Denetim Sonuçlarının Raporlanması ve İletişim

Kilit paydaşların belirlenmesi, denetim süreçleri ve sonuçları hakkında düzenli ve doğru şekilde bilgilendirilmesi, geri bildirimlerinin alınması ve geleceğe yönelik atılacak adımlar için paydaş beklentilerinin anlaşılması önemlidir.

İç denetim biriminin doğrudan iletişim kurduğu kilit paydaşlar; Yönetim kurulu, üst yönetim, denetim komitesi ve dış denetçilerdir. Etkili iletişim katılımcı denetim yöntemleri kullanılarak kurulabilir.205 _{İDY, üst yönetim ve yönetim kuruluyla iletişim}

ağını güçlendirerek; paydaşlarının her birinin yönetişim, risk yönetimi ve kontrol konularındaki yetki ve sorumluluklarını anlayabilir.

İDY; denetim planını, görev programını, iç denetçi kadro planını ve denetim bütçesini yılda bir kez üst yönetim ve yönetim kuruluna onaylatmak zorundadır. Verilen onay, iç denetim faaliyetinin kurum amaç ve hedefleri ile iç denetim yönetmeliğinin uyumlu olduğunun kabul edildiğini gösterir.206

UMUÇ Sdt.2060- Üst Yönetim ve Yönetim Kuruluna Raporlamalar başlıklı standart, İDY’nin birincil raporlama sorumluluklarını açıklamaktadır. İDY, üst yönetim ve yönetim kurulu kolektif olarak, denetim faaliyetlerinin kapsamını, raporlama sıklığını ve sistematiğini belirlerler.

İç denetçiler görevlerin sonuçlarını bildirme konusunda iç denetim faaliyetinin 2400 standart serisinde düzenlenen prosedürleri uygulamalıdır. IIA Sdt. 2400 – Sonuçların Raporlanması “İç denetçiler, görev sonuçlarını raporlamak zorundadır.”

Görev iletişimleri (raporlamaları), iç denetim faaliyetinin kuruma kattığı değeri gösteren kritik bir unsurdur. Denetim süreci boyunca paydaşlarla kurulan iletişim, iç

204

J. Paul Sobel, Auditor’s Risk Management Guide: İntegrating Auditing &ERM, CCH İncorporated,2005,

USA 205

https://www.gleim.com/accounting/cia/ciaonline/run.php/ (Erişim tarihi: 11.09.2019)

denetim faaliyetinin hedeflerine ulaşmasına ve misyonunu tamamlamasına yardımcıdır. Bu iletişim ağının kapsamı sadece bulgulara ait değerlendirmelerin paylaşımı değil, aynı zamanda yönetimin öneriler sonrasındaki tutumlarının bilgisinin ve denetim görevleri sırasında bulgulara göre alınana aksiyonların bilgisinin paylaşımıdır.207

İDY’nin yönetimle, planlı veya plansız olarak gerçekleştirdiği toplantı sıklığı aralarındaki iletişimin etkinliği hakkında ipucudur. Denetim görevleri esnasında tespit edilen bulgulara yönelik yönetimin aksiyon alması, iç denetim faaliyetinin etkinliği ve verimliliği açısından olumludur. Etkili bir iletişim süreci için gerekli kriterler şunlardır:208

- Denetim bulgularının önem derecelerine göre önceliklendirilmesi,

- Bulguların, denetim görevleri esnasında denetlenen birimlerin operasyon yöneticilerine bildirilmesi,

- Bulguların son halinin denetlenen birim ve yönetimlerine iletilmesi ve bulgulara yönelik tepkilerinin kapanış toplantısında alınması,

- Taslak raporun iletilesi ve önerilere verilen tepkilerin alınması, - Nihai raporlamanın yapılması,

- Denetim bulgularına yönelik önerilerin akıbetinin izlenmesi.

