EN
TR
KALİTE YÖNETİM STANDARDI 1
Finansal Tabloların Bağımsız Denetim Veya Sınırlı Bağımsız Denetimleri ile Diğer Güvence Denetimleri veya İlgili Hizmetleri Yürüten Bağımsız Denetim Şirketleri İçin Kalite Yönetimi
Giriş
Kapsam
1. Bu Kalite Yönetim Standardı (KYS), denetim şirketlerinin; finansal tabloların bağımsız denetim veya sınırlı bağımsız denetimleri ile diğer güvence denetimleri veya ilgili hizmetlere ilişkin kalite yönetim sistemi tasarlama, uygulama ve sistemin işleyişini sağlama sorumluluklarını düzenler.
Bu Standartta, ilgili diğer mevzuata aykırılık teşkil eden hükümlerin bulunması durumunda, denetim şirketi söz konusu mevzuata uymak zorundadır.
2. Denetimin kalitesinin gözden geçirilmesi (bundan sonra kalitenin gözden geçirilmesi olarak kullanılacaktır), denetim şirketinin kalite yönetim sisteminin bir parçasını oluşturur ve
(a) Bu KYS, denetim şirketinin, kalitesi gözden geçirilmesi gereken denetimlere yönelik politika veya prosedürler oluşturma sorumluluklarım düzenler.
(b) KYS 21, denetimin kalitesini gözden geçirecek kişinin (bundan sonra kaliteyi gözden geçiren kişi olarak kullanılacaktır) atanması, liyakati ve söz konusu gözden geçirmenin yürütülmesi ve belgelendirilmesine ilişkin hususları düzenler.
1 KYS 2 Denetimin Kalitesinin Gözden Geçirilmesi
3. Kurum tarafından yayımlanan mevzuat;
(a) Denetim şirketinin, KYS’lere veya en az KYS’lerde öngörülen yükümlülükleri2 karşılayacak muhtevadaki diğer düzenlemelere tabi olduğu ön kabulüne dayanır ve
(b) Denetimin kalitesinin yönetilmesine ilişkin olarak sorumlu denetçiler ve denetim ekibinin diğer üyelerine yönelik hükümler içerir. Örneğin BDS 220 (Revize), sorumlu denetçi ve bağımsız denetçinin finansal tabloların bağımsız denetiminin kalitesine yönelik belirli sorumluluklarını düzenler. (Bkz.: A1 paragrafı)
2 BDS 220 (Revize) Finansal Tabloların Bağımsız Denetiminde Kalite Yönetimi, 3 üncü paragraf
4. KYS 1, etik hükümlerle birlikte uygulanır. Mevzuat veya etik hükümler, denetim şirketinin kalite yönetimine ilişkin olarak bu KYS’de belirtilen sorumluluklarına ilave sorumluluklar getirebilir. (Bkz.: A2 paragrafı)
5. KYS 1, finansal tabloların bağımsız denetim veya sınırlı bağımsız denetimleri ile diğer güvence denetimleri veya ilgili hizmetleri yürüten denetim şirketleri için geçerlidir (diğer bir ifadeyle, söz konusu denetimlerden herhangi birini yürüten denetim şirketi KYS l’i uygular. KYS l’e uygun olarak oluşturulan kalite yönetim sistemi, denetim şirketinin söz konusu denetimleri tutarlı bir şekilde yürütmesini sağlar).
Denetim Şirketinin Kalite Yönetim Sistemi
6. Kalite yönetim sistemi, sürekli ve yinelenen bir şekilde işler. Bu sistem, denetim şirketinin ve yürüttüğü denetimin niteliği ve şartlarındaki değişimlere karşılık verecek mahiyette olup, doğrusal bir şekilde işlemez. Bununla birlikte, bu KYS’nin amaçları doğrultusunda bir kalite yönetim sistemi aşağıdaki sekiz unsurdan oluşur: (Bkz.: A3 paragrafı)
(a) Denetim şirketinin risk değerlendirme süreci,
(b) Üst yönetim ve liderlik yapısı,
(c) Etik hükümler,
(d) Müşteri ilişkisinin ve belirli bir sözleşmenin kabulü ve devam ettirilmesi,
(e) Denetimin yürütülmesi,
(f) Kaynaklar,
(g) Bilgi ve iletişim,
(h) İzleme ve düzeltme süreci.
7. KYS 1, denetim şirketinin, kalite yönetim sistemi unsurlarının tasarımı, uygulanması ve işleyişinde birbiriyle bağlantılı ve koordineli olacak şekilde risk esaslı bir yaklaşım uygulamasını gerektirir. Bu sayede denetim şirketi, yürüttüğü denetimin kalitesini proaktif bir şekilde yönetebilir. (Bkz.: A4 paragrafı)
8. Risk esaslı yaklaşım, aşağıdakiler aracılığıyla KYS 1 hükümlerine dâhil edilmiştir:
(a) Kalite hedeflerinin belirlenmesi. Denetim şirketi tarafından belirlenen kalite hedefleri, denetim şirketinin kalite yönetim sisteminin unsurlarıyla ilgili olarak gerçekleştireceği hedeflerden oluşur. Denetim şirketinin, KYS 1’de belirtilen kalite hedeflerini ve kalite yönetim sisteminin hedeflerini gerçekleştirmek için gerekli gördüğü ilave kalite hedeflerini oluşturması gerekir.
(b) Kalite hedeflerinin gerçekleştirilmesine ilişkin risklerin (bu KYS’de kalite riski olarak ifade edilir) belirlenmesi ve değerlendirilmesi. Denetim şirketinin, kalite risklerine karşı yapılacak işlerin tasarımı ve uygulanmasına ilişkin bir dayanak oluşturmak amacıyla kalite risklerini belirlemesi ve değerlendirmesi gerekir.
(c) Kalite risklerine karşı yapılacak işlerin tasarlanması ve uygulanması. Kalite risklerine karşı yapılacak işlerin niteliği, zamanlaması ve kapsamı kalite riskleri için yapılan değerlendirmelerin gerekçelerine dayanır ve bunlara karşılık verecek mahiyettedir.
9. KYS 1, denetim şirketi adına kalite yönetim sisteminin nihai sorumluluğu ile hesap verme yükümlülüğünün verildiği kişi veya kişilerin, yılda en az bir kez kalite yönetim sistemini değerlendirmesini ve kalite yönetim sisteminin, 14 (a) ve (b) paragraflarında belirtilen amaçlara ulaşıldığına dair denetim şirketine makul güvence sağlayıp sağlamadığı konusunda bir sonuca varmasını zorunlu kılar. (Bkz.: A5 paragrafı)
Ölçeklenebilirlik
10. Denetim şirketi, risk esaslı bir yaklaşım uygularken aşağıdakileri dikkate alır:
(a) Denetim şirketinin niteliği ve içinde bulunduğu şartlar ve
(b) Yürütülen denetimin niteliği ve içinde bulunduğu şartlar.
Dolayısıyla, denetim şirketinin kalite yönetim sisteminin tasarımı, özellikle de sistemin karmaşıklığı ve uyguladığı yöntemler farklılık gösterir. Örneğin, borsada işlem gören işletmelerin finansal tablolarının bağımsız denetimi dâhil olmak üzere çeşitli işletmeler için farklı türlerde denetim yapan bir denetim şirketinin, yalnızca finansal tabloların sınırlı bağımsız denetimini veya finansal bilgilerin derleme işini yürüten bir denetim şirketine göre muhtemelen daha karmaşık ve daha farklı yöntemlerin uygulandığı bir kalite yönetim sistemine ve bunu destekleyici bir belgelendirme sistemine sahip olması gerekecektir.
Denetim Ağlan ve Hizmet Sağlayıcılar
11. KYS 1, denetim şirketinin aşağıdaki durumlardaki sorumluluklarını ele alır:
(a) Denetim şirketinin; bir denetim ağı içinde yer alması ve denetim ağından kaynaklanan yükümlülükleri yerine getirmesi veya kalite yönetim sisteminde ya da denetimin yürütülmesinde denetim ağı hizmetlerini kullanması veya
(b) Denetim şirketinin; kalite yönetim sisteminde veya denetimin yürütülmesinde bir hizmet sağlayıcının kaynaklarını kullanması.
Denetim şirketi, denetim ağından kaynaklanan yükümlülükleri yerine getirse veya denetim ağı hizmetlerinden ya da bir hizmet sağlayıcının kaynaklarından faydalansa dâhi kendi kalite yönetim sisteminden sorumludur.
Uygulama Alanı
12. Denetim şirketinin KYS 1’i uygulama amacı 14 üncü paragrafta yer almaktadır. KYS 1 aşağıdaki hususları içerir: (Bkz.: A6 paragrafı)
(a) Denetim şirketinin 14 üncü paragrafta belirtilen amaca ulaşabilmesini sağlamak için tasarlanan ana hükümler, (Bkz.: A7 paragrafı)
(b) Açıklayıcı hükümler ve uygulama bölümü, (Bkz.: A8 paragrafı)
(c) KYS 1’in doğru anlaşılmasına ilişkin bir çerçeve sağlayan giriş bölümü ve
(d) Tanımlar bölümü. (Bkz.: A9 paragrafı)
Yürürlük Tarihi
13. KYS 1’e uygun kalite yönetim sistemlerinin 31/12/2023 tarihi itibarıyla tasarlanması ve uygulanması gerekmekte olup, erken uygulama teşvik edilir. Bununla birlikte, KYS 1’in 53 ve 54 üncü paragrafları uyarınca yapılması gereken kalite yönetim sistemi değerlendirmesinin 31/12/2023 tarihinden itibaren bir yıl içinde gerçekleştirilmesi gerekir.
Amaç
14. Denetim şirketinin amacı, yürüttüğü finansal tabloların bağımsız denetim veya sınırlı bağımsız denetimleri ile diğer güvence denetimleri veya ilgili hizmetlere ilişkin olarak;
(a) Denetim şirketi ve personelinin, sorumluluklarını mesleki standartlara ve mevzuat hükümlerine uygun olarak yerine getirdiği ve denetimi söz konusu standartlara ve mevzuat hükümlerine uygun yürüttüğü ve
(b) Denetim şirketi (sorumlu denetçi) tarafından düzenlenen raporların içinde bulunulan şartlara uygun olduğu hususlarında kendisine makul güvence sağlayan bir kalite yönetim sistemi tasarlamak, uygulamak ve sistemin işleyişini sağlamaktır.
15. Kaliteli denetimlerin tutarlı bir şekilde yürütülmesi kamu yararına hizmet eder. Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi, denetim şirketine kalite yönetim sisteminin 14 (a) ve (b) paragraflarında belirtilen amaçlarına ulaşıldığına dair makul bir güvence sağlayarak, kaliteli denetimlerin tutarlı bir şekilde yürütülmesine imkân tanır. Kaliteli denetimler; denetimlerin mesleki standartlara ve mevzuat hükümlerine uygun olarak planlanması, yürütülmesi ve raporlanmasıyla gerçekleştirilebilir. Mesleki standartların amaçlarına ulaşılması ve mevzuat hükümlerine uygunluk sağlanması, mesleki muhakemenin kullanılmasını ve denetimin türüne bağlı olarak mesleki şüphecilik içinde hareket edilmesini gerektirir.
Tanımlar
16. Aşağıdaki terimler KYS 1’de karşılarında belirtilen anlamlarıyla kullanılmıştır:
(a) Denetim şirketinin kalite yönetim sistemindeki eksiklik (Bu KYS’de eksiklik olarak ifade edilmektedir): Eksiklik aşağıdaki durumlarda ortaya çıkar: (Bkz.: A10, A159-A160 paragrafları)
(i) Kalite yönetim sisteminin hedefine ulaşmak için gerekli olan kalite hedefinin belirlenmemesi,
(ii) Kalite riski veya risklerinin belirlenmemesi ya da uygun şekilde değerlendirilmemesi, (Bkz.: A11 paragrafı)
(iii) Risklere karşı yapılacak iş veya işlerin uygun bir şekilde tasarlanmaması, uygulanmaması veya etkin bir şekilde işlememesi nedeniyle söz konusu işlerin ilgili kalite riskinin gerçekleşme ihtimalini kabul edilebilir düşük bir seviyeye indirememesi veya
(iv) Kalite yönetim sisteminin diğer yönlerinden birinin; KYS l’in hükümlerinden birinin yerine getirilmemesine neden olacak şekilde eksik olması, uygun şekilde tasarlanmaması, uygulanmaması veya etkin bir şekilde işlememesi. (Bkz.: A12 paragrafı)
(b) Çalışma kâğıtları: Yapılan çalışmaya, elde edilen sonuçlara ve denetçinin ulaştığı sonuçlara ilişkin kayıtlardır.
(c) Sorumlu denetçi3: Denetim şirketi tarafından atanan, denetimden, denetimin yürütülmesinden ve denetim şirketi adına düzenlenen rapordan sorumlu olan ve Kurumun onayı alınmak suretiyle görevlendirilmiş denetim şirketi yöneticisi, şirketteki başka bir denetçi veya denetim üstlenen bağımsız denetçidir.
(d) Kalitenin gözden geçirilmesi: Kaliteyi gözden geçiren kişinin, denetim ekibi tarafından yapılan önemli muhakemeler ve bu kapsamda ulaşılan sonuçları tarafsız bir şekilde değerlendirmesidir. Kalitenin gözden geçirilmesi, rapor tarihinde veya öncesinde tamamlanır.
(e) Kaliteyi gözden geçiren kişi: Denetimin kalitesini gözden geçirmek üzere denetim şirketi tarafından atanan sorumlu denetçi, denetim şirketindeki diğer bir kişi veya denetim şirketi dışından bir kişidir.
(f) Denetim ekibi: Denetimi yürüten sorumlu denetçi, bağımsız denetçiler ve diğer personel ile denetimle ilgili prosedürleri uygulayan diğer kişilerdir. Dış uzman4 bu ekibe dâhil değildir. (Bkz.: A13 paragrafı)
(g) Dış teftiş: Denetim şirketinin kalite yönetim sistemine veya denetim şirketi tarafından yürütülen denetimlere yönelik olarak, Kurum tarafından yapılan inceleme, teftiş veya soruşturmadır. (Bkz.: A14 paragrafı)
(h) Bulgular (Kalite yönetim sistemine ilişkin bulgular): İzleme faaliyetleri, dış teftişler ve diğer ilgili kaynaklardan elde edilen ve kalite yönetim sisteminin tasarımı, uygulanması ve işleyişinde bir veya daha fazla eksikliğin mevcut olabileceğini gösteren bilgilerdir. (Bkz.: A15-A17 paragrafları)
(i) Denetim şirketi: Bağımsız denetim kuruluşu veya bağımsız denetçi ya da kamu sektöründeki eş değeridir. (Bkz.: A18 paragrafı)
(j) Borsada işlem gören işletme: Payları, menkul kıymetleri veya borç senetleri; tanınmış bir menkul kıymetler borsasında kote edilmiş olan veya işlem gören ya da tanınmış bir menkul kıymetler borsası veya eş değeri bir kuruluşun düzenlemelerine göre pazarlanan işletmedir.
(k) Denetim ağına dâhil şirket: Bir denetim ağı içinde yer alan denetim şirketi veya işletmedir.
(l) Denetim ağı: Bağımsız denetim kuruluşlarının veya bağımsız denetçilerin aralarında hukuki bir bağ olup olmadığına bakılmaksızın; (Bkz.: A19 paragrafı)
(i) İşbirliğine yönelik olan ve
(ii) Kâr veya maliyet paylaşımını hedefleyen veya ortak bir mülkiyet, kontrol veya yönetimi, ortak kalite yönetim politikalarını ve süreçlerini, ortak bir denetim stratejisini, ortak bir marka veya unvan kullanımını ya da mesleki kaynakların önemli bir kısmını ortaklaşa kullanmayı amaçlayan
yapılanmadır.
(m) Yöneticiler: Bir denetimin yürütülmesine ilişkin olarak denetim şirketini bağlayıcı yetkiye sahip kişilerdir.
(n) Personel: Denetim şirketindeki yönetici ve çalışanlardır. (Bkz.: A20-A21 paragrafı)
(o) Mesleki muhakeme: Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişine uygun olarak atılacak adımlara yönelik bilgiye dayalı kararlar alınırken; sahip olunan eğitim, bilgi ve deneyimin mesleki standartlar çerçevesinde kullanılmasıdır.
(p) Mesleki standartlar: Kurum tarafından yayımlanan Kalite Yönetim Standartları, Bağımsız Denetim Standartları, Sınırlı Bağımsız Denetim Standartları, Güvence Denetimi Standartları, İlgili Hizmetler Standartları ve Etik Kuralları içeren Türkiye Denetim Standartlarıdır.
(q) Kalite hedefleri: Kalite yönetim sisteminin unsurlarıyla ilgili olarak denetim şirketi tarafından elde edilmek istenen sonuçlardır.
(r) Kalite riski: Makul bir düzeyde;
(i) Gerçekleşme ve
(ii) Tek başına veya diğer risklerle birlikte, bir veya daha fazla kalite hedefine ulaşılmasını olumsuz yönde etkileme
olasılığı bulunan bir risktir.
(s) Makul güvence: KYS'ler çerçevesinde yüksek ancak mutlak olmayan bir güvence seviyesidir.
