Bu yazımda IIA tarafından 1 Mart 2023 tarihinde kamuoyunun görüşü alınmak üzere açıklanan taslak iç denetim standartlarıyla getirilmesi planlanan önemli değişiklikler, değişiklerin amacı ve değişim süreci hakkında bilgi vermek istiyorum.
Bilindiği üzere iç denetim standartları en son Ocak 2017’den geçerli olmak üzere Ekim 2016’da yenilenmişti. 2020 yılından beri devam eden değişim çalışmaları sonucunda IIA Standartlar Kurulu tarafından hazırlanan yeni standartlar 1 Mart 2023 tarihi itibariyle kamuoyunun görüşüne açıldı. Görüş alma, 30 Mayıs’a kadar, yani 90 gün sürecek. Kamuoyu görüşü alındıktan sonra nihai Standartların 2023’ün sonlarına kadar yayımlanması ve yayımlandıktan 12 ay sonra yürürlüğe girmesi planlanıyor. Bu sefer yapılan çalışmada, daha önceki yapılan revizelerden farklı olarak, standartların yapısı tamamen değiştiriliyor.
Yapılan ana değişiklikler aşağıda açıklanmıştır:
Standartların İsmi Değişiyor: Standartların daha önceki ismi “Uluslararası İç Denetim Meslekî Uygulama Standartları” (The International Standards for the Professional Practice of Internal Auditing) iken yeni yapıda “Global İç Denetim Standartları” (The Global Internal Audit Standards) olarak değiştirilmekte ve “Global” ya da “Küresel” kelimesi eklenmektedir. İç denetim standartlarının global/küresel olarak uygulanan/kabul gören standartlar olması nedeniyle, bu ifadenin katılmasının yerinde olduğu kanaatindeyim.
UMUÇ’un Yapısı Değiştirilmektedir: En büyük değişiklik olarak, Uluslararası Mesleki Uygulama Çerçevesinin yapısı değiştirilmektedir. Bilindiği üzere IIA’in Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) (The International Professional Practices Framework, IPPF) iç denetim uygulayıcılarına yönelik mesleki çerçevedir. UMUÇ, “Zorunlu Rehber” (mandatory guidance) ve “Tavsiye Edilen Rehber” (recommended guidence) olmak üzere iki kısımdır. Zorunlu rehberin dört unsuru bulunmaktadır. Bunlar:
- İç denetim mesleki uygulaması için ana prensipler (core principles)
- İç denetimin tanımı (internal audit definition)
- Etik kurallar (code of ethics) ve
- Standartlar (standards)
Tavsiye edilen rehber ise; “Uygulama Rehberleri” (implemantation guidence) ve “Tamamlayıcı Rehber”den (suplemental guidance) oluşmaktadır. Uluslararası Mesleki Uygulama Çerçevesi’nin zorunlu unsurları ve tavsiye edilen rehberlerini ve misyonunun hepsini bir araya getiren dokümanı “Kırmızı Kitap” (Red Book) olarak adlandırıyoruz.
Yeni yapıda UMUÇ yine duruyor, ancak yapısı değişiyor. Eski yapı ve yeni önerilen yapı aşağıdaki resimlerde görülüyor.
Resimde de görüldüğü üzere mevcut UMUÇ’u oluşturan; altı unsur yani,
- İç Denetim Mesleki Uygulaması İçin Ana Prensipler,
- İç Denetimin Tanımı,
- Etik Kurallar,
- Standartlar,
- İç Denetimin Misyonu,
- Tavsiye edilen Uygulama Rehberleri, Global İç Denetim Standartları çatısı altında birleştirilerek yeni standartlar oluşturuluyor.
Yeni UMUÇ’ta da genel anlamda zorunlu ve tavsiye edilen ayrımı sürüyor. Yeni UMUÇ’un üç unsuru var:
- Global İç Denetim Standartları: Temel iç denetim konularında evrensel olarak uygulanabilir gerekliliklerdir.
- Konuyla İlgili Gereklilikler (Topical Requirements): Kontrol, risk yönetimi ve yönetişimi kapsayan belirli denetim konularına ilişkin gerekliliklerdir. Topikal Gereklilikler, IPPF’nin bir parçası olarak Standartlar ve Rehber/Kılavuza ek olarak kabul edilmektedir. Tavsiye değil, gerekliliktir.
- Rehber (Guidance): İç denetim hizmetlerinin yürütülmesi için tavsiye edilen uygulamaları kapsamaktadır. Dolayısıyla rehberler uyulması zorunlu olan değil, önerilen iyi uygulamaları göstermektedir.
Görüldüğü üzere UMUÇ’un dört adet zorunlu unsuru, iç denetimin misyonu ve tavsiye edilen unsurları birleştirilerek tek doküman altında birleştiriliyor. Dikkat edileceği üzere Tavsiye Edilen Rehberin Tamamlayıcı Rehber kısmı yeni UMUÇ içerisinde yer almıyor sadece Uygulama Rehberi yeni UMUÇ’da yer alıyor. Bu şekilde altı adet unsurun tek çatı altında toplanması bir kullanım kolaylığı sağlıyor. Böylece UMUÇ kullanımı ve anlaşılması daha kolay bir doküman haline geliyor.
Yeni yapıda Global İç Denetim Standartları beş ana alan/bölümden oluşuyor:
Alan I: İç Denetimin Amacı: Bu kısım, mevcut iç denetimin tanımı ve İç Denetimin Misyonu kısımlarını birleştirerek, iç denetimin kuruluşların başarıya ulaşmasına nasıl yardımcı olduğunu ve iç denetimi en etkili kılan koşulları ifade ediyor.
Alan II: Etik ve Profesyonellik: Etik Kurallarını ve uygulayıcıların davranışlarına ilişkin standartları içeriyor.
Alan III: İç Denetim Fonksiyonunun Yönetişimi: Bu kısımda Yönetim Kurulunun rolüne açıklık getiriliyor.
Alan IV: İç Denetim Fonksiyonunu Yönetme: Bu kısım, iç denetim yöneticisinin rolünü ve bir iç denetim fonksiyonunu etkili bir şekilde yönetme konusundaki sorumluluklarını netleştiriyor.
Alan V: İç Denetim Hizmetlerinin Yürütülmesi: Bu kısım iç denetçilerin yüksek kalitede hizmetler vermesini sağlamak için ek gereksinim ve uygulamaları içeriyor.
Bu alanlardan bazıları tamamen yeni oluşturulmuş bazıları ise eski unsurların birleştirilmesinden oluşturulmuş. Örneğin “İç Denetimin Amacı” ve “İç Denetim Fonksiyonunun Yönetişimi” kısmı tamamen yeniyken “Etik ve Profesyonellik”, “İç Denetim Fonksiyonunu Yönetme” ve “İç Denetim Hizmetlerinin Yürütülmesi” daha önceki yapıda da yer alan kısımların birleştirilmesi ve yeni yapılan ilaveler ile oluşturulmuş.
Standartların yapısı değiştiriliyor: Bildiğimiz gibi, mevcut standartlar “nitelik” ve “performans” standartları olmak üzere iki çeşit. Nitelik standartları iç denetim yapan kurumların ve kişilerin niteliklerine/özelliklerine yönelik. Performans Standartları (Performance Standards) ise, iç denetim hizmetlerinin tabiatını açıklayan ve bu hizmetlerin performansının değerlendirilmesinde kullanılan performans kriterlerini sağlıyor ve bunlar iç denetim hizmetinin nasıl gerçekleştirileceğine ilişkin. Mevcut standartların altında, ilgili standartlarda geçen terim ve kavramları açıklığa kavuşturan “Yorumlar” ve ilgili standara ilişkin “Güvence” (A, Assurance) veya “Danışmanlık” (C, Consultancy) hizmetlerine uygulanabilecek gereklilikleri belirten Uygulama Standartları (Implementation Standards) yer almaktadır.
Yeni yapıda ise bu yapı tamamen değiştiriliyor. Artık nitelik ve performans standartları ayrımı yok. Yorumlar kısmı bulunmuyor. Güvence ve Danışmanlık kısımları ayrımı A ve C şeklinde belirtilmiyor standartların içerisine bu ayrımlar yedirilmiş durumdalar. Numaralandırma tamamen değişiyor.
Yeni yapıda her bir alanın (Domain) altında o alanla ilgili önce genel açıklamalar verilmekte ondan sonra o alanla ilgili “Prensipler” yer almaktadır. Prensiplerin altında ise o Prensiple ilgili Standart ve bu Standartın “Gereklilikleri” (Requirements) yer almaktadır. Bu Gerekliliklerden sonra, “Uygulamaya ilişkin Hususlar” ve bu standartlarla ilgili “Uygunluk Kanıtına İlişkin Hususlar” kısmı (Considiration for Implementation and Evidence of Conformance) gelmektedir. “Uygulamayla İlgili Hususlar”, gereksinimlerin uygulanması için yaygın ve tercih edilen uygulamaları açıklıyor, “Uygunluk Kanıtına İlişkin Hususlar” kısmı ise, gereksinimlerin uygulandığını gösteren örnek uygulamalara ilişkin kanıtlarını ifade ediyor. Dolayısıyla yeni yapıda Prensipler, Standartlar, Uygulamaya ve Uygunluk kanıtına İlişkin Hususların tamamı Global/Küresel İç Denetim Standartlarını oluşturuyor.
Mevcut Standartlar ile yeni standartların karşılaştırmasına ilişkin IIA tarafından hazırlanan dokümana bu linkden (https://www.theiia.org/globalassets/site/standards/ippf/standards-mapping.pdf) ulaşabilirsiniz.
Yeni yapıda 5 alanın altında toplam 15 prensip ve bunlara ilişkin toplam 51 adet standart yer almaktadır.
Yeni yapıda yer alan alanlar, prensipler ve ilgili standartlar aşağıda belirtilmiştir:
| ALAN I. İÇ DENETİMİN AMACI |
| ALAN II. ETİK VE PROFESYONELLİK |
| Prensip 1 Dürüstlük Göster |
| Standart 1.1 Dürüstlük ve Cesaret |
| Standart 1.2 Kuruluşun Etik Beklentileri |
| Standart 1.3 Yasal ve Profesyonel Davranış |
| Prensip 2 Tarafsızlığı Sürdür |
| Standart 2.1 Bireysel Tarafsızlık |
| Standart 2.2 Tarafsızlığı Koruma |
| Standart 2.3 Tarafsızlığa İlişkin Bozulmaların Açıklanması |
| Prensip 3 Yetkinliği Göster |
| Standart 3.1 Yetkinlik |
| Standart 3.2 Sürekli Mesleki Gelişim |
| Prensip 4 Azami Mesleki Özen Göster |
| Standart 4.1 Küresel İç Denetim Standartlarına Uygunluk |
| Standart 4.2 Gerekli Profesyonel Özen |
| Standart 4.3 Profesyonel Şüphecilik |
| Prensip 5 Gizliliği Koru |
| Standart 5.1 Bilgilerin Kullanımı |
| Standart 5.2 Bilgilerin Korunması |
| ALAN III. İÇ DENETİM FONKSİYONUNUN YÖNETİŞİMİ |
| Prensip 6 Kurul Tarafından Yetkilendirilmiştir |
| Standart 6.1 İç Denetim Yetkisi |
| Standart 6.2 Kurul Desteği |
| Prensip 7 Bağımsız Olarak Konumlandırılmıştır |
| Standart 7.1 Organizasyonel Bağımsızlık |
| Standart 7.2 İç Denetim Yönetici Rolleri, Sorumlulukları ve Nitelikleri |
| Standart 7.3 Bağımsızlığın Korunması |
| Prensip 8 Kurul Tarafından İzlenir |
| Standart 8.1 Kurul Etkileşimi |
| Standart 8.2 Kaynaklar |
| Standart 8.3 Kalite |
| Standart 8.4 Dış Kalite Değerlendirmesi |
| ALAN IV. İÇ DENETİM FONKSİYONUNUN YÖNETİLMESİ |
| Prensip 9 Stratejik Şekilde Planlar |
| Standart 9.1 Yönetişim, Risk Yönetimi ve Kontrol Süreçlerini Anlamak |
| Standart 9.2 İç Denetim Stratejisi |
| Standart 9.3 İç Denetim Yönetmeliği |
| Standart 9.4 Metodolojiler |
| Standart 9.5 İç Denetim Planı |
| Standart 9.6 Koordinasyon ve Güven |
| Prensip 10 Kaynakları Yönetir |
| Standart 10.1 Mali Kaynak Yönetimi |
| Standart 10.2 İnsan Kaynağı Yönetimi |
| Standart 10.3 Teknolojik Kaynaklar |
| Prensip 11 Etkili İletişim Kurar |
| Standart 11.1 Paydaşlarla İlişki Kurma ve İletişim |
| Standart 11.2 Etkili İletişim |
| Standart 11.3 Sonuçların Bildirilmesi |
| Standart 11.4 Hatalar ve Eksiklikler |
| Standart 11.5 Risklerin Kabulünün İletişimi |
| Prensip 12 Kaliteyi Artırır |
| Standart 12.1 Dahili Kalite Değerlendirmesi |
| Standart 12.2 Performans Ölçümü |
| Standart 12.3 Görev Performansının Sağlanması ve İyileştirilmesi |
| ALAN V. İÇ DENETİM HİZMETLERİNİN YÜRÜTÜLMESİ |
| Prensip 13 Görevleri Etkili Bir Şekilde Planla |
| Standart 13.1 Görev İletişimi |
| Standart 13.2 Görev Risk Değerlendirmesi |
| Standart 13.3 Görev Amaçları ve Kapsamı |
| Standart 13.4 Değerlendirme Kriterleri |
| Standart 13.5 Görev Kaynakları |
| Standart 13.6 Çalışma Programı |
| Prensip 14 Görev Çalışmalarını Yürüt |
| Standart 14.1 Analiz ve Değerlendirme için Bilgi Toplama |
| Standart 14.2 Analizler ve Potansiyel Görev Bulguları |
| Standart 14.3 Bulguların Değerlendirilmesi |
| Standart 14.4 Öneriler ve Aksiyon Planları |
| Standart 14.5 Görev Sonuçlarının Geliştirilmesi |
| Standart 14.6 Görevlerin Dokümantasyonu |
| Prensip 15 Görev Sonuçlarının Bildir ve Aksiyon Planlarını İzle |
| Standart 15.1 Görevin Son İletişimi |
| Standart 15.2 Aksiyon Planlarının Uygulandığının Teyidi |
İç denetimin amacı düzenleniyor: Mevcut Çerçevede iç denetimin tanımı ve misyonu ayrı ayrı unsur olarak bulunurken yeni yapıda bunlar birleştirilerek iç denetimin amacı şeklinde yeni bir alan oluşturulmuş. Bu kısım iç denetimin organizasyonlara nasıl yardımcı olacağı belirtiliyor. İç denetimin mevcut tanımında bir değişiklik yapılmadan yeni standartların sözlük bölümüne konulmuş.
Sözlük kısmına yeni terimler ilave edilmiş: Yeni sözlükte kriter, bulgu, kalıntı risk, kök neden gibi yeni terimler tarif edilmiş. Mevcut sözlük ile yeni sözlük arasındaki değişimi ve gerekçelerini gösteren, karşılaştırma dokümanına bu linkten (https://www.theiia.org/globalassets/site/standards/ippf/disposition-of-glossary.pdf) ulaşabilirsiniz.
Kamu sektörü için ayrı açıklamalar yapılıyor: İç denetim uygulamalarında kamu sektörü için özellik arz eden durumlarda, Uygulamaya İlişkin Hususlar kısmı içerisinde, kamu sektörü başlığı altında bu özellik arz eden durum açıklanmış. Bu da daha önceki standartlardan bir farklılık olarak görülüyor.
IIA tarafından yapılan açıklamalarda standartlarda yapılan değişikliklerin bazı amaçlarının aşağıdaki gibi olduğu ifade edilmiştir:
- Uluslararası Mesleki Uygulama Çerçevesinin (IPPF) yapısı basitleştirmek, kullanımı kolaylaştırmak,
- İç denetimin amacını ilgili paydaşlara anlatmak,
- Kamu sektörü, küçük departmanlar ve danışmanlık hizmetleri için farklılıkları netleştirmek,
- İç denetim fonksiyonunun yönetilmesinde yönetim kurulun rolünü açıklığa kavuşturmak,
- İç denetimin işlevleri ve çeşitli faaliyetler için, iç denetim yöneticileri ve iç denetçilerin rollerini netleştirmek,
- Standartları yalnızca iç denetçilere değil, aynı zamanda paydaşlara ve düzenleyicilere de iletebilmek ve
- İç denetim performansını ve kalitesini geliştirmek ve böylece kurumsal değeri koruyup ve geliştirmek.
Sonuç olarak standartlarda yapılan bu değişikliklerin IIA tarafından yukarıda belirtilen amaçların gerçekleştirilmesi açısından faydalı olduğu kanaatindeyim.
Dr. Nazif Burca 