Başlarken
İç denetçiler, üstlendikleri görevleri, yıllık iç denetim planında öngörülen hedef ve amaçları etkin bir şekilde gerçekleştirebilmek ve kurumun iç denetim faaliyeti konusunda tesis etmiş olduğu politikalara ve prosedürlere uyabilmek için dikkatli bir şekilde planlamalıdır. Görev planlaması, tipik olarak, yıllık iç denetim planını destekleyen belgelerin gözden geçirilmesiyle başlar.
İç denetçiler, denetlemekte oldukları alanın veya sürecin misyonunu, vizyonunu, amaçlarını, risklerini, risk iştahını, kontrol ortamını, yönetişim yapısını ve risk yönetim sürecini kavrayarak
Uygulama Rehberi 2201
Uluslararası Mesleki Uygulama Çerçevesi
işe başlarlarsa görevi etkin bir şekilde planlayabilirler. Bu amaçla yapılacak bir ön inceleme, iç denetçilerin denetleyecekleri alanı veya süreci yeterince kavramalarında yardımcı olabilecek değerli bir araç olabilir.
Risk ve kontrol matrisi hazırlamak – ya da mevcut bir matrisi gözden geçirmek– iç denetçilerin denetledikleri alanın veya sürecin amaçları, kaynakları ve/veya işleyişini etkileyebilecek riskleri tanımlamak amacıyla kullandıkları yaygın bir uygulamadır. Risk ve kontrol matrisi, hem tanımlanan anahtar riskler hakkında hem de hafifletici kontroller hakkında kritik geribildirimler sağlayabilir. Bu matris, denetlenecek alan veya süreç içerisinde yer alan alt-süreçlerin temel amaçlarını tanımlamak amacıyla da kullanılabilir.
Görev planlaması sırasında, iç denetçiler, alışıla geldiği biçimde, denetim müşterisinin politikaları ve prosedürleri hakkında bilgi toplar ve süreçlerde kullanılan bilgilerin ve kanıt olarak değerlendirilecek bilgilerin kaynakları, tipleri ve güvenilirliğiyle birlikte, denetledikleri alanın kullandığı BT (bilgi teknolojileri) sistemlerini anlamaya çalışır. İç denetçiler, diğer iç veya dış güvence sağlayıcılarının yaptıkları işlerin sonuçlarını ve/veya mevcutsa, denetledikleri alan veya süreçle ilgili daha önceki denetimlerin sonuçlarını da alır ve gözden geçirir.
İç denetçilerin, yeni süreçlerin veya koşulların yeni riskler yaratıp yaratamayacağını belirlemeleri önemlidir. Ek olarak, iç denetçilerin üstlendikleri denetimi etkin bir şekilde gerçekleştirebilmek için gereken iç denetim becerileri de dâhil olmak üzere, başlangıçta ihtiyaç duyulan kaynakları ve bilgileri belirlemeleri de faydalı olabilir.
Uygulamaya İlişkin Hususlar
Standart 2201’i uygulamak için, iç denetçilerin denetledikleri alanın veya sürecin misyonunu, stratejik amaçlarını, hedeflerini, anahtar performans göstergelerini, risklerini ve kontrollerini tanımlamaları, anlamaları ve kaydetmeleri önemlidir. Genellikle, iç denetçiler, tespit edilen risklerin yönetişim, risk yönetimi ve kontrol süreçleri yoluyla tolere edilebilir düzeyde idare edilip edilmediğini değerlendirirler.
İç denetçiler, denetlenen alanın yönetimiyle, stratejilerini ve hedeflerini anlamak amacına yönelik tartışmalar yapabilirler. Bu tartışmalar strateji ile ilgili belgelerin, iş planlarının, bütçelerin ve toplantı tutanaklarının gözden geçirilmesi ile desteklenebilir. Destekleyici dokümantasyonda önemli riskler tanımlanabilir. İç denetçiler, ilgili yönetiminin dikkate aldığı risk faktörlerini bağımsız bir gözle değerlendirebilmek için, söz konusu iş ve iş ortamı hakkındaki kendi bilgilerini kullanabilir.
Denetlenecek alanın veya sürecin stratejilerini, hedeflerini ve risklerini anlamak, iç denetçilerin yönetişim, risk yönetimi ve kontrol süreçlerinin yeterliliğini ve etkinliğini değerlendirmelerinde yardımcı olabilir. İç denetçiler yönetişim, risk yönetimi ve kontrol süreçlerini kavrayabilmek amacıyla organizasyon yapısını, yönetimin rol ve sorumluluklarını, yönetim raporlarını ve işletme prosedürlerini gözden geçirebilir. İç denetçilerin iş programına bazı testlerin
eklenmesine gerek olup olmadığını belirlemek amacıyla bir görevin planlama aşamasında toplantı notlarını gözden geçirmeleri de önemlidir.
Yönetim; Sarbanes-Oxley (A.B.D.), Turnbull (Birleşik Krallık) veya başka bir kurallar bütününe ait düzenleyici koşulları yerine getirmek amacıyla süreç akış ve kontrol kayıt belgelerini tutabilir. İç denetçiler, anahtar kontrolleri belirlemek için bu dokümantasyonu inceleyebilir. Daha sonra, iç denetçiler, değerlendirmeye yardımcı olmak gayesiyle, COSO veya ISO 31000 gibi bir ilgili çerçeveyi veya modeli kullanmayı da düşünebilir.
Görev planlaması sırasında, iç denetçilerin iç denetim faaliyetinin nasıl değer katabileceğini dikkate almaları da önemlidir. Bu amaçla, iç denetçiler, kurumun yönetişim, risk yönetimi ve kontrol süreçlerinde önemli geliştirmeler yapma fırsatlarını belirlemek için mesleki sağduyu, bilgi birikimi ve tecrübelerini kullanır.
Bir görevi planlarken, iç denetçiler, Standart 2210 – Görev Amaçları ve Standart 2220 – Görev Kapsamına uygun olarak görevin amaçlarını ve kapsamını belirler. Bunu yapmak, iç denetçilerin denetlenen süreç veya alanda neyin test edilmesi gerektiğini dikkate almalarına olanak sağlar. Ayrıca bu yaklaşım, iç denetçilerin görevin kapsamı içerisindeki alanları, tespit ettikleri risklerin önem düzeyine göre öncelik sırasına koymalarına da olanak verir. Öncelik sırası, genellikle, bir riskin gerçekleşme olasılığıyla ve bu riskin meydana geldiği takdirde kurum üzerinde yapacağı etkiyle belirlenir. Daha yüksek gerçekleşme olasılığı ve daha büyük etkiye sahip risklere genellikle testler için en yüksek öncelik verilir.
Ek olarak, iç denetçiler genellikle denetlenen alanda veya süreç içinde çalışan kişilerle de konuşur. Bu yaklaşım, görevi çevreleyen koşulları daha iyi anlamalarını ve görev planlamasını daha etkin yapmalarını da sağlayabilir.
Uygulama Rehberi 2210 – Görev Amaçları ve Uygulama Rehberi 2220 – Görev Kapsamı da bu konuda ek rehberlik sağlamaktadır.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Bu Standarda uyumu gösteren belgeler, diğer hususların yanı sıra iç denetçilerin Standart 2201’de sayılan kıstasları dikkate aldıklarını gösteren, iyi dokümante edilmiş planlamaya ilişkin iç yazışmayı (planlama bildirisi) içerir. Bir sürece ait baştan sona inceleme (walkthrough) notları, süreç akış şemaları, çalışma kâğıtları ile risk ve kontrol matrisi gibi başka belgeler de bu standarda uyumu gösterebilir.
Ek olarak, iç denetçilerin elinde, genellikle, denetledikleri alanın politikaları ve prosedürleri arasında tespit etmiş olabilecekleri boşluklara ilişkin belgeler de bulunur ve bu da uyumu göstermek için kullanılabilir. Kurumun yönetişim, risk yönetimi ve kontrol süreçlerinde önemli iyileştirmeler yapma fırsatları ise toplantı tutanakları, sunumlar veya yönetime ibraz edilen nihai raporda kayıt altına alınabilir.