(t) Etik hükümler: Finansal tabloların bağımsız denetim veya sınırlı bağımsız denetimleri ile diğer güvence denetimleri veya ilgili hizmetlere ilişkin olarak denetçinin tabi olduğu mesleki etik ilkeler ve hükümlerdir. Etik hükümler; finansal tabloların bağımsız denetimi veya sınırlı bağımsız denetimi ya da diğer güvence denetimleri veya ilgili hizmetlere ilişkin olarak, Kurum tarafından yayımlanan Bağımsız Denetçiler için Etik Kurallar’da (Bağımsızlık Standartları Dâhil) (Etik Kurallar) yer alan hükümler ile mevzuatta yer alan daha kısıtlayıcı diğer hükümlerden oluşur. (Bkz.: A22-A24 ve A62 paragrafları)
(u) Risklere karşı yapılacak işler (Kalite yönetim sistemine ilişkin risklere karşı yapılacak işler): Denetim şirketi tarafından bir veya birden fazla kalite riskini ele almak amacıyla tasarlanan ve uygulanan politika veya prosedürlerdir: (Bkz.: A25-A27, A50 paragrafları)
(i) Politikalar, kalite risklerini ele almak amacıyla ne yapılması ya da ne yapılmaması gerektiğine ilişkin açıklamalardır. Bu tür açıklamalar belgelendirilmiş, kurulan iletişimlerde açıkça belirtilmiş ya da atılan adımlar veya alınan kararlarla zımnî olarak ifade edilmiş olabilir.
(ii) Prosedürler, politikaların uygulanmasına yönelik adımlardır.
(v) Hizmet sağlayıcı (KYS 1 kapsamında): Kalite yönetim sisteminde veya denetimin yürütülmesinde kullanılan bir kaynağı sağlayan, denetim şirketi dışından bir kişi veya kuruluştur. Denetim şirketinin dâhil olduğu denetim ağı, denetim ağına dâhil şirketler ya da denetim ağına dâhil diğer yapı ve kuruluşlar, hizmet sağlayıcı kapsamında değildir. (Bkz.: A28, A105 paragrafları)
(w) Çalışanlar: Yöneticiler dışında kalan, denetim şirketi tarafından istihdam edilmiş bağımsız denetçiler, denetçi yardımcıları, teknik bilgisine başvurulacak uzmanlar ve denetime yardımcı diğer profesyonellerdir.
(x) Kalite yönetim sistemi: Aşağıdaki hususlarda makul güvence sağlamak amacıyla denetim şirketi tarafından tasarlanan, uygulanan ve işletilen bir sistemdir:
(i) Denetim şirketi ve personeli; sorumluluklarını mesleki standartlara ve mevzuat hükümlerine uygun olarak yerine getirmekte ve denetimleri söz konusu standartlara ve mevzuat hükümlerine uygun olarak yürütmektedir ve
(ii) Denetim şirketi (sorumlu denetçi) tarafından düzenlenen raporlar içinde bulunulan şartlara uygundur.
3 İlgili durumlarda “sorumlu denetçi” ve “yönetici” terimleri kamu sektöründeki eş değerlerini ifade eder.
4 BDS 620 Uzman Çalışmalarının Kullanılması, 6(a) paragrafı “denetçinin faydalandığı uzmanı” tanımlar.
Ana Hükümler
Ana Hükümlerin Uygulanması ve Bu Hükümlere Uygunluk Sağlanması
17. Denetim şirketi; kendisinin ya da denetimlerinin niteliği ve içinde bulunduğu şartlar dikkate alındığında, denetim şirketiyle ilgili olmayan ana hükümler hariç olmak üzere, KYS 1 ’de yer alan her bir ana hükme uygunluk sağlar. (Bkz.: A29 paragrafı)
18. Denetim şirketinin kalite yönetim sistemi için nihai sorumluluğun ve hesap verme yükümlülüğünün verildiği kişi veya kişiler ile sistemin işleyişinden sorumlu olarak görevlendirilen kişi veya kişiler, KYS 1’in amacını anlamak ve ana hükümlerini uygun şekilde yerine getirmek için açıklayıcı hükümler ve uygulama bölümü dâhil, KYS 1’in tamamına vâkıf olur.
Kalite Yönetim Sistemi
19. Denetim şirketi bir kalite yönetim sistemi tasarlar, uygular ve sistemin işleyişini sağlar. Denetim şirketi bunu yaparken, şirketin ve denetimlerinin niteliği ile içinde bulunduğu şartları dikkate alarak mesleki muhakemesini kullanır. Kalite yönetim sisteminin “üst yönetim ve liderlik yapısı” unsura, kalite yönetim sisteminin tasarlanması, uygulanması ve işleyişini destekleyen bir çevre oluşturur. (Bkz.: A30-A31 paragrafları)
Sorumluluklar
20. Denetim şirketi; (Bkz.: A32-A35 paragrafları)
(a) Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğünü, denetim şirketinin icra kurulu başkanına ya da yönetici ortağına (veya eşdeğerine) veya -uygun hâllerde- yönetim kuruluna (veya eş değerine) verir.
(b) Kalite yönetim sisteminin işleyişinden sorumlu olanları görevlendirir.
(c) Aşağıdakiler dâhil olmak üzere, kalite yönetim sisteminin belirli unsurlarının işleyişinden sorumlu olanları görevlendirir:
(i) Bağımsızlık hükümlerine uygunluk ve (Bkz.: A36 paragrafı)
(ii) İzleme ve düzeltme süreci.
21. Denetim şirketi, 20 nci paragrafta yer alan görevlendirmeleri yapmak üzere:
(a) Şirket içinde uygun deneyim, bilgi, etki ve yetkiye sahip olan ve verilen sorumlulukları yerine getirmek için yeterli zamanı bulunan ve (Bkz.: A38 paragrafı)
(b) Verilen görevleri anlayan ve söz konusu görevleri yerine getirmekten dolayı hesap verme yükümlülüğü olduğunu bilen kişi veya kişileri belirler. (Bkz.: A37 paragrafı)
22. Denetim şirketi; kalite yönetim sistemi, bağımsızlık hükümlerine uygunluk ve izleme ve düzeltme süreci açısından operasyonel sorumluluğun verildiği kişi veya kişilerin, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilerle doğrudan iletişim kurabileceği bir ortam oluşturur.
Denetim Şirketinin Risk Değerlendirme Süreci
23. Denetim şirketi; kalite hedeflerini oluşturmak, kalite risklerini belirlemek ve değerlendirmek, kalite risklerine karşı yapılacak işleri tasarlamak ve uygulamak üzere bir risk değerlendirme süreci tasarlar ve uygular. (Bkz.: A39-A41 paragrafları)
24. Denetim şirketi, KYS 1’de belirtilen kalite hedeflerinin yanı sıra, kalite yönetim sisteminin hedeflerine ulaşmak amacıyla gerekli gördüğü ilave kalite hedeflerini de oluşturur. (Bkz.: A42-A44 paragrafları)
25. Denetim şirketi, kalite risklerine karşı yapılacak işlerin tasarımı ve uygulanmasına ilişkin bir dayanak oluşturmak amacıyla kalite risklerini belirler ve değerlendirir. Denetim şirketi bunu yaparken;
(a) Aşağıdakiler dâhil olmak üzere, kalite hedeflerine ulaşılmasını olumsuz yönde etkileyebilecek şart, olay, durum, eylem veya eylemsizlikler hakkında kanaat edinir: (Bkz.: A45-A47 paragrafları)
(i) Aşağıdakilerle ilgili olarak, denetim şirketinin niteliği ve içinde bulunduğu şartlar:
a. Denetim şirketinin karmaşıklığı ve faaliyet özellikleri,
b. Denetim şirketinin stratejik ve operasyonel karar ve eylemleri, iş süreçleri ve iş modeli,
c. Denetim şirketinin liderlik yapısının özellikleri ve yönetim tarzı,
d. Hizmet sağlayıcılar tarafından sağlanan kaynaklar dâhil olmak üzere, denetim şirketinin kaynakları,
e. Denetim şirketinin tabi olduğu mevzuat ve mesleki standartlar ile faaliyet gösterdiği çevre ve
f. Denetim şirketinin bir denetim ağı içinde yer alması durumunda, denetim ağından kaynaklanan yükümlülüklerinin ve varsa denetim ağı hizmetlerinin niteliği ve kapsamı.
(ii) Aşağıdakilerle ilgili olarak, yürütülen denetimin niteliği ve içinde bulunduğu şartlar:
a. Yürütülen denetim türleri ve düzenlenen raporlar ile
b. Denetimin üstlenildiği işletme türleri.
(b) 25(a) paragrafında belirtilen şart, olay, durum, eylem veya eylemsizliklerin, kalite hedeflerine ulaşılmasını nasıl ve ne ölçüde olumsuz yönde etkileyebileceğini dikkate alır. (Bkz.: A48 paragrafı)
26. Denetim şirketi; kalite risklerine ilişkin değerlendirmelerin gerekçelerine dayanan ve bunlara karşılık veren uygun bir yaklaşımla kalite risklerine karşı yapılacak işleri tasarlar ve uygular. Denetim şirketinin kalite risklerine karşı yapacağı işler, 34 üncü paragrafta belirtilen işleri de içerir. (Bkz.: A49-A51 paragrafları)
27. Denetim şirketi; kendisinin ya da denetimlerinin niteliği ve içinde bulunduğu şartlardaki değişiklikler nedeniyle ilave kalite hedeflerine ya da ilave veya değiştirilmiş kalite risklerine veya risklere karşı yapılacak işlere ihtiyaç duyulduğuna işaret eden bilgileri tespit etmek üzere tasarlanmış politika veya prosedürler oluşturur. Bu tür bilgilerin tespit edilmesi durumunda denetim şirketi, bu bilgileri değerlendirir ve -uygun hâllerde; (Bkz.: A52-A53 paragrafları)
(a) İlave kalite hedefleri oluşturur veya denetim şirketi tarafından önceden belirlenmiş ilave kalite hedeflerinde değişiklik yapar, (Bkz.: A54 paragrafı)
(b) İlave kalite risklerini tespit eder ve değerlendirir, kalite risklerinde değişiklik yapar veya kalite risklerini yeniden değerlendirir ya da
(c) Kalite risklerine karşı yapılacak ilave işleri tasarlar ve uygular veya bunlarda değişiklik yapar.
Üst Yönetim ve Liderlik Yapısı
28. Denetim şirketi, kalite yönetim sistemini destekleyen çevreyi oluşturan üst yönetim ve liderlik yapısına yönelik olarak aşağıdaki kalite hedeflerini oluşturur:
(a) Denetim şirketi, şirket genelinde aşağıdakileri ele alan ve güçlendiren bir kültür aracılığıyla kaliteye olan bağlılığını göstermektedir: (Bkz.: A55-A56 paragrafları)
(i) Kaliteli denetimlerin tutarlı bir şekilde yürütülerek kamu yararına hizmet etme konusunda denetim şirketinin rolü,
(ii) Mesleki etik, değer ve tutumların önemi,
(iii) Kalite yönetim sistemi kapsamında denetimlerin yürütülmesi veya faaliyetlerin gerçekleştirilmesinde tüm personelin kaliteye ilişkin sorumluluğu ve personelden beklenen davranışlar ve
(iv) Denetim şirketinin finansal ve operasyonel öncelikleri dâhil olmak üzere, şirketin stratejik karar ve eylemlerinde kalitenin önemi.
(b) Liderlik yapısı kaliteden sorumludur ve kalite konusunda hesap verebilir durumdadır. (Bkz.: A57 paragrafı)
(c) Liderlik yapısı, eylem ve davranışlarıyla kaliteye olan bağlılığını göstermektedir. (Bkz.: A58 paragrafı)
(d) Organizasyon yapısı ile görev, sorumluluk ve yetkilerin tahsisi; denetim şirketinin kalite yönetim sisteminin tasarımı, uygulanması ve işleyişinin sağlanması açısından uygundur. (Bkz.: A32, A33, A35, A59 paragrafları)
(e) Finansal kaynaklar dâhil olmak üzere, ihtiyaç duyulan kaynaklar planlanmış ve denetim şirketinin kaliteye olan bağlılığıyla tutarlı bir şekilde kaynakların temin, dağıtım veya tahsisi yapılmıştır. (Bkz.: A60-A61 paragrafları)
Etik Hükümler
29. Denetim şirketi, sorumlulukların etik hükümlere -bağımsızlıkla ilgili olanlar dâhil- uygun olarak yerine getirilmesine yönelik olarak aşağıdaki kalite hedeflerini oluşturur: (Bkz.: A62-A64, A66 paragrafları)
(a) Denetim şirketi ve personeli;
(i) Denetim şirketinin ve yürütülen denetimlerin tabi olduğu etik hükümlere vâkıftır ve (Bkz.: A22, A24 paragrafları)
(ii) Denetim şirketinin ve yürütülen denetimlerin tabi olduğu etik hükümlere ilişkin sorumluluklarını yerine getirmektedir.
(b) Denetim ağı, denetim ağına dâhil şirketler, hizmet sağlayıcılar, denetim ağındaki kişiler veya denetim ağma dâhil şirketlerdeki kişiler dâhil olmak üzere, denetim şirketinin ve yürütülen denetimlerin tabi olduğu etik hükümlere tabi olan diğerleri;
(i) Kendileri için geçerli olan etik hükümlere vâkıftırlar ve (Bkz.: A22, A24, A65 paragrafları)
(ii) Kendileri için geçerli olan etik hükümlere ilişkin sorumluluklarını yerine getirmektedirler.
Müşteri İlişkisinin ve Belirli Bir Sözleşmenin Kabulü ve Devam Ettirilmesi
30. Denetim şirketi, müşteri ilişkisinin ve belirli bir sözleşmenin kabulü ve devam ettirilmesine yönelik olarak aşağıdaki kalite hedeflerini oluşturur:
(a) Bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul edip etmeme veya devam ettirip ettirmeme konusunda denetim şirketinin aşağıdaki gerekçelere dayanarak yaptığı muhakemeler uygundur:
(i) Denetimin niteliği ve içinde bulunduğu şartlar ile müşterinin (yönetim ve -uygun hâllerde- üst yönetimden sorumlu olanlar dâhil) dürüstlüğü ve etik değerleri hakkında elde edilen ve söz konusu muhakemeleri desteklemeye yetecek düzeydeki bilgiler ve (Bkz.: A67-A71 paragrafları)
(ii) Denetim şirketinin, denetimi mesleki standartlara ve mevzuat hükümlerine uygun olarak yürütebilme kabiliyeti. (Bkz.: A72 paragrafı)
(b) Denetim şirketinin finansal ve operasyonel öncelikleri, bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul edip etmeme veya devam ettirip ettirmeme konusunda uygun olmayan muhakemelerde bulunmasına yol açmaz. (Bkz.: A73-A74 paragrafları)
Denetimin Yürütülmesi
31. Denetim şirketi, kaliteli denetimlerin yürütülmesine yönelik olarak aşağıdaki kalite hedeflerini oluşturur:
(a) Denetim ekipleri, denetimlere ilişkin sorumluluklarını anlamakta ve yerine getirmektedir. Söz konusu sorumluluklar; -uygun hâllerde- sorumlu denetçilerin denetimin kalitesinin yönetilmesine ve kaliteye ulaşılmasına ilişkin genel sorumlulukları ile denetim boyunca yeterli ve uygun bir şekilde söz konusu denetimde yer almalarını da içerir. (Bkz.: A75 paragrafı)
(b) Denetim ekiplerinin yönlendirilmesi ve gözetimi ile yapılan çalışmaların gözden geçirilmesinin niteliği, zamanlaması ve kapsamı;
- Denetimin niteliği ve içinde bulunduğu şartlar,
- Denetim ekibine tahsis edilen veya kullanımına hazır tutulan kaynaklar ve
- Daha deneyimli denetim ekibi üyelerinin, daha az deneyimli ekip üyeleri tarafından yapılan çalışmaları yönlendirmesi, gözetmesi ve gözden geçirmesi esas alındığında uygundur. (Bkz.: A76-A77 paragrafları)
(c) Denetim ekipleri uygun şekilde mesleki muhakemelerini kullanmakta ve denetimin türüne bağlı olarak, mesleki şüphecilik içinde hareket etmektedir. (Bkz.: A78 paragrafı)
(d) Zor veya ihtilaflı konularda istişare yapılmakta ve üzerinde mutabık kalınan sonuçlar uygulanmaktadır. (Bkz.: A79-A81 paragrafları)
(e) Denetim ekibinin kendi içinde, denetim ekibi ile kaliteyi gözden geçiren kişi arasında veya denetim ekibi ile denetim şirketinin kalite yönetim sistemi kapsamında faaliyet yürüten kişiler arasındaki görüş farklılıkları denetim şirketinin dikkatine sunulmakta ve çözüme kavuşturulmaktadır. (Bkz.: A82 paragrafı)
(f) Çalışma kâğıtları, rapor tarihinden sonra zamanında birleştirilmekte ve denetim şirketinin ihtiyaçlarını karşılamak ve mevzuata, etik hükümlere veya mesleki standartlara uygunluk sağlamak için gerekli şekilde saklanmakta ve muhafaza edilmektedir. (Bkz.: A83-A85 paragrafları)
Kaynaklar
32. Denetim şirketi; kalite yönetim sisteminin tasarımı, uygulanması ve işleyişini sağlamak üzere kaynakların zamanında ve uygun bir şekilde temin edilmesi, geliştirilmesi, kullanılması, korunması, tahsis edilmesi ve dağıtılmasına yönelik olarak aşağıdaki kalite hedeflerini oluşturur: (Bkz.: A86-A87 paragrafları)
İnsan Kaynakları
(a) Aşağıdakileri yerine getirebilecek yetkinlik ve kabiliyete sahip personelin işe alınması, geliştirilmesi ve kadroda tutulması: (Bkz.: A88-A90 paragrafları)
(i) Denetim şirketinin yürüttüğü denetimlerle ilgili bilgi veya tecrübeye sahip olmak ve kaliteli denetimleri tutarlı bir şekilde yürütmek veya
(ii) Denetim şirketinin kalite yönetim sisteminin işleyişiyle ilgili faaliyetler gerçekleştirmek veya sorumlulukları yerine getirmek.
