Uygulama Önerisi 1000-1: İç Denetim Yönetmeliği 1. Resmî, yazılı bir iç denetim yönetmeliğinin bulunması, iç denetim faaliyetinin (biriminin) yönetiminde kritik önemdedir. Yönetmelik, yönetimin gözden geçirme ve kabulü ile yönetim kurulunun -toplantı tutanaklarında yer aldığı üzere- onayı için kabul görmüş bir metin sunar. Ayrıca, iç denetim faaliyetinin amaç, yetki ve sorumluluklarının yeterliliğinin dönemsel olarak değerlendirilmesini kolaylaştırır, iç denetim faaliyetinin rolünü belirler. Herhangi bir sorunun ortaya çıkması hâlinde, yönetmelik, iç denetim faaliyeti hakkında üst yönetim ve yönetim kuruluna resmî ve yazılı bir anlaşma işlevini de sağlar. 2. İç Denetim Yöneticisi, yönetmelikte açıklanan ve tanımlanan amaç, yetki ve sorumlulukların iç denetim faaliyetinin hedeflerine ulaşması için yeterli olmaya devam edip etmediğini dönemsel olarak değerlendirmekten sorumludur. Ayrıca, bu dönemsel değerlendirmenin sonuçlarını üst yönetime ve yönetim kuruluna bildirmekten sorumludur. * * * Yayın: Ocak 2009 Uygulama Önerisi 1110-1: Kurum İçi Bağımsızlık 1. Üst yönetim ve yönetim kurulunun desteği, iç denetim faaliyetine (birimine), denetlenenlerin işbirliğini sağlayabilmeleri ve denetçilerin işlerini her türlü müdahaleden uzak bir şekilde yapabilmeleri hususlarında yardımcı olur. 2. İç Denetim Yöneticisi, işlevsel (fonksiyonel) olarak yönetim kuruluna, idarî olarak kurumun genel müdürüne (CEO'ya) raporlama yaparak kurum içi bağımsızlığı kolaylaştırır. İç denetim yöneticisi, en azından, kurum içinde geniş bir denetim kapsamı ve alanı oluşturmak, görevle ilgili raporlamalara yeterli ilginin gösterilmesini sağlamak ve görev sonucunda verilen tavsiyelere göre uygun tedbirlerin alınmasını sağlamak konusunda yeterli yetkiye sahip bir kişiye raporlama yapmalıdır. 3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun: • iç denetim faaliyetinin yönetmeliğini onaylama, • iç denetimin risk değerlendirmelerini ve ilgili denetim planını onaylama, • İç Denetim Yöneticisi ile yönetimin bulunmadığı özel toplantılar yapmak da dahil, iç denetim faaliyetlerinin sonuçları hakkında ya da İç Denetim Yöneticisinin gerekli gördüğü başka konularda İç Denetim Yöneticisinden raporlar alma, • İç Denetim Yöneticisinin performans değerlemesi, tayini veya azliyle ilgili tüm kararları onaylama, • İç denetim faaliyetinin sorumluluk ve görevlerini yerine getirmesine engel olan kapsam veya bütçe kısıtlamaları olup olmadığını tespit etmek amacıyla, İç Denetim Yöneticisi ve yönetim nezdinde uygun inceleme ve araştırmaları yapma yetkilerini içerir. 4. İdarî Hiyerarşi: İdarî hiyerarşi, kurumun yönetim yapısı içinde kurulan ve iç denetim biriminin günlük iş ve işlemlerini kolaylaştıran hiyerarşik ilişkidir. İdarî hiyerarşi normal olarak * İç Denetim Yöneticisinin yıllık ücretini ve ücret ayarlamalarını onaylama,
58
Embed
-1: İç Denetim Yönetmeliği · • bütçeleme ve yönetim muhasebesi, • personel değerlendirmeleri ve ücretleri de dahil insan kaynakları yönetimi • iç haberleme ve bilgi
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Uygulama Önerisi 1000-1: İç Denetim Yönetmeliği
1. Resmî, yazılı bir iç denetim yönetmeliğinin bulunması, iç denetim faaliyetinin (biriminin)
yönetiminde kritik önemdedir. Yönetmelik, yönetimin gözden geçirme ve kabulü ile yönetim
kurulunun -toplantı tutanaklarında yer aldığı üzere- onayı için kabul görmüş bir metin sunar. Ayrıca, iç
denetim faaliyetinin amaç, yetki ve sorumluluklarının yeterliliğinin dönemsel olarak
değerlendirilmesini kolaylaştırır, iç denetim faaliyetinin rolünü belirler. Herhangi bir sorunun ortaya
çıkması hâlinde, yönetmelik, iç denetim faaliyeti hakkında üst yönetim ve yönetim kuruluna resmî ve
yazılı bir anlaşma işlevini de sağlar.
2. İç Denetim Yöneticisi, yönetmelikte açıklanan ve tanımlanan amaç, yetki ve sorumlulukların iç
denetim faaliyetinin hedeflerine ulaşması için yeterli olmaya devam edip etmediğini dönemsel olarak
değerlendirmekten sorumludur. Ayrıca, bu dönemsel değerlendirmenin sonuçlarını üst yönetime ve yönetim kuruluna bildirmekten sorumludur. * * *
Yayın: Ocak 2009
Uygulama Önerisi 1110-1:
Kurum İçi Bağımsızlık
1. Üst yönetim ve yönetim kurulunun desteği, iç denetim faaliyetine (birimine), denetlenenlerin
işbirliğini sağlayabilmeleri ve denetçilerin işlerini her türlü müdahaleden uzak bir şekilde
yapabilmeleri hususlarında yardımcı olur.
2. İç Denetim Yöneticisi, işlevsel (fonksiyonel) olarak yönetim kuruluna, idarî olarak kurumun genel
müdürüne (CEO'ya) raporlama yaparak kurum içi bağımsızlığı kolaylaştırır. İç denetim yöneticisi, en
azından, kurum içinde geniş bir denetim kapsamı ve alanı oluşturmak, görevle ilgili raporlamalara
yeterli ilginin gösterilmesini sağlamak ve görev sonucunda verilen tavsiyelere göre uygun tedbirlerin
alınmasını sağlamak konusunda yeterli yetkiye sahip bir kişiye raporlama yapmalıdır.
3. İşlevsel hiyerarşi (işlevsel raporlama) terimi yönetim kurulunun:
• iç denetim faaliyetinin yönetmeliğini onaylama, • iç denetimin risk değerlendirmelerini ve ilgili denetim planını onaylama,
• İç Denetim Yöneticisi ile yönetimin bulunmadığı özel toplantılar yapmak da dahil, iç denetim
faaliyetlerinin sonuçları hakkında ya da İç Denetim Yöneticisinin gerekli gördüğü başka konularda İç
Denetim Yöneticisinden raporlar alma,
• İç Denetim Yöneticisinin performans değerlemesi, tayini veya azliyle ilgili tüm kararları onaylama,
• İç denetim faaliyetinin sorumluluk ve görevlerini yerine getirmesine engel olan kapsam veya bütçe
kısıtlamaları olup olmadığını tespit etmek amacıyla, İç Denetim Yöneticisi ve yönetim nezdinde
uygun inceleme ve araştırmaları yapma yetkilerini içerir.
4. İdarî Hiyerarşi: İdarî hiyerarşi, kurumun yönetim yapısı içinde kurulan ve iç denetim biriminin
günlük iş ve işlemlerini kolaylaştıran hiyerarşik ilişkidir.
İdarî hiyerarşi normal olarak
* İç Denetim Yöneticisinin yıllık ücretini ve ücret ayarlamalarını onaylama,
• bütçeleme ve yönetim muhasebesi,
• personel değerlendirmeleri ve ücretleri de dahil insan kaynakları yönetimi
• iç haberleşme ve bilgi akışları,
• iç denetim faaliyetinin politikaları ve prosedürlerinin yönetimi
konularını kapsar.
Yayın: Ocak 2009
Uygulama Önerisi 1111-1:
Yönetim Kurulu ile Etkileşim
1. Bu doğrudan iletişim, İç Denetim Yöneticisinin yönetim kurulunun denetim, mali raporlama,
kurumsal yönetişim ve kontrolle ilgili genel gözetim sorumluluklarına ilişkin toplantılarına düzenli
olarak katıldığı zaman gerçekleşir. İç Denetim Yöneticisinin bu toplantılara katılması, stratejik
planların, faaliyetlere ilişkin gelişmelerin değerlendirilmesini ve yüksek seviyedeki risklerin,
sistemlerin, prosedürlerin veya kontrol gibi meselelerin erken aşamalarda ele alınmasını sağlar.
Toplantılara katılım, ayrıca, iç denetim faaliyetinin (biriminin) planları ve çalışmaları hakkında bilgi
alışverişinde bulunma ve tarafların karşılıklı menfaatini ilgilendiren diğer hususlarda birbirlerini
bilgilendirme fırsatı sağlar.
2. Bu tarz iletişim ve etkileşim, ayrıca, İç Denetim Yöneticisinin yönetim kurulu ile özel olarak en az
yılda bir kez toplandığında da gerçekleşir.
Son Güncelleme: Ocak 2009
Uygulama Önerisi 1120-1:
Bireysel Objektiflik
1. Bireysel objektiflik, iç denetçilerin görevlerini, iş sonucunda çıkan ürüne gerçekten ve dürüst bir
şekilde inanacakları ve bu ürünün kalitesinden önemli bir taviz vermeyecekleri bir şekilde yapmalarını
ve yürütmelerini gerektirir.
İç denetçiler, objektif hüküm verme kabiliyetlerini olumsuz etkileyebilecek durumlara girmemeli ve
itilmemelidir.
2. Bireysel objektiflik, İç Denetim Yöneticisinin, görevlendirmeleri potansiyel veya fiili menfaat
çatışmalarını ve önyargıları önleyecek şekilde düzenlemesini, iç denetim personelinden, muhtemel
çıkar çatışmaları ve önyargılar hakkında düzenli ve dönemsel olarak bilgi almasını ve -uygulanabilir
olması hâlinde iç denetçiler arasındaki görev dağılımını dönemsel rotasyona bağlamasını içerir.
3. Görev raporları yayınlanmadan önce, sonuçların gözden geçirilmesi, denetim işinin objektif bir
şekilde yapıldığından makul ölçüler içinde emin olmaya yardımcı olur.
4. İç denetçinin sistemler için kontrol standartları tavsiye etmesi ve uygulanmadan önce prosedürleri
gözden geçirmesi, objektifliğini olumsuz etkilemez. Fakat denetçinin sistem tasarlaması, kurması,
işletmesi ve bu sistemlerin prosedürlerini yazmasının objektifliğini bozacağı düşünülür.
5. İç denetçinin zaman zaman denetim dışı işler de yapması ve bunun, raporlama sürecinde tam ve
eksiksiz açıklanması, denetçinin bağımsızlığını zayıflatmaz. Ancak iç denetçinin objektifliğini
etkileyebilecek olumsuzlukları önlemek için, hem iç denetçinin hem de üst yönetimin dikkatli hareket
etmesi gerekir.
Yayın: Ocak 2009
Uygulama Önerisi 1130-1: Bağımsızlık veya
Objektifliğin Bozulması
1. İç denetçilerin, bağımsızlık ve objektifliği fiilî veya potansiyel olarak bozucu bir etkenin varlığına
dair makul gerekçelerin söz konusu olduğu veya bozucu olabilecek etkenlerin varlığına dair
şüphelerinin olduğu durumları, İç Denetim Yöneticisine bildirmeleri gerekir. İç Denetim Yöneticisi,
bozucu bir etkenin var olduğuna veya olabileceğine karar verirse, bu iç denetçilere başka görevler
vermesi gerekir.
2. Kapsam sınırlandırması, iç denetim faaliyetine getirilen ve faaliyetin hedef ve planlarını
gerçekleştirmesine engel olan bir kısıtlama anlamına gelir. Bir kapsam sınırlandırmasıyla birçok şey
yanında,
• İç denetim yönetmeliğinde tanımlanan yetki alanları,
• Görevlerin ifası için gereken kaynaklara, personele, demirbaşlara ve ilgili
mahallere erişim imkânı,
• Onaylanmış görev iş programı,
• Gereken görev prosedürlerinin uygulanması,
• Onaylanmış personel planı ve mali bütçe de kısıtlanabilir.
3. Bir kapsam sınırlandırmasının ve bu sınırlandırmanın muhtemel etkilerinin yönetim kuruluna,
tercihen yazılı olarak bildirilmesi gerekir. İç Denetim Yöneticisinin, daha önce yönetim kuruluna
bildirilmiş ve onun tarafından kabul edilmiş bulunan kapsam (yetki) sınırlandırmaları hakkında, bu
birimlere tekrar bilgi vermenin gerekli olup olmadığını değerlendirmesi gerekir. Bu, özellikle
kurumda, yönetim kurulu veya üst yönetimde değişiklik olduğunda veya başka değişiklikler
olduğunda gerekli olabilir.
4. İç denetçinin, personel, denetlenen, müşteri, tedarikçi veya işle ilgili başka kişilerden
objektifliğinin bozulması görüntüsü yaratabilecek şekilde ücret, hediye ve eğlence kabul etmemesi
gerekir. Aksi halde denetçinin objektifliğinin bozulduğu izlenimi o denetçinin hem yapmakta olduğu
hem de yapacağı görevlere gölge düşürebilir. Üstlenilen görevlerin özel şartları, ücret veya hediye
almayı haklı çıkartan bir etken olarak görülmemelidir. Genel olarak herkese verilen ve çok küçük bir
değere sahip olan (kalemler, ajandalar veya numuneler gibi) tanıtım malzemelerinin alınması da iç
denetçinin meslekî karar ve yargılarına engel olmamalıdır. İç denetçiler, kendilerine teklif edilen
bütün değeri yüksek para veya hediyeleri kendi âmirlerine derhal bildirmelidir.
