Uygulama Rehberi 2120
Uluslararası Mesleki Uygulama Çerçevesi
Başlarken
Bu Standardın gereğini yerine getirmek amacıyla, iç denetim yöneticisi (İDY) ve iç denetçiler, kurumun risk iştahının yanı sıra iş hedeflerini ve misyonunu eksiksiz ve net şekilde elde etmek suretiyle işe başlarlar. Ayrıca yönetim tarafından belirlenmiş kurumun iş stratejilerini ve ilgili riskleri de tam, eksiksiz ve net biçimde anlamak önemlidir.
Riskler niteliği itibariyle finansal, operasyonel, yasal / mevzuatla ilgili ya da stratejik olabilirler.
Uluslararası İç Denetim Mesleki Uygulama Standartlarının (Standartlar) terimler sözlüğünde verilen risk yönetimi tanımı, küresel olarak yayımlanan risk yönetimi çerçeveleri ve modelleriyle birlikte dikkate alınmalıdır. Ek olarak, Uygulama Rehberi 2100 – İşin Niteliği de, Standart 2120’nin uygulanması için gerekli temelin inşa edilmesinde faydalı olabilir.
Bu standart iç denetim faaliyetini risk yönetim süreçlerinin etkinliğini değerlendirmekle görevlendirdiği için, iç denetçiler genellikle hem kurumun mevcut risk yönetimi ortamı hakkında hem de daha önceki riskleri çözümlemek amacıyla kurumun aldığı düzeltici tedbirler hakkında bilgi sahibi olacaklardır. İç denetçilerin Standart 2120’yi uygulamaya başlamasından önce kurumun riskleri nasıl belirlediğini, değerlendirdiğini ve izleyip nezaret ettiğini anlamaları ve bilmeleri önemlidir.
Risk değerlendirme çalışmasında, iç denetim faaliyeti, kurumun büyüklüğünü, karmaşıklığını, yaşam döngüsünü, olgunluğunu, paydaş yapısını, hukuki ve rekabet ortamını dikkate alır.
Kurumun ortamında meydana gelen son değişiklikler (örneğin, yeni kanun ve yönetmelikler, yeni yönetim kadroları, yeni kurum yapısı, yeni süreçler ve yeni ürünler) yeni riskler yaratmış olabilir. İDY, kurumun risk yönetimi uygulamalarının olgunluğunu da gözden geçirebilir ve iç denetim faaliyetinin yönetimin risk değerlendirmesini ne dereceye kadar dayanak alabileceğini belirleyebilir.
Son olarak, iç denetim faaliyetinin risk yönetimi sorunlarına dair planlama, denetim ve raporlama için kullandığı yerleşik bir sürecinin de bulunması gerekir. İç denetçiler, belirli bir alan veya süreçle ilişkili güvence ve danışmanlık görevleri ve incelemeleri esnasında da risk yönetimini değerlendireceklerdir.
Uygulamaya İlişkin Hususlar
İDY ve iç denetim faaliyetinin tamamı, Standart 2120’yi uygulamak suretiyle, kurumun risk yönetim süreçlerini anladıklarını kesin olarak gösterirler ve iyileştirme fırsatları ararlar. Üst yönetimle ve yönetim kuruluyla görüşmeler yaparak, İDY, kurumun risk iştahını, risk toleransını ve risk kültürünü değerlendirecektir. İç denetim faaliyeti, hem yeni riskler konusunda hem de yeterince azaltılmamış ve karşılanmamış bulunan riskler konusunda kurum yönetimini uyarmalı ve uygun risk cevabı için tavsiyelerini ve eylem planlarını (yani, riski kabul etmek, takip etmek, devretmek, azaltmak veya riskten kaçınmak) sunmalıdır. Ek olarak,
iç denetim faaliyeti, kurumun risk yönetimi süreçlerinin etkinliğini incelemek ve değerlendirmek için yeterli bilgi elde etmelidir.
Kurumun stratejik planı, iş planı ve politikalarını gözden geçirerek, yönetim kuruluyla ve üst yönetimle görüşmeler yaparak, İDY kurumun stratejik hedeflerinin, kurumun misyonu, vizyonu ve risk iştahı ile ne ölçüde paralel olduğunu ve onları ne kadar desteklediğini değerlendirmek için gerekli bilgi ve öngörüye ulaşabilir. Kurumun orta düzey yönetimiyle yapılan görüşmeler de iş birimi düzeyinde kurumun misyonu, hedefleri ve risk iştahının uyumluluğu konusunda ek bilgi ve öngörü sağlayabilir.
İç denetçiler, kurumun riskleri nasıl tespit ettiğini, nasıl ele aldığını ve hangi risklerin kabul edilebilir olduğunu nasıl belirlediğini de iyice ve detaylı bir biçimde incelemeli ve araştırmalıdır. İç denetim faaliyeti, normalde, hem yönetim kurulunun hem de temel risk yönetimi rolünü üstlenen kişilerin görev ve sorumluluklarını ve riskle ilişkili süreçlerini değerlendirecektir. Bunu gerçekleştirebilmek için, iç denetçiler, kurum üst yönetiminin, dış denetçilerin, düzenleyici otoritelerin ve başka kaynakların en son tamamlanmış risk değerlendirmelerini ve bunlarla ilgili raporlarını gözden geçirebilirler.
