Başlarken
Bu standardı uygulamak için, İç Denetim Yöneticisi (İDY) ve iç denetçiler, yönetişim kavramı ve genel yönetişim süreçlerinin özellikleriyle ilgili tam ve net bir anlayış kazanmakla ilk adımı atarlar. Bu bağlamda, Uluslararası İç Denetim Meslekî Uygulama Standartları’nın terimler sözlüğünde bulunan yönetişim sözcüğünün resmi tanımını dikkate almalı ve dünya çapında kabul edilen yönetişim çerçeveleri ve modellerini (örneğin, COSO -Treadway Komisyonu’nu Destekleyen Kuruluşlar Komitesi’nin kontrol çerçevesi- veya ISO 31000) kavramalıdırlar.
Uygulama Rehberi 2110
Uluslararası Mesleki Uygulama Çerçevesi
Yönetişim çerçeveleri, modelleri ve gereklilikleri; kurumun tipine ve kurumun bulunduğu ülkenin mevzuatına göre değişkenlik gösterir. Kurumun etkili yönetişim ilkelerini nasıl tasarladığı ve uyguladığı konusu, ilgili kurumun büyüklüğü, karmaşıklık düzeyi, yaşam döngüsü, olgunluğu, paydaş yapısı ve kurumun tâbi olduğu yasal gereklilikler gibi unsurlara bağlıdır. İç Denetim Yöneticisinin yönetişimi değerlendirmeye ve üst yönetime önerilerde bulunmaya yönelik yaklaşımı, kurumun kullandığı çerçeveye veya modele bağlı olarak değişiklik gösterecektir.
Daha sonra, İç Denetim Yöneticisi, güncel iç denetim planının kurumun yönetişim süreçlerini kapsayıp kapsamadığını ve kurumun yönetişim süreçleriyle ilişkili riskleri ele alıp almadığını titizlikle düşünür. Yönetişim, bir dizi birbirinden bağımsız süreç ve yapılar seti olarak mevcut olmaz. Aksine, yönetişim, risk yönetimi ve kontrol birbiriyle bağlantılıdır. Örneğin, etkili yönetişim faaliyetleri strateji belirlerken riskleri dikkate alır. Aynı şekilde, risk yönetimi de etkili yönetişime (örneğin, yönetim felsefesi; risk iştahı, tolerans ve kültür ve risk yönetiminin gözetimi gibi) dayanır. Ayrıca, etkili yönetişim hem iç kontrollere hem de bu kontrollerin etkinliği hakkında yönetim kuruluna yapılan bildirimlere dayanır.
İç Denetim Yöneticisi, yönetim kurulunun, başta stratejik ve operasyonel karar almayla ilgili rolü olmak üzere kurum içindeki rolü hakkında bilgi edinmek için hem yönetim kurulu ve ona bağlı komitelerin yönetmeliklerini hem de toplantı gündemlerini ve toplantı tutanaklarını inceleyebilir. İDY, kuruma özgü mevcut süreçleri ve güvence faaliyetlerini daha açık öğrenebilmek için kurum içinde kilit önemdeki yönetişim rollerini üstlenen diğer kişilerle de görüşebilir. Bu kişilere örnek olarak şunlar verilebilir: yönetim kurulu başkanı, bir kamu kuruluşunun seçilmiş veya atanmış en üst düzey yetkilisi, baş etik görevlisi, insan kaynakları görevlisi, bağımsız dış denetçi, mevzuat uyum müdürü, risk yönetimi başkanı. Kurumun kendine özgü düzenlemelere tâbi olması halinde ise, İDY, düzenleyici otoritelerin yönetişime ilişkin endişelerini de incelemek isteyebilir.
Aşağıda belirtilen konularda yönetim kurulu ve üst yönetimle yapılacak görüşmeler için yönetişimin anlaşılması sağlam bir temel oluşturur:
Yönetişimin tanımı ve kurum içindeki yönetişim süreçlerinin niteliği ve yapısı
Standart 2110’un gereklilikleri
İç denetim faaliyetinin rolü
İç denetim faaliyetinin yaklaşımı ve planında standartlara uyum düzeyini iyileştirmek amacına yönelik yapılabilecek değişiklikler
Bu görüşme, kurumsal yönetişimi nelerin oluşturduğu hakkında yönetim kurulu ve üst yönetimin beklentileriyle uzlaşmaya ve uyum sağlamaya yardımcı olur ve bu yolla uygun bir iç denetim planı ve yaklaşımı geliştirilebilir ve uygulanabilir.
Uygulamaya İlişkin Hususlar
İç denetim faaliyetinin risk değerlendirmesi ve denetim planı geliştirme çalışması sırasında kurumsal yönetişim süreçleri dikkate alınır. İDY, kurumun nihai denetim planında tanımlanan güvence ve danışmanlık projeleri yoluyla ele alınan daha yüksek riskli yönetişim süreçlerini tespit eder. Buna ek olarak, Standart 2110, iç denetim faaliyetinin kurumun yönetişim süreçlerini aşağıda belirtilen yollarla geliştirmek için gerekli değerlendirmeleri yapma ve uygun tavsiyelerde bulunma sorumluluğunu da özellikle açıklamaktadır:
Stratejik ve operasyonel kararlar almak – Bir kurumun stratejik ve operasyonel kararlar almakla ilgili yönetişim süreçlerini değerlendirmek amacıyla, iç denetim faaliyeti, aşağıdakileri inceleyebilir ve gözden geçirebilir:
o Bu tür kararların nasıl müzakere edildiği ve nihayetinde nasıl alındığı hakkında daha kapsamlı bilgiler edinmesine yardımcı olabilecek yönetim kurulu toplantı tutanakları,
o Yönetim kurulu politikaları kılavuzu veya ilgili yönetişim dokümanları, o Aynı zamanda, geçmiş denetim raporları.
Bu inceleme, genellikle, istikrarlı, tutarlı ve yerleşik karar alma süreçlerinin kurum içinde geliştirilip geliştirilmediğini ortaya koyar. Ayrıca, bölüm başkanlarıyla yapılan görüşmeler, bu tür stratejik ve operasyonel kararların alınmasında kullanılan süreçlerin anlaşılmasını sağlayabilir.
Risk yönetimi ve kontrolün gözetimi – Bir kurumun risk yönetimi ve kontrol faaliyetlerini nasıl gözetime tâbi tuttuğunu belirlemek amacıyla, iç denetim faaliyeti, genellikle, yıllık risk değerlendirmesi sürecini gözden geçirir. Bu amaçla, iç denetim faaliyeti, risk yönetimi stratejisinin tartışıldığı toplantıların tutanaklarını ve daha önce gerçekleştirilen risk değerlendirmelerini de inceleyebilir ve uyum, risk ve finans personeli gibi kilit önemi haiz risk yönetimi ile ilişkili personel ile görüşmeler de yapabilir. Önemli olan tüm risklerin değerlendirilmiş olduğundan emin olmak için, bu yolla toplanan bilgiler kıyaslama (benchmarking) değerleriyle ve cari sektör trendleriyle karşılaştırılabilir.
Kurum içinde gerekli etik ve diğer değerleri geliştirmek – Bir kurumun hem kendi içinde hem de kurum dışındaki iş ortakları arasında etik ilkeleri ve değerleri nasıl teşvik ettiğini değerlendirmek amacıyla, iç denetim faaliyeti, kurumun ilgili hedeflerini, programlarını ve faaliyetlerini inceler. Bunlar arasında misyon ve değer açıklamaları, davranış kuralları, işe alma ve eğitim süreçleri, suiistimal ve etik dışı davranışları önleme ve etik ihbar (whistleblowing) politikası ve etik ihbar (hotline) hatları ve soruşturma süreçlerini sayabiliriz. Anketler ve mülakatlar; kurumun gösterdiği çabaların etik standartları ve değerlerine ilişkin yeterli düzeyde farkındalık yaratıp yaratmadığını ölçmek ve değerlendirmek için kullanılabilir.
Etkili bir kurumsal performans yönetimini ve hesap verebilirliği sağlamak – Bir kurumun etkili performans yönetimini ve hesap verebilirliği nasıl sağladığını değerlendirmek amacıyla, iç denetim faaliyeti, ücretlerin belirlenmesi, hedef belirleme ve performans değerlendirmesi ile ilgili kurum politikalarını ve süreçlerini gözden geçirebilir. İç denetim faaliyeti, uygunsuz davranışları veya aşırı risk almayı önlemek veya tespit etmek ve kurumun stratejik hedefleriyle uyumlu faaliyetleri desteklemek için uygun tasarlanıp tasarlanmadıklarını ve uygulanıp uygulanmadıklarını belirlemek amacıyla ilgili ölçümleri (örneğin, kilit performans göstergeleri) ve teşvik planlarını da (örneğin, ikramiyeler) gözden geçirebilir.
Risk ve kontrol bilgilerini kurumun gerekli birimlerine iletmek - Bir kurumun risk ve kontrol hakkındaki bilgileri ilgili birimlere ne kadar düzgün bildirdiğini değerlendirmek amacıyla, iç denetim faaliyeti, risklerle ve kontrollerle ilgili bilgilerin zamanında iletilip iletilmediğini, tam ve doğru olup olmadığını belirlemek için aşağıdakilere erişebilir:
o Kurum içi raporlar, o Haber bültenleri,
o İlgili tutanaklara ve elektronik postalara, o Personel toplantı tutanakları.
Anketler ve mülakatlar, personelin risk ve kontrol süreçleri konusundaki sorumluluklarını ve bu sorumlulukların yerine getirilmemesinin kurumda yaratacağı etki hakkındaki bilgisini saptamak için kullanılabilir. Güvence ve danışmanlık görevleri esnasında, iç denetim faaliyeti, normalde, denetlediği birimin risk ve kontrolle ilgili bilgileri diğer birimlere nasıl ilettiğini de değerlendirir.
