımsızlık hususunda endişe yaratmamaya azami özen gösterilir. İki kurum arasında karşılıklı denk gözden geçirme çalışması, bağımsızlık testinin atlanmasına yol açmamalıdır. Bu bölümde belirtilen örneklerde olduğu gibi bağımsızlığa görünürde veya gerçekte zarar verme endişelerini gidermek amacıyla, bir veya daha fazla bağımsız kişi, bu ekibin çalışmalarını bağımsız bir şekilde onaylamak üzere, dış değerlendirme ekibine katılabilir. 6. Dürüstlük, gözden geçirme uzman(lar)ının gizlilik sınırları içinde güvenilir ve tarafsız olmasını gerektirir. Kişisel kazanç ve çıkarlar için, hizmet ve kamu güveni ve inancı feda edilmemelidir. Objektiflik, gözden geçirme uzman(lar)ının hizmetlerine değer katan bir nitelik ve zihnî bir durumdur. Objektiflik ilkesi, tarafsızlık, fikir haysiyeti ve her türlü çıkar çatışmasından uzak olma yükümlülükleri getirir. 7. Bir dış değerlendirme çalışması yapılırken ve sonuçları raporlanırken meslekî muhakemenin kullanılması gerekir. Bu sebeple, bir dış değerlendirme uzmanı olarak görev yapan bir kişinin: İç denetim uygulamalarında veya ilgili danışmanlıkta en az üç yıllık yöneticilik tecrübesine sahip olması gerekir. Bağımsız gözden geçirme ekiplerinin başları veya özdeğerlendirmenin sonuçlarını bağımsız olarak onaylayan dış gözden geçirme uzmanları, daha önce dış kalite değerlendirmesinde çalışmış bir takım üyesi olmaktan, IIA'nın kalite değerlendirme eğitimlerini veya benzeri bir eğitimi başarıyla tamamlamaktan ve iç denetim yöneticiliğinden veya benzeri bir üst seviye iç denetim yöneticiliği deneyiminden kazanılmış daha öte bir yetkinlik ve tecrübe birikimine sahip olmalıdırlar. 8. Gözden geçirme uzman(lar)ı, ilgili teknik uzmanlığa ve sektör tecrübesine sahip olmalıdırlar. Başka uzmanlık alanlarında uzmanlığı bulunan kişiler ekibe yardımcı olabilirler. Örneğin, kurumsal

14 risk yönetimi, bilgi sistemleri denetimi, istatistiksel örnekleme, operasyon izleme sistemleri veya kontrol özdeğerlendirme uzmanları, gözden geçirme çalışmasının belirli bölümlerine katılabilirler. 9. İç Denetim Yöneticisi, dış kalite değerlendirme sağlayıcısı seçimine ve seçim sürecine, üst yönetimi ve yönetim kurulunu dahil eder. 10. Dış değerlendirme çalışması, iç denetim faaliyetinin (biriminin) aşağıdaki unsurlarını içeren geniş bir kapsamda yapılmalıdır: İç Denetimin Tanımına, Etik Kurallarına, Standartlara, iç denetim faaliyetinin (biriminin) yönetmelik, plan, politika, prosedür ve uygulamalarına ve yürürlülükteki mevzuat ve düzenlemelere uyum, Yönetim kurulu, üst yönetim ve işletme müdürlerinin iç denetim faaliyetinden beklentileri, Yönetişim sürecine katılan kilit gruplar arasındaki ilişkiler dahil, iç denetim faaliyetinin, kurumun yönetişim süreciyle bütünleştirilmesi, İç denetim faaliyetinde kullanılan araç ve teknikler, Personelin sürecin geliştirilmesine odaklanması dahil, personelin bilgi, tecrübe ve uzmanlık alanlarının karışımı, İç denetim biriminin kurumun faaliyetlerine katma değer ve iyileştirme sağlayıp sağlamadığının tespit edilmesi. 