Yayın: Ocak 2009 Uygulama
Önerisi 1130.A1-1:
Denetçilerin Daha Önceden Sorumlu Oldukları Faaliyetlere İlişlkin Değerlendirmeleri
1. İç denetim faaliyetine katılan ya da geçici olarak iç denetimle görevlendirilenler, an az bir yıl
geçmedikçe, daha önce kendilerinin yürüttüğü veya yönetim sorumluluğu aldıkları faaliyetleri
denetlemekle görevlendirilmemelidir. Aksi halde bu kişilerin objektifliğinin bozulacağı varsayılır; bu
sebeple o görevle ilgili denetimin gözetim ve kontrolünde ve görev
sonuçlarının raporlanmasında ilave özen ve dikkat gösterilmelidir.
* * *
Yayın: Ocak 2009 Uygulama
Önerisi 1130.A2-1:
Diğer (Denetim Dışı) İşler Karşısında İç Denetçinin Sorumluluğu
1. İç denetçilerin, dönemsel iç denetim incelemeleri ve değerlendirmelerine tâbi olan denetim dışı
fonksiyon veya görevler için sorumluluk üstlenmeyi kabul etmemeleri gerekir. Bu tür bir sorumluluk
üstlenmişlerse artık iç denetçi olarak görev yapmıyorlar demektir.
2. Bir iç denetim birimi, İç Denetim Yöneticisi veya iç denetçi, iç denetim biriminin
denetleyebileceği bir operasyonel yükümlülükten sorumlu ise ya da kurum yönetimi ona böyle bir
görev vermeyi düşünüyorsa, iç denetçinin bağımsızlık ve objektifliği bozulabilir. İç Denetim
Yöneticisinin, bunun bağımsızlık ve objektiflik üzerindeki muhtemel etkilerini değerlendirirken, en
azından, aşağıdaki etkenleri dikkate alması gerekir:
• HA Uluslararası İç Denetim Standartları (Standartlar) ve Etik Kurallarının gerekleri,
• Hissedarlar, yönetim kurulu, denetim komitesi, kurum yönetimi, idarî merciler, kamu kuruluşları,
yasama organları ve toplumsal çıkar grupları gibi paydaşların beklentileri,
• İç denetim faaliyeti yönetmeliğinde verilen izinler ve/veya öngörülen kısıtlamalar,
• Standartların gerektirdiği açıklamalar,
• İç denetçinin üstlendiği görev veya faaliyetlerin daha sonraki denetim kapsamı.
• İlgili denetim dışı icraî görevin kurum açısından önemi (gelirler, giderler, itibar ve etki açılarından)
• Görevin uzunluğu veya süresi ve üstlenilen sorumluluğun kapsamı
• Görevler ayrılığının yeterliliği
• İç denetçinin objektifliğinin risk altında olabileceğine dair bir delil veya bir sicil kaydı olup olmadığı
3. İç denetim yönetmeliği, iç denetçiye denetim dışı görevlerin verilmesi konusunda belirli özel
kısıtlamalar içeriyor veya sınırlandırıcı bir dil kullanıyorsa, bu kısıtlamaların açıklanması ve üst
yönetimle tartışılması gerekir. Üst yönetim yine de bu görevlendirme üzerinde ısrar ediyorsa, konunun
açıklanması ve Yönetim Kurulu ile tartışılması gerekir. Yönetmelik bu konuda herhangi bir hüküm
içermiyorsa, aşağıdaki bentlerde verilen tavsiyelere uyulmalıdır. Aşağıdaki tavsiyeler, yönetmeliğin
lâfzına bağlı olarak değerlendirilmelidir.
4. İç denetim faaliyeti (birimi) operasyonel (icraî) sorumluluklar üstlendiğinde ve bu operasyonlar
denetim planına dahil edildiğinde, İç Denetim Yöneticisinin aşağıdakileri düşünmesi gerekir:
• İç Denetim Yöneticisine raporlayan alanların denetimlerinin tamamlanması için sözleşmeli olarak
üçüncü şahıs firmalar veya dış denetçiler kullanılarak objektifliğin bozulması tehlikesini asgariye
indirmek.
• İç Denetim Yöneticisine raporlayan alanlarla ilgili icraî sorumluluk üstlenen denetçilerin bu
• İç Denetim Yöneticisine raporlayan alanlarla ilgili güvence hizmeti veren denetçilerin gözetimini
gerçekleştirmek ve değerlendirme sonuçlarını üst yönetim ve Yönetim Kuruluna raporlamak.
• Denetçinin denetim dışı faaliyetle ilgili icraî görev ve sorumluluklarını, söz konusu faaliyetin
kurum açısından önemini (gelirler, giderler veya ilgili diğer bilgiler açısından) ve o faaliyeti
denetleyenlerin ilişkisini açıklamak.
5. İç Denetim Yöneticisine raporlayan alanların denetim raporlarında ve denetçinin Yönetim
Kuruluyla standart iletişiminde, iç denetçinin icraî görev ve sorumluluklarının açıklanması gerekir.
Denetim sonuçları, üst yönetimle ve/veya ilgili uygun taraflarla tartışılabilir de. Bozucu etkenin
açıklanması, İç Denetim Yöneticisinin idari sorumluluk taşıdığı fonksiyonlara dair denetim
çalışmasının iç denetim faaliyeti dışındaki bir tarafça gözden geçirilmesi ihtiyacını ortadan kaldırmaz. • * * Yayın: Ocak 2009
Uygulama Önerisi 1200-1 Yeterlilik ve Azamî Meslekî Özen ve Dikkat
1. Yeterlilik ve azamî meslekî özen ve dikkat, İç Denetim Yöneticisinin ve her iç denetçinin kendi
sorumluluğudur. Öyle ki, İç Denetim Yöneticisi, her görev için görevlendirilen kişilerin hepsinin
görevi gerektiği gibi ve usulünce yapmak için gereken bilgi, beceri ve diğer vasıflara sahip olmasını
sağlamalıdır.
2. Azamî meslekî özen ve dikkat, Etik Kurallarına ve gerektiğinde iç denetçilerin sahip oldukları
diğer meslekî unvanların gerektirdiği davranış kuralları yanında kurumun davranış kurallarına da
uymayı gerektirir. IIA'nın Etik Kuralları, iç denetimin tanımının ötesinde iki önemli unsur daha
içermektedir:
a. İç denetim mesleği ve uygulamasıyla ilgili ilkeler: Dürüstlük, objektiflik, gizlilik ve yetkinlik.
b. İç denetçilerden beklenen davranış normlarını izah eden ve tanımlayan Davranış Kuralları.
Bu kurallar, ilkelerin fiilî uygulamalara dönüştürülmesinde kullanılabilecek bir araçtır ve iç denetçilerin etik davranışlarını yönlendirme amacına yöneliktir. * * * Yayın: Ocak 2009
Uygulama Önerisi 1210-1:
Yeterlilik 1. Yukarıdaki standartta atfedilen bilgi, beceri ve diğer vasıflar aşağıdaki hususları içerir:
• Görevlerin ifası için, iç denetim standartları, prosedürleri ve tekniklerinin uygulanmasında meslekî
yeterlilik. Yeterlilik, geniş ve kapsamlı teknik araştırma ve yardımlardan istifade imkânı olmasa da,
mevcut bilgiyi karşılaşılması muhtemel durumlara uygulama ve bu tür durumlarla başa çıkabilme
yeteneği anlamına gelir.
• Görevi kapsamında mali kayıt ve raporlarla çok çalışan iç denetçilerin muhasebe ilkeleri ve
teknikleri hakkındaki yeterliliği.
• Suistimal belirtilerini teşhis etme bilgisi
• Teknolojik risk ve kontrollere dair anahtar bilgiler ve mevcut teknoloji tabanlı denetim teknikleri
bilgisi
• Örnek iş uygulamalarından sapmaların önemini ve etkilerini anlamak ve değerlendirmek için,
yönetim ilkelerinin anlaşılması. Yönetim ilkelerini anlamak, sahip olduğu geniş bilgiyi karşılaşılması
muhtemel durumlara uygulama, bunlardan önemli sapmaları fark etme ve makul çözümlere ulaşmak
için gereken araştırmaları yapabilme yeteneği anlamına gelir.
• Muhasebe, ekonomi, ticaret hukuku, vergilendirme, finans, kantitatif yöntemler, bilgi teknolojisi,
risk yönetimi ve suistimal gibi bilim dalları ve iş konularının temellerinin bilinmesi ve idrak edilmesi.
"İdrak", mevcut veya muhtemel sorunları fark etme ve bu konuda yapılması gereken ek araştırmaları
veya yardım alınması gereken konuları tespit etme yeteneği
anlamına gelir.
• İnsanlarla çalışma ve iletişim kurma, insan ilişkilerini anlama ve denetlenenlerle tatmin edici ilişkiler
kurabilme becerileri.
• Görevin hedefleri, değerlendirmeler, sonuçlar ve tavsiyeler gibi konuları açıkça, etkili bir şekilde
açıklayabilmek için gereken sözlü ve yazılı iletişim becerileri
2. İlgili işin kapsamını ve sorumlulukların düzeyini dikkate alarak, iç denetim kadrolarına atama
yapılmasında aranacak olan uygun eğitim ve tecrübe kıstasları, İç Denetim Yöneticisi tarafından tespit
edilir. İç Denetim Yöneticisi, her müstakbel denetçinin meslekî vasıflarının ve yeterliliğine dair makul
bir güvence sağlar.
3. İç denetim faaliyeti (birimi), kurum içinde denetim görevinin yapılması için gerekli olan bilgi,
beceri ve diğer vasıflara birim olarak sahip olmalıdır. İç denetim biriminin bilgi, beceri ve diğer
vasıflarının yıllık bir değerlendirmesi, sürekli meslekî gelişim, işe alma veya aynı zamanda hizmeti
kurum dışından alma yoluyla ele alınabilecek fırsat alanlarının belirlenmesine yardımcı olur.
4. 'Sürekli meslekî gelişim', iç denetim personelinin yeterliliğinin sürdürülmesi için gereklidir.
5. İç Denetim Yöneticisi, iç denetim biriminin tam bir yeterliliğe sahip olmadığı faaliyet sahalarını
desteklemek ve tamamlamak için, iç denetim birimi dışından uzmanların yardımını
sağlayabilir. • * *
Yayın: Ocak 2009Uygulama Önerisi 1210.A1-1:
İç Denetim Faaliyetini Tamamlamak veya Desteklemek Amacıyla Hizmetlerin Dışarıdan
Temini
1. İç denetim elemanlarının her birinin ilgili bütün bilim dallarında uzman olması gerekmez. İç
denetim faaliyetinin, muhasebe, denetim, iktisat, finans, istatistik, bilgi teknolojileri, mühendislik,
vergi, hukuk ve çevre sorunları gibi bilim dallarında ve iç denetim faaliyetinin sorumluluklarını yerine
getirebilmesi için gerek duyulan diğer alanlarda uzman personeli bulunmalı ya da bu konularda uzman
olan dış hizmet sağlayıcılarından istifade etmelidir.
2. Dış hizmet sağlayıcısı (taşeron) terimi, belirli bir bilim dalında veya alanda özel bilgi, beceri ve
deneyim sahibi olan ve kurumdan bağımsız olan bir kişi veya firma anlamına gelir. Dış hizmet
sağlayıcıları arasında, bunlarla sınırlı kalmamak kaydıyla, sigorta aktüerleri, muhasebeciler, kıymet
takdir uzmanları (muhamminler), kültür ve dil uzmanları, çevre uzmanları, suistimal tahkikatı
uzmanları, avukatlar, mühendisler, jeologlar, güvenlik uzmanları, istatistikçiler, bilgi teknoloji
uzmanları, kurumun kendi dış denetçileri veya başka denetim kurumları ve firmaları sayılabilir. Bir
dış hizmet sağlayıcısı, yönetim kurulu, üst yönetim veya İç Denetim Yöneticisi tarafından tutulabilir
ve görevlendirilebilir.
3. İç Denetim faaliyeti, dış hizmet sağlayıcılarını diğer amaç ve konuların yanı sıra aşağıda sayılan
amaçlar için de kullanabilir:
• Görev iş çizelgesinde öngörülen amaçlara ulaşılması.
• Bilgi teknolojisi, istatistik, vergiler ve dil çeviri hizmetleri gibi uzmanlık bilgi ve becerilerine
ihtiyaç olan denetim faaliyetleri,
• Arazi ve binalar, sanat eserleri, değerli taşlar, mücevherler, yatırımlar ve karmaşık mali araçlar gibi
varlıkların kıymet takdiri işleri,
• Maden ve petrol kaynakları gibi belirli varlıkların miktarının veya fiziksel durumunun tespit
edilmesi,
• Devam eden sözleşme ve projelerde tamamlanan ve tamamlanacak işlerin ölçülmesi,
• Suistimal ve güvenlik soruşturmaları
• Personel ücret ve haklarıyla ilgili aktüeryal tespitler gibi, uzmanlık yöntemleri gerektiren tespit ve
hesaplamalar,
• Hukukî, teknik ve idarî gereklerin ve hükümlerin yorumlanması,
• Uluslararası İç Denetim Standartları (Standartlar) ile uyumlu olacak şekilde iç denetim faaliyetinin
(biriminin) kalite güvence ve geliştirme programının değerlendirilmesi,
• Birleşme ve devralmalar,
• Risk yönetimi ve diğer konularla ilgili danışmanlık.
4. İç Denetim Yöneticisi, bir dış hizmet sağlayıcısının hizmetlerinden istifade etmek istediği takdirde,
ilgili dış hizmet sağlayıcısının yapılacak olan görevle ilgili bağımsızlığını, objektifliğini ve bu konuda
gereken vasıflara sahip olup olmadığını değerlendirmelidir. Dış hizmet sağlayıcısının üst yönetim
veya yönetim kurulu tarafından seçildiği ve İç Denetim Yöneticisinin o dış hizmet sağlayıcısının
hizmetlerinden yararlanmak istediği durumlarda da bu değerlendirme yapılmalıdır. Bu seçim başkaları
tarafından yapıldığı ve İç Denetim Yöneticisi, kendi yaptığı değerlendirme sonucunda, o dış hizmet
sağlayıcısının hizmetlerinden istifade etmesine gerek olmadığı sonucuna vardığı takdirde, yapılan bu
değerlendirmenin sonuçları duruma göre üst yönetime ya da yönetim kuruluna rapor edilmelidir.
5. İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevi yapmak ve yürütmek için gereken bilgi,
beceri ve diğer vasıflara sahip olup olmadığını tespit eder. Bu vasıfların değerlendirilmesi ve
tespitinde, İç Denetim Yöneticisi aşağıdakileri dikkate almalıdır.
• Dış hizmet sağlayıcısının ilgili bilim dalında yeterliliğini ve uzmanlığını kanıtlayan meslekî ruhsat,
sertifika veya diğer belgeler,
• Dış hizmet sağlayıcısının uygun bir meslek kuruluşuna üye olup olmadığı ve o kuruluşun etik
kurallarına uyup uymadığı,
• Dış hizmet sağlayıcısının itibarı. Bu amaçla, dış hizmet sağlayıcısının iş ve hizmetlerini tanıyan
başka kişi ve kurumlarla temas kurulabilir,
• Dış hizmet sağlayıcısına yaptırılmak istenilen iş ile ilgili deneyimi
• Dış hizmet sağlayıcısının o belirli görevle ilgili olan bilim dallarında aldığı eğitim ve öğretimin
niteliği ve düzeyi,
• Dış hizmet sağlayıcısının, ilgili kurumun faaliyet gösterdiği sektördeki bilgi ve deneyimi.
6. İç Denetim Yöneticisinin, görev sırasında bağımsızlık ve objektifliğin korunmasını sağlamak
amacıyla, dış hizmet sağlayıcısının kurumla ve iç denetim birimiyle ilişkilerini de değerlendirmesi
gerekir. Bu değerlendirme kapsamında, İç Denetim Yöneticisi, dış hizmet sağlayıcısının görevini ifa
ederken veya sonuçları rapor ederken tarafsız ve önyargısız hüküm ve karar vermesine engel
olabilecek herhangi bir mali, örgütsel veya kişisel ilişkisinin bulunmadığını doğrular.
7. Dış hizmet sağlayıcısının bağımsızlık ve objektifliğini değerlendirirken, İç Denetim Yöneticisi şu
etkenleri dikkate alır:
• Dış hizmet sağlayıcısının kurumda herhangi bir mali çıkar veya pay sahibi olup olmadığı,
• Dış hizmet sağlayıcısının kurum içinde yönetim kurulu, üst yönetim veya başka kişilerle kişisel veya
meslekî ilişkisi,
• Dış hizmet sağlayıcısının denetime konu olan kurumla veya faaliyetlerle geçmiş ilişkileri,
• Dış hizmet sağlayıcısının kurum için yürütmekte olduğu diğer devam eden hizmetlerin niteliği ve
kapsamı,
• Dış hizmet sağlayıcısının ücreti veya başka gelir ve çıkarları.
8. Dış hizmet sağlayıcısı aynı zamanda kurumun dış denetçisi ise ve ilgili görev genişletilmiş denetim
hizmetlerinden oluşuyorsa, İç Denetim Yöneticisinin, yapılan işlerin dış denetçinin bağımsızlığını
zayıflatmadığından emin olması gerekir. Genişletilmiş denetim hizmetleri terimi, dış denetçiler
arasında genel kabul gören denetim standardı gereklerinin ötesindeki hizmetler anlamına gelir.
Kurumun dış denetçileri aynı zamanda kurumun üst yöneticileri, yöneticileri veya çalışanları olarak
görev yapıyorsa veya böyle görünüyorsa, onların bağımsızlığı bozulmuş sayılır. Buna ek olarak, dış
denetçiler kuruma vergi ve benzeri konularda danışmanlık gibi başka hizmetler de verebilir. Ancak,
bağımsızlığın, kuruma verilen hizmetlerin tamamı dikkate alınarak değerlendirilmesi gerekir.
9. İç denetim faaliyetinin amaçları karşısında, denetim işinin kapsamının yeterliliğini belirlemek için
İç Denetim Yöneticisi, dış hizmet sağlayıcısının işlerinin kapsamı hakkında yeterli bilgi edinmelidir.
Bu konuların ve ilgili diğer konuların bir denetim bildirim yazısı (engagement letter) veya
sözleşmeyle kayda geçirilmesi uygun olabilir. İç Denetim Yöneticisi, aşağıda sayılan konuları dış
hizmet sağlayıcısı ile birlikte gözden geçirmelidir:
• İlgili kayıtlara, personele, demirbaşlara ve ilgili mahallere erişim,
• Uygulanacak prosedürler ve kullanılacak varsayımlar,
• Varsa, görevle ilgili çalışma kâğıtlarının mülkiyeti ve zilyetliği,
• Görevin ifası sırasında edinilen bilgilerin gizliliği ve bu konudaki kısıtlamalar,
• Mümkünse, uluslararası iç denetim standartlarına ve iç denetim faaliyetinin çalışma standartlarına
uyum.
10. Bir dış hizmet sağlayıcısının yaptığı işi incelerken, İç Denetim Yöneticisi, yapılan işin
yeterliliğini değerlendirmelidir. Bu değerlendirme, toplanan ve edinilen bilgilerin varılan sonuçlar için
ve önemli istisnaların çözümlenmesi ya da başka olağandışı konular için makul bir temel yaratmak
açısından yeterli olup olmadığı değerlendirmesini de kapsar.
11. Görevle ilgili raporların İç Denetim Yöneticisi tarafından düzenlendiği ve bir dış hizmet
sağlayıcısından faydalanıldığı durumlarda, İç Denetim Yöneticisi, gerektiğinde, bu hizmetlere atıfta
bulunabilir. Görevle ilgili raporlarda dış hizmet sağlayıcısının hizmetlerine atıfta bulunulmadan önce,
bunun dış hizmet sağlayıcısına bildirilmesi ve gerekirse, onun onayının
alınması gerekir. • 2 *
Yayın: Ocak 2009
Uygulama Önerisi 1220-1: Azamî
Meslekî Özen ve Dikkat
1. Azamî mesleki özen ve dikkat, aynı veya benzer durum ve koşullarda, makul sınırlar içinde tedbirli
ve ehil bir iç denetçiden beklenen beceri, özen ve dikkatin gösterilmesi anlamına gelir. Bu nedenle,
meslekî özen ve dikkat seviyesi, üstlenilen iş ve görevin karmaşıklık düzeyine uygun olur. Meslekî
özen ve dikkat sergilemek, iç denetçilerin, suistimal, kasdî suç, hatâ, ihmal, verimsizlik, yanlış
kullanım, etkisizlik, yararsızlık ve çıkar çatışmaları olasılığı karşısında olduğu gibi usulsüzlük
olasılığının en yüksek olduğu koşul ve faaliyetler konusunda da uyanık ve tetikte olmalarını gerektirir.
Bu ayrıca, iç denetçilerin, yetersiz kontrolleri tespit etmesini ve kontrol konusunda kabul edilebilir
prosedür ve uygulamalara uymak için geliştirilmesi gereken konularda tavsiyelerde bulunmalarını
gerektirir.
2. Azamî özen ve dikkat standardı, hiç hatâ yapmamayı ya da olağanüstü performans göstermeyi
değil, sadece makul dikkat ve beceriyi gerektirir. Azamî özen ve dikkat standardı, iç denetçinin
inceleme, kontrol ve denetimleri makul sınırlar içinde yapmasını gerektirir. Bundan dolayı, iç
denetçiler, hiçbir aykırılığın veya usulsüzlüğün olmayacağı konusunda mutlak bir garanti veremez.
Bununla birlikte, iç denetçi, bir iç denetim görevini üstlendiğinde,
önemli usulsüzlük veya aykırılık olasılıklarını dikkate almalıdır. * * *
2 Çıktılar ve sürelerle birlikte işin hedefleri ve kapsamı, • Görev raporları ve bildirimlerine dahil edilmesi beklenen özel konular,
Yayın: Ocak 2009
Uygulama Önerisi 1230-1:
Sürekli Meslekî Gelişim
1. İç denetçiler, meslekî yeterliliklerini sürdürmek ve arttırmak amacıyla eğitimlerini devam
ettirmekten sorumludur. İç denetçilerin, iç denetim standartları, prosedürleri ve tekniklerindeki
gelişmeleri ve IIA'in Uluslararası Meslekî Uygulama Çerçevesini (UMUÇ) güncel olarak takip
etmeleri gerekir. Bu sürekli meslekî eğitim (CPE); IIA gibi meslek örgütlerine üyelikle, katılımla ve
faaliyetlerinde gönüllü olarak çalışarak, konferanslara, seminerlere, üniversite kurslarına, şirket içi
eğitim programlarına katılarak, üniversite eğitimini tamamlayarak ve kendi kendine eğitim
programlarına girerek ve araştırma projelerine katılarak alınabilir.
2. İç denetçilerin, meslekî yeterliliklerini, Uluslararası İç Denetçi® (CIA) unvanı ve Uluslararası İç
Denetçiler Enstitüsü'nün (IIA) verdiği başka unvanlar yanında, iç denetimle ilgili başka meslekî unvan
sertifikalarını alarak göstermeleri beklenir ve teşvik edilir.
3. İç denetçiler, kendi kurumlarının yönetişim, risk ve kontrol süreçleriyle ilgili yeterliliklerini
sürdürebilmek amacıyla, kendi kurumlarının faaliyetleri ve sektörüyle ilgili olarak sürekli meslekî
eğitim (CPE) çabası içinde olmaları için teşvik edilir.
4. Bilgi teknolojileri, vergi, aktüeryal hesaplama veya sistem tasarımı gibi uzmanlık gerektiren
denetim ve danışmanlık işi yapan iç denetçiler, işlerini yetkinlikle icra etmelerini mümkün kılacak
şekilde sürekli meslekî gelişim çerçevesinde uzmanlık eğitimi alabilirler.
5. Meslekî unvan sertifikası bulunan iç denetçiler, bu sertifikanın gereklerini yerine getirebilmek için
yeterli miktarda sürekli meslekî eğitim (CPE) etkinliğine katılmakla yükümlüdür.
6. Hâlen uygun meslekî unvan sertifikası bulunmayan iç denetçiler, unvan sertifikasını almak için bir
eğitim programına katılmaya ve/veya bu amaçla ferdî olarak çalışmaya teşvik
edilirler. * * *
Yayın: Ocak 2009
Uygulama Önerisi 1300-1:
Kalite Güvence ve Geliştirme Programı
1. İç Denetim Yöneticisi, çalışma kapsamı Standartlardaki ve iç denetimin tanımındaki tüm
faaliyetleri içine alan bir iç denetim faaliyeti (birimi) kurmaktan sorumludur. Bunun sağlanması için,
'Standart 1300' İç Denetim Yöneticisinin bir kalite güvence ve geliştirme programı (KGGP)
hazırlamasını gerekli kılar.
2. İç Denetim yöneticisi, iç denetim faaliyetinden yararlanan çeşitli hak sahiplerine, iç denetim
faaliyetinin,
• İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla uyumlu olması gereken iç denetim
yönetmeliğine uygun çalıştığı,
• Etkili ve verimli bir şekilde faaliyet gösterdiği,
• Paydaşlar ve diğer hak sahiplerinin gözünde katma değer yaratıcı ve kurumun faaliyetlerini
iyileştirici olarak görüldüğü konusunda makul bir güvence sağlamak için tasarlanan süreçlerin
uygulanmasından sorumludur.
Bu süreçler, gerekli gözetim, dönemsel iç değerlendirmeler, kalite güvencesinin sürekli gözlenmesi ve
dönemsel dış değerlendirmeleri içine alır.
3. KGGP, İç Denetimin Tanımında, Standartlarda ve Etik Kuralları ve mesleğin en iyi
uygulamalarındaki gibi, iç denetim faaliyetinin (biriminin) yönetim ve faaliyetlerinin tüm cephelerini
kapsamalıdır. KGGP, İç Denetim Yöneticisi tarafından veya doğrudan onun gözetimi altında hayata
geçirilir. Küçük iç denetim faaliyetleri (birimleri) hariç tutulursa, İç Denetim Yöneticisi, genellikle
KGGP sorumluluklarının çoğunu astlarına dağıtır. Büyük ve karmaşık ortamlarda (çok sayıda iş
biriminin veya mekânının olması gibi), İç Denetim Yöneticisi denetimden bağımsız ve iç denetim
faaliyetinin çeşitli katmanlarıyla danışma hâlinde olan resmî bir KGGP hazırlar. Bu bağımsız
fonksiyon, bir iç denetim yöneticisi tarafından yönetilmelidir. Bu yönetici (ve sınırlı sayıda personel)
başarılı bir KGGP'nin gerektirdiği faaliyetleri idare eder ve izler.
Uygulama Önerisi 1310-1: Kalite Güvence ve Geliştirme Programının Gereklilikleri
1. Bir Kalite Güvence ve Geliştirme Programı (KGGP), iç denetim faaliyeti tarafından
gerçekleştirilen tüm danışmanlık ve denetim faaliyetlerinin dönemsel olarak ve devamlı suretle
değerlendirilmesi demektir. Bu devamlı ve dönemsel değerlendirmeler, (her ikisi de mutat olan) zor ve
kapsamlı süreçlerden; danışmanlık ve iç denetim işlerinin performansının devamlı izlenip test
edilmesinden ve İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyumun dönemsel olarak
onaylanmasından meydana gelir. Bu, ayrıca, devamlı ölçümler ve performans ölçümlerinin (yani,
denetim planının başarıyla tamamlanması, çevrim süresi, kabul edilen tavsiyeler ve müşteri
memnuniyeti gibi) analizlerini içine alır. Bu değerlendirmelerin sonuçları, iç denetim faaliyetinin
iyileştirebileceği alanlara işaret ediyorsa, iyileştirmeler, İç Denetim Yöneticisi tarafından, KGGP
kullanılarak uygulanmalıdır.
