Başlarken
Görev planı yaparken, iç denetçiler, görev hedeflerine (bkz. Standart 2240 – Görev İş Programı) ulaşmak amacına yönelik bir iş programı geliştirmek zorundadır. Güvence görevleri için geliştirilen iş programı, görev bilgilerini (Standart 2240.A1) toplama, analiz, değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır. 2300 standartlar serisi, bu planlı prosedürlerin pratikte nasıl uygulanacağını tanımlar.
Standart 2320’ye göre, iç denetçiler, herhangi bir sonuca varmadan önce, görev sırasında elde ettikleri bilgileri analiz etmeli ve değerlendirmelidirler. Görev planlaması yaparken ve bir iş programı geliştirirken, iç denetçiler, kontrol tasarımının yeterli olup olmadığına ilişkin değerlendirme yapmak ve risk-kontrol matrisi hazırlamak da dâhil olmak üzere, muhtelif görev basamaklarını tamamlamış ve önemli bilgiler üretmiş olabilirler. Bu iş programı, sıklıkla, tamamlanan işi, üretilen bilgiyi ve neticesinde alınan kararları belgelendiren çalışma kâğıtlarıyla bağlantılıdır. Tipik çalışma kâğıtlarına örnek olarak; riskler, kontroller, test
Uygulama Rehberi 2320
Uluslararası Mesleki Uygulama Çerçevesi
yaklaşımı, görüşme özetleri, elde edilen sonuçlar, kanıtlar ve varılan sonuçlar arasındaki bağlantıyı belgelendiren risk-kontrol matrisinden ve ayrıca, planlama notu veya kontrol listesinden, akış şemalarından veya kilit süreçlerin açıklayıcı tanımlarından ve süreç-seviyesinde risk haritasından söz edebiliriz.
Uygulamaya İlişkin Hususlar
Görevin planlama aşamasından gerçekleştirilme aşamasına geçiş birbirinden belirgin bir şekilde ayrılamayabilir, çünkü her iki aşama da belirli ölçülerde denetim bilgisinin analizini ve değerlendirilmesini kapsamaktadır. Planlama aşamasında, iç denetçiler, sık sık mevcut kontrolleri tespit ederler ve tasarımlarının yeterli olup olmadığını değerlendirirler, çünkü bu değerlendirme onların hangi kilit kontrollerin etkinliğini test etmeleri gerektiğini tespit etmelerine olanak verir.
Görevin ifası, genellikle, kilit kontrollerin verimliliği hakkında gereken veri ve kanıtları toplamak amacıyla, iş programında tanımlanan ve yapılması gereken testleri kapsar. İç denetçilerin, mevcut risk-kontrol matrisine ve iş programına dayanarak yapılacak çalışmaya özgü prosedürlerin ve testlerin bir listesini elde etmeleri kuvvetle muhtemeldir. Genellikle iş programında yer alan diğer unsurlar arasında yönetimin yaptığı beyan ve taahhütler; testlerin hedefleri, kıstasları, yaklaşımı, prosedürleri ve test edilecek ana kütle ve ayrıca, örnekleme yöntemi ve örneklem boyutları bulunur. Bununla birlikte, bazı ayrıntıların görev ifasının ilk aşamalarında belirlenmesi yine de gerekli olabilir.
Sonuç olarak, iç denetçiler, iş programını uygulamalarının neticesinde belirli somut sonuçlara (örneğin, kontrollerin riskleri kabul edilebilir bir seviyeye indirmede etkili olup olmadığına dair sonuçlara) ulaşmak isterler. Hem kontrollerin tasarım yeterliliği hem de operasyonel verimliliği hakkında yeterli bilgiye sahip olan iç denetçiler, mevcut kontrollerin incelenen alan veya süreçlere ilişkin hedefleri gerçekleştirmek için yeterli olup olmadığı konusunda bir sonuca varabilirler.
Testlerin derecesi, test sonuçlarının iç denetçilerin nihai kanaatlerini veya önerilerini dayandırabilecekleri yeterli denetim kanıtı üretmiş olup olmamasına bağlıdır. İş programında öngörülen test prosedürleri bir kanaate varmak ve tavsiyede bulunmak için yeterli bilgi sağlamıyorsa, iç denetçilerin test planını değiştirmeleri ve ek testler yapmaları gerekebilir.
Standart 2240.A1, iş programında yapılan değişikliklerin derhal onaylanmasını gerektirir.