11. Gözden geçirme çalışmasının ilk sonuçları, değerlendirme süreci sırasında ve sonucunda, İç Denetim Yöneticisi ile tartışılır. Nihai sonuçlar, İç Denetim Yöneticisine ya da kurum içinde inceletme yetkisi olan bir yetkiliye, tercihen üst yönetimden uygun kişilere ve yönetim kuruluna doğrudan iletilen raporlarla bildirilir. 12. Raporlamanın kapsamı şöyledir: Planlanmış bir derecelendirme sürecine dayanarak, iç denetim faaliyetinin İç Denetimin Tanımına, Etik Kurallarına, Standartlara uyumu hakkında bir görüş: Burada kullanılan 11 uyum" terimi, iç denetim faaliyetinin (biriminin) uygulamalarının, bir bütün olarak ele alındığında, Uluslararası Meslekî Uygulama Çerçevesinin bahsedilen bu üç unsurunun gereklerini yerine getirdiği anlamına gelir. Benzer şekilde "aykırılık" terimi de, iç denetim faaliyetinin uygulamalarında tespit edilen eksikliklerin etkisinin, faaliyetin görev ve sorumluluklarını yerine getirmesini engelleyecek kadar yüksek olması anlamına gelir. İç Denetimin Tanımına, Etik Kurallarına ve/veya tek tek Standartlara "kısmî uyum" derecesi, raporun genel kanaatiyle ilgiliyse, bağımsız değerlendirme raporunda da açıklanmalıdır. Dış değerlendirme sonuçları hakkında görüş beyan etmek, güçlü bir meslekî muhakeme, dürüstlük, azamî özen ve dikkatin bir araya getirilmesini gerektirir. Hem değerlendirme sırasında gözlemlenen hem de faaliyete uygulanabilecek olan en iyi uygulamalar yönteminin kullanımı hakkında bir değerlendirme ve tespit, Gerekirse, geliştirme amacına yönelik tavsiyeler, İç Denetim Yöneticisi'nin bir eylem planını ve uygulama tarihlerini de içeren cevapları. 13. Hesap verebilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için planlanmış düzeltici tedbirlerin ayrıntılarını ve söz konusu planlanmış tedbirlerin başarıya ulaşıp ulaşmadığına dair müteakip bilgiyi de içerecek şekilde-, dış kalite değerlendirmelerinin sonuçlarını, üst yönetim, yönetim kurulu ve dış denetçiler gibi iç denetim birimiyle ilişkili menfaat sahipleriyle paylaşır.

15 Yayın: Ocak 2009 Uygulama Önerisi : Dış Değerlendirmeler: Bağımsız Onaylı Özdeğerlendirme 1. Ehil, bağımsız bir gözden geçirme uzmanı veya ekibinin dış değerlendirmesi, küçük çaplı iç denetim faaliyetleri (birimleri) için sorun çıkarabilir veya tam bir dış değerlendirmenin uygun veya gerekli görülmediği diğer kurumlarda bazı özel durumlar oluşabilir. Örneğin, iç denetim faaliyeti (birimi) (a) aşırı düzenleme ve/veya gözetimin olduğu bir sektörde olabilir, (b) yönetişim ve iç kontrol ile ilgili yoğun bir dış gözetim ve yönlendirmenin olduğu bir alanda olabilir, (c) en iyi uygulamalarla yoğun kıyaslamaların (benchmarking) dış değerlendirme veya danışmanlık hizmetleri tarafından henüz yapılmış olduğu bir ortamda olabilir veya (d) İç Denetim Yöneticisinin, dahili KGGP'nin (Kalite Güvence ve Geliştirme Programı) gücünü ve çalışanların gelişimini değerlendirmeye yönelik bir özdeğerlendirmenin (self- assessment) faydalarının, kurum 'dışından' bir ekip tarafından yapılan kalite değerlendirmesinin faydalarından fazla olduğunu düşündüğü durumlar olabilir. 