2. Değerlendirmelerle, iç denetim faaliyetinin kalitesine dair bir değerlendirme yapılır, bir hükme
varılır ve daha iyiye gitmesi için tavsiyeler geliştirilmesi mümkün kılınır. KGGP'ler aşağıdaki
hususların da değerlendirilmesini içine alır:
• Bunlara yönelik önemli aykırılık durumlarının giderilmesi amacıyla, zamanında alınacak düzeltici
tedbirlere uyum da dahil olmak üzere, İç Denetimin Tanımına, Etik Kurallarına ve Standartlara uyum.
• İç denetim faaliyetinin (biriminin) yönetmeliğinin, amaçlarının, hedeflerinin, politikalarının ve
prosedürlerinin yeterliliği.
• Kurumun yönetişim (kurumsal yönetim), risk yönetimi ve kontrol süreçlerine yapılan katkı.
• Yürürlükteki kanunlara, yönetmeliklere, kamusal veya sektörel standartlara uyum.
• Devamlı geliştirme faaliyetlerinin etkililiği ve 'en iyi uygulamaların' benimsenmesi.
• İç denetim faaliyetinin (biriminin) kurumun faaliyetlerine ne ölçüde değer katıp bunları geliştirdiği.
3. Bütün KGGP çabaları, kaynaklarda, teknolojide, süreçlerde ve prosedürlerde gereken
değişikliklerin zamanında ve uygun bir şekilde yapılmasını içeren tavsiyelere yönelik takip
çalışmasını da içine alır.
4. Hesap verebilirlik ve şeffaflığın sağlanması amacıyla, İç Denetim Yöneticisi, kalite programıyla
ilgili dış ve gerekirse iç değerlendirme sonuçlarını (üst yönetim, yönetim kurulu ve dış denetçiler gibi)
taraflarla paylaşır. En az yılda bir kez olmak üzere, İç Denetim Yöneticisi, üst yönetime ve yönetim
kuruluna, kalite programı çalışmalarını ve sonuçlarını
rapor etmelidir. • * *
Yayın: Ocak 2009
Uygulama Önerisi 1311-1: İç Değerlendirmeler
1. Daimî iç değerlendirme çalışmalarında kullanılan süreçler ve araçlar, şunları içine alır:
• Görevin gözetimi,
• Kontrol listeleri ve prosedürler (mesela, bir denetim ve prosedür kılavuzundaki) takip edilir,
• Denetlenenlerden ve diğer menfaat sahiplerinden alınan geri bildirimler,
• İlgili denetimlerde yer almayan denetim personeli tarafından çalışma kâğıtlarının gözden
geçirilmesi,
• Proje bütçeleri, zaman tutma sistemleri, denetim planı tamamlama kıstasları, maliyeti karşılama
kıstasları ve/veya,
• (Çevrim süresi ve kabul edilen tavsiyeler gibi) diğer performans ölçümlerinin analizi.
2. Performans kalitesinin devamlı gözden geçirilmesinin sonuçları tespit edilir ve gerekli
iyileştirmelerin uygulanmasını temin etmek için bir takip çalışması yürütülür.
3. IIA'nın Kalite Değerlendirme Kılavuzu veya bunun muadili kılavuz ve araçlar, dönemsel iç
değerlendirmeler için temel teşkil etmelidir.
4. Dönemsel iç değerlendirmeler:
• Denetim sürecinde yer alan gruplara yönelik daha ayrıntılı ve derin araştırma ve görüşmeleri
içerebilir.
• İç denetim faaliyetinin (biriminin) üyeleri tarafından yapılabilir (öz değerlendirme),
• Hâlen kurum içinde başka konu ve alanlarda görevli olan Uluslararası İç Denetçiler (CIA) veya diğer
ehil denetçiler tarafından yapılabilir,
• Daha sonra kurumun diğer birimlerindeki CIA'lar veya ehil diğer denetçilerin gözden geçirdiği
çalışmalarla, öz değerlendirme çalışmalarını bir araya getirebilir,
• İç denetim faaliyetinin uygulamalarının ve performans ölçümlerinin iç denetim mesleğiyle ilgili en
iyi uygulamalarla karşılaştırılıp değerlendirilmesine dayanan kıyaslama (benchmarking) çalışmasını
içerebilir.
5. Dış değerlendirmenin hemen öncesinde yapılacak dönemsel bir iç değerlendirme, dış
değerlendirmeyi hem kolaylaştırmaya hem de maliyetini azaltmaya yardım edebilir. Eğer dönemsel iç
değerlendirme, ehil ve bağımsız dışarıdan biri veya bir gözden geçirme ekibi tarafından yapılırsa,
değerlendirme sonuçları, dış kalite değerlendirmesinin sonuçlarıyla ilgili bir güvence vermemelidir.
Raporda, iç denetim faaliyetinin (biriminin) uygulamalarının geliştirilmesi için tavsiye ve öneriler
bulunabilir. Eğer dış değerlendirme, "bağımsız onaylı özdeğerlendirme" şeklini alırsa, dönemsel iç
değerlendirme, bu sürecin "özdeğerlendirme" kısmı işlevini görebilir.
6. Performans kalitesi hakkında sonuçlar derlenir, tespit edilir ve gerekirse, Standartlara uygunluğu
sağlamak ve geliştirme çalışmaları yapmak amacıyla uygun tedbirler alınır.
7. İç Denetim Yöneticisi, iç değerlendirmelerin sonuçlarının rapor edilmesi amacıyla, gerekli
güvenilirlik ve nesnelliği sağlayan bir yapı oluşturur. Genel olarak, devamlı ve dönemsel gözden
geçirmeleri yapma sorumluluğunu üstlenen kişiler, gözden geçirme çalışmalarında, İç
Denetim Yöneticisine raporlama yapar ve elde ettikleri sonuçları doğrudan doğruya İç Denetim
Yöneticisine bildirir.
8. İç Denetim Yöneticisi, yılda en az bir kere, iç değerlendirme çalışmalarının sonuçlarını, gerekli
eylem planlarını ve bunların başarılı uygulamalarını yönetim kuruluna ve üst yönetime raporlar. * 3 * Yayın: Ocak 2009
Uygulama Önerisi 1312-1
Dış Değerlendirmeler
1. Dış değerlendirmeler, iç denetim faaliyeti tarafından yürütülen denetim ve danışmanlık görevini
kapsar ve sadece iç denetim biriminin KGGP'sini (Kalite Güvence ve Geliştirme Programı)
değerlendirmekle sınırlı olmamalıdır. Dış değerlendirmeden optimum faydayı sağlamak için, işin
kapsamında, iç denetim faaliyetinin daha verimli ve/veya etkili olmasını sağlayabilecek başlıca
uygulamaların kıyaslaması (benchmarking), teşhisi ve raporlanması da bulunmalıdır. Bu, ya ehil ve
bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibi tarafından tam bir 'dış' gözden
geçirme ile ya da ehil ve bağımsız bir gözden geçirme uzmanı veya bir gözden geçirme ekibinin
bağımsız onayından geçmiş kapsamlı bir 'iç' özdeğerlendirme ile başarılabilir. Ancak, İç Denetim
Yöneticisi, kapsamın, her durumda dış değerlendirmeden beklenen sonuçları ortaya koymasını
sağlamalıdır.
2. Bir iç denetim faaliyetine (birimine) yönelik 'dış' değerlendirmelerde, iç denetim faaliyeti
tarafından gerçekleştirilen (veya iç denetim yönetmeliğine göre gerçekleştirilmiş olması gereken) tüm
danışmanlık ve denetim işlerine yönelik bir görüş yer alır. Bu görüşte, iç denetim biriminin İç Denetim
Tanımına, Etik Kurallarına, Standartlara uygunluğuna dair bir değerlendirme ve gerekirse,
iyileştirme tavsiyeleri de yer alır. Uluslararası Meslekî Uygulama Çerçevesi'nin bu üç unsuruna
uyumdan ayrı olarak, değerlendirmenin 'kapsamı', İç Denetim Yöneticisi, Üst Yönetim veya Yönetim
Kurulunun isteğine göre ayarlanır. Bu değerlendirmeler, İç Denetim Yöneticisi ve iç denetim
biriminin diğer üyeleri için, özellikle kıyaslama ve en iyi uygulamalar paylaşıldığında, çok faydalı
olabilir.
3. Gözden geçirme tamamlandıktan sonra üst yönetime ve yönetim kuruluna resmî bir raporlama
yapılmalıdır.
4. Dış değerlendirmelerle ilgili iki yaklaşım vardır. Birinci yaklaşımda, bir 'dış değerlendirme', ehil,
bağımsız bir gözden geçirme uzmanı veya ekibi tarafından yapılmalıdır. Bu yaklaşım, tecrübeli ve
profesyonel bir proje müdürünün önderliğinde, ehil profesyonellerden oluşan bir dış ekibi içerir. İkinci
yaklaşımda, iç denetim birimi tarafından yapılan iç özdeğerlendirmenin ve hazırlanan raporun
bağımsız onaylanmasını (validation) gerçekleştirmek üzere, gerekli özelliklere sahip, bağımsız bir
gözden geçirme uzmanı veya ekibinin kullanılması söz konusudur. Bağımsız dış gözden geçirmeyi
yapacak olanlar, iç denetim uygulamalarında çok tecrübeli olmalıdır.
5. Dış değerlendirmeyi yapan kişilerin, iç denetim faaliyeti (birimi) dış değerlendirmeye tâbi olan
kuruma veya kurumun personeline karşı, herhangi bir yükümlülüğü -veya onlardan herhangi bir
çıkarı- olmamalıdır. Ehil ve bağımsız dış değerlendirme uzmanını veya dış değerlendirme ekibini
seçerken, İç Denetim Yöneticisi tarafından -yönetim kuruluna da danışılarak- bunların bağımsızlığına
dair dikkate alınması gereken özel hususlar şunları içerir:
3 Standartlar hakkında güncel ve derin bilgi sahibi olması, ehil ve yetkili (sertifikalı) bir denetçi
olması, • Mesleğin en iyi uygulamaları konusunda bilgili ve deneyimli olması,
• Aşağıdakileri sağlayacak şirketlerin gerçek veya görünüşteki çıkar çatışmaları: - Mâli tabloların denetimi
- Yönetişim, risk yönetimi, malî raporlama, iç kontrol ve diğer ilgili alanlardaki önemli danışmanlık
hizmetleri.
- İç denetim faaliyetine (birimine) yardım. Profesyonel hizmet sağlayıcısı tarafından yürütülen işin
önem ve büyüklüğü görüşmelerde dikkate alınmalıdır.
• Değerlendirmeyi yapacak olanların şirket eski çalışanları olması hâlinde bunların gerçekte ve
görünürdeki çıkar çatışmaları. Kişinin kurumdan ayrılmasının üzerinden ne kadar geçmiş olduğu
dikkate alınmalıdır.
• Değerlendirmeyi yapacak olan kişiler, iç denetim faaliyeti değerlendirmeye alınan kurumdan
bağımsızdır ve ne gerçekte ne de görünürde bir çıkar çatışmaları yoktur. "Kurumdan bağımsız olmak",
iç denetim faaliyetinin bağlı olduğu kurumun bir parçası olmamak veya onun kontrolü altın olmamak
anlamına gelir. Ehil ve bağımsız bir dış gözden geçirme uzmanı
veya ekibinin seçiminde, onun iç kalite değerlendirmesine katılımını da içerecek şekilde, uzmanın
kurumla veya onun iç denetim faaliyetiyle olan mevcut veya geçmiş ilişkilerinden dolayı gerçekte
veya görünüşte herhangi bir çıkar çatışması bulunup bulunmadığına özellikle dikkat edilmelidir.
• İç denetim biriminden örgütsel olarak bağımsız olsa bile, o kurumun başka bir bölümünde veya
ilişkili bir kurumunda çalışan kişiler, bir dış değerlendirme çalışması açısından, bağımsız sayılmazlar.
"İlişkili bir kurum", ana kurum, aynı şirketler grubuna bağlı bir ortaklık veya dış değerlendirmeye
konu olan iç denetim faaliyetinin bağlı olduğu kuruma karşı gözetim, izleme veya kalite güvence
sorumlulukları olan bir kurum olabilir.
• Karşılıklı gözden geçirme çalışmalarının da olduğu gerçek veya görünürdeki çatışmalar. Üç veya
daha fazla kurum (aynı sektörde veya diğer yakın bir grupta, bölgesel derneklerde veya diğer kurum
gruplarında - önceki paragrafta yer alan "ilişkili kurum" tanımı haricinde) arasındaki karşılıklı denk
gözden geçirme çalışmaları, bağımsızlık endişelerini azaltacak bir tarzda yapılandırılabilir, ama
bağımsızlık hususunda endişe yaratmamaya azami özen gösterilir. İki kurum arasında karşılıklı denk
gözden geçirme çalışması, bağımsızlık testinin atlanmasına yol açmamalıdır.
• Bu bölümde belirtilen örneklerde olduğu gibi bağımsızlığa görünürde veya gerçekte zarar verme
endişelerini gidermek amacıyla, bir veya daha fazla bağımsız kişi, bu ekibin çalışmalarını bağımsız bir
şekilde onaylamak üzere, dış değerlendirme ekibine katılabilir.
6. Dürüstlük, gözden geçirme uzman(lar)ının gizlilik sınırları içinde güvenilir ve tarafsız olmasını
gerektirir. Kişisel kazanç ve çıkarlar için, hizmet ve kamu güveni ve inancı feda edilmemelidir.
Objektiflik, gözden geçirme uzman(lar)ının hizmetlerine değer katan bir nitelik ve zihnî bir durumdur.
Objektiflik ilkesi, tarafsızlık, fikir haysiyeti ve her türlü çıkar çatışmasından uzak olma yükümlülükleri
getirir.
7. Bir dış değerlendirme çalışması yapılırken ve sonuçları raporlanırken meslekî muhakemenin
kullanılması gerekir. Bu sebeple, bir dış değerlendirme uzmanı olarak görev yapan bir kişinin:
• İç denetim uygulamalarında veya ilgili danışmanlıkta en az üç yıllık yöneticilik tecrübesine sahip
olması gerekir.
Bağımsız gözden geçirme ekiplerinin başları veya özdeğerlendirmenin sonuçlarını bağımsız olarak
onaylayan dış gözden geçirme uzmanları, daha önce dış kalite değerlendirmesinde çalışmış bir takım
üyesi olmaktan, IIA'nın kalite değerlendirme eğitimlerini veya benzeri bir eğitimi başarıyla
tamamlamaktan ve iç denetim yöneticiliğinden veya benzeri bir üst seviye iç denetim yöneticiliği
deneyiminden kazanılmış daha öte bir yetkinlik ve tecrübe birikimine sahip olmalıdırlar.
8. Gözden geçirme uzman(lar)ı, ilgili teknik uzmanlığa ve sektör tecrübesine sahip olmalıdırlar.
Başka uzmanlık alanlarında uzmanlığı bulunan kişiler ekibe yardımcı olabilirler. Örneğin, kurumsal
risk yönetimi, bilgi sistemleri denetimi, istatistiksel örnekleme, operasyon izleme sistemleri veya
kontrol özdeğerlendirme uzmanları, gözden geçirme çalışmasının belirli bölümlerine katılabilirler.
9. İç Denetim Yöneticisi, dış kalite değerlendirme sağlayıcısı seçimine ve seçim sürecine, üst
yönetimi ve yönetim kurulunu dahil eder.
10. Dış değerlendirme çalışması, iç denetim faaliyetinin (biriminin) aşağıdaki unsurlarını içeren
geniş bir kapsamda yapılmalıdır:
• İç Denetimin Tanımına, Etik Kurallarına, Standartlara, iç denetim faaliyetinin (biriminin)
yönetmelik, plan, politika, prosedür ve uygulamalarına ve yürürlülükteki mevzuat ve düzenlemelere
uyum,
• Yönetim kurulu, üst yönetim ve işletme müdürlerinin iç denetim faaliyetinden beklentileri,
• Yönetişim sürecine katılan kilit gruplar arasındaki ilişkiler dahil, iç denetim faaliyetinin, kurumun
yönetişim süreciyle bütünleştirilmesi,
• İç denetim faaliyetinde kullanılan araç ve teknikler,
Formulating and Expressing Internal Audit Opinions' (İç Denetim Düşüncelerinin Hazırlanması ve
Sunulmasına Dair Uygulama Rehberi)
isimli yayınında ilâve yönlendirmeler bulunabilir.
13. Kurumun genel bir fikir istemediği durumlarda, iç denetim yöneticisi, güvencede bilinen ve kabul
edilen hiçbir açıklık veya boşluğun olmadığını temin etmek için, güvence sağlayıcılarının
koordinasyonunu sağlayabilir. İç denetim yöneticisi, diğer güvence sağlayıcılardaki herhangi bir
girdi/ilgi/gözetim/güvence eksikliğini rapor eder. Eğer iç denetim yöneticisi, güvence kapsamının
uygun veya yeterli olmadığına hükmederse, üst yönetim ve yönetim kuruluna bu yönde tavsiyede
bulunulması gerekir.
14. İç denetim yöneticisi, Standart 2050'ye göre, diğer güvence sağlayıcılarla olan faaliyetleri
eşgüdümlü hâle getirir; bunun için güvence haritasından yararlanılabilir. Güvence haritaları
her geçen gün, bu eşgüdümün daha etkili bir şekilde yapılmasını sağlamaktadır. * * *
Yayın: Temmuz 2009
Uygulama Önerisi 2050-3:
Diğer Güvence Sağlayıcıların Çalışmalarına Güvenme (Ekim 2010)
İlgili Ana Standart
2050 – Eşgüdüm (Koordinasyon) İç Denetim Yöneticisi; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve işin
kapsamını en uygun şekilde belirlemek amacıyla, güvence ve danışmanlık hizmetlerini yerine
getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetleri bunlarla eşgüdüm
içinde sürdürmelidir.
1. İç denetçi, Yönetim Kurulu‟na kurumsal yönetişim, risk yönetimi ve kontrol güvencesi
sağlamada diğer iç ve dış sağlayıcıların çalışmalarından yararlanabilir veya bu çalışmalara
güvenebilir. İç güvence sağlayıcılar; yönetimin gözlemleme faaliyetleri yanında, (Mevzuata)
Uygunluk, Bilgi Güvenliği, Kalite, İş Sağlığı ve Güvenliği gibi işletme fonksiyonlarını içerebilir.
Dış güvence sağlayıcılar; bağımsız denetçileri, ortak teşebbüs paydaşlarını, uzman görüşlerini
veya Uluslararası Güvence Hizmetleri (bağımsız denetim) Standardı 3402: Bir Hizmet
Örgütündeki Kontrollere İlişkin Güvence Raporları Standardına göre raporlama yapanlar da dahil
olmak üzere üçüncü taraf denetim şirketlerini içerebilir.
2. Diğer güvence sağlayıcıların çalışmalarına güvenme kararı; iç denetim faaliyetinin
yetkinliklerinin dışında kalan alanlar dahil olmak üzere, diğer güvence sağlayıcılarından bilgi
almak veya iç denetim planının dışında kalan riskin karşılanma düzeyini verimli bir şekilde
arttırmak gibi çok çeşitli nedenlerle olabilir.
3. İç denetim yönetmeliği ve/veya denetim sözleşmesi, iç denetim faaliyetinin diğer iç ve dış
güvence sağlayıcıların çalışmalarına erişebileceğini belirtmelidir.
4. Güvence sağlayıcısı tutması durumunda, iç denetçi görev beklentilerini bir kontrat ya da
anlaşma olarak yazılı hale getirmelidir. Çıktıların niteliği ve aidiyeti, metot/teknikler, kullanılacak
bilgi ve prosedürlerin doğası gereği, yapılan işin uygunluğundan emin olmak için kullanılacak
ilerleme raporları/gözetimi ve raporlama gereksinimleri için olası en küçük beklentiler
karşılanmalıdır.
5. Eğer kurum yönetimi üçüncü taraf bir güvence sağlayıcıyla sözleşme imzalarsa veya o yönde
bir talimat verirse iç denetçinin talimatın uygun olduğu, anlaşıldığı ve yerine getirildiği konusunda
ikna olması gereklidir.
6. İç denetçi diğer güvence sağlayıcının çalışmasının doğruluğuna güvenip güvenmeyeceğine
veya onun çalışmasını kullanıp kullanmayacağına karar verirken, güvence sağlayıcının
bağımsızlık ve tarafsızlığını göz önünde bulundurması gereklidir. Eğer bir güvence sağlayıcı iç
denetim yerine yönetim tarafından tutulduysa ve/veya yönetiliyorsa, bu düzenlemenin güvence
sağlayıcının bağımsızlık ve tarafsızlığına etkisinin değerlendirilmesi gereklidir.
7. İç denetçi güvence sağlayıcının yetkinliğini ve niteliğini değerlendirmelidir. Yeterliliğe dair
örnekler; güvence sağlayıcının uygun mesleki deneyime ve niteliğe sahip olduğunun
doğrulanması, ilgili mesleki kurum veya enstitülerde güncel kaydının olması ve sektörde
yetkinliği ve dürüstlüğü ile tanınmasını kapsar.
8. İç denetçinin, Standart 2310: Bilgilerin tespiti ve Tanımlanması gereği güvence sağlayıcının
uygulamalarının makul bir güvenceye sahip olduğu, bulguların yeterli, güvenilir, ilgili ve yararlı
bilgiye dayandırılmış olduğu kanaatinde olmalıdır. Diğer güvence sağlayıcının çalışmasının hangi
ölçüde kullanıldığına bakılmaksızın, Standart 2310‟un gereğinin İç Denetim Yöneticisi tarafından
yerine getirilmesi zorunludur.
9. İç denetçi güvence sağlayıcının çalışmasının uygun bir şekilde planlandığından,
yönetildiğinden, dokümante edildiğinden ve değerlendirildiğinden emin olmalıdır. İç denetçi
güvence sağlayıcısının çalışmasının kullanılabilirlik ve güvenilebilirlik oranını saptayabilmek için
denetim bulgularının uygun ve yeterli olup olmadığını değerlendirmelidir. Diğer güvence
sağlayıcı tarafından yapılan çalışmanın değerlendirmesine bağlı olarak uygun ve yeterli denetim
bulgusuna ulaşabilmek için ek çalışmalara ya da test prosedürlerine ihtiyaç duyulabilir. İç denetçi
güvence
Uygulama Önerisi 2110-3:
Yönetişim: Değerlendirmeler (Nisan 2010)
İlgili Ana Standart
2110 – Yönetişim/Kurumsal Yönetim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini
değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
• Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
• Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,
• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
• Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri
arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
1. İç denetçiler yönetişim uygulamalarının gelişimini değerlendirmede ve katkıda bulunmada bazı
farklı yetkilerle hareket edebilirler. Bilindiği üzere, iç denetçiler kurumun yönetişim süreçlerinin
tasarım ve işleyiş etkinliğinin bağımsız, tarafsız değerlendirmesini sağlar. Ayrıca, bu süreçleri
geliştirme yöntemleri hakkında danışmanlık hizmetleri ve tavsiyeler de sunabilirler. Bazı
durumlarda iç denetçilerden, yönetişim uygulamalarının öz değerlendirmeleri konusunda
Yönetim Kurulu‟na yardımcı olmaları istenebilir.
2. Uygulama Önerisi 2110-1 Yönetişim: Tanım‟da belirtildiği üzere, denetim amaçlı yönetişimin
tanımı üzerinde, uygun olduğu ölçüde Yönetim Kurulu ve üst düzey yöneticilerin anlaşması
gereklidir. Buna ek olarak, iç denetçinin kurumun yönetişim süreçlerini ve yönetişim, risk ve
kontrol arasındaki ilişkileri anlaması gereklidir. (Uygulama Önerisi 2110-2 Yönetişim: Risk ve
Kontrolle İlişki‟ye bakınız.)
3. Denetim planının, kuruma yönelik risklerin değerlendirilmesine dayandırılarak oluşturulması
gereklidir. Risk değerlendirmesinde tüm yönetişim süreçlerinin göz önünde bulundurulması
gereklidir. Bu Planın, süreçlerin değerlendirilmesi veya yönetimin yapılmasını talep ettiği işlerde
dikkate alınması gereken riskli alanlar da dahil olmak üzere daha yüksek risk içeren yönetişim
süreçlerini kapsaması gereklidir. Planın yürütülmesi gereken işin niteliğini, uyulması gereken
yönetişim süreçlerini ve yapılacak değerlendirmelerin yapısını (örneğin makro olarak - tüm
yönetişim çerçevesini dikkate almak veya mikro olarak- belirli riskleri, süreçleri, faaliyetleri veya
bunların her ikisinin bazı bileşimlerini dikkate almak) tarif etmesi gereklidir.
4. Bilinen kontrol sorunları varsa veya yönetişim süreci olgunlaşmamışsa, İç Denetim Yöneticisi
biçimsel değerlendirmelere ek olarak veya bunların yerine danışmanlık hizmetlerini kullanarak
kontrol ve yönetişim süreçlerini geliştirmede farklı metotları değerlendirebilir.
5. Yönetişim süreçleriyle ilgili iç denetim değerlendirmelerinin zaman içinde yürütülen sayısız
denetim görevinden elde edilen bilgiye dayanıyor olması muhtemeldir. İç denetçinin aşağıdaki
hususları dikkate alması gereklidir:
• Özellikli yönetişim süreçlerinin denetim sonuçları (örneğin ihbar süreci, strateji yönetim süreci).
• Özellikle yönetişime odaklanmayan denetimlerde ortaya çıkan yönetişim sorunları (örneğin risk
yönetimi süreci denetimleri, finansal raporlama üzerindeki kontroller, hile riski)
• Diğer iç ve dış güvence sağlayıcıların çalışmalarının sonuçları (örneğin baş hukuk danışmanı
tarafından soruşturma sürecini incelemek üzere görevlendirilen bir şirket). (Uygulama Önerisi 2050 - Eşgüdüm‟e bakınız.)
• Yönetişim süreçlerinin geliştirilmesi için bir fırsata işaret eden olumsuz olaylar gibi yönetişim sorunları hakkındaki diğer bilgiler.
6. İç denetçinin, planlama, değerlendirme ve raporlama aşamalarında, sonuçların niteliği ve
detaylandırılma potansiyeline karşı duyarlı olması ve Yönetim Kurulu ve üst yöneticilerle uygun
iletişimi sağlaması gereklidir. İç denetçinin denetime başlamadan ve raporu sonuçlandırmadan
önce hukuk danışmanına danışmayı düşünmesi gereklidir.
7. İç denetim faaliyeti yönetişim sürecinin asli bir parçasıdır. Yönetim Kurulu ve üst yöneticilerin,
iç denetimin etkililiğinin güvencesi olarak, Uluslararası İç Denetim Mesleki Uygulama
Standartları‟na uygun olarak yürütülen dış kalite değerlendirmeleri ile bağlantılı bir şekilde iç
denetim faaliyetinin kalite güvence ve geliştirme programının doğruluğuna güvenebilmesi
gereklidir.
Uygulama Önerisi 2060-1:
Üst Yönetime ve Yönetim Kuruluna Raporlamalar
1. İç Denetim Yöneticisinin, üst yönetime ve yönetim kuruluna yıl boyunca dönemsel olarak faaliyet
raporları sunması gerekir. Bu faaliyet raporları, görevle ilgili önemli tespit ve tavsiyeleri içermeli ve
onaylanmış görev iş programları, personel (kadro) planları, mali bütçelerden önemli sapmalar ile
bunların sebeplerini ve alınan veya alınması gereken tedbirleri üst yönetime ve yönetim kuruluna
bildirmelidir.
2. Görev esnasında elde edilen önemli tespitler, İç Denetim Yöneticisinin görüş ve kanaatine göre,
kurumu olumsuz etkileyebilecek durumlardır. Bu önemli tespitler; suistimaller, usulsüzlükler, yasa
dışı fiil ve işlemler, hatâlar, verimsizlik, israf, etkisizlik, çıkar çatışmaları ve kontrol zayıflıkları gibi
durumları kapsayabilir.