Yönetim kurulu, iç ve dış denetçiler, diğer güvence hizmeti sağlayıcıları ve üst yönetim arasında faaliyetlerin koordinasyonu ve gerekli bilgi alışverişinin sağlanması. – Bir kurumun faaliyetlerini koordine etme ve ilgili çeşitli taraflar arasında iletişim kurma kabiliyetini değerlendirmek amacıyla, iç denetim faaliyeti, bu grupların (örneğin, yönetim kurulu, denetim komitesi ve finans komitesi) katıldığı toplantılara bakabilir ve bu toplantıların ne sıklıkla düzenlendiğini tespit edebilir. İç denetim faaliyetinin üyeleri, bu toplantılara katılımcı veya gözlemci olarak katılabilirler ve bu grupların faaliyetlerini nasıl koordine ettiklerini ve birbirleriyle nasıl iletişim kurduklarını öğrenmek için bu gruplar arasında dağıtılan toplantı tutanaklarını, çalışma planlarını ve raporları gözden geçirebilirler.
İç denetçiler, yönetişim uygulamalarını değerlendirmek ve bu uygulamaları iyileştirmeye yönelik tavsiyelerde bulunmak için farklı eylemlerde bulunabilirler. Kurum içindeki yönetişim süreçlerinin tasarımı ve etkinliğiyle ilgili bağımsız ve objektif değerlendirmelerde bulunabilirler. Güvence sağlamaya ek olarak veya güvence sağlamak yerine, iç denetçiler, danışmanlık hizmeti sunmayı seçebilirler. Bu, özellikle, var olduğu bilinen sorunlar söz konusuysa veya yönetişim süreci henüz olgunlaşmamışsa tercih edilebilecek bir yaklaşım
olabilir. Danışmanlık veya güvence hizmeti sağlarken, İç Denetim Yöneticisi, iç denetçileri yönetişimle ilişkili organların toplantılarını gözlemlemekle ve bu organlara sürekli tavsiyelerde bulunmakla görevlendirmek gibi sürekli ve kesintisiz izleme yöntemlerini kullanmaya karar verebilir. Genellikle, kurumsal yönetişim, tek bir denetimin sonuçlarına dayanmamaktadır.
Aksine, iç denetim faaliyetinin yönetişime ilişkin değerlendirmeleri daha çok zaman içinde yapılan muhtelif denetim görevleri sonucunda elde edilen bilgilere dayanır.
Genel bir yönetişim değerlendirmesinin uygun olması halinde, aşağıdaki hususlar dikkate alınır:
Yukarıda tespit edilen belirli yönetişim süreçlerine ilişkin denetim sonuçları.
Özellikle yönetişim odaklı olmayan denetimlerden kaynaklanan yönetişim sorunları, örneğin:
o Stratejik planlama o Risk yönetimi süreçleri
o Operasyonel verimlilik ve etkinlik o Finansal raporlamayla ilgili iç kontrol
o BT, suiistimal ve diğer alanlarla ilgili riskler o Yürürlükteki kanunlar ve yönetmeliklere uyum
Yönetim değerlendirmelerinin sonuçları (örneğin, uyum incelemeleri, kalite denetimleri, kontrol öz-değerlendirmeleri).
Dış güvence hizmeti sağlayıcıların (örneğin, kanuni soruşturma yetkilileri, Sayıştay gibi kamu denetim organları ve mali müşavirlik firmaları) ve düzenleyici otoritelerin çalışmaları.
İç güvence hizmeti sağlayıcıların çalışmaları veya ikinci savunma hattı işlevleri (örneğin, çalışan sağlığı ve iş güvenliği, uyum ve kalite).
Yönetişim süreçlerini iyileştirmek için fırsat sunan olumsuz olaylar gibi yönetişimle ilgili diğer bilgiler.
Planlama, değerlendirme ve raporlama aşamalarında, iç denetçiler, elde edilen sonuçların olası niteliklerini ve alt kollarını dikkate alırlar ve yönetim kurulu ve üst yönetimle uygun ve yeterli iletişim kurulmasını sağlarlar.
Uygunluğun Kanıtlanmasına İlişkin Düşünceler
Standart 2110’a uyum, münferit yönetişim süreçleri hakkında farklı iç denetim raporları veya güvence-odaklı değerlendirmeler ve danışmanlık hizmeti sağlayıcılarından alınan tavsiyeleri içeren yönetişime ilişkin bir genel raporla belgelenebilir. Bahsi geçen dokümanlar, aynı zamanda, İç Denetim Yöneticisi’nin, iç denetim faaliyetinin yönetişim uygulamalarına ilişkin genel değerlendirmelerini müzakere ettiği bir yönetim kurulu toplantısının tutanaklarını da içerebilir. Yönetim kurulu materyalleri, yönetim kurulunun ücret ve yan ödemeler hakkında uygun şekilde bilgilendirildiği ve üst düzey yöneticilerin performanslarının izlendiği konusunda kanıtlar sunabilir. Personel ve iş ortakları tarafından imzalanan bilgilendirme ve kabul beyanı, kurumun etik ilkeleri ve değerlerine ilişkin farkındalığı artırmak doğrultusunda kurumun sarf ettiği çabaları gösterir.