denet - global.theiia.org

DENETİM KOMİTELERİ İÇİN İÇ DENETİM DEĞERLENDİRME ARACI

2

Bölüm I: Giriş

"İş kültürü, iş sistemleri ve iş süreçleri üzerine derin bir bilgi birikimine haiz profesyonellerce

yürütülen bir iç denetim faaliyeti, kurumda uygulanan iç kontrollerin riskleri hafifletme

noktasında yeterliliğine, yönetişim süreçlerinin uygunluğuna ve kurumsal hedef ve

amaçların ulaşılabilirliğine yönelik güvence sağlar. Birbirine bağımlı unsurlar olan denetim

komitesi ve iç denetçiler, karşılıklı birbirlerine erişebilmelidir, bu anlamda iç denetçiler

denetim komitesini nesnel görüşleriyle, bilgileriyle ve eğitim faaliyetleriyle desteklerken,

denetim komitesi de iç denetçilere doğrulama ve gözetim desteği sağlar."

Denetim Komitesi, Amaç, Süreç ve Profesyonellik, Uluslararası İç Denetçiler Enstitüsü

IIA'nın Üçlü Hat Modeli: Üçlü Savunma Hattı

Güncellemesi başlıklı pozisyon raporunda, kurumlarda üç

ayrı alandaki temel rol ve görevlere açıklık getirilmiştir:

birinci ve ikinci hatların kapsamında operasyonel yönetim,

risk yönetimi ve uyum fonksiyonları yer alır ve üçüncü hat

kapsamında yer alan iç denetim (İD), "yönetişim ve risk

yönetiminin yeterliliği ve etkinliği konusunda bağımsız

ve objektif güvence ve danışmanlık hizmetleri verir."

Şirketlerin yönetim kurulları ve denetim komiteleri,

İD’nin kurum bünyesinde inceledikleri geniş alan

yelpazesi hakkında doğru, nesnel ne zamanında bilgi ve

gözlemler temin etmesine bel bağlar ve ihtiyaç duyarlar.

Denetim komitesinin (DK) İD olan ilişkisi, komitenin

yönetişim rolünden doğan yükümlülüklerini yerine

getirebilmesi açısından kritik öneme sahiptir. DK, geniş

bir yetki alanına sahip olabilir ve bu kapsamda,

finansal raporlama, risk yönetimi, iç kontrol, uyum,

etik, yönetim ve iç veya dış denetçilerin gözetiminden

sorumlu olabilir. (DK'nin İD ile olan ilişkisindeki rolü,

Denetim Komitesi: Amaç, Süreç ve Profesyonellik

başlıklı rehberde ayrıntılı bir dille açıklanmakta ve

tartışılmaktadır.)

İD’nin oynadığı rolün ne denli önemli olduğu göz

önünde tutulduğunda, İD faaliyetinin düzenli

aralıklarla değerlendirilmesi, iç denetçilerin görev

ve sorumluluklarını Uluslararası İç Denetim

Mesleki Uygulama Standartları, en iyi uygulamalar

ve yönetim kurulu ile denetim komitesinin

beklentileri temelinde etkili bir şekilde icra ettikleri

konusunda yönetim kurullarına ve denetim

komitelerine güvence sağlayabilir.

Bu değerlendirme aracı, yerleşik en iyi

uygulamalara dayalı bir değerlendirmede ele

alınması gereken meseleler için çeşitli önerilerin

sıralandığı bir başvuru kaynağıdır. Bu anlamda

zorunlu bir rehber olduğu düşünülmemeli, daha

ziyade Yönetim Kurulların ve denetim komitelerinin

aşağıda sayılan hususları araştırırken kısmen veya

tamamen esas alabilecekleri bir kaynak gibi

değerlendirilmelidir:

+ Şirketin İD’den aldığı hizmetlerin kalitesi ve İD’nin

elindeki kaynakların yeterliliği.

+ İD ekibi ile iletişim ve etkileşim düzeyi.

+ İD ekibinin bağımsızlığı, objektifliği ve şüpheciliği.

Aşağıda sunulan bölümlerin her biri, Yönetim

Kurulların, denetim komitelerinin ve diğer ilgili

unsurların İD faaliyetini daha iyi anlamak için ve bu

önemli alanın katkısını ve değerini artırmaya yönelik

kendi planlarını geliştirirken sorabilecekleri, temel

alanlara göre ayrılmış bir dizi soru içermektedir.

https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Aud_Comm_Brochure_1_.pdf

https://na.theiia.org/about-ia/PublicDocuments/Three-Lines-Model-Updated.pdf





https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/standards.aspx

https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/standards.aspx


3

Bölüm II: Değerlendirme Süreci

Bazı ülkelerde, İD’yi değerlendirme ihtiyacını ve kalite

geliştirme sürecinin önemini ele alan standartlar ve

düzenlemeler vardır (bkz: Ek). Bu rehberde İD

değerlendirmesi ve kalitesi ile ilgili yalnızca temel

gereklilikler ortaya koyulmaktır, dolayısıyla burada

değinilmeyen kritik sorun ve konuları irdelemek ve

araştırmak DK'nin kendi sorumluluğundadır. Bu rehber,

İD faaliyetinin planına, İD faaliyetinin önüne koyduğu

hedeflere ulaşma noktasında ne denli başarılı

olduğuna, icra ettiği görev ve çalışmaların kurumsal

ihtiyaçları karşılama noktasında ne denli etkili

olduğuna ve İD faaliyetinin sağladığı kaynakların ve

katma değerli hizmetlerin kurum tarafından olabilecek

en iyi şekilde kullanılıp kullanılmadığına dair bir anlayış

geliştirmesinde ve bunu korumasında DK’ne yardımcı

olabilir. Bu değerlendirme aracında yer alan sorulardan

birçoğunun işaret ettiği üzere, iç denetim yöneticisi

(İDY) ile DK başkanının sık sık iletişime geçmeleri ve

bu iletişimin açık ve karşılıklı olması, herhangi bir

değerlendirmeden daha önemli ve önceliklidir.

Aşağıdakiler de dahil olmak üzere İD faaliyetini

izlemenin başka birçok faydası bulunmaktadır:

+ İD’nin etkinliğinin ve yerine getirdiği çalışmaların

verimliliğinin daha iyi anlaşılması.

+ İD’nin gösterdiği çabaların kurumun, Yönetim

Kurulunun ve DK'nin stratejik hedeflerini

destekleyici nitelikte olduğuna dair ek güvence elde

edilmesi.

+ Kontrollerin ve risk yönetiminin etkinliği dâhil,

dikkate alınması gereken anahtar hususlar

hakkında değerli güncel bilgiler temin edilmesi.

+ İD faaliyetinin verimliliğini ve/veya etkinliğini

artırma fırsatlarını tanımayı sağlayacak

noktaların anlaşılması.

+ Duruma göre hangisi uygunsa, dış denetçilerle

ve diğer üçüncü şahıslarla olan iş ilişkisini

kuvvetlendirmek için atılması gereken adımların

anlaşılması.

+ Denetim görevlerinin kalitesini artırmaya ve DK

ile İD arasındaki ilişkiyi güçlendirmeye yardımcı

olabilecek samimi bir diyaloğun tesis edilmesi

ve bu kapsamda İD’den dürüst geri bildirimler

ve Yönetim Kurulu veya DK'den yapıcı geri

bildirimler alınması için daha fazla fırsat

yaratılması.

Değerlendirme Hakkında Sorulması Gereken Sorular

Yönetim Kurulu ve DK üyeleri bu değerlendirme

aracında yer alan soruları gözden geçirirken, İD

faaliyetinin gözetimi konusunda sahip oldukları kendi

sorumluluklarına ilişkin aşağıda sayılan büyük resme

odaklı soruları dikkate almalıdırlar:

+ Aşırı yoğun ve ağır olmayan fakat etkili sonuç veren

bir yıllık İD değerlendirme süreci var mı?

+ İD’nin bilgi toplama ve topladığı bilgileri

kullanmasıyla ilgili ve işletmenin karar almasına

yardımcı olma konusundaki performansının ele

alındığı bir değerlendirme var mı?

+ Yapılan değerlendirme, İD’nin kurumdaki rolünü ve

bu roldeki değişim ihtiyacı veya fırsatlarını

anlamalarında gerek yöneticilere gerekse İD

faaliyetli liderlerine yardımcı olacak kadar etkili mi?

Düzenli aralıklarla yürütülen kapsamlı

değerlendirmeler, her şeyin yolunda gittiğini

düşündüren ve İD faaliyetine yönelik zorlukların veya

fırsatların gözden kaçırılmasına yol açabilecek olan bir

rehavet hissinin oluşmasını önler. Takip eden

bölümlerde, Yönetim Kurulların ve DK'lerin kendi

değerlendirme ihtiyaçlarına göre uyarlayabilecekleri

özel nitelikli sorular sunulmaktadır.


4

Bölüm III: İç Denetim Faaliyeti Tarafından Sağlanan Hizmetlerin Kalitesi ve Kaynakların Yeterliliği

"Bir kuruma, ona verimli ve etkili bir kurumsal yönetim için gereken katma değerli kritik

hizmetleri sunan, ihtiyaç duyduğu kaynaklarla eksiksiz donatılmış ve mesleki açıdan yetkin

bir iç denetim kadrosu en iyi hizmeti verebilir."

İç Denetim: Yönetim Kurulu Üzerinden Değer Katma, Uluslararası İç Denetçiler Enstitüsü

İD’nin sağladığı hizmet ve kaynakların kalitesinin

değerlendirilmesi, İD’ye dair yapılabilecek her türlü

değerlendirmenin temel bir parçasını teşkil eder.

Değerlendirmenin bu bölümündeki genel amaç,

aşağıda sayılanları dikkate almak ve değerlendirmek

olmalıdır:

+ DK'nin İD faaliyetini değerlendirme kabiliyeti. + İD faaliyetinin gerek standartlara gerekse kendi

geliştirme programına ne denli uyum gösterdiği.

+ İD’nin kendi yönetmeliğinde belirtilen sorumluluklara

uygun hareket edip etmediği ve DK'nin beklentilerini

karşılayıp karşılamadığı.

+ İD’nin yönetişim, risk yönetimi ve kontrol

konularında sağladığı içgörü ve öngörülerin kalitesi.

+ İD’nin teknolojiden faydalanma düzeyi ve teknik uzmanlığı.

+ İD’nin yaptığı çalışmaların kuruma olumlu bir

etkisinin olup olmadığı.

+ İD lider kadrosunun ve İD ekibinin yetkinliği

ve performansı ve bu bileşenlerin mesleki

sorumluluklarını yerine getirme noktasındaki

etkinliği. IIA'nın İç Denetim Yetkinlik

Çerçevesi, bu konuda başvurulabilecek anahtar

öneme haiz kaynaklardan biridir.

+ İD, kaynaklarından en iyi şekilde istifade edip

etmediğini ya da mevcut kaynaklarda veya

onların kullanım şeklinde iyileştirme yapılması

gerekip gerekmediğini değerlendirmek için

kıyaslama yöntemine başvuruyor mu?

Bu ve diğer temel meseleleri ele almak ve irdelemek

için aşağıda verilen soruları kullanın. Bu belge

boyunca sunulan soruların genelde ilgili en iyi

uygulamalara işaret ettiklerini unutmayın. Burada

tartışılan adımların her birinin hayata geçirilmesi

gerekli olmayabilir, fakat yine de Yönetim Kurulları

ve DK'ler, burada tartışılan adımları -bu adımları

gerçekleştirmek gerekli olsun ya da olmasın- İD

faaliyetine yönelik sahip oldukları kendi gözetim

sorumluluklarının kapsamına almayı değerlendirmek

isteyebilirler. Bazı durumlarda DK'nin ihtiyaç

duyduğu bilgiyi alması için bu soruları yönetime

yöneltmesi gerekebilir. Bu belgede sunulan bütün

sorular için, ilgili başlık hakkında yapılan gözlemlerin

girilebileceği bir boşluk da bırakılmıştır. Bununla

birlikte, ulaşılan cevapları belgede kayıt altına almak,

ne bu cevapların DK'ye gözetim rolünü yerine

getirmesinde yardımcı olup olmayacağını ve nasıl

yardımcı olacağını değerlendirmek kadar, ne de daha

ayrıntılı araştırılması ve irdelenmesi gereken alanlara

odaklanmak kadar önem arz eden bir iştir.

https://na.theiia.org/about-ia/PublicDocuments/Internal_Auditing-Adding_Value_Across_the_Board.pdf

https://na.theiia.org/standards-guidance/Pages/Internal-Audit-Competency-Framework.aspx

https://na.theiia.org/standards-guidance/Pages/Internal-Audit-Competency-Framework.aspx


5

ÖRNEK SORULAR GÖZLEMLER

Performans ve Beklentiler » Yapılan son değerlendirmeden beri İD’nin kuruma olumlu bir etkisi oldu mu? İD’nin

DK'nin dikkatine sunduğu meseleler gerçekten de dikkate değer önemli meseleler miydi? İD’nin gözlemleri ve çıkarımlarını destekleyen yeterli bilgi ve kanıt var mıydı?

» İD’nin başarı tanımı, DK'nin başarı tanımı ile uyumlu mu? » İD’nin tasarımı, İD’nin kurumsal ihtiyaçları karşılamasına ve kuruma değer katmasına, bu

anlamda işletmenin gelişmesine yardımcı olmasına olanak sağlayacak bir yapıda mı? » İD, finansal kontrolleri, operasyonel kontrolleri ve uyum kontrollerini (teknolojiye

dayalı alanlar dâhil) izlemede başarılı mı? » İD, yönetmeliğinden ileri gelen görev ve sorumluluklarını yerine getirebilmesi, Yönetim

Kurulu ve DK'nin beklentilerini karşılayabilmesi için yeterli kaynağa sahip mi? » Denetim ekibi bir denetim stratejisine sahip mi? Denetim ekibinin stratejik vizyonu

içinde, etkili bir hizmet vermek için gerekli kaynakların (yani yeterli kaynak ve yetenek yönetimi) ele alındığı bir iş gücü planlaması var mı?

» İD yönetmeliği, DK tarafından düzenli aralıklarla gözden geçiriliyor mu? İD, yönetmeliğine uygun hareket ediyor mu?

» Denetim planı, sorunların zamanında tespit edilmesine ve denetimlerin beklentilere uygun bir şekilde tamamlanmasına olanak sağlayacak bir yapıda mı?

» Rapor vermek zorunlu olmamasına rağmen İD, en iyi uygulamalara uygun davranmak adına, eylemlerinin ve zaman kısıtı verilmiş düzeltici eylem planlarının detaylarını yansıtan bulgu ve sonuçları raporluyor mu? (Bölüm IV'te, İD’nin raporlaması konusuna ilişkin daha fazla soruya yer verilmektedir.)

» Yönetim İD’nin taleplerine cevap veriyor mu?

Risk konusundaki hususlar » İD faaliyeti, Yönetim Kurulu veya DK'nin kurumun taşıdığı mevcut riskler ve yeni ortaya

çıkan riskler hakkındaki bilgi birikimini genişletiyor mu? » Denetim planı ile kurumun stratejik hedefleri ve riskleri arasında açık bağlantılar var mı? » İDY, kurumun hedefleri için engel teşkil eden veya edecek olan mevcut veya yeni ortaya

çıkan risk alanları dâhil, denetim planının zorlu ve kritik alanları ne ölçüde kapsadığını DK'ye açıklıyor mu?

Teknoloji ve Teknik Uzmanlık » Denetim ekibi, risk trendlerini ve anomalilerini tespit etmek için ileri veri analitiği, robotik

süreç otomasyonu, süreç madenciliği, makine öğrenmesi ve yapay zekâ gibi dönüştürücü teknolojilerden istifade ediyor mu?

» İD, verdiği güvence ve danışmanlık hizmetlerini desteklemek ve bu bakımdan departman içindeki verimliliği artırmak adına sürekli ve etkin bir şekilde farklı teknolojileri değerlendiriyor ve uygulamaya koyuyor mu?

» İD, yalnızca sorunları tespit etmek için değil, aynı zamanda tespit ettiği sorunların etkilerini ve kök sebeplerini ele almak ve irdelemek için de teknolojiden istifade ediyor mu?

» İD, teknolojilerin kullanımı konusunda veya herhangi bir teknik alanda yardım ve destek almak için gerektiğinde dış uzmanlara başvuruyor mu?


6


Kalite Güvence » İD ekibi, kalite süreçleri kullanıyor ve sürekli geliştirme çalışmaları gerçekleştiriyor mu? » Kalite Güvence ve Geliştirme Programı çerçevesinde hazırlanan son iç raporların ve

yapılan son dış değerlendirmelerin sonuç ve bulguları nelerdir? » IIA standartlarıyla ve/veya başka kalite standartlarıyla uyumsuzluk söz konusu olan veya

iyileştirme ve geliştirmeye açık olan önemli alanlar saptandıysa, bu alanlardaki uyumsuzluğun veya eksikliğin nedeni neydi ve İD bu alanların her biriyle yeteri kadar ilgilendi mi?

» İD, Uluslararası İç Denetim Mesleki Uygulama Standartlarına uyuyor mu? » İD faaliyeti, IIA Standartlarının belirli kısımlarına uygun hareket etmesini yasaklayan bir

kanun veya düzenleme bulunuyorsa, bu durumu gerektiğinde uygun bir şekilde açıkladı mı?

Değer Katmak » İD, anahtar öneme sahip yeni uygulama girişimlerine, örneğin yeni kanun ve

düzenlemelere uyum sağlanması gerektiğinde, COVID-19 salgını gibi bir beklenmedik olay vuku bulduğunda ya da kurum bir kolaylaştırıcı teknolojiyi uygulamaya almak istediğinde tatbik edilen türde girişimlere, sahip olduğu uzmanlık bilgisiyle destek veriyor mu?

» İD ekibi, güvence sorumluluklarının yanı sıra danışmanlık sorumluluklarına da sahip mi? » İD’nin, gerçekleştirdiği danışmanlık hizmetleri neticesinde güvence hizmetleri vermesi

gerektiğini tespit ettiği alanlar var mı? » İD bir görev sonrası anketi yapıyor mu? » Yönetimin İD’den talep ve istekleri oluyor mu? » İD’de personel rotasyonuna önem veriliyor mu?

Ekibin Nitelikleri ve Yapısı » DK, İD’nin elinde görev ve sorumluluklarını yetkin bir biçimde yerine getirebilmesi ve

DK'nin hedef ve amaçlarını karşılayabilmesi için doğru ve uygun kaynak ve yetkinliklerin bulunup bulunmadığı konusunda bilgi sahibi mi?

» İDY, ekipte ne oranda Sertifikalı İç Denetçi (CIA'lar) bulunduğunu DK'ye bildiriyor mu? Bu denetçi grubu içinde, yüksek lisans derecesine sahip olanların oranı nedir? İlgili başka uzmanlık deneyimleri veya belgelerine sahip olanların oranı nedir?

» İD ekibi gerek demografi yönünden gerekse mevcut deneyim tipleri ve deneyim yelpazesi yönünden çeşitlilik arz eden bir grup mu?

» DK, İD’nin etkili işe alma, elde tutma ve terfi programlarıyla ekibini sürekli güçlendirip güçlendirmediği konusunda bilgi sahibi mi? Ekip üyeleri, bilgi birikimlerini ve bakış açılarını genişletmek maksadıyla departman içinde rotasyona tâbi tutuluyorlar mı?

» İDY için ve ekibin anahtar öneme sahip üyeleri için bir yedekleme planı var mı? » İD, özel nitelikli belli projeler için bir misafir denetçi programı kullanıyor mu?


7


Kıyaslama ve Geri Bildirim » İD, tatbik ettiği süreçlerin, gösterdiği performansın ve sahip olduğu liderliğin başka

kurumlardaki muadil unsurlara göre ne düzeyde olduğunu görmek için kıyaslama yapıyor mu?

» İD’nin takip ettiği ölçütler veya performans göstergeleri makul mu ve İD’nin yönetmeliğinden doğan görev ve sorumlulukları ile uyumlu mu?

» Yönetim gerek İDY hakkında gerekse genel itibarıyla İD ekibi hakkında geri bildirimde bulunuyor mu?

» Dış denetçi, İD faaliyeti hakkında geri bildirimde bulunuyor mu?

Birleşik Güvence » İD, kendi faaliyetleri ile diğer iç ve dış güvence hizmeti sağlayıcılarının faaliyetleri arasında

eşgüdüm sağlamak için kullanılan entegre/birleşik güvence yaklaşımına nasıl bakıyor? » Uygulanan birleşik güvence yaklaşımının, verilen güvencenin kapsamında boşluk

oluşmasına ya da aynı güvence hizmetinin gereksiz yere iki defa verilmesine yol açtığı oldu mu?

İç denetçiler; işletme verimsizlikleri, savurgan harcamalar, personel hırsızlıkları, suiistimaller

ve kanun veya düzenlemelere uyumsuzluk gibi vakaları tespit ederek, bağlı oldukları

kurumun önemli tutarlarda para tasarruf etmesini ve piyasadaki itibarını korumasını

sağlayabilirler. Kurumsal iklime göz kulak olurlar ve riskleri değerlendirmek, fırsatları analiz

etmek, iyileştirmeler önermek, etik davranışları teşvik etmek, kayıtların ve mali tabloların

doğru olmasını sağlamak, üst düzey yönetimi ve Yönetim Kurulunu kritik sorunlar hakkında

eğitmek, suiistimal vakalarını soruşturmak, savurgan harcamaları tespit etmek, hile

belirtilerini tespit etmek, daha güçlü kontroller tavsiye etmek, kural ve düzenlemelere uyulup

uyulmadığını izlemek gibi pek çok faaliyeti yerine getirirler."

Günlük İşin Bir Parçası: İç Denetçilerin Çeşitli Sorumluluklarına Bir Bakış, Uluslararası İç Denetçiler Enstitüsü

https://global.theiia.org/about/about-internal-auditing/Public%20Documents/All-in-a-Days-Work-Brochure.pdf


8

Bölüm IV: İç Denetim Ekibi ile İletişim ve Etkileşim

İD faaliyeti ile DK arasında düzenli bir iletişim tesis edilmesi, DK'nin İD performansı ve süreci hakkında yerine getirmesi

gereken gözetim sorumluluklarını uygun bir şekilde icra etmesini sağlar. Bu bölümde yer verilen sorular, İD ile DK

arasında sağlam ve yapıcı bir diyalog kurulmasına yardımcı olabilirler.


İş İlişkisi » İD, hazırladığı iç denetim planını iletiyor mu ve karşılığında geri bildirim ve onay

almaya çalışıyor mu? Planın uygulanabilirliğini idame ettirmek adına konuyu takip ediyor mu?

» Yönetim Kurulu, DK ve İD arasındaki tüm görüş alışverişleri, açık ve kapsamlı bir çerçevede yürütülüyor mu?

» İDY'nin, DK ile yaptığı toplantılar dışında DK başkanına ulaşma imkânı var mı? » İD, önemli meseleleri ve zaman zaman da zor meseleleri rahatlıkla gündeme getirebiliyor

mu? » İD zor meseleleri gündeme taşıdığında bir sürtüşme yaşanıyor mu? » İDY'ye, DK'ye yaptığı periyodik raporlama için yeterli ve uygun bir süre veriliyor mu? » DK ile İDY kendi aralarında yönetimin katılmadığı kapalı toplantılar yapıyorlar

mı? Bu sorunun cevabı evetse, ne sıklıkta? Hayırsa, neden?

İletişimin Kalitesi » İDY, periyodik risk değerlendirmesi ve denetim planı hakkında DK'ye bilgi veriyor mu? » İD faaliyetinin DK ile kurduğu iletişim, güvence kapsamı içine alınan risklerin, yeni ortaya

çıkan riskleri izleme sürecinin ve suiistimal potansiyelinin yeterli ölçüde anlaşılmasını sağlıyor mu?

» Kurulan iletişimlerde, DK'ye, İD ekibi süreçlerinin profesyonel bir anlayışla yürütülüp yürütülmediklerini ve bu süreçlerde alınan sonuçların doğru olup olmadıklarını belirlemesine olanak sağlayacak gerekli bilgiler veriliyor mu?

» İD faaliyeti, uygulamaya koyulan yönetim eylem planlarının oranını ve bunların takvimini rapor ediyor mu?

» İD’nin sunduğu raporlar yeteri kadar iyi düzenleniyor mu ve yeteri kadar açık ve net bir dille yazılıyor mu? DK, bu raporları yüksek kalite görseller içeren yüksek kalite raporlar olarak değerlendiriyor mu?

» İD raporlarını zamanında sunuyor mu ve sunduğu raporlar gerçeklere dayalı, nesnel ve yapıcı mı?

» İD raporlaması İD faaliyetini, önemli riske maruz alanları ve kontrol sorunlarını kapsıyor mu? Bildirilen denetim hedefleri ve denetim kapsamı, varılan sonuçlar, tavsiyeler ve eylem planları yeteri kadar açık ve net mi?


9

Bölüm V: Denetçinin Bağımsızlığı, Nesnelliği ve Mesleki Şüpheciliği

"Dış denetçiler, kurumdan bağımsız unsurlardır. Diğer yandan kurumun bir parçasını teşkil eden

iç denetçiler ise, iş yaklaşımlarında kurumsal bağımsızlık ve objektiflik gösteren ve

denetledikleri faaliyetten bağımsız hareket edebilen unsurlardır. İç denetçilerin denetim

komitesi ile olan hiyerarşik ilişkisi, iç denetim faaliyetinin bağımsızlığı açısından kritik öneme

sahiptir."

Denetim Komitesi: Amaç, Süreç, Profesyonellik, Uluslararası İç Denetçiler Enstitüsü

IIA'nın Uluslararası İç Denetim Mesleki Uygulama Standartları, iç denetçilere ilişkin bağımsızlık ve objektiflik gerekliliklerini

ortaya koymaktadır. IIA, bunun yanı sıra, İD yönetmeliğinde ikili hiyerarşik ilişki aracılığıyla İD’nin bağımsızlığının tesis

edilmesinin bu açıdan en iyi uygulamayı teşkil ettiğini de belirtmektedir. Bu ilişki çerçevesinde İDY, idari bakımdan üst

yönetime ve ayrıca stratejik istikamet ve hesap verme sorumluluğu açısından DK'ye rapor vermelidir.

Bu bağlamda İD faaliyeti, bağımsız denetçi sıfatıyla oynadığı rol ile kurumun anahtar öneme sahip kaynaklardan biri

sıfatıyla oynadığı rol arasında hassas bir denge kurmalıdır. Bu bölümde verilen sorular, bu dengeyi korumak ve izlemek

için atılması gereken adımların aydınlatılmasına yardımcı olacaktır.


Genel En İyi Uygulamalar » İDY, objektifliği ve şüpheciliği fiilen teşvik eden bir kültürü destekliyor mu? » DK'nin benimsediği genel kültür ve yönetişim şekli İD'yi objektif ve şüpheci olması yönünde

destekliyor mu? » İD kadrosu, bağımsızlık, objektiflik ve şüpheciliğin önemi konusunda yeterli eğitime sahip

mi? Gerekiyorsa ve gerektiğinde, bu konuda bilgi tazeleyici bir eğitimden geçiriliyor mu? » İD, objektiflik ya da şüphecilik yönünden karşılaştığı zorlukları DK'ye bildiriyor mu? » Ekip üyelerinin sahip oldukları içgörülerden ve hünerlerden yeni rol veya görevlerde

istifade etmek üzere ekip üyeleri düzenli aralıklarla rotasyona tâbi tutuluyor mu? Ekip üyeleri için sürekli gelişim planları var mı?

» Ekibin örgütsel yapısı ne gibi gerekçelere dayanıyor ve bu yapıyı İDY'nin departmana yönelik stratejik vizyonu kapsamında yeniden düzenlemek gerekiyor mu?

» İD ekibi, kendi politika ve prosedürlerinin (metodoloji) standartlarla ve en iyi uygulamalarla uyumlu olmasına dikkat ediyor mu? Bu İD politikaları ve prosedürleri eğitim amaçlarıyla kullanılıyor mu (yeni denetçiler, misafir denetçiler için) ve İD ekibinin gerektiğinde başvurması için hazır bulunduruluyorlar mı?



10


Bağımsızlık » İD faaliyetinin bağımsızlığı kabul ediliyor ve saygı görüyor mu? İD faaliyeti, gizli

bilgilerin emanet edilebileceği güvenilir bir birim olarak görülüyor mu? » İDY, yönetişimden sorumlu olan kişilerle çekinmeden tarafsız bir şekilde konuşabiliyor mu? » İD ekibi ve İDY gerek yönetimle gerek Yönetim Kurulu ile, gerekse DK'yle, ekibin ve İDY'nin

bağımsızlığına, objektifliğine ve şüpheciliğine engel teşkil etmeyecek nitelikte işbirliğine dayalı bir ilişki geliştirebiliyor mu?

» Ekip üyeleri, genel amaçlarının bağımsızlıklarını korumak olduğunu, ancak bu şekilde şirketin daha başarılı olmasına yardımcı olacak bulgular temin edebileceklerini anlıyorlar mı?

» İD faaliyeti, denetimleri mümkün olduğu kadar azaltması veya sınırlı tutması yönündeki baskılara ya da yönetimin başka türden iltimas taleplerine direnç gösterebiliyor mu?

» Denetimlerde elde edilen bulgular olduğundan daha iyiymiş gibi gösteriliyor veya baskılanıyor mu, yoksa yönetim İD’nin raporlarına güveniyor ve bu raporları her zaman memnuniyetle mi karşılıyor?

» İD faaliyetinin rehavete kapılmış olduğunu ve bu anlamda sürekli aynı prosedürleri tekrarlayıp durduğunu gösteren emareler var mı?

» Denetim ekibi, temsilcileri kanalıyla kurum liderleri ile düzenli aralıklarla, örneğin en azından her çeyrekte bir defa bir araya geliyor mu?

» İDY'nin raporu kapalı oturumda gündeme geliyor mu? İDY, karşılaşılan zorlukları ve alınan zorlu kararları açık ve samimi bir şekilde masaya yatırıyor mu?

Objektiflik » Bir iç denetçinin denetlenen alan ile olan herhangi bir türden kişisel veya mesleki ilgisi veya

bağının iç denetimin objektifliğine gölge düşürmüş olduğu bir vaka görüldü mü? » İD ekibi üyeleri, bütün görevlerini yansız ve tarafsız bir zihniyetle yerine getirmeyi

başarabildiler mi? » İDY ya da ekibin başka bir üyesi teşvik amaçlı ek bir ödeme alırsa, bunun İDY'nin ya da o

ekip üyesinin objektifliğini etkileyeceğini düşünür müsün? » İD, güvence görevleri ile danışmanlık görevleri arasında iyi bir denge sergiliyor mu? » İDY, hatalarını veya sınırlı kaldığı noktaları kabul ediyor mu ve yeni beceriler ve bakış açıları

öğrenmeye istekli mi? İD, gerektiğinde dışarıdan uzman desteği temin ediyor mu?


11


Şüphecilik Seçilen diğer alanlarda olduğu gibi, yönetim kurulu ve DK, İD yönetimine, bu bölümde sunulan soruları da yöneltmek isteyebilir. » İD ekibi, görev ve sorumluluklarını yerine getirirken uygun ölçüde şüpheci davranıyor

mu? Bir sonuca varmadan önce yeterli miktarda belge topluyor ve tespit ettiği bulgu ve verileri yeterli ölçüde sınıyor mu?

» Ekip üyeleri, sağlıklı düzeyde merak gösteriyor mu ve sorgulayıcı bir zihniyete sahip mi? » Ekip üyeleri, kurumda başkalarından aldıkları bilgilerin geçerliliğini sınama

konusunda ya da bu bilgileri bağımsız bir şekilde doğrulama konusunda rahat hareket edebiliyor mu? Böyle davranmaları yönünde fiilen teşvik ediliyorlar mı?

» Ekip üyeleri yalnızca evet veya hayır şeklinde yanıtlanabilecek basit sorular mı yöneltiyorlar, yoksa daha ayrıntılı veya derinlemesine cevaplanması gereken, üzerinde düşünülmüş sorular mı soruyorlar?

» Denetim ekibi gerek şirket hakkında gerek şirketin faaliyet gösterdiği sektör hakkında, gerekse şirketin karşılaştığı riskler ve zorluklar hakkında, şüpheli veri veya gözlemleri tanıyıp tespit etmesini sağlayacak ölçüde yeterli bilgiye sahip mi?

» Denetim ekibinin üyeleri şüpheli bulgularla karşılaştıklarında zaman zaman başka kuruluşların belirli meseleleri nasıl ele aldıklarını veya tecrübe ettiklerini araştırıyorlar mı?

» Denetim ekibinin üyeleri, elde ettikleri bulguları hata veya şaşırtıcı ayrıntılar içerip içermedikleri yönünden irdeleyebiliyorlar mı? Kurumun geneline dair bütüncül bir bakış açısı geliştirmek için, yürüttükleri prosedürlerden bir adım geri çekilip o noktaya kadar ne yapmış olduklarını masaya yatırıyorlar mı?

» İD ekibine şüpheciliğini, objektifliğini ve bağımsızlığını belli bir son tarihi kaçırma veya belli bir bulguyu onaylama baskısı hissetmeden serbestçe kullanmak için ihtiyaç duyduğu zaman tanınıyor mu?

» İD rapor derecelendirmeleri şüpheciliğe dair neye işaret ediyorlar? Ortaya koyulmuş bir meselenin veya sıkı kontrolden geçirilmiş derecelendirmelerin söz konusu olmamasının, yeteri kadar şüpheci davranılmadığına veya sorgulayıcı düşünce yapısıyla hareket edilmemiş olduğuna işaret ettiğini söylemek mümkün mü?


12

Bölüm VI: Varılan Sonuçlar: Katma Değer

İD ve DK birlikte hareket ettiklerinde, kuruma dair bütüncül bir bakış geliştirebilir ve böylece, yönetişim, risk ve kontrol

konularında ister büyük ister küçük olsun dikkat edilmesi gereken çeşitli noktaları tespit edebilirler. Değerlendirme,

DK'lerin, üç hattın hepsinin de kurumsal risk ortamına dair büyük resme dayalı bir bakış açısına katkıda bulunmasını

ve bu bakış açısından istifade etmesini sağlamak için kullanabilecekleri güçlü bir araçtır.

Yönetim Kurulları ve DK'ler bu değerlendirme aracını kullanarak, aşağıda sayılanları en iyi şekilde gerçekleştirmek için ne yapmaları gerektiğini belirleyebilirler:

+ İD çıktısının beklentileri ne denli karşıladığını anlamak.

+ Yönetim Kurulunun ve DK'nin İD’nin rolü ve yaptıkları hakkında İDY'den ve yönetimden duyduklarını doğrulamak ve

bu alana ilişkin bilgi birikimlerini derinleştirmek.

+ Değerlendirme bulgularını İD faaliyetinin kendi öz-değerlendirmesiyle ve varsa mevcut kıyaslama verileriyle

ilişkilendirmek ve DK'yi, DK üyelerinin değerlendirmenin yapıldığı tarih itibarıyla İD faaliyetine güvenebilecekleri

konusunda temin etmek.

Değerlendirmenin tamamlanması, soruların da sona erdiği anlamına gelmez. Yönetim Kurulları ve DK üyeleri,

değerlendirmede elde ettikleri sonuçların bekledikleri sonuçlar olup olmadığını ve iyileştirilebilecek noktalar bulunup

bulunmadığını kendilerine sormalıdırlar. Değerlendirmeler kıyaslama ölçütleri geliştirebilecek olup, büyük ihtimalle

başka ek mülahazaların gündeme getirilmesinin önünü açacaklardır. Ayrıca, kurumun İD faaliyetinden tam olarak

yararlanıp yaralanmadığını ya da ekibin kuruma katkısını artırmasına olanak sağlayacak danışmanlık projeleri ve rolleri

bulunup bulunmadığını değerlendirmelerinde Yönetim Kurullarına ve DK'lere yardımcı da olabilirler. Yönetim Kurulu ve

DK, değerlendirmeyi tamamladıktan sonra, değerlendirmede vardıkları sonuçları kullanarak, kurumun bir sonraki

seviyeye taşınmasında İD’nin daha çok katkıda bulunmasını sağlayacak gerekli değişiklikleri ele alabilir ve bu yöndeki

olası yeni fırsatlardan yararlanabilirler.


13

Ek: İlgili ABD Gereklilikleri ve Standartları

IIA'nın Standartları

IIA Uluslararası Mesleki Uygulama Çerçevesinin 1300

numaralı Standart Serisine göre, bir kurumun iç denetim

yöneticisi, bir kalite güvence ve geliştirme programı (KGGP)

hazırlamak ve bunu sürdürmek zorundadır. KGGP, IIA'nın İç

Denetimin Tanımı ve Uluslararası İç Denetim Mesleki

Uygulama Standartları ile uyumlu bir değerlendirmeyi ve

ayrıca, faaliyette görevli denetçilerin Etik Kurallarını

uygulayıp uygulamadıklarına yönelik bir değerlendirmeyi

kapsamalıdır. KGGP, gerek iç gerekse dış değerlendirmelerle

İD faaliyetini bütün yönleriyle içine alan bir kapsama sahip

olmalıdır. İD faaliyetinin verimliliğini ve etkinliğini de

değerlendirmeli ve varsa iyileştirme fırsatlarını

vurgulamalıdır.

Dış değerlendirmeler, kurum dışından vasıflı ve bağımsız bir

değerlendirme uzmanı veya ekibi tarafından en azından beş

yılda bir yapılmak zorundadır (IIA Standardı 1312). İç

değerlendirmeler, İD faaliyetinin performansının devamlı

izlenmesini ve periyodik öz-değerlendirmeleri veya kurum

içinde İD uygulamaları hakkında yeterli bilgiye sahip

kişilerce yapılan periyodik değerlendirmeleri kapsamak

zorundadır. IIA'nın İç Denetim Faaliyeti İçin Kalite

Değerlendirme Elkitabı başlıklı elkitabında, iç

değerlendirmelerin en azından yılda bir defa

gerçekleştirilmesi tavsiye edilmektedir.

Spesifik Standartlar

IIA Standardı 1300 – Kalite Güvence ve Geliştirme

Programı. Bu standart, iç denetim yöneticisinin, İD

faaliyetinin tüm yönlerini kapsayan bir kalite güvence ve

geliştirme programı hazırlamak ve bunu sürdürmek zorunda

olduğunu ortaya koymaktadır. Bu programın kapsamında

hem devamlı izlemeyi hem de düzenli aralıklarla yapılan öz-

değerlendirmeyi içine alan bir anlamda iç değerlendirme

programları ve yanı sıra dış değerlendirme programları

yürütülmelidir. IIA, İD faaliyetinin bu konudaki

yükümlülüğünün yalnızca mesleki standartlardan ileri

gelmediğini, aynı zamanda müşteriye karşı da en yüksek

kalite düzeyini idame ettirme yönünde bir sorumluluğa

sahip olduğunu belirtmiştir.

IIA Standardı 1311 – İç Değerlendirmeler. "Periyodik öz-

değerlendirmeler, genellikle Standartlara ve iç denetim

faaliyetine ilişkin daha kapsamlı ve bütüncül bir gözden

geçirme sunmaları bakımından devamlı izlemeden daha

farklı bir odak noktasına sahiptirler. Diğer yandan devamlı

izleme ise, genellikle görev seviyesinde yapılan gözden

geçirmelere odaklanır. Ayrıca periyodik öz-değerlendirmelerde,

her bir standarda uyulup uyulmadığı irdelenir. Devamlı izlemede

ise, sıklıkla daha çok görev seviyesindeki performans

standartlarına odaklanılır."

Standart 1312 – Dış Değerlendirmeler. Bu standart, İD

faaliyetinin, kurum dışından vasıflı ve bağımsız bir

değerlendirme uzmanı veya ekibi tarafından en azından beş

yılda bir kez bir dış değerlendirmeden geçirilmesini

gerektirmektedir. Buradaki amaç, İD faaliyetinin Standartlara

ve Etik Kurallarına ne denli uygun hareket ettiğini

değerlendirmektir.

Menkul Kıymetler Borsası Gereklilikleri

New York Menkul Kıymetler Borsasına Kote Edilmiş

Şirketler İçin Elkitabı: Borsaya kote edilmiş bütün

şirketlerin, borsaya kote edildikleri tarih itibarıyla ya da en

geç bu tarihi takip eden bir yıl içinde bir iç denetim

fonksiyonuna sahip olmaları gerekmektedir (Bölüm

303A.07(c)). Maddenin yorum kısmına göre, "kote edilmiş

şirketler, kote edilmiş şirketin risk yönetim süreçleri ve iç

kontrol sistemi hakkında devamlı değerlendirme

gerçekleştirip bu değerlendirmeleri şirketin yönetimine ve

denetim komitesine sunan bir iç denetim fonksiyonu

bulundurmak ve bu fonksiyonun varlığını korumak

zorundadırlar." Yine aynı elkitabına göre, "denetim komitesi,

gözetim fonksiyonlarını olabilecek en etkili şekilde yerine

getirmek için, yönetimle, bağımsız denetçilerle ve iç denetim

fonksiyonundan sorumlu olan kişilerle ayrı oturumlarda bir

araya gelmek zorundadır."

NASDAQ: NASDAQ, kote edilmiş şirketlerin bir iç denetim

fonksiyonuna sahip olmalarını şart koşmamaktadır.

Kaynaklar ve Önerilen Okumalar

Uluslararası İç Denetçiler Enstitüsü

» Uluslararası İç Denetim Mesleki Uygulama

Standartları, 1300 Serisi dâhil.

» İç Denetim Yetkinlik Çerçevesi

» IIA'nın Üçlü Hat Modeli: Üçlü Savunma Hattı

Güncellemesi

» İç Denetim: Yönetim Kurulu Üzerinden Değer Katma

» İç Denetim Azim Modeli

» Model İç Denetim Faaliyeti Yönetmeliği

Diğerleri

» Denetim Kalitesi Merkezi Dış Denetim Değerlendirme Aracı


14

Telif hakkı sahibi olan 1035 Greenwood Blvd., Suite 401, Lake Mary, Florida 32746, U.S.A. adresinde mukim The Institute of Internal Auditors ‘ dan, bütün önemli açılardan orijinali ile aynı olan çevirinin – değiştirilmesi onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası, IIA Inc.‘dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir yöntemle çoğaltılamaz. Bu belge, Türkiye İç Denetim Enstitüsü tarafından 27 Temmuz 2021 tarihinde çevrildi.


15

IIA Hakkında

İç Denetçiler Enstitüsü (IIA), iç denetim mesleğinin en tanınmış savunucusu, eğitmeni ve standart,

rehber ve sertifika sağlayıcısıdır. 1941 yılında kurulan IIA, bugün 170'den fazla ülke ve bölgeden

200.000'i aşkın üyeye hizmet vermektedir. Birliğin küresel genel merkezi Lake Mary, Fla., ABD'de

bulunmaktadır. Daha fazla bilgi almak için www.theiia.org adresini ziyaret edebilirsiniz.

Sorumluluğun Reddi Beyanı

IIA'nın bu belgeyi hazırlama ve yayımlama amacı, belgenin alıcılarına ilgili konu hakkında bilgi ve

eğitim vermektir. Bununla birlikte, bu materyalde belli somut durum ve koşullara dair kesin

cevaplar verilmemekte, dolayısıyla bu materyalin bir rehber gibi kabul edilip o amaçla kullanılması

hedeflenmemektedir. IIA, belli somut durum ve koşullar için doğrudan o durum veya koşul

hakkında bağımsız uzman tavsiyesi alınmasını tavsiye etmektedir. IIA, sadece bu belgeye istinat

ederek karar alan ve eylemde bulunan kimselere karşı kesinlikle hiçbir sorumluluk kabul

etmemektedir.

Telif Hakkı

Telif hakkı © 2021 The Institute of Internal Auditors, Inc. Tüm hakları saklıdır. Belgeyi

çoğaltma izni almak için lütfen [email protected] e-posta adresi üzerinden

bizimle iletişime geçin.

Global Genel Merkez

Uluslararası İç Denetçiler

Enstitüsü 1035 Greenwood

Blvd., Suite 149 Lake Mary, FL

32746, ABD

Telefon +1-407-937-1111

Faks: +1-407-937-1101

www.globaliia.org

http://www.globaliia.org/

mailto:[email protected]

http://www.globaliia.org/