2. "Bağımsız (dış) onaylı bir özdeğerlendirme" şunları içerir: En azından İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun değerlendirilmesi konusunda, dış değerlendirme sürecinden daha etkili olacak şekilde kapsamlı ve bütünüyle kayıtlı hâle getirilmiş özdeğerlendirme süreci, Vasıflı bir gözden geçirme uzmanı tarafından yerinde gerçekleştirilen bağımsız onay (on- site validation) çalışması, Ekonomik zaman ve kaynak ihtiyaçları -örneğin, Standartlara uyumun öncelikli odak konusu olması-. Kıyaslama (benchmarking), en iyi uygulamalar yönteminin kullanılmasıyla ilgili danışmanlık ve gözden geçirme çalışması, üst yönetim ve operasyonel birimlerin yönetimleri ile yapılan görüşmeler gibi- diğer konulara verilen sınırlı dikkat azaltılabilir. Ancak değerlendirmenin bu parçalarından elde edilen bilgiler, bir dış değerlendirme için çok yararlı bilgilerden biridir. 3. Bağımsız onaylı bir özdeğerlendirme için Uygulama Önerisi 'de belirtilen kılavuzluk esasları ve kıstaslar da uygulanabilir. 4. Bir İç Denetim Yöneticisinin yönetimi altındaki bir ekip, özdeğerlendirme sürecinin tamamını yürütür ve süreci tam olarak belgelendirir. Dış değerlendirme sonucunda hazırlanana benzer taslak bir rapor, İç Denetim Yöneticisi'nin Standartlara uyulduğuna dair görüşünü de içericek şekilde hazırlanmalıdır. 5. Vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi, özdeğerlendirme sonuçlarını onaylamak ve iç denetim faaliyetinin (birimin) İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uygunluk seviyesini açıklamak amacıyla yeteri kadar özdeğerlendirme (self- assessment) testleri uygular. Bağımsız onay çalışması, IIA' nın Kalite Değerlendirme Kılavuzu'nda belirtilen süreçteki veya benzer kapsamlı başka bir süreçteki aşamaları izler. 6. Bağımsız onayın bir parçası olarak, -özdeğerlendirme ekibine ait İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyuma ilişkin değerlendirmeleri de dikkatli bir şekilde gözden geçirerekbağımsız onay sürecini tamamladıktan sonra, bağımsız dış gözden geçirmeci: taslak raporu gözden geçirir ve -varsa- çözüme kavuşmamış hususlar konusunda uzlaşma sağlamaya çalışır.

16 Eğer, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uygunluk konusundaki özdeğerlendirme ekibine ait değerlendirmelerle mutabıksa, gerektiğinde ve uygun gördüğü ölçüde, bu mutabakatı, rapordaki tespitler, sonuçlar ve öneriler kısmına ekler. Özdeğerlendirme ekibine ait değerlendirmeler ile mutabık değilse, rapora, uygun gördüğü ölçüde, önemli bulguları, sonuçları ve önerileri ile birlikte mutabık olmadığı noktaları da belirten bir kısım ekler. Alternatif olarak, özdeğerlendirme raporuna ek olarak, yukarıdaki kapsamda, mutabakat veya mutabakatsızları belirten ayrı bir bağımsız onay raporu hazırlayabilir. 7. Bağımsız onayı haiz nihaî özdeğerlendirme raporları özdeğerlendirme ekibi ve vasıflı, bağımsız dış gözden geçirme uzmanları tarafından imzalanır ve İç Denetim Yöneticisi tarafından üst yönetime ve yönetim kuruluna sunulur. 8. Güvenilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için alınmış planlı düzeltici faaliyetlerin özelliklerini ve bu planlı düzeltici faaliyetlerin gerçekleştirilmesine dair takip eden bilgileri içerecek şekilde, dış kalite değerlendirmelerinin sonuçlarını, üst yönetim, yönetim kurulu ve dış denetçiler gibi değişik taraflarla paylaşır. * * Yayın: Ocak 2009 Uygulama Önerisi : Özel Sektörde Dış Değerlendirme Ekibinin Bağımsızlığı İlgili Ana Standart Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek zorundadır. Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair ihtiyacı göz önünde bulundurur. Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu kuruluşun kontrolü altında olmayan manasına gelir. 1. Dış değerlendirmeyi yürüten değerlendirme ekibinin bütün üyeleri kurumdan ve onun iç denetim faaliyetlerini yürüten personelinden bağımsız olmalıdır. Özellikle değerlendirme ekibinin üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde bulundurulması gereken alanlar aşağıda verilmiştir: Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak anlamına gelir. Dış değerlendiricinin seçim sürecinde, değerlendiricinin gerçek, potansiyel ya da algısal çıkar çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurum, kurum çalışanları veya iç denetim faaliyeti ile geçmişteki, şimdiki veya gelecekteki muhtemel

17 ilişkilerden doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da her ikisini birden kapsayabilir. Özel sektörde (yani kamuyla ilgili olmayan), aynı kurum içinden fakat bir başka departmandan-veya ilişkili kurumdan olan bireyler, her ne kadar organizasyonel olarak iç denetim faaliyetinden ayrı olsalar da, bir dış değerlendirme faaliyetinin yürütülmesi amaçları bakımından bağımsız olarak dikkate alınmaz. İlişkili kurum; iç denetim faaliyeti dış değerlendirmeye tabi olan şirketin bağlı olduğu ana ortaklık veya grup şirketler içindeki iştiraki veya düzenli gözetim ve denetimini yapan veya kalite güvence sorumluluklarını üslenen bir kuruluş olabilir. Üç veya daha fazla kurum arasında (bir endüstrideki veya diğer bağlantılı gruptaki veya bölgesel kurumdaki ya da organizasyonun başka bir grubundaki) karşılıklı dış değerlendirme ekibi kurma düzenlemeleri, bağımsızlık amacını başaracak şekilde yapılandırılabilir. Bağımsızlık konusunda sorun doğmayacak şekilde ve bütün ekip üyelerinin gizlilik gibi meselelere bağlı kısıtlama olmaksızın sorumluluklarını yerine getirebilmelerini sağlayacak özenin gösterilmesi gerekir. İki kurum arasında karşılıklı dış değerlendirme faaliyetinin dış değerlendirme amaçları bakımından yapılması kabul edilemez. 3. Değerlendirme ekibinin bağımsızlığı ve muhtemel çıkar çatışmaları Yönetim Kurulu yla müzakere edilmelidir. Uygulama Önerisi : Kamu Sektöründe Dış değerlendirme Ekibinin Bağımsızlığı İlgili Ana Standart Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek zorundadır. Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair ihtiyacı göz önünde bulundurur. Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu kuruluşun kontrolü altında olmayan manasına gelir. 1. Kamu sektörü terimi devletin bütün kademeleri ile devletin sahip olduğu veya kontrolü altında bulunan otorite veya işletmeleri (kuruluşları) kapsar. Kamu sektöründe, kamunun farklı kademelerindeki iç denetim faaliyetleri dış değerlendirme amaçları için bağımsız olabilir. 2. Birleşmiş Milletler, Avrupa Komisyonu gibi özerk kuruluşlar, birçok hükümet tarafından kontrol edilen veya birçok hükümete ait olan organizasyon, kurum ve şirketleri kapsar. Böyle organizasyonların çok taraflı yapılarından ötürü özel sektör için olan rehberi izlemeleri gerekir.

