Gözden Geçirilmiş Standartlar, 1 Ocak 2017 tarihinden itibaren geçerlidir.
Başlarken
Güvence ve danışmanlık hizmeti sağlayanların görev ve sorumlulukları kurumdan kuruma değişiklik gösterir. Dolayısıyla, onların çalışmalarını koordine etme görevine başlarken, İç Denetim Yöneticisi (İDY), organizasyon şemasını ve yönetim kurulu toplantı gündemlerini veya tutanaklarını incelemek suretiyle, mevcut güvence ve danışmanlık hizmeti sağlayanların
Uygulama Rehberi 2050
Uluslararası Mesleki Uygulama Çerçevesi
üstlendikleri çeşitli rolleri saptar. Bu roller, genellikle, iç hizmet sağlayıcılar ya da dış hizmet sağlayıcılar olarak sınıflandırılır.
İç hizmet sağlayıcılar, doğrudan üst yönetime bağlı ya da üst yönetimin bir parçası olarak gözetim fonksiyonlarını yerine getirirler. Onların faaliyet alanları, çevre, finansal kontrol, sağlık ve güvenlik, BT güvenliği, hukuk, risk yönetimi, uyum ve kalite güvencesi gibi konuları içerebilir. IIA’nın (Uluslararası İç Denetçiler Enstitüsü) Üç Savunma Hattı modeline göre, bunlar sıklıkla “ikinci savunma hattı” faaliyetleri olarak nitelendirilir.
Dış güvence hizmet sağlayıcıları, üst yönetime veya dış paydaşlara bağlı olabilecekleri gibi, İç Denetim Yöneticisi tarafından da işe alınabilir ve doğrudan kendisine bağlı olabilirler.
Güvence ve danışmanlık hizmeti sağlayıcıları tespit edildikten sonra, İç Denetim Yöneticisi, kurumun gizlilik koşullarına uygun olarak onlarla paylaşılabilecek bilgi miktarını ve tipini belirler. İç Denetim Yöneticisinin, özellikle dış hizmet sağlayıcılarla gizli bilgilerin paylaşılması konusunda getirilen kısıtlamaları dikkate alarak hareket etmesi önemlidir.
Uygulamaya İlişkin Hususlar
İç Denetim Yöneticisi, kurumun güvence ve danışmanlık faaliyetlerinin eşgüdüm içinde sürdürülebilmesini sağlamak gayesiyle yeterli bilgi toplamak için hizmet sağlayıcıların her biriyle görüşür. Kurumun gizlilik koşulları ve sınırlamaları çerçevesinde, taraflar, yapılması planlanan incelemeler, değerlendirmeler ve denetim çalışmalarının hedefleri, kapsamı ve zamanlamasına ilişkin bilgileri; eski denetimlerin sonuçlarını, birbirlerinin yaptıkları çalışmalara karşılıklı olarak bel bağlama imkânlarını paylaşırlar.
Güvence faaliyetlerini koordine etme süreci kurumdan kuruma farklılık gösterir. Daha küçük çaplı kurumlarda, koordinasyon çalışmaları gayri resmi bir biçimde yürütülebilir. Büyük veya düzenlemelerin yoğun olduğu organizasyonlarda ise, koordinasyon çalışmaları resmi ve karmaşık olabilir.
Güvence görevlerinin kapsama alanını koordine etmenin yollarından biri de, tespit edilen önemli risk kategorileriyle, ilgili güvence kaynakları arasında bağlantı kurmak ve her risk kategorisine verilen güvence seviyesini derecelendirmek yoluyla bir güvence haritası oluşturmaktır. Güvence haritası çok kapsamlı olduğu için güvence kapsama alanı içerisindeki tüm mükerrerlikleri ve boşlukları açığa çıkartmakta ve bu yolla, İç Denetim Yöneticisine risk alanlarının her birinde güvence hizmetlerinin yeterliliğini değerlendirme olanağı sağlamaktadır.
Mükerrer işleri asgari düzeye indirmek ve güvence görevlerinin kapsama alanı içindeki verimliliğini ve etkinliğini azami düzeye çıkartmak için ilgili faaliyetlerin nasıl koordine
edileceği konusunda tarafların bir uzlaşmaya varabilmesi amacıyla, elde edilen sonuçlar diğer güvence hizmeti sağlayıcılarla müzakere edilebilir.
Güvence kapsama alanının koordinasyonuna yönelik başka bir yaklaşım da, iç denetim görevlerinin çeşitlerini, sıklığını azaltmak ve gereğinden fazla olasını engellemek gayesiyle, iç denetim faaliyetinin uyum fonksiyonu gibi bir ikinci savunma hattı işlevi ile güvence çalışmalarını koordine edebileceği bir birleştirilmiş güvence modelidir.
Eşgüdüm faaliyetlerine ilişkin örnekler aşağıda verilmiştir:
Planlanan çalışmanın niteliğini, kapsamını ve zamanlamasını eş zamanlı hale getirmek;
Güvence teknikleri, yöntemleri ve terminolojisi hakkında genel bir anlayış birliğine varılmasını sağlamak;
İlgili tarafların birbirlerinin çalışma programlarına, çalışma dokümanlarına ve raporlarına erişme olanağı sağlamak;
Çalışmalarda mükerrerliği asgari düzeye indirmek için tarafların birbirlerinin çalışmalarına dayanması / bel bağlaması ya da itibar etmesi;
Tamamlanan çalışmaların sonuçlarına istinaden, planlanan çalışmanın zamanlamasıyla ilgili bir ayarlama yapmaya ihtiyaç duyulup duyulmadığını belirlemek için fasılalı olarak toplantılar yapmak.
İç Denetim Yöneticisi, iç denetim faaliyetinin uzmanlık alanı dışında kalan özel uzmanlıklardan yararlanmak veya risk kapsama alanını iç denetim planının dışına doğru genişletmek gibi çeşitli sebeplerle diğer(dış) hizmet sağlayıcıların çalışmalarına dayanmayı ve güvenmeyi tercih edebilir. Bununla birlikte, iç denetim faaliyetinin bir dış hizmet sağlayıcısının çalışmasına dayanarak hareket etmesi durumunda da, iç denetim faaliyetinin ulaştığı sonuçlar ve ifade ettiği mütalaa ve görüşlerin nihai sorumluluğunu İç Denetim Yöneticisi üzerine alır. Bu sebeple, iç denetim faaliyetinin dış hizmet sağlayıcılarının işlerine dayanarak hareket edip edemeyeceğini belirlemek amacıyla, İç Denetim Yöneticisinin tutarlı bir süreç ve kıstaslar seti belirlemesi şarttır. Bu süreçte, İç Denetim Yöneticisi:
Dış hizmet sağlayıcısının bir menfaat çatışmasının içinde olup olmadığını veya bir menfaat çatışmasına taraf olmuş gibi görünüp görünmediğini ve bu menfaat çatışmasını ilgili makamlara bildirip bildirmediğini dikkate almak suretiyle hizmet sağlayıcısının objektifliğini değerlendirir;
Dış hizmet sağlayıcısının hiyerarşik olarak bağlı olduğu kişi veya kişilerle olan ilişkilerini ve bunların etkilerini incelemek yoluyla dış hizmet sağlayıcısının bağımsızlığını dikkate alır;
Dış hizmet sağlayıcısının mesleki deneyiminin, vasıflarının, sertifikalarının ve ilişkilerinin uygun olup olmadığını ve güncelliğini doğrulamak yoluyla dış hizmet sağlayıcısının yetkinliğini teyit eder;
Dış hizmet sağlayıcısının görevini yerine getirmek için benimsediği davranışların unsurlarını (örneğin, hizmet sağlayıcısının kullandığı yöntem ve görevin doğru planlanıp planlanmadığı, denetlenip denetlenmediği, dokümante edilip edilmediği ve incelenip incelenmediği gibi) incelemek yoluyla gereken mesleki özeni gösterip göstermediğini değerlendirir.
İç Denetim Yöneticisi, aynı zamanda, hizmet sağlayıcısının yaptığı işe ne kadar güvenilebileceğini tespit etmek amacıyla fiilen ifa edilen denetim çalışmasının kapsamı, amaçları ve sonuçlarını daha iyi anlamak için de gayret gösterebilir. İç Denetim Yöneticisi, genellikle, dış hizmet sağlayıcısının elde ettiği bulguların kabul edilebilir olup olmadığını ve bu bulguların yeterli, güvenilir ve ilgili denetim kanıtları esas alınarak elde edilip edilmediğini değerlendirir. İç Denetim Yöneticisi, istenen güven seviyesini desteklemek veya artırmak amacıyla yeterli kanıtların elde edilmesi için bir ilave çalışmanın veya testin gerekli olup olmadığını tespit eder. İlave çalışmaya ihtiyaç duyulması halinde, iç denetim faaliyeti, aynı görevi daha önce yerine getiren dış hizmet sağlayıcısının elde ettiği sonuçları yeniden teste tâbi tutabilir.
Uygunluğun Kanıtlanmasına İlişkin Düşünceler
Standart 2050’ye uyulup uyulmadığına dair kanıtlar, güvence ve danışmanlık hizmeti sağlayıcılarının farklı görev ve sorumluluklarıyla ilgili yapılan iletişimi de içerebilir ve bu iletişim münferit güvence ve danışmanlık hizmeti sağlayıcılarla yapılan görüşmelere ilişkin
“görüşme tutanaklarında” veya yönetim kurulu ve üst yönetimle yapılan toplantılara ilişkin
“toplantı tutanaklarında” kaydedilmiş olabilir. Dış hizmet sağlayıcıların çalışmalarını kullanmak ve onların çalışmalarına güvenmekle ilgili koşullara uyum, aynı zamanda, İç Denetim Yöneticisinin, iç denetim faaliyetinin dış hizmet sağlayıcısının yaptığı işe bel bağlayıp bağlamayacağını tespit etmek için uygulanan süreç ve kıstasları belgelendirilmesi yoluyla da kanıtlanabilir. Güvence ve danışmanlık hizmeti sağlayıcılarının koordine edilmesiyle ilgili koşullara uyum, alanların her birinde, hangi dış hizmet sağlayıcısının güvence veya danışmanlık hizmeti sağlamakla yükümlü olduğunu saptamaya olanak sağlayan güvence haritaları ve/veya birleştirilmiş iç denetim planları aracılığıyla gösterilebilir ve ispat edilebilir.