(b) Personelin; eylem ve davranışlarıyla kaliteye olan bağlılığını göstermesi, görevlerini yerine getirmek için uygun yetkinliğe ulaşması ve bu yetkinliğini sürdürmesi, personele hesap verme yükümlülüğü verilmesi veya zamanında yapılan değerlendirmeler, ödüllendirme, terfi ve diğer teşvikler yoluyla takdir edilmesi. (Bkz.: A91-A93 paragrafları)
(c) Denetim şirketinin, kalite yönetim sisteminin işleyişini ya da denetimlerin yürütülmesini sağlamak için yeterli sayıda veya uygun personele sahip olmadığı durumlarda, denetim şirketi dışındaki (diğer bir ifadeyle, denetim ağı, denetim ağına dâhil başka bir şirket veya bir hizmet sağlayıcısındaki) kişilerden yardım alınması. (Bkz.: A94 paragrafı)
(d) Kaliteli denetimlerin tutarlı bir şekilde yürütülmesi amacıyla, yeterli zamanın verilmiş olması dâhil olmak üzere, her bir denetim için uygun yetkinlik ve kabiliyete sahip denetim ekibi üyelerinin ve sorumlu denetçinin görevlendirilmesi. (Bkz.: A88-A89, A95-A97 paragrafları)
(e) Kalite yönetim sistemi kapsamındaki faaliyetleri yürütmek amacıyla, yeterli zaman dâhil olmak üzere, uygun yetkinlik ve kabiliyete sahip kişilerin görevlendirilmesi.
Teknolojik Kaynaklar
(f) Denetim şirketinin kalite yönetim sisteminin işleyişini ve denetimlerin yürütülmesini sağlamak amacıyla uygun teknolojik kaynakların temin edilmesi veya geliştirilmesi, uygulanması, korunması ve kullanılması. (Bkz. A98-A101, A104 paragrafları)
Entelektüel Kaynaklar
(g) Denetim şirketinin kalite yönetim sisteminin işleyişini ve kaliteli denetimlerin tutarlı bir şekilde yürütülmesini sağlamak amacıyla uygun entelektüel kaynakların temin edilmesi veya geliştirilmesi, uygulanması, korunması ve kullanılması ve söz konusu kaynakların mesleki standartlar ve -ilgili durumlarda- mevzuatla tutarlı olması. (Bkz.: A102-A104 paragrafları)
Hizmet Sağlayıcılar
(h) 32 (d), (e), (f) ve (g) paragraflarındaki kalite hedefleri göz önünde bulundurulduğunda, hizmet sağlayıcılardan temin edilen insan kaynakları, teknolojik kaynaklar veya entelektüel kaynakların, denetim şirketinin kalite yönetim sisteminde ve denetimlerin yürütülmesinde kullanılmasının uygun olması. (Bkz.: A105-A108 paragrafları)
Bilgi ve İletişim
33. Denetim şirketi, kalite yönetim sisteminin tasarımı, uygulanması ve işleyişini sağlamak üzere; kalite yönetim sistemiyle ilgili bilgilerin temin edilmesi, oluşturulması veya kullanılmasına ve söz konusu bilgilerin denetim şirketi içindeki ve dışındaki taraflara zamanında iletilmesine yönelik olarak aşağıdaki kalite hedeflerini oluşturur: (Bkz.: A109 paragrafı)
(a) Bilgi sisteminin; denetim şirketi içinden veya dışından temin edilip edilmediğine bakılmaksızın, kalite yönetim sistemini destekleyen, ihtiyaca uygun ve güvenilir bilgiyi belirlemesi, kayıt altına alması, işlemesi ve sürdürmesi. (Bkz.: A110- A111 paragrafları)
(b) Şirket kültürünün; personelin denetim şirketiyle ve kendi arasında bilgi alışverişinde bulunma sorumluluğunun farkında olması ve bunu güçlendirmesi. (Bkz.: A112 paragrafı)
(c) İhtiyaca uygun ve güvenilir bilginin, aşağıdakiler dâhil olmak üzere, denetim şirketi genelinde ve denetim ekipleriyle paylaşılması: (Bkz.: A112 paragrafı)
(i) Bilginin personele ve denetim ekiplerine iletilmesi ve bilginin niteliği, zamanlaması ve kapsamının, kalite yönetim sistemi ya da denetimler kapsamında yürütülen faaliyetlerle ilgili olarak personelin ve denetim ekibinin sorumluluklarını anlamaları ve yerine getirmeleri için yeterli olması ve
(ii) Personel ve denetim ekiplerinin bilgiyi, kalite yönetim sistemi ya da denetimler kapsamında yürütülen faaliyetleri yerine getirirken denetim şirketine iletmesi.
(d) İhtiyaca uygun ve güvenilir bilginin, aşağıdakiler dâhil olmak üzere, denetim şirketi dışındaki taraflara iletilmesi:
(i) Denetim şirketinin dâhil olduğu denetim ağının veya hizmet sağlayıcıların; denetim ağından kaynaklanan yükümlülüklerle, denetim ağı hizmetleriyle veya sundukları kaynaklarla ilgili sorumluluklarını yerine getirmelerini sağlamak amacıyla, bilginin denetim şirketi tarafından denetim ağına veya denetim ağı içinde ya da -varsa- hizmet sağlayıcılara iletilmesi ve (Bkz.: A113 paragrafı)
(ii) Mevzuat veya mesleki standartlar tarafından zorunlu tutulması durumunda veya denetim şirketi dışındaki tarafların denetim şirketinin kalite yönetim sistemini daha iyi anlayabilmelerini sağlamak amacıyla, bilgilerin denetim şirketi dışındaki taraflara iletilmesi. (Bkz.: A114- A115 paragrafları)
Risklere Karşı Yapılacak Belirli İşler
34. Denetim şirketi, 26 ncı paragraf uyarınca yapılacak işleri tasarlar ve uygularken aşağıdaki işleri de kapsama alır: (Bkz.: A116 paragrafı)
(a) Denetim şirketi, aşağıdakilere yönelik politika veya prosedürler oluşturur:
(i) Etik hükümlere uygunluk sağlanmasına yönelik tehditlerin belirlenmesi, değerlendirilmesi ve ele alınması ile (Bkz.: A117 paragrafı)
(ii) Etik hüküm ihlallerinin belirlenmesi, bildirilmesi, değerlendirilmesi ve raporlanması ile ihlallerin nedenlerine ve sonuçlarına zamanında ve uygun şekilde karşılık verilmesi. (Bkz.: A118-A119 paragrafları)
(b) Denetim şirketi, etik hükümler uyarınca bağımsız olması gereken tüm personelinden her bir denetimden önce ve her hâlükârda yılda en az bir kez, bağımsızlık hükümlerine uyduklarını ve uyacaklarını bildiren yazılı bir taahhüt alır.
(c) Denetim şirketi, yaptığı çalışmaların mesleki standartlara ve mevzuat hükümlerine aykırı olduğuna veya KYS 1 uyarınca oluşturduğu politika veya prosedürlere aykırı hareket edildiğine ilişkin şikâyet ve iddiaların alınması, araştırılması ve çözülmesi için politika veya prosedürler oluşturur. (Bkz.: A120- A121 paragrafları)
(d) Denetim şirketi, aşağıdaki durumları ele alan politika veya prosedürler oluşturur:
(i) Denetim şirketinin; müşteri ilişkisini veya belirli bir sözleşmeyi kabul ettikten veya devam ettirdikten sonra, bunları yapmadan önce öğrenmiş olması hâlinde müşteri ilişkisini veya belirli bir sözleşmeyi reddetmesine sebep olabilecek bir bilgiyi edinmesi ya da (Bkz.: A122-A123 paragrafları)
(ii) Denetim şirketinin, mevzuat uyarınca bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul etmekle yükümlü olması. (Bkz.: A123 paragrafı)
(e) Denetim şirketi;
(i) Borsada işlem gören işletmelerin finansal tablolarının bağımsız denetimlerinin yürütülmesi durumunda, kalite yönetim sisteminin kaliteli denetimlerin tutarlı bir şekilde yürütülmesini nasıl desteklediğine ilişkin üst yönetimden sorumlu olanlarla iletişim kurulmasını zorunlu kılan (Bkz.: A127, A129 paragrafları),
(ii) Hangi durumlarda denetim şirketinin kalite yönetim sistemi hakkında denetim şirketi dışındaki taraflarla iletişim kurmanın uygun olduğunu ele alan (Bkz.: A130 paragrafı) ve
(iii) 34(e)(i) ve 34(e)(ii) paragrafları uyarınca denetim şirketi dışındaki taraflarla iletişim kurarken, söz konusu iletişimin niteliği, zamanlaması ve kapsamı ile uygun iletişim şekli dâhil olmak üzere, sunulacak bilgileri ele alan (Bkz.: A131-A132 paragrafları)
politika veya prosedürler oluşturur. (Bkz.: A124-A126 paragrafları)
(f) Denetim şirketi, KYS 2 uyarınca kalitenin gözden geçirilmesini ele alan ve aşağıdaki denetimlerin kalitesinin gözden geçirilmesini zorunlu tutan politika veya prosedürler oluşturur:
(i) Borsada işlem gören işletmelerin finansal tablolarının bağımsız denetimleri,
(ii) Mevzuat uyarınca kalitesi gözden geçirilmesi gereken bağımsız denetimler ya da diğer denetimler ve (Bkz.: A133 paragrafı)
(iii) Denetim şirketinin, kalitenin gözden geçirilmesini, bir veya daha fazla kalite riskine karşı yapılacak uygun iş olarak belirlediği bağımsız denetim veya diğer denetimler. (Bkz.: A134-A137 paragrafları)
İzleme ve Düzeltme Süreci
35. Denetim şirketi;
(a) Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi hakkında ihtiyaca uygun, güvenilir ve zamanında bilgi sağlamak ve
(b) Tespit edilen eksikliklerin zamanında düzeltilmesini teminen eksikliklere karşılık vermek için uygun adımlar atmak
amacıyla bir izleme ve düzeltme süreci oluşturur. (Bkz.: A138 paragrafı)
İzleme Faaliyetlerinin Tasarlanması ve Yürütülmesi
36. Denetim şirketi, eksikliklerin tespitine ilişkin bir dayanak oluşturmak amacıyla izleme faaliyetleri tasarlar ve yürütür.
37. Denetim şirketi, izleme faaliyetlerinin niteliği, zamanlaması ve kapsamını belirlerken aşağıdakileri dikkate alır: (Bkz.: A139-A142 paragrafları)
(a) Kalite risklerine ilişkin yapılan değerlendirmelerin gerekçeleri,
(b) Kalite risklerine karşı yapılacak işlerin tasarımı,
(c) Denetim şirketinin risk değerlendirme süreci ile izleme ve düzeltme sürecinin tasarımı, (Bkz.: A143-A144 paragrafları)
(d) Kalite yönetim sistemindeki değişiklikler, (Bkz.: A145 paragrafı)
(e) Önceki izleme faaliyetlerinin sonuçları, önceki izleme faaliyetlerinin denetim şirketinin kalite yönetim sisteminin değerlendirilmesi açısından uygun olmaya devam edip etmediği ve önceden tespit edilen eksiklikleri düzeltmeyi amaçlayan düzeltici adımların etkili olup olmadığı ve (Bkz.: A146-A147 paragrafları)
(f) Yapılan çalışmaların mesleki standartlara ve mevzuat hükümlerine aykırı olduğuna veya denetim şirketinin KYS 1 uyarınca oluşturulan politika veya prosedürlere aykırı hareket ettiğine ilişkin şikâyet ve iddialar ile dış teftişlerden ve hizmet sağlayıcılardan elde edilen bilgiler dâhil olmak üzere, diğer ihtiyaca uygun bilgiler. (Bkz.: A148-A150 paragrafları)
38. Denetim şirketi, tamamlanmış denetimlerin teftişini izleme faaliyetlerine dâhil eder ve hangi denetimlerin ve sorumlu denetçilerin seçileceğini belirler. Denetim şirketi bunu yaparken; (Bkz.: A141, A151-A154 paragrafları)
(a) 37 nci paragrafta belirtilen hususları dikkate alır,
(b) Denetim şirketi tarafından yapılan diğer izleme faaliyetlerinin niteliği, zamanlaması ve kapsamı ile bu tür izleme faaliyetlerine tabi denetimleri ve sorumlu denetçileri değerlendirir ve
(c) Her bir sorumlu denetçinin tamamlanmış en az bir denetimini belirlediği periyodik aralıklarla seçer.
39. Denetim şirketi;
(a) İzleme faaliyetlerini yürüten kişilerin, izleme faaliyetlerini etkin bir şekilde yürütmek için yeterli zaman dâhil olmak üzere, yetkinlik ve kabiliyete sahip olmalarını zorunlu kılan politika veya prosedürler oluşturur.
(b) İzleme faaliyetlerini yürüten kişilerin tarafsızlığını ele alan politika veya prosedürler oluşturur. Bu tür politika veya prosedürler, denetim ekibi üyelerinin veya kaliteyi gözden geçiren kişinin, söz konusu denetimle ilgili herhangi bir teftiş yapmasını yasaklar. (Bkz.: A155-A156 paragrafları)
Bulguların Değerlendirilmesi ve Eksikliklerin Tespit Edilmesi
40. Denetim şirketi, izleme ve düzeltme sürecinde eksiklik bulunup bulunmadığı da dâhil olmak üzere, eksikliklerin bulunup bulunmadığını belirlemek için bulguları değerlendirir. (Bkz.: A157-A162 paragrafları)
Tespit Edilen Eksikliklerin Değerlendirilmesi
41. Denetim şirketi, tespit edilen eksikliklerin ciddiyet ve yaygınlığını aşağıdaki şekilde değerlendirir: (Bkz.: A161, A163-A164 paragrafları)
(a) Tespit edilen eksikliklerin kök neden veya nedenlerinin araştırılması. Denetim şirketi, kök nedenlerin araştırılmasında uygulanacak prosedürlerin niteliği, zamanlaması ve kapsamını belirlerken, tespit edilen eksikliklerin niteliğini ve olası ciddiyetini dikkate alır. (Bkz.: A165-A169 paragrafları)
(b) Tespit edilen eksikliklerin kalite yönetim sistemi üzerindeki etkisinin -tek başına ve toplu hâlde- değerlendirilmesi.
Tespit Edilen Eksikliklere Karşılık Verilmesi
42. Denetim şirketi, tespit edilen eksiklikleri ele almak üzere, kök neden analizinin sonuçlarına karşılık veren düzeltici adımları tasarlar ve uygular. (Bkz.: A170-A172 paragrafları)
43. İzleme ve düzeltme sürecinin işleyişinden sorumlu olan kişi veya kişiler;
(a) Tespit edilen eksikliklerin ve ilgili kök neden veya nedenlerin ele alınması için düzeltici adımların uygun şekilde tasarlanıp tasarlanmadığını değerlendirir ve bunların uygulanıp uygulanmadığını belirler ve
(b) Düzeltici adımların önceden tespit edilen eksildikleri ele alma konusunda etkili olup olmadığını değerlendirir.
44. 43 üncü paragraf uyarınca yapılan değerlendirmenin, düzeltici adımların uygun şekilde tasarlanıp uygulanmadığını veya etkili olmadığını göstermesi durumunda, izleme ve düzeltme sürecinin işleyişinden sorumlu olan kişi veya kişiler, düzeltici adımların etkili olmasını sağlayacak şekilde uygun değişikliklerin yapıldığını belirlemek üzere uygun adımları atar.
Belirli Bir Denetime İlişkin Bulgular
45. Denetim şirketi; bulguların, yürütülmesi sırasında gerekli prosedürlerin atlandığı belirli bir denetimin varlığına veya düzenlenen raporun uygun olmayabileceğine işaret eden durumlara karşılık verir. Bu durumda denetim şirketi: (Bkz.: A173 paragrafı)
(a) Mesleki standartlara ve mevzuat hükümlerine uygunluk sağlamak için uygun adımları atar ve
(b) Raporun uygun olmadığını düşünmesi durumunda, bunun etkilerini göz önünde bulundurarak, hukuki danışmanlık alınıp alınmayacağının değerlendirilmesi dâhil olmak üzere, uygun adımları atar,
İzleme ve Düzeltmeyle İlgili Devam Eden İletişim
46. İzleme ve düzeltme sürecinin işleyişinden sorumlu olan kişi veya kişiler; kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilere ve kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişilere aşağıdakileri zamanında iletir: (Bkz.: A174 paragrafı)
(a) Uygulanan izleme prosedürlerine ilişkin bir açıklama,
(b) Tespit edilen eksiklikler ve bu eksikliklerin ciddiyeti ve yaygınlığı ile
(c) Tespit edilen eksiklikleri ele alan düzeltici adımlar.
47. Denetim şirketi 46 ncı paragrafta belirtilen hususları, sorumluluklarına uygun olarak zamanında ve uygun adımlar atmalarını sağlamak amacıyla, denetim ekiplerine ve kalite yönetim sistemi kapsamında görevlendirilen diğer kişilere iletir.
Denetim Ağından Kaynaklanan Yükümlülükler veya Denetim Ağı Hizmetleri
48. Denetim şirketi, bir denetim ağında yer alması durumunda, -uygun hâllerde- aşağıdaki hususları anlar: (Bkz.: A19, A175 paragrafları)
(a) Denetim ağı tarafından, denetim şirketinin kalite yönetim sistemine yönelik olarak getirilen yükümlülükler (diğer bir ifadeyle, denetim ağından kaynaklanan yükümlülükler). Söz konusu yükümlülükler, denetim şirketinin; denetim ağı tarafından tasarlanan veya denetim ağı tarafından başka bir yolla sağlanan hizmet veya kaynakları kullanması veya uygulamasına ilişkin yükümlülükleri içerir.
