Uluslararası Mesleki Uygulama Çerçevesi
1300 serisi standartlarına ilişkin uygulama rehberleri; iç ve dış değerlendirmeler, sonuçların yönetim kuruluna ve üst yönetime bildirilmesi ve “Uluslararası İç Denetim Mesleki Uygulama Standartları’na uygundur” ibaresinin kullanılması da dâhil, KGGP şartları ve gereklilikleri konusunda daha fazla bilgi sunar.
Uygulama İlişkin Hususlar
Bir kurum, iç denetim çalışmalarını kurum dışından bir hizmet sağlayıcısına yaptırdığında, kurum içinde etkili bir iç denetim faaliyeti sürdürme konusundaki sorumluluğundan kurtulmaz.
Dolayısıyla, iç denetim hizmeti dış kaynak kullanarak tedarik edildiğinde dahi, kurumun, iç denetim faaliyetinin sorumluluklarını etkili ve verimli bir şekilde yerine getirmesini ve Standartlara uymasını ve her bir iç denetçinin Standartlara ve Etik Kurallarına uymasını temin etme konusundaki sorumluluğu devam eder.
Standart 1300 – Kalite Güvence ve Geliştirme Programı’nın da öngördüğü gibi, bir KGGP hem iç hem de dış değerlendirmeleri içerir. Bir kurum, bir dış hizmet sağlayıcısından iç denetim yöneticisi (İDY) hizmeti tedarik ettiğinde, söz konusu hizmet sağlayıcı, iç denetim faaliyetini etkili bir şekilde yürütmekten ve sürdürmekten kurumun sorumlu olduğunu kuruma bildirmelidir. Aynı şekilde, hizmet sağlayıcı KGGP’nin Standartlara uygun olarak hem iç hem de dış değerlendirmeleri içermesini temin etmenin de kurumun bu sorumluluğuna dâhil olduğunun kurumun farkında olmasını sağlamalıdır.
İDY – veya İDY olarak hizmet veren dış hizmet sağlayıcı – kurumun, KGGP ile ilgili üzerine düşen sorumlulukların farkında ve bilincinde olduğundan emin olmalıdır. Genellikle, kurum ve dış hizmet sağlayıcı arasında akdedilen bir sözleşme (veya görevlendirme mektubu) hizmet sağlayıcının sorumluluklarını ve KGGP ile ilgili sunulacak hizmetleri açıkça tanımlar ve ortaya koyar. İDY olarak hizmet vermek ve kurumun dışarıdan tedarik edilen iç denetim faaliyeti olarak çalışmak üzere anlaşılan dış hizmet sağlayıcı, ayrıca, kurumun sorumluluklarını ve KGGP’nin yapısını ve şartlarını ele almak amacıyla üst yönetimle ve yönetim kuruluyla toplantılar da yapabilir. Bu şart ve gereklilikler 1300 serisi standartlarında açıkça belirtilmektedir.
Standart 1300 – Kalite Güvence ve Geliştirme Programı İDY’nin iç denetim faaliyetinin tüm yönlerini kapsayan bir KGGP hazırlamak ve bunu sürdürmek zorunda olduğunu ifade etmektedir. Bir dış hizmet sağlayıcının İDY rolünü üstlendiği durumlarda, hizmet alım sözleşmesinde belirtilmek kaydıyla dış hizmet sağlayıcı gerçekten KGGP’yi geliştirebilir ve sürdürebilir. Bununla birlikte, hizmeti alan kurumun iç denetim faaliyetinin kalitesine ilişkin nihai sorumluluğu devam eder.
Standart 1310 – Kalite Güvence ve Geliştirme Programının Gereklilikleri içinde KGGP’nin hem iç hem de dış değerlendirmeleri içermesi gerektiği şartı yer alır.
Standart 1311 – İç Değerlendirmeler zorunlu iç değerlendirmelere hem devamlı izlemenin hem de periyodik öz değerlendirmelerin dâhil edilmesi gerektiğini belirtir. İç denetim faaliyetinin tamamen bir dış hizmet sağlayıcıdan tedarik edildiği kurumlarda, hizmet alım sözleşmesine bağlı olarak, devamlı izleme ve periyodik öz değerlendirmeler de dış hizmet sağlayıcı tarafından gerçekleştirilebilir.
Standart 1312 – Dış Değerlendirmeler, dış değerlendirmenin uygulanma biçimi ve sıklığının (en az beş yılda bir) yanı sıra dış değerlendirme uzmanı veya değerlendirme ekibinin nitelikleri ve bağımsızlıklarıyla ilgili şartlar da dâhil dış değerlendirmeye ilişkin gereklilikleri açıklar. İç denetim faaliyetinin tamamının bir dış hizmet sağlayıcıdan tedarik edildiği durumlarda, dış değerlendirmelerin kapsamının esas olarak ve sadece hizmeti alan kurum adına yapılan işe dayandığına dikkat etmek gerekir. Buna ilaveten, hizmeti alan kurum, dış değerlendirme hizmeti sunması için görevlendirilen dış değerlendirme uzmanı veya dış değerlendirme ekibinin bağımsızlıkla ilgili şartları karşıladığından emin olmalıdır.