Denetlenen kurumun yapısına uygun olarak düzenlenen bir raporlama planı ve standartlaştırılan bir raporlama formatı, iç denetim biriminin hem denetlenen birimlerle hem de ilgili paydaşlarla iletişiminde etkinliğinin sağlanmasına yardımcı olacaktır. Bu sistematik süreç, IIA Sdt.2410 – Raporlama Kıstasları başlıklı standartta,” Raporlamalar, görevin hedeflerini, kapsamını ve sonuçlarını içermek zorundadır.” Ve IIA Sdt. 2420- Raporlamaların Kalitesi başlıklı standartta,” Raporlamalar, doğru, objektif, açık, özlü, yapıcı, tam olmak ve zamanında sunulmak zorundadır.” şeklinde düzenlenmiştir.

İç denetim raporu amaç, kapsam, sonuç ve öneriler kısımlarından oluşur. IIA Standart 2410-1 de belirtildiği üzere amaçlar kısmında, iç denetim hedefleri; kapsam kısmında, denetim konusu faaliyetler ve aralarındaki ilişkilerle denetim zamanlaması ve sonuç kısmında yürütülen denetim faaliyetleri sonucu ulaşılan bulgular, yorumları ve gerekli öneriler bulunur.

207

Sawyer’s, İç Denetçiler için Rehber, Cilt 2, İç Denetimin Temelleri, Çetin Özbek, TİDE Yayınları, İstanbul, Ekim 2016, s.185

208

Doğru raporlamalar, elde edilen denetim kanıtlarıyla tutarlı olarak hata ve çarpıtmalardan uzaktır. Objektif raporlamalar, bağımsız ve önyargısızdır. Açık raporlamalar, nettir ve kolayca anlaşılabilecek şekilde bütün önemli ve ilgili bilgiyi içerir. Özlü raporlamalar, konuyu doğrudan anlatır ve pratik uygulanabilir öneriler sunar. Yapıcı raporlamalar, kuruma değer katacak niteliktedir. Tam raporlamalar, ilgili paydaşların tümüne hitap edecek şekilde; bütün önemli ve ilgili bilgileri, sonuç ve tavsiyeleri kapsar. Zamanında raporlamalar, rapor etkinliğini ve faydasını koruyacak şekilde gerekli mercilere doğru zamanda sunulan raporlardır.209

Denetçilerin, denetim sonucunda elde edilen verileri ve etkilerini değerlendirirken, Raporlamanın yukarıdaki özelliklere sahip olabilmesi ve kurum açısından bir anlam ifade etmesi için bir kriter çerçeve oluşturmalıdırlar. Kriterle kurum risk yönetimi ve kontrol mekanizmalarında uygulanan proseslerle uyumlu olmalıdır. Kullanılan iç kontrol modeli, yönetici tatmin seviyesi, risk toleransı ve risk iştahı… vb. kriterlerin kurumsal değerlerinin bilinerek bunlara uygun bir kriter çerçevesi hazırlanmalıdır.210

Yönetim kurulu ile yapılacak görüşmelerde kilit öneme sahip konular; (denetim planlama sürecinde belirlenen önemli risk konuları- önceki yıllara göre ilk kez karşılaşılan risk konuları- özel görevlendirmelerle ilgili kritik hususlar) iç kontrol mekanizmalarının etkinliği ile ilgili konular, iç denetim planı ve kaynak tahsisi ile ilgili mevzular, denetim raporlarının kimlere sunulacağı, suiistimaller- soruşturmalar, izleme faaliyeti gereği çözümlenmemiş denetim sorunları, iç denetim kalite değerlendirmeleri ve yönetim kurulunun yönetişim gücünü arttırmasına yönelik eğitim fırsatları değerlendirilebilir.211

İç denetim raporunun yönetici özetinde zamanın etkin kullanımı ve pratiklik yönünden kısa ve net bilgilere yer verilmelidir. Belirlenen risklerin kabul edilebilir düzeye getirilmesine dair öneriler tek cümle ile ifade edilebilmelidir. Ayrıntılı raporda ise; sunulacak olan makama göre gerekli detaylar bulundurulmalıdır. Yer verilen eylem planında, sorunlu alanlar, sorumlu personel ve zamanlama bulunmalı, tespit edilen iş riskleri ve etkileri için gerekli bilgilendirmelere yer verilmelidir.

Denetim sonucu elde edilen bulguların etkilerini ölçmek ya da değerlendirmek için gerekli kriterleri tanımlayan bir çerçeveye ihtiyaç vardır. Kurumsal yapı

209 _{IIA, ‘’Std. 2420- Raporlamanın Kalitesi’’, UMUÇ Uygulama Rehberi}

210 _{IIA, ‘’İç Denetim Görüşlerinin Formüle Edilmesi ve Açıklanması’’, UMUÇ Uygulama Rehberi, Mart 2009, s.8} 211 _{IIA, ‘’Yönetim Kurulu ile Etkileşim’’, UMUÇ Uygulama Rehberi, Ağustos 2011, s.10}

özelliklerine göre değişiklik gösteren bu kriterler, iç denetim sonuçlarını paydaşlar için anlamlı hale getirir. Anlamlı, güvenilir, tarafsız, anlaşılabilir, tam ve eksiksiz olan bu kriterler denetimin planı uygulanmaya başlamadan önce belirlenir. Kriterler belirlenirken kurumun yönetişim, risk ve kontrol süreçlerine ait temel ilkelerin benimsenmiş olması önemlidir.212

Bir denetim raporunun, IIA Sdt. 2430’ da yer alan ‘’Uluslararası iç denetim mesleki uygulama standartlarına uygun olarak yapılmıştır.’’ İbaresine sahip olması, yalnızca Kalite Güvence ve Geliştirme Programının denetim sonuçlarını desteklemesiyle mümkündür.

IIA Sdt. 2431 – Görevlendirmelerde Aykırılıkların Açıklanması standardında açıklandığı üzere, İç denetçiler; bağımsızlıklarının ya da objektifliklerinin zarar görmesi veya güvenilir olmayan verilerle karşılaşılması, bilgi eksikliği ya da kapsam sınırlaması gibi kısıtlamalara maruz kaldığı durumlarda denetim vazifesini yerine getirirken Etik Kurallara ve Standartlara uygun hareket edemeyebilir. Bu gibi durumlarda iç denetçi aykırılığı ve göreve etkilerini tespit ederek sonuçlarını raporda bildirmelidir.

Gerek görev esnasında gerekse taslak ve nihai raporlardaki bulgular ve bulgulara dair önlem önerilerinin bildirilmesi, yönetim kademeleri ile etkin iletişim kurulması ve denetim hedeflerinin gerçekleştirilmesine yardımcı olur. Denetim raporunun iletileceği yönetim kademeleri, denetim faaliyetinin başlangıcında belirlenir. Denetim Raporunda, kurumsal stratejik hedeflerin ve paydaş taleplerinin dikkate alınarak; yeterli, güvenilir, ilgili ve yararlı bilgi ile desteklenen genel bir görüş sunulur.213

İç denetim yöneticisi tarafından hazırlanan raporlar denetim komitesi, yönetim kurulu ve üst yönetime üçer aylık veya yıllık olarak sunulur. Öte yandan bu raporlar tüm ilgili paydaşlar tarafından kullanılabilir.

İç denetim raporunun nihai amacı; iç denetim faaliyetinin gerçekleştirilme amacını, kapsamını, varılan sonuçlarını ilan etmek ve kurumsal risk yönetimi ve kontrollerin zayıf yönlerinin tespit edilmesiyle tavsiyelerini bildirmektir.

212 _{IIA, ‘’Standart 2400’’, UMUÇ Uygulama Rehberi}