Başlarken
İç denetim faaliyeti; yönetişim, risk yönetimi ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek için sistematik ve disiplinli bir yaklaşım uygular. Sistematik ve disiplinli yaklaşım, bir görevin sonuçlarına ve iç denetçilerin kanaatlerine destek olmak amacıyla bilgileri tespit etmelerini, tanımlamalarını, analiz etmelerini, değerlendirmelerini ve belgelendirmelerini gerektirir. Standart 2310, bu şekilde tespit edilmesi ve tanımlanması gereken bilgilerin kıstaslarını tanımlar.
İç denetçiler, görevi planlarken, denetim kanıtlarını da içeren bilgileri toplayarak işe başlar.
Görev amaçlarının ve görev iş programının gözden geçirilmesi, iç denetçilerin yeterli, güvenilir,
Uygulama Rehberi 2310
Uluslararası Mesleki Uygulama Çerçevesi
ilgili ve faydalı bilgileri ayırt etmelerine ve tanımlamalarına yardımcı olur. İş programı, iç denetçilerin görevi gerçekleştirmek için kullandıkları prosedürleri düzenler.
İç denetçilerin göreve başlamadan önce kişisel verilerin korunması ile ilgili kanunları ve kurumun konuyla ilgili politikalarını gözden geçirmesi faydalı olabilir. İç denetçiler, kişisel veri ve bilgilere erişim konusunda ortaya çıkabilecek soruları, sorunları veya kaygıları gidermek için kurumun hukuk danışmanına ya da başka ilgili konu uzmanlarına da danışabilir.
Bilgilerin tespit edilmesi ve tanımlanması süreci, bir tarafta iç denetçi ile diğer tarafta kurum personeli, özellikle de denetlenmekte olan alan veya süreçte doğrudan görev yapan personel arasında kurulan işbirlikçi ve açık iletişimle kolaylaştırılır. Etkin iletişim kanalları kurmak ve sürdürmek, görevi yapmanın önemli bir gerekliliğidir. İç denetim faaliyetinin bağımsızlığı da açık iletişim için elzem olan bir özelliktir (bakınız Standart 1110 – Kurum İçi Bağımsızlık).
Uygulamaya İlişkin Hususlar
Görev planlaması esnasında, iç denetçiler, genellikle, denetime konu olan birim/bölüm hakkında bilgiler toplarlar ve bu bilgileri çalışma kâğıtlarında kayıt altına alır. Planlama aşamasında uygulanan analiz ve detay seviyesi, iç denetim faaliyetine ve görevine göre farklılık gösterir. Görev planlamasının bir parçası olarak kontrol tasarımının yeterli olup olmadığı sıklıkla değerlendirilir, çünkü bu değerlendirme iç denetçilere etkinlik açısından test edecekleri anahtar kontrolleri tespit etmelerinde yardımcı olur. Böylelikle, kontrol süreçlerinin tasarımının test edilmesi sonucu da denetim kanıtları elde edilebilir.
Standart 2310’a göre, denetim bilgilerinin güvenilirliği, uygun görev tekniklerinin kullanılmasına bağlıdır. Bazı teknikler diğerlerinden daha çok zaman alır veya daha fazla kaynağın kullanılmasını gerektirir, fakat bu yatırıma değebilir, çünkü bu teknikler daha yüksek bir güvence seviyesi temin ederler. Genelde, basit manuel denetim prosedürleri aşağıda sayılanları kapsayabilir:
Denetlenmekte olan alanın malvarlığı gibi fiziksel kanıtların incelenmesi.
Denetime konu olan birimden/bölümden veya dış kaynaklardan alınan belgelerin incelenmesi.
Mülakatlar, anketler ya da risk ve kontrol öz-değerlendirmeleri yoluyla kanıtların toplanması.
Devam etmekte olan bir süreci incelemek amacıyla işleyişin baştan sona gözden geçirilmesi (walk-through).
Teknoloji vasıtasıyla sürekli izlenen verilerin incelenmesini.
Bilgilerin analiz edilmesi ve değerlendirilmesi amacına yönelik daha karmaşık prosedürler, Uygulama Rehberi 2320 – Analiz ve Değerlendirme başlığı altında daha detaylı tartışılmaktadır.
Bilgiler güncel ise ya da doğrudan doğruya iç denetçi tarafından bizzat (örneğin, bir sürecin gözlemlenmesi veya ilgili dokümantasyonun incelenmesi) veya bağımsız üçüncü bir şahıstan alındıkları veya doğrulandıkları takdirde, bilgilerin yeterliliği ve güvenilirliği de artar. Bilgiler,
kontrollerin etkin ve sağlıklı bir şekilde işlediği bir sistemden alındıkları takdirde yine daha güvenilir olurlar.
Belki, yeterli ve güvenilir bilgilerin en önemli özelliklerinden biri, o şekilde toplanması ve belgelendirilmesidir ki, sağduyulu, bilgili bir kişinin (örneğin, bir iç denetim şefi veya bir dış değerleme uzmanı) çalışma kâğıtlarında tanımlanan adımları ve testleri tekrarladığında, aynı sonuçları elde edebilmesi ve işi yapan iç denetçilerle aynı sonuçlara mantıksal olarak varabilmesi mümkün olsun. Bu nedenle, iç denetim yöneticisinin (İDY) tercih edilen terminoloji ve standardize edilmiş notasyon ve simgeler (örneğin, semboller ve işaret çentikleri) de dâhil bir dokümantasyon sistemi kurması ve iç denetçilerin de bu sistemi istikrarlı bir biçimde kullanmaları önemlidir. Dokümantasyon konusu, Uygulama Rehberi 2330 – Bilgilerin Kayıtlı Hâle Getirilmesi başlığı altında daha detaylı irdelenmektedir.
Görev kaynakları sınırsız olmadıkları için, iç denetçilerin en ilgili ve en faydalı olan bilgileri (yani, görevin gözlemlerini ve tavsiyelerini destekleyen ya da onlara güvenilirlik ve inandırıcılık kazandıran bilgiler) tespit etmeleri ve onlara öncelik sırası vermeleri önemlidir. İç denetçilerin münferit örneklere dayanmaktan ziyade tüm görev bilgilerini bir bütün olarak ve eleştirel bir gözle değerlendirmeleri de önemlidir, çünkü iç denetçilerin vardıkları sonuçlar ve yaptıkları tavsiyeler kesin olandan ziyade ikna edici olan bilgilere dayanır.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Standart 2310’a uyum elektronik ortamda veya kâğıt biçiminde saklanabilecek olan görev iş programıyla ve destekleyici görev çalışma kâğıtlarıyla kanıtlanabilir. Çalışma kâğıtları, genellikle, iş programı düzeninde ve sırasında organize edilirler ve ister münferit ve ayrı sayfalar olarak isterse bir bilgisayarlı denetim sistemindeki denetim adımları olarak mevcut olsunlar, çalışma programına ilişkilendirilir. Denetim görevinin gözetimi sonucunda, yeterli, güvenilir, ilgili ve faydalı bilgilerin tespit edilmesi ve tanımlanması yoluyla amaçları destekleyecek kanıtlar elde edilir.
Verilen bilgilerin kuruma faydalı olup olmadığını teyit etmek için, denetlenen alanda çalışan personele anketler yapılabilir (denetim raporu tamamlandıktan sonra). Ek olarak, iç denetim yöneticisi, verilen bilgilerin faydalı olup olmadığı hakkında kanıtlar sağlayabilecek olan ve yönetime bildirilen görev sonuçlarının nasıl kullanıldığını da izler ve takip eder.