18 3. Dış değerlendirmeyi yürütecek olan ekibin bütün üyelerinin organizasyondan ve onun denetim faaliyetini yapan personelinden bağımsız olması gerekir. Özellikle değerlendirme ekibinin üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde bulundurulması gereken alanlar aşağıda verilmiştir: Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak anlamına gelir. Dış değerlendiricinin seçim sürecinde gerçek, potansiyel ya da algısal çıkar çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurumla veya iç denetim faaliyeti ile geçmişteki, şimdiki veya gelecekte ortaya çıkabilecek muhtemel ilişkilerden doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da her ikisini birden kapsayabilir. Kamu sektöründe, aynı devlet kademesinde (ulusal eyalet/vilayet, ilçe veya şehrin idaresindeki) farklı kuruluşlarda ayrı iç denetim faaliyeti yürüten bireyler dış değerlendirmelerin yürütülmesi amaçları bakımından bağımsız kabul edilebilir. Aynı hükümet kademesi içinde bir ya da daha fazla iç denetim faaliyetinin aynı İç Denetim Yöneticisi ne raporlanması durumunda, bu kişiler ayrı kuruluşlarda çalışıyor olsalar bile dış değerlendirmelerin yürütülmesi amaçları bakımından bağımsız kabul edilmez. Sadece bu kuruluşların her birinden bağımsız olan denetçiler dış değerlendirmeleri yürütebilirler. Uygulama Önerisi : "Uluslararası İç Denetim Meslekî Uygulama Standartlarına Uygundur" ibaresinin Kullanılması 1. İç denetim faaliyetinin sürekli gözlemi ve dış ve iç değerlendirmeleri, iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğuna ilişkin değerlendirme yapmak ve bir görüş belirtmek için yürütülür ve uygun görülür ise geliştirme amaçlı tavsiyeler içermelidir. 2. Kullanılacak ibare, "Standartlara uygun" ya da "Standartlarla uyumlu" olabilir. Bu ibarelerden birini kullanmak için, sürekli gözlem ve periyodik iç değerlendirmelerle birlikte, her beş yıl süresince en az bir kez yapılan bir dış değerlendirme gerekir. Ayrıca bu değerlendirmelerde, iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğu sonucuna varılmış olması gereklidir. Bir dış değerlendirme iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğunu açıkça ortaya koyana kadar, uygunluk ibaresinin kullanılması uygun değildir. 3. İç Denetim Yöneticisi (İDY), beş yıllık bir dönem içerisinde bir dış değerlendirme alamama hususu da dahil olmak üzere, iç denetim faaliyetinin genel kapsamı ve işleyişini etkileyen uygunsuzluk örneklerini üst yönetime ve yönetim kuruluna açıklamaktan sorumludur. 4. İç denetim faaliyetinin uygunluk ibaresini kullanmasından önce, iç denetim faaliyetinin kendi sorumluluklarından kurtulmasına yönelik kapasitesini zayıflatan ve bir kalite değerlendirmesi (iç ya da dış) tarafından belirtilmiş herhangi bir uygunsuzluk örneğinin gerektiği şekilde iyileştirilmesi gerekir. Buna ilâveten, aşağıda yer alan hususlar gereklidir: Uygunsuzluğun gerektiği şekilde çözüldüğü yönünde fikir birliği sağlamak için iyileştirici faaliyetlerin, ilgili değerlendirmeyi yapan kişiye (kişilere) belgelenmesi ve raporlanması. İyileştirici faaliyetlerin ve ilgili değerlendirmeyi yapan kişinin (kişilerin) bununla ilgili fikir birliğinin üst yönetime ve yönetim kuruluna raporlanması.