Standart 1320 – Kalite Güvence ve Geliştirme Programı Hakkında Raporlama İDY’nin KGGP sonuçlarını üst yönetime ve yönetim kuruluna iletme konusundaki sorumluluklarını ana hatlarıyla ele alır. İDY olarak hizmet vermesi ve kurumun dışarıdan tedarik edilen iç denetim faaliyeti olarak çalışması için görevlendirilen bir dış hizmet sağlayıcı, raporlama şartlarını ve beklentilerini ele almak amacıyla genellikle üst yönetim ve yönetim kuruluyla toplantılar yapar.
Standart 1321 – “Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygundur” İbaresinin Kullanılması – İç denetim faaliyetinin – yazılı veya sözlü olarak – bu beyanı sadece KGGP sonuçları (iç ve dış değerlendirme sonuçları da dâhil) da desteklediği takdirde kullanabileceğini ifade eder.
Standart 1322 – Aykırılıkların AçıklamasıİDY’nin – veya İDY olarak hizmet vermesi için görevlendirilen dış hizmet sağlayıcının – iç denetim faaliyeti
yürütülürken Standartlara ve Etik Kurallara uyulmayan tüm durumları ve bu
uyumsuzluğun iç denetim faaliyetinin genel kapsamını ve işleyişini nasıl etkilediğini üst yönetime ve kurula açıklamasını şart koşar.
Uyumun Kanıtlanmasına İlişkin Düşünceler
Birden fazla doküman, Standart 2070’e uyulup uyulmadığını gösterebilir. İlk olarak, kurum ile dış hizmet sağlayıcı arasında akdedilen sözleşme (yani, görevlendirme mektubu), kurumun KGGP’yi uygulamaya ve sürdürmeye ilişkin sorumluluğu
bulunduğuna dair kanıt teşkil edebilir. Bu sorumlulukların sonucu olarak ortaya çıkan iki ürün şunlardır: belgelenmiş KGGP ve iç ve dış değerlendirme sonuçları. İç
değerlendirmeler için, ilgili belgeler genellikle devam eden izleme çalışmalarının
sonuçlarının yanı sıra bulgular, düzeltici eylem planları ve UMUÇ’un zorunlu unsurlarına uyumu artırma amacına yönelik periyodik iç değerlendirmelerin sonucunda alınan
düzeltici tedbirlerden oluşur. Buna ek olarak, iç denetimin verimliliğini ve etkinliğini artırmak için alınan tedbirlere ilişkin tüm dokümanlar standarda uyumu göstermeye yardımcı olabilir. Dış değerlendirmeler için ise, dış değerlendirme uzmanı veya ekibinden
alınan belgeler ya da öz-değerlendirmelere ilişkin yazılı olarak belgelendirilmiş bağımsız dış doğrulama uyumu kanıtlamak için kullanılabilir.
Üst yönetim ve yönetim kuruluyla yapılan toplantıların gündem notları ve toplantı tutanakları, dış hizmet sağlayıcının kurumun iç denetim faaliyetinin etkinliğini sürdürme konusundaki sorumluluklarını kuruma bildirdiğini gösterebilir. Toplantı kayıtları, ayrıca, İDY’nin Standartların gerektirdiği gibi, KGGP sonuçlarıyla ilgili raporlar sunduğunu kanıtlayabilir. Hatırlatıcı dosya notları veya diğer yazılı dokümanlar da bu tür bir iletişimin gerçekleştiğini kanıtlayabilir.
Başlarken
Standart 2100’e uyum, hem Uluslararası İç Denetim Mesleki Uygulama Standartlarında (Standartlar) tanımlanan yönetişim, risk yönetimi ve kontrol kavramlarının hem de özel olarak bu kavramlara uygulanan münferit standartların – Standart 2110 – Yönetişim/Kurumsal Yönetim, Standart 2120 – Risk Yönetimi ve Standart 2130 – Kontrol – derinden ve iyi anlaşılmasını gerektirir. İç denetim faaliyetinin kurumsal hedefleri anlaması ve kavraması da çok önemlidir.
Bu anlayışa ulaşıldıktan sonra, iç denetim yöneticisi (İDY), paydaşlarının her birinin yönetişim, risk yönetimi ve kontrol konularındaki rol ve sorumluluklarını anlayabilmek için genellikle üst yönetimle ve yönetim kuruluyla görüşmeler yapar. Normalde, yönetim kurulu yönetişim sürecini yönlendirmek ve yönetmekten, üst yönetim ise risk yönetimi ve kontrol süreçlerine liderlik etmekten sorumludur.
İç denetçilerin anlamlı değerlendirmeler yapabilmek için değerlendirmeye konu işi iyice anlamaları gerekir ve bu değerlendirme çalışmalarında mevcuttaki yönetişim, risk yönetimi ve kontrol çerçevelerini bir kılavuz olarak kullanabilirler. Ek olarak, iç denetçiler, proaktif bir