(b) Denetim ağı tarafından sağlanan ve denetim şirketinin kalite yönetim sisteminin tasarımı, uygulanması veya işleyişinde uygulamayı veya kullanmayı seçtiği hizmet veya kaynaklar (diğer bir ifadeyle, denetim ağı hizmetleri) ve
(c) Denetim şirketinin, denetim ağından kaynaklanan yükümlülüklerini yerine getirmek veya ağ hizmetlerini kullanmak için gereken tüm adımlara ilişkin sorumlulukları. (Bkz.: A44 paragrafı)
Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişinde kullanılan mesleki muhakemeler dâhil olmak üzere, denetim şirketinin kalite yönetim sistemine ilişkin sorumluluğu devam eder. Denetim şirketi, KYS 1 hükümlerine aykırı olacak şekilde denetim ağından kaynaklanan yükümlülüklerin yerine getirilmesine veya denetim ağı hizmetlerinin kullanılmasına izin vermez. (Bkz.: A177 paragrafı)
49. 48 inci paragrafta edindiği kanaate dayanarak denetim şirketi;
(a) Denetim ağından kaynaklanan yükümlülüklerin veya denetim ağı hizmetlerinin nasıl yerine getirileceği ve uygulanacağı dâhil olmak üzere, bunların denetim şirketinin kalite yönetim sistemiyle nasıl ilgili olduğunu ve dikkate alındığını belirler ve (Bkz.: A178 paragrafı)
(b) Denetim ağından kaynaklanan yükümlülüklerinin veya denetim ağı hizmetlerinin kalite yönetim sisteminde kullanıma uygun olması için denetim şirketi tarafından uyarlanması veya desteklenmesi gerekip gerekmediğini ve gerekmesi durumunda bunun nasıl yapılacağını değerlendirir. (Bkz.: A179- A180 paragrafları)
Denetim Ağı Tarafından Denetim Şirketinin Kalite Yönetim Sistemi Üzerinde Gerçekleştirilen İzleme Faaliyetleri
50. Denetim ağı tarafından, denetim şirketinin kalite yönetim sistemine yönelik izleme faaliyetlerinin gerçekleştirildiği durumlarda denetim şirketi;
(a) Denetim ağı tarafından gerçekleştirilen izleme faaliyetlerinin, denetim şirketinin 36-38 inci paragrafları uyarınca gerçekleştirdiği izleme faaliyetlerinin niteliği, zamanlaması ve kapsamı üzerindeki etkisini belirler,
(b) Atacağı ilgili adımlar dâhil olmak üzere, izleme faaliyetleriyle ilgili sorumluluklarını belirler ve
(c) 40 ıncı paragraf uyarınca bulguların değerlendirilmesi ve eksikliklerin tespit edilmesinin bir parçası olarak, izleme faaliyetlerinin sonuçlarını zamanında denetim ağından elde eder. (Bkz.: A181 paragrafı)
Denetim Ağı Tarafından Denetim Ağına Dâhil Şirketlerde Gerçekleştirilen İzleme Faaliyetleri
51. Denetim şirketi;
(a) Denetim ağından kaynaklanan yükümlülüklerin denetim ağına dâhil şirketlerde uygun şekilde yerine getirildiğinin belirlenmesi amacıyla gerçekleştirilen izleme faaliyetleri dâhil olmak üzere, denetim ağı tarafından denetim ağına dâhil şirketlerde gerçekleştirilen izleme faaliyetlerinin genel kapsamı ile denetim ağının izleme faaliyetlerinin sonuçlarını denetim şirketine nasıl ileteceği hakkında kanaat edinir,
(b) Denetim ağı tarafından denetim ağına dâhil şirketlerde gerçekleştirilen izleme faaliyetlerinin genel sonuçları hakkında denetim ağından yılda en az bir kez bilgi alır ve -uygun hâllerde; (Bkz.: A182-A184 paragrafları)
(i) Bu bilgileri, sorumluluklarına uygun olarak zamanında ve uygun adımlar atmalarını sağlamak için denetim ekiplerine ve -uygun hâllerde- kalite yönetim sistemi kapsamında görevlendirilen diğer kişilere iletir ve
(ii) Söz konusu bilgilerin denetim şirketinin kalite yönetim sistemi üzerindeki etkisini değerlendirir.
Denetim Şirketi Tarafından, Denetim Ağından Kaynaklanan Yükümlülüklerde veya Denetim Ağı Hizmetlerinde Tespit Edilen Eksiklikler
52. Denetim şirketi, denetim ağından kaynaklanan yükümlülüklerde veya denetim ağı hizmetlerinde bir eksiklik tespit etmesi durumunda; (Bkz.: A185 paragrafı)
(a) Tespit edilen eksikliğe ilişkin ihtiyaca uygun bilgileri denetim ağına iletir ve
(b) 42 nci paragrafa uygun olarak, denetim ağından kaynaklanan yükümlülüklerde veya denetim ağı hizmetlerinde tespit edilen eksikliğin etkisini ele almak üzere düzeltici adımları tasarlar ve uygular. (Bkz.: A186 paragrafı)
Kalite Yönetim Sisteminin Değerlendirilmesi
53. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, denetim şirketi adına kalite yönetim sistemini değerlendirir. Değerlendirme, belirli bir zamanda ve yılda en az bir kez yapılır. (Bkz.: A187-A189 paragrafları)
54. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, 53 üncü paragraf uyarınca yapılan değerlendirmeye dayanarak, denetim şirketi adına aşağıdaki sonuçlardan birine ulaşır: (Bkz.: A190, A195 paragrafları)
(a) Kalite yönetim sistemi, denetim şirketine, kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağlamaktadır, (Bkz.: A191 paragrafı)
(b) Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi üzerinde ciddi ancak yaygın olmayan bir etkiye sahip olduğu tespit edilen eksikliklerle ilgili hususlar dışında; kalite yönetim sistemi, denetim şirketine, kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağlamaktadır veya (Bkz.: A192 paragrafı)
(c) Kalite yönetim sistemi, denetim şirketine, kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağlamamaktadır. (Bkz.: A192-A194 paragrafları)
55. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilerin 54(b) veya 54(c) paragraflarında belirtilen sonuçlardan birine ulaşması durumunda, denetim şirketi; (Bkz.: A196 paragrafı)
(a) Zamanında ve uygun adımlar atar ve
(b) Bu durumu aşağıdaki kişilere bildirir:
(i) Sorumluluklarıyla ilgili olduğu ölçüde; denetim ekipleri ve kalite yönetim sistemi kapsamında görevlendirilen diğer kişiler ve (Bkz.: A197 paragrafı)
(ii) 34(e) paragrafında zorunlu kılınan denetim şirketi politika veya prosedürlerine uygun olarak, denetim şirketi dışındaki taraflar. (Bkz.: A198 paragrafı)
56. Denetim şirketi; kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler ile kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişiler hakkında periyodik performans değerlendirmeleri yapar. Denetim şirketi bunu yaparken, kalite yönetim sistemine ilişkin değerlendirmeyi dikkate alır. (Bkz.: A199-A201 paragrafları)
Belgelendirme
57. Denetim şirketi, kalite yönetim sistemine ilişkin olarak, aşağıdakileri gerçekleştirecek yeterlilikte olan çalışma kâğıtlarını hazırlar: (Bkz.: A202-A204 paragrafları)
(a) Kalite yönetim sistemi ve denetimlerin yürütülmesiyle ilgili görev ve sorumluluklarının anlaşılması dâhil olmak üzere, personel tarafından kalite yönetim sisteminin tutarlı bir şekilde anlaşılmasını desteklemek,
(b) Kalite risklerine karşı yapılacak işlerin tutarlı bir şekilde uygulanmasını ve işleyişini desteklemek ve
(c) Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler tarafından yapılan kalite yönetim sistemi değerlendirmesini desteklemek amacıyla risklere karşı yapılacak işlerin tasarımı, uygulanması ve işleyişine dair kanıt sağlamak.
58. Denetim şirketi, çalışma kâğıtlarını hazırlarken aşağıdaki hususları çalışma kâğıtlarına dâhil eder:
(a) Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilerin ve kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişilerin belirtilmesi,
(b) Denetim şirketinin kalite hedefleri ve kalite riskleri, (Bkz.: A205 paragrafı)
(c) Risklere karşı yapılacak işlerin açıklanması ve denetim şirketinin bu işlerle kalite risklerini nasıl ele aldığı,
(d) İzleme ve düzeltme süreciyle ilgili olarak;
(i) Yürütülen izleme faaliyetlerine ilişkin kanıtlar,
(ii) Bulguların, tespit edilen eksikliklerin ve bu eksikliklerin kök neden veya nedenlerinin değerlendirilmesi,
(iii) Tespit edilen eksiklikleri ele alan düzeltici adımlar ve bu tür düzeltici adımların tasarım ve uygulanmasının değerlendirilmesi,
(iv) İzleme ve düzeltmeyle ilgili iletişim ve
(e) 54 üncü paragraf uyarınca ulaşılan sonuçların dayanağı.
59. Denetim şirketi, denetim ağından kaynaklanan yükümlülüklere ve denetim ağı hizmetlerine ilişkin 49(b) paragrafına uygun olarak yapılan değerlendirmeyi ve 58 inci paragrafta belirtilen hususlardan, denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetleriyle ilgili olanları belgelendirir. (Bkz.: A206 paragrafı)
60. Denetim şirketi, kalite yönetim sistemine ilişkin çalışma kâğıtlarının saklanmasına yönelik olarak, kalite yönetim sisteminin tasarımı, uygulanması ve işleyişini izleyebilmek amacıyla yeterli bir süre (veya mevzuat gerektiriyorsa daha uzun bir süre) belirler.
***
Açıklayıcı Hükümler ve Uygulama
Kapsam (Bkz.: 3-4 üncü paragraflar)
A1. SBDS 24005 ve GDS 30006 dâhil olmak üzere, Kurumun yayımladığı diğer bazı mevzuat hükümleri de sorumlu denetçiler için denetim düzeyinde kalite yönetimine ilişkin hükümler belirler.
5 Sınırlı Bağımsız Denetim Standardı (SBDS) 2400, Tarihî Finansal Tabloların Sınırlı Bağımsız Denetimi
6 Güvence Denetimi Standardı (GDS) 3000, Tarihî Finansal Bilgilerin Bağımsız Denetimi veya Sınırlı Bağımsız Denetimi Dışındaki Güvence Denetimleri
A2. Etik Kurallar7, denetçilerin kamu yararına hareket etme sorumluluklarını yerine getirmelerini sağlamak amacıyla ana hükümler ve uygulama hükümleri içerir. 15 inci paragrafta belirtildiği üzere denetimlerin KYS 1’de açıklandığı şekilde yürütülmesi bağlamında; kaliteli denetimlerin tutarlı bir şekilde yürütülmesi, denetçinin kamu yararına hareket etme sorumluluğunun bir parçasını oluşturur.
7 Bağımsız Denetçiler için Etik Kurallar (Bağımsızlık Standartları Dâhil)
Denetim Şirketinin Kalite Yönetim Sistemi (Bkz.: 6-9 uncu paragraflar)
A3. Denetim şirketi, kalite yönetim sisteminin unsurlarım açıklamak için farklı terminoloji veya çerçeveler kullanabilir.
A4. Unsurların birbiriyle bağlantılı yapıda olduğuna ilişkin örnekler aşağıdakileri içerir:
• Denetim şirketinin risk değerlendirme süreci, kalite yönetim sisteminde risk esaslı bir yaklaşımın uygulanmasında denetim şirketinin izlemesi gereken süreci belirler.
• Üst yönetim ve liderlik yapısı unsuru, kalite yönetim sistemini destekleyen çevreyi oluşturur.
• Kaynaklar ve bilgi ve iletişim unsurları, kalite yönetim sisteminin tasarımı, uygulanması ve işleyişini sağlar.
• İzleme ve düzeltme süreci, kalite yönetim sisteminin bütününü izlemek için tasarlanmış bir süreçtir. İzleme ve düzeltme sürecinin sonuçları, denetim şirketinin risk değerlendirme süreciyle ilgili bilgi sağlar.
• Belirli hususlar arasında ilişkiler olabilir; örneğin, etik hükümlerin belirli yönleri, müşteri ilişkisinin ve belirli sözleşmelerin kabulü ve devam ettirilmesiyle ilgilidir.
A5. Kalite yönetim sistemi, 14(a) ve (b) paragraflarında belirtilen amaçlara ulaşamama riskini kabul edilebilir düşük bir seviyeye indirdiğinde makul güvence elde edilmiş olur. Kalite yönetim sisteminin yapısal kısıtlamaları sebebiyle, makul güvence mutlak bir güvence seviyesi değildir. Bu tür kısıtlamalar, insanların karar verirken muhakemelerinin hatalı olabileceği ve denetim şirketinin kalite yönetim sisteminde hata çıkabileceği (örneğin; insan hatasından veya bilgi teknolojisi (BT) uygulamalarında meydana gelen hatalardan dolayı etkisiz kalabileceği) durumları içerir.
Uygulama Alanı (Bkz.: 12 nci paragraf)
A6. KYS 1’in amacı KYS 1 hükümlerinin düzenlendiği bağlamı sağlar, bu KYS’den elde edilmek istenen nihai çıktıyı belirler ve neyin başarılması gerektiğini ve gerektiğinde bunu yapmanın uygun yollarını anlamasında denetim şirketine yardımcı olur.
A7. KYS 1’de “denetim” kelimesi; finansal tabloların bağımsız denetimleri ve sınırlı bağımsız denetimleri ile diğer güvence denetimleri ve ilgili hizmetlere ilişkin olarak denetim şirketi tarafından verilen her bir hizmeti ifade eder. Kalite Yönetim Standartları kapsamında “finansal tabloların bağımsız denetim ve sınırlı bağımsız denetimleri ile diğer güvence denetimleri ve ilgili hizmetler” ifadesi için “denetim” kısaltması kullanılmıştır. Denetim türlerinden herhangi birisi için özellikli bir hüküm getirilmesi durumunda, söz konusu denetim türü açıkça belirtilmiştir.
A8. Açıklayıcı hükümler ve uygulama bölümü, gerektiğinde ana hükümlere ilişkin ayrıntılı açıklamalara yer verir ve ana hükümlerin uygulanmasına yönelik rehberlik sağlar. Bu bölüm özellikle;
• Bir ana hükmün neyi ifade ettiğini veya amaçlanan kapsamı daha sarih biçimde açıklayabilir ve
• Ana hükümlerin nasıl uygulanabileceğini gösteren örnekler içerebilir.
Bu bölümde yer alan hükümler bir ana hüküm niteliğinde olmamakla birlikte, ana hükümlerin doğru bir şekilde uygulanmasına yardımcı olur. Ayrıca açıklayıcı hükümler ve uygulama bölümü, KYS 1’de ele alınan konuların arka planına ilişkin bilgiler de sağlayabilir. Uygun hâllerde, bu bölümde kamu sektörü denetim kuruluşlarına özgü ilave hususlara yer verilir. Bu ilave hususlar, KYS 1’de yer alan ana hükümlerin uygulanmasına yardımcı olur. Ancak söz konusu hususlar, denetim şirketinin KYS 1’in ana hükümlerini uygulama ve bunlara uygunluk sağlama sorumluluğunu sınırlandırmaz veya azaltmaz.
A9. KYS 1’de yer alan “Tanımlar” başlıklı bölümde, bazı terimlere KYS 1’in amaçları doğrultusunda yüklenen anlamların açıklaması yer alır. Standardın tutarlı bir şekilde yorumlanması ve uygulanmasına yardımcı olmak amacıyla sunulan bu açıklamalar, mevzuatta veya başka bir şekilde diğer amaçlarla oluşturulmuş tanımları geçersiz kılmaz.
Tanımlar
Eksiklik (Bkz.: 16(a) paragrafı)
A10. Denetim şirketi, bulguları değerlendirerek eksiklikleri tespit eder. Eksiklik, bir bulgudan veya bulguların bileşiminden kaynaklanabilir.
A11. Kalite riskinin veya kalite risklerinin bileşiminin belirlenmemesi ya da uygun şekilde değerlendirilmemesi sonucunda bir eksiklik tespit edildiğinde, bu tür kalite risk veya risklerini ele alan karşılıklar bulunmayabilir ya da bu karşılıklar uygun şekilde tasarlanmamış veya uygulanmamış olabilir.
A12. Kalite yönetim sisteminin diğer yönleri, KYS 1’de aşağıdakileri ele alan hükümlerden oluşur:
• Sorumlulukların verilmesi, (Bkz.: 20-22 nci paragraflar)
• Denetim şirketinin risk değerlendirme süreci,
• İzleme ve düzeltme süreci ve
• Kalite yönetim sisteminin değerlendirilmesi.
Kalite yönetim sisteminin diğer yönlerine ilişkin eksiklik örnekleri
• Denetim şirketinin risk değerlendirme süreci; denetim şirketinin ve denetimlerinin niteliğindeki ve içinde bulunduğu şartlardaki değişikliklere, ilave kalite hedefleri oluşturulması ihtiyacına ve kalite risklerinde veya bu risklere karşı yapılacak işlerde değişiklik yapılması gerekliliğine işaret eden bilgileri tespit edememiştir.
• Denetim şirketinin izleme ve düzeltme süreci, aşağıdakileri sağlayacak şekilde tasarlanmamış veya uygulanmamıştır:
o Kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi hakkında ihtiyaca uygun ve güvenilir bilgiyi zamanında sağlama.
o Tespit edilen eksikliklerin zamanında düzeltilmesi için söz konusu eksikliklere karşı denetim şirketinin uygun adımlar atmasına olanak sağlama.
• Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, kalite yönetim sisteminin yıllık değerlendirmesini yapmamıştır.
Denetim Ekibi (Bkz.: 16(f) paragrafı)
A13. BDS 220 (Revize)8 finansal tabloların bağımsız denetimi bağlamında “denetim ekibi” tanımının uygulanmasında rehberlik sağlar.
8 BDS 220 (Revize), A15-A25 paragrafları
Dış Teftişler (Bkz.: 16(g) paragrafı)
A14. Bazı durumlarda, Kurum veya kanunlarla belirli alanları düzenleme ve denetleme yetkisini haiz olan bir kurum veya kuruluş, belirli denetim şirketlerinde seçilmiş dosya incelemesi veya kalite yönetim sistemi incelemesi gibi inceleme ya da teftişler gerçekleştirebilir.
Bulgular (Bkz.: 16(h) paragrafı)
A15. İzleme faaliyetleri, dış teftişler ve diğer ilgili kaynaklardan elde edilen bulguların toplanmasının bir parçası olarak denetim şirketi, kalite yönetim sistemini iyileştirmek ya da daha da geliştirmek için sistem hakkında fırsat ya da olumlu çıktılar gibi başkaca gözlemlerde de bulunabilir. A158 paragrafında, diğer gözlemlerin denetim şirketi tarafından kalite yönetim sisteminde nasıl kullanılabileceği açıklanmaktadır.
A16. A148 paragrafında, diğer ilgili kaynaklardan elde edilen bilgilere ilişkin örnekler yer almaktadır.
A17. İzleme faaliyetleri, teftiş gibi denetim düzeyinde yapılan izlemeleri de içerir. Ayrıca, dış teftişler ve diğer ilgili kaynaklar, belirli denetimlerle ilgili bilgileri içerebilir. Bu nedenle, kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi hakkındaki bilgiler, kalite yönetim sistemiyle ilgili bulgulara işaret edebilen, denetim düzeyindeki bulguları da içerebilir.
Denetim Şirketi (Bkz.: 16(i) paragrafı)
A18. Etik hükümlerde yer alan “denetim şirketi” tanımı, KYS l’de yer alan tanımdan farklılık gösterebilir.
Denetim Ağı (Bkz.: 16(1), 48 inci paragraf)
A19. Denetim ağı ve denetim ağma dâhil denetim şirketleri çeşitli şekillerde yapılanmış olabilir. Örneğin, bir denetim şirketinin kalite yönetim sistemi bağlamında;
• Denetim ağı; denetim şirketinin kalite yönetim sistemine ilişkin yükümlülükler getirebilir ya da denetim şirketinin kalite yönetim sisteminde veya denetimi yürütürken kullanacağı hizmetleri sağlayabilir,
• Denetim ağma dâhil diğer şirketler, denetim şirketinin kalite yönetim sisteminde veya denetimi yürütürken kullanacağı hizmetleri (örneğin, kaynaklar) sağlayabilir veya
• Denetim ağma dâhil diğer yapı veya kuruluşlar, denetim şirketinin kalite yönetim sistemine ilişkin yükümlülükler getirebilir veya hizmet sağlayabilir.
Denetim ağından, denetim ağına dâhil başka bir denetim şirketinden veya denetim ağındaki başka bir yapı veya kuruluştan kaynaklanan denetim ağı yükümlülükleri veya denetim ağı hizmetleri, KYS 1 kapsamında, “denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetleri” olarak kabul edilir.
Personel (Bkz.: 16(n) paragrafı)
A20. Denetim şirketi, kalite yönetim sistemindeki faaliyetlerin yürütülmesinde ya da denetimlerin yürütülmesinde, kendi personelinin (diğer bir ifadeyle, denetim şirketindeki kişilerin) yanı sıra, denetim şirketi dışındaki kişileri de kullanabilir. Örneğin, denetim şirketi dışındaki kişiler, denetim ağındaki diğer şirketlerdeki kişileri (örneğin, denetim ağındaki bir şirketin hizmet sunum merkezindeki kişileri) veya hizmet sağlayıcı tarafından istihdam edilen kişileri (örneğin, denetim şirketinin dâhil olduğu denetim ağının içinde yer almayan bir şirketteki birim denetçisini) kapsayabilir.
A21 Personel ayrıca, denetim şirketindeki hizmet sunum merkezi gibi, şirketin diğer yapılarındaki yönetici ve çalışanları da kapsar.
Etik Hükümler (Bkz.: 16(t), 29 uncu paragraflar)
A22. Bir kalite yönetim sistemi bağlamında geçerli olan etik hükümler, denetim şirketinin ve denetimlerinin niteliğine ve içinde bulunduğu şartlara bağlı olarak değişiklik gösterebilir. Örneğin, “bağımsız denetçi” terimi, Etik Kurallar’da da tanımlandığı gibi, denetim şirketlerinin uygunluk sağlamakla yükümlü oldukları etik hükümler tarafından tanımlanmış olabilir.
A23. Etik Kurallar’da, mevzuatın denetçinin Etik Kurallar’ın belirli bölümlerine uymasına izin vermediği dununlar ele alınmaktadır. Etik Kurallar ayrıca, bazı ülkelerde Etik Kurallar’da düzenlenenlerden farklı veya daha fazla mevzuat hükmü olabileceğini ve mevzuatta aksi öngörülmediği sürece bu ülkelerdeki denetçilerin, söz konusu farklılıkları bilmeleri ve öngörülen daha kısıtlayıcı hükümlere uymaları gerektiğini kabul eder.
A24. Etik hükümlerden bazıları, yalnızca denetimleri yürüten kişiler için geçerli olup, denetim şirketinin kendisi için geçerli olmayabilir. Örneğin, Etik Kurallar’da Kısım 3 ve Kısım 4’ün belirli hükümleri yalnızca bağımsız denetçiler için geçerlidir. Denetim şirketinin kalite yönetim sisteminin, kişilerin etik hükümlere uyumunu ele alması gerekebilir.
Risklere Karşı Yapılacak İşler (Bkz.: 16(u) paragrafı)
A25. Politikalar; eylemleri politikalara tabi olan personelin ve diğer kişilerin (denetim ekipleri dâhil) eylemleriyle veya söz konusu politikaları ihlal edecek faaliyetlerde bulunmaktan kaçınmalarıyla uygulanır.
A26. Prosedürler; resmî belgeler veya diğer iletişim yöntemleri aracılığıyla zorunlu tutulabilir veya zorunlu tutulmayan ancak denetim şirketi kültürünün ortaya çıkardığı davranışlardan kaynaklanıyor olabilir. Prosedürler, denetim şirketi tarafından kullanılan BT uygulamalarının izin verdiği faaliyetler aracılığıyla veya denetim şirketinin BT çevresinin diğer yönleri aracılığıyla yürütülebilir.
A27. Denetim şirketi, kalite yönetim sisteminde ya da denetimin yürütülmesinde denetim şirketi dışındaki kişilerden faydalanması durumunda, söz konusu kişilerin eylemlerini ele alan farklı politika veya prosedürler tasarlama ihtiyacı duyabilir. BDS 220 (Revize)9, finansal tabloların bağımsız denetiminde denetim şirketi dışındaki kişilerin eylemlerini ele almak için denetim şirketinin farklı politika veya prosedürler oluşturması gereken durumlarda rehberlik sağlar.
9 BDS 220 (Revize), A23-A25 paragrafları
Hizmet Sağlayıcı (Bkz.: 16(v) paragrafı)
A28. Hizmet sağlayıcılar, denetim şirketinin dâhil olduğu denetim ağı içinde yer almayan diğer denetim şirketlerinin birim denetçilerini içerir.
Ana Hükümlerin Uygulanması ve Bu Hükümlere Uygunluk Sağlanması (Bkz.: 17 nci paragraf)
A29. KYS 1’in herhangi bir ana hükmünün denetim şirketiyle ilgili olmadığı durumlara örnekler
• Denetim şirketi, bir bağımsız denetçidir. Örneğin, denetim şirketi içindeki görevlerin, sorumlulukların ve yetkilerin atanması, organizasyon yapısı, yönlendirme, gözetim ve gözden geçirmeyle görüş farklılıklarının ele alınması konularına ilişkin ana hükümler bağımsız denetçiyle ilgili olmayabilir.
• Denetim şirketi, yalnızca ilgili hizmetler işi yürütmektedir. Örneğin, denetim şirketinin ilgili hizmet işlerinde bağımsızlığı koruma zorunluluğu bulunmuyorsa, tüm personelden bağımsızlık hükümlerine uyduklarını bildiren yazılı bir taahhüt alınmasına ilişkin hüküm bu şirketle ilgili olmayacaktır.
Kalite Yönetim Sistemi
Kalite Yönetim Sisteminin Tasarlanması, Uygulanması ve İşleyişinin Sağlanması (Bkz.: 19 ncu paragraf)
A30. Kalite yönetimi denetim şirketinin ayrı bir fonksiyonu olmayıp, denetim şirketinin stratejisi, operasyonel faaliyetleri ve iş süreçleri içindeki kaliteye bağlılığı gösteren bir kültürle bütünleşmesidir. Bu sebeple, kalite yönetim sistemi ile denetim şirketinin operasyonel faaliyetleri ve iş süreçlerinin bütünleşik bir şekilde tasarlanması, denetim şirketinin yönetilmesinde uyumlu bir yaklaşımı teşvik edebilir ve kalite yönetiminin etkinliğini artırabilir.
A31. Denetim şirketinin yaptığı mesleki muhakemelerin kalitesinin, muhakemeyi yapan kişilerin aşağıdakileri de içeren sorgulayıcı bir zihniyetle hareket etmeleri hâlinde artması muhtemeldir:
• Denetim şirketi ile denetimlerinin niteliği ve içinde bulunduğu şartlarla ilgili bilgiler dâhil olmak üzere, kalite yönetim sistemi hakkında elde edilen bilgilerin kaynağının, ihtiyaca uygunluğunun ve yeterliliğinin göz önünde bulundurulması ve
• Daha fazla araştırma veya eylemde bulunma ihtiyacına karşı tetikte ve dikkatli olunması.
Sorumluluklar (Bkz.: 20-21, 28(d) paragrafları)
A32. Üst yönetim ve liderlik yapısı unsuru; denetim şirketinin kalite yönetim sisteminin tasarımı, uygulanması ve işleyişini sağlamak için uygun bir organizasyon yapısına sahip olması ve görev, sorumluluk ve yetkilerin verilmesine ilişkin bir kalite hedefi içerir.
A33. Kalite yönetim sistemiyle ilgili sorumlulukların 20 nci paragrafa uygun olarak verilmesinden bağımsız olarak, kalite yönetim sisteminin nihai sorumluluğu denetim şirketine aittir ve denetim şirketi, kişileri kendilerine verilen görevlerden sorumlu ve hesap verebilir durumda tutmakla sorumludur. Örneğin, 53 ve 54 üncü paragraflar uyarınca, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, kalite yönetim sistemini değerlendirmekten ve bu değerlendirmeye dayanarak ulaşılan sonuçtan sorumlu olsalar bile, yapılan değerlendirmeden ve ulaşılan sonuçtan nihai olarak denetim şirketi sorumludur.
A34. 20 nci paragrafta belirtilen hususlarda sorumluluk verilen kişi veya kişiler, genellikle denetim şirketinin yöneticisidir ve bu nedenle 21 inci paragrafta belirtildiği şekilde denetim şirketi içinde uygun etki ve yetkiye sahiptir. Bununla birlikte söz konusu kişi veya kişilerin; denetim şirketinin hukuki yapısına bağlı olarak, denetim şirketinde yönetici olmasa bile, denetim şirketi veya denetim şirketinin dâhil olduğu denetim ağı tarafından yapılan resmi düzenlemeler nedeniyle kendilerine verilen görevleri yerine getirmek için denetim şirketi içinde uygun etki ve yetkiye sahip olabildiği durumlar bulunabilir.
A35. Denetim şirketinin, şirket içinde görev, sorumluluk ve yetkileri dağıtım şekli farklılık gösterebilir ve mevzuatta denetim şirketinin liderlik ve yönetim yapısına veya bunlara verilen sorumluluklara ilişkin hükümler bulunabilir. 20 nci paragrafta yer alan bir konuda sorumluluk verilen kişi veya kişiler, sorumluluklarını yerine getirmelerine yardımcı olması için başka kişilere görev, prosedür veya eylem tevdi edebilir. Ancak, 20 nci paragrafta yer alan bir hususta sorumluluk verilen kişi ve kişilerin, sorumluluk verilen hususlardaki sorumluk ve hesap verme yükümlülükleri devam eder,
Görev ve sorumlulukların nasıl dağıtılabileceğine ilişkin ölçeklenebilirlik örnekleri
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü, şirketin gözetiminden tek başına sorumlu olan yönetici ortağa verilebilir. Bu kişi aynı zamanda kalite yönetim sisteminin işleyişine dair sorumluluk, bağımsızlık hükümlerine uygunluk ve izleme ve düzeltme süreci dâhil olmak üzere kalite yönetim sisteminin tüm unsurları için sorumluluk alabilir.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde; organizasyon yapısında birden fazla liderlik seviyesi bulunabilir ve yapısında denetim şirketi dışından kişilerin de bulunabildiği icrâî olmayan gözetimi üstlenen bağımsız bir yönetim organı bulunabilir. Ayrıca denetim şirketi, 20(c) paragrafında belirtilenlere ilave olarak, etik hükümlere uygunluk veya bir hizmet hattının yönetilmesi sorumluluğu gibi, kalite yönetim sisteminin belirli unsurlarının işleyişi için sorumluluk verebilir.
A36. Bağımsızlık hükümlerine uygunluk, finansal tabloların bağımsız denetim veya sınırlı bağımsız denetimleri ya da diğer güvence denetimlerinin yürütülmesi için vazgeçilmez bir unsurdur ve denetim şirketinin raporlarına güvenen paydaşların bu yönde bir beklentisi bulunmaktadır. Bağımsızlık hükümlerine uygunluk konusunda operasyonel sorumluluk verilen kişi veya kişiler, bağımsızlıkla ilgili tüm konuların gözetiminden sorumludur. Bu sayede, bağımsızlık hükümlerine uygunluk sağlamak için denetim şirketi tarafından güçlü ve tutarlı bir yaklaşım tasarlanır ve uygulanır.
A37. Mevzuat veya mesleki standartlar, 20 nci paragraf uyarınca görevlendirilen kişilere yönelik olarak ruhsatlandırma, mesleki eğitim veya sürekli mesleki gelişim gibi konularda ilave yükümlülükler getirebilir.
A38. Kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişilerde aranan uygun deneyim ve bilgi düzeyi; denetim şirketinin stratejik karar ve eylemlerinin anlaşılmasını ve denetim şirketinin ticari faaliyetleriyle ilgili deneyime sahip olunmasını içerir.
Denetim Şirketinin Risk Değerlendirme Süreci (Bkz.: 23 üncü paragraf)
A39. Denetim şirketinin risk değerlendirme sürecini nasıl tasarlayacağı; denetim şirketinin yapısı ve organizasyonu dâhil olmak üzere, denetim şirketinin niteliği ve içinde bulunduğu şartlara göre değişiklik gösterebilir.
Denetim şirketinin risk değerlendirme sürecinin nasıl farklılık gösterebileceğine ilişkin ölçeklenebilirlik örnekleri
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde, kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişiler, risk değerlendirme sürecini yürütebilmek için denetim şirketi ve denetimleri hakkında yeterli bilgiye sahip olabilir. Ayrıca, kalite hedefleri, kalite riskleri ve risklere karşı yapılan işlerin belgelendirilmesi, daha karmaşık bir denetim şirketine kıyasla daha dar kapsamlı olabilir (örneğin, tek bir dokümanla belgelendirilebilir).
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde ise, birden çok kişiyi ve çok sayıda faaliyeti içeren daha resmi bir risk değerlendirme süreci bulunabilir. Süreç merkezileştirilebilir (örneğin, tüm iş birimleri, fonksiyonlar ve hizmet hatları için kalite hedefleri, kalite riskleri ve risklere karşı yapılan işler merkezi şekilde oluşturulur) veya merkezi olmayabilir (örneğin, kalite hedefleri, kalite riskleri ve risklere karşı yapılan işler; iş birimi, fonksiyon veya hizmet hattı seviyesinde oluşturulup, çıktılar denetim şirketi seviyesinde birleştirilir). Denetim şirketinin dâhil olduğu denetim ağı da kalite yönetim sistemine dâhil edilecek kalite hedefleri, kalite riskleri ve risklere karşı yapılacak işler öngörebilir.
A40. Kalite hedeflerini oluşturma, kalite risklerini belirleme ve değerlendirme ile risklere karşı yapılacak işleri tasarlama ve uygulama süreci yinelenen bir süreçtir. Buna bağlı olarak KYS 1’in ana hükümlerinin doğrusal bir biçimde ele alınması amaçlanmamaktadır. Örneğin:
• Denetim şirketi, kalite risklerini belirler ve değerlendirirken, ilave kalite hedeflerinin oluşturulması gerektiğini tespit edebilir.
• Denetim şirketi, risklere karşı yapılacak işleri tasarlar ve uygularken, bir kalite riskinin belirlenmemiş ve değerlendirilmemiş olduğunu tespit edebilir.
A41. Denetim şirketinin kalite hedeflerini oluşturmasını, kalite risklerini tespit etmesini, değerlendirmesini ve risklere karşı yapılacak işleri tasarlayıp uygulamasını sağlayan bilgi kaynakları, şirketin bilgi ve iletişim unsurunun bir parçasıdır. Söz konusu bilgi kaynakları aşağıdakileri içerir:
• İzleme ve düzeltme sürecinin sonuçları. (Bkz.: 42 ve A171 paragrafları)
• Aşağıdakiler dâhil, denetim ağı veya hizmet sağlayıcılardan elde edilen bilgiler:
o Denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetleri ve (Bkz.: 48 inci paragraf)
o Denetim ağı tarafından denetim ağına dâhil şirketlerde gerçekleştirilen izleme faaliyetlerinin sonuçları dâhil olmak üzere, denetim ağından elde edilen diğer bilgiler. (Bkz.: 50-51 inci paragraflar)
Denetim şirketi içinden ve dışından sağlanan diğer bazı bilgiler de denetim şirketinin risk değerlendirme süreciyle ilgili olabilir. Örneğin;
• Yapılan çalışmaların mesleki standartlara ve mevzuat hükümlerine aykırı olduğuna veya denetim şirketinin KYS 1 uyarınca oluşturulan politika veya prosedürlerine aykırı hareket ettiğine ilişkin şikâyet ve iddialara dair bilgiler.
• Dış teftişlerin sonuçları.
• Denetim şirketinin denetimlerini yürüttüğü bir işletme hakkında düzenleyici kuruluşlardan (örneğin, sermaye piyasasını düzenleyen kuruluştan) aldığı bilgiler (örneğin, işletmenin finansal tablolarındaki usulsüzlükler veya sermaye piyasası düzenlemelerine aykırılıklar).
• Kalite yönetim sisteminin diğer yönlerini etkileyen, denetim şirketinin kaynaklarındaki değişiklikler gibi kalite yönetim sistemindeki değişiklikler.
• Denetim şirketini veya diğer denetim şirketlerini ilgilendiren düzenleyici faaliyetler ve davalar gibi, denetim şirketinin dikkate alması gereken alanları vurgulayabilen diğer dış kaynaklar.
Kalite Hedeflerinin Oluşturulması (Bkz.: 24 üncü paragraf)
A42. Mevzuat veya mesleki standartlar, ilave kalite hedeflerinin oluşturulmasını gerektiren hükümler düzenleyebilir. Örneğin, bir denetim şirketi, mevzuat gereği icrâî olmayan kişileri denetim şirketinin üst yönetim yapısında görevlendirmekle mükellef olabilir ve söz konusu zorunluluğu yerine getirmek üzere ilave kalite hedefi oluşturulması gerektiğine karar verebilir.
A43. Denetim şirketi, şirketin ve denetimlerinin niteliği ve içinde bulunduğu şartlar itibarıyla, ilave kalite hedefi oluşturmayı gerekli görmeyebilir.
A44. Denetim şirketi, kalite risklerinin tespiti ve değerlendirmesi ile risklere karşı yapılacak işlerin tasarım ve uygulamasını geliştirmek üzere alt hedefler oluşturabilir,
Kalite Risklerinin Belirlenmesi ve Değerlendirilmesi (Bkz.: 25 inci paragraf)
A45. Bir kalite hedefine ulaşılmasını olumsuz yönde etkileyebilecek olan ve 25(a) paragrafında açıklanmayan başka şart, olay, durum, eylem veya eylemsizlikler bulunabilir.
A46. Risk; şart, olay, durum, eylem veya eylemsizliğin bir kalite hedefine ulaşılmasını nasıl ve ne ölçüde olumsuz etkileyebileceğinden kaynaklanır. Tüm riskler, kalite riski tanımına uymaz. Mesleki muhakeme, denetim şirketine bir riskin kalite riski olup olmadığının belirlenmesinde yardımcı olur. Bu noktada mesleki muhakemenin dayanağı; riskin gerçekleşmesine ilişkin makul bir olasılığın bulunup bulunmadığına ve tek başına veya diğer risklerle birlikte bir veya daha fazla kalite hedefine ulaşılmasını olumsuz yönde etkileyip etkilemediğine yönelik olarak yapılan değerlendirmedir.
| Denetim şirketinin kalite hedeflerine ulaşılmasını olumsuz yönde etkileyebilecek şart, olay, durum, eylem veya eylemsizlikleri anlamasına ilişkin örnekler | Ortaya çıkabilecek kalite risklerine ilişkin örnekler |
| • Şirketin stratejik ve operasyonel karar ve eylemleri, iş süreçleri ve iş modeli: Denetim şirketinin genel finansal hedefleri, KYS 1 kapsamında olmayan ancak denetim şirketi tarafından sağlanan hizmetlerin kapsamına fazlasıyla bağlıdır. | Bu durum, üst yönetim ve liderlik bağlamında, aşağıdaki gibi kalite risklerine yol açabilir: |
| • Kaynakların KYS 1 kapsamında olmayan hizmetlere öncelik verecek şekilde tahsis edilmesi veya verilmesi, KYS 1 kapsamındaki denetimlerin kalitesini olumsuz şekilde etkileyebilir. | |
| • Finansal ve operasyonel öncelikler hakkındaki kararlar, KYS 1 kapsamındaki denetimlerin yürütülmesinde kalitenin önemini tam olarak veya yeterli bir şekilde dikkate almaz. | |
| • Liderlik yapısının özellikleri ve yönetim tarzı: Denetim şirketi, ortak yetkiye sahip birkaç ortağı/sorumlu denetçisi olan küçük bir denetim şirketidir. | Bu durum, üst yönetim ve liderlik bağlamında, aşağıdaki gibi kalite risklerine yol açabilir: |
| • Liderlik yapısının kaliteye ilişkin sorumluluk ve hesap verme yükümlülükleri açıkça tanımlanmamış ve verilmemiştir. | |
| • Liderlik yapısının kaliteyi desteklemeyen eylem ve davranışları sorgulanmamaktadır. | |
| • Denetim şirketinin karmaşıklığı ve faaliyet özellikleri: Denetim şirketi yakın zamanda başka bir denetim şirketiyle birleşme işlemini tamamlamıştır. | Bu durum, kaynaklar bağlamında, aşağıdaki gibi kalite risklerine yol açabilir: |
| • Birleşen iki denetim şirketi tarafından kullanılan teknolojik kaynaklar uyumsuz olabilir. | |
| • Denetim ekipleri, birleşme öncesindeki bir şirket tarafından geliştirilen ve yeni birleşilen denetim şirketi tarafından kullanılan yeni metodolojiyle artık uyumlu olmayan entelektüel kaynaklar kullanıyor olabilir. |
A47. Kalite yönetim sisteminin değişen nitelikleri göz önüne alındığında, denetim şirketi tarafından risklere karşı tasarlanan ve uygulanan işler, kalite risklerinin artmasıyla sonuçlanan şart, olay, durum, eylem veya eylemsizliklere yol açabilir. Örneğin, denetim şirketi bir kalite riskini ele almak için bir kaynak kullanabilir (örneğin, teknolojik bir kaynak) ve bu kaynağın kullanımı nedeniyle başka bir kalite riski ortaya çıkabilir.
A48. Bir riskin, tek başına veya diğer risklerle birlikte, bir kalite hedefine ulaşılmasını olumsuz yönde etkileme derecesi; riske yol açan şart, olay, durum, eylem veya eylemsizliklere bağlı olarak, aşağıdakiler dikkate alındığında, değişebilir:
• Söz konusu şart, olay, durum, eylem veya eylemsizliğin kalite hedefine ulaşılmasını nasıl etkileyeceği.
• Söz konusu şart, olay, durum, eylem veya eylemsizliğin ne sıklıkla meydana gelmesinin beklendiği.
• Söz konusu şart, olay, durum, eylem veya eylemsizliğin meydana gelmesinin ardından bir etkinin ortaya çıkmasının ne kadar zaman alacağı ve bu süre içinde denetim şirketinin söz konusu şart, olay, durum, eylem veya eylemsizliğin etkisini hafifletme fırsatına sahip olup olmayacağı.
• Söz konusu şart, olay, durum, eylem veya eylemsizliğin, meydana geldikten sonra kalite hedefine ulaşılmasını ne kadar süreyle etkileyeceği.
Kalite risklerinin değerlendirilmesi için resmî derecelendirme veya puanlama sistemi kullanılması gerekmez, ancak denetim şirketlerinin bunları kullanmaları önünde herhangi bir engel bulunmamaktadır.
Kalite Risklerine Karşı Yapılacak İşlerin Tasarlanması ve Uygulanması (Bkz.: 16(u), 26 ncı paragraflar)
A49. Risklere karşı yapılacak işlerin niteliği, zamanlaması ve kapsamı; bir veya birden fazla kalite hedefine ulaşılması üzerindeki etkisi ve gerçekleşme olasılığı açısından kalite risklerine yönelik yapılan değerlendirmenin gerekçelerine dayanır.
A50. Denetim şirketi tarafından risklere karşı tasarlanan ve uygulanan işler, denetim şirketi düzeyinde veya denetim düzeyinde işleyebilir ya da her iki düzeyde atılacak adımlara ilişkin sorumlulukların birleşimi olabilir.
Hem denetim şirketi hem de denetim düzeyinde işleyen, denetim şirketi tarafından risklere karşı tasarlanan ve uygulanan işlere ilişkin örnek
Denetim şirketi, istişare konusunda politika veya prosedürler oluşturmakta olup, bunlar arasında denetim ekiplerinin kimlerle istişare edeceği ve istişareye ihtiyaç duyulan belirli konular yer almaktadır. Denetim şirketi, istişareleri gerçekleştirmek üzere uygun niteliklere sahip ve deneyimli kişileri görevlendirmektedir. Denetim ekibi, istişare edilmesi gereken konuların ne zaman ortaya çıktığını tespit etmekten, istişare sürecini başlatmaktan ve istişareden çıkan sonuçları uygulamaktan sorumludur.10
10 BDS 220 (Revize), 35 inci paragraf
A51. Çok sayıda personeli olan veya coğrafi olarak dağılmış denetim şirketleri için resmi olarak belgelendirilmiş politika veya prosedürlere duyulan ihtiyaç, denetim şirketi genelinde tutarlılığın sağlanması açısından daha fazla olabilir.
Denetim Şirketinin ya da Denetimlerinin Niteliğindeki ve İçinde Bulunduğu Şartlardaki Değişiklikler (Bkz.: 27 nci paragraf)
A52. Denetim şirketinin ya da denetimlerinin niteliği ve içinde bulunduğu şartlardaki değişiklikler hakkındaki bilgilerin belirlenmesine yönelik politika veya prosedürlerin nasıl farklı olabileceğine ilişkin ölçeklenebilirlik örneği
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde, denetim şirketinin ya da denetimlerinin niteliği ve içinde bulunduğu şartlardaki değişiklikler hakkındaki bilgilerin belirlenmesine yönelik gayri resmî politika veya prosedürler bulunabilir. Bu durum özellikle, kalite hedeflerinin oluşturulması, kalite risklerinin belirlenmesi ve değerlendirilmesi ile risklere karşı yapılacak işlerin tasarlanması ve uygulanmasından sorumlu olan kişi veya kişilerin, faaliyetlerinin olağan akışı içinde bu tür bilgileri belirleyebilmesi hâlinde geçerlidir.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde, denetim şirketinin ya da denetimlerinin niteliği ve içinde bulunduğu şartlardaki değişiklikler hakkındaki bilgilerin belirlenmesine yönelik çok sayıda resmî politika veya prosedürler oluşturulması gerekebilir. Bu politika veya prosedürler; denetim şirketinin iç ve dış çevresindeki trendlerin ve olayların sürekli olarak izlenmesi dâhil olmak üzere, denetim şirketinin ve denetimlerinin niteliği ve içinde bulunduğu şartlarıyla ilgili bilgilerin periyodik olarak gözden geçirilmesi gibi hususları içerebilir.
A53. 42 nci paragraf uyarınca tespit edilen bir eksikliği ele almak için denetim şirketi tarafından yerine getirilen düzeltici adımların bir parçası olarak, ilave kalite hedeflerinin oluşturulması ya da kalite risklerine ve risklere karşı yapılacak işlere ilave yapılması veya bunların değiştirilmesi gerekebilir.
A54. Denetim şirketi, KYS 1’de belirtilen kalite hedeflerine ilave olarak başka kalite hedefleri oluşturmuş olabilir. Denetim şirketi ayrıca, hâlihazırda oluşturulmuş olan ilave kalite hedeflerine artık ihtiyaç duyulmadığını veya bunların değiştirilmesi gerektiğini gösteren bilgiler tespit edebilir.
Üst Yönetim ve Liderlik Yapısı
Kaliteye Bağlılık (Bkz.: 28(a) paragrafı)
A55. Denetim şirketinin kültürü, personelin davranışını etkilemede önemli bir faktördür. Etik hükümler, genellikle mesleki etik ilkeleri belirler ve KYS 1’in “etik hükümler” unsurunda daha ayrıntılı olarak ele alınmıştır. Mesleki değer ve tutumlar aşağıdakileri içerebilir:
• Dakiklik, kibarlık, saygı, hesap verebilirlik, olaylara müdahale edebilme ve güvenilirlik gibi mesleki tavırlar.
• Ekip çalışmasına bağlılık.
• Mesleki ortamda yeni fikirlere veya farklı bakış açılarına karşı açık fikirli olmak.
• Mükemmelin peşinde olmak.
• Sürekli gelişime bağlılık (örneğin, asgari gerekliliklerin ötesinde beklentileri belirlemek ve sürekli öğrenmeye odaklanmak).
• Sosyal sorumluluk.
A56. İş stratejisinin oluşturulması dâhil denetim şirketinin stratejik karar alma süreci; şirketin finansal ve operasyonel konularla ilgili kararları, şirketin finansal hedefleri, finansal kaynakların nasıl yönetildiği, şirketin pazar payında büyüme, sektörde uzmanlaşma veya yeni hizmetlerin sunulması gibi hususları içerebilir. Denetim şirketinin finansal ve operasyonel öncelikleri, şirketin kaliteye olan bağlılığını doğrudan veya dolaylı şekilde etkileyebilir. Örneğin denetim şirketi, finansal ve operasyonel önceliklere odaklanan ve bunun sonucunda kaliteye bağlılık gösteren davranışlardan caydırıcı teşviklerde bulunabilir.
Liderlik Yapısı (Bkz.: 28(b) ve 28(c) paragrafları)
A57. Kalite konusunda liderlik yapısını sorumlu ve hesap verebilir durumda tutmak için denetim şirketi tarafından risklere karşı tasarlanan ve uygulanan işler arasında 56 ncı paragrafta zorunlu tutulan performans değerlendirmeleri yer alır.
A58. Liderlik yapısı; eylem ve davranışları aracılığıyla üst yönetimin tutumunu belirlese de şirket içinde her seviyedeki açık, tutarlı ve yinelenen eylem ve davranışlar, şirket kültürüne toplu olarak katkıda bulunur ve kaliteye olan bağlılığı gösterir.
Organizasyon Yapısı (Bkz.: 28(d) paragrafı)
A59. Denetim şirketinin organizasyon yapısı; faaliyet birimlerini, operasyonel süreçleri, bölümleri veya coğrafi konumlan ve diğer yapıları içerebilir. Bazı durumlarda denetim şirketi; süreçleri veya faaliyetleri bir hizmet sunum merkezinde toplayabilir veya merkezileştirebilir ve denetim ekipleri içinde şirketin hizmet sunum merkezinden gelen ve tekrar eden veya niteliği gereği uzmanlık gerektiren belirli görevleri yerine getiren personel bulunabilir.
Kaynaklar (Bkz.: 28(e) paragrafı)
A60. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler ya da kalite yönetim sisteminin işleyişinden sorumlu olarak görevlendirilen kişi veya kişiler, çoğu durumda denetim şirketinin temin ettiği, geliştirdiği, kullandığı ve devamlılığını sağladığı kaynakların, bunların nasıl dağıtıldığı veya tahsis edildiği ya da ne zaman kullanıldıkları dâhil olmak üzere niteliğini ve kapsamını etkileyebilir.
A61. Kaynak ihtiyaçları zamanla değişebileceğinden, tüm kaynak ihtiyaçlarını önceden tahmin etmek mümkün olmayabilir. Denetim şirketinin kaynak planlaması; hâlihazırda ihtiyaç duyulan kaynakların belirlenmesini, şirketin gelecekteki kaynak ihtiyaçlarının tahmin edilmesini ve beklenmeyen kaynak ihtiyaçları ortaya çıktığında bunları karşılamak için süreçlerin oluşturulmasını içerebilir.
Etik Hükümler (Bkz.: 16(t), 29 uncu paragraflar)
A62. Etik Kurallar, bir denetçiden beklenen davranış standartlarını oluşturan temel etik ilkeler ile Bağımsızlık Standartlarını düzenler. Temel ilkeler; dürüstlük, tarafsızlık, mesleki yeterlik ve özen, sır saklama ve mesleğe uygun davranıştır. Etik Kurallar ayrıca, denetçinin temel ilkelere ve -uygun hâllerde- Bağımsızlık Standartlarına uyum için uygulaması gereken yaklaşımı belirler. Etik Kurallarda ayrıca, temel ilkelere uyumla ilgili belirli konular ele alınır. Yerel mevzuat, bağımsızlık dâhil olmak üzere bilgi mahremiyetini etkileyen gizlilik yasaları gibi etik hükümleri ele alan hükümler de içerebilir.
A63. Bazı durumlarda, denetim şirketinin kalite yönetim sisteminde ele alınan konular, etik hükümlere göre daha özellikli veya bu hükümlere ek şeklinde olabilir.
Bir denetim şirketinin kalite yönetim sistemine dâhil edebileceği, etik hükümlere göre daha özellikli veya bu hükümlere ek şeklinde olan konulara ilişkin örnekler
• Denetim şirketinin, maddi değeri az ve önemsiz olsa bile, bir müşteriden hediye ve ağırlanma kabul edilmesini yasaklaması.
• Denetim şirketinin, diğer güvence denetimleri veya ilgili hizmetleri yürütenler dâhil olmak üzere, tüm sorumlu denetçiler için rotasyon süresi belirlemesi ve kıdemli denetim ekibi üyeleri için rotasyon süresini uzatması.
A64. Etik hükümler unsuru, diğer unsurlardan etkilenebilir veya bunlarla ilgili olabilir.