Ek olarak, iç denetim faaliyeti normalde kendi risk değerlendirmelerini de yapar. Yönetimle ve yönetim kuruluyla yapılan görüşmeler ile kurumun politikalarının ve toplantı tutanaklarının incelenmesi, genelde, kurumun risk iştahını ortaya çıkarır ve İDY’nin ve iç denetim faaliyetinin kendi tavsiye ettikleri risk cevaplarını bu risk iştahına uyumlu hale getirmelerine olanak sağlar.
İç denetim faaliyeti, risklerin tespitinde ve tanımlanmasında yardımcı olmak için yerleşik bir risk yönetimi veya kontrol çerçevesi (örneğin, COSO veya ISO 31000) kullanmayı düşünebilir.
Potansiyel risk maruziyetleri ve fırsatları hakkında bilgisini güncel tutabilmek için, iç denetim faaliyeti, kurumun içinde bulunduğu sektörle ilişkili yeni gelişmeleri, eğilimleri ve bu riskler ile fırsatların takip edilmesi, değerlendirilmesi ve bunlara cevap verilmesi için kullanılabilecek süreçleri de araştırabilir.
Bu adımları atmak suretiyle, iç denetçiler, önemli risklerin yeterince tespit edildiğini ve değerlendirildiğini belirlemek amacına yönelik boşluk analizlerini de bağımsız olarak gerçekleştirebilirler ve iç denetim faaliyeti de kurum yönetiminin risk değerlendirme sürecini değerlendirebilecek bir konumda kalır. Risk yönetim sürecinin gözden geçirilmesi esnasında, iç denetçilerin hem riskleri hem de bu riskler için seçilmiş bulunan cevapları tespit etmeleri ve tartışmaları önemlidir. Örneğin, kurum yönetimi, riski kabul etmeyi seçebilir; ancak bu durumda, İDY’nin kurumun risk iştahını veya risk yönetim stratejisini dikkate alarak bu kararın uygun olup olmadığını tespit etmesi gerekecektir. İDY, yönetimin kurum açısından kabul edilemez olabilecek bir risk düzeyini kabul ettiğini tespit ederse, konuyu üst yönetimle tartışmalıdır ve Standart 2600 – Risklerin Kabul Edildiğinin İletilmesi rehberine uygun olarak meseleyi yönetim kuruluna bildirmesi de gerekebilir. Yönetimin tespit edilen risklere cevap olarak bir risk azaltma ve hafifletme stratejisi uygulamayı tercih ettiği durumlarda, gerekirse, alınan tedbirlerin yeterli olup olmadığı ve zamanında alınıp alınmadığı iç denetim faaliyeti
tarafından değerlendirilebilir. Bu da, kontrol tasarımlarının incelenmesi ve gözden geçirilmesi ve kontrollerin test edilmesi ve uygulanan prosedürlerin izlenmesi yoluyla gerçekleştirilebilir.
Kurum çapında önemli ve ilgili risk bilgilerinin zamanında toplanıp toplanmadığını ve gerekli yerlere iletilip iletilmediğini tespit etmek ve değerlendirmek amacıyla, iç denetçiler çeşitli farklı kademelerden personelle görüşebilirler ve kurumun hedefleri, önemli riskleri ve risk iştahının kurum içerisinde yeterince anlaşılıp anlaşılmadığını ve açıkça ifade edilip edilmediğini tespit edebilirler. Normalde, iç denetim faaliyeti, yönetimin risk yönetimi sonuçlarını zamanında, yeterli ve doğru rapor edip etmediğini de değerlendirir ve izler. İç denetim faaliyeti, en önemli risklerin yönetim kuruluna zamanında bildirilip bildirilmediğini ve yönetim kurulunun kurum yönetiminin bu risklere gereken uygun cevapları vermesini sağlamak için gerekenleri yapıp yapmadığını tespit etmek amacıyla yönetim kurulu toplantı tutanaklarını inceleyebilir.
Son olarak, iç denetim faaliyeti, hatalı denetim riski, yanlış güvence riski ve itibar riskleri gibi kendi risklerini yönetmesini sağlayacak gereken adımları atmalıdır. Aynı şekilde, gereken tüm düzeltici tedbir ve adımlar da izlenmelidir.
Uygunluğun Kanıtlanmasına İlişkin Düşünceler
Standart 2120’le uyumu göstermek ve kanıtlamak için kullanılabilecek belgeler, iç denetim faaliyetinin risk yönetimiyle ilgili rol, görev ve sorumluluklarını belgeleyen iç denetim yönetmeliğini ve iç denetim planını içerir. Ek olarak, bu standarda uyum, standardın ilgili unsurlarının – iç denetim faaliyetinin risk yönetimi tavsiyeleri gibi - İDY, yönetim kurulu ve üst yönetim arasında tartışıldığı toplantıların tutanaklarıyla veya iç drenetim faaliyeti ve ilgili komiteler, özel görev grupları ve kilit üst yönetim arasındaki toplantıların tutanaklarıyla da kanıtlanabilir.
İç denetim faaliyetinin yaptığı risk değerlendirmeleri ve risklere yönelik eylem planları, genellikle, risk yönetim süreçlerinin değerlendirildiğinin ve iyileştirildiğinin göstergesidir.