19 * * Yayın: Ocak 2009 Uygulama Önerisi : Denetim Planıyla Risk ve Risk Maruziyetinin İlişkileııdirilıııesi 1. İç denetim faaliyetinin (biriminin) denetim planının geliştirilmesinde, birçok İç Denetim Yöneticisi (İDY), öncelikle denetim evreninin geliştirilmesi ya da güncellenmesini faydalı bulmaktadır. Denetim evreni, gerçekleştirilebilecek bütün denetimlerin bir listesidir. İç Denetim Yöneticisi, üst yönetim ve yönetim kurulundan denetim evrenine girdi elde edebilir. 2. Denetim evreni, kurumun stratejik planından unsurlar içerebilir. Bu hâliyle denetim evreni, kurumun genel iş hedeflerini de hesaba katmakta ve yansıtmaktadır. Stratejik planlar, muhtemelen, kurumun risk karşısındaki davranışı ve planlanan hedeflere ulaşma zorluğu hakkında da fikir verir. Denetim evreni, normal şartlar altında, risk yönetim sürecinin sonuçlarından da etkilenir. Kurumun stratejik planı, kurumun içinde faaliyet gösterdiği ortam dikkate alınarak hazırlanır. Bu çevre etkenleri, denetim evrenini ve göreli risk değerlendirmesini muhtemelen etkileyecektir. 3. İç Denetim Yöneticisi, iç denetim faaliyetinin denetim planını; denetim evrenine, üst yönetim ve yönetim kurulunun görüşlerine ve kurumu etkileyen riske ve risk maruziyetlerine dair değerlendirmeye dayalı olarak hazırlar. Anahtar denetim hedefleri, genellikle üst yönetim ve yönetim kuruluna kurumun hedeflerini gerçekleştirmelerine yardım etmek için, güvence ve bilgi sağlar. Bu sağladıklarına, risk yönetimi faaliyetlerinin etkililiğinin değerlendirilmesi de dahildir. yılda bir kere değerlendirilmesi tavsiye edilir. Bazı şartlar altında, denetim planlarının kurumun işi, faaliyetleri, sistemleri ve kontrollerindeki değişiklikleri yansıtmak için daha sık (örneğin üç ayda bir) güncellenmesi gerekebilir. 5. Görev iş çizelgeleri, diğer etkenlerin yanı sıra, risk ve risk maruziyetlerinin bir değerlendirmesine dayandırılır. Önceliklendirme, kaynakların kullanılmasına dair kararların verilmesi için gereklidir. İç Denetim Yöneticisinin söz konusu öncelikleri tespit etmesine yardımcı olabilecek çeşitli risk modelleri mevcuttur. Risk modellerinin çoğunda; etki, olasılık, önemlilik, varlıkların likiditesi, yönetimin yetkinliği, iç kontrollerin kalitesi ve iç kontrollere bağlılık, değişim veya istikrar derecesi, son denetim görevinin zamanlaması ve sonuçları, karmaşıklık ve personel ve kamuyla ilişkiler gibi etkenler kullanılır. * * * Yayın: Ocak 2009 Uygulama Önerisi İç Denetim Planlamasında Risk Yönetim Süreçlerinin Kullanılması 1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin önemli bir parçasıdır. Birçok kurum, kurumun yönetimiyle tam olarak bütünleşmesi gereken tutarlı ve kapsamlı risk yönetim yaklaşımlarını uygulamaya koyma yönünde adımlar atmaktadır. Bu yaklaşımlar şirket, işlev ve iş birimi olmak üzere, kuruluşların tüm seviyelerinde uygulanmaktadır. Yönetim, genel olarak, bir risk yönetim çerçevesini, değerlendirmenin yürütülmesi ve değerlendirme sonuçlarının dokümantasyonunda kullanır.

