İç Denetim Faaliyetinin Yönetişim Süreci Açısından Sorumluluğu

IIA Standart 2110 da iç denetimin kurumsal yönetişim süreçlerini değerlendirme ve gelişmesi için önerilerde bulunma durumları açıklanmaktadır. Bu standarda göre iç denetim birimi yönetişim ile ilgili şu hususlarda çalışır:

Stratejik ve operasyonel kararlar alma süreçleri: Yönetim kurulu toplantı tutanakları, politikaları ya da ilgili yönetişim dokümanları, geçmiş denetim raporları

incelenerek; istikrarlı, tutarlı ve standartlaşmış karar alma süreçlerinin gelişmişliğine göre kurumsallaşma düzeyi hakkında görüş elde edilebilir.

Risk yönetimi ve kontrolün gözetimi: Risk yönetimi stratejisinin tartışıldığı toplantı tutanakları ve risk değerlendirmeleri incelenir. Önemli risklerin gözden kaçmadığını teyit etmek için; toplanan bilgiler, kıyaslama (benchmarking) değerleriyle veya cari sektör trendleriyle karşılaştırılabilir. Böylece risk yönetiminin gözetimi görevinin yerine getirilip getirilmediği hakkında bir görüş elde edilebilir.

Kurum içinde gerekli etik ve diğer değerleri geliştirmek: Öncelikle mevcut durumun tespiti için misyon ve değer açıklamaları, davranış kuralları, işe alma ve eğitim süreçleri, suiistimal ve etik dışı davranışları önleme politikası (etik ihbar hatları-whistleblowing) ve soruşturma süreçleri incelenebilir. Anketler ve mülakatlara başvurularak; çalışanların kurumun etik kültürü hakkındaki farkındalık düzeyleri anlaşılabilir. Kurumsallığın arttırılması için gerekli öneriler sunulur. İmzalanan bilgilendirme ve kabul beyanları, kurumun etik ilkeleri ve değerlerine ilişkin farkındalığı artırmak adına atılan somut adımlar.

Etkili bir kurumsal performans yönetimini ve hesap verebilirliğin sağlaması: Ücretlerin belirlenmesi, hedef belirleme ve performans değerlendirmesi ile ilgili kurumsal politikaların stratejik hedeflere ulaşmada başarılı olup olmadığı incelenir. Kilit performans göstergeleri ve teşvik planlarının uygunluğu değerlendirilir. Yönetim kurulunun ücret ve yan ödemelerle ilgili aldığı kararlar ve üst düzey yönetici performanslarını gösteren belgeler de bu husus da önemlidir.

Risk ve kontrol bilgilerinin kurumun gerekli birimlerine iletilmesi: (riskler ve kontrollerle ilgili bilgilerin zamanında, tam ve doğru olarak iletilip iletilmediğini belirlemek) Kurum içi raporlar, haber bültenleri, ilgili tutanaklar ve elektronik postalar, toplantı tutanakları incelenir. Anketler ve mülakatlar, personelin risk ve kontrol süreçleri ile ilgili görev ve sorumluluklarının farkındalık düzeylerini ve bu sorumlulukların yerine getirilmemesi durumunda sonuçları hakkındaki bilgisini tespit etmek için kullanılabilir.

Kurumun kilit paydaşları ve güvence sağlayıcıları arasında, faaliyetlerin koordinasyonu ve iletişim ağının gözetimi: Bu grupların (örneğin, yönetim kurulu, denetim komitesi ve finans komitesi) katıldığı toplantılar gözlemlenebilir ve bu toplantıların düzenlenme aralığı tespit edilerek etkin yönetişime katkı sunulabilir.

Yönetişim sürecinin denetimi sonucu ulaşılan kanaatler; departman düzeyinde düzenlenen iç denetim raporları, güvence odaklı değerlendirmeler veya danışmanlık hizmeti sonucu alınan önerilerini içeren yönetişime ilişkin rapor ya da yönetim kurulu toplantı tutanaklarında beyan edilir.

Günümüzde stratejik ortak-güvenilir danışman konumundaki iç denetim fonksiyonunun kurumsal yönetimde çok önemli bir rol oynadığı açıktır. Dolayısıyla, iç denetim faaliyetinden sadece bir olağan güvence faaliyetlerinin gerçekleştirilmesi değil, aynı zamanda kuruluşun yönetişim süreçlerini iyileştirecek ve etkinliklerini güvence altına alacak faaliyetleri önererek, kuruma değer katması da beklenmektedir.167

Kurumsal yönetim süreçlerine dair, iç denetim faaliyetinin rolü değerlendirildiğinde de süreçlerin iyileştirilmesi, insan kaynağının gelişimi, etkin kurumsal performans ve verimlilik yönetimi, etkin iletişim ağı, en iyi uygulamaların paylaşılması ve katma değer yaratılması hususları fark edilmektedir.168

2.3.2. İç Denetim Faaliyetinin; Risk Yönetimi Süreci Açısından Sorumluluğu

IIA Standart 2120’de iç denetim faaliyetinin risk yönetiminin performansı ve etkinliği ile ilgili sorumlulukları açıklanmıştır. Risk yönetimi süreçlerinin etkin olduğuna karar vermek için iç denetçiler aşağıdaki hususları değerlendirmek durumundadırlar;

Kurumsal amaçlar, stratejik hedefler kurum misyonunu destekliyor mu ve risk iştahı ile ne ölçüde paralel? Sorularına cevap bulmak için, yönetim tarafından belirlenmiş kurumun iş stratejileri ve ilgili riskleri nasıl belirlediği, risk iştahı, risk toleransı ve risk kültürü değerlendirilir. Kurumun risk yönetimi olgunluk düzeyine göre iç denetim faaliyetinin kurum risk değerlendirmesine ne kadar güvenebileceği belirlenir.

Önemli risklerin tespit edildiğini ve değerlendirildiğini anlamak amacıyla boşluk analizleri gerçekleştirilebilir. İç denetim birimi; karşılaşma olasılığı olan yeni riskler ve etkisi yeterince azaltılmamış veya tolerans düzeyine indirilememiş riskler konusunda kurum yönetimini uyarmalıdır. Riskleri kurumun risk iştahı ile aynı

167 _{Olga Savcuk, ‘’Internal Audit Efficiency Evaluation Principles’’, Journal of Business Economics}

and Management, 8:4, 2009, S.275-284, s.279

168

paralele getiren uygun risk cevaplarının seçilmesi için, önerilerini ve eylem planlarını sunmalıdır.

Kurumsal hedeflerin, risklerin ve risk iştahının kurum genelinde yeterince anlaşılıp anlaşılmadığını değerlendirmek için gerekli görüşmeleri yapar, elektronik postaları ve iç yazışmaları kontrol eder, toplantı tutanaklarını inceler. Önemli risklerin yönetim kuruluna zamanında, yeterli ve doğru olarak rapor edilip edilmediğini değerlendirir ve yönetim kurulunun riskler karşı cevaplarını değerlendirerek, iç denetim tavsiyelerinin akıbetini izler.

Risk bilgisinin kurum genelinde yeterince ve zamanında paylaşılıp paylaşılmadığını denetler. Kurumun risk yönetimi olgunluk düzeyi ve risk kültürü çok iyi anlaşılmış olmalıdır.

Risk ve hedef ilişkisine istinaden, iş ortamındaki değişmelere bağlı olarak risklerin de değişmesi, denetim stratejilerin güncellenmesi ve alternatiflerin değerlendirilmesi gerekir. Kurumsal değeri korumak ya da arttırmak için risk iştahı ve stratejiler belirli periyodlarda veya gerekli görüldüğünde güncellenmelidir169

.

İç denetim birimi kendi faaliyetlerine yönelik karşılaşılabilecek; hatalı denetim, yanlış güvence ve itibar risklerine yönelik olarak da gerekli tedbirleri alır ve takip eder.