Görev Planlaması

IIA UMUÇ Sdt. 2200- Görev Bazında Planlama: “İç denetçiler, her görev için,

amaçları, kapsamı, zamanlama ve kaynak dağılımı hususlarını da dikkate alan ayrı bir plan hazırlamak ve yazılı hâle getirmek zorundadır. Plan Kurumun stratejilerini, hedeflerini ve göreve ilişkin riskleri dikkate almalıdır.”

196 _{IIA, ‘’2300- Denetimin Yürütülmesi’’, UMUÇ Uygulama Rehberi}

Görev amaçlarının anlaşılması planlamanın kritik unsurudur. Risk-temelli görev amaçları belirlendikten sonra, iç denetçilerin çalışma alanını gösteren denetim görevi kapsamı belirlenebilir. Denetim kapsamı dahilindeki alanların yönetimine, denetim ile ilgili bildirim yapılır ve hazırlanılması için zaman verilir.

İç denetçiler görev iş programını; planlama esnasında bütçe, lojistik ve raporlama formatına göre düzenlerler. Son planlama adımı, yönetimin denetim planını onaylamasıdır.

2200 nolu standarda uyumun ispatında da görev planları, bildirimler, kapsam çalışmaları kullanılabilir.

İç denetimde ilk süreç olan, hazırlık ve planlama süreçleri; denetim evreninin tanımlanmasını, denetlenecek alanların belirlenmesini, risklerin değerlendirilerek derecelendirilmesini ve yapılan tespitlere göre denetlenecek alanların öncelik sıralamasının yapılmasını, denetim kaynaklarının tahsis edilmesini, iç denetim planının hazırlanmasını ve yönetim kurulunda onaylanmasını kapsar. İç denetimin planlanmasında amaç; denetim kapsamını, alanlara ayırarak bireysel görevlendirmelerin, uygulanacak denetim metodolojisinin ve denetim sürelerinin belirlenmesidir. Onaylanan denetim planına, denetim alanlarının her birinde çalışacak denetçilerin ve uygulanacak denetim prosedürlerinin belirlenmesi için programlama yapılır.197

Görev bazında planlama süreci sırasıyla aşağıdaki aşamaları içermektedir; 1- Denetim görevlerini ifa edecek iç denetçilerin, faaliyetin performansını izlemekle sorumlu denetim müdürünün ve denetlenecek birimin operasyonel yöneticisinin haberdar edilmesi ve göreve başlanılması aşamasıdır.

2- Görev amaç ve kapsamının belirlenmesi aşamasıdır. Denetim görevlerinde, sistematik bir yol haritasına sahip olunmasını ifade eder. Kurumsal yönetim süreçleri bireysel denetim hedefleri içinde diğerlerine nazaran daha azdır. İç Kontroller ve Risk Yönetimi süreçleri ile alt süreçler bazındaki operasyonel süreçlerine ait denetim hedefleri daha fazladır. Bireysel denetim hedeflerinin tamamı bir yandan iç denetimin genel hedeflerinin gerçekleştirilmesine hizmet ederken, diğer yandan da

kurumsal hedeflerin gerçekleştirilmesine hizmet eder. Bireysel denetim görevlerinin kapsamı, amaçlara ulaşılmasını sağlayacak nitelikte olmalıdır.198

Standart 2210 – Görev Amaçları – “Amaçlar, her bir görev için belirlenmek zorundadır. “Güvence görevi hedeflerinin risk değerlendirmesi sonuçlarına uygun olarak önemli risk maruziyetlerinin gerçekleşme ihtimalini dikkate alarak belirlenmesi gerekmektedir. Risk yönetimi sürecine ilişkin bir değerlendirmenin genel hedefi, kurumun risk yönetiminin olgunluğu ve bunun beklentileri ne kadar karşıladığıyla ilgili bir görüş bildirimidir.

“Standart 2020 – Görev Kapsamı standardında şart koşulduğu gibi, görevin kapsamı, görevin amaçlarını karşılayacak seviyede olmak zorundadır.” Bir risk yönetimi değerlendirmesi, temelde, tespit edilen risklerin izlendiğini ve yasal mevzuat- yönetmelikler- sektörel şartlar gibi dış unsurlara uygunluğu açıklıyor olmalıdır. Görev kapsamını belirleyen kriterler; kurumun politika, prosedür ve faaliyetlerinin yeterliliği, yönetişim yapılarının etkinliği, kaynak tahsisinin uygunluğu ve risk yönetimi yapısıyla ilgili unsurlardır.

3- Denetim görevlerine ait ön hazırlıkların yapılması, bilgi toplanması aşamasıdır. Denetim konusu olan operasyonel süreçlerin hedeflerinin ve işleyişlerinin tam olarak anlaşılması için yapılan ön incelemelerdir. Bir önceki dönem raporlarının incelenmesi, karşılaştırmaların ya da analitik değerlendirmelerin yapılması, risk-kontrol matrislerinin ve iş akış şemalarının kullanılması, görüşme ve gözlemlerin yapılması bu aşamada kullanılan yöntemlerdir.

Ön risk değerlendirmesine yardımcı olabilmek adına bilgi toplanmalıdır.

Denetlenecek Faaliyet ya da iş kolu bazında stratejilerin, hedeflerin ve faaliyetin kendi performansının kontrol araçları bulunmalı; bu hedef ve operasyonlara yönelik risklerin kabul edilebilirliği için gerekli aksiyonlar ve ilgili faaliyetin ya da iş sürecinin kendi yönetişim/risk yönetimi/kontrol süreçlerinin etkililiği ve geliştirilmesi durumu ortaya konmalıdır.

4- Denetim açılış toplantısının yapılması; denetimi gerçekleştirenler ile denetlenenler arasında iletişimin ağının kurulmasını sağlayan önemli aşamalardan biridir. Bu aşamada; denetim kapsamı ve hedefleri, denetim bulgularının önemi ve

198

akıbeti, denetimin planlanan aşamaları ve zamanlamaları, iletişimin önemi ve gerekliliği, iş birliğinin faydası ve danışmanlık imkanları görüşülür.

5- Üçüncü aşamada da bahsedilen risk-kontrol matrislerinin oluşturulması ve değerlendirilmesi; risk odaklı iç denetim sürecinde operasyonların yeterliliklerinin değerlendirilmesi ve uygulanacak testlerin seçilmesi bakımından oldukça önemlidir. Görev planlamasında risklerin ön değerlendirmesinin yapılması görev amaçlarının belirlenmesine ışık tutar. Risklerin gerçekleşme olasılıkları ve etki oranları değerlendirilerek, denetim görevlerinin gerçekleştirilmesinde etkinliğin sağlanmasına yardımcı olunur.

6- Denetim görevinde kullanılacak testlerin planlanması aşamasıdır. Risk değerlendirmesi sonuçlarına göre testlerin hangi kontrollere uygulanacağı belirlenir, kullanılacak metotlara karar verilir ve bunların nasıl dokümante edileceği belirlenir.

7- Denetim görev programının hazırlanması aşamasında; iç denetçilere yol haritası olacak ve sistematik bir disiplin içinde çalışılmasını sağlayacak denetim planlama kontrol listeleri hazırlanır, gerekli kaynaklar tespit edilir, görev amaçlarına yönelik iş programları hazırlanarak kayıtlı hale getirilir ve göreve başlanılması için, izleme sorumlusu tarafından onaylanmalıdır.199

IIA Sdt. 2240 – Görev İş Programı: İç denetçiler, görev amaçlarına ulaşacak iş programları hazırlamak ve kayıtlı hâle getirmek zorundadırlar. Süreç haritaları, risk kayıtlamaları, mülakat ve anket özetleri, risk yönetim olgunluk düzeyi karar gerekçeleri, risk yönetim sürecini değerlendirme kıstasları kayıt altına alınan çalışma kağıtları içerisinde yer alırlar.200

IIA Sdt. 2230 – Görev Kaynaklarının Tahsisi: İç denetçiler, görevin niteliği, karmaşıklığı, zaman kısıtlamaları ve mevcut kaynakları dikkate alarak görevin amaçlarına ulaşmak için uygun ve yeterli kaynakları tespit etmek zorundadır” Sektörel uygulamalar, risk çerçeveleri, kurum kültürü ve kontrol ortamı gibi unsurlar dikkate alınarak risk yönetimi sürecinin etkinliğinin değerlendirilmesi için farklı kombinasyonları gösteren farklı görev yaklaşımları değerlendirilerek en verimli kaynak tahsisi yapılmaya çalışılabilir.

199

Özbek, a.g.e., s.920-925

Denetim personelinin tahsisi, geçmiş dönem denetim raporları-varsa

uygulanan kontrol-risk öz değerlendirme (CSA) çıktıları, çalışma kağıtları ve istatistikler incelenerek denetim konusunun araştırılması, denetim raporu- görevlendirme planı- denetim kontrol listesi-finansal analiz-risk kayıtlaması-denetim evreni- denetim kapsamı-denetim programı- kontrol hedefleri ve test programı gibi

çalışma kağıtlarının tasarlanması, her denetim görevi için kronolojik sıralamasını

gösteren kontrol listelerinin hazırlanmasıyla denetim kapsam ve hedeflerin

belirlenmesi süreçlerini kapsar.(Std.-2040/ 2010-1 planlama / 2330-1 bilgilerin

kaydedilmesi/ 1130-1 bağımsızlık ve objektifliği bozan haller) Görev planı hazırlandıktan sonra onay alınmalıdır ve denetlenecek birimlerle iletişime geçilerek bilgilendirme yapılmalıdır.( Std. 2240-1 iş programlarının onaylanması)201