20 2. Etkili bir risk yönetim süreci, önemli dahili risklerle ilgili anahtar kontrollerin teşhis edilmesinde yardımcı olabilir. Kurumsal Risk Yönetimi (KRY) yaygın kullanılan bir terimdir. Treadway Komisyonunun Sponsor Kurumlar Komitesi (COSO), KRY'yi şöyle tanımlar: "Bir kurumun yönetim kurulunun, yönetiminin ve diğer personelinin üzerinde etkili olduğu, strateji tespitinde ve kurumun tümüne uygulanan, kurumu etkileyecek muhtemel olayları teşhis etmek ve risk iştahı içindeki riski yönetmek ve de kurumun hedeflerine ulaşma konusunda makul bir güvence sağlamak için tasarlanmış bir süreç". Kontrollerin hayata geçirilmesi, yönetimin, risk iştahı içinde kalacak biçimde, riski yönetmek için kullanabileceği yaygın bir yöntemdir. İç denetçiler, anahtar kontrolleri denetlerler ve önemli risklerin yönetimi konusunda güvence sağlarlar. 3. IIA'nın Uluslararası İç Denetim Meslekî Uygulama Standartları, kontrolü şöyle tanımlamaktadır: "Yönetim, yönetim kurulu ve diğer taraflarca, riski yönetmek ve hedeflenen amaçlara ulaşma ihtimalini arttırmak için alınan önlem. Yönetim, hedef ve amaçlara ulaşılacağına dair makul güvence sağlamak için yeterli önlemlerin uygulanışını planlar, organize eder ve yönetir." 5. Anahtar kontroller, aksi halde kabul edilemeyecek bir riski, kabul edilebilir bir seviyeye indirmeye yardımcı olan kontroller veya kontrol grubu olarak tanımlanabilir. Kontroller, riskleri yönetmek için var olan kurumsal süreçler olarak kabul edilebilir. Etkili bir risk yönetimi sürecinde (uygun dokümantasyon ile), anahtar kontroller, önemli risklerin derecelendirilmesini azaltmada itibar edilen bütün riskten etkilenen sistemlerdeki dahili ve artık riskler arasındaki farkı ayırt etmede kolaylıkla kullanılabilir. Eğer, dahilî risk için bir derecelendirme yapılmamışsa, iç denetçi dahili risk derecelendirmesi için bir tahmin yapar. Anahtar kontrolleri teşhis ederken (ve iç denetçinin, risk yönetim sürecinin olgunlaştığı ve güvenilir olduğu sonucuna vardığını varsayarak), iç denetçi şunlara bakacaktır: - Dahilî riskten artık riske önemli bir azalmanın olduğu münferit risk faktörleri (özellikle dahili risk çok yüksek ise). Bu, kurum için önemli olan kontrolleri ortaya koyar. - Çok sayıdaki riski azaltmaya yarayan kontroller. 6. İç denetim planlaması, kurumsal risk yönetim sürecinden yararlanmaya ihtiyaç duyar. Bir görevin planlanmasında iç denetçi, faaliyetin önemli risklerini ve yönetimin riski kabul edilir bir seviyeye indirmek için kullandığı araçları dikkate alır. İç denetçi, iç denetim faaliyetinin planını geliştirirken ve iç denetim kaynaklarını tahsis etmede öncelikleri belirlerken, risk değerlendirme tekniklerini kullanır. Risk değerlendirme, denetlenebilir birimleri araştırmada ve gözden geçirme için iç denetim faaliyetinin planları içine alınacak en büyük riske sahip alanları seçmede kullanılır. 7. İç denetçiler, her risk kategorisini ve kurumdaki KRY sürecini (iş yeri sağlık ve güvenliğinin iç denetimi, çevresel denetim veya karmaşık finansal araçların denetimi gibi) gözden geçirme ehliyetine sahip olmayabilirler. İç denetim yöneticisi (İDY), özel uzmanlık vasfına sahip iç denetçilerin veya dış hizmet sağlayıcılarının uygun şekilde kullanılmasını temin eder. Bunun yanında iç denetçi, diğer güvence sağlayıcılar ile koordinasyonu sağlar ve bunların işlerini dayanak almayı bir plan dahilinde dikkate alır. Bkz: Uygulama Önerisi : Güvence Haritaları. 10. İç denetim yönetmeliği normal şartlarda, iç denetim faaliyetinin, dahili ve artık risk dahil olmak üzere, yüksek risk alanlarına yoğunlaşmasını gerektirir. İç denetim faaliyetinin, yüksek dahilî risk ve yüksek artık risk alanları ile kurumun en önem verdiği anahtar kontrol sistemlerini teşhis etmesi gerekir. Eğer iç denetim faaliyeti kabul edilemez artık risk alanlarını teşhis ederse, yönetimin, riske müdahale edilebilmesi için bilgilendirilmesi gerekir. İç denetçi, stratejik denetim planlama sürecini yönetiyor olmanın bir sonucu olarak, iç denetim faaliyet planına dahil edilmek üzere, farklı faaliyet türlerini teşhis edebilecektir. Bu faaliyetler şunlardır: