Başlarken
İç denetim planının amacı, iç denetim faaliyetleri kapsamında, kurumun hedeflerine ulaşma kabiliyetini etkileyebilecek anahtar risklere en çok maruz kalan alanların yeterli düzeyde incelenmesini sağlamaktır. Bu standart, kurumun stratejileri, iş hedefleri, riskleri ve risk yönetim süreçlerini anlamak için üst yönetimle ve yönetim kuruluyla görüş alışverişinde bulunmak suretiyle iç denetim planı hazırlama çalışmalarına başlaması konusunda İç Denetim Yöneticisini (İDY) yönlendirir. Böylelikle, İDY, riski değerlendirmek, belgelemek, kayıt altına almak ve yönetmek üzere kurumun resmi bir risk yönetimi çerçevesi kullanıp kullanmadığı da dâhil olmak üzere, kurumsal risk yönetim süreçlerinin olgunluk seviyesini göz önünde bulundurur. Olgunluk seviyesi daha düşük olan kurumlar, resmi risk yönetimi araçlarını daha az kullanabilirler.
Uygulama Rehberi 2010
Uluslararası Mesleki Uygulama Çerçevesi
İDY, iç denetim planı hazırlama sürecinin bir parçası olarak, genellikle yönetimin yapmış olabileceği tüm risk değerlendirmelerinin sonuçlarını da gözden geçirir. İDY, kurum genelinde çeşitli kademelerdeki yöneticilerin yanı sıra yönetim kurulundan ve diğer paydaşlardan, risklerle ilgili ek bilgi ve girdiler toplamak üzere mülakat, anket, toplantı ve çalıştay gibi araçlardan istifade edebilir.
Uygulamaya İlişkin Hususlar
Kurumun risk yönetimine ilişkin yaklaşımı hakkında yapılacak bu gözden geçirme, İç Denetim Yöneticisine yürütülebilecek olası denetim görevlerinin bir listesinin çıkartılması ile sonuçlanan, denetime tâbi tutulabilecek tüm risk alanlarını içeren denetim evrenini nasıl organize edeceğine veya güncelleyebileceğine ilişkin karar vermesinde yardımcı olabilir.
Denetim evreni, kurumun stratejik planıyla bağlantılı projeleri ve girişimleri kapsar ve iş birimleri, ürün veya hizmet hatları, süreçler, programlar, sistemler veya kontroller esas alınarak tertiplenebilir.
Kritik risklerin belirli hedeflerle ve iş süreçleriyle ilişkilendirilmesi, İç Denetim Yöneticisinin denetim evrenini organize etmesine ve risklerle ilgili öncelik sıralaması yapmasına yardımcı olur. İDY, hem kurum içi hem de kurum dışı riskleri değerlendirmek için risk faktörü yaklaşımı kullanır. Kurum içi riskler, anahtar ürünleri ve hizmetleri, personeli ve sistemleri etkileyebilir.
İç risklerle ilişkili risk faktörleri yapılan son denetimden bu yana meydana gelen risk değişiminin derecesini, kontrollerin kalitesini ve diğer unsurları içermektedir. Dış riskler ise, rekabete, tedarikçilere veya diğer sektörel meselelere bağlı olabilir. Dış risklere ilişkin risk faktörleri, o tarih itibariyle devam eden mevzuat veya kanun değişiklik çalışmalarını ve diğer politik ve ekonomik faktörleri içerebilir.
Kurumun anahtar risklerinin tümünün (mümkün olduğu ölçüde) denetim evrenine dâhil edilmiş olmasını temin etmek için, iç denetim faaliyeti tipik olarak, üst yönetim tarafından tanımlanmış bulunan anahtar riskleri bağımsız bir şekilde gözden geçirir ve doğrular. Standart 2010.A1’e göre, iç denetim planı üst yönetim ve yönetim kurulunun girdileri göz önünde bulunduracak şekilde en az yılda bir kez yapılan yazılı bir risk değerlendirmesine dayanmak zorundadır.
Terimler Sözlüğünde belirtildiği gibi, riskler etki ve olasılık açılarından ölçülür.
İç denetim planını geliştirirken, İDY, hem yönetim kurulu ve/veya üst yönetimin taleplerini hem de iç denetim faaliyetinin diğer kurum içi ve kurum dışı güvence sağlayıcılarının çalışmalarına itimat dip edemeyeceğini göz önünde bulundurur (Standart 2050 uyarınca).
Yukarıda bahsi geçen bilgiler toplandıktan ve gözden geçirildikten sonra, İDY, genellikle aşağıdakileri kapsayan bir iç denetim planı geliştirir:
Teklif edilen denetim görevlerinin bir listesi (ve üstlenilecek görevlerin güvence görevleri mi yoksa danışmanlık hizmetleri mi olduğuna dair açıklama).
Teklif edilen görevlerin her birinin seçim gerekçeleri (örneğin, risk derecelendirme, son denetimden bu yana geçen süre, yönetimde meydana gelen değişiklikler vb.).
Teklif edilen her bir görevin amaç ve kapsamı.
İç denetim stratejisinden ortaya çıkan, fakat bir denetim göreviyle doğrudan ilgili olmayan girişimlerin ve projelerin listesi.
Her ne kadar denetim planlarının yıllık olarak hazırlanması olağan bir durum olsa da zaman zaman bir başka döngüye göre de hazırlanabilir. Örneğin, iç denetim faaliyeti 12 aylık bir denetim planı oluşturabilir ve üçer aylık dönemler halinde projeleri yeniden gözden geçirebilir.
Ya da, iç denetim faaliyeti, çok yıllık bir denetim planı hazırlayabilir ve bu planı yıllık olarak değerlendirmeye alabilir.
İDY, çeşitli paydaşların öncelikleri arasındaki uyumu sağlamak üzere, iç denetim planını yönetim kurulu, üst yönetim ve diğer paydaşlarla görüşür ve tartışır. İDY, aynı zamanda, plana dahil edilmeyen bazı risk alanlarının da olduğunu kabul eder ve bildirir. Örneğin, yapılan bu görüşmeler, yönetim kurulu ve üst yönetimin risk yönetimiyle ilgili görev ve sorumlulukları ile iç denetim faaliyetlerinin bağımsızlığı ve objektifliğini korumakla ilgili standartların (Standart 1100’den Standart 1130.C2’ye kadar) gözden geçirilmesine yönelik İDY için bir fırsat olabilir.
İDY, denetim planını son haline getirmeden önce, paydaşlardan aldığı tüm geri bildirimleri dikkatlice değerlendirir.
İç denetim planı, İç Denetim Yöneticisinin kurumun faaliyetlerinde, risklerinde, operasyonlarında, programlarında, sistemlerinde ve kontrollerinde meydana gelen değişiklikler doğrultusunda planı gözden geçirmesine ve gerekli gördüğü takdirde uyarlamasına olanak verebilecek esnekliktedir. Standart 2020 uyarınca, planda yapılan önemli değişikliklerin, gözden geçirmeleri ve onaylamaları için yönetim kurulu ve üst yönetime bildirilmesi zorunludur.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Standart 2010’a uyuma yönelik kanıtlar, belgelerle kayıt altına alınmış olan iç denetim planının yanı sıra planın hazırlanmasında esas alınan risk değerlendirmesinde de bulunmaktadır. Ayrıca, İç Denetim Yöneticisinin yönetim kurulu ve üst yönetimle denetim evrenini ve risk değerlendirmesini görüştüğü toplantılara ait tutanaklarda da destekleyici kanıtlar bulunabilir.
Ek olarak, kurumun çeşitli kademelerindeki münferit yöneticilerle yapılan benzeri görüşmeleri belgelendirmek amacıyla “görüşme notları” da kullanılabilir.