Analizler
Test yaklaşımları, sıklıkla, manuel denetim prosedürleri ve bilgisayar destekli denetim tekniklerinin (CAAT) bir kombinasyonunu kapsar; bilgisayar destekli denetim teknikleri
(CAAT), genelleştirilmiş denetim yazılım programlarından ve diğer yazılım ve sistemlerin işlem kontrol mantığını ve kontrollerini test etmek konusunda uzmanlaşmış muhtelif programlardan oluşurlar. Daha önce tanımlanan test bilgileri gibi, göreve ilişkin test prosedürleri de, genellikle, görev iş programının geliştirilmesi sırasında belirlenir (Standart 2240).
İç denetçiler, ana kütlenin tamamını test edebilecekleri gibi, sadece temsili nitelikte seçilmiş bir örneklem grubunu da test edebilirler. Bir örneklem grubu seçmeyi tercih ettikleri takdirde, iç denetçiler, seçilen örneklemin ana kütlenin tamamını ve/veya sonuçların genelleştirileceği zaman diliminin tamamını temsil ettiğinden emin olmak için belirli yöntemler uygulamakla yükümlüdürler. CAAT'lerin kullanılması, sadece bir örneklem grubunun değil, ana kütlenin tamamının analiz edilmesine olanak sağlayabilir. Örnekleme teknikleri ve CAAT’ler ile ilgili ek bilgiler, IIA'nın Ek Kılavuzlarında bulunabilir.
Basit manuel denetim prosedürleri, soruşturma (örneğin, görüşmeler veya anketler), gözlem ve inceleme yoluyla bilgi toplanmasını içermektedir. Diğer manuel denetim prosedürlerinin uygulanması daha fazla zaman alabilir, ancak genellikle daha yüksek seviyede bir güvence sağlar. Manuel denetim prosedürlerine örnek olarak aşağıdakileri sayabiliriz:
Geçmiş kanıtlarla teyit işlemi (Doğrulamak, belge kontrolü –Vouching-) - İç denetçiler, belgelenmiş veya kaydedilmiş bilgilerin somut bir kaynağa veya önceden hazırlanmış bir kayıta kadar geriye doğru izleyerek geçerliliğini test ederler.
İzleme - İç denetçiler, bir belge, kayıt ya da somut bir kaynaktan daha sonra hazırlanan belgelere kadar mevcut bilgileri izleyerek, belgelenmiş veya kaydedilmiş bilgilerin tam ve eksiksiz olup olmadıklarını test ederler.
Tekrardan yapma/hesaplama - İç denetçiler, kontrolün operasyonel verimliliğiyle ilgili doğrudan kanıtlar sağlayabilecek şekilde işlemi/görevi yeniden ifa ederek kontrolün doğru olup olmadığını test ederler.
Bağımsız Teyit (Mutabakat) – İç denetçiler, bağımsız bir üçüncü taraftan bilginin doğruluğuna dair yazılı teyit (mutabakat) talep ederler ve alırlar.
Aksini gösteren bir durum söz konusu olmadıkça mevcut bilgiler arasında belirli somut bağlar ve ilişkiler olmasının makul olarak beklenebileceği kabulü ile ve bağımsız (yani, tarafsız) bir kaynağa dayanarak mevcut somut bilgilerin beklentilerle karşılanması amacıyla analitik prosedürler kullanılır. Analitik prosedürler, görev planlamasında da (2200 standartlar serisi) kullanılabilir. Analitik prosedürlere örnek olarak aşağıdakileri sayabiliriz:
Oran (rasyo), eğilim ve regresyon analizi.
Yerindelik (makul olup olmadığı) testleri.
Dönemden döneme karşılaştırmalar.
Tahminler.
Benzer sektörler veya iş birimleri ile kıyaslama (benchmarking).
İç denetçiler, beklentilerden önemli sapmaları da, bu sapma ve değişimin sebeplerini (örneğin, suiistimal, hata veya koşullarda değişiklikler gibi sebepler) ve/veya makul olup olmadığını tespit etmek amacıyla araştırabilirler. Sebebi açıklanamayan sonuçlar, ilave izleme ve takip yapılması gerektiğine dair bir işaret olabilir ve üst yönetime ve yönetim kuruluna bildirilmesi gereken önemli bir sorunun varlığına işaret edebilir (bkz.
Standart 2060 - Üst Yönetim ve Yönetim Kurulu’na Raporlamalar).
