-1: İç denetim yönetmeliği · • bütçeleme ve yönetim muhasebesi, • personel...
TRANSCRIPT
Uygulama Önerisi 1000-1: İç Denetim Yönetmeliği
1. Resmî, yazılı bir iç denetim yönetmeliğinin bulunması, iç denetim faaliyetinin (biriminin)
yönetiminde kritik önemdedir. Yönetmelik, yönetimin gözden geçirme ve kabulü ile yönetim
kurulunun -toplantı tutanaklarında yer aldığı üzere- onayı için kabul görmüş bir metin sunar. Ayrıca, iç
denetim faaliyetinin amaç, yetki ve sorumluluklarının yeterliliğinin dönemsel olarak
değerlendirilmesini kolaylaştırır, iç denetim faaliyetinin rolünü belirler. Herhangi bir sorunun ortaya
çıkması hâlinde, yönetmelik, iç denetim faaliyeti hakkında üst yönetim ve yönetim kuruluna resmî ve
yazılı bir anlaşma işlevini de sağlar.
2. İç Denetim Yöneticisi, yönetmelikte açıklanan ve tanımlanan amaç, yetki ve sorumlulukların iç
denetim faaliyetinin hedeflerine ulaşması için yeterli olmaya devam edip etmediğini dönemsel olarak
değerlendirmekten sorumludur. Ayrıca, bu dönemsel değerlendirmenin sonuçlarını üst yönetime ve yönetim kuruluna bildirmekten sorumludur. * * *
Yayın: Ocak 2009
Uygulama Önerisi 1110-1:
Kurum İçi Bağımsızlık
1. Üst yönetim ve yönetim kurulunun desteği, iç denetim faaliyetine (birimine), denetlenenlerin
işbirliğini sağlayabilmeleri ve denetçilerin işlerini her türlü müdahaleden uzak bir şekilde
yapabilmeleri hususlarında yardımcı olur.
2. İç Denetim Yöneticisi, işlevsel (fonksiyonel) olarak yönetim kuruluna, idarî olarak kurumun genel
müdürüne (CEO'ya) raporlama yaparak kurum içi bağımsızlığı kolaylaştırır. İç denetim yöneticisi, en
azından, kurum içinde geniş bir denetim kapsamı ve alanı oluşturmak, görevle ilgili raporlamalara
yeterli ilginin gösterilmesini sağlamak ve görev sonucunda verilen tavsiyelere göre uygun tedbirlerin
alınmasını sağlamak konusunda yeterli yetkiye sahip bir kişiye raporlama yapmalıdır.
3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun:
• iç denetim faaliyetinin yönetmeliğini onaylama, • iç denetimin risk değerlendirmelerini ve ilgili denetim planını onaylama,
• İç Denetim Yöneticisi ile yönetimin bulunmadığı özel toplantılar yapmak da dahil, iç denetim
faaliyetlerinin sonuçları hakkında ya da İç Denetim Yöneticisinin gerekli gördüğü başka konularda İç
Denetim Yöneticisinden raporlar alma,
• İç Denetim Yöneticisinin performans değerlemesi, tayini veya azliyle ilgili tüm kararları onaylama,
• İç denetim faaliyetinin sorumluluk ve görevlerini yerine getirmesine engel olan kapsam veya bütçe
kısıtlamaları olup olmadığını tespit etmek amacıyla, İç Denetim Yöneticisi ve yönetim nezdinde
uygun inceleme ve araştırmaları yapma yetkilerini içerir.
4. İdarî Hiyerarşi: İdarî hiyerarşi, kurumun yönetim yapısı içinde kurulan ve iç denetim biriminin
günlük iş ve işlemlerini kolaylaştıran hiyerarşik ilişkidir.
İdarî hiyerarşi normal olarak
* İç Denetim Yöneticisinin yıllık ücretini ve ücret ayarlamalarını onaylama,
• bütçeleme ve yönetim muhasebesi,
• personel değerlendirmeleri ve ücretleri de dahil insan kaynakları yönetimi
• iç haberleşme ve bilgi akışları,
• iç denetim faaliyetinin politikaları ve prosedürlerinin yönetimi
konularını kapsar.
Yayın: Ocak 2009
Uygulama Önerisi 1111-1:
Yönetim Kurulu ile Etkileşim
1. Bu doğrudan iletişim, İç Denetim Yöneticisinin yönetim kurulunun denetim, mali raporlama,
kurumsal yönetişim ve kontrolle ilgili genel gözetim sorumluluklarına ilişkin toplantılarına düzenli
olarak katıldığı zaman gerçekleşir. İç Denetim Yöneticisinin bu toplantılara katılması, stratejik
planların, faaliyetlere ilişkin gelişmelerin değerlendirilmesini ve yüksek seviyedeki risklerin,
sistemlerin, prosedürlerin veya kontrol gibi meselelerin erken aşamalarda ele alınmasını sağlar.
Toplantılara katılım, ayrıca, iç denetim faaliyetinin (biriminin) planları ve çalışmaları hakkında bilgi
alışverişinde bulunma ve tarafların karşılıklı menfaatini ilgilendiren diğer hususlarda birbirlerini
bilgilendirme fırsatı sağlar.
2. Bu tarz iletişim ve etkileşim, ayrıca, İç Denetim Yöneticisinin yönetim kurulu ile özel olarak en az
yılda bir kez toplandığında da gerçekleşir.
Son Güncelleme: Ocak 2009
Uygulama Önerisi 1120-1:
Bireysel Objektiflik
1. Bireysel objektiflik, iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir
şekilde inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri bir şekilde yapmalarını
ve yürütmelerini gerektirir.
İç denetçiler, objektif hüküm verme kabiliyetlerini olumsuz etkileyebilecek durumlara girmemeli ve
itilmemelidir.
2. Bireysel objektiflik, İç Denetim Yöneticisinin, görevlendirmeleri potansiyel veya fiili menfaat
çatışmalarını ve önyargıları önleyecek şekilde düzenlemesini, iç denetim personelinden, muhtemel
çıkar çatışmaları ve önyargılar hakkında düzenli ve dönemsel olarak bilgi almasını ve -uygulanabilir
olması hâlinde iç denetçiler arasındaki görev dağılımını dönemsel rotasyona bağlamasını içerir.
3. Görev raporları yayınlanmadan önce, sonuçların gözden geçirilmesi, denetim işinin objektif bir
şekilde yapıldığından makul ölçüler içinde emin olmaya yardımcı olur.
4. İç denetçinin sistemler için kontrol standartları tavsiye etmesi ve uygulanmadan önce prosedürleri
gözden geçirmesi, objektifliğini olumsuz etkilemez. Fakat denetçinin sistem tasarlaması, kurması,
işletmesi ve bu sistemlerin prosedürlerini yazmasının objektifliğini bozacağı düşünülür.
5. İç denetçinin zaman zaman denetim dışı işler de yapması ve bunun, raporlama sürecinde tam ve
eksiksiz açıklanması, denetçinin bağımsızlığını zayıflatmaz. Ancak iç denetçinin objektifliğini
etkileyebilecek olumsuzlukları önlemek için, hem iç denetçinin hem de üst yönetimin dikkatli hareket
etmesi gerekir.
Yayın: Ocak 2009
Uygulama Önerisi 1130-1: Bağımsızlık veya
Objektifliğin Bozulması
1. İç denetçilerin, bağımsızlık ve objektifliği fiilî veya potansiyel olarak bozucu bir etkenin varlığına
dair makul gerekçelerin söz konusu olduğu veya bozucu olabilecek etkenlerin varlığına dair
şüphelerinin olduğu durumları, İç Denetim Yöneticisine bildirmeleri gerekir. İç Denetim Yöneticisi,
bozucu bir etkenin var olduğuna veya olabileceğine karar verirse, bu iç denetçilere başka görevler
vermesi gerekir.
2. Kapsam sınırlandırması, iç denetim faaliyetine getirilen ve faaliyetin hedef ve planlarını
gerçekleştirmesine engel olan bir kısıtlama anlamına gelir. Bir kapsam sınırlandırmasıyla birçok şey
yanında,
• İç denetim yönetmeliğinde tanımlanan yetki alanları,
• Görevlerin ifası için gereken kaynaklara, personele, demirbaşlara ve ilgili
mahallere erişim imkânı,
• Onaylanmış görev iş programı,
• Gereken görev prosedürlerinin uygulanması,
• Onaylanmış personel planı ve mali bütçe de kısıtlanabilir.
3. Bir kapsam sınırlandırmasının ve bu sınırlandırmanın muhtemel etkilerinin yönetim kuruluna,
tercihen yazılı olarak bildirilmesi gerekir. İç Denetim Yöneticisinin, daha önce yönetim kuruluna
bildirilmiş ve onun tarafından kabul edilmiş bulunan kapsam (yetki) sınırlandırmaları hakkında, bu
birimlere tekrar bilgi vermenin gerekli olup olmadığını değerlendirmesi gerekir. Bu, özellikle
kurumda, yönetim kurulu veya üst yönetimde değişiklik olduğunda veya başka değişiklikler
olduğunda gerekli olabilir.
4. İç denetçinin, personel, denetlenen, müşteri, tedarikçi veya işle ilgili başka kişilerden
objektifliğinin bozulması görüntüsü yaratabilecek şekilde ücret, hediye ve eğlence kabul etmemesi
gerekir. Aksi halde denetçinin objektifliğinin bozulduğu izlenimi o denetçinin hem yapmakta olduğu
hem de yapacağı görevlere gölge düşürebilir. Üstlenilen görevlerin özel şartları, ücret veya hediye
almayı haklı çıkartan bir etken olarak görülmemelidir. Genel olarak herkese verilen ve çok küçük bir
değere sahip olan (kalemler, ajandalar veya numuneler gibi) tanıtım malzemelerinin alınması da iç
denetçinin meslekî karar ve yargılarına engel olmamalıdır. İç denetçiler, kendilerine teklif edilen
bütün değeri yüksek para veya hediyeleri kendi âmirlerine derhal bildirmelidir.
Yayın: Ocak 2009 Uygulama
Önerisi 1130.A1-1:
Denetçilerin Daha Önceden Sorumlu Oldukları Faaliyetlere İlişlkin Değerlendirmeleri
1. İç denetim faaliyetine katılan ya da geçici olarak iç denetimle görevlendirilenler, an az bir yıl
geçmedikçe, daha önce kendilerinin yürüttüğü veya yönetim sorumluluğu aldıkları faaliyetleri
denetlemekle görevlendirilmemelidir. Aksi halde bu kişilerin objektifliğinin bozulacağı varsayılır; bu
sebeple o görevle ilgili denetimin gözetim ve kontrolünde ve görev
sonuçlarının raporlanmasında ilave özen ve dikkat gösterilmelidir.
* * *
Yayın: Ocak 2009 Uygulama
Önerisi 1130.A2-1:
Diğer (Denetim Dışı) İşler Karşısında İç Denetçinin Sorumluluğu
1. İç denetçilerin, dönemsel iç denetim incelemeleri ve değerlendirmelerine tâbi olan denetim dışı
fonksiyon veya görevler için sorumluluk üstlenmeyi kabul etmemeleri gerekir. Bu tür bir sorumluluk
üstlenmişlerse artık iç denetçi olarak görev yapmıyorlar demektir.
2. Bir iç denetim birimi, İç Denetim Yöneticisi veya iç denetçi, iç denetim biriminin
denetleyebileceği bir operasyonel yükümlülükten sorumlu ise ya da kurum yönetimi ona böyle bir
görev vermeyi düşünüyorsa, iç denetçinin bağımsızlık ve objektifliği bozulabilir. İç Denetim
Yöneticisinin, bunun bağımsızlık ve objektiflik üzerindeki muhtemel etkilerini değerlendirirken, en
azından, aşağıdaki etkenleri dikkate alması gerekir:
• HA Uluslararası İç Denetim Standartları (Standartlar) ve Etik Kurallarının gerekleri,
• Hissedarlar, yönetim kurulu, denetim komitesi, kurum yönetimi, idarî merciler, kamu kuruluşları,
yasama organları ve toplumsal çıkar grupları gibi paydaşların beklentileri,
• İç denetim faaliyeti yönetmeliğinde verilen izinler ve/veya öngörülen kısıtlamalar,
• Standartların gerektirdiği açıklamalar,
• İç denetçinin üstlendiği görev veya faaliyetlerin daha sonraki denetim kapsamı.
• İlgili denetim dışı icraî görevin kurum açısından önemi (gelirler, giderler, itibar ve etki açılarından)
• Görevin uzunluğu veya süresi ve üstlenilen sorumluluğun kapsamı
• Görevler ayrılığının yeterliliği
• İç denetçinin objektifliğinin risk altında olabileceğine dair bir delil veya bir sicil kaydı olup olmadığı
3. İç denetim yönetmeliği, iç denetçiye denetim dışı görevlerin verilmesi konusunda belirli özel
kısıtlamalar içeriyor veya sınırlandırıcı bir dil kullanıyorsa, bu kısıtlamaların açıklanması ve üst
yönetimle tartışılması gerekir. Üst yönetim yine de bu görevlendirme üzerinde ısrar ediyorsa, konunun
açıklanması ve Yönetim Kurulu ile tartışılması gerekir. Yönetmelik bu konuda herhangi bir hüküm
içermiyorsa, aşağıdaki bentlerde verilen tavsiyelere uyulmalıdır. Aşağıdaki tavsiyeler, yönetmeliğin
lâfzına bağlı olarak değerlendirilmelidir.
4. İç denetim faaliyeti (birimi) operasyonel (icraî) sorumluluklar üstlendiğinde ve bu operasyonlar
denetim planına dahil edildiğinde, İç Denetim Yöneticisinin aşağıdakileri düşünmesi gerekir:
• İç Denetim Yöneticisine raporlayan alanların denetimlerinin tamamlanması için sözleşmeli olarak
üçüncü şahıs firmalar veya dış denetçiler kullanılarak objektifliğin bozulması tehlikesini asgariye
indirmek.
• İç Denetim Yöneticisine raporlayan alanlarla ilgili icraî sorumluluk üstlenen denetçilerin bu
faaliyetlerin denetimlerine katılmamasını sağlamak.
• İç Denetim Yöneticisine raporlayan alanlarla ilgili güvence hizmeti veren denetçilerin gözetimini
gerçekleştirmek ve değerlendirme sonuçlarını üst yönetim ve Yönetim Kuruluna raporlamak.
• Denetçinin denetim dışı faaliyetle ilgili icraî görev ve sorumluluklarını, söz konusu faaliyetin
kurum açısından önemini (gelirler, giderler veya ilgili diğer bilgiler açısından) ve o faaliyeti
denetleyenlerin ilişkisini açıklamak.
5. İç Denetim Yöneticisine raporlayan alanların denetim raporlarında ve denetçinin Yönetim
Kuruluyla standart iletişiminde, iç denetçinin icraî görev ve sorumluluklarının açıklanması gerekir.
Denetim sonuçları, üst yönetimle ve/veya ilgili uygun taraflarla tartışılabilir de. Bozucu etkenin
açıklanması, İç Denetim Yöneticisinin idari sorumluluk taşıdığı fonksiyonlara dair denetim
çalışmasının iç denetim faaliyeti dışındaki bir tarafça gözden geçirilmesi ihtiyacını ortadan kaldırmaz. • * * Yayın: Ocak 2009
Uygulama Önerisi 1200-1 Yeterlilik ve Azamî Meslekî Özen ve Dikkat
1. Yeterlilik ve azamî meslekî özen ve dikkat, İç Denetim Yöneticisinin ve her iç denetçinin kendi
sorumluluğudur. Öyle ki, İç Denetim Yöneticisi, her görev için görevlendirilen kişilerin hepsinin
görevi gerektiği gibi ve usulünce yapmak için gereken bilgi, beceri ve diğer vasıflara sahip olmasını
sağlamalıdır.
2. Azamî meslekî özen ve dikkat, Etik Kurallarına ve gerektiğinde iç denetçilerin sahip oldukları
diğer meslekî unvanların gerektirdiği davranış kuralları yanında kurumun davranış kurallarına da
uymayı gerektirir. IIA'nın Etik Kuralları, iç denetimin tanımının ötesinde iki önemli unsur daha
içermektedir:
a. İç denetim mesleği ve uygulamasıyla ilgili ilkeler: Dürüstlük, objektiflik, gizlilik ve yetkinlik.
b. İç denetçilerden beklenen davranış normlarını izah eden ve tanımlayan Davranış Kuralları.
Bu kurallar, ilkelerin fiilî uygulamalara dönüştürülmesinde kullanılabilecek bir araçtır ve iç denetçilerin etik davranışlarını yönlendirme amacına yöneliktir. * * * Yayın: Ocak 2009
Uygulama Önerisi 1210-1:
Yeterlilik 1. Yukarıdaki standartta atfedilen bilgi, beceri ve diğer vasıflar aşağıdaki hususları içerir:
• Görevlerin ifası için, iç denetim standartları, prosedürleri ve tekniklerinin uygulanmasında meslekî
yeterlilik. Yeterlilik, geniş ve kapsamlı teknik araştırma ve yardımlardan istifade imkânı olmasa da,
mevcut bilgiyi karşılaşılması muhtemel durumlara uygulama ve bu tür durumlarla başa çıkabilme
yeteneği anlamına gelir.
• Görevi kapsamında mali kayıt ve raporlarla çok çalışan iç denetçilerin muhasebe ilkeleri ve
teknikleri hakkındaki yeterliliği.
• Suistimal belirtilerini teşhis etme bilgisi
• Teknolojik risk ve kontrollere dair anahtar bilgiler ve mevcut teknoloji tabanlı denetim teknikleri
bilgisi
• Örnek iş uygulamalarından sapmaların önemini ve etkilerini anlamak ve değerlendirmek için,
yönetim ilkelerinin anlaşılması. Yönetim ilkelerini anlamak, sahip olduğu geniş bilgiyi karşılaşılması
muhtemel durumlara uygulama, bunlardan önemli sapmaları fark etme ve makul çözümlere ulaşmak
için gereken araştırmaları yapabilme yeteneği anlamına gelir.
• Muhasebe, ekonomi, ticaret hukuku, vergilendirme, finans, kantitatif yöntemler, bilgi teknolojisi,
risk yönetimi ve suistimal gibi bilim dalları ve iş konularının temellerinin bilinmesi ve idrak edilmesi.
"İdrak", mevcut veya muhtemel sorunları fark etme ve bu konuda yapılması gereken ek araştırmaları
veya yardım alınması gereken konuları tespit etme yeteneği
anlamına gelir.
• İnsanlarla çalışma ve iletişim kurma, insan ilişkilerini anlama ve denetlenenlerle tatmin edici ilişkiler
kurabilme becerileri.
• Görevin hedefleri, değerlendirmeler, sonuçlar ve tavsiyeler gibi konuları açıkça, etkili bir şekilde
açıklayabilmek için gereken sözlü ve yazılı iletişim becerileri
2. İlgili işin kapsamını ve sorumlulukların düzeyini dikkate alarak, iç denetim kadrolarına atama
yapılmasında aranacak olan uygun eğitim ve tecrübe kıstasları, İç Denetim Yöneticisi tarafından tespit
edilir. İç Denetim Yöneticisi, her müstakbel denetçinin meslekî vasıflarının ve yeterliliğine dair makul
bir güvence sağlar.
3. İç denetim faaliyeti (birimi), kurum içinde denetim görevinin yapılması için gerekli olan bilgi,
beceri ve diğer vasıflara birim olarak sahip olmalıdır. İç denetim biriminin bilgi, beceri ve diğer
vasıflarının yıllık bir değerlendirmesi, sürekli meslekî gelişim, işe alma veya aynı zamanda hizmeti
kurum dışından alma yoluyla ele alınabilecek fırsat alanlarının belirlenmesine yardımcı olur.
4. 'Sürekli meslekî gelişim', iç denetim personelinin yeterliliğinin sürdürülmesi için gereklidir.
5. İç Denetim Yöneticisi, iç denetim biriminin tam bir yeterliliğe sahip olmadığı faaliyet sahalarını
desteklemek ve tamamlamak için, iç denetim birimi dışından uzmanların yardımını
sağlayabilir. • * *
Yayın: Ocak 2009Uygulama Önerisi 1210.A1-1:
İç Denetim Faaliyetini Tamamlamak veya Desteklemek Amacıyla Hizmetlerin Dışarıdan
Temini
1. İç denetim elemanlarının her birinin ilgili bütün bilim dallarında uzman olması gerekmez. İç
denetim faaliyetinin, muhasebe, denetim, iktisat, finans, istatistik, bilgi teknolojileri, mühendislik,
vergi, hukuk ve çevre sorunları gibi bilim dallarında ve iç denetim faaliyetinin sorumluluklarını yerine
getirebilmesi için gerek duyulan diğer alanlarda uzman personeli bulunmalı ya da bu konularda uzman
olan dış hizmet sağlayıcılarından istifade etmelidir.
2. Dış hizmet sağlayıcısı (taşeron) terimi, belirli bir bilim dalında veya alanda özel bilgi, beceri ve
deneyim sahibi olan ve kurumdan bağımsız olan bir kişi veya firma anlamına gelir. Dış hizmet
sağlayıcıları arasında, bunlarla sınırlı kalmamak kaydıyla, sigorta aktüerleri, muhasebeciler, kıymet
takdir uzmanları (muhamminler), kültür ve dil uzmanları, çevre uzmanları, suistimal tahkikatı
uzmanları, avukatlar, mühendisler, jeologlar, güvenlik uzmanları, istatistikçiler, bilgi teknoloji
uzmanları, kurumun kendi dış denetçileri veya başka denetim kurumları ve firmaları sayılabilir. Bir
dış hizmet sağlayıcısı, yönetim kurulu, üst yönetim veya İç Denetim Yöneticisi tarafından tutulabilir
ve görevlendirilebilir.
3. İç Denetim faaliyeti, dış hizmet sağlayıcılarını diğer amaç ve konuların yanı sıra aşağıda sayılan
amaçlar için de kullanabilir:
• Görev iş çizelgesinde öngörülen amaçlara ulaşılması.
• Bilgi teknolojisi, istatistik, vergiler ve dil çeviri hizmetleri gibi uzmanlık bilgi ve becerilerine
ihtiyaç olan denetim faaliyetleri,
• Arazi ve binalar, sanat eserleri, değerli taşlar, mücevherler, yatırımlar ve karmaşık mali araçlar gibi
varlıkların kıymet takdiri işleri,
• Maden ve petrol kaynakları gibi belirli varlıkların miktarının veya fiziksel durumunun tespit
edilmesi,
• Devam eden sözleşme ve projelerde tamamlanan ve tamamlanacak işlerin ölçülmesi,
• Suistimal ve güvenlik soruşturmaları
• Personel ücret ve haklarıyla ilgili aktüeryal tespitler gibi, uzmanlık yöntemleri gerektiren tespit ve
hesaplamalar,
• Hukukî, teknik ve idarî gereklerin ve hükümlerin yorumlanması,
• Uluslararası İç Denetim Standartları (Standartlar) ile uyumlu olacak şekilde iç denetim faaliyetinin
(biriminin) kalite güvence ve geliştirme programının değerlendirilmesi,
• Birleşme ve devralmalar,
• Risk yönetimi ve diğer konularla ilgili danışmanlık.
4. İç Denetim Yöneticisi, bir dış hizmet sağlayıcısının hizmetlerinden istifade etmek istediği takdirde,
ilgili dış hizmet sağlayıcısının yapılacak olan görevle ilgili bağımsızlığını, objektifliğini ve bu konuda
gereken vasıflara sahip olup olmadığını değerlendirmelidir. Dış hizmet sağlayıcısının üst yönetim
veya yönetim kurulu tarafından seçildiği ve İç Denetim Yöneticisinin o dış hizmet sağlayıcısının
hizmetlerinden yararlanmak istediği durumlarda da bu değerlendirme yapılmalıdır. Bu seçim başkaları
tarafından yapıldığı ve İç Denetim Yöneticisi, kendi yaptığı değerlendirme sonucunda, o dış hizmet
sağlayıcısının hizmetlerinden istifade etmesine gerek olmadığı sonucuna vardığı takdirde, yapılan bu
değerlendirmenin sonuçları duruma göre üst yönetime ya da yönetim kuruluna rapor edilmelidir.
5. İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevi yapmak ve yürütmek için gereken bilgi,
beceri ve diğer vasıflara sahip olup olmadığını tespit eder. Bu vasıfların değerlendirilmesi ve
tespitinde, İç Denetim Yöneticisi aşağıdakileri dikkate almalıdır.
• Dış hizmet sağlayıcısının ilgili bilim dalında yeterliliğini ve uzmanlığını kanıtlayan meslekî ruhsat,
sertifika veya diğer belgeler,
• Dış hizmet sağlayıcısının uygun bir meslek kuruluşuna üye olup olmadığı ve o kuruluşun etik
kurallarına uyup uymadığı,
• Dış hizmet sağlayıcısının itibarı. Bu amaçla, dış hizmet sağlayıcısının iş ve hizmetlerini tanıyan
başka kişi ve kurumlarla temas kurulabilir,
• Dış hizmet sağlayıcısına yaptırılmak istenilen iş ile ilgili deneyimi
• Dış hizmet sağlayıcısının o belirli görevle ilgili olan bilim dallarında aldığı eğitim ve öğretimin
niteliği ve düzeyi,
• Dış hizmet sağlayıcısının, ilgili kurumun faaliyet gösterdiği sektördeki bilgi ve deneyimi.
6. İç Denetim Yöneticisinin, görev sırasında bağımsızlık ve objektifliğin korunmasını sağlamak
amacıyla, dış hizmet sağlayıcısının kurumla ve iç denetim birimiyle ilişkilerini de değerlendirmesi
gerekir. Bu değerlendirme kapsamında, İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevini ifa
ederken veya sonuçları rapor ederken tarafsız ve önyargısız hüküm ve karar vermesine engel
olabilecek herhangi bir mali, örgütsel veya kişisel ilişkisinin bulunmadığını doğrular.
7. Dış hizmet sağlayıcısının bağımsızlık ve objektifliğini değerlendirirken, İç Denetim Yöneticisi şu
etkenleri dikkate alır:
• Dış hizmet sağlayıcısının kurumda herhangi bir mali çıkar veya pay sahibi olup olmadığı,
• Dış hizmet sağlayıcısının kurum içinde yönetim kurulu, üst yönetim veya başka kişilerle kişisel veya
meslekî ilişkisi,
• Dış hizmet sağlayıcısının denetime konu olan kurumla veya faaliyetlerle geçmiş ilişkileri,
• Dış hizmet sağlayıcısının kurum için yürütmekte olduğu diğer devam eden hizmetlerin niteliği ve
kapsamı,
• Dış hizmet sağlayıcısının ücreti veya başka gelir ve çıkarları.
8. Dış hizmet sağlayıcısı aynı zamanda kurumun dış denetçisi ise ve ilgili görev genişletilmiş denetim
hizmetlerinden oluşuyorsa, İç Denetim Yöneticisinin, yapılan işlerin dış denetçinin bağımsızlığını
zayıflatmadığından emin olması gerekir. Genişletilmiş denetim hizmetleri terimi, dış denetçiler
arasında genel kabul gören denetim standardı gereklerinin ötesindeki hizmetler anlamına gelir.
Kurumun dış denetçileri aynı zamanda kurumun üst yöneticileri, yöneticileri veya çalışanları olarak
görev yapıyorsa veya böyle görünüyorsa, onların bağımsızlığı bozulmuş sayılır. Buna ek olarak, dış
denetçiler kuruma vergi ve benzeri konularda danışmanlık gibi başka hizmetler de verebilir. Ancak,
bağımsızlığın, kuruma verilen hizmetlerin tamamı dikkate alınarak değerlendirilmesi gerekir.
9. İç denetim faaliyetinin amaçları karşısında, denetim işinin kapsamının yeterliliğini belirlemek için
İç Denetim Yöneticisi, dış hizmet sağlayıcısının işlerinin kapsamı hakkında yeterli bilgi edinmelidir.
Bu konuların ve ilgili diğer konuların bir denetim bildirim yazısı (engagement letter) veya
sözleşmeyle kayda geçirilmesi uygun olabilir. İç Denetim Yöneticisi, aşağıda sayılan konuları dış
hizmet sağlayıcısı ile birlikte gözden geçirmelidir:
• İlgili kayıtlara, personele, demirbaşlara ve ilgili mahallere erişim,
• Uygulanacak prosedürler ve kullanılacak varsayımlar,
• Varsa, görevle ilgili çalışma kâğıtlarının mülkiyeti ve zilyetliği,
• Görevin ifası sırasında edinilen bilgilerin gizliliği ve bu konudaki kısıtlamalar,
• Mümkünse, uluslararası iç denetim standartlarına ve iç denetim faaliyetinin çalışma standartlarına
uyum.
10. Bir dış hizmet sağlayıcısının yaptığı işi incelerken, İç Denetim Yöneticisi, yapılan işin
yeterliliğini değerlendirmelidir. Bu değerlendirme, toplanan ve edinilen bilgilerin varılan sonuçlar için
ve önemli istisnaların çözümlenmesi ya da başka olağandışı konular için makul bir temel yaratmak
açısından yeterli olup olmadığı değerlendirmesini de kapsar.
11. Görevle ilgili raporların İç Denetim Yöneticisi tarafından düzenlendiği ve bir dış hizmet
sağlayıcısından faydalanıldığı durumlarda, İç Denetim Yöneticisi, gerektiğinde, bu hizmetlere atıfta
bulunabilir. Görevle ilgili raporlarda dış hizmet sağlayıcısının hizmetlerine atıfta bulunulmadan önce,
bunun dış hizmet sağlayıcısına bildirilmesi ve gerekirse, onun onayının
alınması gerekir. • 2 *
Yayın: Ocak 2009
Uygulama Önerisi 1220-1: Azamî
Meslekî Özen ve Dikkat
1. Azamî mesleki özen ve dikkat, aynı veya benzer durum ve koşullarda, makul sınırlar içinde tedbirli
ve ehil bir iç denetçiden beklenen beceri, özen ve dikkatin gösterilmesi anlamına gelir. Bu nedenle,
meslekî özen ve dikkat seviyesi, üstlenilen iş ve görevin karmaşıklık düzeyine uygun olur. Meslekî
özen ve dikkat sergilemek, iç denetçilerin, suistimal, kasdî suç, hatâ, ihmal, verimsizlik, yanlış
kullanım, etkisizlik, yararsızlık ve çıkar çatışmaları olasılığı karşısında olduğu gibi usulsüzlük
olasılığının en yüksek olduğu koşul ve faaliyetler konusunda da uyanık ve tetikte olmalarını gerektirir.
Bu ayrıca, iç denetçilerin, yetersiz kontrolleri tespit etmesini ve kontrol konusunda kabul edilebilir
prosedür ve uygulamalara uymak için geliştirilmesi gereken konularda tavsiyelerde bulunmalarını
gerektirir.
2. Azamî özen ve dikkat standardı, hiç hatâ yapmamayı ya da olağanüstü performans göstermeyi
değil, sadece makul dikkat ve beceriyi gerektirir. Azamî özen ve dikkat standardı, iç denetçinin
inceleme, kontrol ve denetimleri makul sınırlar içinde yapmasını gerektirir. Bundan dolayı, iç
denetçiler, hiçbir aykırılığın veya usulsüzlüğün olmayacağı konusunda mutlak bir garanti veremez.
Bununla birlikte, iç denetçi, bir iç denetim görevini üstlendiğinde,
önemli usulsüzlük veya aykırılık olasılıklarını dikkate almalıdır. * * *
2 Çıktılar ve sürelerle birlikte işin hedefleri ve kapsamı, • Görev raporları ve bildirimlerine dahil edilmesi beklenen özel konular,
Yayın: Ocak 2009
Uygulama Önerisi 1230-1:
Sürekli Meslekî Gelişim
1. İç denetçiler, meslekî yeterliliklerini sürdürmek ve arttırmak amacıyla eğitimlerini devam
ettirmekten sorumludur. İç denetçilerin, iç denetim standartları, prosedürleri ve tekniklerindeki
gelişmeleri ve IIA'in Uluslararası Meslekî Uygulama Çerçevesini (UMUÇ) güncel olarak takip
etmeleri gerekir. Bu sürekli meslekî eğitim (CPE); IIA gibi meslek örgütlerine üyelikle, katılımla ve
faaliyetlerinde gönüllü olarak çalışarak, konferanslara, seminerlere, üniversite kurslarına, şirket içi
eğitim programlarına katılarak, üniversite eğitimini tamamlayarak ve kendi kendine eğitim
programlarına girerek ve araştırma projelerine katılarak alınabilir.
2. İç denetçilerin, meslekî yeterliliklerini, Uluslararası İç Denetçi® (CIA) unvanı ve Uluslararası İç
Denetçiler Enstitüsü'nün (IIA) verdiği başka unvanlar yanında, iç denetimle ilgili başka meslekî unvan
sertifikalarını alarak göstermeleri beklenir ve teşvik edilir.
3. İç denetçiler, kendi kurumlarının yönetişim, risk ve kontrol süreçleriyle ilgili yeterliliklerini
sürdürebilmek amacıyla, kendi kurumlarının faaliyetleri ve sektörüyle ilgili olarak sürekli meslekî
eğitim (CPE) çabası içinde olmaları için teşvik edilir.
4. Bilgi teknolojileri, vergi, aktüeryal hesaplama veya sistem tasarımı gibi uzmanlık gerektiren
denetim ve danışmanlık işi yapan iç denetçiler, işlerini yetkinlikle icra etmelerini mümkün kılacak
şekilde sürekli meslekî gelişim çerçevesinde uzmanlık eğitimi alabilirler.
5. Meslekî unvan sertifikası bulunan iç denetçiler, bu sertifikanın gereklerini yerine getirebilmek için
yeterli miktarda sürekli meslekî eğitim (CPE) etkinliğine katılmakla yükümlüdür.
6. Hâlen uygun meslekî unvan sertifikası bulunmayan iç denetçiler, unvan sertifikasını almak için bir
eğitim programına katılmaya ve/veya bu amaçla ferdî olarak çalışmaya teşvik
edilirler. * * *
Yayın: Ocak 2009
Uygulama Önerisi 1300-1:
Kalite Güvence ve Geliştirme Programı
1. İç Denetim Yöneticisi, çalışma kapsamı Standartlardaki ve iç denetimin tanımındaki tüm
faaliyetleri içine alan bir iç denetim faaliyeti (birimi) kurmaktan sorumludur. Bunun sağlanması için,
'Standart 1300' İç Denetim Yöneticisinin bir kalite güvence ve geliştirme programı (KGGP)
hazırlamasını gerekli kılar.
2. İç Denetim yöneticisi, iç denetim faaliyetinden yararlanan çeşitli hak sahiplerine, iç denetim
faaliyetinin,
• İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla uyumlu olması gereken iç denetim
yönetmeliğine uygun çalıştığı,
• Etkili ve verimli bir şekilde faaliyet gösterdiği,
• Paydaşlar ve diğer hak sahiplerinin gözünde katma değer yaratıcı ve kurumun faaliyetlerini
iyileştirici olarak görüldüğü konusunda makul bir güvence sağlamak için tasarlanan süreçlerin
uygulanmasından sorumludur.
Bu süreçler, gerekli gözetim, dönemsel iç değerlendirmeler, kalite güvencesinin sürekli gözlenmesi ve
dönemsel dış değerlendirmeleri içine alır.
3. KGGP, İç Denetimin Tanımında, Standartlarda ve Etik Kuralları ve mesleğin en iyi
uygulamalarındaki gibi, iç denetim faaliyetinin (biriminin) yönetim ve faaliyetlerinin tüm cephelerini
kapsamalıdır. KGGP, İç Denetim Yöneticisi tarafından veya doğrudan onun gözetimi altında hayata
geçirilir. Küçük iç denetim faaliyetleri (birimleri) hariç tutulursa, İç Denetim Yöneticisi, genellikle
KGGP sorumluluklarının çoğunu astlarına dağıtır. Büyük ve karmaşık ortamlarda (çok sayıda iş
biriminin veya mekânının olması gibi), İç Denetim Yöneticisi denetimden bağımsız ve iç denetim
faaliyetinin çeşitli katmanlarıyla danışma hâlinde olan resmî bir KGGP hazırlar. Bu bağımsız
fonksiyon, bir iç denetim yöneticisi tarafından yönetilmelidir. Bu yönetici (ve sınırlı sayıda personel)
başarılı bir KGGP'nin gerektirdiği faaliyetleri idare eder ve izler.
Uygulama Önerisi 1310-1: Kalite Güvence ve Geliştirme Programının Gereklilikleri
1. Bir Kalite Güvence ve Geliştirme Programı (KGGP), iç denetim faaliyeti tarafından
gerçekleştirilen tüm danışmanlık ve denetim faaliyetlerinin dönemsel olarak ve devamlı suretle
değerlendirilmesi demektir. Bu devamlı ve dönemsel değerlendirmeler, (her ikisi de mutat olan) zor ve
kapsamlı süreçlerden; danışmanlık ve iç denetim işlerinin performansının devamlı izlenip test
edilmesinden ve İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun dönemsel olarak
onaylanmasından meydana gelir. Bu, ayrıca, devamlı ölçümler ve performans ölçümlerinin (yani,
denetim planının başarıyla tamamlanması, çevrim süresi, kabul edilen tavsiyeler ve müşteri
memnuniyeti gibi) analizlerini içine alır. Bu değerlendirmelerin sonuçları, iç denetim faaliyetinin
iyileştirebileceği alanlara işaret ediyorsa, iyileştirmeler, İç Denetim Yöneticisi tarafından, KGGP
kullanılarak uygulanmalıdır.
2. Değerlendirmelerle, iç denetim faaliyetinin kalitesine dair bir değerlendirme yapılır, bir hükme
varılır ve daha iyiye gitmesi için tavsiyeler geliştirilmesi mümkün kılınır. KGGP'ler aşağıdaki
hususların da değerlendirilmesini içine alır:
• Bunlara yönelik önemli aykırılık durumlarının giderilmesi amacıyla, zamanında alınacak düzeltici
tedbirlere uyum da dahil olmak üzere, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyum.
• İç denetim faaliyetinin (biriminin) yönetmeliğinin, amaçlarının, hedeflerinin, politikalarının ve
prosedürlerinin yeterliliği.
• Kurumun yönetişim (kurumsal yönetim), risk yönetimi ve kontrol süreçlerine yapılan katkı.
• Yürürlükteki kanunlara, yönetmeliklere, kamusal veya sektörel standartlara uyum.
• Devamlı geliştirme faaliyetlerinin etkililiği ve 'en iyi uygulamaların' benimsenmesi.
• İç denetim faaliyetinin (biriminin) kurumun faaliyetlerine ne ölçüde değer katıp bunları geliştirdiği.
3. Bütün KGGP çabaları, kaynaklarda, teknolojide, süreçlerde ve prosedürlerde gereken
değişikliklerin zamanında ve uygun bir şekilde yapılmasını içeren tavsiyelere yönelik takip
çalışmasını da içine alır.
4. Hesap verebilirlik ve şeffaflığın sağlanması amacıyla, İç Denetim Yöneticisi, kalite programıyla
ilgili dış ve gerekirse iç değerlendirme sonuçlarını (üst yönetim, yönetim kurulu ve dış denetçiler gibi)
taraflarla paylaşır. En az yılda bir kez olmak üzere, İç Denetim Yöneticisi, üst yönetime ve yönetim
kuruluna, kalite programı çalışmalarını ve sonuçlarını
rapor etmelidir. • * *
Yayın: Ocak 2009
Uygulama Önerisi 1311-1: İç Değerlendirmeler
1. Daimî iç değerlendirme çalışmalarında kullanılan süreçler ve araçlar, şunları içine alır:
• Görevin gözetimi,
• Kontrol listeleri ve prosedürler (mesela, bir denetim ve prosedür kılavuzundaki) takip edilir,
• Denetlenenlerden ve diğer menfaat sahiplerinden alınan geri bildirimler,
• İlgili denetimlerde yer almayan denetim personeli tarafından çalışma kâğıtlarının gözden
geçirilmesi,
• Proje bütçeleri, zaman tutma sistemleri, denetim planı tamamlama kıstasları, maliyeti karşılama
kıstasları ve/veya,
• (Çevrim süresi ve kabul edilen tavsiyeler gibi) diğer performans ölçümlerinin analizi.
2. Performans kalitesinin devamlı gözden geçirilmesinin sonuçları tespit edilir ve gerekli
iyileştirmelerin uygulanmasını temin etmek için bir takip çalışması yürütülür.
3. IIA'nın Kalite Değerlendirme Kılavuzu veya bunun muadili kılavuz ve araçlar, dönemsel iç
değerlendirmeler için temel teşkil etmelidir.
4. Dönemsel iç değerlendirmeler:
• Denetim sürecinde yer alan gruplara yönelik daha ayrıntılı ve derin araştırma ve görüşmeleri
içerebilir.
• İç denetim faaliyetinin (biriminin) üyeleri tarafından yapılabilir (öz değerlendirme),
• Hâlen kurum içinde başka konu ve alanlarda görevli olan Uluslararası İç Denetçiler (CIA) veya diğer
ehil denetçiler tarafından yapılabilir,
• Daha sonra kurumun diğer birimlerindeki CIA'lar veya ehil diğer denetçilerin gözden geçirdiği
çalışmalarla, öz değerlendirme çalışmalarını bir araya getirebilir,
• İç denetim faaliyetinin uygulamalarının ve performans ölçümlerinin iç denetim mesleğiyle ilgili en
iyi uygulamalarla karşılaştırılıp değerlendirilmesine dayanan kıyaslama (benchmarking) çalışmasını
içerebilir.
5. Dış değerlendirmenin hemen öncesinde yapılacak dönemsel bir iç değerlendirme, dış
değerlendirmeyi hem kolaylaştırmaya hem de maliyetini azaltmaya yardım edebilir. Eğer dönemsel iç
değerlendirme, ehil ve bağımsız dışarıdan biri veya bir gözden geçirme ekibi tarafından yapılırsa,
değerlendirme sonuçları, dış kalite değerlendirmesinin sonuçlarıyla ilgili bir güvence vermemelidir.
Raporda, iç denetim faaliyetinin (biriminin) uygulamalarının geliştirilmesi için tavsiye ve öneriler
bulunabilir. Eğer dış değerlendirme, "bağımsız onaylı özdeğerlendirme" şeklini alırsa, dönemsel iç
değerlendirme, bu sürecin "özdeğerlendirme" kısmı işlevini görebilir.
6. Performans kalitesi hakkında sonuçlar derlenir, tespit edilir ve gerekirse, Standartlara uygunluğu
sağlamak ve geliştirme çalışmaları yapmak amacıyla uygun tedbirler alınır.
7. İç Denetim Yöneticisi, iç değerlendirmelerin sonuçlarının rapor edilmesi amacıyla, gerekli
güvenilirlik ve nesnelliği sağlayan bir yapı oluşturur. Genel olarak, devamlı ve dönemsel gözden
geçirmeleri yapma sorumluluğunu üstlenen kişiler, gözden geçirme çalışmalarında, İç
Denetim Yöneticisine raporlama yapar ve elde ettikleri sonuçları doğrudan doğruya İç Denetim
Yöneticisine bildirir.
8. İç Denetim Yöneticisi, yılda en az bir kere, iç değerlendirme çalışmalarının sonuçlarını, gerekli
eylem planlarını ve bunların başarılı uygulamalarını yönetim kuruluna ve üst yönetime raporlar. * 3 * Yayın: Ocak 2009
Uygulama Önerisi 1312-1
Dış Değerlendirmeler
1. Dış değerlendirmeler, iç denetim faaliyeti tarafından yürütülen denetim ve danışmanlık görevini
kapsar ve sadece iç denetim biriminin KGGP'sini (Kalite Güvence ve Geliştirme Programı)
değerlendirmekle sınırlı olmamalıdır. Dış değerlendirmeden optimum faydayı sağlamak için, işin
kapsamında, iç denetim faaliyetinin daha verimli ve/veya etkili olmasını sağlayabilecek başlıca
uygulamaların kıyaslaması (benchmarking), teşhisi ve raporlanması da bulunmalıdır. Bu, ya ehil ve
bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibi tarafından tam bir 'dış' gözden
geçirme ile ya da ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibinin
bağımsız onayından geçmiş kapsamlı bir 'iç' özdeğerlendirme ile başarılabilir. Ancak, İç Denetim
Yöneticisi, kapsamın, her durumda dış değerlendirmeden beklenen sonuçları ortaya koymasını
sağlamalıdır.
2. Bir iç denetim faaliyetine (birimine) yönelik 'dış' değerlendirmelerde, iç denetim faaliyeti
tarafından gerçekleştirilen (veya iç denetim yönetmeliğine göre gerçekleştirilmiş olması gereken) tüm
danışmanlık ve denetim işlerine yönelik bir görüş yer alır. Bu görüşte, iç denetim biriminin İç Denetim
Tanımına, Etik Kurallarına, Standartlara uygunluğuna dair bir değerlendirme ve gerekirse,
iyileştirme tavsiyeleri de yer alır. Uluslararası Meslekî Uygulama Çerçevesi'nin bu üç unsuruna
uyumdan ayrı olarak, değerlendirmenin 'kapsamı', İç Denetim Yöneticisi, Üst Yönetim veya Yönetim
Kurulunun isteğine göre ayarlanır. Bu değerlendirmeler, İç Denetim Yöneticisi ve iç denetim
biriminin diğer üyeleri için, özellikle kıyaslama ve en iyi uygulamalar paylaşıldığında, çok faydalı
olabilir.
3. Gözden geçirme tamamlandıktan sonra üst yönetime ve yönetim kuruluna resmî bir raporlama
yapılmalıdır.
4. Dış değerlendirmelerle ilgili iki yaklaşım vardır. Birinci yaklaşımda, bir 'dış değerlendirme', ehil,
bağımsız bir gözden geçirme uzmanı veya ekibi tarafından yapılmalıdır. Bu yaklaşım, tecrübeli ve
profesyonel bir proje müdürünün önderliğinde, ehil profesyonellerden oluşan bir dış ekibi içerir. İkinci
yaklaşımda, iç denetim birimi tarafından yapılan iç özdeğerlendirmenin ve hazırlanan raporun
bağımsız onaylanmasını (validation) gerçekleştirmek üzere, gerekli özelliklere sahip, bağımsız bir
gözden geçirme uzmanı veya ekibinin kullanılması söz konusudur. Bağımsız dış gözden geçirmeyi
yapacak olanlar, iç denetim uygulamalarında çok tecrübeli olmalıdır.
5. Dış değerlendirmeyi yapan kişilerin, iç denetim faaliyeti (birimi) dış değerlendirmeye tâbi olan
kuruma veya kurumun personeline karşı, herhangi bir yükümlülüğü -veya onlardan herhangi bir
çıkarı- olmamalıdır. Ehil ve bağımsız dış değerlendirme uzmanını veya dış değerlendirme ekibini
seçerken, İç Denetim Yöneticisi tarafından -yönetim kuruluna da danışılarak- bunların bağımsızlığına
dair dikkate alınması gereken özel hususlar şunları içerir:
3 Standartlar hakkında güncel ve derin bilgi sahibi olması, ehil ve yetkili (sertifikalı) bir denetçi
olması, • Mesleğin en iyi uygulamaları konusunda bilgili ve deneyimli olması,
• Aşağıdakileri sağlayacak şirketlerin gerçek veya görünüşteki çıkar çatışmaları: - Mâli tabloların denetimi
- Yönetişim, risk yönetimi, malî raporlama, iç kontrol ve diğer ilgili alanlardaki önemli danışmanlık
hizmetleri.
- İç denetim faaliyetine (birimine) yardım. Profesyonel hizmet sağlayıcısı tarafından yürütülen işin
önem ve büyüklüğü görüşmelerde dikkate alınmalıdır.
• Değerlendirmeyi yapacak olanların şirket eski çalışanları olması hâlinde bunların gerçekte ve
görünürdeki çıkar çatışmaları. Kişinin kurumdan ayrılmasının üzerinden ne kadar geçmiş olduğu
dikkate alınmalıdır.
• Değerlendirmeyi yapacak olan kişiler, iç denetim faaliyeti değerlendirmeye alınan kurumdan
bağımsızdır ve ne gerçekte ne de görünürde bir çıkar çatışmaları yoktur. "Kurumdan bağımsız olmak",
iç denetim faaliyetinin bağlı olduğu kurumun bir parçası olmamak veya onun kontrolü altın olmamak
anlamına gelir. Ehil ve bağımsız bir dış gözden geçirme uzmanı
veya ekibinin seçiminde, onun iç kalite değerlendirmesine katılımını da içerecek şekilde, uzmanın
kurumla veya onun iç denetim faaliyetiyle olan mevcut veya geçmiş ilişkilerinden dolayı gerçekte
veya görünüşte herhangi bir çıkar çatışması bulunup bulunmadığına özellikle dikkat edilmelidir.
• İç denetim biriminden örgütsel olarak bağımsız olsa bile, o kurumun başka bir bölümünde veya
ilişkili bir kurumunda çalışan kişiler, bir dış değerlendirme çalışması açısından, bağımsız sayılmazlar.
"İlişkili bir kurum", ana kurum, aynı şirketler grubuna bağlı bir ortaklık veya dış değerlendirmeye
konu olan iç denetim faaliyetinin bağlı olduğu kuruma karşı gözetim, izleme veya kalite güvence
sorumlulukları olan bir kurum olabilir.
• Karşılıklı gözden geçirme çalışmalarının da olduğu gerçek veya görünürdeki çatışmalar. Üç veya
daha fazla kurum (aynı sektörde veya diğer yakın bir grupta, bölgesel derneklerde veya diğer kurum
gruplarında - önceki paragrafta yer alan "ilişkili kurum" tanımı haricinde) arasındaki karşılıklı denk
gözden geçirme çalışmaları, bağımsızlık endişelerini azaltacak bir tarzda yapılandırılabilir, ama
bağımsızlık hususunda endişe yaratmamaya azami özen gösterilir. İki kurum arasında karşılıklı denk
gözden geçirme çalışması, bağımsızlık testinin atlanmasına yol açmamalıdır.
• Bu bölümde belirtilen örneklerde olduğu gibi bağımsızlığa görünürde veya gerçekte zarar verme
endişelerini gidermek amacıyla, bir veya daha fazla bağımsız kişi, bu ekibin çalışmalarını bağımsız bir
şekilde onaylamak üzere, dış değerlendirme ekibine katılabilir.
6. Dürüstlük, gözden geçirme uzman(lar)ının gizlilik sınırları içinde güvenilir ve tarafsız olmasını
gerektirir. Kişisel kazanç ve çıkarlar için, hizmet ve kamu güveni ve inancı feda edilmemelidir.
Objektiflik, gözden geçirme uzman(lar)ının hizmetlerine değer katan bir nitelik ve zihnî bir durumdur.
Objektiflik ilkesi, tarafsızlık, fikir haysiyeti ve her türlü çıkar çatışmasından uzak olma yükümlülükleri
getirir.
7. Bir dış değerlendirme çalışması yapılırken ve sonuçları raporlanırken meslekî muhakemenin
kullanılması gerekir. Bu sebeple, bir dış değerlendirme uzmanı olarak görev yapan bir kişinin:
• İç denetim uygulamalarında veya ilgili danışmanlıkta en az üç yıllık yöneticilik tecrübesine sahip
olması gerekir.
Bağımsız gözden geçirme ekiplerinin başları veya özdeğerlendirmenin sonuçlarını bağımsız olarak
onaylayan dış gözden geçirme uzmanları, daha önce dış kalite değerlendirmesinde çalışmış bir takım
üyesi olmaktan, IIA'nın kalite değerlendirme eğitimlerini veya benzeri bir eğitimi başarıyla
tamamlamaktan ve iç denetim yöneticiliğinden veya benzeri bir üst seviye iç denetim yöneticiliği
deneyiminden kazanılmış daha öte bir yetkinlik ve tecrübe birikimine sahip olmalıdırlar.
8. Gözden geçirme uzman(lar)ı, ilgili teknik uzmanlığa ve sektör tecrübesine sahip olmalıdırlar.
Başka uzmanlık alanlarında uzmanlığı bulunan kişiler ekibe yardımcı olabilirler. Örneğin, kurumsal
risk yönetimi, bilgi sistemleri denetimi, istatistiksel örnekleme, operasyon izleme sistemleri veya
kontrol özdeğerlendirme uzmanları, gözden geçirme çalışmasının belirli bölümlerine katılabilirler.
9. İç Denetim Yöneticisi, dış kalite değerlendirme sağlayıcısı seçimine ve seçim sürecine, üst
yönetimi ve yönetim kurulunu dahil eder.
10. Dış değerlendirme çalışması, iç denetim faaliyetinin (biriminin) aşağıdaki unsurlarını içeren
geniş bir kapsamda yapılmalıdır:
• İç Denetimin Tanımına, Etik Kurallarına, Standartlara, iç denetim faaliyetinin (biriminin)
yönetmelik, plan, politika, prosedür ve uygulamalarına ve yürürlülükteki mevzuat ve düzenlemelere
uyum,
• Yönetim kurulu, üst yönetim ve işletme müdürlerinin iç denetim faaliyetinden beklentileri,
• Yönetişim sürecine katılan kilit gruplar arasındaki ilişkiler dahil, iç denetim faaliyetinin, kurumun
yönetişim süreciyle bütünleştirilmesi,
• İç denetim faaliyetinde kullanılan araç ve teknikler,
• Personelin sürecin geliştirilmesine odaklanması dahil, personelin bilgi, tecrübe ve uzmanlık
alanlarının karışımı,
• İç denetim biriminin kurumun faaliyetlerine katma değer ve iyileştirme sağlayıp sağlamadığının
tespit edilmesi.
11. Gözden geçirme çalışmasının ilk sonuçları, değerlendirme süreci sırasında ve sonucunda, İç
Denetim Yöneticisi ile tartışılır. Nihai sonuçlar, İç Denetim Yöneticisine ya da kurum içinde
inceletme yetkisi olan bir yetkiliye, tercihen üst yönetimden uygun kişilere ve yönetim kuruluna
doğrudan iletilen raporlarla bildirilir.
12. Raporlamanın kapsamı şöyledir:
• Planlanmış bir derecelendirme sürecine dayanarak, iç denetim faaliyetinin İç Denetimin Tanımına,
Etik Kurallarına, Standartlara uyumu hakkında bir görüş: Burada kullanılan 11
uyum" terimi, iç
denetim faaliyetinin (biriminin) uygulamalarının, bir bütün olarak ele alındığında, Uluslararası
Meslekî Uygulama Çerçevesinin bahsedilen bu üç unsurunun gereklerini yerine getirdiği anlamına
gelir. Benzer şekilde "aykırılık" terimi de, iç denetim faaliyetinin uygulamalarında tespit edilen
eksikliklerin etkisinin, faaliyetin görev ve sorumluluklarını yerine getirmesini engelleyecek kadar
yüksek olması anlamına gelir. İç Denetimin Tanımına, Etik Kurallarına ve/veya tek tek Standartlara
"kısmî uyum" derecesi, raporun genel kanaatiyle ilgiliyse, bağımsız değerlendirme raporunda da
açıklanmalıdır. Dış
değerlendirme sonuçları hakkında görüş beyan etmek, güçlü bir meslekî muhakeme, dürüstlük, azamî
özen ve dikkatin bir araya getirilmesini gerektirir.
• Hem değerlendirme sırasında gözlemlenen hem de faaliyete uygulanabilecek olan en iyi
uygulamalar yönteminin kullanımı hakkında bir değerlendirme ve tespit,
• Gerekirse, geliştirme amacına yönelik tavsiyeler,
• İç Denetim Yöneticisi'nin bir eylem planını ve uygulama tarihlerini de içeren cevapları.
13. Hesap verebilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için
planlanmış düzeltici tedbirlerin ayrıntılarını ve söz konusu planlanmış tedbirlerin başarıya ulaşıp
ulaşmadığına dair müteakip bilgiyi de içerecek şekilde-, dış kalite değerlendirmelerinin sonuçlarını,
üst yönetim, yönetim kurulu ve dış denetçiler gibi iç denetim birimiyle ilişkili menfaat sahipleriyle
paylaşır.
Yayın: Ocak 2009
Uygulama Önerisi 1312-2:
Dış Değerlendirmeler: Bağımsız Onaylı Özdeğerlendirme
1. Ehil, bağımsız bir gözden geçirme uzmanı veya ekibinin dış değerlendirmesi, küçük çaplı iç
denetim faaliyetleri (birimleri) için sorun çıkarabilir veya tam bir dış değerlendirmenin uygun veya
gerekli görülmediği diğer kurumlarda bazı özel durumlar oluşabilir. Örneğin, iç denetim faaliyeti
(birimi)
(a) aşırı düzenleme ve/veya gözetimin olduğu bir sektörde olabilir,
(b) yönetişim ve iç kontrol ile ilgili yoğun bir dış gözetim ve yönlendirmenin olduğu bir alanda
olabilir,
(c) en iyi uygulamalarla yoğun kıyaslamaların (benchmarking) dış değerlendirme veya danışmanlık
hizmetleri tarafından henüz yapılmış olduğu bir ortamda olabilir veya
(d) İç Denetim Yöneticisinin, dahili KGGP'nin (Kalite Güvence ve Geliştirme Programı) gücünü ve
çalışanların gelişimini değerlendirmeye yönelik bir özdeğerlendirmenin (self- assessment)
faydalarının, kurum 'dışından' bir ekip tarafından yapılan kalite değerlendirmesinin faydalarından
fazla olduğunu düşündüğü durumlar olabilir.
2. "Bağımsız (dış) onaylı bir özdeğerlendirme" şunları içerir:
• En azından İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun değerlendirilmesi
konusunda, dış değerlendirme sürecinden daha etkili olacak şekilde kapsamlı ve bütünüyle kayıtlı hâle
getirilmiş özdeğerlendirme süreci,
• Vasıflı bir gözden geçirme uzmanı tarafından yerinde gerçekleştirilen bağımsız onay (on- site
validation) çalışması,
• Ekonomik zaman ve kaynak ihtiyaçları -örneğin, Standartlara uyumun öncelikli odak konusu
olması-.
• Kıyaslama (benchmarking), en iyi uygulamalar yönteminin kullanılmasıyla ilgili danışmanlık ve
gözden geçirme çalışması, üst yönetim ve operasyonel birimlerin yönetimleri ile yapılan görüşmeler
gibi- diğer konulara verilen sınırlı dikkat azaltılabilir. Ancak değerlendirmenin bu parçalarından elde
edilen bilgiler, bir dış değerlendirme için çok yararlı bilgilerden biridir.
3. Bağımsız onaylı bir özdeğerlendirme için Uygulama Önerisi 1312-1'de belirtilen kılavuzluk
esasları ve kıstaslar da uygulanabilir.
4. Bir İç Denetim Yöneticisinin yönetimi altındaki bir ekip, özdeğerlendirme sürecinin tamamını
yürütür ve süreci tam olarak belgelendirir. Dış değerlendirme sonucunda hazırlanana benzer taslak bir
rapor, İç Denetim Yöneticisi'nin Standartlara uyulduğuna dair görüşünü de içericek şekilde
hazırlanmalıdır.
5. Vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi, özdeğerlendirme sonuçlarını
onaylamak ve iç denetim faaliyetinin (birimin) İç Denetimin Tanımına, Etik Kurallarına ve
Standartlara uygunluk seviyesini açıklamak amacıyla yeteri kadar özdeğerlendirme (self- assessment)
testleri uygular. Bağımsız onay çalışması, IIA' nın Kalite Değerlendirme Kılavuzu'nda belirtilen
süreçteki veya benzer kapsamlı başka bir süreçteki aşamaları izler.
6. Bağımsız onayın bir parçası olarak, -özdeğerlendirme ekibine ait İç Denetimin Tanımına, Etik
Kurallarına ve Standartlara uyuma ilişkin değerlendirmeleri de dikkatli bir şekilde gözden geçirerek-
bağımsız onay sürecini tamamladıktan sonra, bağımsız dış gözden geçirmeci:
• taslak raporu gözden geçirir ve -varsa- çözüme kavuşmamış hususlar konusunda uzlaşma sağlamaya
çalışır.
• Eğer, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uygunluk konusundaki
özdeğerlendirme ekibine ait değerlendirmelerle mutabıksa, gerektiğinde ve uygun gördüğü ölçüde, bu
mutabakatı, rapordaki tespitler, sonuçlar ve öneriler kısmına ekler.
• Özdeğerlendirme ekibine ait değerlendirmeler ile mutabık değilse, rapora, uygun gördüğü ölçüde,
önemli bulguları, sonuçları ve önerileri ile birlikte mutabık olmadığı noktaları da belirten bir kısım
ekler.
• Alternatif olarak, özdeğerlendirme raporuna ek olarak, yukarıdaki kapsamda, mutabakat veya
mutabakatsızları belirten ayrı bir bağımsız onay raporu hazırlayabilir.
7. Bağımsız onayı haiz nihaî özdeğerlendirme raporları özdeğerlendirme ekibi ve vasıflı, bağımsız
dış gözden geçirme uzmanları tarafından imzalanır ve İç Denetim Yöneticisi tarafından üst yönetime
ve yönetim kuruluna sunulur.
8. Güvenilirlik ve şeffaflığın sağlanması için İç Denetim Yöneticisi, önemli konular için alınmış
planlı düzeltici faaliyetlerin özelliklerini ve bu planlı düzeltici faaliyetlerin gerçekleştirilmesine dair
takip eden bilgileri içerecek şekilde, dış kalite değerlendirmelerinin
sonuçlarını, üst yönetim, yönetim kurulu ve dış denetçiler gibi değişik taraflarla paylaşır. • * *
Yayın: Ocak 2009
Uygulama Önerisi 1312-3:
Özel Sektörde Dış Değerlendirme Ekibinin Bağımsızlığı
İlgili Ana Standart
1312 - Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi
tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının
arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken
vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç
Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek
zorundadır.
Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri
konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin
değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve
mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç
denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların
büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair
ihtiyacı göz önünde bulundurur.
Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması
olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu
kuruluşun kontrolü altında olmayan manasına gelir.
1. Dış değerlendirmeyi yürüten değerlendirme ekibinin bütün üyeleri kurumdan ve onun iç
denetim faaliyetlerini yürüten personelinden bağımsız olmalıdır. Özellikle değerlendirme ekibinin
üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları
olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde bulundurulması gereken alanlar aşağıda verilmiştir:
• Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak
anlamına gelir. Dış değerlendiricinin seçim sürecinde, değerlendiricinin gerçek, potansiyel ya da
algısal çıkar çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurum, kurum
çalışanları veya iç denetim faaliyeti ile geçmişteki, şimdiki veya gelecekteki muhtemel
ilişkilerden doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da
her ikisini birden kapsayabilir.
• Özel sektörde (yani kamuyla ilgili olmayan), aynı kurum içinden fakat bir başka
departmandan-veya ilişkili kurumdan olan bireyler, her ne kadar organizasyonel olarak iç denetim
faaliyetinden ayrı olsalar da, bir dış değerlendirme faaliyetinin yürütülmesi amaçları bakımından
bağımsız olarak dikkate alınmaz. İlişkili kurum; iç denetim faaliyeti dış değerlendirmeye tabi olan
şirketin bağlı olduğu ana ortaklık veya grup şirketler içindeki iştiraki veya düzenli gözetim ve
denetimini yapan veya kalite güvence sorumluluklarını üslenen bir kuruluş olabilir.
• Üç veya daha fazla kurum arasında (bir endüstrideki veya diğer bağlantılı gruptaki veya bölgesel
kurumdaki ya da organizasyonun başka bir grubundaki) karşılıklı dış değerlendirme ekibi kurma
düzenlemeleri, bağımsızlık amacını başaracak şekilde yapılandırılabilir. Bağımsızlık konusunda
sorun doğmayacak şekilde ve bütün ekip üyelerinin gizlilik gibi meselelere bağlı kısıtlama
olmaksızın sorumluluklarını yerine getirebilmelerini sağlayacak özenin gösterilmesi gerekir. İki
kurum arasında karşılıklı dış değerlendirme faaliyetinin dış değerlendirme amaçları bakımından
yapılması kabul edilemez.
3. Değerlendirme ekibinin bağımsızlığı ve muhtemel çıkar çatışmaları Yönetim Kurulu‟yla
müzakere edilmelidir.
Uygulama Önerisi 1312-4:
Kamu Sektöründe Dış değerlendirme Ekibinin Bağımsızlığı
İlgili Ana Standart
1312 - Dış Değerlendirmeler Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir gözden geçirme uzmanı veya ekibi
tarafından en azından beş yılda bir yapılmak zorundadır. Dış değerlendirme sıklığının
arttırılmasına yönelik ihtiyaç, dış gözden geçirme uzmanı veya ekibinin sahip olması gereken
vasıflar ve bunların bağımsızlığı meseleleri, menfaat çatışması ihtimali de dikkate alınarak, İç
Denetim Yöneticisi ile Yönetim Kurulu ve Denetim Kurulu arasında tartışılıp değerlendirmek
zorundadır.
Yorum: Vasıflı bir gözden geçirme ekibi, iç denetim uygulamaları ve dış değerlendirme süreçleri
konularında yetkin fertlerden oluşmalıdır. Gözden geçirme uzmanının ve ekibinin yetkinliğinin
değerlendirilmesi, incelemeyi yapmak için seçilen bireylerin mesleki iç denetim tecrübesini ve
mesleki ehliyetlerini dikkate alan bir kanaate dayanır. Yeterliliklerin değerlendirilmesi, ayrıca, iç
denetim faaliyeti değerlendirilen kuruluş ile ilişkili olan gözden geçirmeyi yapan kurumların
büyüklük ve karmaşıklığını ve aynı zamanda belirli bir sektör, sanayi ya da teknik bilgiye dair
ihtiyacı göz önünde bulundurur.
Bağımsız bir gözden geçirme uzmanı ve ekibi demek, gerçek ya da belirgin bir çıkar çatışması
olmayan ya da iç denetim faaliyetinin bağlı olduğu kuruluşun bir parçası olmayan ya da bu
kuruluşun kontrolü altında olmayan manasına gelir.
1. “Kamu sektörü” terimi devletin bütün kademeleri ile devletin sahip olduğu veya kontrolü
altında bulunan otorite veya işletmeleri (kuruluşları) kapsar. Kamu sektöründe, kamunun farklı
kademelerindeki iç denetim faaliyetleri dış değerlendirme amaçları için bağımsız olabilir.
2. Birleşmiş Milletler, Avrupa Komisyonu gibi özerk kuruluşlar, birçok hükümet tarafından
kontrol edilen veya birçok hükümete ait olan organizasyon, kurum ve şirketleri kapsar. Böyle
organizasyonların çok taraflı yapılarından ötürü özel sektör için olan rehberi izlemeleri gerekir.
3. Dış değerlendirmeyi yürütecek olan ekibin bütün üyelerinin organizasyondan ve onun denetim
faaliyetini yapan personelinden bağımsız olması gerekir. Özellikle değerlendirme ekibinin
üyelerinin kurumla ve/veya kurum çalışanlarıyla gerçek veya öyle algılanan çıkar çatışmaları
olmamalıdır. Değerlendirme ekibinin bağımsızlığının değerlendirilmesinde göz önünde
bulundurulması gereken alanlar aşağıda verilmiştir:
• Kurumdan bağımsız olmak, iç denetim faaliyeti değerlendirilen kurumun etkisi altında olmamak
anlamına gelir. Dış değerlendiricinin seçim sürecinde gerçek, potansiyel ya da algısal çıkar
çatışmalarının göz önünde bulundurulması gerekir. Çıkar çatışmaları kurumla veya iç denetim
faaliyeti ile geçmişteki, şimdiki veya gelecekte ortaya çıkabilecek muhtemel ilişkilerden
doğabilir. Dikkate alınması gereken ilişkiler kişisel veya ticari nitelikte olabilir ya da her ikisini
birden kapsayabilir.
• Kamu sektöründe, aynı devlet kademesinde (ulusal eyalet/vilayet, ilçe veya şehrin idaresindeki)
farklı kuruluşlarda ayrı iç denetim faaliyeti yürüten bireyler dış değerlendirmelerin yürütülmesi
amaçları bakımından bağımsız kabul edilebilir.
• Aynı hükümet kademesi içinde bir ya da daha fazla iç denetim faaliyetinin aynı İç Denetim
Yöneticisi‟ne raporlanması durumunda, bu kişiler ayrı kuruluşlarda çalışıyor olsalar bile dış
değerlendirmelerin yürütülmesi amaçları bakımından bağımsız kabul edilmez. Sadece bu
kuruluşların her birinden bağımsız olan denetçiler dış değerlendirmeleri yürütebilirler.
Uygulama Önerisi 1321-1:
"Uluslararası İç Denetim Meslekî Uygulama Standartlarına Uygundur" ibaresinin
Kullanılması
1. İç denetim faaliyetinin sürekli gözlemi ve dış ve iç değerlendirmeleri, iç denetim faaliyetinin İç
Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğuna ilişkin değerlendirme yapmak ve
bir görüş belirtmek için yürütülür ve uygun görülür ise geliştirme amaçlı tavsiyeler içermelidir.
2. Kullanılacak ibare, "Standartlara uygun" ya da "Standartlarla uyumlu" olabilir. Bu ibarelerden
birini kullanmak için, sürekli gözlem ve periyodik iç değerlendirmelerle birlikte, her beş yıl süresince
en az bir kez yapılan bir dış değerlendirme gerekir. Ayrıca bu değerlendirmelerde, iç denetim
faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve Standartlara uygun olduğu sonucuna varılmış
olması gereklidir. Bir dış değerlendirme iç denetim faaliyetinin İç Denetimin Tanımı, Etik Kuralları ve
Standartlara uygun olduğunu açıkça ortaya koyana kadar, uygunluk ibaresinin kullanılması uygun
değildir.
3. İç Denetim Yöneticisi (İDY), beş yıllık bir dönem içerisinde bir dış değerlendirme alamama
hususu da dahil olmak üzere, iç denetim faaliyetinin genel kapsamı ve işleyişini etkileyen
uygunsuzluk örneklerini üst yönetime ve yönetim kuruluna açıklamaktan sorumludur.
4. İç denetim faaliyetinin uygunluk ibaresini kullanmasından önce, iç denetim faaliyetinin kendi
sorumluluklarından kurtulmasına yönelik kapasitesini zayıflatan ve bir kalite değerlendirmesi (iç ya
da dış) tarafından belirtilmiş herhangi bir uygunsuzluk örneğinin gerektiği şekilde iyileştirilmesi
gerekir.
Buna ilâveten, aşağıda yer alan hususlar gereklidir:
• Uygunsuzluğun gerektiği şekilde çözüldüğü yönünde fikir birliği sağlamak için iyileştirici
faaliyetlerin, ilgili değerlendirmeyi yapan kişiye (kişilere) belgelenmesi ve raporlanması.
• İyileştirici faaliyetlerin ve ilgili değerlendirmeyi yapan kişinin (kişilerin) bununla ilgili fikir
birliğinin üst yönetime ve yönetim kuruluna raporlanması.
• * *
Yayın: Ocak 2009
Uygulama Önerisi 2010-1:
Denetim Planıyla Risk ve Risk Maruziyetinin İlişkileııdirilıııesi
1. İç denetim faaliyetinin (biriminin) denetim planının geliştirilmesinde, birçok İç Denetim Yöneticisi
(İDY), öncelikle denetim evreninin geliştirilmesi ya da güncellenmesini faydalı bulmaktadır. Denetim
evreni, gerçekleştirilebilecek bütün denetimlerin bir listesidir. İç Denetim Yöneticisi, üst yönetim ve
yönetim kurulundan denetim evrenine girdi elde edebilir.
2. Denetim evreni, kurumun stratejik planından unsurlar içerebilir. Bu hâliyle denetim evreni,
kurumun genel iş hedeflerini de hesaba katmakta ve yansıtmaktadır. Stratejik planlar, muhtemelen,
kurumun risk karşısındaki davranışı ve planlanan hedeflere ulaşma zorluğu hakkında da fikir verir.
Denetim evreni, normal şartlar altında, risk yönetim sürecinin sonuçlarından da etkilenir. Kurumun
stratejik planı, kurumun içinde faaliyet gösterdiği ortam dikkate alınarak hazırlanır. Bu çevre
etkenleri, denetim evrenini ve göreli risk değerlendirmesini muhtemelen etkileyecektir.
3. İç Denetim Yöneticisi, iç denetim faaliyetinin denetim planını; denetim evrenine, üst yönetim ve
yönetim kurulunun görüşlerine ve kurumu etkileyen riske ve risk maruziyetlerine dair
değerlendirmeye dayalı olarak hazırlar. Anahtar denetim hedefleri, genellikle üst yönetim ve yönetim
kuruluna kurumun hedeflerini gerçekleştirmelerine yardım etmek için, güvence ve bilgi sağlar. Bu
sağladıklarına, risk yönetimi faaliyetlerinin etkililiğinin değerlendirilmesi de dahildir.
yılda bir kere değerlendirilmesi tavsiye edilir. Bazı şartlar altında, denetim planlarının kurumun işi,
faaliyetleri, sistemleri ve kontrollerindeki değişiklikleri yansıtmak için daha sık (örneğin üç ayda bir)
güncellenmesi gerekebilir.
5. Görev iş çizelgeleri, diğer etkenlerin yanı sıra, risk ve risk maruziyetlerinin bir değerlendirmesine
dayandırılır. Önceliklendirme, kaynakların kullanılmasına dair kararların verilmesi için gereklidir. İç
Denetim Yöneticisinin söz konusu öncelikleri tespit etmesine yardımcı olabilecek çeşitli risk
modelleri mevcuttur. Risk modellerinin çoğunda; etki, olasılık, önemlilik, varlıkların likiditesi,
yönetimin yetkinliği, iç kontrollerin kalitesi ve iç kontrollere bağlılık, değişim veya istikrar derecesi,
son denetim görevinin zamanlaması ve sonuçları, karmaşıklık ve personel ve kamuyla ilişkiler gibi etkenler kullanılır. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2010-2
İç Denetim Planlamasında Risk Yönetim Süreçlerinin Kullanılması
1. Risk yönetimi, kurumun bütün faaliyetlerini ilgilendiren güçlü yönetişimin önemli bir parçasıdır.
Birçok kurum, kurumun yönetimiyle tam olarak bütünleşmesi gereken tutarlı ve kapsamlı risk
yönetim yaklaşımlarını uygulamaya koyma yönünde adımlar atmaktadır. Bu yaklaşımlar şirket, işlev
ve iş birimi olmak üzere, kuruluşların tüm seviyelerinde uygulanmaktadır. Yönetim, genel olarak, bir
risk yönetim çerçevesini, değerlendirmenin yürütülmesi ve değerlendirme sonuçlarının
dokümantasyonunda kullanır.
2. Etkili bir risk yönetim süreci, önemli dahili risklerle ilgili anahtar kontrollerin teşhis edilmesinde
yardımcı olabilir. Kurumsal Risk Yönetimi (KRY) yaygın kullanılan bir terimdir. Treadway
Komisyonunun Sponsor Kurumlar Komitesi (COSO), KRY'yi şöyle tanımlar: "Bir kurumun yönetim
kurulunun, yönetiminin ve diğer personelinin üzerinde etkili olduğu, strateji tespitinde ve kurumun
tümüne uygulanan, kurumu etkileyecek muhtemel olayları teşhis etmek ve risk iştahı içindeki riski
yönetmek ve de kurumun hedeflerine ulaşma konusunda makul bir güvence sağlamak için tasarlanmış
bir süreç". Kontrollerin hayata geçirilmesi, yönetimin, risk iştahı içinde kalacak biçimde, riski
yönetmek için kullanabileceği yaygın bir yöntemdir. İç denetçiler, anahtar kontrolleri denetlerler ve
önemli risklerin yönetimi konusunda güvence sağlarlar.
3. IIA'nın Uluslararası İç Denetim Meslekî Uygulama Standartları, kontrolü şöyle tanımlamaktadır:
"Yönetim, yönetim kurulu ve diğer taraflarca, riski yönetmek ve hedeflenen amaçlara ulaşma
ihtimalini arttırmak için alınan önlem. Yönetim, hedef ve amaçlara ulaşılacağına dair makul güvence
sağlamak için yeterli önlemlerin uygulanışını planlar, organize eder ve yönetir."
5. Anahtar kontroller, aksi halde kabul edilemeyecek bir riski, kabul edilebilir bir seviyeye indirmeye
yardımcı olan kontroller veya kontrol grubu olarak tanımlanabilir. Kontroller, riskleri yönetmek için
var olan kurumsal süreçler olarak kabul edilebilir. Etkili bir risk yönetimi sürecinde (uygun
dokümantasyon ile), anahtar kontroller, önemli risklerin derecelendirilmesini azaltmada itibar edilen
bütün riskten etkilenen sistemlerdeki dahili ve artık riskler arasındaki farkı ayırt etmede kolaylıkla
kullanılabilir. Eğer, dahilî risk için bir derecelendirme yapılmamışsa, iç denetçi dahili risk
derecelendirmesi için bir tahmin yapar. Anahtar kontrolleri teşhis ederken (ve iç denetçinin, risk
yönetim sürecinin olgunlaştığı ve güvenilir olduğu sonucuna vardığını varsayarak), iç denetçi şunlara
bakacaktır:
- Dahilî riskten artık riske önemli bir azalmanın olduğu münferit risk faktörleri (özellikle dahili risk
çok yüksek ise). Bu, kurum için önemli olan kontrolleri ortaya koyar.
- Çok sayıdaki riski azaltmaya yarayan kontroller.
6. İç denetim planlaması, kurumsal risk yönetim sürecinden yararlanmaya ihtiyaç duyar. Bir görevin
planlanmasında iç denetçi, faaliyetin önemli risklerini ve yönetimin riski kabul edilir bir seviyeye
indirmek için kullandığı araçları dikkate alır. İç denetçi, iç denetim faaliyetinin planını geliştirirken ve
iç denetim kaynaklarını tahsis etmede öncelikleri belirlerken, risk değerlendirme tekniklerini kullanır.
Risk değerlendirme, denetlenebilir birimleri araştırmada ve gözden geçirme için iç denetim
faaliyetinin planları içine alınacak en büyük riske sahip alanları seçmede kullanılır.
7. İç denetçiler, her risk kategorisini ve kurumdaki KRY sürecini (iş yeri sağlık ve güvenliğinin iç
denetimi, çevresel denetim veya karmaşık finansal araçların denetimi gibi) gözden geçirme ehliyetine
sahip olmayabilirler. İç denetim yöneticisi (İDY), özel uzmanlık vasfına sahip iç denetçilerin veya dış
hizmet sağlayıcılarının uygun şekilde kullanılmasını temin eder.
Bunun yanında iç denetçi, diğer güvence sağlayıcılar ile koordinasyonu sağlar ve bunların işlerini
dayanak almayı bir plan dahilinde dikkate alır. Bkz: Uygulama Önerisi 2050-2: Güvence Haritaları.
10. İç denetim yönetmeliği normal şartlarda, iç denetim faaliyetinin, dahili ve artık risk dahil olmak
üzere, yüksek risk alanlarına yoğunlaşmasını gerektirir. İç denetim faaliyetinin, yüksek dahilî risk ve
yüksek artık risk alanları ile kurumun en önem verdiği anahtar kontrol sistemlerini teşhis etmesi
gerekir. Eğer iç denetim faaliyeti kabul edilemez artık risk alanlarını teşhis ederse, yönetimin, riske
müdahale edilebilmesi için bilgilendirilmesi gerekir. İç denetçi, stratejik denetim planlama sürecini
yönetiyor olmanın bir sonucu olarak, iç denetim faaliyet planına dahil edilmek üzere, farklı faaliyet
türlerini teşhis edebilecektir. Bu faaliyetler şunlardır:
• Kontrollerin gözden geçirilmesi/ güvence faaliyetleri - bu faaliyetlerde, iç denetçi, kontrol
sistemlerinin yeterliliğini ve verimliliğini gözden geçirir, kontrollerin işlediği ve risklerin etkili
şekilde yönetildiği konusunda güvence sağlar.
• Araştırma faaliyetleri - bu faaliyetlerde kurum yönetimi, bir iş faaliyetiyle ilgili kontroller veya
teşhis edilen risk alanında kabul edilemeyecek seviyede bir belirsizlik yaşamaktadır ve iç denetçi, artık
riskin daha iyi anlaşılması için gerekli prosedürleri uygular.
• Danışmanlık faaliyetleri - bu faaliyetlerde, iç denetçi kurumsal yönetime, kabul edilemez mevcut
riskleri en aza indirmek amacıyla kontrol sistemlerinin geliştirilmesi konusunda tavsiyelerde bulunur.
İç denetçiler ayrıca, riski verimsiz şekilde azaltan, gereksiz, fazla, ilgisiz, aşırı veya karmaşık
kontrolleri teşhis etmeye de çalışır. Bu gibi durumlarda, kontrolün maliyeti, elde edilecek faydadan
daha fazla olabilir ve bu yüzden kontrolün tasarımında verimliliği arttırma fırsatları mevcuttur.
11. İlgili risklerin teşhis edilmesini güvence altına almak için, risk teşhisine yönelik kullanılan
yaklaşım, sistematiktir ve çok açık bir şekilde kayıtlı hâle getirilmiştir. Yaklaşımın kayıtlı hâle
getirilmesi (dokümantasyonu), küçük kurumlarda hesap tablosu kullanımından, büyük kurumlarda
özel yazılım kullanmaya kadar değişik şekillerde yapılabilir. Burada dikkat edilmesi gereken husus,
risk yönetim çerçevesinin eksiksiz bir şekilde dokümantasyonudur.
12. Bir kurumda, risk yönetiminin dokümantasyonu, risk yönetim sürecinin stratejik seviyesinin
altında farklı seviyelerde olabilir. Birçok kurum, stratejik seviyenin altındaki riskleri belgelendiren
risk kütükleri geliştirmiştir ve belli bir konudaki önemli risklerin, ilgili dahili ve artık risklerin, anahtar
kontrollerin ve riski azaltıcı unsurların dökümantasyonunu sağlamaktadır. Böylece, risk kütüklerinde
belirtilen "risk sınıfları" ve "riskli tarafları" arasındaki doğrudan bağlantıları ve, uygulanabilen
yerlerde, iç denetim faaliyeti marifetiyle kayıtlı hâle getirilmiş denetim evreninde halihazırda mevcut
olan konuları teşhis etmek için bir hizalama çalışması yapılabilir.
13. Bazı kurumlar, birçok yüksek (veya daha yüksek) dahili risk alanları teşhis edebilir. Bu riskler, iç
denetim faaliyetinin dikkatini çekebilse de, hepsinin gözden geçirilmesi her zaman mümkün değildir.
Risk kütüğünde belli alanda dahili risk için yüksek (veya daha fazlası) bir sıralama (ranking) olduğu
gözüküyorsa, artık risk büyük oranda olduğu gibi kalırsa ve yönetim hiçbir önlem almazsa veya iç
denetim faaliyeti planlaması yapılmazsa, İç Denetim Yöneticisi (İDY), yönetim kuruluna bu alanları
ayrı bir şekilde, risk analizinin ayrıntılarıyla ve iç kontrolün eksik veya etkisiz olma sebepleriyle rapor
eder.
14. Düşük risk seviyeli iş birimi veya şube denetimleri, onları da denetim kapsamına almak ve
risklerinin değişmediğini teyit etmek için, iç denetim faaliyeti planına periyodik olarak alınmalıdır. İç
denetim faaliyeti aynı zamanda henüz denetlenmemiş açık riskleri önceliklendirmek için bir yöntem
de belirler.
15. İç denetim faaliyet planı normal şartlarda şu hususlar üzerine yoğunlaşacaktır:
• Yönetimin önlem almasını gerektiren kabul edilmeyen mevcut riskler. Bunlar, üst yönetiminin
âcilen denetlenmesini istediği, asgarî seviyedeki anahtar kontrollerinin veya riski azaltıcı unsurların
olduğu alanlar olacaktır.
• Kurumun en fazla bel bağladığı kontrol sistemleri.
• Dahili ve artık risk arasındaki farkın büyük olduğu alanlar.
• Dahili riskin çok yüksek olduğu alanlar.
16. Münferit iç denetimler planlanırken, iç denetçi, gözden geçirilen alanla ilgili riskleri
belirler ve değerlendirmesini yapar.
• * *
Yayın: Temmuz 2009
Uygulama Önerisi 2020-1:
Bildirim ve Onay
1. İç Denetim Yöneticisi, iç denetim faaliyetinin yıllık denetim planının, iş çizelgesinin, personel
kadro planının ve mali bütçesinin bir özetini yılda bir kere, gözden geçirme ve onay için, üst yönetime
ve yönetim kuruluna sunar. Bu özet, üst yönetimi ve yönetim kurulunu, iç denetim çalışmasının
kapsamı ve bu kapsam üzerindeki sınırlandırmalar hakkında bilgilendirir. İç Denetim Yöneticisi,
bütün önemli ara değişiklikleri de onay ve bilgi için sunar.
2. Onaylanmış görev iş çizelgelerinin, personel kadro planlarının, mali bütçenin ve bunlardaki bütün
önemli ara değişikliklerin, iç denetim faaliyetinin (biriminin) amaç ve planlarının kurumun ve yönetim
kurulunun amaç ve planlarını destekleyip desteklemediğine ve tüm bunların iç denetim yönetmeliği ile
uyumlu olup olmadığına dair üst yönetim ve yönetim
kurulunun kanaat sahibi olmasını mümkün kılacak seviyede bilgi içermesi gerekir.
* * *
Yayın: Ocak 2009
Uygulama Önerisi 2030-1:
Kaynak Yönetimi
1. İç Denetim Yöneticisi, öncelikle, iç denetim yönetmeliğinde ayrıntılarıyla anlatılan iç denetimin
sorumluluklarının yerine getirilmesini sağlayan iç denetim kaynaklarının yönetiminden ve
yeterliliğinden sorumludur. Bu sorumluluk, üst yönetim ve yönetim kuruluna kaynak ihtiyacının etkili
bir şekilde bildirilmesini ve konumunun rapor edilmesini içerir. İç denetim kaynakları içinde,
çalışanlar, dış hizmet sağlayıcıları, finansal destek ve teknoloji tabanlı denetim teknikleri olabilir. İç
denetim kaynaklarının yeterliliğinin güvencesi tamamen üst yönetimin ve yönetim kurulunun
sorumluluğundadır. İç Denetim Yöneticisi, bu sorumluluğun yerine getirilmesinde onlara yardım
etmelidir.
2. İç denetim personelinin becerileri, kabiliyetleri ve teknik bilgileri, planlanan faaliyetlere uygun
olmalıdır. İç Denetim Yöneticisi, iç denetim faaliyetlerini gerçekleştirmek için gerekli olan özel
becerileri belirlemek üzere, dönemsel olarak kadrosunun becerilerinin bireysel ve toplu bir
değerlendirmesini yapar. Beceri değerlendirmesi, risk değerlendirme ve denetim planında tanımlanan
değişik ihtiyaçları dikkate alır ve bunlar üzerine kurulur. Bu değerlendirme, teknik bilginin, dil
becerilerinin, iş anlayışının, suistimalin tespit ve engelleme becerisinin, yeterliliğinin, muhasebe ve
denetim uzmanlığının değerlendirilmesini içerebilir.
3. İç denetim kaynakları, denetim faaliyetlerinin, iç denetim yönetmeliğinde belirtildiği şekilde,
yönetim kurulunun beklediği genişlik, derinlik ve zamanlamayla yerine getirilmesi için yeterli
olmalıdır. Kaynak planlama düşünceleri, denetim evrenini, ilgili risk seviyelerini, yıllık denetim
planını, kapsam beklentilerini, beklenmeyen faaliyetlerin tahminini içerir.
4. İç Denetim Yöneticisi ayrıca kaynakların etkili kullanımını da güvence altına alır. Bunun içinde,
özel görevler için vasıflı ve ehil denetçilerin görevlendirilmesi de vardır. Bu ayrıca, kurumun iş
yapısına, risk profiline ve coğrafi dağılımına uygun bir kaynak yaklaşımının ve organizasyonel
yapının geliştirilmesini içerir.
5. Genel bir kaynak yönetimi açısından İç Denetim Yöneticisi, haleflik planlaması (succession
planning), personel değerlendirmesi ve gelişim programları ve diğer insan kaynakları disiplinlerini
dikkate alır. İç Denetim Yöneticisi ayrıca, bu beceriler iç denetim faaliyetinin kendisinde olsun
olmasın, iç denetimin faaliyetinin kaynak ihtiyaçlarım tespit eder. Kaynak ihtiyaçlarının tespit
edilmesinde diğer yaklaşımlar, dış hizmet sağlayıcılarını, şirketin diğer bölümlerindeki çalışanları
veya uzman danışmanları içerir.
6. Kaynakların yapısının hassas olması sebebiyle, İç Denetim Yöneticisi, iç denetim faaliyeti için
gerekli olan kaynakların yeterliği konusunda üst yönetim ve yönetim kurulu ile devamlı iletişim ve
diyalog hâlinde olur. İç Denetim Yöneticisi, üst yönetime ve yönetim kuruluna kaynakların yeterliği
ve durumu hakkında düzenli olarak bir durum raporu sunmalıdır. Bu amaçla, İç Denetim Yöneticisi,
kaynakların genel yeterliğini gözlemlemek için uygun ölçümler, amaçlar ve hedefler geliştirir.
Bunların içinde, yıllık denetim planı ile kaynakların kıyaslanması, geçici boşluk veya eksikliklerin
etkisi, eğitim faaliyetleri, kurumun işinde, operasyonlarında, programlarında, sistemlerinde ve
kontrollerindeki değişikliklere dayanan özel beceri ihtiyaçlarındaki değişiklikler de yer alır. * * * Yayın: Ocak 2009
Uygulama Önerisi 2040-1:
Politika ve Prosedürler
1. İç Denetim Yöneticisi, politika ve prosedürler geliştirir. Bütün iç denetim faaliyetleri tarafından
(birimlerinin) resmî nitelikte idarî ve teknik denetim el kitapçıklarına ihtiyaç duyulmayabilir. Küçük
bir iç denetim faaliyeti resmî nitelikteki bu düzenlemeler olmadan da yönetilebilir. Bunların personeli,
günlük yakın bir gözetimle ve izlenmesi gereken politika ve prosedürleri belirten basit müzekkerelerle
(memoranda) kontrol edilip yönlendirilebilir.
Büyük iç denetim faaliyetlerinde ise iç denetim planını uygularken iç denetçilere yol gösterecek daha
resmî ve kapsamlı politika ve prosedürler gereklidir.
* * *
Yayın: Ocak 2009
Uygulama Önerisi 2050-1:
Eşgüdüm (Koordinasyon)
1. Dış denetçilerin çalışmalarının gözetimi, iç denetim faaliyetiyle eşgüdümün sağlanması dahil,
yönetim kurulunun sorumluluğundadır. İç ve dış denetim çalışmalarının eşgüdümü İç Denetim
Yöneticisinin (İDY) sorumluluğudur. İDY, denetim işlerinin etkin eşgüdümünü sağlamak için
yönetim kurulunun desteğini alır.
2. Kurumlar iç denetim kapsamındaki faaliyetlerle ilgili güvence sağlamak için dış denetçilerin
çalışmalarını kullanabilirler. Bu durumlarda, İç Denetim Yöneticisi dış denetçiler tarafından
gerçekleştirilen işleri anlamak için aşağıda belirtilenler dahil gerekli adımları yerine getirir:
• Dış denetçilerin planladıkları çalışmaların niteliği, kapsamı ve zamanlaması, kendi çalışmaları ile
birlikte iç denetçilerin planlanan çalışmalarını ve 2100 numaralı standardın gerekliliklerini karşılar.
• Dış denetçinin risk ve önemlilik değerlendirmesi
• İç denetim yöneticisinin (1) iç ve dış denetim çalışmalarının koordinasyonunu gerçekleştirmesi; (2)
emniyet amacıyla dış denetçilerin çalışmalarını değerlendirmesi ve (3) dış denetçilerle etkin iletişim
sağlaması amacıyla dış denetçilerin teknikleri, metodları ve terminolojisi.
• İç denetim amaçları için dış denetçilerin çalışmalarına güvenebilmesini sağlamak için dış
denetçilerin program ve çalışma kâğıtlarına erişim. İç denetçiler bu programların ve çalışma
kâğıtlarının gizliliğinin sağlanmasından sorumludur.
3. Dış denetçi, çalışmasını yerine getirirken iç denetim faaliyetinin çalışmalarını dayanak alabilir. Bu
durumda, iç denetim yöneticisi, dış denetçilerin iç denetim tarafından yapılan çalışmalara
güvenilebilmesini sağlamak için iç denetçilerin tekniklerinin, metodlarının ve terminolojisinin
analaşılabilmesi için yeterli bilgiyi sağlamak zorundadır. Dış denetim amaçları için iç denetçilerin
çalışmalarına güvenebilmesini sağlamak için dış denetçilerin iç denetçilerin program ve çalışma
kâğıtlarına erişimine imkân sağlanması.
4. İç ve dış denetçilerin çalışmalarının koordinasyonunun etkili bir biçimde sağlanması ve
birbirlerinin çalışmalarına güvenebilmeleri için benzer teknikleri, metodları ve terminolojiyi
kullanması verimli olabilir.
5. Denetim kapsamı konusunda eşgüdümü sağlamak ve aynı çalışmaların gereksiz yere
tekrarlanmasını asgarîye indirmek için, iç ve dış denetçilerin planladığı denetim faaliyetlerinin
görüşülmesi gerekir. Denetim süreci sırasında, denetim çalışmalarının eşgüdümünü ve denetim
faaliyetlerinin verimli ve zamanında tamamlanmasını sağlamak ve o güne kadar yapılan işlerle ilgili
gözlem ve tavsiyelerin planlanan işlerin kapsamında bir ayarlama yapılmasını gerektirip
gerektirmediğine karar vermek amacıyla, yeterli sayıda toplantı düzenlenmelidir.
6. İç denetim biriminin nihaî rapor ve yazıları, yönetimin bu rapor ve yazılara verdiği yanıtlar ve daha
sonraki takip çalışmaları, dış denetçilere de açık olmalıdır. Bu rapor ve yazılar, dış denetçilerin
denetim işlerinin kapsam ve zamanlamasını tespit etmesine ve gerekli ayarlamaları yapmasına
yardımcı olur. Ayrıca, iç denetçilerin de dış denetçilerin sunumlarına, raporlarına ve bunlarla ilgili
idari yazılara erişebilmesi gerekir. Bunlarda ele alınan ve tartışılan sorun ve konular, İDY tarafından
anlaşılmalı ve iç denetçilerin gelecekteki iç denetim çalışmalarında öne çıkartılması gereken alan ve
konuların planlanmasında kullanılmalıdır. İdarî yazışmaların incelenmesinden ve ilgili yöneticilerin
ve yönetim kurulunun gereken düzeltici tedbirleri başlatmasından sonra, İDY gerekli takip ve
düzeltme çalışmasının yapılmasını sağlamalıdır.
7. İç Denetim Yöneticisi, iç ve dış denetçiler arasındaki eşgüdümü düzenli olarak değerlendirmelidir.
Bu değerlendirmeler, toplam denetim maliyeti de dahil, iç ve dış denetim işlevlerinin genel etkililik ve
verimliliğini de içerebilir. İDY, bu değerlendirmelerin sonuçlarını, dış denetçilerin performansına
yönelik yorumuyla birlikte, üst yönetime ve yönetim kuruluna iletir.
* 4 *
Yayın: Ocak 2009
Uygulama Önerisi 2050-2:
Güvence Haritaları
1. Yönetim kurulunun en önemli sorumluluklarından birisi, süreçlerin belirtilen hedeflere ulaşmak
için koyulan parametreler doğrultusunda işlediği konusunda güvence elde etmektir. Risk yönetim
4 Yönetime rapor veren ve/veya yönetimin bir parçası olanlar (yönetim güvencesi), kontrol
özdeğerlendirmelerini yapan kişiler dahil, kalite denetçileri, çevre denetçileri ve yönetimin belirlediği
diğer güvence personeli.
• İç denetim dahil, yönetim kuruluna rapor verenler.
süreçlerinin etkili bir şekilde yürüdüğünün ve anahtar veya kritik iş risklerinin, kabul edilir bir
seviyede yönetilip yönetilmediğinin tespit edilmesi gerekmektedir.
2. Üst yönetimin ve yönetim kurullarının rollerine ve sorumluluklarına gösterilen dikkatin artması,
birçok kurumun, güvence faaliyetlerine daha büyük bir önem vermesine sebep olmuştur. Standartların
Terimler Sözlüğü'nde 'güvence' şöyle tanımlanmaktadır: "Kurumun yönetişim, risk yönetimi ve
kontrol süreçlerine ilişkin bağımsız değerlendirmenin sağlanması amacıyla kanıtların tarafsız olarak
incelenmesi". Yönetim kurulu, sağlam bir güvence elde etmek için birçok kaynak kullanacaktır.
Yönetimden alınan güvence, esas teşkil eder ve bu güvence, iç denetimden ve üçüncü partilerden
gelecek objektif güvence ile tamamlanmalıdır. Risk yöneticileri, iç denetçiler ve uyum görevlileri
(compliance practitioners) şu soruyu sorarlar: "Kim, neyi niçin yapar?" Özellikle yönetim kurulları,
güvencenin kim tarafından verildiğini, işlevler arasındaki sınırın nerede bitip nerede başladığını ve bir
çakışma olup olmadığını sorgulamaya başladılar.
3. Temel olarak üç sınıf güvence sağlayıcısı vardır. Aralarındaki fark, hizmet ettikleri paydaşlardan,
güvence sağladıkları faaliyetlerdeki bağımsızlık seviyelerinden ve bu güvencenin sağlamlığından
kaynaklanır.
• Dış hissedarlara rapor verenler (dış denetim güvencesi), ki bunların işleri tamamen bağımsız/yasal
denetçi tarafından yerine getirilir. İstenen güvencenin seviyesi ve bu güvenceyi kimin sağlayacağı,
riske göre değişir.
4. Bir kurum için birçok güvence sağlayıcısı vardır.
• Alt yönetim ve çalışanlar (yönetim, sorumlu olduğu riskler ve kontroller için
birinci seviyeden koruma sağlar.)
• Üst yönetim.
• İç ve dış denetçiler.
• Uyum.
• Kalite güvencesi.
• Risk yönetimi.
• Çevresel denetçiler.
• İş yeri sağlık ve güvenlik denetçileri.
• Kamu performans denetçileri.
• Finansal raporlama denetim ekipleri.
• Yönetim kurulunun alt komiteleri (denetim, sigorta, kredi, yönetişim komiteleri gibi).
• Araştırmalar, uzman incelemeleri (sağlık ve güvenlik), v.b. dahil, dış güvence sağlayıcıları.
5. İç denetim faaliyeti normal şartlarda, tüm kuruma güvence sağlayacaktır. Buna, (hem tasarım hem
de etkili işleyişleri konusunda) risk yönetim süreçleri, "anahtar" olarak sınıflandırılan bu risklerin
yönetimi (kontrollerin etkililiği ve bunlara karşı alınan diğer tedbirler dahil), risk değerlendirmesinin
güvenilirliğinin ve uygunluğunun doğrulanması ve risk ve kontrol durumlarının raporlandırılması da
dahildir.
6. Güvence faaliyetlerinin sorumluluğu geleneksel olarak yönetim, iç denetim, risk yönetimi ve uyum
arasında paylaşıldığından, güvence faaliyetlerinin, kaynakların en verimli ve etkili şekilde
kullanılmak üzere koordine edilmesi çok önemlidir. Birçok kurum, geleneksel (ve müstakil) iç
denetim, risk ve uyum faaliyetleri ile çalışır. Kurumlarda, farklı risk yönetimi, uyum grupları vardır ve
güvence işlevleri birbirinden bağımsız iş yaparlar. Etkili bir koordinasyon ve raporlama olmazsa, çifte
iş yükü oluşabilir veya anahtar riskler gözden kaçırılabilir ya da yanlış değerlendirilebilir.
7. Birçok kurum, iç denetim, risk yönetimi ve uyum faaliyetlerini izlerken, çoğu bu faaliyetleri
bütünsel bir bakış açısıyla gözlemlemez. Bir güvence haritası çalışmasında, bir kurumun anahtar
risklerini kapsayacak güvence haritası çıkartılır. Bu süreçte, kurumun risk yönetim sürecinde bütün
eksikliklerinin teşhis edilmesi ve ele alınması sağlanır ve hissedarlara, risklerin yönetildiği ve rapor
edildiği, ayrıca düzenleme ve yasal yükümlülüklerin de yerine getirildiği garantisi verilir. Kurumlar,
karşılaştıkları riskler ve bu risklere nasıl karşılık verildiği konusunda yönetime bilgi verildiği için,
böylesine düzenli bir yaklaşımdan oldukça kârlı çıkacaklardır. Haritalandırma, tüm kurum dikkate
alınarak yapılır ve böylece, tüm risk ve güvence rolleri ve sorumluluklar yerli yerine oturur. Buradaki
amaç, ortada kapsamlı bir risk
ve güvence sürecinin olduğunu ve bu süreçte harcanan iş yükünün artmadığını ve muhtemel açıklar
olmadığını garanti altına almaktır.
8. Çoğu zaman bir kurum, risk yönetim çerçevesini oluşturan önemli risk sınıflarını tanımlamış
olacaktır. Bu gibi durumlarda, güvence haritası bu çerçevenin yapısını temel alacaktır. Örneğin, bir
güvence haritasında şu sütunlar olabilir:
• Önemli risk sınıfı
• Riskten sorumlu yönetimin rolü (riskin sahibi)
• Dahili risk derecelendirmesi
• Artık risk derecelendirmesi
• Dış denetimin kapsamı
• İç denetimin kapsamı
• Diğer güvence sağlayıcısının kapsamı
Bu örnekte, iç denetim yöneticisi (İDY), iç denetimin kapsamı sütununu henüz tamamlanmış bir
kapsamla doldurabilir. Genellikle önemli her bir riskin bir sahibi veya bu riskle ilgili güvence
faaliyetinin koordine edilmesinden sorumlu biri vardır ve bu kişi, diğer güvence sağlayıcısının kapsam
sütununu dolduracaktır. Kurum içindeki her bir önemli birimin kendi güvence haritası olabilir. Ya da
bunun yerine, iç denetim faaliyeti, kurumun güvence haritasının geliştirilmesi ve tamamlanmasında
bir koordinasyon rolü üstlenebilir.
9. Kurumun güvence haritası tamamlandığında, yetersiz güvence kapsamlı önemli riskler veya
fazladan gayret harcanmış güvence kapsamlı alanlar teşhis edilebilir. Üst yönetim ve yönetim
kurulunun, bu riskler için güvence kapsamıyla ilgili değişiklikler yapması gerekecektir. İç denetim
faaliyetinde, yetersiz kapsamlı alanları, iç denetim planı geliştirilirken dikkate alınmalıdır.
10. İç denetim faaliyetinin rolünü ve sağladığı güvence seviyesini netleştirmek, yönetim kurulunun
ve kurumun ihtiyaç duyduğu bağımsız güvence gereksinimlerini anlamak iç denetim yöneticisinin
sorumluluğundadır. Yönetim kurulu, bütün güvence sürecinin olması gerektiği gibi işlediğinden ve
kurumun risklerinin etkili bir şekilde yönetildiğinden ve raporlandığından emin olmalıdır.
11. Yönetim kurulu, her bir risk sınıfında hem uygulanan hem de planlanan güvence faaliyetleri
konusunda bilgi almalıdır. İç denetim faaliyeti ve diğer güvence sağlayıcılar, yönetim kuruluna
kurumun belli kategorilerinde var olan riskin seviyeleri ve niteliği için uygun seviyede güvenceyi
sunar.
12. İç denetim yöneticisinin genel bir fikir sunmasını isteyen kurumlarda, iç denetim yöneticisi,
kurumun yönetişimi, risk yönetimi ve kontrol süreçleriyle ilgili genel bir fikir sunmadan önce, diğer
güvence sağlayıcılarının yaptıklarını dikkate almak için (uygun olduğunda dayanak almak için),
entegre güvence haritasının yapısını, kapsamını ve büyüklüğünü anlamalıdır. IIA'nın 'Practice Guide
Formulating and Expressing Internal Audit Opinions' (İç Denetim Düşüncelerinin Hazırlanması ve
Sunulmasına Dair Uygulama Rehberi)
isimli yayınında ilâve yönlendirmeler bulunabilir.
13. Kurumun genel bir fikir istemediği durumlarda, iç denetim yöneticisi, güvencede bilinen ve kabul
edilen hiçbir açıklık veya boşluğun olmadığını temin etmek için, güvence sağlayıcılarının
koordinasyonunu sağlayabilir. İç denetim yöneticisi, diğer güvence sağlayıcılardaki herhangi bir
girdi/ilgi/gözetim/güvence eksikliğini rapor eder. Eğer iç denetim yöneticisi, güvence kapsamının
uygun veya yeterli olmadığına hükmederse, üst yönetim ve yönetim kuruluna bu yönde tavsiyede
bulunulması gerekir.
14. İç denetim yöneticisi, Standart 2050'ye göre, diğer güvence sağlayıcılarla olan faaliyetleri
eşgüdümlü hâle getirir; bunun için güvence haritasından yararlanılabilir. Güvence haritaları
her geçen gün, bu eşgüdümün daha etkili bir şekilde yapılmasını sağlamaktadır. * * *
Yayın: Temmuz 2009
Uygulama Önerisi 2050-3:
Diğer Güvence Sağlayıcıların Çalışmalarına Güvenme (Ekim 2010)
İlgili Ana Standart
2050 – Eşgüdüm (Koordinasyon) İç Denetim Yöneticisi; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve işin
kapsamını en uygun şekilde belirlemek amacıyla, güvence ve danışmanlık hizmetlerini yerine
getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetleri bunlarla eşgüdüm
içinde sürdürmelidir.
1. İç denetçi, Yönetim Kurulu‟na kurumsal yönetişim, risk yönetimi ve kontrol güvencesi
sağlamada diğer iç ve dış sağlayıcıların çalışmalarından yararlanabilir veya bu çalışmalara
güvenebilir. İç güvence sağlayıcılar; yönetimin gözlemleme faaliyetleri yanında, (Mevzuata)
Uygunluk, Bilgi Güvenliği, Kalite, İş Sağlığı ve Güvenliği gibi işletme fonksiyonlarını içerebilir.
Dış güvence sağlayıcılar; bağımsız denetçileri, ortak teşebbüs paydaşlarını, uzman görüşlerini
veya Uluslararası Güvence Hizmetleri (bağımsız denetim) Standardı 3402: Bir Hizmet
Örgütündeki Kontrollere İlişkin Güvence Raporları Standardına göre raporlama yapanlar da dahil
olmak üzere üçüncü taraf denetim şirketlerini içerebilir.
2. Diğer güvence sağlayıcıların çalışmalarına güvenme kararı; iç denetim faaliyetinin
yetkinliklerinin dışında kalan alanlar dahil olmak üzere, diğer güvence sağlayıcılarından bilgi
almak veya iç denetim planının dışında kalan riskin karşılanma düzeyini verimli bir şekilde
arttırmak gibi çok çeşitli nedenlerle olabilir.
3. İç denetim yönetmeliği ve/veya denetim sözleşmesi, iç denetim faaliyetinin diğer iç ve dış
güvence sağlayıcıların çalışmalarına erişebileceğini belirtmelidir.
4. Güvence sağlayıcısı tutması durumunda, iç denetçi görev beklentilerini bir kontrat ya da
anlaşma olarak yazılı hale getirmelidir. Çıktıların niteliği ve aidiyeti, metot/teknikler, kullanılacak
bilgi ve prosedürlerin doğası gereği, yapılan işin uygunluğundan emin olmak için kullanılacak
ilerleme raporları/gözetimi ve raporlama gereksinimleri için olası en küçük beklentiler
karşılanmalıdır.
5. Eğer kurum yönetimi üçüncü taraf bir güvence sağlayıcıyla sözleşme imzalarsa veya o yönde
bir talimat verirse iç denetçinin talimatın uygun olduğu, anlaşıldığı ve yerine getirildiği konusunda
ikna olması gereklidir.
6. İç denetçi diğer güvence sağlayıcının çalışmasının doğruluğuna güvenip güvenmeyeceğine
veya onun çalışmasını kullanıp kullanmayacağına karar verirken, güvence sağlayıcının
bağımsızlık ve tarafsızlığını göz önünde bulundurması gereklidir. Eğer bir güvence sağlayıcı iç
denetim yerine yönetim tarafından tutulduysa ve/veya yönetiliyorsa, bu düzenlemenin güvence
sağlayıcının bağımsızlık ve tarafsızlığına etkisinin değerlendirilmesi gereklidir.
7. İç denetçi güvence sağlayıcının yetkinliğini ve niteliğini değerlendirmelidir. Yeterliliğe dair
örnekler; güvence sağlayıcının uygun mesleki deneyime ve niteliğe sahip olduğunun
doğrulanması, ilgili mesleki kurum veya enstitülerde güncel kaydının olması ve sektörde
yetkinliği ve dürüstlüğü ile tanınmasını kapsar.
8. İç denetçinin, Standart 2310: Bilgilerin tespiti ve Tanımlanması gereği güvence sağlayıcının
uygulamalarının makul bir güvenceye sahip olduğu, bulguların yeterli, güvenilir, ilgili ve yararlı
bilgiye dayandırılmış olduğu kanaatinde olmalıdır. Diğer güvence sağlayıcının çalışmasının hangi
ölçüde kullanıldığına bakılmaksızın, Standart 2310‟un gereğinin İç Denetim Yöneticisi tarafından
yerine getirilmesi zorunludur.
9. İç denetçi güvence sağlayıcının çalışmasının uygun bir şekilde planlandığından,
yönetildiğinden, dokümante edildiğinden ve değerlendirildiğinden emin olmalıdır. İç denetçi
güvence sağlayıcısının çalışmasının kullanılabilirlik ve güvenilebilirlik oranını saptayabilmek için
denetim bulgularının uygun ve yeterli olup olmadığını değerlendirmelidir. Diğer güvence
sağlayıcı tarafından yapılan çalışmanın değerlendirmesine bağlı olarak uygun ve yeterli denetim
bulgusuna ulaşabilmek için ek çalışmalara ya da test prosedürlerine ihtiyaç duyulabilir. İç denetçi
güvence
Uygulama Önerisi 2110-3:
Yönetişim: Değerlendirmeler (Nisan 2010)
İlgili Ana Standart
2110 – Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini
değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
• Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
• Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,
• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
• Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri
arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
1. İç denetçiler yönetişim uygulamalarının gelişimini değerlendirmede ve katkıda bulunmada bazı
farklı yetkilerle hareket edebilirler. Bilindiği üzere, iç denetçiler kurumun yönetişim süreçlerinin
tasarım ve işleyiş etkinliğinin bağımsız, tarafsız değerlendirmesini sağlar. Ayrıca, bu süreçleri
geliştirme yöntemleri hakkında danışmanlık hizmetleri ve tavsiyeler de sunabilirler. Bazı
durumlarda iç denetçilerden, yönetişim uygulamalarının öz değerlendirmeleri konusunda
Yönetim Kurulu‟na yardımcı olmaları istenebilir.
2. Uygulama Önerisi 2110-1 Yönetişim: Tanım‟da belirtildiği üzere, denetim amaçlı yönetişimin
tanımı üzerinde, uygun olduğu ölçüde Yönetim Kurulu ve üst düzey yöneticilerin anlaşması
gereklidir. Buna ek olarak, iç denetçinin kurumun yönetişim süreçlerini ve yönetişim, risk ve
kontrol arasındaki ilişkileri anlaması gereklidir. (Uygulama Önerisi 2110-2 Yönetişim: Risk ve
Kontrolle İlişki‟ye bakınız.)
3. Denetim planının, kuruma yönelik risklerin değerlendirilmesine dayandırılarak oluşturulması
gereklidir. Risk değerlendirmesinde tüm yönetişim süreçlerinin göz önünde bulundurulması
gereklidir. Bu Planın, süreçlerin değerlendirilmesi veya yönetimin yapılmasını talep ettiği işlerde
dikkate alınması gereken riskli alanlar da dahil olmak üzere daha yüksek risk içeren yönetişim
süreçlerini kapsaması gereklidir. Planın yürütülmesi gereken işin niteliğini, uyulması gereken
yönetişim süreçlerini ve yapılacak değerlendirmelerin yapısını (örneğin makro olarak - tüm
yönetişim çerçevesini dikkate almak veya mikro olarak- belirli riskleri, süreçleri, faaliyetleri veya
bunların her ikisinin bazı bileşimlerini dikkate almak) tarif etmesi gereklidir.
4. Bilinen kontrol sorunları varsa veya yönetişim süreci olgunlaşmamışsa, İç Denetim Yöneticisi
biçimsel değerlendirmelere ek olarak veya bunların yerine danışmanlık hizmetlerini kullanarak
kontrol ve yönetişim süreçlerini geliştirmede farklı metotları değerlendirebilir.
5. Yönetişim süreçleriyle ilgili iç denetim değerlendirmelerinin zaman içinde yürütülen sayısız
denetim görevinden elde edilen bilgiye dayanıyor olması muhtemeldir. İç denetçinin aşağıdaki
hususları dikkate alması gereklidir:
• Özellikli yönetişim süreçlerinin denetim sonuçları (örneğin ihbar süreci, strateji yönetim süreci).
• Özellikle yönetişime odaklanmayan denetimlerde ortaya çıkan yönetişim sorunları (örneğin risk
yönetimi süreci denetimleri, finansal raporlama üzerindeki kontroller, hile riski)
• Diğer iç ve dış güvence sağlayıcıların çalışmalarının sonuçları (örneğin baş hukuk danışmanı
tarafından soruşturma sürecini incelemek üzere görevlendirilen bir şirket). (Uygulama Önerisi 2050 - Eşgüdüm‟e bakınız.)
• Yönetişim süreçlerinin geliştirilmesi için bir fırsata işaret eden olumsuz olaylar gibi yönetişim sorunları hakkındaki diğer bilgiler.
6. İç denetçinin, planlama, değerlendirme ve raporlama aşamalarında, sonuçların niteliği ve
detaylandırılma potansiyeline karşı duyarlı olması ve Yönetim Kurulu ve üst yöneticilerle uygun
iletişimi sağlaması gereklidir. İç denetçinin denetime başlamadan ve raporu sonuçlandırmadan
önce hukuk danışmanına danışmayı düşünmesi gereklidir.
7. İç denetim faaliyeti yönetişim sürecinin asli bir parçasıdır. Yönetim Kurulu ve üst yöneticilerin,
iç denetimin etkililiğinin güvencesi olarak, Uluslararası İç Denetim Mesleki Uygulama
Standartları‟na uygun olarak yürütülen dış kalite değerlendirmeleri ile bağlantılı bir şekilde iç
denetim faaliyetinin kalite güvence ve geliştirme programının doğruluğuna güvenebilmesi
gereklidir.
Uygulama Önerisi 2060-1:
Üst Yönetime ve Yönetim Kuruluna Raporlamalar
1. İç Denetim Yöneticisinin, üst yönetime ve yönetim kuruluna yıl boyunca dönemsel olarak faaliyet
raporları sunması gerekir. Bu faaliyet raporları, görevle ilgili önemli tespit ve tavsiyeleri içermeli ve
onaylanmış görev iş programları, personel (kadro) planları, mali bütçelerden önemli sapmalar ile
bunların sebeplerini ve alınan veya alınması gereken tedbirleri üst yönetime ve yönetim kuruluna
bildirmelidir.
2. Görev esnasında elde edilen önemli tespitler, İç Denetim Yöneticisinin görüş ve kanaatine göre,
kurumu olumsuz etkileyebilecek durumlardır. Bu önemli tespitler; suistimaller, usulsüzlükler, yasa
dışı fiil ve işlemler, hatâlar, verimsizlik, israf, etkisizlik, çıkar çatışmaları ve kontrol zayıflıkları gibi
durumları kapsayabilir.
3. Üst yönetim ve yönetim kurulu, önemli tesbit ve tavsiyelerle ilgili alınması gereken tedbirler
hakkında kararlar alır. Üst yönetim ve yönetim kurulu, maliyetinden veya başka hususlardan dolayı,
rapor edilen bir sorunu düzeltmeme ve çözmeme riskini üstlenmeye karar verebilir. Üst yönetimin
önemli tespit ve tavsiyelere ilişkin bütün kararlarının, yönetim kuruluna bildirilmesi gerekir.
4. Üst yönetimin ve yönetim kurulunun rapor edilen sorunu düzeltmeme ve çözmeme riskini
üstlendiği durumlarda, İç Denetim Yönetici, görevle ilgili olarak daha önce rapor edilen önemli tespit
ve tavsiyeler hakkında yönetim kuruluna bilgi vermenin uygunluğunu değerlendirir. Bu, risk profilini etkileyen önemli değişiklikler olduğu zaman, gerekli olabilir. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2060-1:
Üst Yönetim ve Yönetim Kuruluna Raporlama (Mayıs 2010)
İlgili Ana Standart
2060 - Üst Yönetim ve Yönetim Kuruluna Raporlama İç Denetim Yöneticisi, iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve plana
kıyasla performansı konularında, üst yönetime ve Yönetim Kurulu‟na dönemsel raporlar sunmak
zorundadır. Bu raporlar, suiistimal risklerini, yönetişim sorunlarını ve üst yönetimin ve denetim
komitesinin, Yönetim Kurulu‟nun ihtiyaç duyabileceği veya talep edebileceği başka konuların da
dahil olduğu önemli riskleri ve kontrol sorunlarını içermek zorundadır.
Yorum: Raporlamanın sıklığı ve içeriği, üst yönetim, denetim komitesi ve yönetim kurulu ile tartışılarak
belirlenir ve iletilecek bilginin önemine ve üst yönetim, denetim komitesi ve yönetim kurulu
tarafından alınacak tedbirlerin aciliyetine bağlıdır.
1. Raporlamanın amacı üst yönetime ve Yönetim Kurulu‟na; yönetişim süreci (Standart 2110),
risk yönetimi (Standart 2120) ve kontrol (Standart 2130) hakkında güvence sağlamaktır. İç
Denetim Yöneticisi, Yönetim Kurulu ile doğrudan iletişim kurmak ve karşılıklı etkileşimde
bulunmak zorundadır. Standart 1111‟e göre “İç Denetim Yöneticisi Yönetim Kurulu ile doğrudan iletişim ve etkileşimde olmak zorundadır.”
2. İç Denetim Yöneticisi (İDY), iç denetim biriminin yönetmeliği (örneğin amacı, yetkisi,
sorumlulukları) ve performansı konusunda üst yönetime yapılacak olan raporlamanın sıklığı ve
niteliğini Yönetim Kurulu ile kararlaştırmalıdır. Performans raporlaması, üst yönetim ve Yönetim
Kurulu‟nu onaylanmış denetim planı, personel atama planları ve finansal bütçelerden önemli
sapmalar ile bu sapmaların nedenleri ve alınması gereken tedbirler hakkında bilgilendirmesi
gereken en son onaylı denetim planı ile ilintili olmalıdır. Standart 1320‟e göre “İç Denetim
Yöneticisi‟nin, uygulanan kalite güvence ve geliştirme programının sonuçlarını üst yönetime ve Yönetim Kurulu‟na iletmek zorundadır.”
3. Maruz kalınabilecek önemli riskler ve kontrol sorunları, İDY‟nin görüşüne göre; kurumu ve
onun stratejik, finansal raporlama, faaliyet ve uygunluk amaçlarına erişme yeteneğini olumsuz
etkileyebilecek koşullardır. Önemli sorunlar; kontrol zafiyeti, yolsuzluk (hile), düzensizlik, yasa
dışı faaliyet, hata, verimsizlik, israf, etkin olamama, çıkar çatışması ve finansal sürdürülebilirlik
dahil, kabul edilemez iç ve dış risklere maruz bırakabilir.
4. Üst yönetim ve Yönetim Kurulu önemli sorunlara karşı alınması uygun olan tedbirler hakkında
kararlar alır. Bu yöneticiler, maliyet veya diğer etkenlerle, raporlanan koşulun düzeltilmemesi
riskini üstlenme kararı alabilirler. Üst yönetim, iç denetim tarafından ortaya konulan bütün önemli
sorunlar hakkında Yönetim Kurulunu bilgilendirmelidir.
5. İDY, kurumun kabul edilemez olarak değerlendireceği bir riskin üst yönetim tarafından
üstlenildiğine inandığında, İDY bu konuyu üst yönetimle Standart 2600‟de belirtildiği şekilde
tartışmak zorundadır. İDY yönetimin kararının dayanağını anlamalı, uyuşmazlığın sebebini
belirlemeli ve yönetimin bu riski üstlenme yetkisi olup olmadığını saptamalıdır. Uyuşmazlıklar;
riskin olasılığı ve potansiyel etkisi, risk iştahı konusundaki anlayış, maliyet ve kontrolün düzeyine
ilişkin olabilir, İDY, uyuşmazlığı, tercihen üst yönetimle çözmelidir.
6. Şayet İDY ile üst yönetim bir uzlaşıya varamazsa, Standart 2600 İDY‟nin Yönetim Kurulunu
bilgilendirmesini öngörür. Mümkünse, İDY ve yönetim, çatışan durumlar hakkında ortak bir
sunum yapmalıdır. Finansal raporlama sorunları için, İDY‟lerinin bu sorunları uygun bir
zamanlama ile dış denetçilerle tartışmayı göz önünde bulundurması gereklidir.
Uygulama Önerisi 2110-1:
Yönetişim: Tanım (Nisan 2010)
İlgili Ana Standart
2110 – Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini
değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır: • Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
• Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,
• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
• Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri
arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
1. İç denetimin tanımında da belirtildiği üzere iç denetim rolü güvence işlevinin bir parçası olarak
yönetişim süreçlerini değerlendirme ve geliştirme sorumluluğunu içerir.
2. Yönetişim kavramının yasal çerçevelerin yanı sıra çeşitli çevresel, yapısal ve kültürel koşullara
dayanan bir dizi tanımı bulunmaktadır. Uluslararası İç Denetim Mesleki Uygulama Standartları,
yönetişimi; “Kurumun amaçlarının başarılmasına yönelik olarak Yönetim Kurulu tarafından
faaliyetlerin bildirilmesi, yönlendirilmesi, yönetilmesi ve izlenmesi için uygulanan yapı ve
süreçlerin bir birleşimi” olarak tanımlamaktadır. İç Denetim Yöneticisi (İDY) kurumun farklı
yönetişim çerçeveleri veya modelleri benimsemesi halinde, denetim amaçları doğrultusunda farklı
bir tanım kullanabilir.
3. Dünya genelinde, diğer kuruluşlar ve yasal ve düzenleyici kurumlar tarafından yayımlanmış
çok sayıda yönetişim modeli bulunmaktadır. Örneğin Ekonomik İşbirliği ve Kalkınma Örgütü
(OECD) yönetişimi; “…şirketin yönetimi, Yönetim Kurulu, hissedarları ve diğer paydaşları
arasındaki ilişkiler bütünü” olarak tanımlamaktadır. OECD‟ye göre “Kurumsal yönetişim, şirketin
amaçlarının oluşturulduğu ve bu amaçlara ulaşma ve performansı izleme araçlarının belirlendiği
bir yapı sağlar.” Avustralya Menkul Kıymetler Borsası Kurumsal Yönetim Konseyi yönetişimi;
“…şirketlerin yönlendirildiği ve yönetildiği bir sistem” olarak tanımlar ve “Böyle bir sistem
şirketin amaçlarının nasıl oluşturulacağını ve başarılacağını, riskin nasıl izleneceği ve
değerlendirileceğini, performansın nasıl en iyi düzeye çıkarılacağını etkiler.” diye belirtir. Çoğu
durumda, yönetişimin durağan olmayan bir süreç veya sistem olduğu kabul edilir. Standartlardaki
yaklaşımın ayırt edici özelliği; Yönetim Kurulu‟na ve onun yönetişim faaliyetlerine özel önem
vermesidir.
4. Yönetişim için gerekli çerçeveler ve gereksinimler kuruluşun türüne ve düzenleyici yasal
kuruma göre değişkenlik gösterir. Örnek vermek gerekirse halka açık ticari şirketler, kar amacı
gütmeyen organizasyonlar, birlikler, kamu kuruluşları veya kamu özel teşebbüsleri, akademik
enstitüler, özel şirketler, komisyonlar ve menkul kıymetler borsaları gibi şirketler bu kapsamdadır.
5. Bir kurumun etkili yönetişimin ilkelerini nasıl tasarlayacağı ve uygulayacağı o kuruluşun
büyüklüğüne, karmaşıklığına, yaşam süresindeki olgunluğuna, paydaşlarının yapısına, yasal ve
kültürel gereksinimlerine vs. bağlı olarak da değişiklik gösterir.
6. Yönetişimin tasarım ve yapısındaki değişkenliklerin bir sonucu olarak, İç Denetim
Yöneticisi‟nin, denetim amaçları açısından yönetişimin en uygun şekilde nasıl tanımlanacağına
karar verebilmek için, Yönetim Kurulu ve üst yönetim ekibiyle birlikte çalışması gereklidir.
Uygulama Önerisi 2120-1:
Risk Yönetim Süreçlerinin Yeterliliğinin Değerlendirilmesi
1. Risk yönetimi, kurum yönetiminin, yönetim kurulunun temel sorumluluklarından biridir. İş
hedeflerine ulaşabilmek için, yönetimin, kurumiçinde sağlam risk yönetimi süreçlerinin bulunmasını
ve kullanılmasını sağlaması gerekir. Yönetim kurulu, uygun risk yönetimi süreçlerinin bulunup
bulunmadığını ve bu süreçlerin yeterli ve etkin olup olmadığını tespit etmek konusunda gözetim
görevini üstlenmiştir. Bu görev kapsamında yönetim kurulu, iç denetim faaliyetini, yönetimin
uyguladığı risk süreçlerinin yeterliliği ve etkililiğini incelemesi, değerlendirmesi, rapor etmesi ve bu
konuda iyileştirici önlemler önermesi için yönlendirerek kendilerine destek olmasını sağlayabilir.
2. Kurumun risk yönetimi ve kontrol süreçlerinden üst yönetim, ve yönetim kurulu sorumludur.
Ancak, danışmanlık rolünü üstlenen iç denetçiler de, bu risklerin tanımlanması, değerlendirilmesi ile
risk yönetimi yöntemlerinin uygulanması, bu risklerle ilgili kontrol önlemlerinin alınması ve
uygulanması konularında kuruma yardımcı olabilirler.
3. Kurumun resmî risk yönetim süreçlerine sahip olmadığı durumlarda, iç denetim yöneticisi; üst
yönetim ve yönetim kurulu ile kurum içinde riski anlamalarına, yönetmelerine ve izlemelerine yönelik
yükümlülükleri hakkında görüşür ve üst yönetimin ve yönetim kurulunun, resmî olmasa bile,
kendilerini tatmin edecek, kurum içinde anahtar risklerin görülebildiği uygun bir seviyede bir bilgi
sağlayan ve risklerin nasıl yönetilebileceğini ve izlenebileceğini belirten süreçlerin varlığının gerekli
olduğu konusunu tartışır.
4. İç Denetim Yöneticisi, kurumun risk yönetimi sürecinde, üst yönetim ve yönetim kurulunun iç
denetim faaliyetinden beklentilerini öğrenmeli ve kavramalıdır. Bu bilgiler, iç denetim yönetmeliğine
ve yönetim kurulunun yönetmeliklerine de yazılmalıdır. İç denetimin sorumluluklarının, kurumun
• hiç rolü olmamaktan,
• iç denetim planının bir parçası olarak risk yönetimi sürecini denetlemeye,
• gözetim komitelerine, izleme faaliyetlerine ve durum raporlama
çalışmalarına katılmak gibi, risk yönetim sürecinde faal ve kesintisiz destek ve katılıma,
• risk yönetim sürecinin yönetimi ve koordinasyonuna kadar uzanan bir aralıkta olabilir.
5. Son olarak, iç denetimin risk yönetimi sürecindeki rolünü tespit etmek, üst yönetimin ve yönetim
kurulunun görevidir. Yönetimin iç denetimin rolü konusundaki görüşü de, muhtemelen, kurumsal
kültür, iç denetim personelinin kabiliyeti, ülkenin mahallî koşulları ve gelenekleri gibi etkenler dikkate
alınarak belirlenir. Ancak, risk yönetim sürecine ilişkin yönetim sorumluluğunun üstlenilmesi ve iç
denetim faaliyetinin bağımsızlığına ilişkin olası tehditlerin olması bu konunun detaylı olarak
tartışılmasını ve yönetim kurulunun onayını gerekli kılar.
6. Muhtelif kurumların kendi risk yönetimi uygulamalarında kullandığı teknikler arasında önemli
farklar olabilir. Kurumun işle ilgili faaliyetlerinin büyüklüğüne ve karmaşıklık düzeyine bağlı olarak,
risk yönetimi süreçleri:
• resmî veya gayriresmî olabilir,
• kantitatif (nicel kıstaslara bağlı) veya sübjektif olabilir,
• ilgili iş birimlerinin içine yerleştirilebilir veya kurumsal düzeyde merkezîleştirilebilir.
7. Bir kurum süreçlerini kendi kültürüne, yönetim tarzına ve iş hedeflerine bağlı bir şekilde tasarlar.
Örneğin, kurumun türev araçlar kullanması veya sermaye piyasalarının başka gelişmiş ürünlerini
kullanması hâlinde, kantitatif risk yönetimi araçlarının kullanılması gerekir. Daha küçük ve daha az
karmaşık olan kurumlar, kurumun risk profilini tartışmak ve dönemsel eylemlere girişmek için bir
gayriresmî risk kurulundan yararlanabilir.Denetçi, seçilen yöntemin kurumun faaliyetleri açısından
uygun ve yeteri kadar kapsayıcı olup olmadığını belirler.
8. İç denetçiler, risk yönetimi süreçlerinin yeterliliği yönünde bir görüş belirtebilmek için, risk
yönetimi süreçlerinin temel hedeflerine uygunluğundan emin olmalı ve bu konuda yeterli kanıt
toplamalıdır. Bu kanıtların toplanmasında, iç denetçi, aşağıda sayılan tiplerde denetim prosedürlerini
dikkate almalıdır:
• Bu riskleri önlemek, izlemek ve tekrar değerlendirmek için kullanılan kontrol prosedürlerini
incelemek ve kurumu etkileyebilecek riskleri ve risk maruziyetlerini tespit etmek amacıyla, kurumun
yaptığı işle ilgili mevcut sektör gelişmeleri, eğilimleri, bilgileri ve başka uygun bilgi kaynaklarını
araştırmak ve gözden geçirmek,
• Kurumun iş stratejilerini, risk yönetimi felsefesini ve yöntemini, risk iştahını ve riskleri kabulünü
tespit etmek amacıyla, kurumsal politikaları, yönetim kurulunun tutanaklarını gözden geçirmek,
• Yönetimin, iç denetçilerin, dış denetçilerin ve bu raporları çıkartabilecek başka kaynakların daha
önce düzenlediği risk değerlendirme raporlarını gözden geçirmek,
• İş birimlerinin hedeflerini, ilgili riskleri ve kurum yönetiminin riskleri azaltma ve kontrol izleme
çalışmaları ile faaliyetlerini tespit etmek amacıyla, üst yönetimle ve birim yönetimleriyle görüşmeler
yapmak,
• Risklerin azaltılmasının, gözlenmesinin, raporlanmasının ve ilgili kontrol faaliyetlerinin etkililiğini
bağımsız bir gözle değerlendirmek amacıyla bilgileri özümsemek,
• Hiyerarşik örgütlenmenin risk gözleme faaliyetleri için uygunluğunu değerlendirmek,
• Risk yönetimi sonuçlarıyla ilgili raporlamanın yeterliliğini ve zamanında yapılıp yapılmadığını
gözden geçirmek,
• Yönetimin risk analizlerinin tam olup olmadığını ve risk yönetimi süreçleriyle anlaşılan sorunları
gidermek için alınan tedbirlerin uygunluğunu gözden geçirmek ve iyileştirici eylemler önermek,
• Yönetimin uyguladığı iç değerlendirme süreçlerinin etkililiğini, gözlemlerle, doğrudan kontrol
testleriyle ve gözlem prosedürleriyle, gözlem faaliyetlerinde kullanılan bilgilerin doğruluğuna ilişkin
testlerle ve başka uygun tekniklerle tespit etmek,
• Risk yönetimi uygulamalarındaki zayıflıkları gösteren riskle ilgili sorunları incelemek ve gerekirse,
bu konuyu üst yönetimle ve yönetim kuruluyla tartışmak. Denetçi, yönetimin kurumun risk yönetimi
stratejisi veya politikalarına uygun olmayan ya da kurumun kabul edemeyeceği bir risk düzeyi kabul
ettiğine inandığı takdirde, ek tavsiyeler için, "Yönetimin Artık Riskleri Üstlenme Kararı" başlıklı
Standart 2600'e ve ilgili diğer standartlara
bakmalıdır.
• 5 *
5 Kalite Güvence ve Geliştirme Programı: Etkili bir kalite güvence ve geliştirme programını
uygulamaya sokabilmek, her iç denetim faaliyeti için hayatî önem taşır.
• Denetim Evreninin Dönemsel Değerlendirilmesi: Kuruluşun dinamik risk profilini mutad olarak
değerlendirerek, denetim evreninin tam olduğunu temin amacıyla metodolojinin gözden geçirilmesi.
• Denetim Planının Dönemsel Değerlendirilmesi: Hangi görevlerin daha riskli olduğunun
değerlendirmesini yapmak için, uygulanmakta olan denetim planının gözden geçirilmesi. "Daha riskli
görevleri "dikkat çekici hâle getirerek" (flagging) iç denetim faaliyetinin yönetimi daha görünür hâle
gelir ve kritik görevlere yaklaşımı anlamak için daha fazla zaman harcanabilir.
• Etkili Planlama: Etkili bir denetim planlamasının yerini hiçbir şey tutamaz. Denetlenen ile ilgili
gerçekleri güncellemeyi ve etkili bir risk değerlendirme çalışmasını kapsayan mükemmel bir planlama
süreci, denetim hata risklerini önemli ölçüde azaltabilir. Bunun yanında, görev kapsamının ve
Yayın: Ocak 2009
Uygulama Önerisi 2120-2: İç Denetim Faaliyetinin Riskinin Yönetilmesi
1. İç denetimin rolü ve önemi çok büyümüştür ve önemli paydaşların (yönetim kurulu, üst yönetim
gibi) beklentileri de artmaya devam etmektedir. İç denetim faaliyetlerinin, finansal, operasyonel, bilgi
teknolojisi, yasal düzelme ve stratejik riskleri kapsayan geniş yetkileri vardır. Aynı zamanda, birçok iç
denetim faaliyeti, küresel iş piyasalarında kalifiye personel bulunabilirliğiyle, artan ücret
maliyetleriyle ve (bilgi sistemleri, suistimal, türev ürünler, vergiler
gibi) özel kaynaklara yönelik yüksek taleplerle ilgili zorluklarla karşılaşmaktadır. Bu etkenlerin bir
araya gelmesi, bir iç denetim faaliyetinde yüksek risk seviyesinin ortaya çıkmasına sebep olmaktadır.
Bunun sonucu olarak, iç denetim yöneticileri, iç denetim faaliyetlerine ve hedeflerine ulaşmaya
yönelik riskleri göz önünde bulundurmalıdırlar.
2. İç denetim faaliyeti, risklerden muaf değildir. Kendi risklerini yönettiğinden emin olmak için
gerekli önlemleri almalıdır.
3. İç denetim faaliyetlerindeki riskler üç büyük gruba ayrılır: denetim hatâları, yanlış güvence ve
itibar riskleri. Aşağıdaki tartışma, bu risklerle ilgili anahtar hususların ve bunların yönetimi için iç
denetim ekibinin dikkate alması gereken önlemlerin altını çizmektedir.
4. Her kuruluşta kontrol sorunları yaşanacaktır. Genellikle kontroller başarısız olduğunda veya
suistimal meydana geldiğinde, birisi şu soruyu sorar: "İç denetçiler neredeydi?" İç denetim faaliyeti şu
sebeplerden dolayı bu başarısızlıklara katkıda bulunmuş olabilir:
• Uluslararası İç Denetim Meslekî Uygulama Standartlarına uymadığı için.
• İç denetçinin bağımsızlığını ve objektifliğini izlemek için gerekli prosedürler dahil olmak üzere,
uygun olmayan bir kalite güvence ve geliştirme programı (Standart 1300).
• Stratejik risk değerlendirmesi sırasında, kilit öneme sahip denetim alanlarının yanı sıra, münferit
denetimin planlanmasında yüksek risk alanların teşhis edilmesinde gerekli olan etkili bir risk
değerlendirme sürecinin yokluğu ve bunun bir sonucu olarak doğru denetimlerin yapılamaması
ve/veya yanlış denetimlerle zaman kaybedilmesi.
• "Gerçek" riskleri ve doğru kontrolleri test etmede gerekli etkili iç denetim prosedürlerinin
tasarımındaki başarısızlık.
• İç denetim prosedürlerinin parçası olarak, hem tasarım yeterliliği hem de kontrol etkililiğinin
değerlendirilmesindeki başarısızlık.
• Yüksek risk alanları konusunda bilgi ve tecrübe açısından uygun niteliklere sahip olmayan denetim
ekiplerinin kullanılması.
• Bulgular veya kontrol zafiyetleriyle ilgili meslekî şüphecilik ve genişletilmiş iç denetim
prosedürlerinin kullanılmaması.
• Uygun iç denetim gözetim ve kontrolünün kullanılmaması.
• Ortada bir suistimal delili bulunmasına rağmen - örneğin "Muhtemelen çok önemli değil" veya "Bu
konuyla ilgilenmek için zaman ya da kaynağımız yok" gibi yanlış kararlar almak.
• Şüphelerle ilgili doğru kişilerle iletişime geçmemek.
• Yeterli raporlamanın eksik olması.
uygulanacak iç denetim prosedürlerinin anlaşılması da denetim hatâsı risklerini azaltacak olan önemli
denetim planlaması unsurlarıdır. Sürecin içine, iç
5. İç denetim hatâları, iç denetim faaliyetlerini zor durumda bırakmakla kalmaz, kuruluşun önemli bir
riske maruz kalmasına da sebep olabilir. Denetim hatâlarının olmayacağına dair kesin bir güvence söz
konusu olmadığından, bir iç denetim faaliyeti riski en aza indirmek için şu uygulamaları hayata
geçirebilir: denetim faaliyetinin yönetimi ile ilgili kontrol noktalarının konulması ve üzerinde
uzlaşmaya varılan plandan herhangi bir sapma olması durumda, onay alınması da önemlidir.
• Etkili Denetim Tasarımı: Birçok durumda, ne kadar etkili olduğunun test edilmesine başlamadan
önce, uygun kontrollerin sağlanıp sağlanmadığını temin etmek amacıyla, iç kontrol sistemlerinin
anlaşılması ve analiz edilmesi için oldukça zaman harcanır. Bu, bazen kontrol zayıflığının sebebine
işaret etmek yerine söz konusu tasarım zayıflığının bir sonucu olarak iç denetim yorumları için sağlam
bir zemin teşkil eder. Bu, ayrıca gözden kaçan kontrollerin teşhis edilmesini sağlayarak denetim hatâsı
ihtimalini de azaltır.
• Etkili Yönetim Gözden Geçirmesi ve Eskalasyon Prosedürleri: İç denetim yönetiminin, iç denetim
sürecine (yani rapor taslağından önce) katılımı, denetim hatâsı riskinin en aza indirilmesinde önemli
bir rol oynar. Bu katılım, çalışma kâğıtlarının gözden geçirilmesini, bir kapanış toplantısını veya
bulgularla ilgili 'gerçek-zaman" tartışmalarını kapsayabilir. İç denetim sürecine, iç denetim
faaliyetinin yönetimini dahil ederek, muhtemel sorunlar, görev esnasında daha erken teşhis edilebilir
ve değerlendirilebilir. Bunun yanında, iç denetim faaliyetinin, hangi konuların ve ne zaman iç denetim
biriminin hangi yönetim kademesine yönlendirileceğini düzenleyen rehberleri olabilir.
• Uygun Kaynak Tahsisatı: Her bir iç denetim görevinde doğru kişilerin görevlendirilmesi çok
önemlidir. Bu, özellikle yüksek riskli veya çok teknik bir görevin planlamasında önemlidir. Ekipte
gerekli niteliklerin olduğundan emin olmak, denetim hata riskini azaltmada hayatî öneme sahiptir.
Doğru niteliklerin yanı sıra, ekibin gerekli tecrübeye ve bunun yanında, bir iç denetim görevinin
yönetilmesinden sorumlu olanların da proje yönetiminde güçlü becerilere sahip olması önemlidir.
6. Bir iç denetim faaliyeti, farkında olmadan, belli bir seviyede yanlış güvence sunabilir. "Yanlış
güvence", olgulardan çok, sezgi veya tahminlere dayalı bir güven veya güvence seviyesidir. Birçok
durumda, iç denetimin bir meseleye müdahil olması, bir seviyeye kadar yanlış güvence oluşturabilir.
7. Maruz kalınacak önemli risklerin belirlenmesi ve değerlendirilmesi projelerinde kuruluşa yardımcı
olurken iç denetim faaliyetlerinin bir parçası olmaksızın iç denetim kaynakları kullanılacaksa bu husus
açıkça belirlenmelidir. Örneğin, bir iş birimi tarafından iç denetim faaliyetinden, yeni bilgisayar
sisteminin uygulanmasında yardımcı olması için bazı "kaynaklar" tedarik etmesi istemiştir. İş birimi,
bu kaynakları, yeni sistemin bazı test aşamalarını desteklemek için kullanmıştır. Bu kullanımın sonucu
olarak, sistemin tasarımındaki bir hata, finansal raporların yeniden düzenlenmesi şeklinde
sonuçlanmıştır. Bunun nasıl olduğu sorulduğunda, iş birimini buna, iç denetim faaliyetinin, süreçte yer
aldığı ve konuyu teşhis etmediği şeklinde cevap vermiştir. İç denetçinin katılımı, bir seviyede yanlış
güvence oluşturmuştur ve bu durum da, projedeki gerçek rolüyle tutarlı değildir.
8. Yanlış güvence riskini tamamını yok etmenin bir yolu olmasa da, iç denetim faaliyeti, bu alandaki
riski daha önceden tedbir alarak yönetebilir. Açık ve sürekli iletişim, yanlış güvence yönetiminde
anahtar stratejidir. Önde gelen diğer uygulamalar şunlardır: bulundurulabilir: Projenin kapsamı, iç
denetim faaliyetinin rolü, raporlama beklentileri,
gerekli nitelikler ve iç denetçilerin
bağımsızlığı.
• Eğer iç denetçiler, bir projenin veya inisiyatifin personel kadrosunu arttırmak için kullanılırsa, iç
denetçileri, yanlış güvenceye sebep olabilecek "geçici" kaynak olarak kullanmak yerine, bu projedeki
rollerinin ve katılımlarının kapsamı yanında gelecekteki objektiflik ve bağımsızlıkları da yazılı hâle
getirilmelidir.
9. Bir iç denetim faaliyetinin güven telkin eden itibarı, etkililiğinin önemli bir parçasını teşkil eder.
Saygın görülen iç denetim birimleri yetenekli meslek insanlarını çekebilirler ve kurumları için çok
değerlidirler. Güçlü bir "marka" olmak, iç denetim faaliyetlerinin başarısını ve becerisini kuruluş
içinde en üst noktaya çıkartır. Çoğu zaman, iç denetim faaliyetinin markası gücünü, uzun yıllar
boyunca aksamadan çıkartılan yüksek nitelikli işlerden almaktadır. Maalesef bu marka, güçlü ve ters
bir olayda birden yok olabilir.
10. Örneğin, bir iç denetim faaliyeti, çeşitli rotasyonlar sonrası üst düzey finansalyönetici görevlerine
gelmiş iç denetçilerden dolayı, gelecek yöneticiler için eğitim platformu olarak da algılanıp önemli
görülebilir. Ancak, bir dizi önemli mali tablo düzeltmesi ve yasal inceleme, iç denetim faaliyetinin
itibarını etkileyebilir. Yönetim kurulu, iç denetim ekibinin doğru yetenek ve 'kalite güvence ve
geliştirme programına' sahip olup olmadığını sorgulayabilir.
11. Başka bir örnekte, insan kaynaklarının denetimi sırasında, iç denetçiler, çalışanların meslekî
geçmişlerinin gerektiği şekilde incelenmediğini tespit edebilirler. Yeni işe alınmış bazı iç denetçilerin
eğitim geçmişlerinin yeterli olmadığının, diğer bir kısmının, daha önce suç teşkil eden bir faaliyete
katılmış olduğunun tespit edilmesi iç denetim faaliyetinin güvenilirliğini ciddi şekilde sarsabilir.
12. Bu gibi durumlar, durumu zorlaştırmakla kalmaz, aynı zamanda, iç denetim faaliyetinin
yararlılığını da zedeler. İç denetim faaliyetinin itibar ve "markası"nın korunması, sadece iç denetim
faaliyeti için değil, tüm kuruluş için önemlidir. İç denetim faaliyeti, hangi tür risklerin, itibarını
zedeleyebileceğini göz önünde bulundurmalı ve bu risklere karşı stratejiler geliştirmelidir.
13. Uygulamalardan bazıları şunlardır:
• İç denetim faaliyetinin, insan kaynakları ve işe alım dahil bütün süreçlerinde, güçlü bir kalite
güvence ve geliştirme programı uygulanır.
• "Markasını" olumsuz etkileyebilecek muhtemel riskleri teşhis etmek için, iç denetim faaliyeti,
dönemsel olarak risk değerlendirmesi yapar.
• IIA'nın iç denetçilere yönelik Etik Kuralları dahil olmak üzere, davranış kuralları ve etik davranış
standartları güçlendirilir.
• İç denetim faaliyetinin, şirketin bütün politika ve uygulamalarıyla uyum içinde olması temin edilir.
14. Bir iç denetim faaliyeti, yukarıda belirtilenlere benzer bir olayla karşılaştığında, İç Denetim
Yöneticisi, olayın içeriğini gözden geçirmeli ve sorunun ana sebeplerini anlamalıdır. Bu analiz,
oluşabilecek olumsuzlukları azaltmak için, iç denetim süreci ve kontrol sisteminde dikkate alınması gereken potansiyel değişikliklere karşı derinlikli bir bakış açısı getirir. • 6 *
Yayın: Nisan 2009 Uygulama Önerisi 2130-1: Kontrol Süreçlerinin Yeterliliğinin Değerlendirilmesi
1. Bir kurum, etkili risk yönetimi ve kontrol süreçleri oluşturur ve devamlılığını sağlar. Kontrol
süreçlerinin amacı, risklerin yönetilmesinde ve daha önce oluşturulmuş ve kurumun içindeki insanlara
açıklanmış olan hedeflere ulaşılmasında kurumu desteklemektir. Diğer şeylerin yanı sıra, kontrol
süreçlerinin aşağıdaki koşulları sağlaması beklenir:
6 İç denetim faaliyetinin rolü ve yetkisi üst yönetime ve diğer paydaşlara önceden iletilir.
• Risk yönetiminin, iç denetim planının ve iç denetim işinin neleri kapsadığı açıkça anlatılır. Ayrıca,
risk değerlendirme ve iç denetim planının kapsamında nelerin olmadığı da açıkça anlatılır.
• Her bir projeyle ilgili risk seviyesinin ve iç denetimin projedeki rolünün değerlendirilmesinde
"proje kabulü" süreci olmalıdır. Değerlendirmede şunlar göz önünde
• Mali ve operasyonel bilgilerin güvenilir ve doğru ve eksiksiz olması,
• Faaliyetlerin verimli bir biçimde yürütülmesi ve kurumun önceden belirlenmiş amaçlarına
ulaşılması,
• Varlıkların korunması,
• Kurumun eylem ve kararlarının kanunlara, mevzuata ve sözleşmelere uygun olması.
2. Üst yönetimin rolü, risk yönetim sistemi ve kontrol süreçlerinin oluşturulması, idaresi ve
değerlendirilmesi çalışmalarını gözetmektir. Bölüm müdürlerinin görev ve sorumluluklarından biri
de, kendi alan ve bölümlerinde kontrol süreçlerini incelemek ve değerlendirmektir. İç denetçiler,
kurumun belirli seçilmiş faaliyet ve işlev alanlarında risk yönetimi ve kontrolü süreçlerinin etkililiği
konusunda değişen derecelerde güvence sağlarlar.
3. İç Denetim Yöneticisi, kontrol süreçlerinin yeterliliği ve etkililiği konusunda genel bir kanaat
oluşturur. İç Denetim Yöneticisinin bu kanaati, denetimlerin tamamlanması suretiyle elde edilen
yeterli sayıda denetim kanıtına ve uygun olan durumlarda diğer güvence sağlayıcıların yaptıkları
çalışmalara dayanır. İç Denetim Yöneticisi, bu kanaatini üst yönetime ve yönetim kuruluna bildirir.
4. İç Denetim Yöneticisi, kontrol süreçlerinin etkililiğini değerlendirmek için yeterli kanıt ve bilgi
toplanmasına imkân veren bir yıllık denetim planı önerisi hazırlar. Bu plan, değerlendirilecek bütün
önemli faaliyet birimleri ile iş fonksiyonları hakkında gereken bilgileri toplamak amacına yönelik
denetim görevleri veya benzeri başka prosedürler ile kurum genelindeki tüm temel kontrol
süreçlerinin gözden geçirilmesini de içerir. Önerilen plan, yıl içinde yönetim stratejilerinde, dış
koşullarda veya önemli risk alanlarında meydana gelen değişiklikler ya da kurumun hedefleri ve
amaçlarına ulaşma konusundaki beklentilerde yapılan revizyonlara göre ayarlamaların yapılmasına
imkân verecek şekilde esnek olmalıdır.
5. Denetim planı, yakın zamanlı ya da beklenmeyen gelişmelerden en fazla etkilenen faaliyetlere
özel bir önem verir. Şartlardaki değişiklikler örneğin, piyasadan ya da yatırım koşullarından, şirket
satın almadan ve elden çıkartmadan, yeniden yapılanmadan, yeni sistemlerden ve yeni girişimlerden
kaynaklanabilir.
6. Denetim planı çerçevesinde beklenen denetim kapsamının belirlenmesinde, İç Denetim Yöneticisi
Üst Yönetime güvence hizmeti veren diğer taraflarca gerçekleştirilen ilgili çalışmaları (örneğin
kurumsal uyum yöneticileri tarafından gerçekleştirilen çalışmalar) dikkate alır. İç Denetim
Yöneticisinin denetim planı, aynı zamanda dış denetçiler tarafından gerçekleştirilen çalışmalar ile
Yönetimin risk yönetim süreçleri, kontrolleri ve kalite geliştirme süreçleri ile kendi kendine yaptığı
değerlendirmeleri de dikkate alır.
7. İç denetim yöneticisi, kurumun risk yönetim ve kontrol süreçleri hakkında bir kanaat
belirtilebilmesi için yeterli kapsamda olup olmadığını belirlemek amacıyla önerilen denetim planının
kapsamının genişliğini değerlendirmelidir. İç denetim yöneticisi, bu süreçlerin tamamı üzerinde bir
kanaat belirtilmesini engelleyebilecek, denetim kapsamındaki eksiklikler hakkında üst yönetimi ve
yönetim kurulunu bilgilendirmelidir.
8. İç denetim faaliyeti açısından çözülmesi gereken anahtar bir konu, kurumun kontrol süreçlerinin
etkililiğinin çok sayıda bireysel değerlendirmenin toplamına dayandırılarak değerlendirilmesidir. Bu
değerlendirmeler büyük ölçüde iç denetim görevlerinden, yönetimin kendi yaptığı değerlendirmelerin
gözden geçirilmesi ile ve diğer güvence sağlayıcılardan elde edilmektedir. Görev ilerledikçe, iç
denetçiler, tespit edilen kontrol eksikleri veya zayıflıklarının
etki ve sonuçlarını azaltmak veya düzeltmek amacıyla gereken tedbirlerin derhal alınmasını sağlamak
amacıyla, bulgularını uygun yönetim kademelerine zamanında iletirler.
9. Kurumun kontrol süreçlerinin genel etkililiğini değerlendirirken İç Denetim Yöneticisi, şu
hususları dikkate alır:
• Önemli eksiklik veya zayıflıklar tespit edilmiş midir? • Bu tespit üzerine düzeltici veya iyileştirici tedbirler alınmış mıdır?
• Bu tespitler ve onların muhtemel olumsuz sonuçları, kabul edilemez düzeyde iş risklerine yol
açabilecek yaygın bir sorunun bulunduğu sonucuna varılmasını gerektiriyor mu?
10. Önemli bir kontrol eksikliği veya zayıflık, her zaman sorunun yaygın olduğu ve kabul edilemez
bir iş riski taşıdığı anlamına gelmez. İç denetçi, kontrol süreçlerinin etkililiğinin tehlikeye girip
girmediği ve kabul edilemez bir riskin var olup olmadığını belirlemek için muhtemel olumsuz
sonuçların seviyesi kadar karşı karşıya kalınan riskin niteliğini ve boyutunu da dikkate alır.
11. İç Denetim Yöneticisinin kurumun kontrol süreçleri ile ilgili raporu, üst yönetime ve yönetim
kuruluna, genellikle yılda bir kere sunulur. Bu rapor, kontrol süreçlerinin kurumun hedeflerine
ulaşılmasındaki kritik rolüne yer verir. Rapor, aynı zamanda iç denetim faaliyeti tarafından
gerçekleştirilen çalışmanın niteliği ve boyutu ile kanaatin biçimlendirilmesinde
diğer güvence sağlayacılara olan güvenin boyutunu ve niteliğini de tanımlar.
• * *
Yayın: Ocak 2009
Uygulama Önerisi 2130.A1-1:
Bilgilerin Güvenilirliği ve Doğruluğu
1. İç denetçiler, üst yönetimin ve yönetim kurulunun bilgi güvenilirliği ve doğruluğunun idarî bir
sorumluluk olduğu konusunda açık bir anlayışa sahip olup olmadıklarını belirler. Bu sorumluluk,
bilgilerin nasıl saklandığına bakılmaksızın kurum için hayatî öneme sahip bütün veri ve bilgileri
kapsar.
2. İç Denetim Yöneticisi (İDY), iç denetim biriminin, bilgi güvenilirliği ve doğruluğunu ve bunlara
dair riskleri değerlendirmek için, yeterli ve uygun denetim kaynaklarına veya bu kaynaklara erişim
olanağına sahip olup olmadığını tesbit eder. Bu, kurumun dış kurumlarla ilişkilerinden kaynaklananlar
dahil hem iç hem dış risklerini kapsar.
3. İDY, bilgi güvenilirliği ve doğruluğu ihlâllerinin ve kurum açısından tehlike oluşturabilecek
durumların, üst yönetim, yönetim kurulu ve iç denetim birimine derhal bildirilip bildirilmediğini tesbit
eder.
4. İç denetçiler, gerektiğinde, geçmiş ve gelecekteki muhtemel saldırılara veya saldırı girişimlerine
karşı, önleyici, tespit edici ve azaltıcı tedbirlerin etkililiğini değerlendirir. İç denetçiler; yönetim
kurulunun, mevcut tehditler, olaylar, karşılaşılan zayıflıklar ve uygulanan düzeltici tedbirler hakkında
yeterince bilgilendirilip bilgilendirilmediğini tesbit eder.
5. İç denetçiler, kurumun bilgi güvenilirliği ve doğruluğu uygulamalarını dönemsel olarak
değerlendirir; mevcut koruma ve kontrol iyileştirmeleri ya da yeni koruma ve kontrol uygulamaları
(hangisi uygunsa) tavsiye eder. Bu değerlendirmeler, bağımsız bir denetim veya yıllık denetim
planının bir parçası olan başka denetim veya görevlerle bütünlük arz edecek şekilde yapılabilir. Üst
yönetim ve yönetim kuruluna en uygun raporlama sürecini,
görevin niteliği belirler. * * *
Yayın: Ocak 2009 Uygulama
Önerisi 2130.A1-2:
Bir Kurumun Gizlilik Çerçevesinin Değerlendirilmesi
1. Kişisel bilgilerin uygun kontrollerle korunmasındaki başarısızlık, kurumlar açısından kayda değer
seviyede olumsuz sonuçlara sebebiyet verebilir. Bu başarısızlık kişilerin ve/veya kurumların itibarını
zedeleyebilir ve kurumları yasal sorumluluk ve müşteri ve/veya çalışan güveninde azalma gibi risklere
maruz bırakabilir.
2. Gizlilik tanımları kurumun faaliyet gösterdiği ülkenin kültürüne, siyaset ortamına ve hukuk
sistemine bağlı olarak büyük oranda farklılık göstermektedir. Bilginin gizliliği ile ilgili riskler, kişisel
gizliliği (fiziksel ve fizyolojik); yer gizliliğini (gözetimden uzak olmak); iletişim gizliliğini (izleme ve
gözlemden uzak olmak) ve bilgi gizliliğini (kişisel bilgilerin başkalarınca toplanması, kullanılması ve
ifşa edilmesi) kapsar. Kişisel bilgiler, genel olarak, belirli bir
bireyle ilgili olan bilgiler ya da başka bilgilerle birleştirildiğinde belirli bir kişiyle ilişkilendirilebilecek
ayırt edici nitelikteki bilgiler anlamına gelir. Kişisel bilgiler, kayıtlı olsun veya olmasın, herhangi bir
ortam veya formatta maddi olgularla ilgili veya subjektif bilgileri içerebilir. Kişisel bilgilere örnek
olarak, şunlar sayılabilir:
• İsim, adres, kimlik numaraları, aile ilişkileri,
• Çalışanların kayıtları, değerlendirmeler, görüşler, sosyal statü veya sabıka kayıtları veya disiplin
cezaları,
• Kredi geçmişi bilgileri, gelir, mali durum bilgileri,
• Tıbbî durum bilgileri.
3. Kişisel bilgilerin korunmasına ilişkin etkili bir kontrolün sağlanması, kurumun yönetişim, risk
yönetimi ve kontrol süreçlerinin önemli bir bileşenidir. Kurumun temel ve büyük risklerinin
belirlenmesinden ve belirlenen bu riskleri azaltmak için uygun kontrol süreçlerinin uygulanmasından,
nihai olarak yönetim kurulu sorumludur. Bu sorumluluk, kurum için gereken gizlilik politikasının
oluşturulmasını ve uygulanmasının izlenmesini de kapsar.
4. İç denetim faaliyeti, üst yönetimin gizliliğin (mahremiyetin) korunması amacına yönelik riskleri
belirlemesinin yeterliliği ile bu risklerin kabul edilebilir seviyeye indirilmesi amacıyla oluşturduğu
kontrollerin yeterliliğini değerlendirmek suretiyle kurumun iyi yöneti(şi)m ve risk yönetimine katkıda
bulunabilir. İç denetçi, kendi kurumundaki gizlilik politikasının değerlendirilmesi, önemli risklerin
belirlenmesi ve bu riskleri azaltıcı uygun tavsiyelerin yapılması konusunda da, benzersiz bir
konumdadır.
5. İç denetim faaliyeti, kendi kurumunun topladığı kişisel veya özel sayılan bilgilerin türlerini ve
uygunluğunu, kullanılan bilgi toplama yöntemini, kurumun bu bilgileri asıl kullanım amacına ve
geçerli mevzuata uygun kullanıp kullanmadığını belirler.
6. Konunun son derece teknik ve hukukî bir nitelik taşıdığı dikkate alınarak, iç denetim faaliyeti,
kurumun gizlilik politikasına ilişkin kontrollerin ve risklerin değerlendirmesini yapmak için yeterli
bilgi ve yetkinliğe ihtiyaç duyar.
7. Kurumun gizlilik politikalarının yönetimine ilişkin böyle bir değerlendirme yapılırken, iç denetçi:
• Kurumun içinde faaliyetini sürdürdüğü yargı sistemindeki gizlilikle ilgili kanun, düzenleme ve
politikaları dikkate alır.
• Kurumun faaliyet yürüttüğü ülke/ülkelerde geçerli olan ve kurumun tâbi olduğu kanunlar,
düzenlemeler ile diğer standartların ve uygulamaların niteliğinin tam olarak belirlenmesi amacıyla
kurumun hukuk danışmanıyla irtibat hâlinde olur.
• Bilgi güvenliği ve veri koruma kontrollerinin var olduğunun ve uygunluğunun düzenli olarak
gözden geçirildiğinin ve değerlendirildiğinin belirlenmesi amacıyla bilgi teknolojisi uzmanlarıyla
irtibat hâlinde olur.
• Kurumun gizlilik uygulamalarının seviyesi veya gelişmişliğini dikkate alır. Bu seviyeye bağlı
olarak, iç denetçi, farklı ve değişen roller üstlenebilir.
Denetçi; gizlilik programının geliştirilmesini ve uygulanmasını kolaylaştırabilir, kurumun ihtiyaçlarını
ve maruz kaldığı riskleri tespit etmek amacıyla yönetimin gizliliğe ilişkin risk değerlendirme
çalışmasını değerlendirebilir ya da kurum genelindeki gizlilik politikaları, uygulamaları ve
kontrollerinin etkililiğini inceleyebilir ve bu konuda güvence verebilir. İç denetçi, bir gizlilik
programının geliştirilmesi ve uygulanmasına ilişkin herhangi bir
sorumluluk üstlenirse, bağımsızlığı zedelenebilir. • 7 *
Yayın: Ocak 2009
Uygulama Önerisi 2200-1:
Görev Planlaması
1. İç denetçi, üstlerinin gözetimi ve onayına tâbi olarak, görevi planlar ve yürütür. Göreve başlamadan
önce iç denetçi;
2. İç Denetim Yöneticisi, kurum için uygun olan bir resmiyet ve dokümantasyon seviyesi (örneğin
planlanan toplantıların sonuçları, risk değerleme prosedürleri, çalışma programındaki ayrıntı seviyesi
gibi) talep etmelidir. Dikkate alınacak etkenler şunları içerebilir:
• Yapılan işe ve/veya görevin sonuçlarına diğer taraflarca (örneğin dış denetçiler, düzenleyiciler
veya yönetim) itibar edilip edilmeyeceği.
• Yapılan işin muhtemel ya da mevcut bir hukukî ihtilâfa karışmış hususlarla ilgili olup olmayacağı.
• İç denetim ekibinin tecrübe seviyesi ve gereken doğrudan gözetim seviyesi.
• Projeye personel atamasının içeriden, ziyaretçi denetçilerden (guest auditors) ya da dış hizmet
sağlayıcılarından mı yapılacağı.
• Projenin karmaşıklığı ve kapsamı.
• İç denetim biriminin boyutu.
• Belgelendirmenin değeri (örneğin sonraki yıllarda kullanılıp kullanılmayacağı).
3. İç denetçi kapsanan dönem ve tahminî tamamlanma tarihi gibi, görevle ilgili diğer gerekleri tespit
eder. İç denetçi ayrıca nihaî rapor formatını da dikkate alır. Bu safhada düzgün bir planlama
yapılması, görevin tamamlanması sırasındaki iletişim sürecine de katkı sağlar.
4. İç denetçi görev hakkında bilgilendirilmesi gereken bütün yöneticilere bilgi verir, denetlenmekte
olan faaliyetlerden sorumlu yöneticilerle toplantılar düzenler, toplantılarda konuşulan konuları özetler
7 görevin amaçlarını açıklayan,
• incelenmesi gereken teknik ihtiyaçları, hedefleri, riskleri, süreçleri ve işlemleri tanımlayan,
• gereken testlerin niteliğini ve kapsamını gösteren,
• iç denetçinin görev sırasında veri toplama, analiz etme, yorumlama ve belgeleme süreçlerini yazılı
hâle getiren,
• gerekli görülen durumlarda denetim sırasında İç Denetim Yöneticisi ya da görevlendirdiği bir
temsilcinin onayıyla değiştirilen bir denetim programı hazırlar.
ve tartışılan hususları ve varılan sonuçları ilgililerine dağıtır ve belgeleri görev çalışma kâğıtları
içerisinde muhafaza eder. Tartışma konuları şunlar olabilir:
• Planlanan görev amaçları ve yapılan işin kapsamı.
• Göreve konu olan işlerin zamanlaması ve kaynakları.
• İç ve dış çevrede meydana gelen yakın tarihli değişiklikler dahil olmak üzere denetlenmekte olan
birimin çalışma şartları ve faaliyetlerini etkileyen anahtar unsurları.
• Yönetimin endişeleri ve talepleri.
5. İç Denetim Yöneticisi, görev sonuçlarının nasıl, ne zaman ve kime bildirileceğini belirler. İç
denetçi bunu yazılı hâle getirir ve planlama safhasında uygun görülen yönetim kademesine kadar
iletir. İç denetçi, sonradan ortaya çıkan ve görev sonuçlarının zamanlama ve
raporlamasını etkileyen değişiklikleri yönetime bildirir. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2200-2:
İç Denetim Görevinde Değerlendirilmesi Gereken Kontrolleri Belirlemek Üzere
Yukarıdan-Aşağıya, Risk Esaslı Bir Yaklaşımın Kullanılması (Nisan 2010)
İlgili Ana Standart
2200 - Görev Planlaması İç denetçiler, her görev için, amaçları, kapsamı, zamanlama ve kaynak dağılımı hususlarını da
dikkate alan ayrı bir plan hazırlamak ve yazılı hâle getirmek zorundadır.
1. Bu uygulama önerisini; 2010-2: İç Denetim Planlamasında Risk Yönetimi Süreçlerinin
Kullanılması, 2210-1: Görevin Amaçları ve 2210.A1-1: Görev Planlamasında Risk
Değerlendirmesi başlıklı uygulama önerileri ve İş ve BT Riskleri İçin Uygulama Rehberi
(GAIT-R) ile bağlantılı okuyunuz.
2. Bu uygulama önerisi, iç denetim planlama sürecinde, iç denetim görevinin amaçlarının
belirlenmiş ve ele alınacak risklerin tanımlanmış olduğunu varsayar. Bu öneri riskleri yönetmede
kullanılan anahtar kontrolleri (Standart 2220 ye göre) belirlemek ve iç denetim kapsamı içine
almak için yukarıdan aşağıya, risk temelli bir yaklaşımın kullanılması konusunda rehberlik eder.
3. “Yukarıdan-aşağıya” ibaresi kapsam belirlemede, kuruma yönelik daha önemli risklerin esas
alınması anlamına gelir. Bu, kurumun bütünü için önemli olmayabilecek spesifik bir lokasyondaki
risklere dayalı kapsam oluşturmanın tersidir. Yukarıdan-aşağıya yaklaşımı Uygulama Önerisi
2010-2‟de belirtildiği üzere, iç denetimin “önemli risklerin yönetiminde güvence sağlamak”
konusuna odaklanmasını sağlar.
4. Bir iç kontrol sistemi genellikle manüel ve otomatik kontrollerin her ikisini birden kapsar. (Bu,
her seviyedeki kontroller –kurum, iş süreci, bilgi teknolojisi (BT) genel kontrolleri- ve kontrol
çerçevesinin bütün katmanları için geçerlidir. Örneğin kontrol ortamı, izleme ya da risk
değerlendirme katmanlarındaki faaliyetler de otomatik olabilir.) İş risklerinin etkin şekilde
yönetilip yönetilmediğini tespit etmek amacıyla, her iki tip kontrolün de değerlendirilmesine
gerek vardır. İç denetçi, özellikle iş risklerinin kurumun toleransları içinde kalmasını sağlamak
için; BT ile ilgili kontroller de dahil olmak üzere kontrollerin uygun bir bileşimi olup olmadığını
değerlendirmeye ihtiyaç duyar. İç denetçi risk toleranslarının güncel ve uygun olduğunu
değerlendirmeyi ve doğrulamayı da kapsama almayı göz önünde bulundurmalıdır.
5. İç denetim faaliyetinin kapsamı, risklerin (aşağıda paragraf 9‟daki yorumlara bağlı olarak) etkili
bir şekilde yönetildiğine dair makul güvence sağlamada gerekli olan bütün kontrolleri içermelidir.
Kritik bir iş hedefi ile bağlantılı riskleri yönetmek için gerekli olan bu kontroller anahtar kontroller
olarak adlandırılır. Yalnızca anahtar kontrollerin değerlendirilmesine ihtiyaç duyulmakla birlikte,
güvence sağlamak işletmeye değer katacak ise iç denetçi anahtar olmayan diğer kontrolleri de
(örneğin aşırı, mükerrer kontroller vb.) değerlendirmeyi tercih edebilir. İç denetçi ayrıca anahtar
olmayan kontrollerin gerekli olup olmadığını yönetimle de tartışabilir.
6. Kurumun iyi hazırlanmış ve etkin bir risk yönetim programı varsa, her bir riskin yönetilmesinde
güvenilecek olan anahtar kontroller tanımlanmış olacaktır. Böyle durumlarda iç denetçinin,
yönetimin anahtar kontrolleri belirlemesinin ve değerlendirmesinin yeterli olup olmadığını
değerlendirmesi gerekir.
7. Anahtar kontroller aşağıdaki şekillerde olabilir:
• Kurum seviyesindeki kontroller (örneğin işletmenin davranış kurallarını anlamaları için
çalışanların eğitilmesi ve sınava tabi tutulması). Kurum seviyesindeki kontroller manüel, otomatik ya da kısmen otomatik olabilir.
• Bir iş sürecindeki manüel kontroller (örneğin fiziksel envanterin sayılması).
• Bir iş sürecinde tamamen otomatik olan kontroller (örneğin defteri kebirdeki hesapların eşleşmesi ya da güncellenmesi).
• Bir iş sürecinde kısmen otomatik olan kontroller (aynı zamanda “hibrit/melez” ya da “BT
bağımlı kontroller” olarak da adlandırılır), bir istisna raporunda olduğu gibi manüel bir kontrol
uygulamanın işlerliğine dayanır. Bu işlerliğe ilişkin bir hata tespit edilemezse tüm kontrol etkisini
kaybetmiş olabilir. Örneğin mükerrer ödemeleri tespit edici bir anahtar kontrol, sistemde
oluşturulan bir raporun gözden geçirilmesini kapsayabilir. Kontrolün manüel kısmı raporun
eksiksiz olduğunu garanti etmeyecektir. Bu yüzden, raporun oluşturulduğu uygulamanın
işlerliğinin denetim kapsamında olması gereklidir.
Risklerin yönetilmesinde kullanılan ve manüel, otomatik ve BT genel kontrol süreçlerinde yer
alan kontrolleri içeren tüm anahtar kontrollerin belirlenmesi ve değerlendirilmesi koşuluyla, iç
denetçi başka yöntemler veya çerçeveler kullanabilir.
8. Tamamen ya da kısmen otomatik kontroller –kurum seviyesinde ya da bir iş sürecinin içinde
olsun- genellikle BT genel kontrollerinin uygun şekilde tasarlanmasına ve etkili bir şekilde
işletilmesine dayanır. İş ve BT Riskleri İçin Uygulama Rehberi‟nde (GAIT-R) anahtar BT genel
kontrollerinin belirlenmesinde önerilen süreç ele alınmıştır.
9. Anahtar kontrollerin değerlendirilmesi tek bir entegre denetim görevinde yapılabilir ya da iç
denetim görevlerinin bileşimi ile yapılabilir. Örneğin bir iç denetim görevi, iş süreçlerindeki
kullanıcıların gerçekleştirdiği anahtar kontrollere yönelik olabilirken bir başkası anahtar BT
kontrollerini kapsar ve bir üçüncüsü ise kurum seviyesindeki kontrolleri değerlendirir. Bu, aynı
kontrollere (özellikle kurum seviyesindeki kontroller ya da BT genel kontrolleri) birden fazla risk
alanında dayanıldığı durumlarda yaygındır.
10. Paragraf 5‟te belirtildiği üzere, iç denetim kapsamında ele alınan risklerin etkili yönetimi
hakkında bir görüş sağlamadan önce, bütün anahtar kontrollerin bileşiminin değerlendirilmesi
gerekir. Her birinde bazı anahtar kontrollerin ele alındığı birden fazla iç denetim görevi yerine
getirilmiş olsa bile, iç denetçi anahtar kontrollerin tasarımının bir bütün halinde (ilgili tüm iç
denetim görevlerini kapsayacak şekilde) değerlendirilmesini ve bu kontrollerin risklerin kurum
toleransları içinde yönetilmesi bakımından yeterli olup olmadığının değerlendirilmesini denetim
görevlerinin en azından birinin kapsamına dahil etmeye ihtiyaç duyar.
11. İç denetimin kapsamı (Paragraf 9‟da tartışılan diğer iç denetim görevlerini dikkate alarak)
hedeflenen riskleri yönetmek için gereken anahtar kontrollerin tümünü değil de bazılarını
içeriyorsa, kapsam sınırlaması göz önüne alınmalı ve iç denetim bildiriminde ve nihai raporda
açıkça belirtilmelidir.
Uygulama Önerisi 2210-1:
Görevin Amaçları
1. İç denetçiler, görevin amaçlarını, denetlenen faaliyetle ilgili risklere göre belirler. Planlı
görevlerde, bu amaçlar, iç denetim planının oluşturulduğu risk değerlendirme süreci sırasında
belirlenen amaçlarla uyumlu bir seyir izler.Plansız görevlerde ise amaçlar, görevden önce belirlenir ve
görevlendirmeye yol açan belirli bir konuya yönelik tasarlanır.
2. Görevin planlama safhasındaki risk değerlendirmesi, daha sonra,başlangıç amaçlarını tanımlamak
ve diğer ele alınacak önemli alanları belirlemek için kullanılır.
3. Riskleri tanımladıktan sonra, iç denetçi, uygulanacak prosedürleri ve bu prosedürlerin kapsamını
(niteliğini, zamanlamasını ve büyüklüğünü) belirler. Belirlenen kapsamda
uygulanan görev prosedürleri, görevin amaçlarıyla ilgili sonuçlara ulaşmanın araçlarıdır. * 8 *
Yayın: Ocak 2009
Uygulama Önerisi 2210.A1-1:
Görev Planlamasında Risk Değerlendirmesi
1. İç denetçiler, yönetimin denetlenen faaliyetle ilgili risk değerlendirmesini göz önüne alır. İç
denetçiler ayrıca şunları da dikkate alır:
• Yönetimin risk değerlendirmesinin güvenilirliği,
• Yönetimin, risk ve kontrol meselelerini izlemesine, raporlamasına ve çözüme kavuşturmasına
ilişkin süreçleri,
• Kurumun risk iştahı sınırlarını aşan durumlara dair yönetime raporlamalar ve bu raporlara yönetimin
cevapları,
• Denetlenen faaliyetle ilişkili diğer faaliyetlerdeki riskler,
2. İç denetçiler incelenecek olan faaliyetler hakkındaki temel (arkaplan) bilgileri, görevin amaçları ve
kapsamı üzerindeki muhtemel etkilerini tespit etmek amacıyla temin eder ve bunları günceller.
3. İç denetçiler, gerekirse, faaliyetlere, risklere ve kontrollere aşina olabilmek, görev için önemli olan
alan ve konuları tespit etmek ve denetlenenlerin yorum ve tavsiyelerini almak amacıyla bir anket
çalışması yapar.
4. İç denetçiler, yönetimin risk değerlendirmelerinden, temel (arkaplan) bilgilerden ve anket
bulgularından elde edilen sonuçların bir özetini hazırlar. Bu özet şu hususları içerir:
• Önemli sorunlar ve bunların daha derinlemesine incelenmesinin sebepleri,
8 İhtiyaç duyulan iç denetim personelinin sayısı ve tecrübe seviyesi.
• Görev için iç denetçi seçimi yaparken, iç denetim personelinin bilgi, beceri ve diğer yetkinlikleri.
• Görevin amaçları ve prosedürleri,
• Bilgisayar destekli denetim ve örnekleme teknikleri gibi, kullanılacak metodolojiler,
• Potansiyel kilit kontrol noktaları, kontrol zafiyetleri ve/veya aşırı kontroller, • Gerekirse, göreve
devam edilmemesinin veya görev amaçlarında yapılan önemli değişikliklerin
sebepleri. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2230-1:
Görev Kaynaklarının Tahsisi
1. İç denetçiler kaynakların uygunluğunu ve yeterliliğini belirlerken aşağıdaki hususları göz önüne
alır:
• Ek bilgi, beceri ve diğer kabiliyetlerin gerektiği durumlarda, kurum dışı kaynakların mevcudiyeti.
• Her görevlendirme, iç denetim faaliyetinin (biriminin) gelişme ihtiyaçlarının karşılanmasına
da hizmet ettiğinden, iç denetçilerin eğitim ihtiyaçları. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2300-1:
Denetim Görevinin Yürütülmesinde Kişisel Bilginin Kullanılması (Mayıs 2010)
İlgili Ana Standart
2300-Görevin Yapılması İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgiyi belirlemek, analiz
etmek, değerlendirmek ve kayıtlı hale getirmek zorundadır.
1. Bilgi teknolojileri ve iletişimdeki ilerlemeler, gizlilikle ilgili riskler ve tehditler oluşturmaya
devam ettikçe, iç denetçilerin denetim görevleri süresince topladıkları kişisel nitelikteki bilgilerin
korunmasıyla ilgili konuları göz önünde bulundurmaları gerekmektedir. Gizlilik kontrolleri
birçok hukuk sisteminde yasal bir gerekliliktir.
2. Kişisel bilgi genellikle belirli bir kişiyle veya başka bilgilerle de birleştirilebilen belirleyici
niteliksel özelliklere sahip bir veriyle ilgili bilgiyi ifade eder. Bu; herhangi bir biçim ve ortamda,
kayıtlı olan veya olmayan, somut ya da öznel (sübjektif) bilgiyi kapsar. Kişisel bilgi şunları içerir;
• Ad, adres, kimlik numaraları, gelir, kan grubu
• Değerlendirmeler, sosyal durum, disiplinle ilgili olaylar
• Çalışan dosyaları, alacak ve borç kayıtları
• Çalışan sağlığı ve tıbbi veriler
3. Birçok hukuk sisteminde, yasalar kurumların toplama aşamasında ya da öncesinde hangi kişisel
bilgiyi toplayacaklarına ilişkin amaç belirlemelerini öngörür. Bu yasalar aynı kişinin kendi rızası
ya da yasanın gerektirdiği haller dışında kişisel bilgilerin toplanma amacı dışında kullanılmasını
ve açıklanmasını yasaklar.
4. İç denetçilerin, kişisel bilgilerin kullanımıyla ilgili kendi hukuk sistemlerindeki veya işletmenin
faaliyetlerini yürüttüğü hukuk sistemlerindeki bütün yasaları anlaması ve bunlara uyması
önemlidir.
5. Belirli iç denetim görevlerinin yerine getirilmesi sırasında, kişisel bilgilere erişilmesi, alınması,
gözden geçirilmesi, üzerinde oynanması veya kullanılması uygunsuz ve hatta bazı durumlarda
yasaya aykırı olabilir. Eğer iç denetçi kişisel bilgilere erişirse, bu bilgilerin güvenliğini temin
edecek prosedürler geliştirmek gerekebilir. Örneğin iç denetçi bazı hallerde kişisel bilgiyi çalışma
kâğıtlarına kaydetmemeye karar verebilir.
6. Kişisel bilgilere erişimle alakalı sorunlar veya endişeler varsa, iç denetçi denetim çalışmasına
başlamadan önce hukuk danışmanının tavsiyelerini alabilir.
Uygulama Önerisi 2320-1:
Analitik Prosedürler (Mayıs 2010)
İlgili Ana Standart
2320 - Analiz ve Değerlendirme İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını uygun analiz ve değerlendirmelere
dayandırmak zorundadır.
1. İç denetçiler denetim kanıtı elde etmek için analitik yöntemler kullanabilir. Analitik yöntemler
finansal olan ve olmayan bilgiler arasındaki ilişkilerin karşılaştırılmasını kapsar. Analitik
yöntemlerin uygulanması; bilinenin aksine koşulların bulunmaması halinde, bilgiler arasındaki
ilişkilerin makul bir şekilde var olma ve sürdürülme beklentisi temeline dayanır. Alışılmamış ya
da tekrar etmeyen işlemler veya olaylar; muhasebe, organizasyon, faaliyetler, çevre ve teknoloji
ile ilgili değişiklikler, verimsizlikler; etkisizlikler; hatalar; yolsuzluk veya yasa dışı eylemler,
bilinen aksine koşullara örnek olarak verilebilir.
2. Analitik yöntemler çoğunlukla iç denetçiye etkin ve verimli şekilde kanıt elde etme imkânı
sağlar. Değerlendirme, bilginin iç denetçi tarafından tanımlanan veya belirlenen beklentiler ile
karşılaştırılmasından doğar. Analitik yöntemler aşağıdakilerin saptanmasında yararlı olur.
• Tahmin edilemeyen farklılıklar.
• Tahmin edilen farklılıkların yokluğu.
• Potansiyel hatalar.
• Potansiyel yolsuzluk veya yasa dışı faaliyetler.
• Diğer olağan dışı veya tekrar etmeyen işlem veya olaylar.
3. Analitik denetim prosedürleri şunları içerir:
• Bütçe ve tahminler dahil geçmiş dönemlerin benzer bilgilerine dayanarak belirlenen beklenti ile
cari dönem bilgilerinin karşılaştırılması.
• Finansal bilgi ile uygun finansal olmayan bilgi arasındaki ilişkilerin incelenmesi (örneğin
kayıtlarda yer alan bordro-ücret gideri ile ortalama çalışan sayısındaki değişikliklerin
karşılaştırılması).
• Bilginin unsurları arasındaki ilişkilerin incelenmesi (örneğin kayıtlarda yer alan faiz giderindeki
dalgalanma ile ilişkili borç bakiyesindeki değişimlerinin karşılaştırılması).
• Bilgilerin, kurumun faaliyet gösterdiği sektör de dâhil olmak üzere diğer organizasyonel
birimlere ait benzer bilgilere dayanan beklentiler ile karşılaştırılması.
4. İç denetçiler, parasal tutarları, fiziksel miktarları, oranları veya yüzdeleri kullanarak analitik
yöntemler uygulayabilirler. Bilinen analitik yöntemler; oran, eğilim ve ilişki (regresyon) analizi,
nedensellik testleri, dönemsel karşılaştırmalar, bütçe karşılaştırmaları, tahminler ve dış ekonomik
bilgilerle karşılaştırmaları kapsar. Analitik yöntemler iç denetçilere, ilave denetim yöntemleri
gerektiren koşulların tespitinde yardımcı olur. Bir iç denetçi analitik yöntemleri Standart 2200
kapsamındaki kılavuzlara uygun şekilde denetim görevinin planlanmasında kullanır.
5. İç denetçiler analitik yöntemleri denetim görevi süresince kanıt oluşturmak için kullanabilirler.
Analitik yöntemlerin kapsamını belirlerken, iç denetçiler aşağıdaki hususları göz önünde
bulundurur:
• Denetlenen alanın önemi.
• Denetlenen alandaki risk yönetiminin değerlendirmesi.
• İç kontrol sisteminin yeterliliği.
• Finansal ve finansal olmayan bilginin hazır ve güvenilir olması.
• Analitik denetim yöntemlerle öngörülebilen sonuçların doğruluğu.
• Kurumun faaliyet gösterdiği sektörle ilgili bilginin hazır ve karşılaştırılabilir olması.
• Diğer yöntemlerin kanıt sağlama derecesi.
6. Analitik denetim yöntemleri beklenmeyen sonuçlar verdiğinde, iç denetçi bu sonuçları ve
ilişkileri değerlendirir. Bu değerlendirmede, beklenene göre ortaya çıkan farkın; yolsuzluk (hile),
hata veya koşulların değişmesi nedenlerine bağlı olup olmadığı belirlenir. Denetçi yönetime,
farkın nedenlerini sorabilir ve yönetimin açıklamasını; beklentiyi düzelterek ve farkı yeniden
hesaplayarak veya başka denetim yöntemleri uygulayarak doğrulayabilir. İç denetçinin
açıklamada özellikle; hem değişimin yönünün (örneğin azalan satışlar) ve hem de farkın
miktarının (örneğin %10 azalan satışlar) dikkate alındığından emin olması gerekir. Analitik
yöntemlerin uygulanmasıyla ortaya çıkan açıklanmamış sonuçlar veya ilişkiler, önemli sorunların
(örneğin hata, yolsuzluk veya yasa dışı faaliyet gibi) göstergesi olabilir. Yeterli şekilde
açıklanmamış sonuçlar veya ilişkiler, Standart 2060‟a göre üst yönetim ve Yönetim Kurulu‟na
bildirilmesi gereken bir durumun varlığına işaret ediyor olabilir. Koşullara bağlı olarak iç denetçi
uygun bir önlem tavsiye edebilir.
Uygulama Önerisi 2330.A1-1 Görev Kayıtlarının Kontrolü
1. İç denetim görev kayıtları, kaydedildiği yere bakılmaksızın, raporları, destekleyici belgeleri,
gözden geçirme notlarını ve yazışmaları içerir. Görev kayıtları veya çalışma kâğıtları, kurumun
mülkiyetindedir. İç denetim faaliyeti çalışma kâğıtlarını kontrolünde tutar ve sadece yetkili kişilerin
erişimine izin verir.
2. İç denetçiler, görev kayıtlarına kurum dışı taraflarca erişim hakkında yönetimi ve yönetim
kurulunu eğitebilirler. Görev kayıtlarına erişim ile ilgili politikalar, erişim taleplerinin
değerlendirilmesi ve görevin soruşturmayı gerektirmesi hâlinde izlenecek prosedürlerin yönetim
kurulu tarafından gözden geçirilmesi gerekir.
3. İç denetim politikaları, faaliyet kayıtlarının kontrol ve güvenliğinden kurum içinde kimin sorumlu
olduğunu, görev kayıtlarına hangi kurum içi veya dışı taraflar için erişim yetkisi verilebileceğini ve
bu kayıtlara erişim taleplerinin nasıl değerlendirilmesi gerektiğini açıklar. Bu politikalar, şirketin
niteliğine, sektörde takip edilen uygulamalara ve kanunlar tarafından getirilen erişim önceliklerine
göre değişir.
4. Kurumun yönetimi ve diğer elemanları da bütün veya bazı özel çalışma kâğıtlarına erişim hakkı
talep edebilir. Bu erişim, tespit ve tavsiyeleri kanıtlamak veya açıklamak için ya da işle ilgili başka
amaçlarla gerekli olabilir. Bu talepleri, İç Denetim Yöneticisi onaylar. 5. Dış denetçilerin görev
çalışma kâğıtlarına erişimini İç Denetim Yöneticisi onaylar.
6. Dış denetçilerden başka, kurum dışından tarafların da görev çalışma kâğıtlarına ve raporlara
erişim talebinde bulunması mümkündür. Bu durumda, belgeler dışarı verilmeden önce, İç Denetim
Yöneticisi, üst yönetimin ve/veya hukuk danışmanının onayını alır.
7. Özel olarak korunmayan iç denetim kayıtlarına kanuni kovuşturmalarda erişilebilir. Hukuki
gerekler, farklı yargı sistemlerinde önemli değişiklikler gösterir. Kanuni bir kovuşturma ile ilgili
görev kayıtlarına erişime yönelik özel bir talep geldiğinde, İç Denetim Yöneticisi, hangi
belgelerin verileceğine karar verirken hukuk müşaviriyle müşterek çalışır. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2330.A1-2:
Denetim Kayıtlarına Erişim Yetkisinin Verilmesi (Mayıs 2010)
İlgili Ana Standart
2330 – Bilgilerin Kayıtlı Hale Getirilmesi 2330.A1 - İç Denetim Yöneticisi, görev kayıtlarına erişimi kontrol etmek zorundadır. İç Denetim
Yöneticisi, gerektiğinde, bu kayıtları kurum dışı taraflara vermeden önce, üst yönetimin ve/veya
hukuk danışmanının onayını almak zorundadır.
Uyarı: Farklı yargısal yetkiler (düzenlemeler) çerçevesinde gereksinimler önemli ölçüde
değişebildiğinden iç denetçilerin yasal sorunları kapsayan konularda hukuk danışmanlarının
görüşlerini almaları teşvik edilir. Bu uygulama önerisi kapsamında yer alan rehber temel olarak,
ABD’deki yasal sitemde olduğu gibi, bilgiyi ve yapılan çalışmayı veya iletişimi korumak üzere
anlaşmalı bir avukatın (örneğin müşteri- avukat hakkı) bulunduğu hukuk sistemlerini esas alır.
Uygulama Önerisi 2400-1’de müşteri-avukat hakkı ele alınmıştır.
1. İç denetim görev kayıtları; raporları, destekleyici belgeleri, gözden geçirme notlarını ve hangi
ortamda saklandığından bağımsız olarak kapsar. Görev kayıtları genellikle gizli oldukları ve
olgular ile düşüncelerin bir karışımını içerebilecekleri varsayımıyla üretilir. Ancak kurumu veya
iç denetim sürecini tam olarak bilmeyenler bu olgu ve düşünceleri yanlış anlayabilirler. Üçüncü
taraflar; cezai takibatlar ve hukuki ihtilaflar, vergi denetimleri, yasal incelemeler, kamu ihale
incelemeleri ve öz düzenleyici kurumların incelemelerini kapsayan farklı adli soruşturmalar
çerçevesinde görev kayıtlarına erişmek isteyebilirler. Adli takibatlarda, müşteri-avukat-hakkı
çerçevesinde korunmayan kurum kayıtlarının çoğuna erişilebilir. Cezai olmayan takibatlarda
erişim konusu çok açık değildir ve kurumun tabi olduğu yargısal düzenlemeye göre değişebilir.
2. İç denetim faaliyetinin açık olarak bilinen uygulamaları, görev kayıtlarına erişimin kontrolünü
artırabilir.
3. İç denetim faaliyeti, saklandığı ortam ne olursa olsun iç denetim kayıtlarına erişim ve kontrolü
işaret edebilir.
4. İç denetim faaliyetine ilişkin politikaların; görev kayıtlarında neler bulunacağını, bunların
içerik ve şekillerini, iç denetçilerin çözümlenen yeniden inceleme notlarını nasıl ele alacağını
içermesi gereklidir. Bu politikaların ayrıca iç denetim kayıtlarının ne kadar süre ile saklanacağını
da belirlemesi gereklidir. İç Denetim Yöneticisi (İDY) görev kayıtlarının saklama süresini
belirlerken, yasal gerekliliklerin yanı sıra kurumun ihtiyaçlarını da dikkate almalıdır.
5. İç denetim faaliyeti politikaları, iç denetim kayıtlarının kontrol ve güvenliğinden kimin sorumlu
olduğunu, kimlerin görev kayıtlarına erişim hakkı bulunduğunu ve bu kayıtlara erişim taleplerinin
nasıl yönetileceğini yazılı hale getirebilir. Bu politikalar kurumun içinde bulunduğu sektörde veya
tabi olduğu yasal hükümler çerçevesinde izlediği uygulamalara bağlıdır. İDY sektördeki
uygulamalarda meydana gelen değişikliklerin veya yasal içtihatlardaki değişiklerin farkında
olması gereklidir. Politikaları geliştirirken, İç Denetim Yöneticisi‟nin iç denetim kayıtlarına
kimlerin erişmeyi talep edebileceğini göz önüne alması gereklidir.
6. Görev kayıtlarına erişim izni veren politika, aynı zamanda aşağıdaki süreçleri tarif edebilir:
• Erişim sorunlarının çözümlenmesi.
• Çalışma sonuçlarına erişime ilişkin risk ve sorunlarla ilgili olan personelin eğitimi.
• Gelecekte kimlerin iş çalışma sonuçlarına erişim talep edebileceğinin belirlenmesi.
7. İDY, ayrıca üst yönetimi ve Yönetim Kurulu‟nu görev kayıtlarına erişimin riskleri hakkında
eğitebilir. Yönetim Kurulu kimlere görev kayıtlarına erişim izni verilebileceği ve bu taleplerin
nasıl yönetileceği ile ilgili politikaları gözden geçirebilir. Belirlenen politikalar, kurumun yapısı
ve yasalarla tesis edilen erişim haklarına bağlı olarak değişecektir.
8. Görev kayıtları sunulurken, İDY genellikle;
• Yalnızca hukuk danışmanının ya da politikaların yönlendirdiği belirli belgeleri verir. Bunlar
genellikle avukat-müvekkil hakkı dışında kalan belgelerdir. Avukatın düşünceleri süreç ve
stratejileri gösteren belgeler genellikle ayrıcalıklıdır ve zorla açıklamaya tabi değildir.
• Belgeleri değiştirilemeyecek bir şekilde (örneğin Word dosyası yerine imaj/resim formatında)
sunar. İDY kâğıt ortamdaki belgelerin asıllarını saklayarak kopyalarını paylaşır.
• Her bir belgeye gizlidir damgası basar ve izin alınmaksızın ikincil dağıtımının yapılamayacağına
dair bir not koyar.
Uygulama Önerisi 2330.A2-1 Kayıtların Saklanması
1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir.
2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin
hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir. 3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir.
* * * Yayın: Ocak 2009
Uygulama Önerisi 2240-1: Görev İş Programı
1. İç denetçiler, bir iç denetim görevine başlamadan önce iş programlarının yazılı bir onayını alırlar. İş
programı teknoloji destekli denetim ve örnekleme teknikleri gibi kullanılacak metodolojileri içerir.
2. Görev amaçlarına ulaşılması ve denetçinin objektifliğinin korunması için makul bir güvence
sağlamak amacıyla, bilgi toplama, analiz, yorumlama ve belgelendirme süreçleri kontrol edilmelidir.
Uygulama Önerisi 2330-1: Bilgilerin
Kayıtlı Hâle Getirilmesi
1. İç denetçiler, çalışma kâğıtları hazırlar. Çalışma kâğıtları, toplanan bilgileri, yapılan analizleri,
hükümlerin dayanaklarını ve görevin sonuçlarını belgelendirir. İç denetim yönetimi hazırlanan
çalışma kâğıtlarını gözden geçirir.
2. Görevle ilgili çalışma kâğıtları, genel olarak;
• görevlerin planlanması, uygulanması ve gözden geçirilmesine yardımcı olur,
• görev sonuçlarına en büyük desteği sağlar,
• görev amaçlarına ulaşılıp ulaşılmadığını gösterir,
• yapılan işin tam ve kesin olmasına destek olur,
• iç denetim faaliyetinin kalite güvence ve geliştirme programı için temel oluşturur,
• üçüncü şahısların incelemelerini kolaylaştırır.
3. Görev çalışma kâğıtlarının düzeni, tasarımı ve içeriği, görevin niteliğine, amaçlara ve kurumun
ihtiyaçlarına bağlıdır. Görev çalışma kâğıtları, görev sürecinin -planlamadan raporlamaya kadar- tüm
aşamalarını belgelendirir. İç denetim birimi çalışma kâğıtlarının hangi ortamda hazırlanacağına ve
saklanacağına karar verir.
4. İç Denetim Yöneticisi, yapılan çeşitli görev türlerine göre çalışma kâğıdı politikaları belirler. Soru
formları ve denetim programları gibi standart görev çalışma kâğıtları, bir görevin verimliliğini
artırabilir ve görevle ilgili işlerin paylaşımını kolaylaştırabilir. Çalışma kâğıtları, önemini her zaman
koruyan bilgileri içeren, 'sabit' veya 'ileride de kullanılacak görev dosyaları olarak sınıflandırılabilir. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2330.A2-1: Kayıtların Saklanması
1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir.
2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin
hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir.
3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir. * 9 * Yayın: Ocak 2009
Uygulama Önerisi 2340-1:
Görevin Gözetim ve Kontrolü
1. İç Denetim Yöneticisi veya atadığı kişi, uygun bir şekilde görevin gözetim ve kontrolünü sağlar.
Gözetim ve kontrol, planlama ile başlayan ve görev boyunca devam eden bir süreçtir. Bu süreç şunları
içine alır:
• Görevlendirilen iç denetçilerin toplu olarak, görevi yapmaları için gerekli bilgi, beceri ve diğer
kabiliyetlere sahip olmasının sağlanması,
• Planlama safhasında gerekli talimatların verilmesi ve görev programının onaylanması,
• Gerekli ve onaylı değişiklikler söz konusu olmadıkça, onaylanmış olan görev programının
tamamlanmasının sağlanması,
9 İç denetçilerin veya iç denetim birimi adına çalışan başka kişilerin, İç Denetim Yöneticisinin
meslekî kararlarına -görevi olumsuz etkiyebilecek kadar- aykırı şekilde karar almaları riskini asgarîye
indirmek,
• Görevle ilgili önemli konularda, İç Denetim Yöneticisi ile iç denetim personelinin meslekî kararları
arasındaki farkları gidermek. Bu yol ve araçlardan bazıları, tesbit ve bulguların
• Görev çalışma kâğıtlarının; tespitleri, sonuçları ve tavsiyeleri yeterince destekleyip
desteklemediğinin değerlendirilmesi,
• Raporlamaların açık, doğru, objektif, özlü ve yapıcı olmasını ve zamanında yapılmasının
sağlanması,
• Görev amaçlarına ulaşılmasının sağlanması
• İç denetçilerin bilgi, beceri ve diğer kabiliyetlerini geliştirmeleri için uygun imkânların yaratılması.
2. İç Denetim Yöneticisi, iç denetim birimi tarafından veya iç denetim birimi adına yapıldığına
bakılmaksızın, bütün iç denetim görevlerinden ve tüm görev aşamalarında alınan bütün önemli
meslekî kararlardan sorumludur. İç Denetim Yöneticisi, ayrıca, bu sorumluluğunun gereğini yerine
getirmek için uygun araç ve yollar geliştirir. Uygun araç ve yollar terimi, aşağıdaki amaçlarla
hazırlanmış politika ve prosedürleri kapsar: tartışılması, ek araştırma ve/veya inceleme yapılması,
çalışma kâğıtlarındaki farklı görüşlerin kaydedilmesi ve farklılıkların giderilmesidir. Etik bir meselede
fikir ayrılığı olması hâlinde, konunun kurumdaki etik görevlilerine götürülmesi de 'uygun araç ve
yollar' terimi içinde değerlendirilebilir.
3. Tüm görev çalışma kâğıtları, yapılan raporlamaları gerektiği şekilde desteklediklerinden ve gerekli
tüm denetim prosedürlerinin yerine getirildiğinden emin olunacak şekilde gözden geçirilir. Gözden
geçirmenin yapıldığına dair kanıtlar, gözden geçirenin her gözden geçirmeden sonra attığı parafı ve
tarihi de içerir. Bu yönde kanıt sağlayacak diğer teknikler arasında, görev çalışma kâğıdı 'gözden
geçirme kontrol listesi'nin kullanılması, gözden geçirmenin nitelik, kapsam ve sonuçlarını gösteren bir
tutanak düzenlenmesi veya yapılan gözden geçirmeleri elektronik çalışma kâğıdı yazılımı içinde
değerlendirme ve kabul yöntemi de sayılabilir.
4. Gözden geçirme yapanlar, gözden geçirme sürecinde ortaya çıkan sorular hakkında yazılı bir kayıt
(mesela gözden geçirme notları) oluşturabilir. Gözden geçirme notları düzenlenirken, çalışma
kâğıtlarında gözden geçirme sırasında ortaya çıkan soruların cevaplandığını tevsik eden yeterli kanıt
olduğundan emin olmak gerekir. Gözden geçirme notlarının kullanılmasıyla ilgili kabul edilebilir
seçenekler şunlardır:
• Gözden geçirme notlarının, gözden geçirmeyi yapanların ortaya koyduğu sorunların, bu sorunlarla
ilgili yapılanların ve yapılanların sonuçlarının bir kaydı olarak saklanması.
• Ortaya konulan sorunlar çözüldükten ve ilgili çalışma kâğıtları istenen ek bilgileri de içerecek
şekilde değiştirildikten sonra, gözden geçirme notlarının atılması.
5. Görevin gözetim ve kontrolü, personelin eğitim ve gelişimini ve performans değerlendirmesini de hesaba katar. • * * Yayın: Ocak 2009
Uygulama Önerisi 2400-1:
Sonuçların İletilmesinde Hukuki Mülahazalar (Mayıs 2010)
İlgili Ana Standart
2400 - Sonuçların Raporlanması İç denetçiler, görev sonuçlarını raporlamak zorundadır.
İç denetçilerin görev sonuçlarını raporlaması gerekir.
Uyarı: Farklı yargısal yetkiler (düzenlemeler) çerçevesinde gereksinimler önemli ölçüde
değişebildiğinden iç denetçilerin yasal sorunları kapsayan konularda hukuk danışmanlarının
görüşlerini almaları teşvik edilir. Bu uygulama önerisi kapsamında yer alan rehber temel olarak,
ABD’deki yasal sitemde olduğu gibi, bilgiyi ve yapılan çalışmayı veya iletişimi korumak üzere
anlaşmalı bir avukatın (örneğin müşteri- avukat hakkı) bulunduğu hukuk sistemlerini esas alır.
Uygulama Önerisi 2400-1’de müşteri-avukat hakkı ele alınmıştır.
1. İç denetçi, yasalara, düzenlemelere aykırılığı ve başka hukukî sorunları iletirken dikkatli
olmalıdır. Bu tip durumların yönetilmesine ilişkin politika ve prosedürlerin geliştirilmesi ve diğer
alanlarla (örneğin hukuk danışmanı, mevzuata uyum) yakın bir çalışma ilişkisi kurulması şiddetle
tavsiye edilir.
2. İç denetçi delilleri toplar, analitik değerlendirmeler yapar, sonuçları raporlar ve yönetimin
gereken düzeltici tedbirleri alıp almadığını belirler. İç denetçinin çalışma kayıtlarını oluşturma
ihtiyacı, hukuk danışmanının hukuki sorunlarda kurumun pozisyonunu zarara uğratabilecek
keşfedilebilir kanıt bırakmama arzusuyla çelişebilir. Örneğin bir iç denetçi bilgiyi gerektiği
şekilde toplasa ve değerlendirse bile, açıklanan gerçekler ve analizler, kurumu yasal açıdan
olumsuz olarak etkileyebilir. Aniden yapılan bir açıklamada hukuk danışmanıyla iç denetçinin
birbiriyle çelişen konumda olmaması için - rol tanımlarını ve iletişim biçimlerini de içerecek
şekilde- uygun planlama yapılması ve politikaların oluşturulması şarttır. Her iki tarafın da,
oluşturulan politikalar konusunda yönetimi eğiterek ve duyarlı hale getirerek, kurum içinde etik ve
önleyici bir bakış açısını teşvik etmesi gerekir.
3. Avukat-müşteri hakkının korunabilmesi için, hak sahibi kişiler arasında -müşteri için hukuki
yardım istemek, almak ve vermek amacına yönelik güvene dayalı- bir iletişime ihtiyaç vardır.
Esas olarak avukatlarla yapılan iletişimin gizliliğini korumak amacıyla kullanılan bu hak, bir
avukatla birlikte çalışan üçüncü kişilerle yapılan iletişimlere de uygulanabilir.
4. Bazı mahkemeler, öz eleştiri niteliği taşıyan (örneğin denetim çalışması ürünleri) malzemeleri
ifşa edilmekten koruyan, bir kritik öz değerlendirme hakkı tanımıştır. Genellikle, bu ayrıcalığın
tanınmasının altında yatan mantık, böyle davalarda öz analizin gizliliğinin korunmasının
sağlayacağı faydanın, beklenen kamu yararından daha fazla olmasıdır.
5. Ayrıcalık (hak) genellikle şu durumlarda uygulanır:
• Bilgiler, ayrıcalık talep eden tarafın kendisinin yaptığı (öz)eleştirel bir analiz sonucunda elde
edilmiş ise.
• Eleştirel analize konu bilgilerin serbest akışının korunmasında kamunun güçlü bir menfaati
bulunuyorsa.
• Bilgiler, açıklanmasına izin verildiği takdirde, bilgi akışı kesilecek türde bilgiler ise.
6. Belgelerin bir özel hukuki meseleye dahil olan kişi tarafından değil de bir kamu kuruluşu
tarafından talep edildiği durumlarda, öz değerlendirme ayrıcalığının sağlanma olasılığı daha
düşüktür. Bunun nedeni, muhtemelen, kanunların uygulanması konusunda kamu çıkarının daha
güçlü olmasıdır.
7. „Çalışma ürünleri doktrini‟ kapsamında korunması istenen belgelerin genellikle;
• herhangi bir çalışma sonucu tipine uyması (örneğin tutanak, bilgisayar programı),
• bir dava açılabileceği düşüncesiyle hazırlanmış olması,
• bir avukatın yönlendirmesiyle çalışan birisi tarafından hazırlanmış olması
gereklidir.
8. Avukat-müvekkil ilişkisi kurulmadan önce hazırlanarak avukata teslim edilen belgeler
genellikle avukat-müvekkil ayrıcalığı tarafından korunmaz.
Uygulama Önerisi 2410-1:
Raporlama Kıstasları
1. Nihaî görevle ilgili raporların formatı ve içeriği kurumdan kuruma veya görevin türüne göre
değişmesine rağmen, her raporda, en azından, görevin amacı, kapsamı ve sonuçları ifade edilir.
2. Nihaî görevle ilgili raporlarda, temel (arkaplan) bilgiler ve özetler de yer alabilir. Temel bilgiler,
denetlenen birimlerin ve faaliyetlerinin anlaşılmasını sağlar ve gerekli bilgi ile verileri sunar. Bu temel
bilgiler, daha önceki raporlarda bulunan tespitlere, sonuçlara ve tavsiyelere de yer verebilir; raporun
önceden programlanmış bir görevin sonucu mu, yoksa talep üzerine yapılan bir denetimin sonucu mu
olduğunu bildirir. Özetler, raporun esasını verecek nitelikteki ifadelerden ibarettir.
3. Raporun "Amaçlar" başlığı altında, görevin hedefleri açıklanır. Okuyucu bu kısımda, görevin
neden yapıldığı ve görevden ne beklendiği konusunda bilgilendirilebilir.
4. Raporun "Kapsam" başlığı altında, denetlenen faaliyetler belirtilir ayrıca denetimin kapsadığı süre
dilimi gibi destekleyici bilgiler ve görevin sınırlarını açıkça çizmek amacıyla, denetlemeye konu
olmayan ilgili faaliyetler de bu kısımda yer alabilir. Yapılan görevin niteliği ve kapsamı bu kısımda
tanımlanabilir.
5. Görev sonuçları; tespitleri, kanaatleri, düşünceleri, tavsiyeleri ve eylem planlarını içerir.
6. Tespitler, maddî olay ve olgularla ilgili açıklamalardır. İç denetçi vardığı sonuçları ve yaptığı
tavsiyeleri desteklemek veya bunların yanlış anlaşılmasını önlemek için gerekli görülen tespitlerini
açıklar. İç denetçi daha az önemli görülen tespitlerini veya tavsiyelerini gayri resmî yollarla
bildirebilir.
Uygulama Önerisi 2420-1:
Raporlamaların Kalitesi
1. Veri ve delilleri, dikkat ve hassasiyetle toplayın, değerlendirin ve özetleyin.
2. Tespit, sonuç ve tavsiyeleri, önyargısız ve tarafsız bir şekilde, kişisel çıkarları göz önüne almadan
ve başkalarının etkisi altında kalmadan ortaya çıkartın ve ifade edin.
3. Gereksiz teknik terimler kullanmaktan kaçınarak ve konuyla ilgili ve önemli bütün bilgileri vererek,
raporların anlaşılabilirliğini artırın.
4. Sunulan her düşüncenin anlamlı fakat özlü ve kısa olması amacıyla raporlarınızı hazırlayın.
5. Kurumun amaçlarına odaklanan, faydalı, olumlu, anlamlı bir rapor içeriği ve tarzı benimseyin.
6. Raporlamanın kurumun tarzı ve kültürü ile uyumlu olmasını temin edin.
7. Gecikmelerden kaçınmak için, görev sonuçlarıyla ilgili raporun zamanlamasını planlayın. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2440-1:
Sonuçların Dağıtımı
1. İç Denetim Yöneticisi, nihaî görev raporlarını hazırlamadan önce, iç denetçiler, görev sonuçları ve
tavsiyelerini uygun yönetim kademeleriyle tartışır. Sonuçların ve tavsiyelerin tartışılması, genellikle,
görev sırasında ve/veya görev sonrası toplantılarda (yani kapanış toplantılarında) yapılır.
2. Başka bir usul de, denetlenen faaliyet ve birimin yönetiminin taslak raporları, tespitleri ve
tavsiyeleri gözden geçirmesidir. Bu tartışma ve gözden geçirmeler, denetlenenlerin özel konuları
açıklığa kavuşturmasına fırsat vererek yanlış anlaşılma ve yorumlamalardan kaçınılmasına ve
denetlenenlerin tespit, sonuç ve tavsiyeler hakkında görüşlerini ifade etmesine yardımcı olur.
3. Tartışma ve gözden geçirmelere katılanların düzeyi kurumdan kuruma ve raporun niteliğine göre
farklılık gösterir; katılanlar, genellikle, faaliyetlerin ayrıntılarına vâkıf veya gerekli tedbirlerin
alınmasına izin ve yetki verebilecek kişilerdir.
4. İç Denetim Yöneticisi, nihai görev raporunu denetlenen birimin yönetimine ve görev sonuçlarının
uygulanmasını sağlayabilecek olan ve düzeltici eylemleri yerine getirebilecek veya bunu temin
edebilecek kurum çalışanlarına dağıtır. Gerekli hallerde, İç Denetim Yöneticisi, kurum içindeki daha
üst düzey yetkililere özet bir rapor sunabilir. İç denetim yönetmeliği veya kurum politikası
gerektirdiğinde, İç Denetim Yöneticisi, dış denetçiler ve
yönetim kurulu gibi diğer ilgili veya etkilenen taraflara da raporu dağıtır. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2440-2:
Hassas Bilgilerin Hiyerarşi İçindeki ve Dışındaki Kişilere İletilmesi (Mayıs 2010)
İlgili Ana Standart
2440 – Sonuçların Dağıtımı İç Denetim Yöneticisi, görev sonuçlarını uygun taraflara dağıtmak zorundadır.
Yorum: İç Denetim Yöneticisi veya görevlendirdiği denetçi, nihai görev raporunu yayımlanmadan önce
gözden geçirerek onaylar ve kime ve nasıl dağıtılacağına karar verir.
1. İç denetçiler, sıklıkla kurum için önemli olan veya önemli potansiyel sonuçlar doğurabileceği
öngörülen son derece hassas bilgiler elde edebilir. Bu bilgiler, kamu sağlığını veya güvenliğini
tehlikeye atan teşhir, tehditler, belirsizlikler, hileler, kayıplar ve kötü yönetim, yasadışı faaliyetler,
gücün kötüye kullanımı, suiistimaller veya başka hatalarla ilgili olabilir. Ayrıca, bu konular
kurumun itibarını, imajını, rekabet gücünü, başarısını, sürekliliğini, piyasa değerlerini,
yatırımlarını, maddi olmayan duran varlıklarını veya kazançlarını olumsuz olarak etkileyebilir.
2. Yeni bilgilerin önemli ve güvenilir olduğunu düşündüğünde, iç denetçinin bu bilgileri Standart
2060 ve Uygulama Önerisi 2060-1‟a uygun olarak - zamanında- üst yönetime ve Yönetim
Kurulu‟na iletmesi gerekir. Bu iletişim, iç denetçi için genellikle normal hiyerarşik ilişki dahilinde
gerçekleşir.
3. Bu görüşmelerden sonra, eğer İç Denetim Yöneticisi, üst yönetimin kurumu kabul edilemez bir
riske maruz bıraktığı ve uygun önlemleri almadığı sonucuna varırsa, bu bilgileri ve görüş
farklılıklarını Standart 2600‟a uygun olarak Yönetim Kurulu‟na sunması gerekir.
4. Tipik hiyerarşik iletişim senaryosu belirli tipteki hassas olaylar için yasalar, yönetmelikler veya
müşterek uygulamalar nedeniyle hızlandırılabilir. Örneğin halka açık menkul kıymetleri bulunan
bir kurumun hileli finansal raporlama yaptığının kanıtlanması durumunda, üst yönetim ve İç
Denetim Yöneticisi alınması gereken önlemler konusunda mutabık olsa dahi, yerel düzenlemeler,
yanıltıcı finansal raporlara yol açabilecek şartlar hakkında Yönetim Kurulu‟nun acilen
bilgilendirilmesini öngörebilir. Bazı yargısal sistemlerde yasa ve düzenlemeler menkul kıymetler,
gıda, ilaç veya çevre yasalarının ihlalinin yanı sıra kamu görevlilerine, tedarikçilere veya
müşterilere rüşvet verilmesi veya uygunsuz ödemeler yapılması gibi diğer yasadışı eylemlerin
tespitinde Yönetim Kurulu‟nun bilgilendirilmesi gerektiğini belirtir.
5. Bazı durumlarda, bir iç denetçi, bilginin normal hiyerarşi dışındaki kişilere veya kurum dışına
iletilmesine karar vermekte ikilemle karşılaşabilir. Bu iletişim genellikle “ihbar” olarak
nitelendirilir. Olumsuz bilgileri kurum içinde ancak iç denetçinin normal hiyerarşi dışındaki birine
açıklama eylemi iç ihbar olarak nitelendirilirken, olumsuz bilginin bir kamu kurumuna veya
kurum dışında başka bir otoriteye açıklanması dış ihbar olarak nitelendirilir.
6. İhbarda bulunanların çoğu, yasa dışı veya diğer uygunsuz faaliyet iddialarının araştırılması ve
uygun önlemlerin alınması açısından kurumun politika ve mekanizmalarına güveniyorlarsa
normal hiyerarşi dışında olsa bile, hassas bilgileri kurum içinde ifşa ederler. Ancak, hassas
bilgilere sahip bazı kişiler işverenlerinin veya iş arkadaşlarının misilleme yapacağından
korkarlarsa, konunun uygun bir şekilde araştırılacağı konusunda şüpheleri varsa, konunun örtbas
edileceğine inanıyorlarsa veya kurum ya da toplum içindeki insanların sağlığını, güvenliğini veya
refahını tehlikeye atacak yasadışı veya uygunsuz bir faaliyete ilişkin kanıta sahiplerse bu bilgileri
kurum dışına taşımaya karar verebilirler.
7. İç ihbar seçeneğinin tercih edildiği bir durumda, iç denetçi, gördüğü riski normal hiyerarşi
dışındaki kişi veya gruplara iletmenin alternatif yollarını değerlendirmek zorundadır. Bu
yaklaşımlarda ortaya çıkabilecek riskler ve sonuçlar nedeniyle iç denetçinin her muhtemel
eylemin avantaj ve dezavantajlarını da değerlendirmesi ve verdiği sonuçların kanıtını ve makul
olup olmadığını anlama konusunda dikkatle hareket etmesi gerekir. Bu hareketin benimsenmesi
üst düzey yönetim veya Yönetim Kurulu‟ndaki kişiler tarafından sorumlu eylemle
sonuçlandırılabilecekse uygun olabilir.
8. Birçok yargısal sistem, bir müfettişi, diğer bir kamu görevlisini veya ombudsmanı
bilgilendirmek üzere, yasadışı veya etik olmayan eylemler hakkında bilgi sahibi kamu görevlileri
gerektiren yasalara veya düzenlemelere sahiptir. İhbar eylemleriyle ilgili bazı yasalar, belirli
türdeki uygunsuz faaliyetlerin açığa çıkarılması konusunda vatandaşlarını korur. Bu yasa ve
düzenlemelerin kapsadığı faaliyetler aşağıda listelenmiştir;
• Yasal yükümlülüklere uyumla ilgili suçlar veya başka itaatsizlikler
• Adli hata olarak nitelendirebilecek hareketler
• Bireylerin sağlığını, güvenliğini veya refahını tehlikeye sokacak hareketler
• Çevreye zarar veren hareketler
• Yukarıdaki faaliyetlerden her hangi birini gizlemeye veya üstünü örtmeye yönelik faaliyetler
Bazı yargısal sistemler çalışanlara hiçbir rehberlik veya koruma sunmaz ya da sadece kamu
(örneğin hükümet) çalışanlarına sunar.
9. İç denetçinin kurumun faaliyet gösterdiği çeşitli yargısal sistemlerdeki yasa ve
düzenlemelerden haberdar olması gerekir. İhbarın hukuki yönleri hakkında bilgi sahibi olan
hukuk danışmanı bu sorunla karşılaşan iç denetçilere yardım edebilir. İç veya dış ihbarlarla
uğraşmanın yasal gerekleri veya sonuçları hakkında şüphesi bulunan iç denetçinin her zaman
yasal tavsiye alması gerekir.
10. Birçok meslek kuruluşu, üyelerini yasadışı ya da etik olmayan faaliyetleri açıklamaktan
sorumlu tutar. Bir mesleğin ayırt edici işaretlerinden birisi de kamuya karşı geniş sorumluluklar
benimsemesi ve genel refahı korumasıdır. IIA üyeleri ve tüm sertifikalı iç denetçiler, yasal
gerekliliklerin incelenmesine ek olarak, IIA‟in Etik Kurallarında belirtilen gereklilikleri takip
etmek zorundadır.
11. İç denetçinin, tüm kanıtları ve ulaştığı sonuçların uygunluğunu dikkatli bir şekilde
değerlendirmek ve kurumun çıkarlarını, paydaşlarını, toplumu ve toplumsal kuruluşları korumak
için ilave önlemlere ihtiyaç olup olmadığına karar vermek gibi profesyonel bir görevi ve etik bir
sorumluluğu vardır. Ayrıca iç denetçinin, bilginin değerine ve sahipliğine saygı göstermek ve
yasal ve mesleki bir zorunluluk olmadıkça, uygun yetkisi olmaksızın açıklamaktan kaçınması için
IIA‟in Etik Kuralları‟nda düzenlenen gizlilik görevini göz önünde bulundurması gerekir. İç
denetçi, bu değerlendirme sürecinde, hukuk danışmanının ve eğer mümkünse diğer uzmanların
tavsiyelerini arayabilir. Bu görüşmeler hem koşullar üzerinde farklı bakış açıları geliştirmek hem
de olası eylemlerin muhtemel etki ve sonuçları hakkında görüş sunmak açısından faydalı olabilir.
İç denetçinin, bu karmaşık ve hassas durumu çözmek için aradığı yöntem misillemelere ve
potansiyel sorumluluk doğmasına yol açabilir.
12. İç denetçi, işverene karşı yükümlülükleri hakkında mesleki bir karar verir. Normal hiyerarşi
dışındaki kişilerle iletişime geçme kararının, yapılan yanlışlıkların önemli, inandırıcı delillerle
desteklendiği ve yasa ya da düzenlemenin emredici hükmü veya mesleki ya da etik yükümlülük
gereği başka önlemlerin alınması gerektiği gibi sağlam düşüncelere dayanması gerekir.
Uygulama Önerisi 2440.A2-1:
Kurum Dışı İletişim
İlgili Ana Standart
2440 - Sonuçların Dağıtımı 2440.A2 - İç Denetim Yöneticisi, aksi kanunî, hukukî düzenlemelerle emredilmediği takdirde,
görev sonuçlarını kurum dışındaki taraflara iletmeden önce, kuruma doğabilecek muhtemel
riskleri değerlendirmek, uygun olduğu şekilde üst yönetim ve/veya hukuk danışmanı ile istişare
etmek ve sonuçların raporlanmasını, kullanımını kısıtlayarak, kontrol etmek zorundadır.
1. İç denetim yönetmeliği, Yönetim Kurulu‟nun çalışma usul ve esasları belirleyen yönetmelik,
kurum politikaları veya denetim sözleşmesi bilginin kurum dışına raporlanmasına ilişkin rehberlik
içerebilir. İç Denetim Yöneticisi, böyle bir rehberliğin bulunmadığı durumlarda aşağıda
belirtilenleri kapsayabilen politikaların benimsenmesine yardımcı olabilir;
• Kurum dışına bilgi raporlanması için gerekli yetkilendirme.
• Bilginin kurum dışına raporlanmasında onay alınması süreci.
• Raporlanmasına izin verilebilecek veya verilemeyecek bilgiye ilişkin kurallar.
• Bilgi almaya yetkili kurum dışı şahıslar ve alabilecekleri bilgi türleri.
• Kurum dışına bilgi raporlanması ile ilgili gizlilik düzenlemeleri, düzenleyici kurumların
gereksinimleri ve hukuki mütalaalar.
• Kurum dışına iletilecek bilgiler kapsamında yer alabilecek tavsiyelerin, önerilerin, görüşlerin,
rehberlik ve diğer bilgilerin niteliği.
2. Talepler mevcut bilgilerle (örneğin daha önce yayımlanan bir iç denetim raporu) ilgili
olabileceği gibi yeni bir iç denetim görevi veya raporu sonucunda hazırlanabilecek veya
belirlenebilecek bilgilerle de ilgili olabilir. Talep mevcut bir bilgiyle veya raporla ilgiliyse iç
denetçinin bunun kurum dışına dağıtılmasının uygun olup olmayacağına karar vermesi gerekir.
3. Belirli durumlarda, raporu kurum dışına dağıtmaya uygun hale getirmek için hâlihazırda
mevcut olan bir rapor veya bilgiye dayanan özel amaçlı bir rapor hazırlanması mümkün olabilir.
4. Kurum dışına bilgi raporlanması sırasında dikkate alınması gereken bir takım hususlar
şunlardır:
• Alıcıyla, raporlanacak bilgi ve iç denetçinin sorumlulukları ile ilgili yazılı bir anlaşma
yapılmasının faydası.
• Dağıtılan rapor veya bilginin, bilgi sağlayıcılarının, kaynaklarının, raporu imzalayanların,
alıcıların ve ilgili kişilerin tanımlanması.
• Geçerli bilginin elde edilmesinde gerçekleştirilmesi gereken amaç, kapsam ve prosedürlerin
tanımlanması.
• Görüşler, tavsiyelere yer verilmesi ya da verilmemesi, itirazlar, sınırlamalar ile sağlanması
gereken güvence veya iddiaların türünü kapsayacak şekilde raporun veya başka tür bir iletişimin
niteliği.
• Telif hakkı sorunları, bilginin kullanım amacı ve bilginin ilave dağıtımı veya paylaşılması
üzerindeki kısıtlamalar.
5. İç denetçinin, bilginin kurum dışına dağıtılmasını gerektiren denetim görevlerini yürütürken üst
yönetime veya Yönetim Kurulu‟na raporlanabilecek bir bilgi keşfetmesi durumunda, İç Denetim
Yöneticisi‟nin Yönetim Kurulu‟yla uygun iletişimi sağlaması gerekir.
Uygulama Önerisi 2500-1:
İlerlemenin Gözlenmesi
1. Sonuçların akıbetinin etkili bir şekilde gözlenebilmesi için, İç Denetim Yöneticisi aşağıdakileri
içerecek şekilde prosedürler oluşturur:
• Yönetimin rapordaki sonuçlara, tespitlere ve tavsiyelere cevap vermesi için tanınan süre,
• Yönetimin verdiği cevabın değerlendirilmesi,
• Cevabın doğrulanması (gerekiyorsa),
• Bir takip görevinin yapılması (gerekiyorsa),
• Risklerin üstlenilmesi de dahil, tatmin edici olmayan cevapların/eylemlerin uygun üst yönetim
kademelerine veya yönetim kuruluna iletilmesine yönelik bir raporlama süreci.
2. Rapordaki bazı tespitler ve tavsiyeler, yönetimin veya yönetim kurulunun derhal tedbir almasını
gerektirecek kadar önemli ise, iç denetim faaliyeti (birimi) bunlar düzeltilene veya tavsiyeler
uygulanana kadar, alınan tedbirleri izler.
3. İç denetim birimi, şunları yaparak ilerlemeyi etkili bir şekilde gözler:
• Tespit ve tavsiyelerin, tedbirleri almaktan sorumlu olan uygun yönetim kademelerine iletilmesi.
• Yönetimin tespit ve tavsiyelerle ilgili cevaplarının ve önerilen eylem planının, görev süresinde veya
görev sonuçlarının rapor edilmesinden sonra, makul bir süre içinde, alınması ve değerlendirilmesi.
Yönetimin cevapları, İç Denetim Yöneticisinin önerilen tedbirlerin zamanlamasını ve uygunluğunu
değerlendirmesi için yeterli bilgi içeriyorsa, daha faydalı olur.
• Yönetimin, raporlanan durumları düzeltmeye veya önerileri uygulamaya yönelik çabalarını
değerlendirmek için yönetimden düzenli olarak güncel bilgi alınması.
• İzleme veya düzeltme eylemlerinden sorumlu diğer birimlerden bilgi alınması ve bu bilgilerin
değerlendirilmesi.
• Tespit ve tavsiyelere alınan cevapların durumu hakkında üst yönetime ve/veya yönetim
kuruluna rapor verilmesi. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2500.A1-1: Takip Süreci
1. İç denetçiler, düzeltici tedbirlerin alınıp alınmadığını veya tavsiyelerin uygulanıp
uygulanmadığını tesbit eder. İç denetçi, istenen sonuçlara ulaşılıp ulaşılmadığını ya da üst yönetimin
veya yönetim kurulunun, gerekli tedbirleri almamanın veya tavsiyeleri uygulamamanın riskini
üstlenip üstlenmediğini belirler.
2. Takip, dış denetçilerin ve diğerlerininkiler de dahil, rapor edilen tespit ve tavsiyeler üzerine
yönetimin aldığı tedbirlerin yeterliliği, etkililiği ve zamanlamasını iç denetçilerin değerlendirdiği bir
süreçtir. Bu süreç, ayrıca, üst yönetimin veya yönetim kurulunun, raporlanan tespitlere yönelik gerekli
tedbirleri almamasının veya tavsiyeleri uygulamamasının riskini üstlenip üstlenmediğini belirler.
3. İç denetim faaliyetinin (biriminin) yönetmeliğinde, takip sorumluluğu tanımlanmalıdır. İç Denetim
Yöneticisi, takibin niteliğini, zamanlamasını ve kapsamını, aşağıdaki hususları dikkate alarak, tespit
eder:
• Rapor edilen tespit veya tavsiyenin önemi,
• Rapor edilen sorunun düzeltilmesi için gereken çaba miktarı ve maliyet,
• Düzeltici tedbirin yetersiz kalmasının muhtemel etkileri,
• Düzeltici tedbirin karmaşıklığı,
• Gereken süre.
4. İç Denetim Yöneticisi, görev iş programlarının bir parçası olarak, takip görev ve faaliyetlerini
programlamaktan sorumludur. Takip programı, düzeltici tedbirlerin uygulanma zorluğu ve
zamanlamasının önemi yanında, risk ve riske maruz kalma seviyesine dayanarak yapılır.
5. İç Denetim Yöneticisi, yönetimin sözlü veya yazılı cevabının -tesbit ve tavsiyenin göreli önemi de
tartılarak- alınan tedbirin yeterli olduğuna işaret ettiğine kanaat getirdiğinde, iç denetçiler, bir sonraki
görevin bir parçası olarak bir takip çalışması yapabilir.
6. İç denetçiler, tesbitlerle ve tavsiyelerle ilgili tedbirlerin altta yatan temel şartları düzeltip düzeltmediğini saptar. Takip faaliyetleri, usulüne uygun olarak kayıtlı hâle getirilir. • * * Yayın: Ocak 2009
4. Denetim evreni ve ilgili denetim planı, yönetimin yönelimlerindeki, hedeflerindeki,
önceliklerindeki ve odaklandığı hususlardaki değişiklikleri yansıtacak şekilde güncellenir. Denetim
evreninin, kurumun en güncel stratejilerini ve yönelimlerini yansıtması için en az
4. Dahilî (doğal) risk ve artık risk (bakiye risk olarak da bilinir) iki temel risk kavramıdır.
Finansal/dış denetçiler, ilgili azaltıcı kontroller olmadığı varsayımı ile, bilgi veya verilerin
önemli bir hatâlı gösterime (mali tablolarda) hassasiyeti olarak özetlenebilecek dahili risk
kavramını uzun zamandır kullanmaktadırlar. Artık risk, Standartlarda şöyle
tanımlanmaktadır: 11
Yönetimin, olumsuz bir olayın etki ve ihtimalini azaltmak amacıyla, riski
karşılamaya yönelik kontrol faaliyetleri de dahil, aldığı tedbirlerden sonra kalan risktir."
Artık risk genellikle, "mevcut kontroller ve kontrol sistemleriyle yönetilen risk" olarak da
tanımlanır.
8. Risk yönetim süreci ve sistemleri, dünyada farklı şekillerde kurulmuştur. Kurumun risk
yönetimiyle ilgili olgunluk seviyeleri, kurumdan kuruma farklılık gösterir. Kurumların merkezî bir
risk yönetimi faaliyetinin olduğu durumlarda, bu faaliyetin rolleri arasında, iç kontrol yapısının devam
eden gözden geçirmesini de dikkate alarak yönetim ile koordinasyonu sağlamak ve yapıyı, değişen
risk iştahına göre güncellemek bulunmaktadır. Dünyanın değişik yerlerinde kullanılmakta olan risk
yönetim süreçleri farklı mantık, farklı yapı ve terminolojiye sahip olabilir. Bu yüzden, iç denetçiler,
kurumun risk yönetimi sürecinin bir değerlendirmesini yapar ve iç denetim faaliyet planının
gelişmesinde ve münferit iç denetim görevlerinin planlanmasında hangi kısımların kullanılabileceğini
belirler. 9. İç denetim planının geliştirilmesinde iç denetçilerin dikkate aldığı unsurlar şunlardır:
• Dahilî riskler - Belirlenip değerlendirildiler mi?
• Artık riskler - Belirlenip değerlendirildiler mi?
• Azaltıcı kontroller, âcil durum planları ve izleme faaliyetleri - Münferit olaylar ve/veya risklerle
bağlantıları kurulmuş mu?
• Risk kayıtları (risk registers) - Sistematik mi, tam mı ve doğru mu?
• Dokümantasyon - Riskler ve faaliyetler belgelenmiş mi?