Risk Odaklı Denetim Planlaması

Denetim faaliyetlerinin kapsamının genişlemesi, denetim kaynaklarının sınırlı kalması ve kurumsal risklerin çeşitlenmesi, denetim planlamasında öncelik belirlemeyi zorunlu kılmıştır. Bu zorunluluk, risk odaklı denetim planlaması yaklaşımını benimsenmesinin temel gerekçesini oluşturmuştur.

Risk odaklı denetim yaklaşımda denetim kaynakları, yüksek risk içeren alanlara yönlendirilerek denetimin etkinliği artırılmaktadır (Kır, 2016).

Institute of Internal Auditors (IIA)’ya göre, iç denetim yöneticisi risk odaklı bir denetim planı oluşturmakla yükümlüdür. İç denetim yöneticisi risk odaklı planın hazırlanması sürecinde üst yönetim ve yönetim kuruluna danışarak kurumun stratejilerini, temel iş hedeflerini, karşı karşıya olduğu riskleri ve risk yönetim süreçlerini anlamalıdır. Ayrıca, kurumun faaliyetlerinde, risk yapısında, operasyonlarında, programlarında, sistemlerinde ve iç kontrol mekanizmalarında meydana gelen değişiklikler doğrultusunda denetim planını düzenli olarak gözden geçirmeli ve gerekli durumlarda güncellemelidir (IIA, 2016).

Benzer bir ifade Sermaye Piyasası Kurulu (SPK) tarafından yayınlanan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) kapsamında da yer almaktadır. Buna göre, bilgi sistemleri denetçisi denetim kapsamında inceleyeceği sistem, faaliyet ve kontrol mekanizmalarını risk odaklı bir yaklaşımla ve önemlilik kriterini esas alarak yazılı bir plan çerçevesinde belirlemelidir (SPK, 2018).

Risk Odaklı Denetim Süreci

Risk tabanlı denetim süreci, risklerin belirlenmesi ve önceliklendirilmesine dayalı olarak yapılandırılmış aşamalardan oluşmaktadır.

Şekil 1: Risk Odaklı İç Denetim Süreci (Erarslan ve Orçanlı, 2025).

Şekil 1’de risk odaklı iç denetim sürecinin çerçevesi gösterilmektedir. Ancak denetimin türünden bağımsız olarak, risk odaklı denetim süreci genel olarak benzer aşamalar çerçevesinde yürütülmektedir;

  • Denetim evreninin belirlenmesi: Kurumun tüm faaliyet, süreç ve birimlerinin kapsamlı biçimde tanımlanarak denetim kapsamına alınabilecek alanların ortaya konulması,
  • Makro düzey risk değerlendirmesi: Kurumsal ölçekte risklerin genel bir perspektifle analiz edilmesi ve yüksek risk içeren alanların belirlenmesi,
  • Denetim alanlarının önceliklendirilmesi: Risklerin olasılık ve etkilerine göre sıralanması ve denetim kaynaklarının yönlendirileceği alanların seçilmesi,
  • Denetim planı ve programının hazırlanması: Öncelikli risk alanlarına göre denetim kapsamı, süresi ve yöntemlerinin planlanması,
  • Mikro risk analizi ve ön çalışma: Denetim konusu özelinde ayrıntılı risk değerlendirmesi yapılarak süreç ve kontrol yapısının incelenmesi,
  • Saha çalışması: Denetim programı doğrultusunda veri toplama, test etme ve kanıt elde etme faaliyetlerinin yürütülmesi,
  • Raporlama: Denetim bulgularının, riskler ve kontrol zafiyetleri ile birlikte sistematik ve kanıta dayalı biçimde sunulması,
  • İzleme ve geri besleme: Denetim önerilerinin uygulanma durumunun takip edilmesi ve elde edilen sonuçların sonraki denetim süreçlerine aktarılması.

Yükseköğretim Kurulu İç Denetim Birimi (2024) tarafından ortaya konulan çerçeveye göre, denetim birimlerinin risk değerlendirme süreçlerinde dikkate alması önerilen başlıca risk faktörlerini;

  • Karmaşıklık: Süreç veya faaliyetlerin çok bileşenli ve analizinin güç olması,
  • Yapısal değişiklikler: Organizasyonel yapı veya iş süreçlerinde meydana gelen önemli dönüşümler,
  • Mali etkiler: Faaliyetlerin bütçe ve kaynak kullanımı üzerindeki etkileri,
  • Sosyal etkiler: Çalışanlar, hizmet alanlar ve toplum üzerindeki yansımalar,
  • İtibar etkileri: Kurumsal itibar ve kamuoyu algısı üzerindeki olası etkiler,
  • Yönetim hassasiyeti: Üst yönetim tarafından önceliklendirilen alanlar,
  • Önceki denetim sonuçları: Geçmiş denetim bulguları ve tekrar eden kontrol zafiyetleri

şekilde sıralanmaktadır. Bunların yanı sıra denetim birimleri denetlenen kurumun faaliyetlerini göz önüne alarak çeşitli risk faktörleri tespit ederek uygulayabilmektedir.

Kaynaklar

Institute of Internal Auditors (IIA). (2016). Mesleki uygulama çerçevesi kapsamında uluslararası iç denetim standartları (standartlar). IIA. https://www.theiia.org/globalassets/site/standards/mandatory-guidance/ippf/2017/ippf-standards-2017-turkish.pdf

Kır, H. (2016). STRATEJİK DENETİM VE DENETİMDE RİSK ODAKLILIK. Denetişim, 4, 47-61. https://izlik.org/JA78ES78GD

Sermaye Piyasası Kurulu (SPK). (2018). Bilgi sistemleri bağımsız denetim tebliği (III-62.2). https://spk.gov.tr/data/636df0c51b41c61a944eb99a/III-62.pdf

Yükseköğretim Kurulu İç Denetim Birimi. (2024). Risk tabanlı iç denetim yaklaşımı ve uygulamaları. https://icdenetim.yok.gov.tr/documentFiles/1760700533457.risk-tabanli-ic-denetim-yaklasimi-ve-uygulamalari.pdf

Erarslan, İ., & Orçanlı, K. (2025). MONITORING ACTIVITY IN THE RISK-ORIENTED INTERNAL AUDIT: A MODEL PROPOSAL. Denetişim, 32, 10-19. https://doi.org/10.58348/denetisim.1537295

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir