Başlarken
Uluslararası İç Denetim Mesleki Uygulama Standartlarında, görev süreci, her birini temsil eden bir dizi standartla üç aşamaya bölünmüş bulunmaktadır: planlama (2200 serisi), yürütme ve gözetim (2300 serisi) ve raporlama (2400 serisi). Gerçekte, bu gruplar kapsamındaki standartlar ayrı ayrı ve sıralı bir şekilde uygulanmazlar. Daha ziyade, bazı görev işleri planlama süreci esnasında uygulanabilirler ve bir görevin yürütülmesi süresince planlama, gözetim ve raporlama işlemleri meydana gelir. Bu yüzden, bir görevin yürütülmesine hazırlanırken, iç denetçiler tarafından, üç grup standardın ve uygulama rehberlerinin tümünün eşzamanlı olarak gözden geçirilmesi gereklidir.
Bir görevin yürütülmesinden önce, iç denetçiler, planlama süreci esnasında toplanan ve aşağıdakileri de içermesi gereken bilgileri gözden geçirmekten fayda sağlayabilirler:
İç denetim faaliyeti tarafından yapılan ön risk değerlendirmesinin sonuçlarını yansıtan görev amaçları (Standart 2210 – Görev Amaçları ve Standart 2210.A1).
Denetlenmekte olan alan veya sürecin yönetişimini, risk yönetimini ve kontrollerini değerlendirmek amacıyla kullanılacak kıstaslar (Standart 2210.A3).
Uygulama Rehberi 2300
Uluslararası Mesleki Uygulama Çerçevesi
Görev iş programı (planlama aşamasında alınan karaları içerir), göreve konu olan işler ve ayrıca görevle ilgili bilgileri belirlemek, analiz etmek ve dokümante etmek için kullanılacak prosedürler (Standart 2240 – Görev İş Programı ve Standart 2240.A1).
Planlama aşamasında yapılan işler genel olarak çalışma kâğıtlarında dokümante edilir ve iş programında bunlara atıf yapılır. Bu işler şunları da içerebilir:
Riskler ve kontroller ile test yaklaşımı, neticeler, gözlemler ve varılan görev sonuçları arasında bağlantı kuran risk ve kontrol matrisi,
Kontrol süreçlerinin süreç haritaları, akış şemaları ve/veya açıklayıcı tanımlamaları,
Kontrol tasarımının yeterliliği hakkında yapılan değerlendirme sonuçları,
Anahtar kontrollerin etkinliğini test etmek amacına yönelik plan ve yaklaşım.
Planlama aşamasında uygulanan analiz ve detayın seviyesi, iç denetim faaliyetine ve denetim görevlerine göre değişir. Kontrol tasarımının yeterliliğinin değerlendirilmesi genellikle görev planlama sürecinin bir parçası olarak tamamlanır, çünkü be değerlendirme iç denetçilere etkinlik bakımından test edilmesi gerekecek anahtar kontrolleri açıkça tespit etmelerinde yardımcı olur. Bununla birlikte, bu değerlendirmeyi yapmak için en uygun zaman, görevin niteliğine bağlıdır; şayet planlama esnasında tamamlanmadığı takdirde, kontrol tasarımını değerlendirme işlemi görevin ifasının belirli bir aşaması olarak gerçekleştirilebilir ya da iç denetçiler kontrollerin etkin olup olmadığını anlamak amacına yönelik testler yaparken kontrol tasarımını da değerlendirebilirler.
Uygulamaya İlişkin Hususlar
2300 serisi standartlar, planlama aşamasında belirlenen testlerin yapılmasını ve test sonuçlarının değerlendirilmesini ve dokümante edilmesini kapsar. İç denetçiler, görevin amaçlarına ulaşmak için ihtiyaç duydukları bilgiler üzerine kafa yorarken, hem yönetim kurulunun hem de üst yönetimin beklentilerinin de göz önünde bulundurulması gerekir.
Gereken bilgilerin ve uygulanan analizlerin türleri, ilgili görevin, varılan sonuçları ve/veya görevle ilgili bir mütalaayı da kapsayan bir güvence (Standart 2410.A1) ya da danışmanlık ve tavsiye (Standart 2410.C1) sağlayacak bir biçimde tasarlanıp tasarlanmadığına bağlı olabilir.
İç denetçiler, üstlendikleri görevlere, objektif, fakat araştırmacı ve meraklı bir bakış açısıyla yaklaşır ve görevin amaçlarına ulaşmalarına yardımcı olabilecek bilgileri (örneğin, denetim kanıtları ve bulguları) stratejik yollarla arar. Görev süreci içerisinde attıkları her adımda, iç denetçiler, genel sonuçların ve/veya tavsiyelerin formüle edilebileceği makul bir temel oluşturmak için mevcut bilgilerin yeterli ve uygun olup olmadığını ya da ek bilgilerin toplanmasına gerek olup olmadığını değerlendirmek için bilgilere mesleki bir şüphecilikle yaklaşır. Standart 2330 – Bilgilerin Kayıtlı Hale Getirilmesi, iç denetçilerin görevin gerçekleştirilmesi ile elde edilen bilgileri dokümante etmesini gerektirir; kanıtlar görev sonuçlarını mantıksal olarak desteklemelidir.
Standart 2310 – Bilgilerin Tespiti ve Tanımlanması yorumunda şu ibareler bulunmaktadır:
“Yeterli bilgi, gerçeklere dayanan, uygun ve ikna edici olmak zorundadır ki sağduyulu, bilgili bir kişi iç denetçi ile aynı sonuçlara varabilsin.” Bu sebeple, görev bilgilerinin, başka bir iç denetçi ya da bir dış değerlendirici gibi sağduyulu, bilgili bir kişinin de görevi tekrarlayabileceği ve iç denetçinin sonuçlarını teyit ederek ve mantıksal olarak aynı sonuçlara ulaşabileceği şekilde toplanması ve dokümante edilmesi gerekir.
İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını uygun analiz ve değerlendirmelere dayandırmak zorundadır (bakınız Standart 2320 – Analiz ve Değerlendirme). Güvence görevleri ve bazı danışmanlık görevlerinde nihai amaç, anahtar kontrollerin tasarımının ve işleyişlerinin göreve konu olan alanın veya sürecin hedeflerini gerçekleştirme kabiliyetini destekleyip desteklemediği hakkında sonuçlara varmaktır.
İş programının bir parçası olarak, iç denetçiler, çoğunlukla, yeterli olarak tasarlanmış anahtar kontrollerin etkin biçimde işlediklerine dair kanıt toplamak amacına yönelik test planları oluşturur (bakınız Standart 2240 – Görev İş Programı). Genellikle, ikincil kontrollerin (yani, süreci iyileştiren, fakat olmazsa olmaz ve şart olmayan kontroller) ve bir tasarım zayıflığı bulunan kontrollerin (yani, usulüne uygun çalışsalar bile amaçlarına ulaşma ihtimali bulunmayan kontroller) etkinlik testi seviyesine kadar çıkmaları gerekmez. Test planının detayları yeterli değilse, iç denetçilerin yeterli bilgi toplayabilmek için gereken test kıstasları ve örneklem ana kütlesi, örnekleme yöntemi ve örneklem büyüklüğü gibi ilave test detayları sağlamaları gerekebilir. Standart 2240.A1, iş programı için gereken düzenlemelerin hemen onaylanmasını gerektirir.
İç denetçilerin değerlendirmeye yönelik yaklaşımları, sıklıkla, manuel denetim prosedürleri ve bilgisayar-destekli denetim tekniklerinin (CAAT) bir bileşimini içerir. Manuel denetim prosedürlerinin genel sınıflandırması ise, sorgulama (yani, mülakatlar veya anket çalışmaları), gözlem, inceleme, doğrulama (vouching - evrak kontrolü ve incelemesi), izleme (tracing), tekrar hesaplama, mutabakat ve analitik prosedürler (yani, oran analizi, trend analizi veya karşılaştırma) gibi yöntemleri kapsar. CAAT ise, genelleştirilmiş denetim yazılım programlarını ve diğer yazılım ve sistemlerin işleyiş mantığı ve kontrollerini test eden özel programları kapsar. Değerlendirme prosedürleri, Uygulama Rehberi 2320 – Analiz ve Değerlendirme başlığı altında daha ayrıntılı olarak ele alınmaktadır.
Değerlendirmeler tamamlandıkça, elde edilen sonuçlar, tipik olarak çalışma kâğıdı olarak dokümante edilen risk ve kontrol matrisine eklenecek bir sütuna kaydedilebilir. Matrise yapılan girişler, genellikle, kullanılan test prosedürlerinin ve analizlerin detaylarını, varılan sonuçları ve iç denetçinin vardığı sonuçları destekleyen ilaveleri dokümante eden ek çalışma kâğıtlarına yapılan referansları veya bağlantıları da içerir. İç denetim çalışmasının bilgileri, test sonuçları ve varılan sonuçların temelleri de yapılan işlerin özeti biçiminde sunulabilir.
İç denetim yöneticisi, genellikle, iç denetim faaliyetinin politikalar ve prosedürler elkitabında çalışma kâğıdı dokümantasyonuna yönelik ortak bir yaklaşım tesis eder. Dokümantasyon
konusu, Uygulama Rehberi 2330 – Bilgilerin Kayıtlı Hâle Getirilmesi başlığı altında daha detaylı olarak ele alınmaktadır.
Uygunluğun Kanıtlanmasına İlişkin Düşünceler
Standart 2300’e uyumu, varılan sonuçları, yapılan mütalaaları ve/veya verilen tavsiyeleri destekleyen mantık silsilesi ile beraber görev sırasında gerçekleştirilen eylemleri, analizleri ve değerlendirmeleri tanımlayan görev çalışma kâğıtları da kanıtlayabilir. Çalışma kâğıtları, normalde, görev esnasında kullanılan yazılım veya CAAT’ların bir tanımını da içerir. Ek olarak, nihai görev raporları genelde uygunluğun göstergesidir. Görev sonrası anketler veya başka geribildirim mekanizmaları, yönetim kurulunun ve üst yönetimin bakış açısından, görevin amaçlarına ulaşıldığını teyit edebilir. Görevin gözetiminin dokümantasyonu da uygunluğa ilişkin kanıtlar sağlayabilir.