Bildiğimiz gibi, yeni Uluslararası Mesleki Uygulama Çerçevesinin (UMUÇ) (The International Professional Practices Framework, IPPF) İKİ ZORUNLU UNSURUNDAN birincisi olan 𝗚𝗟𝗢𝗕𝗔𝗟 İÇ 𝗗𝗘𝗡𝗘𝗧İ𝗠 𝗦𝗧𝗔𝗡𝗗𝗔𝗥𝗧𝗟𝗔𝗥𝗜 9 Ocakta 2024 tarihinde IIA tarafından yayımlanmıştı.
Evvelsi gün zorunlu unsurların ikincisi olan “𝗞𝗢𝗡𝗨𝗬𝗟𝗔 İ𝗟𝗚İ𝗟İ 𝗚𝗘𝗥𝗘𝗞𝗟İ𝗟İ𝗞𝗟𝗘𝗥”in (Topical Requirements) ilk örneği de IIA tarafından yayımlandı.
Dokümana burdan ulaşabilirsiniz.
Yalnız “Konuyla İlgili Gereklilikler” yeni UMUÇ kapsamında ilk defa yayımlanacağı için, IIA, bu doküman hakkında bir görüş alma süreci başlattı. Görüşler alındıktan sonra son halinin verileceği anlaşılıyor.
Değişen standartlarla ilgili daha önceki yazımda da belirttiğim gibi, “𝗞𝗼𝗻𝘂𝘆𝗹𝗮 İ𝗹𝗴𝗶𝗹𝗶 𝗚𝗲𝗿𝗲𝗸𝗹𝗶𝗹𝗶𝗸𝗹𝗲𝗿” risk teşkil eden belli alanlarda iç denetim hizmetlerinin kalitesini ve tutarlılığını artırmaya yönelik olarak, iç denetçileri desteklemek amacıyla hazırlanmaktadır.
İÇ DENETİM PLANLARIMIZ, Bu KONULARLA İLGİLİ BİR DENETİMİ KAPSIYORSA, bu gerekliliklere uymamız, standartlar gibi, bir ZORUNLULUK, yani tavsiye değil.
Yayımlanan Konuyla İlgili Gerekliliklerde, iç denetim hizmetlerinin üç alanı olan YÖNETİŞİM, RİSK YÖNETİM ve KONTROL süreçleriyle ilgili yerine getirilmesi gerekli hususlar belirtilmektedir.
Yayımlanan örnekte de görüldüğü üzere, Konuyla İlgili Gerekliliklerin ZORUNLU OLAN ve temel kurumsal hedefleri kapsayan bir “GEREKLİLİKLER” (Requirements) kısmı var. Bir de ZORUNLU OLMAYAN, ancak kurumsal hedeflerin tasarım ve uygulanmasını değerlendirmek için en iyi uygulama örneklerine ilişkin DİKKATE ALINABİLECEK HUSUSLAR (Considerations) kısmı (Ek: A) bulunmaktadır.
Konuyla İlgili Gerekliliklere uyum, iç denetim kalite güvence çalışmaları sırasında da değerlendirilmesi gerekmektedir. Bu nedenle, bir kalite incelemesine hazırlık aşamasında, uygunluğu göstermek amacıyla, denetçiler tarafından her bir gerekliliğe uygunluğun sağlanıp sağlanmadığı ve sağlanmıyorsa, neden sağlanamadığına ilişkin açıklamaların da doküman ekinde (Ek: B) gösterilen şekilde belirtilmesi gerekmektedir.
Ben IIA’in araştırmasına katıldım ve örneği genel olarak uygun ve faydalı bulduğumu belirttim.
Bu ilk gereklilik, siber güvenlikle ilgili. Konu olarak da, risk araştırmalarında bir numaralı risk olarak çıkan siber güvenlik konusunun seçilmesini de faydalı buldum.
Dokümanla ilgili olarak sizler de görüşlerinizi buradan ankete katılarak bildirebilirsiniz.
Konu siber güvenlikle ilgili olduğu için, özellikle IT denetçisi arkadaşlar dokümanı içerik açısından da değerlendirerek görüşlerini bildirebilirlerse çok faydalı olur.
İyi çalışmalar,
Dr. Nazif Burca 