3. Üst yönetim ve yönetim kurulu, önemli tesbit ve tavsiyelerle ilgili alınması gereken tedbirler
hakkında kararlar alır. Üst yönetim ve yönetim kurulu, maliyetinden veya başka hususlardan dolayı,
rapor edilen bir sorunu düzeltmeme ve çözmeme riskini üstlenmeye karar verebilir. Üst yönetimin
önemli tespit ve tavsiyelere ilişkin bütün kararlarının, yönetim kuruluna bildirilmesi gerekir.
4. Üst yönetimin ve yönetim kurulunun rapor edilen sorunu düzeltmeme ve çözmeme riskini
üstlendiği durumlarda, İç Denetim Yönetici, görevle ilgili olarak daha önce rapor edilen önemli tespit
ve tavsiyeler hakkında yönetim kuruluna bilgi vermenin uygunluğunu değerlendirir. Bu, risk profilini etkileyen önemli değişiklikler olduğu zaman, gerekli olabilir. * * *
Yayın: Ocak 2009
Uygulama Önerisi 2060-1:
Üst Yönetim ve Yönetim Kuruluna Raporlama (Mayıs 2010)
İlgili Ana Standart
2060 - Üst Yönetim ve Yönetim Kuruluna Raporlama İç Denetim Yöneticisi, iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve plana
kıyasla performansı konularında, üst yönetime ve Yönetim Kurulu‟na dönemsel raporlar sunmak
zorundadır. Bu raporlar, suiistimal risklerini, yönetişim sorunlarını ve üst yönetimin ve denetim
komitesinin, Yönetim Kurulu‟nun ihtiyaç duyabileceği veya talep edebileceği başka konuların da
dahil olduğu önemli riskleri ve kontrol sorunlarını içermek zorundadır.
Yorum: Raporlamanın sıklığı ve içeriği, üst yönetim, denetim komitesi ve yönetim kurulu ile tartışılarak
belirlenir ve iletilecek bilginin önemine ve üst yönetim, denetim komitesi ve yönetim kurulu
tarafından alınacak tedbirlerin aciliyetine bağlıdır.
1. Raporlamanın amacı üst yönetime ve Yönetim Kurulu‟na; yönetişim süreci (Standart 2110),
risk yönetimi (Standart 2120) ve kontrol (Standart 2130) hakkında güvence sağlamaktır. İç
Denetim Yöneticisi, Yönetim Kurulu ile doğrudan iletişim kurmak ve karşılıklı etkileşimde
bulunmak zorundadır. Standart 1111‟e göre “İç Denetim Yöneticisi Yönetim Kurulu ile doğrudan iletişim ve etkileşimde olmak zorundadır.”
2. İç Denetim Yöneticisi (İDY), iç denetim biriminin yönetmeliği (örneğin amacı, yetkisi,
sorumlulukları) ve performansı konusunda üst yönetime yapılacak olan raporlamanın sıklığı ve
niteliğini Yönetim Kurulu ile kararlaştırmalıdır. Performans raporlaması, üst yönetim ve Yönetim
Kurulu‟nu onaylanmış denetim planı, personel atama planları ve finansal bütçelerden önemli
sapmalar ile bu sapmaların nedenleri ve alınması gereken tedbirler hakkında bilgilendirmesi
gereken en son onaylı denetim planı ile ilintili olmalıdır. Standart 1320‟e göre “İç Denetim
Yöneticisi‟nin, uygulanan kalite güvence ve geliştirme programının sonuçlarını üst yönetime ve Yönetim Kurulu‟na iletmek zorundadır.”
3. Maruz kalınabilecek önemli riskler ve kontrol sorunları, İDY‟nin görüşüne göre; kurumu ve
onun stratejik, finansal raporlama, faaliyet ve uygunluk amaçlarına erişme yeteneğini olumsuz
etkileyebilecek koşullardır. Önemli sorunlar; kontrol zafiyeti, yolsuzluk (hile), düzensizlik, yasa
dışı faaliyet, hata, verimsizlik, israf, etkin olamama, çıkar çatışması ve finansal sürdürülebilirlik
dahil, kabul edilemez iç ve dış risklere maruz bırakabilir.
4. Üst yönetim ve Yönetim Kurulu önemli sorunlara karşı alınması uygun olan tedbirler hakkında
kararlar alır. Bu yöneticiler, maliyet veya diğer etkenlerle, raporlanan koşulun düzeltilmemesi
riskini üstlenme kararı alabilirler. Üst yönetim, iç denetim tarafından ortaya konulan bütün önemli
sorunlar hakkında Yönetim Kurulunu bilgilendirmelidir.
5. İDY, kurumun kabul edilemez olarak değerlendireceği bir riskin üst yönetim tarafından
üstlenildiğine inandığında, İDY bu konuyu üst yönetimle Standart 2600‟de belirtildiği şekilde
• Eğer iç denetçiler, bir projenin veya inisiyatifin personel kadrosunu arttırmak için kullanılırsa, iç
denetçileri, yanlış güvenceye sebep olabilecek "geçici" kaynak olarak kullanmak yerine, bu projedeki
rollerinin ve katılımlarının kapsamı yanında gelecekteki objektiflik ve bağımsızlıkları da yazılı hâle
getirilmelidir.
9. Bir iç denetim faaliyetinin güven telkin eden itibarı, etkililiğinin önemli bir parçasını teşkil eder.
Saygın görülen iç denetim birimleri yetenekli meslek insanlarını çekebilirler ve kurumları için çok
değerlidirler. Güçlü bir "marka" olmak, iç denetim faaliyetlerinin başarısını ve becerisini kuruluş
içinde en üst noktaya çıkartır. Çoğu zaman, iç denetim faaliyetinin markası gücünü, uzun yıllar
boyunca aksamadan çıkartılan yüksek nitelikli işlerden almaktadır. Maalesef bu marka, güçlü ve ters
bir olayda birden yok olabilir.
10. Örneğin, bir iç denetim faaliyeti, çeşitli rotasyonlar sonrası üst düzey finansalyönetici görevlerine
gelmiş iç denetçilerden dolayı, gelecek yöneticiler için eğitim platformu olarak da algılanıp önemli
görülebilir. Ancak, bir dizi önemli mali tablo düzeltmesi ve yasal inceleme, iç denetim faaliyetinin
itibarını etkileyebilir. Yönetim kurulu, iç denetim ekibinin doğru yetenek ve 'kalite güvence ve
geliştirme programına' sahip olup olmadığını sorgulayabilir.
11. Başka bir örnekte, insan kaynaklarının denetimi sırasında, iç denetçiler, çalışanların meslekî
geçmişlerinin gerektiği şekilde incelenmediğini tespit edebilirler. Yeni işe alınmış bazı iç denetçilerin
eğitim geçmişlerinin yeterli olmadığının, diğer bir kısmının, daha önce suç teşkil eden bir faaliyete
katılmış olduğunun tespit edilmesi iç denetim faaliyetinin güvenilirliğini ciddi şekilde sarsabilir.
12. Bu gibi durumlar, durumu zorlaştırmakla kalmaz, aynı zamanda, iç denetim faaliyetinin
yararlılığını da zedeler. İç denetim faaliyetinin itibar ve "markası"nın korunması, sadece iç denetim
faaliyeti için değil, tüm kuruluş için önemlidir. İç denetim faaliyeti, hangi tür risklerin, itibarını
zedeleyebileceğini göz önünde bulundurmalı ve bu risklere karşı stratejiler geliştirmelidir.
13. Uygulamalardan bazıları şunlardır:
• İç denetim faaliyetinin, insan kaynakları ve işe alım dahil bütün süreçlerinde, güçlü bir kalite
güvence ve geliştirme programı uygulanır.
• "Markasını" olumsuz etkileyebilecek muhtemel riskleri teşhis etmek için, iç denetim faaliyeti,
dönemsel olarak risk değerlendirmesi yapar.
• IIA'nın iç denetçilere yönelik Etik Kuralları dahil olmak üzere, davranış kuralları ve etik davranış
standartları güçlendirilir.
• İç denetim faaliyetinin, şirketin bütün politika ve uygulamalarıyla uyum içinde olması temin edilir.
14. Bir iç denetim faaliyeti, yukarıda belirtilenlere benzer bir olayla karşılaştığında, İç Denetim
Yöneticisi, olayın içeriğini gözden geçirmeli ve sorunun ana sebeplerini anlamalıdır. Bu analiz,
oluşabilecek olumsuzlukları azaltmak için, iç denetim süreci ve kontrol sisteminde dikkate alınması gereken potansiyel değişikliklere karşı derinlikli bir bakış açısı getirir. • 6 *
Yayın: Nisan 2009 Uygulama Önerisi 2130-1: Kontrol Süreçlerinin Yeterliliğinin Değerlendirilmesi
1. Bir kurum, etkili risk yönetimi ve kontrol süreçleri oluşturur ve devamlılığını sağlar. Kontrol
süreçlerinin amacı, risklerin yönetilmesinde ve daha önce oluşturulmuş ve kurumun içindeki insanlara
açıklanmış olan hedeflere ulaşılmasında kurumu desteklemektir. Diğer şeylerin yanı sıra, kontrol
süreçlerinin aşağıdaki koşulları sağlaması beklenir:
6 İç denetim faaliyetinin rolü ve yetkisi üst yönetime ve diğer paydaşlara önceden iletilir.
• Risk yönetiminin, iç denetim planının ve iç denetim işinin neleri kapsadığı açıkça anlatılır. Ayrıca,
risk değerlendirme ve iç denetim planının kapsamında nelerin olmadığı da açıkça anlatılır.
• Her bir projeyle ilgili risk seviyesinin ve iç denetimin projedeki rolünün değerlendirilmesinde
"proje kabulü" süreci olmalıdır. Değerlendirmede şunlar göz önünde
• Mali ve operasyonel bilgilerin güvenilir ve doğru ve eksiksiz olması,
• Faaliyetlerin verimli bir biçimde yürütülmesi ve kurumun önceden belirlenmiş amaçlarına
ulaşılması,
• Varlıkların korunması,
• Kurumun eylem ve kararlarının kanunlara, mevzuata ve sözleşmelere uygun olması.
2. Üst yönetimin rolü, risk yönetim sistemi ve kontrol süreçlerinin oluşturulması, idaresi ve
değerlendirilmesi çalışmalarını gözetmektir. Bölüm müdürlerinin görev ve sorumluluklarından biri
de, kendi alan ve bölümlerinde kontrol süreçlerini incelemek ve değerlendirmektir. İç denetçiler,
kurumun belirli seçilmiş faaliyet ve işlev alanlarında risk yönetimi ve kontrolü süreçlerinin etkililiği
konusunda değişen derecelerde güvence sağlarlar.
3. İç Denetim Yöneticisi, kontrol süreçlerinin yeterliliği ve etkililiği konusunda genel bir kanaat
oluşturur. İç Denetim Yöneticisinin bu kanaati, denetimlerin tamamlanması suretiyle elde edilen
yeterli sayıda denetim kanıtına ve uygun olan durumlarda diğer güvence sağlayıcıların yaptıkları
çalışmalara dayanır. İç Denetim Yöneticisi, bu kanaatini üst yönetime ve yönetim kuruluna bildirir.
4. İç Denetim Yöneticisi, kontrol süreçlerinin etkililiğini değerlendirmek için yeterli kanıt ve bilgi
toplanmasına imkân veren bir yıllık denetim planı önerisi hazırlar. Bu plan, değerlendirilecek bütün
önemli faaliyet birimleri ile iş fonksiyonları hakkında gereken bilgileri toplamak amacına yönelik
denetim görevleri veya benzeri başka prosedürler ile kurum genelindeki tüm temel kontrol
süreçlerinin gözden geçirilmesini de içerir. Önerilen plan, yıl içinde yönetim stratejilerinde, dış
koşullarda veya önemli risk alanlarında meydana gelen değişiklikler ya da kurumun hedefleri ve
amaçlarına ulaşma konusundaki beklentilerde yapılan revizyonlara göre ayarlamaların yapılmasına
imkân verecek şekilde esnek olmalıdır.
5. Denetim planı, yakın zamanlı ya da beklenmeyen gelişmelerden en fazla etkilenen faaliyetlere
özel bir önem verir. Şartlardaki değişiklikler örneğin, piyasadan ya da yatırım koşullarından, şirket
satın almadan ve elden çıkartmadan, yeniden yapılanmadan, yeni sistemlerden ve yeni girişimlerden
kaynaklanabilir.
6. Denetim planı çerçevesinde beklenen denetim kapsamının belirlenmesinde, İç Denetim Yöneticisi
Üst Yönetime güvence hizmeti veren diğer taraflarca gerçekleştirilen ilgili çalışmaları (örneğin
kurumsal uyum yöneticileri tarafından gerçekleştirilen çalışmalar) dikkate alır. İç Denetim
Yöneticisinin denetim planı, aynı zamanda dış denetçiler tarafından gerçekleştirilen çalışmalar ile
Yönetimin risk yönetim süreçleri, kontrolleri ve kalite geliştirme süreçleri ile kendi kendine yaptığı
değerlendirmeleri de dikkate alır.
7. İç denetim yöneticisi, kurumun risk yönetim ve kontrol süreçleri hakkında bir kanaat
belirtilebilmesi için yeterli kapsamda olup olmadığını belirlemek amacıyla önerilen denetim planının
kapsamının genişliğini değerlendirmelidir. İç denetim yöneticisi, bu süreçlerin tamamı üzerinde bir
kanaat belirtilmesini engelleyebilecek, denetim kapsamındaki eksiklikler hakkında üst yönetimi ve
yönetim kurulunu bilgilendirmelidir.
8. İç denetim faaliyeti açısından çözülmesi gereken anahtar bir konu, kurumun kontrol süreçlerinin
etkililiğinin çok sayıda bireysel değerlendirmenin toplamına dayandırılarak değerlendirilmesidir. Bu
değerlendirmeler büyük ölçüde iç denetim görevlerinden, yönetimin kendi yaptığı değerlendirmelerin
gözden geçirilmesi ile ve diğer güvence sağlayıcılardan elde edilmektedir. Görev ilerledikçe, iç
denetçiler, tespit edilen kontrol eksikleri veya zayıflıklarının
etki ve sonuçlarını azaltmak veya düzeltmek amacıyla gereken tedbirlerin derhal alınmasını sağlamak
amacıyla, bulgularını uygun yönetim kademelerine zamanında iletirler.
9. Kurumun kontrol süreçlerinin genel etkililiğini değerlendirirken İç Denetim Yöneticisi, şu
hususları dikkate alır:
• Önemli eksiklik veya zayıflıklar tespit edilmiş midir? • Bu tespit üzerine düzeltici veya iyileştirici tedbirler alınmış mıdır?
• Bu tespitler ve onların muhtemel olumsuz sonuçları, kabul edilemez düzeyde iş risklerine yol
açabilecek yaygın bir sorunun bulunduğu sonucuna varılmasını gerektiriyor mu?
10. Önemli bir kontrol eksikliği veya zayıflık, her zaman sorunun yaygın olduğu ve kabul edilemez
bir iş riski taşıdığı anlamına gelmez. İç denetçi, kontrol süreçlerinin etkililiğinin tehlikeye girip
girmediği ve kabul edilemez bir riskin var olup olmadığını belirlemek için muhtemel olumsuz
sonuçların seviyesi kadar karşı karşıya kalınan riskin niteliğini ve boyutunu da dikkate alır.
11. İç Denetim Yöneticisinin kurumun kontrol süreçleri ile ilgili raporu, üst yönetime ve yönetim
kuruluna, genellikle yılda bir kere sunulur. Bu rapor, kontrol süreçlerinin kurumun hedeflerine
ulaşılmasındaki kritik rolüne yer verir. Rapor, aynı zamanda iç denetim faaliyeti tarafından
gerçekleştirilen çalışmanın niteliği ve boyutu ile kanaatin biçimlendirilmesinde
diğer güvence sağlayacılara olan güvenin boyutunu ve niteliğini de tanımlar.
• * *
Yayın: Ocak 2009
Uygulama Önerisi 2130.A1-1:
Bilgilerin Güvenilirliği ve Doğruluğu
1. İç denetçiler, üst yönetimin ve yönetim kurulunun bilgi güvenilirliği ve doğruluğunun idarî bir
sorumluluk olduğu konusunda açık bir anlayışa sahip olup olmadıklarını belirler. Bu sorumluluk,
bilgilerin nasıl saklandığına bakılmaksızın kurum için hayatî öneme sahip bütün veri ve bilgileri
kapsar.
2. İç Denetim Yöneticisi (İDY), iç denetim biriminin, bilgi güvenilirliği ve doğruluğunu ve bunlara
dair riskleri değerlendirmek için, yeterli ve uygun denetim kaynaklarına veya bu kaynaklara erişim
olanağına sahip olup olmadığını tesbit eder. Bu, kurumun dış kurumlarla ilişkilerinden kaynaklananlar
dahil hem iç hem dış risklerini kapsar.
3. İDY, bilgi güvenilirliği ve doğruluğu ihlâllerinin ve kurum açısından tehlike oluşturabilecek
durumların, üst yönetim, yönetim kurulu ve iç denetim birimine derhal bildirilip bildirilmediğini tesbit
eder.
4. İç denetçiler, gerektiğinde, geçmiş ve gelecekteki muhtemel saldırılara veya saldırı girişimlerine
karşı, önleyici, tespit edici ve azaltıcı tedbirlerin etkililiğini değerlendirir. İç denetçiler; yönetim
kurulunun, mevcut tehditler, olaylar, karşılaşılan zayıflıklar ve uygulanan düzeltici tedbirler hakkında
yeterince bilgilendirilip bilgilendirilmediğini tesbit eder.
5. İç denetçiler, kurumun bilgi güvenilirliği ve doğruluğu uygulamalarını dönemsel olarak
değerlendirir; mevcut koruma ve kontrol iyileştirmeleri ya da yeni koruma ve kontrol uygulamaları
(hangisi uygunsa) tavsiye eder. Bu değerlendirmeler, bağımsız bir denetim veya yıllık denetim
planının bir parçası olan başka denetim veya görevlerle bütünlük arz edecek şekilde yapılabilir. Üst
yönetim ve yönetim kuruluna en uygun raporlama sürecini,
görevin niteliği belirler. * * *
Yayın: Ocak 2009 Uygulama
Önerisi 2130.A1-2:
Bir Kurumun Gizlilik Çerçevesinin Değerlendirilmesi
1. Kişisel bilgilerin uygun kontrollerle korunmasındaki başarısızlık, kurumlar açısından kayda değer
seviyede olumsuz sonuçlara sebebiyet verebilir. Bu başarısızlık kişilerin ve/veya kurumların itibarını
zedeleyebilir ve kurumları yasal sorumluluk ve müşteri ve/veya çalışan güveninde azalma gibi risklere
maruz bırakabilir.
2. Gizlilik tanımları kurumun faaliyet gösterdiği ülkenin kültürüne, siyaset ortamına ve hukuk
sistemine bağlı olarak büyük oranda farklılık göstermektedir. Bilginin gizliliği ile ilgili riskler, kişisel
gizliliği (fiziksel ve fizyolojik); yer gizliliğini (gözetimden uzak olmak); iletişim gizliliğini (izleme ve
gözlemden uzak olmak) ve bilgi gizliliğini (kişisel bilgilerin başkalarınca toplanması, kullanılması ve
ifşa edilmesi) kapsar. Kişisel bilgiler, genel olarak, belirli bir
bireyle ilgili olan bilgiler ya da başka bilgilerle birleştirildiğinde belirli bir kişiyle ilişkilendirilebilecek
ayırt edici nitelikteki bilgiler anlamına gelir. Kişisel bilgiler, kayıtlı olsun veya olmasın, herhangi bir
ortam veya formatta maddi olgularla ilgili veya subjektif bilgileri içerebilir. Kişisel bilgilere örnek
olarak, şunlar sayılabilir:
• İsim, adres, kimlik numaraları, aile ilişkileri,
• Çalışanların kayıtları, değerlendirmeler, görüşler, sosyal statü veya sabıka kayıtları veya disiplin
cezaları,
• Kredi geçmişi bilgileri, gelir, mali durum bilgileri,
• Tıbbî durum bilgileri.
3. Kişisel bilgilerin korunmasına ilişkin etkili bir kontrolün sağlanması, kurumun yönetişim, risk
yönetimi ve kontrol süreçlerinin önemli bir bileşenidir. Kurumun temel ve büyük risklerinin
belirlenmesinden ve belirlenen bu riskleri azaltmak için uygun kontrol süreçlerinin uygulanmasından,
nihai olarak yönetim kurulu sorumludur. Bu sorumluluk, kurum için gereken gizlilik politikasının
oluşturulmasını ve uygulanmasının izlenmesini de kapsar.
4. İç denetim faaliyeti, üst yönetimin gizliliğin (mahremiyetin) korunması amacına yönelik riskleri
belirlemesinin yeterliliği ile bu risklerin kabul edilebilir seviyeye indirilmesi amacıyla oluşturduğu
kontrollerin yeterliliğini değerlendirmek suretiyle kurumun iyi yöneti(şi)m ve risk yönetimine katkıda
bulunabilir. İç denetçi, kendi kurumundaki gizlilik politikasının değerlendirilmesi, önemli risklerin
belirlenmesi ve bu riskleri azaltıcı uygun tavsiyelerin yapılması konusunda da, benzersiz bir
konumdadır.
5. İç denetim faaliyeti, kendi kurumunun topladığı kişisel veya özel sayılan bilgilerin türlerini ve
uygunluğunu, kullanılan bilgi toplama yöntemini, kurumun bu bilgileri asıl kullanım amacına ve
geçerli mevzuata uygun kullanıp kullanmadığını belirler.
6. Konunun son derece teknik ve hukukî bir nitelik taşıdığı dikkate alınarak, iç denetim faaliyeti,
kurumun gizlilik politikasına ilişkin kontrollerin ve risklerin değerlendirmesini yapmak için yeterli
bilgi ve yetkinliğe ihtiyaç duyar.
7. Kurumun gizlilik politikalarının yönetimine ilişkin böyle bir değerlendirme yapılırken, iç denetçi:
• Kurumun içinde faaliyetini sürdürdüğü yargı sistemindeki gizlilikle ilgili kanun, düzenleme ve
politikaları dikkate alır.
• Kurumun faaliyet yürüttüğü ülke/ülkelerde geçerli olan ve kurumun tâbi olduğu kanunlar,
düzenlemeler ile diğer standartların ve uygulamaların niteliğinin tam olarak belirlenmesi amacıyla
kurumun hukuk danışmanıyla irtibat hâlinde olur.
• Bilgi güvenliği ve veri koruma kontrollerinin var olduğunun ve uygunluğunun düzenli olarak
gözden geçirildiğinin ve değerlendirildiğinin belirlenmesi amacıyla bilgi teknolojisi uzmanlarıyla
irtibat hâlinde olur.
• Kurumun gizlilik uygulamalarının seviyesi veya gelişmişliğini dikkate alır. Bu seviyeye bağlı
olarak, iç denetçi, farklı ve değişen roller üstlenebilir.
Denetçi; gizlilik programının geliştirilmesini ve uygulanmasını kolaylaştırabilir, kurumun ihtiyaçlarını
ve maruz kaldığı riskleri tespit etmek amacıyla yönetimin gizliliğe ilişkin risk değerlendirme
çalışmasını değerlendirebilir ya da kurum genelindeki gizlilik politikaları, uygulamaları ve
kontrollerinin etkililiğini inceleyebilir ve bu konuda güvence verebilir. İç denetçi, bir gizlilik
programının geliştirilmesi ve uygulanmasına ilişkin herhangi bir
• Her bir belgeye gizlidir damgası basar ve izin alınmaksızın ikincil dağıtımının yapılamayacağına
dair bir not koyar.
Uygulama Önerisi 2330.A2-1 Kayıtların Saklanması
1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir.
2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin
hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir. 3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir.
* * * Yayın: Ocak 2009
Uygulama Önerisi 2240-1: Görev İş Programı
1. İç denetçiler, bir iç denetim görevine başlamadan önce iş programlarının yazılı bir onayını alırlar. İş
programı teknoloji destekli denetim ve örnekleme teknikleri gibi kullanılacak metodolojileri içerir.
2. Görev amaçlarına ulaşılması ve denetçinin objektifliğinin korunması için makul bir güvence
sağlamak amacıyla, bilgi toplama, analiz, yorumlama ve belgelendirme süreçleri kontrol edilmelidir.
Uygulama Önerisi 2330-1: Bilgilerin
Kayıtlı Hâle Getirilmesi
1. İç denetçiler, çalışma kâğıtları hazırlar. Çalışma kâğıtları, toplanan bilgileri, yapılan analizleri,
hükümlerin dayanaklarını ve görevin sonuçlarını belgelendirir. İç denetim yönetimi hazırlanan
çalışma kâğıtlarını gözden geçirir.
2. Görevle ilgili çalışma kâğıtları, genel olarak;
• görevlerin planlanması, uygulanması ve gözden geçirilmesine yardımcı olur,
• görev sonuçlarına en büyük desteği sağlar,
• görev amaçlarına ulaşılıp ulaşılmadığını gösterir,
• yapılan işin tam ve kesin olmasına destek olur,
• iç denetim faaliyetinin kalite güvence ve geliştirme programı için temel oluşturur,
• üçüncü şahısların incelemelerini kolaylaştırır.
3. Görev çalışma kâğıtlarının düzeni, tasarımı ve içeriği, görevin niteliğine, amaçlara ve kurumun
ihtiyaçlarına bağlıdır. Görev çalışma kâğıtları, görev sürecinin -planlamadan raporlamaya kadar- tüm
aşamalarını belgelendirir. İç denetim birimi çalışma kâğıtlarının hangi ortamda hazırlanacağına ve
saklanacağına karar verir.
4. İç Denetim Yöneticisi, yapılan çeşitli görev türlerine göre çalışma kâğıdı politikaları belirler. Soru
formları ve denetim programları gibi standart görev çalışma kâğıtları, bir görevin verimliliğini
artırabilir ve görevle ilgili işlerin paylaşımını kolaylaştırabilir. Çalışma kâğıtları, önemini her zaman
koruyan bilgileri içeren, 'sabit' veya 'ileride de kullanılacak görev dosyaları olarak sınıflandırılabilir. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2330.A2-1: Kayıtların Saklanması
1. Görev kayıtlarının saklanma gerekleri, farklı yargı sistemleri ve hukuk ortamlarına göre değişir.
2. İç Denetim Yöneticisi, kurumun ihtiyaçlarını ve kurumun faaliyet gösterdiği yargı sistemlerinin
hukuki gereklerini karşılayan, yazılı bir kayıt saklama politikası geliştirir.
3. Kayıt saklama politikası, dış hizmet sağlayıcılarının yerine getirdiği görevlerle ilgili kayıtların saklanmasına yönelik uygun düzenlemeleri de içermelidir. * 9 * Yayın: Ocak 2009
Uygulama Önerisi 2340-1:
Görevin Gözetim ve Kontrolü
1. İç Denetim Yöneticisi veya atadığı kişi, uygun bir şekilde görevin gözetim ve kontrolünü sağlar.
Gözetim ve kontrol, planlama ile başlayan ve görev boyunca devam eden bir süreçtir. Bu süreç şunları
içine alır:
• Görevlendirilen iç denetçilerin toplu olarak, görevi yapmaları için gerekli bilgi, beceri ve diğer
kabiliyetlere sahip olmasının sağlanması,
• Planlama safhasında gerekli talimatların verilmesi ve görev programının onaylanması,
• Gerekli ve onaylı değişiklikler söz konusu olmadıkça, onaylanmış olan görev programının
tamamlanmasının sağlanması,
9 İç denetçilerin veya iç denetim birimi adına çalışan başka kişilerin, İç Denetim Yöneticisinin
meslekî kararlarına -görevi olumsuz etkiyebilecek kadar- aykırı şekilde karar almaları riskini asgarîye
indirmek,
• Görevle ilgili önemli konularda, İç Denetim Yöneticisi ile iç denetim personelinin meslekî kararları
arasındaki farkları gidermek. Bu yol ve araçlardan bazıları, tesbit ve bulguların
• Görev çalışma kâğıtlarının; tespitleri, sonuçları ve tavsiyeleri yeterince destekleyip
desteklemediğinin değerlendirilmesi,
• Raporlamaların açık, doğru, objektif, özlü ve yapıcı olmasını ve zamanında yapılmasının
sağlanması,
• Görev amaçlarına ulaşılmasının sağlanması
• İç denetçilerin bilgi, beceri ve diğer kabiliyetlerini geliştirmeleri için uygun imkânların yaratılması.
2. İç Denetim Yöneticisi, iç denetim birimi tarafından veya iç denetim birimi adına yapıldığına
bakılmaksızın, bütün iç denetim görevlerinden ve tüm görev aşamalarında alınan bütün önemli
meslekî kararlardan sorumludur. İç Denetim Yöneticisi, ayrıca, bu sorumluluğunun gereğini yerine
getirmek için uygun araç ve yollar geliştirir. Uygun araç ve yollar terimi, aşağıdaki amaçlarla
hazırlanmış politika ve prosedürleri kapsar: tartışılması, ek araştırma ve/veya inceleme yapılması,
çalışma kâğıtlarındaki farklı görüşlerin kaydedilmesi ve farklılıkların giderilmesidir. Etik bir meselede
fikir ayrılığı olması hâlinde, konunun kurumdaki etik görevlilerine götürülmesi de 'uygun araç ve
yollar' terimi içinde değerlendirilebilir.
3. Tüm görev çalışma kâğıtları, yapılan raporlamaları gerektiği şekilde desteklediklerinden ve gerekli
tüm denetim prosedürlerinin yerine getirildiğinden emin olunacak şekilde gözden geçirilir. Gözden
geçirmenin yapıldığına dair kanıtlar, gözden geçirenin her gözden geçirmeden sonra attığı parafı ve
tarihi de içerir. Bu yönde kanıt sağlayacak diğer teknikler arasında, görev çalışma kâğıdı 'gözden
geçirme kontrol listesi'nin kullanılması, gözden geçirmenin nitelik, kapsam ve sonuçlarını gösteren bir
tutanak düzenlenmesi veya yapılan gözden geçirmeleri elektronik çalışma kâğıdı yazılımı içinde
değerlendirme ve kabul yöntemi de sayılabilir.
4. Gözden geçirme yapanlar, gözden geçirme sürecinde ortaya çıkan sorular hakkında yazılı bir kayıt
(mesela gözden geçirme notları) oluşturabilir. Gözden geçirme notları düzenlenirken, çalışma
kâğıtlarında gözden geçirme sırasında ortaya çıkan soruların cevaplandığını tevsik eden yeterli kanıt
olduğundan emin olmak gerekir. Gözden geçirme notlarının kullanılmasıyla ilgili kabul edilebilir
seçenekler şunlardır:
• Gözden geçirme notlarının, gözden geçirmeyi yapanların ortaya koyduğu sorunların, bu sorunlarla
ilgili yapılanların ve yapılanların sonuçlarının bir kaydı olarak saklanması.
• Ortaya konulan sorunlar çözüldükten ve ilgili çalışma kâğıtları istenen ek bilgileri de içerecek
şekilde değiştirildikten sonra, gözden geçirme notlarının atılması.
5. Görevin gözetim ve kontrolü, personelin eğitim ve gelişimini ve performans değerlendirmesini de hesaba katar. • * * Yayın: Ocak 2009
görev sonuçlarını kurum dışındaki taraflara iletmeden önce, kuruma doğabilecek muhtemel
riskleri değerlendirmek, uygun olduğu şekilde üst yönetim ve/veya hukuk danışmanı ile istişare
etmek ve sonuçların raporlanmasını, kullanımını kısıtlayarak, kontrol etmek zorundadır.
1. İç denetim yönetmeliği, Yönetim Kurulu‟nun çalışma usul ve esasları belirleyen yönetmelik,
kurum politikaları veya denetim sözleşmesi bilginin kurum dışına raporlanmasına ilişkin rehberlik
içerebilir. İç Denetim Yöneticisi, böyle bir rehberliğin bulunmadığı durumlarda aşağıda
belirtilenleri kapsayabilen politikaların benimsenmesine yardımcı olabilir;
• Kurum dışına bilgi raporlanması için gerekli yetkilendirme.
• Bilginin kurum dışına raporlanmasında onay alınması süreci.
• Raporlanmasına izin verilebilecek veya verilemeyecek bilgiye ilişkin kurallar.
• Bilgi almaya yetkili kurum dışı şahıslar ve alabilecekleri bilgi türleri.
• Kurum dışına bilgi raporlanması ile ilgili gizlilik düzenlemeleri, düzenleyici kurumların
gereksinimleri ve hukuki mütalaalar.
• Kurum dışına iletilecek bilgiler kapsamında yer alabilecek tavsiyelerin, önerilerin, görüşlerin,
rehberlik ve diğer bilgilerin niteliği.
2. Talepler mevcut bilgilerle (örneğin daha önce yayımlanan bir iç denetim raporu) ilgili
olabileceği gibi yeni bir iç denetim görevi veya raporu sonucunda hazırlanabilecek veya
belirlenebilecek bilgilerle de ilgili olabilir. Talep mevcut bir bilgiyle veya raporla ilgiliyse iç
denetçinin bunun kurum dışına dağıtılmasının uygun olup olmayacağına karar vermesi gerekir.
3. Belirli durumlarda, raporu kurum dışına dağıtmaya uygun hale getirmek için hâlihazırda
mevcut olan bir rapor veya bilgiye dayanan özel amaçlı bir rapor hazırlanması mümkün olabilir.
4. Kurum dışına bilgi raporlanması sırasında dikkate alınması gereken bir takım hususlar
şunlardır:
• Alıcıyla, raporlanacak bilgi ve iç denetçinin sorumlulukları ile ilgili yazılı bir anlaşma
yapılmasının faydası.
• Dağıtılan rapor veya bilginin, bilgi sağlayıcılarının, kaynaklarının, raporu imzalayanların,
alıcıların ve ilgili kişilerin tanımlanması.
• Geçerli bilginin elde edilmesinde gerçekleştirilmesi gereken amaç, kapsam ve prosedürlerin
tanımlanması.
• Görüşler, tavsiyelere yer verilmesi ya da verilmemesi, itirazlar, sınırlamalar ile sağlanması
gereken güvence veya iddiaların türünü kapsayacak şekilde raporun veya başka tür bir iletişimin
niteliği.
• Telif hakkı sorunları, bilginin kullanım amacı ve bilginin ilave dağıtımı veya paylaşılması
üzerindeki kısıtlamalar.
5. İç denetçinin, bilginin kurum dışına dağıtılmasını gerektiren denetim görevlerini yürütürken üst
yönetime veya Yönetim Kurulu‟na raporlanabilecek bir bilgi keşfetmesi durumunda, İç Denetim
Yöneticisi‟nin Yönetim Kurulu‟yla uygun iletişimi sağlaması gerekir.
Uygulama Önerisi 2500-1:
İlerlemenin Gözlenmesi
1. Sonuçların akıbetinin etkili bir şekilde gözlenebilmesi için, İç Denetim Yöneticisi aşağıdakileri
içerecek şekilde prosedürler oluşturur:
• Yönetimin rapordaki sonuçlara, tespitlere ve tavsiyelere cevap vermesi için tanınan süre,
• Yönetimin verdiği cevabın değerlendirilmesi,
• Cevabın doğrulanması (gerekiyorsa),
• Bir takip görevinin yapılması (gerekiyorsa),
• Risklerin üstlenilmesi de dahil, tatmin edici olmayan cevapların/eylemlerin uygun üst yönetim
kademelerine veya yönetim kuruluna iletilmesine yönelik bir raporlama süreci.
2. Rapordaki bazı tespitler ve tavsiyeler, yönetimin veya yönetim kurulunun derhal tedbir almasını
gerektirecek kadar önemli ise, iç denetim faaliyeti (birimi) bunlar düzeltilene veya tavsiyeler
uygulanana kadar, alınan tedbirleri izler.
3. İç denetim birimi, şunları yaparak ilerlemeyi etkili bir şekilde gözler:
• Tespit ve tavsiyelerin, tedbirleri almaktan sorumlu olan uygun yönetim kademelerine iletilmesi.
• Yönetimin tespit ve tavsiyelerle ilgili cevaplarının ve önerilen eylem planının, görev süresinde veya
görev sonuçlarının rapor edilmesinden sonra, makul bir süre içinde, alınması ve değerlendirilmesi.
Yönetimin cevapları, İç Denetim Yöneticisinin önerilen tedbirlerin zamanlamasını ve uygunluğunu
değerlendirmesi için yeterli bilgi içeriyorsa, daha faydalı olur.
• Yönetimin, raporlanan durumları düzeltmeye veya önerileri uygulamaya yönelik çabalarını
değerlendirmek için yönetimden düzenli olarak güncel bilgi alınması.
• İzleme veya düzeltme eylemlerinden sorumlu diğer birimlerden bilgi alınması ve bu bilgilerin
değerlendirilmesi.
• Tespit ve tavsiyelere alınan cevapların durumu hakkında üst yönetime ve/veya yönetim
kuruluna rapor verilmesi. • * *
Yayın: Ocak 2009
Uygulama Önerisi 2500.A1-1: Takip Süreci
1. İç denetçiler, düzeltici tedbirlerin alınıp alınmadığını veya tavsiyelerin uygulanıp
uygulanmadığını tesbit eder. İç denetçi, istenen sonuçlara ulaşılıp ulaşılmadığını ya da üst yönetimin
veya yönetim kurulunun, gerekli tedbirleri almamanın veya tavsiyeleri uygulamamanın riskini
üstlenip üstlenmediğini belirler.
2. Takip, dış denetçilerin ve diğerlerininkiler de dahil, rapor edilen tespit ve tavsiyeler üzerine
yönetimin aldığı tedbirlerin yeterliliği, etkililiği ve zamanlamasını iç denetçilerin değerlendirdiği bir
süreçtir. Bu süreç, ayrıca, üst yönetimin veya yönetim kurulunun, raporlanan tespitlere yönelik gerekli
tedbirleri almamasının veya tavsiyeleri uygulamamasının riskini üstlenip üstlenmediğini belirler.
3. İç denetim faaliyetinin (biriminin) yönetmeliğinde, takip sorumluluğu tanımlanmalıdır. İç Denetim
Yöneticisi, takibin niteliğini, zamanlamasını ve kapsamını, aşağıdaki hususları dikkate alarak, tespit
eder:
• Rapor edilen tespit veya tavsiyenin önemi,
• Rapor edilen sorunun düzeltilmesi için gereken çaba miktarı ve maliyet,
• Düzeltici tedbirin yetersiz kalmasının muhtemel etkileri,
• Düzeltici tedbirin karmaşıklığı,
• Gereken süre.
4. İç Denetim Yöneticisi, görev iş programlarının bir parçası olarak, takip görev ve faaliyetlerini
programlamaktan sorumludur. Takip programı, düzeltici tedbirlerin uygulanma zorluğu ve
zamanlamasının önemi yanında, risk ve riske maruz kalma seviyesine dayanarak yapılır.
5. İç Denetim Yöneticisi, yönetimin sözlü veya yazılı cevabının -tesbit ve tavsiyenin göreli önemi de
tartılarak- alınan tedbirin yeterli olduğuna işaret ettiğine kanaat getirdiğinde, iç denetçiler, bir sonraki
görevin bir parçası olarak bir takip çalışması yapabilir.
6. İç denetçiler, tesbitlerle ve tavsiyelerle ilgili tedbirlerin altta yatan temel şartları düzeltip düzeltmediğini saptar. Takip faaliyetleri, usulüne uygun olarak kayıtlı hâle getirilir. • * * Yayın: Ocak 2009
4. Denetim evreni ve ilgili denetim planı, yönetimin yönelimlerindeki, hedeflerindeki,
önceliklerindeki ve odaklandığı hususlardaki değişiklikleri yansıtacak şekilde güncellenir. Denetim
evreninin, kurumun en güncel stratejilerini ve yönelimlerini yansıtması için en az
4. Dahilî (doğal) risk ve artık risk (bakiye risk olarak da bilinir) iki temel risk kavramıdır.
Finansal/dış denetçiler, ilgili azaltıcı kontroller olmadığı varsayımı ile, bilgi veya verilerin
önemli bir hatâlı gösterime (mali tablolarda) hassasiyeti olarak özetlenebilecek dahili risk
kavramını uzun zamandır kullanmaktadırlar. Artık risk, Standartlarda şöyle
tanımlanmaktadır: 11
Yönetimin, olumsuz bir olayın etki ve ihtimalini azaltmak amacıyla, riski
karşılamaya yönelik kontrol faaliyetleri de dahil, aldığı tedbirlerden sonra kalan risktir."
Artık risk genellikle, "mevcut kontroller ve kontrol sistemleriyle yönetilen risk" olarak da
tanımlanır.
8. Risk yönetim süreci ve sistemleri, dünyada farklı şekillerde kurulmuştur. Kurumun risk
yönetimiyle ilgili olgunluk seviyeleri, kurumdan kuruma farklılık gösterir. Kurumların merkezî bir
risk yönetimi faaliyetinin olduğu durumlarda, bu faaliyetin rolleri arasında, iç kontrol yapısının devam
eden gözden geçirmesini de dikkate alarak yönetim ile koordinasyonu sağlamak ve yapıyı, değişen
risk iştahına göre güncellemek bulunmaktadır. Dünyanın değişik yerlerinde kullanılmakta olan risk
yönetim süreçleri farklı mantık, farklı yapı ve terminolojiye sahip olabilir. Bu yüzden, iç denetçiler,
kurumun risk yönetimi sürecinin bir değerlendirmesini yapar ve iç denetim faaliyet planının
gelişmesinde ve münferit iç denetim görevlerinin planlanmasında hangi kısımların kullanılabileceğini
belirler. 9. İç denetim planının geliştirilmesinde iç denetçilerin dikkate aldığı unsurlar şunlardır: