Bir genel görüş yayınlanırken, Kurumun stratejileri, hedefleri ve riskleri ve üst yönetim, yönetim kurulu ve diğer paydaşların beklentilerinin dikkate alınması zorunludur. Genel görüşün yeterli, güvenilir, ilgili ve yararlı bilgi ile desteklenmesi zorunludur.
Yorum:
İletişim şunları içerir:
Görüşün ait olduğu zaman dönemini içerecek şekilde görevin kapsamı,
Kapsam sınırlamaları,
Diğer güvence sağlayıcılar da dâhil olmak üzere bütün ilgili projelerin dikkate alınması
Görüşü destekleyen bilginin özeti,
Genel görüşün oluşturulmasında temel olarak kullanılan risk veya kontrol çerçevesi ya da başka ölçütler,
Varılan genel görüş, yargı veya sonuç.
Olumsuz bir genel görüşün nedenlerinin açıklanması zorunludur.
Gözden Geçirilmiş Standartlar, 1 Ocak 2017 tarihinden itibaren geçerlidir.
Başlarken
Bir genel görüş, iç denetim yöneticisinin (İDY) kurumun yönetişim, risk yönetimi ve/veya kontrol süreçlerini kapsamlı bir seviyede değerlendirdiğinde yaptığı dereceleme, vardığı kanaatler ve/veya verdiği başka bir sonuç açıklaması anlamına gelmektedir. Genel görüş,
İDY’nin belirli bir zaman aralığında üstlendiği birçok münferit görevin sonuçları ve ayrıca, diğer güvence sağlayıcıların yaptığı incelemeler gibi benzeri diğer faaliyetlerin sonuçları temelinde ulaştığı mesleki yargısını yansıtır.
Genel görüşler görevlerde varılan sonuçlardan farklıdır. Şöyle ki, görev sonuçları genelde tek bir görevden elde edilen sonuçları yansıtırken, genel görüş birden çok görevden elde edilen sonuçların yorumlanmasına dayanır. Ayrıca, varılan sonuçlar görev sonuç raporunun
(iletişiminin) bir parçası iken, genel görüş, görev sonuç raporlarının bir parçası olarak değil, ayrıca iletilir.
Standart 2310 – Bilgilerin Tespiti ve Tanımlanması yorumunda, yeterli, güvenilir, ilgili ve faydalı terimleri şu şekilde tanımlanmaktadır:
Yeterli bilgi, gerçeklere dayanan, uygun ve ikna edici olmak zorundadır ki sağduyulu, bilgili bir kişi iç denetçi ile aynı sonuçlara varabilsin.
Güvenilir bilgi, uygun görev teknikleri kullanmak suretiyle en iyi şekilde elde edilen bilgidir.
İlgili bilgi, tespitleri ve tavsiyeleri destekler ve görev amaçları ile tutarlıdır.
Faydalı bilgi, kurumun hedeflerine ulaşmasına yardım eder.
Standart 2450’nin yorumunda, bir genel görüşün bildirilmesi için gereken unsurlara dikkat çekilmektedir. Buna göre, İDY, bir genel görüş ifade etmeden önce bu unsurların hepsini anlamış olmalıdır. Buna ek olarak, İDY, bir genel görüş ifade etmeden önce, hem kurumun stratejilerini, amaç ve hedeflerini ve karşılaşabileceği riskleri, hem de kurulun ve üst
yönetimin bu konudaki beklentilerini iyice anlamalı ve özümsemelidir.
Uygulamaya İlişkin Hususlar
İDY, ifade edeceği görüş ile kurumun stratejileri, amaçları ve karşılaşabileceği riskler arasında nasıl bir bağlantı olduğunu dikkate alarak işe başlar. Ayrıca, İDY, ifade ettiği görüşün bir sorunu çözüp çözmediğini, kuruma değer katıp katmadığını ve/veya yönetime veya diğer paydaşlara kurumun genel eğilimi ve koşulları hakkında güvenilir bilgi sağlayıp sağlamadığını da değerlendirir. Üst yönetim, yönetim kurulu ve diğer paydaşlarla yapılan görüşmeler, İDY’nin genel görüşün kapsamı konusunda yönetimin beklentilerini anlamasına yardımcı olabilir.
Ardından, İDY, görüşün ilgili olduğu zaman periyodu da dâhil olmak üzere, sunacağı genel görüşün kapsamını belirler ve kapsamla ilgili herhangi bir kapsam kısıtlaması olup olmadığını da belirler. İDY, bu bilgiyi göz önünde bulundurarak hangi denetim görevlerinin genel görüş ile ilgili olacağını belirleyebilir. Diğer iç ve dış güvence sağlayıcıların yaptıkları da dâhil olmak üzere, bağlantılı tüm görev ve projeler değerlendirilir. İç güvence sağlayıcılar,
kurumun ikinci savunma hattını oluşturan diğer fonksiyonları da içerebilir. Dış hizmet sağlayıcılar ise, dış denetçilerin veya düzenleyicilerin faaliyetlerini de kapsayabilir. Bir iç veya dış güvence sağlayıcısının gerçekleştirdiği her proje dikkate alındığında, bu proje çalışmasına bel bağlanıp bağlanmayacağını belirlemek için İDY’nin projeyi değerlendirmesi gerekecektir. İDY başka bir güvence sağlayıcının yaptığı çalışmanın sonuçlarına bel bağlasa bile, kendi ifade ettiği genel görüş yine de ve her halükârda İDY’nin sorumluluğu altındadır.
Örneğin, bir genel görüş, bağımsız üçüncü taraflar veya düzenleyici otoriteler gibi kurum dışından birimlerin rapor ettiği sonuçlarla birlikte, kurumun yerel, bölgesel ve ulusal seviyelerinde rapor edilen tüm görev sonuçlarının bir özetine dayandırılabilir. Kapsam açıklaması; genel görüşün kapsadığı zaman periyodunu, faaliyetleri, kısıtlamaları ve genel görüşün sınırlarını tanımlayan diğer değişkenleri belirterek genel görüşün bağlamını anlamamızı sağlar.
İDY, genel görüşün dayandırıldığı görev sonuçlarını ve diğer raporları gözden geçirirken, bu sonuçların ve bildirilen diğer sonuçların yeterli, güvenilir, ilgili ve faydalı bilgilere
dayandığından emin olur. Ardından, İDY, genel görüşün dayandığı tüm bu bilgileri özetler.
Ek olarak, İDY, genel görüşün temeli olarak kullandığı ilgili risk veya kontrol çerçevelerini veya diğer kıstasları da tanımlar.
İDY, tüm bu ilgili bilgileri göz önünde bulundurarak, açık ve öz bir dille bir genel görüş ifade eder ve bu görüşün kurumun stratejileri, hedefleri ve amaçları ve karşılaşabileceği risklerle nasıl bir bağlantısı olduğunu açıkça dile getirir. Genel görüş bildirimi, Standart 2450’nin Yorumunda sıralanan 6 unsuru da içermelidir.
İfade edilen genel görüş olumsuz ise, İDY varılan bu sonucu destekleyen sebepleri ve gerekçeleri de açıklamalıdır.
Son olarak, İDY, genel görüşün ilgili taraflara nasıl (yazılı olarak mı yoksa sözlü olarak mı) iletileceğine karar verir. Genel görüşler, Standartlarda böyle bir şart olmamasına rağmen normalde yazılı olarak bildirilir. “Sonuçların Dağıtımı” başlıklı Uygulama Rehberi 2440, iletişimde dikkat edilmesi gereken ek noktalar konusunda ilave açıklamalar yapmaktadır.
İDY’nin bir genel görüş ifade etmek zorunda olmadığını; genel görüş beyan etmenin kurumun takdirinde olduğunu ve bu konunun yönetim kurulu ve üst yönetimle tartışılması gerektiğini belirtmekte de fayda vardır. Bununla birlikte, genel görüş talep edilmesi halinde, Standart 2450 bir genel görüşün iletişimiyle ilgili şartlar konusunda İDY’ne destek olabilecek ilave bilgiler de sunmaktadır.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Yazılı iletilen genel görüşlerde, normalde görüşün bir kopyası Standartlara uygunluğun gösterilmesi için yeterlidir. Sözlü iletilen genel görüşlerde ise, İDY’nin konu başlıkları, konuşma notları, kullandığı slaytlar veya benzeri dokümanlar kullanılarak Standartlara uygunluk gösterilebilir. Standart 2450’ye uygunluğu gösterebilecek ilave materyallere, genel görüşün dayandırıldığı nihai görev raporları ve dış raporlar, tutanaklar, e-postalar, yönetim kurulu toplantısı veya diğer toplantıların gündemleri ve toplantı tutanakları da dâhildir.
Başlarken
İç denetim yöneticisi (İDY), bu standardın gerekliliklerini yerine getirmek için öncelikle yönetim kurulu ve üst yönetimin, iç denetim faaliyetinin görev sonuçlarının takibinden ne anladığını ve hangi detayda bir takip beklediğini netleştirmelidir. Sonuçlar, güvence ve danışmanlık görevlerinde oluşan, düzeltici faaliyetlerin yerine getirilmesi için yönetime iletilen gözlemleri içerir.
Düzeltici faaliyetleri uygulamaktan sorumlu olan yönetimle sürekli iletişim içerisinde olunması gerekeceği göz önünde bulundurulduğunda, etkili ve verimli bir izleme süreci oluşturabilmek için yönetimin görüşlerini almak yararlı olacaktır.
Ayrıca, İDY etkinliği kanıtlanmış en iyi uygulamaları belirleyebilmek için diğer İDY’leriyle veya Uyum Yöneticileriyle kıyaslama (benchmarking) çalışmaları yürüterek takip edilecek konuların izlenmesi sürecini geliştirmek isteyebilir. Bu çalışmalar aşağıda sayılan konuları içerebilir:
• Gerekli otomasyon ve detay seviyeleri,
• Hangi gözlemlerin izleneceği (örneğin hepsi mi, sadece yüksek riskleri olanlar mı),
• Takip edilecek konuların son durumunun ne sıklıkla ve nasıl belirleneceği,