Başlarken
Bu Standardın gereğini yerine getirmek amacıyla, iç denetim yöneticisi (İDY) ve iç denetçiler, kontrol kavramını ve tipik kontrol süreçlerinin özelliklerini tam, eksiksiz ve net şekilde elde etmek suretiyle işe başlarlar. İDY ve iç denetçiler Uluslararası İç Denetim Mesleki Uygulama Standartlarının (Standartlar) terimler sözlüğü ile birlikte Uygulama Rehberi 2100 – İşin Niteliğinde verilen resmi kontrol tanımını dikkate almalıdırlar. Üst yönetimle ve yönetim kuruluyla görüşmeler yaparak, İDY, kurumun risk iştahını, risk toleransını ve risk kültürünü değerlendirecektir. İç denetçilerin kurumun bu hedeflere ulaşma kabiliyetini engelleyebilecek kritik riskleri ve bu riskleri kabul edilebilir bir düzeye indirmek için uygulanan kontrolleri anlamaları önemlidir.
İç denetçiler, anahtar kontroller hakkında daha önce yapılan değerlendirmelerin sonuçlarını, bu sonuçlara göre hazırlanan eylem planlarını ve işle ilgili olarak son zamanlarda yapılan ve yeni riskler yaratabilecek olan değişikliklerin potansiyel etkilerini gözden geçirmeyi faydalı bulabilirler. İç denetçiler, kurumun uymakla yükümlü olduğu yürürlükteki kanunlar ve mevzuat hakkında kurumun hukuk departmanına, uyum direktörüne veya diğer ilgili kişi ve organlara başvurmak da isteyebilirler. İç denetim faaliyetinin kanunlarda ve mevzuatta meydana gelen
Uygulama Rehberi 2130
Uluslararası Mesleki Uygulama Çerçevesi
değişiklikleri kurumun nasıl takip ettiğini ve bunlara uyumu nasıl temin ettiğini anlaması faydalı olur.
İç denetçilerin kurumun resmi veya gayri resmi olarak benimsediği ve uygulamaya koyduğu kontrol çerçevelerini tam ve detaylı kavraması ve COSO gibi küresel olarak kabul gören, kapsamlı kontrol çerçeveleriyle aşina olması önemlidir. Kontroller için öngörülen bileşenler, süreçler ile görev ve sorumluluk dağılımları farklı çerçeveler arasında benzer nitelikte olsalar da, farklı çerçevelerin kullandığı terminoloji birbirinden farklı olabilir.
İç denetçiler, etkin kontroller uygulamak ve sürdürmekle ilgili görev ve sorumlulukları da anlamalıdırlar. Normalde, kontrol sisteminin kurulması, yönetilmesi ve değerlendirilmesi süreçleri üst yönetimin gözetimi altındadır. Kendi ilgili alanları içerisinde kontrollerin değerlendirilmesinden genellikle yönetimin kendisi sorumludur. İç denetim faaliyeti, uygulanan kontrol süreçlerinin etkinliği hakkında değişen derecelerde güvence sağlar. Görev ve sorumluluk dağılımı, kuruma ilişkin bir yönetim kontrol politikasına da dâhil edilebilir.
Son olarak, iç denetim faaliyetinin kontrol sorunlarına dair planlama, denetim ve raporlama için kullandığı yerleşik bir sürecinin de bulunması gerekir.
Uygulamaya İlişkin Hususlar
İDY ve iç denetim faaliyetinin tamamı, bu Standardı uygulamak suretiyle, kurumun kontrol süreçlerini tam ve eksiksiz anladıklarını göstermeli, yönetimi yeni kontrol sorunları hakkında uyarmalı, düzeltici eylemler ve izleme konusunda gereken tavsiyeleri ve eylem planlarını sunmalıdır. İç denetim faaliyeti, kurumun kontrol süreçlerinin etkinliğini incelemek ve değerlendirmek için yeterli bilgi elde etmelidir.
Kontroller, kurum, birim ve işlem düzeylerinde riskleri azaltacak şekilde tasarlanır.
Kontrollerin etkinliği hakkında yetkin bir değerlendirme, bu düzeylerin her birinde hedeflerin karşı karşıya olduğu riskler bağlamında kontrollerin değerlendirilmesini gerektirir. Bir risk ve kontrol matrisi, iç denetçinin bu değerlendirmeleri kolaylaştırmasına yardımcı olabilir. Böyle bir matris, iç denetim faaliyetine aşağıdaki şekillerde destek olabilir:
Hem hedefleri, hem de bu hedeflere ulaşmanın önündeki riskleri tespit etmek.
Etki ve olasılık faktörlerini de dikkate alarak risklerin önem düzeylerini tespit etmek.
Önemli risklere verilebilecek uygun cevapların (örneğin, riski kabul etmek, takip etmek, transfer etmek, azaltmak veya riskten kaçınmak) aslını öğrenmek.
Yönetimin riskleri yönetmek için kullandığı anahtar kontrolleri belirlemek.
Kontrollerde etkinlik testi yapmanın uygun olup olmayacağını belirlemesinde yardımcı olmak üzere kontrollerin tasarım yeterliliğini değerlendirmek.
Yeterli olarak tasarlandığı belirlenen kontrollerin amaçlandığı gibi çalışıp çalışmadığını tespit etmek amacıyla test etmek.
Bir risk ve kontrol matrisinin kullanımı bağlamında, iç denetim faaliyeti, yönetimle görüşmeyi;
kurumun organizasyon planları, politikaları ve süreçlerini incelemeyi faydalı bulabilir. Kontrol tasarımının yeterliliği hakkında bilgi edinebilmek içinse yapısal gözden geçirmeler, araştırma ve anketler, iç kontrol soru formları ve akış şemalarını kullanmayı ve kontrollerin etkinliğini test etmek amacıyla ise incelemeler, mutabakat, sürekli denetim ve veri analizleri gibi yöntemleri kullanmayı faydalı bulabilir.
Kontrollerin verimliliğini değerlendirebilmek için, iç denetim faaliyeti, normalde, kurum yönetiminin kontrollerin maliyet ve faydalarını ölçüp ölçmediğini ve izleyip izlemediğini tespit eder. Bu değerlendirme, kontrol süreçlerinde kullanılan kaynakların maliyetinin faydalarını aşıp aşmadığının ve kontrol süreçlerinin işle ilgili önemli endişeler (örneğin, hatalar, gecikmeler ya da mükerrer iş gibi) yaratıp yaratmadığının tespit edilmesini de içerecektir.
İç denetçilerin bir kontrolün seviyesinin kontrolün ilgili olduğu risk için uygun olup olmadığını değerlendirmeleri de faydalı olabilir. Pek çok iç denetçinin ilişkiyi görsel olarak belgelemek amacıyla kullandığı araçlardan biri de, kontrolün etkinliğine karşı riskin önem düzeyinin grafiğini çizen ve gösteren bir risk ve kontrol haritasıdır.
Etkin kontrollerin uygulanması ve sürdürülmesinde sürekli gelişmeyi teşvik etmek amacıyla, iç denetim faaliyeti, yönetim kuruluna ve üst yönetime, bir genel değerlendirme sunar ya da münferit denetim görevlerinden toplanan kontrol değerlendirmelerinin sonuçlarını derler. İDY kurumda bir kontrol çerçevesi yoksa bir tanesinin uygulamaya alınmasını tavsiye edebilir. Ek olarak, iç denetçiler, kontrol ortamını geliştiren tavsiyelerde de bulunabilirler (örneğin, bir etik davranış kültürünü ve uyumsuzluğa karşı düşük toleransı teşvik eden kurumsal üst yönetiminin tavır ve duruşu).
İç denetim faaliyetinin kontrolün etkinliği konusunda sürekli iyileşmeyi teşvik etmek amacıyla alabileceği ek tedbirler şunları kapsar:
Kontroller hakkında eğitim vermek ve sürekli öz-gözetim süreçleri.
Yönetim için kontrol (veya risk ve kontrol) değerlendirme toplantılarını kolaylaştırmak.
Kurumun kontrollerle ilgili tasarım ve yürütme çalışmalarının kayda geçirilmesi, analiz edilmesi ve değerlendirilmesi amacına yönelik bir mantıksal yapının kurulması konusunda yönetime yardım etmek.
Kontrol eksikleri ve zayıflıklarının tespit edilmesi, değerlendirilmesi ve giderilmesi için bir sürecin kurulması ve geliştirilmesine yardımcı olmak.
Kontrol gereksinimleri ile ilgili ortaya çıkan sorunlar ve yeni çıkartılan kanunlar, yönetmelikler ve mevzuat hakkında bilgi sahibi olması konusunda yönetime yardım etmek.
Kontrollerin etkinliği ve verimliliği konusunda yardımcı olabilecek teknolojik gelişmeleri ve yenilikleri izlemek.
Uygunluğun Kanıtlanmasına İlişkin Düşünceler
Standart 2130 ile uyumu göstermek ve kanıtlamak için kullanılabilecek belgeler, iç denetim faaliyetinin kontrollerle ilgili değerlendirme ve test çalışmalarını kapsar. Bu tür dokümatasyon, normalde, denetçilerin çalışma kâğıtları ve belgelerinde mevcuttur ve şunları içerebilir:
Kontrolleri tartışmak amacıyla ilgili paydaşlarla yapılabilecek toplantıların tutanakları,
Risk ve kontrol matrisleri ve haritaları,
Gözden geçirme çalışmalarına ilişkin yazı ve metinleri,
Yönetimle yapılan görüşmeler, anket ve araştırma çalışmalarının sonuçları ve
Kontrol testlerinin sonuçları.
Bu standarda uyum, planlarla, münferit görevlere ilişkin raporlarla, denetim raporlarında açıklanan sorunların takibiyle ve/veya kontroller hakkında bir genel değerlendirmeyle de gösterilebilir. Yönetimin beklenen kontrolleri personeline bildirmek ve açıklamak amacıyla uygun bir işletme ve kontrol prosedürleri seti kullanması halinde, bu da uyumu gösteren bir faktör olabilir. Sürekli iyileşme, standart işletme ve kontrol prosedürlerinin değişen ortamları yansıtacak şekilde devamlı güncellenmesiyle de kanıtlanabilir.