Değerlendirmeler
İç denetçiler, görevleri esnasında elde ettikleri ve keşfettikleri bilgileri değerlendirmek ve mantıklı sonuçlara varmak için kendi deneyimleri, mantıkları ve mesleki şüpheciliklerinden faydalanırlar. İç denetçiler, genellikle, görevlerine objektif ve sorgulayıcı bir yaklaşımla yaklaşırlar ve temel stratejileri, görev amaçlarına ulaşmalarına olanak sağlayabilecek bilgileri aramaktır. Görev sürecinin her adımında, o ana kadar topladıkları kanıtların bir kanaate varmak ve/veya tavsiyede bulunmak için yeterli ve uygun olup olmadığını değerlendirmek gayesiyle mesleki deneyimleri ve mesleki şüpheciliklerinden yararlanırlar. 2330 – Bilgilerin Kayıtlı Hâle Getirilmesi standardına göre, iç denetçilerin görev sonuçlarını ve çıkarımlarını mantıksal olarak destekleyen bilgileri kaydetmeleri gerekmektedir. Bununla birlikte, bu durum, iç denetçilerin, sonuçlarla çelişebilecek nitelikteki önemli bilgileri göz ardı etmeleri gerektiği anlamına gelmez.
İç denetçiler, sıklıkla, bir hatanın, sorunun, kaçırılmış fırsatın veya uyumsuzluk durumunun nedenini belirlemek amacına yönelik bir kök sebep analizi gerçekleştirirler. Kök sebep analizleri, iç denetçilerin kurumun yönetişim, risk yönetimi ve kontrol süreçlerinin etkinliğini ve verimliliğini geliştiren fikirler üretmelerini sağlar. Ancak, bu analizler, bazen ilgili konuda uzmanlık ve zaman gibi kapsamlı kaynakları da gerektirir. Bu nedenle, bir kök sebep analizi yaparken, iç denetçiler, gerekli kaynak ve sağlanacak faydaları gözeten bir mesleki özen göstermelidir. (Standart 1220.A1).
Karmaşık konular daha dikkatli ve sıkı analizler gerektirse de, belirli bazı durumlarda bir kök sebep analizi, sapmanın temel nedenini belirlemeye yönelik bir dizi "neden" sorusu sormak kadar basit olabilir. Örneğin:
İşçi düştü. Neden? Çünkü zeminde yağ vardı. Neden? Çünkü bir parça yağ sızdırıyordu.
Neden? Çünkü parça sürekli arızalanıyor. Neden? Çünkü o parçanın tedarikçisinin kalite standartları yetersiz.
Kök sebeplerin birçoğunun izi, sürecin en başında bir kişinin veya birden fazla kişinin konu hakkında aldığı kararlara ve bu kişi veya kişilerin fiil veya ihmallerine kadar sürülebilir.
Bununla birlikte, iç denetçiler mevcut nicel ve nitel veriler hakkında bir analiz yapmış olsalar bile gerçek kök sebebi belirlemenin yine de zor olduğu ve sübjektif olabileceği durumlar da söz konusu olabilir. Bazı durumlarda, bir sorunun kök sebebi, değişen farklı etki derecelerine sahip pek çok hatanın bir araya gelmesinden kaynaklanabileceği gibi, bazı diğer durumlarda da, kök sebep, kurumsal kültür gibi çok daha geniş bir sorunla ilişkili bir risk üzerinde düğümlenebilir.
Bu nedenle, iç denetçiler, birden fazla iç ve dış paydaştan aldıkları katkı ve görüşleri bu kök sebep analizinde dikkate almayı da faydalı bulabilir. Bazı durumlarda, iç denetçiler, bir sorunun kök sebebi olarak çeşitli farklı senaryoların bağımsız ve objektif bir değerlendirmesini yapabilir ve bu değerlendirmeye dayanarak tespit ettikleri çeşitli farklı olası kök sebepleri yönetimin değerlendirmesine sunabilirler. Bir kök sebep analizini gerçekleştirmek için gereken zaman veya becerilerin iç denetim faaliyetinde mevcut olan becerileri ve iç denetim faaliyetinin sahip olduğu zamanı aştığı durumlarda, iç denetim yöneticisi, yönetime, buzdağının altında yatan sorunu ele almasını ve kök sebebi tespit etmek için daha fazla çalışma yapmasını tavsiye edebilir.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Çalışma kâğıtları, genellikle, okuyucunun sonuçların dayandığı esasları anlamasına imkân sağlamak için, görev kapsamındaki analizler, sonuçlar ve çıkarımlarla ilgili yeterli bilgi içerir.
Çalışma kâğıtları, aynı zamanda, iç denetçilerin kullandığı test edilecek ana kütleyi, örnekleme sürecini ve örnekleme yöntemini de açıklar. İş programında çalışma kâğıtları çapraz referanslarla işaretlenir. Görevle ilgili gözden geçirme ve incelemeler de konu hakkında ek doğrulama yapılmasına olanak sağlayabilir (Standart 2340 - Görevin Gözetim ve Kontrolü).