Etik hükümler unsuru ile diğer unsurlar arasındaki ilişki örnekleri
• Bilgi ve iletişim unsuru, aşağıdakiler dâhil olmak üzere, etik hükümlerle ilgili çeşitli konulara ilişkin iletişimi ele alabilir:
o Bağımsızlık hükümlerinin tüm personele ve bağımsızlık hükümlerine tabi olan diğer kişilere iletilmesi.
o Bağımsızlığa yönelik tehdit veya etik hükümlerin ihlali gibi durumlara ilişkin bilgilerin, personel ve denetim ekipleri tarafından hiçbir korku ve baskı olmaksızın denetim şirketine iletilmesi.
• Kaynaklar unsurunun bir parçası olarak denetim şirketi:
o Etik hükümlere uyumu yönetmek ve izlemek veya ilgili etik hükümlerle ilgili konuların istişare edilmesini sağlamak için kişileri görevlendirebilir.
o Bağımsızlıkla ilgili bilgilerin kaydedilmesi ve saklanması dâhil olmak üzere, etik hükümlere uyumu izlemek için BT uygulamalarını kullanabilir.
A65. Diğerleri için geçerli olan ilgili etik hükümler, etik hükümlerin kendisine ve denetim şirketinin bu kişileri kalite yönetim sisteminde ya da denetimin yürütülmesinde ne şekilde kullandığına bağlıdır.
Diğerleri için geçerli olan etik hükümlere ilişkin örnekler
• Etik hükümlerde, denetim ağına dâhil denetim şirketleri veya bunların çalışanları için geçerli olan bağımsızlık hükümleri bulunabilir. Örneğin, Etik Kurallarda denetim ağma dâhil denetim şirketleri için geçerli olan bağımsızlık hükümleri yer almaktadır.
• Etik hükümlerde, denetim ekibi veya buna benzer diğer bir kavramın tanımı bulunabilir ve bu tanım, denetimle ilgili güvence prosedürlerini uygulayan herhangi bir kişiyi (örneğin, bir birim denetçisini veya uzak bir yerde fiziki stok sayımına katılmak üzere görevlendirilen bir hizmet sağlayıcıyı) içerebilir. Buna göre, etik hükümlerde tanımlandığı şekliyle denetim ekibi için geçerli olan veya benzer diğer bir kavrama uygulanan herhangi bir hüküm bu tür kişilere uygulanabilir.
• Sır saklama (gizlilik) ilkesi; denetim şirketinin dâhil olduğu denetim ağı, denetim ağına dâhil diğer denetim şirketleri veya hizmet sağlayıcıları için, denetim şirketi tarafından elde edilen müşteri bilgilerine erişimleri olduğunda geçerli olabilir.
Kamu Sektörüne Özgü Hususlar
A66. Kamu sektörü denetçileri KYS 1’deki bağımsızlıkla ilgili kalite hedeflerine ulaşılmasında bağımsızlığı, kamu sektöründeki yetki dayanağı ve yasal önlemler bağlamında ele alabilir.
Müşteri İlişkisinin ve Belirli Bir Sözleşmenin Kabulü ve Devam Ettirilmesi
Denetimin Niteliği ve İçinde Bulunduğu Şartlar ile Müşterinin Dürüstlüğü ve Etik Değerleri (Bkz.: 30(a)(i) paragrafı)
A67. Denetimin niteliği ve içinde bulunduğu şartlar hakkında elde edilen bilgiler aşağıdakileri içerebilir:
• Denetimi üstlenilen işletmenin faaliyet gösterdiği sektör ve tabi olduğu mevzuat,
• Faaliyetleri, organizasyon yapısı, sahiplik yapısı ve yönetimi, iş modeli ve nasıl finanse edildiği gibi işletmenin niteliği hakkındaki bilgiler ve
• Dayanak denetim konusunun niteliği ve geçerli kıstaslar. Örneğin entegre raporlama durumunda;
o Dayanak denetim konusu; sosyal, çevresel veya sağlık ve güvenlik bilgilerini içerebilir ve
o Geçerli kıstaslar, yetkili bir kurum tarafından oluşturulan performans ölçütleri olabilir.
A68. Denetim şirketinin, müşterinin dürüstlüğü ve etik değerleri hakkındaki muhakemesini desteklemek için elde edilen bilgiler, müşteri işletmenin büyük pay sahipleri, kilit yöneticileri ve üst yönetiminden sorumlu olanların kimlikleri ve ticari itibarlarını kapsayabilir.
Müşterinin dürüstlüğü ve etik değerleri hakkında elde edilen bilgilerin niteliğini ve kapsamını etkileyebilen faktörlere ilişkin örnekler
• Sahiplik ve yönetim yapısının karmaşıklığı dâhil olmak üzere, denetimi yapılan işletmenin niteliği.
• İş uygulamaları dâhil müşterinin faaliyetlerinin niteliği.
• Müşterinin büyük pay sahipleri, kilit yöneticileri ve üst yönetiminden sorumlu olanların muhasebe standartlarını yorumlama ve iç kontrol çevresi gibi hususlardaki tutumları hakkında olumsuz bilgiler.
• Müşterinin, denetim ücretlerini olabilecek en düşük seviyede tutmaya yönelik ısrarlı bir tutumu.
• Çalışma kapsamının müşteri tarafından sınırlandırıldığına dair göstergeler.
• Müşterinin kara para aklama veya suç teşkil eden diğer faaliyetlere karışmış olabileceğine ilişkin göstergeler.
• Denetim şirketinin seçilmek istenmesinin ve önceki denetim şirketinin yeniden seçilmemesinin nedenleri.
• İlişkili tarafların kimlik ve ticari itibarları.
A69. Denetim şirketi, bilgileri, aşağıdakiler dâhil olmak üzere iç ve dış kaynaklardan elde edebilir:
• Mevcut bir müşteri için, mevcut veya önceki denetimlerden elde edilen bilgiler veya -uygun hâllerde- müşteri için başka bir denetim yürütmüş diğer personelin sorgulanması.
• Yeni bir müşteri için, etik hükümlere uygun olarak müşteriye mevcut veya önceki muhasebe ve denetim hizmetlerini sağlayanların sorgulanması.
• Bankacılar, hukuk müşavirleri ve aynı sektörde faaliyet gösteren diğer işletmeler gibi üçüncü taraflarla görüşülmesi.
• İlgili veri tabanlarında (entelektüel kaynaklar gibi) yapılacak arka plan araştırmaları. Bazı durumlarda denetim şirketi, arka plan araştırması yapmak için bir hizmet sağlayıcıdan faydalanabilir.
A70. Denetim şirketinin kabul ve devam ettirme süreci sırasında elde ettiği bilgiler, denetimin planlanması ve yürütülmesi sırasında denetim ekibi tarafından da kullanılabilir. Mesleki standartlarda, denetim ekibinin bu tür bilgileri elde etmesi veya dikkate alması özellikle zorunlu tutulabilir. Örneğin, BDS 220 (Revize)11 sorumlu denetçinin, denetimin planlanması ve yürütülmesinde, müşteri ilişkisinin ve denetim sözleşmesinin kabulü ve devam ettirilmesi sürecinde elde edilen bilgileri dikkate almasını zorunlu tutar.
11 BDS 220 (Revize), 23 üncü paragraf
A71. Mesleki standartlar veya mevzuat hükümleri, müşteri ilişkisinin veya belirli bir sözleşmenin kabulü veya devam ettirilmesine karar vermeden önce ele alınması gereken özel hükümler içerebilir ve ayrıca denetim şirketinin, bir sözleşmeyi kabul ederken mevcut veya önceki denetim şirketini sorgulamasını zorunlu tutabilir. Örneğin BDS 30012, denetçinin değiştiği durumlarda, ilk defa yapılan bir denetime başlamadan önce denetçinin, etik hükümlere uygun olarak önceki denetçiyle iletişime geçmesini zorunlu tutar. Etik Kurallar ayrıca, bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul ederken veya devam ettirirken, çıkar çatışmalarının dikkate alınması ve finansal tabloların bağımsız denetimi veya sınırlı bağımsız denetimini kabul ederken mevcut veya önceki denetim şirketiyle iletişim kurulması yönünde hükümler içerir.
12 BDS 300 Finansal Tabloların Bağımsız Denetiminin Planlanması, 13(b) paragrafı
Denetim Şirketinin Denetimi Yürütebilme Kabiliyeti (Bkz.: 30(a)(ii) paragrafı)
A72. Denetim şirketinin, denetimi mesleki standartlara ve mevzuat hükümlerine uygun olarak yürütebilme kabiliyeti aşağıdakilerden etkilenebilir:
• Denetimi yürütmek için gerekli kaynakların mevcudiyeti,
• Denetimi yürütmek için bilgiye veya bu bilgiyi sağlayan kişilere erişimin olması ve
• Denetim şirketi ve denetim ekibinin, etik hükümlere ilişkin sorumluluklarını yerine getirip getiremedikleri.
Denetimi yürütmek için gerekli kaynakların mevcut olup olmadığını belirlerken denetim şirketinin dikkate alabileceği faktörlere ilişkin örnekler
• Denetimin içinde bulunduğu şartlar ve raporlama için belirlenen tarih.
• Denetimi yürütmek için, yeterli zaman dâhil olmak üzere uygun yetkinlik ve kabiliyete sahip kişilerin mevcudiyeti. Bu husus, aşağıdakilerin mevcut olmasını içerir:
o Denetimin yönlendirilmesi ve gözetimine ilişkin genel sorumluluk alacak kişiler,
o İlgili sektör veya dayanak denetim konusu hakkında ya da denetimin konusunu oluşturan bilginin hazırlanmasında uygulanacak kıstaslar hakkında bilgi sahibi ve mevzuat hükümleri veya raporlama yükümlülükleri hakkında deneyim sahibi olan kişiler ve
o Topluluk finansal tablolarının bağımsız denetimi amacıyla bir birimin finansal bilgilerine ilişkin denetim prosedürlerini uygulayacak kişiler.
• İhtiyaç duyulması hâlinde, uzmanların mevcudiyeti.
• Kalitenin gözden geçirilmesine ihtiyaç duyulması hâlinde, KYS 2’de öngörülen nitelikleri taşıyan kişinin mevcut olup olmadığı.
• Denetim ekibinin işletmenin verileri üzerinde prosedür uygulamasını sağlayan BT uygulamaları gibi teknolojik kaynaklara duyulan ihtiyaç.
• Bir metodoloji, sektör veya konuya özel kılavuzlar gibi entelektüel kaynaklara duyulan ihtiyaç veya bilgi kaynaklarına erişim.
Denetim Şirketinin Finansal ve Operasyonel Öncelikleri (Bkz.: 30(b) paragrafı)
A73. Finansal öncelikler denetim şirketinin kârlılığına odaklanabilir ve denetimin yürütülmesi için alınan ücretlerin denetim şirketinin finansal kaynakları üzerinde de etkisi bulunmaktadır. Operasyonel öncelikler, denetim şirketinin pazar payında büyüme, sektörde uzmanlaşma veya yeni hizmetlerin sunulması gibi stratejik odaklanma alanlarını içerebilir. Denetim şirketinin bir denetim için teklif edilen ücreti uygun bulduğu ancak şirketin müşteri ilişkisini veya sözleşmeyi kabul etmesinin veya devam ettirmesinin uygun olmadığı durumlar (örneğin, müşterinin dürüstlük ve etik değerlere sahip olmaması) bulunabilir.
A74. Bir denetim için teklif edilen ücretin, denetimin niteliği ve içinde bulunduğu şartlar dikkate alındığında yeterli olmadığı ve şirketin denetimi standartlara ve mevzuat hükümlerine uygun olarak yürütebilme becerisini azaltan başka durumlar bulunabilir. Etik Kurallarda, bir denetim için teklif edilen ücretin çok düşük olması hâlinde mesleki yeterlik ve özen ilkesine yönelik bir tehdit ortaya çıkan durumlar dâhil olmak üzere, ücretler ve diğer menfaatler ele alınmaktadır.
Denetimin Yürütülmesi
Denetim Ekibinin Sorumlulukları ve Yönlendirme, Gözetim ve Gözden Geçirme (Bkz.: 31 (a) ve 31(b) paragrafları)
A75. Mesleki standartlar veya mevzuat hükümleri, sorumlu denetçinin genel sorumluluğuna ilişkin özel hükümler içerebilir. Örneğin BDS 220 (Revize) sorumlu denetçinin; denetim ekibinin uygun bir şekilde yönlendirilmesi ve gözetimi ile çalışmalarının gözden geçirilmesi dâhil olmak üzere, denetimin kalitesinin yönetilmesine ve kaliteye ulaşılmasına ve denetim boyunca yeterli ve uygun bir şekilde söz konusu denetimde yer almasına ilişkin genel sorumluluğunu ele almaktadır.
A76. Yönlendirme, gözetim ve gözden geçirmeye ilişkin örnekler
• Denetim ekibinin yönlendirilmesi ve gözetimi aşağıdakileri içerebilir:
o Denetimin ilerleyişinin takibi,
o Denetim ekibi üyeleriyle ilgili olarak aşağıdakilerin değerlendirilmesi:
• Verilen talimatları anlayıp anlamadıkları ve
• Yapılan çalışmanın planlanan yaklaşıma uygun olarak gerçekleştirilip gerçekleştirilmediği.
o Denetimin yürütülmesi sırasında ortaya çıkan hususların ele alınması, bunların öneminin değerlendirilmesi ve planlanan yaklaşımın uygun bir şekilde uyarlanması ve
o Denetimin yürütülmesi sırasında daha deneyimli denetim ekibi üyeleri tarafından değerlendirilecek veya istişare edilecek konuların belirlenmesi.
• Yapılan çalışmanın gözden geçirilmesi aşağıdakilerin değerlendirilmesini içerebilir:
o Denetimin, denetim şirketinin politika veya prosedürlerine, mesleki standartlara ve mevzuat hükümlerine uygun olarak yürütülüp yürütülmediği,
o İlave değerlendirme gerektiren önemli hususların ortaya çıkıp çıkmadığı,
o Uygun istişarelerin yapılıp yapılmadığı, ulaşılan sonuçların belgelendirilip belgelendirilmediği ve bu sonuçların gereğinin yapılıp yapılmadığı,
o Planlanan çalışmanın niteliği, zamanlaması ve kapsamını revize etme ihtiyacının bulunup bulunmadığı,
o Yapılan çalışmanın ulaşılan sonuçları destekleyip desteklemediği ve uygun biçimde belgelendirilip belgelendirilmediği,
o Bir güvence denetiminde elde edilen kanıtların raporu desteklemek için yeterli ve uygun olup olmadığı,
o Denetim prosedürlerinin amaçlarına ulaşılıp ulaşılmadığı.
A77. Bazı durumlarda denetim şirketi; denetimle ilgili prosedürleri uygulamak için denetim şirketinin bir hizmet sunum merkezindeki personelinden veya denetim ağındaki başka bir şirketin hizmet sunum merkezindeki kişilerden faydalanabilir (diğer bir ifadeyle, söz konusu personel veya kişiler denetim ekibine dâhildir). Bu tür durumlarda, denetim şirketinin aşağıdaki gibi politika veya prosedürleri, söz konusu kişilerin yönlendirilmesi ve gözetimi ile çalışmalarının gözden geçirilmesini ele alabilir:
• Hizmet sunum merkezindeki kişilere denetimin hangi unsurlarına yönelik görev verilebileceği,
• Hizmet sunum merkezindeki kişiler tarafından üstlenilen çalışmanın, sorumlu denetçinin ya da görevlendirdiği kişinin nasıl yönlendirmesi, gözetmesi ve gözden geçirmesinin beklendiği ve
• Hizmet sunum merkezindeki kişiler ile denetim ekibi arasındaki iletişim protokolleri.
Mesleki Muhakeme ve Mesleki Şüphecilik (Bkz.: 31(c) paragrafı)
A78. Mesleki şüphecilik, bir güvence denetimine ilişkin muhakemelerin kalitesini ve bu muhakemeler aracılığıyla denetim ekibinin güvence denetimini yürütmedeki genel etkinliğini destekler. Denetim düzeyinde mesleki muhakemenin veya mesleki şüpheciliğin kullanımını ele alan ve Kurum tarafından yayımlanan başka standartlar da bulunabilir. Örneğin BDS 220 (Revize)’de13, denetim düzeyinde mesleki şüpheciliğin kullanılmasının önündeki engellere, mesleki şüpheciliğin kullanılmasını engelleyebilen kasti olmayan denetçi önyargılarına ve denetim ekibinin bu gibi engelleri azaltmak için atabileceği muhtemel adımlara ilişkin örnekler verilmektedir.
13 BDS 220 (Revize), A34-A36 paragrafları
İstişare (Bkz.: 31 (d) paragrafı)
A79. İstişare genel olarak, zor veya ihtilaflı konular hakkında, denetim şirketi içinden veya dışından özel uzmanlığa sahip kişilerle uygun mesleki seviyede müzakere edilmesini içerir. İstişarenin önemini ve faydasını güçlendiren ve denetim ekiplerini istişare yapmaya teşvik eden bir çevre, kaliteye olan bağlılığı gösteren bir kültürü desteklemeye katkıda bulunabilir.
A80. İstişarenin gerekli olduğu zor veya ihtilaflı konular denetim şirketi tarafından belirlenebilir ya da denetim ekibi istişare gerektiren konulan belirleyebilir. Denetim şirketi ayrıca, sonuçlar üzerinde nasıl mutabık kalınacağını ve sonuçların nasıl uygulanacağını belirleyebilir.
A81. BDS 220 (Revize)14, istişareye ilişkin olarak sorumlu denetçiyle ilgili hükümler içerir.
14 BDS 220 (Revize), 35 inci paragraf
Görüş Farklılıkları (Bkz.: 31 (e) paragrafı)
A82. Denetim şirketi, görüş farklılıklarının erken bir safhada saptanmasını teşvik edebilir ve ilgili hususun nasıl çözüleceği, sonuçların nasıl uygulanacağı ve belgelendirileceği dâhil olmak üzere, görüş farklılıklarını dikkate sunmak ve ele almak için atılması gereken adımları belirleyebilir. Bazı durumlarda görüş farklılıkları; başka bir denetçi, denetim şirketi, meslek örgütü veya düzenleyici kuruma danışılarak çözüme kavuşturulabilir.
Çalışma Kâğıtları (Bkz.: 31(f) paragrafı)
A83. Mevzuat veya mesleki standartlar, belirli tür denetimlere ait çalışma kâğıtlarının nihai denetim dosyalarında birleştirilmesi işleminin tamamlanması için süre sınırlamaları öngörebilir. Mevzuatta herhangi bir sınırlamanın öngörülmediği durumlarda süre sınırı denetim şirketi tarafından belirlenebilir. BDS’ler veya GDS’ler kapsamında yürütülen denetimlerde nihai denetim dosyasının birleştirilmesi işleminin tamamlanması için öngörülen süre sınırı, denetçi raporu tarihinden itibaren altmış günden fazla olamaz.
A84. Çalışma kâğıtlarının saklanması ve muhafaza edilmesi; ele alınan verilerin ve ilgili teknolojinin güvenli biçimde saklanması, doğruluk ve bütünlüğü, erişilebilirliği veya geri kullanılabilirliğinin yönetilmesini içerebilir. Çalışma kâğıtlarının saklanması ve muhafaza edilmesi, BT uygulamalarının kullanımını içerebilir. Denetim şirketinin izni olmadan çalışma kâğıtları üzerinde değişiklik, ekleme veya çıkarma yapılabildiği ya da çalışma kâğıtlarının kalıcı olarak silinebildiği veya bunlara zarar verilebildiği sürece çalışma kâğıtlarının doğruluk ve bütünlüğü tehlikeye düşer.
A85. Mevzuatta veya mesleki standartlarda çalışma kâğıtları için saklama süreleri öngörülebilir. Öngörülmediği durumlarda denetim şirketi, çalışma kâğıtlarının gelecek denetimlerde de önemini devam ettirecek konuların kaydını içerip içermediği dâhil olmak üzere şirketin içinde bulunduğu şartları ve denetimlerinin niteliğini değerlendirebilir. BDS’ler veya GDS’ler kapsamında yürütülen denetimlerde saklama süresi, denetçi raporu tarihinden veya daha sonra olması hâlinde topluluk finansal tablolarına ilişkin denetçi raporu tarihinden itibaren başlamak üzere Kurum tarafından belirlenen süreden daha kısa olamaz.
Kaynaklar (Bkz.: 32 nci paragraf)
A86. Kaynaklar unsuru bağlamında kaynaklar aşağıdakileri içerir:
• İnsan kaynakları.
• Teknolojik kaynaklar, örneğin BT uygulamaları.
• Entelektüel kaynaklar, örneğin; yazılı politika veya prosedürler, metodoloji veya kılavuzlar.
İnsan kaynakları, teknolojik kaynaklar ve entelektüel kaynakların temin edilmesi, geliştirilmesi ve korunması için gerekli olduğundan, finansal kaynaklar da kalite yönetim sistemiyle ilgilidir. Finansal kaynakların yönetimi ve tahsisinin liderlik yapısından güçlü bir şekilde etkilendiği göz önüne alındığında, finansal ve operasyonel önceliklerin ele alındığı hedefler gibi üst yönetim ve liderlik yapısı unsurundaki kalite hedefleri finansal kaynakları ele alır.
A87. Kaynaklar, denetim şirketinin içinde bulunabilir ya da denetim şirketinin dâhil olduğu denetim ağı, aynı ağa dâhil başka bir şirket veya hizmet sağlayıcısı gibi denetim şirketi dışındaki taraflardan elde edilebilir. Kaynaklar, denetim şirketinin kalite yönetim sistemi kapsamındaki faaliyetlerin yürütülmesinde veya kalite yönetim sisteminin işleyişinin bir parçası olarak denetimlerin yürütülmesinde kullanılabilir. Denetim şirketinin dâhil olduğu denetim ağından veya aynı ağa dâhil başka bir şirketten kaynak elde edildiği durumlarda, 48-52 nci paragraflar, kaynaklar unsurundaki hedeflere ulaşılmasında denetim şirketi tarafından tasarlanan ve uygulanan işlerin bir parçasını oluşturur.
İnsan Kaynakları
Personelin İşe Alınması, Geliştirilmesi ve Kadroda Tutulması ile Personelin Yetkinlik ve Kabiliyeti (Bkz.: 32(a), 32(d) paragrafları)
A88. Yetkinlik; kişinin bir görevi yerine getirebilme yeteneğidir ve ilke, standart, kavram, olgu ve prosedürler hakkında bilgi sahibi olmanın yanı sıra teknik yeterlilik ve mesleki beceri ile mesleki etik, değer ve tutumların bütünleştirilmesi ve uygulanmasıdır. Yetkinlik; mesleki eğitim, sürekli mesleki gelişim, teorik ve uygulamalı eğitim, iş tecrübesi veya daha deneyimli denetim ekibi üyeleri refakatinde daha az deneyimli denetim ekibi üyelerinin yetiştirilmesi dâhil olmak üzere çeşitli yöntemlerle geliştirilebilir.
A89. Mevzuat veya mesleki standartlar, mesleki eğitim ve sürekli mesleki gelişimle ilgili hükümler dâhil olmak üzere sorumlu denetçilere yönelik mesleki ruhsatlandırmaya ilişkin hükümler gibi yetkinlik ve kabiliyete yönelik hükümler de düzenleyebilir.
A90. Personelin işe alınması, geliştirilmesi ve kadroda tutulmasıyla ilgili politika veya prosedürlere ilişkin örnekler
Denetim şirketi tarafından personelin işe alınması, geliştirilmesi ve kadroda tutulmasıyla ilgili tasarlanan ve uygulanan politika veya prosedürler aşağıdaki hususları ele alabilir:
• Uygun yetkinliğe sahip veya bu yetkinlikleri geliştirebilecek kişilerin işe alınması.
• Personelin yetkinliğini geliştirmeye ve sürekli mesleki gelişime odaklanan eğitim programları.
• Uygun aralıklarla gerçekleştirilen ve yetkinlik alanlarını ve diğer performans ölçütlerini içeren değerlendirme mekanizmaları.
• Sorumlu denetçiler ve denetim şirketinin kalite yönetim sistemiyle ilgili görev ve sorumluluk verilen kişiler dâhil olmak üzere, tüm personel için ödüllendirme, terfi ve diğer teşvikler.
Personelin Kaliteye Bağlılığı ile Hesap Verme Yükümlülüğü ve Kaliteye Bağlılığın Takdir Edilmesi (Bkz.: 32(b) paragrafı)
A91. Zamanında yapılan değerlendirmeler ve geri bildirimler, personelin yetkinliğinin sürekli gelişimini desteklemeye ve teşvik etmeye yardımcı olur. Örneğin, personel sayısı az olan denetim şirketlerinde resmiyet düzeyi düşük olan değerlendirme ve geri bildirim yöntemleri kullanılabilir.
A92. Personel tarafından gösterilen olumlu eylem veya davranışlar; ödüllendirme, terfi veya diğer teşvikler gibi çeşitli yollarla takdir edilebilir. Bazı durumlarda, parasal ödüle dayanmayan basit veya gayri resmî teşvikler uygun olabilir.
A93. Denetim şirketinin personeline; kaliteye bağlılık göstermemek, görevini yerine getirmesi veya denetim şirketinin risklere karşı yapacağı işleri tasarlandığı şekilde uygulaması için uygun yetkinliğe ulaşmamak veya bu yetkinliği koruyamamak gibi kaliteyi olumsuz etkileyen eylem veya davranışlar hakkında ne şekilde hesap verme yükümlülüğü vereceği, eylem veya davranışın ciddiyet ve gerçekleşme sıklığı dâhil olmak üzere niteliğine bağlı olabilir. Personel kaliteyi olumsuz yönde etkileyen eylem veya davranışlar sergilediğinde denetim şirketinin atabileceği adımlar aşağıdakileri içerebilir:
• Teorik ve uygulamalı eğitim veya başka bir mesleki gelişim.
• Söz konusu hususun, bahse konu kişilere ilişkin değerlendirme, ödüllendirme, terfi veya diğer teşvikler üzerindeki etkisinin değerlendirilmesi.
• Uygun hâllerde disiplin cezası.
Denetim Şirketi Dışındaki Kişilerden Yardım Alınması (Bkz.: 32(c) paragrafı)
A94. Mesleki standartlarda, sorumlu denetçilerin kaynakların uygunluğunun değerlendirilmesine ilişkin sorumlulukları düzenlenebilir. Örneğin, BDS 220 (Revize)’de15 sorumlu denetçinin, denetim şirketinin politika veya prosedürlerine uygun olarak, denetimin yürütülmesi için yeterli ve uygun kaynakların denetim ekibine zamanında tahsis edildiğini veya kullanımına hazır tutulduğuna karar verme sorumluluğu ele alınmaktadır.
15 BDS 220 (Revize), 25 inci paragraf
Her Bir Denetimde Denetim Ekibi Üyelerinin Görevlendirilmesi (Bkz.: 32(d) paragrafı)
A95. Denetim ekibi üyeleri, denetimlerde aşağıdakiler tarafından görevlendirilebilir:
• Denetim şirketinin bir hizmet sunum merkezindeki personelin görevlendirilmesi dâhil olmak üzere, denetim şirketi tarafından.
• Denetim şirketinin, denetimle ilgili prosedürlerin uygulanmasında, şirketin dâhil olduğu denetim ağındaki veya denetim ağma dâhil başka bir şirketteki kişilerden (örneğin, bir birim denetçisinden ya da denetim ağının veya denetim ağma dâhil başka bir şirketin hizmet sağlama merkezindeki kişilerden) faydalandığı durumlarda, denetim ağı veya denetim ağına dâhil başka bir şirket tarafından.
• Denetim şirketinin, denetimle ilgili prosedürlerin uygulanmasında, bir hizmet sağlayıcı tarafından istihdam edilen kişilerden (örneğin, denetim şirketinin dâhil olduğu denetim ağı içinde yer almayan bir şirketteki birim denetçisinden) faydalandığı durumlarda, hizmet sağlayıcı tarafından.
A96. BDS 220 (Revize)’de16 sorumlu denetçinin; denetim ekibi üyeleri ile denetim ekibinin bir parçası olmayan ancak denetimde doğrudan yardım sağlayan iç denetçilerin ve denetçinin faydalandığı dış uzmanların, müştereken denetimin yürütülmesinde, yeterli zaman dâhil olmak üzere uygun yetkinlik ve kabiliyete sahip olup olmadıklarına karar verme sorumluluğu ele alınmaktadır. BDS 600’de17 ise BDS 220 (Revize)’nin topluluk finansal tablolarının bağımsız denetimiyle ilgili olarak nasıl uygulanacağı ele alınmaktadır. Denetimde görevlendirilen denetim ekibi üyelerinin yetkinlik ve kabiliyetlerini ele almak için denetim şirketi tarafından risklere karşı tasarlanan ve uygulanan işler, aşağıdakileri ele alan politika veya prosedürleri içerir:
• Denetim şirketinin dâhil olduğu denetim ağı, denetim ağına dâhil başka bir şirket veya hizmet sağlayıcı tarafından görevlendirilenler dâhil olmak üzere, denetimde görevlendirilen denetim ekibi üyelerinin denetimi yürütmek için uygun yetkinlik ve kabiliyete sahip olup olmadıklarının belirlenmesinde, sorumlu denetçi tarafından elde edilebilecek bilgiler ve dikkate alınması gereken etkenler ve
• Denetim ekibi üyelerinin, özellikle denetim şirketinin dâhil olduğu denetim ağı, denetim ağına dâhil başka bir şirket veya hizmet sağlayıcı tarafından görevlendirilenlerin yetkinlik ve kabiliyetleri konusundaki endişelerin nasıl giderilebileceği.
16 BDS 220 (Revize), 26 ncı paragraf
17 BDS 600 Özel Hususlar-Topluluk Finansal Tablolarının Bağımsız Denetimi (Topluluğa Bağlı Birim Denetçilerinin Çalışmaları Dâhil), 19 uncu paragraf
A97. 48-52 nci paragraflarda yer alan hükümler, birim denetçileri dâhil olmak üzere denetim şirketinin dâhil olduğu denetim ağı veya denetim ağma dâhil başka bir şirketteki kişilerden faydalanıldığında da geçerlidir (örneğin, Bkz.: A179 paragrafı).
Teknolojik Kaynaklar (Bkz.: 32 (f) paragrafı)
A98. Genellikle BT uygulamalarından oluşan teknolojik kaynaklar, denetim şirketinin BT çevresinin bir parçasını oluşturur. Denetim şirketinin BT çevresi, destekleyici BT altyapısını, BT süreçlerini ve bu süreçlere dâhil olan insan kaynaklarını da içerir:
• Bir BT uygulaması, doğrudan kullanıcı için veya bazı durumlarda başka bir uygulama programı için belirli bir fonksiyonu gerçekleştirmek üzere tasarlanmış bir program veya program setidir.
• BT altyapısı; BT ağı, işletim sistemleri, veri tabanları ile bunlarla ilgili donanım ve yazılımlarından oluşur.
• BT süreçleri; denetim şirketinin, BT çevresine erişimi yönetme, program değişikliklerini veya BT çevresinde meydana gelen değişiklikleri yönetme ve BT çevresinin izlenmesini içeren BT operasyonlarını yönetmeye ilişkin süreçleridir.
A99. Teknolojik bir kaynak, denetim şirketi içinde birden çok amaca hizmet edebilir ve bu amaçlardan bazıları kalite yönetim sistemiyle ilgili olmayabilir. KYS 1’in amaçları bakımından ilgili teknolojik kaynaklar aşağıda yer almaktadır:
• Denetim şirketinin kalite yönetim sisteminin tasarımı, uygulaması veya işleyişinde doğrudan kullanılan teknolojik kaynaklar,
• Denetimlerin yürütülmesinde denetim ekipleri tarafından doğrudan kullanılan teknolojik kaynaklar ve
• BT uygulaması, BT altyapısı ve BT uygulamasını destekleyen BT süreçleri gibi yukarıda sayılanların etkili şekilde işlemesini sağlamak için gerekli olan teknolojik kaynaklar.
KYS 1’in amaçları bakımından teknolojik kaynakların nasıl farklılık gösterebileceğine ilişim ölçeklenebilirlik örnekleri
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde, teknolojik kaynaklar, bir hizmet sağlayıcıdan satın alınan ve denetim ekipleri tarafından kullanılan ticari bir BT uygulamasını içerebilir. Ayrıca, BT uygulamasının işleyişini destekleyen basit BT süreçleri (örneğin, BT uygulamasına erişimin yetkilendirmesine ve BT uygulamasında güncellemelerin işlenmesine yönelik süreçler) de ilgili olabilir.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde, teknolojik kaynaklar daha karmaşık olabilir ve aşağıdakileri içerebilir:
o Özel geliştirilmiş uygulamalar veya denetim şirketinin dâhil olduğu denetim ağı tarafından geliştirilmiş uygulamalar dâhil olmak üzere birden çok BT uygulaması, örneğin:
• Denetim ekipleri tarafından kullanılan BT uygulamaları, (örneğin, denetim yazılımı ve otomatik denetim araçları)
• Kalite yönetim sisteminin farklı yönlerini yönetmek için denetim şirketi tarafından geliştirilen ve kullanılan BT uygulamaları (örneğin, bağımsızlığı izlemeye veya personelin denetimlerde görevlendirilmesine yönelik BT uygulamaları).
o BT altyapısını ve BT süreçlerini yönetmekten sorumlu kişiler ile denetim şirketinin BT uygulamalarındaki program değişikliklerini yönetme süreçleri dâhil olmak üzere, yukarıda belirtilen BT uygulamalarının çalışmasını destekleyen BT süreçleri.
A100. Denetim şirketi, bir BT uygulamasının temin edilmesi, geliştirilmesi, uygulanması ve korunmasında aşağıdaki hususları dikkate alabilir:
• Veri girişlerinin eksiksiz ve uygun olması,
• Verilerin gizliliğinin korunması,
• BT uygulamasının tasarlandığı şekilde işlemesi ve istenilen amaca ulaşması,
• BT uygulamasının çıktılarının, kullanım amacına ulaşması,
• BT uygulamasının tasarlandığı şekilde kesintisiz işlemesini desteklemek için gerekli olan genel BT kontrollerinin uygun olması,
• BT uygulamasını kullanacak kişilerin eğitimi dâhil olmak üzere, BT uygulamasını etkili şekilde kullanmak için uzmanlık becerilerine duyulan ihtiyaç ve
• BT uygulamasının nasıl işleyeceğini belirleyen prosedürler geliştirme ihtiyacı.
A101. Denetim şirketi; uygun şekilde işlediği belirlenene ve kullanımı için kendisi tarafından onaylanana kadar BT uygulamalarının veya bunların özelliklerinin kullanımını özellikle yasaklayabilir. Alternatif olarak, denetim şirketi, denetim ekibinin denetim şirketi tarafından onaylanmayan bir BT uygulamasını kullandığı durumları ele alan politika veya prosedürler de oluşturabilir. Bu tür politika veya prosedürler; denetim ekibinin, BT uygulamasının, denetimde kullanılmadan önce A100 paragrafındaki hususları dikkate alarak kullanıma uygun olup olmadığını belirlemesini gerektirebilir. BDS 220 (Revize)18, sorumlu denetçinin denetim kaynaklarına ilişkin sorumluluklarını ele alır.
18 BDS 220 (Revize), 25-28 inci paragraflar
Entelektüel Kaynaklar (Bkz.: 32(g) paragrafı)
A102. Entelektüel kaynaklar, denetim şirketinin kalite yönetim sisteminin işleyişini sağlamak ve denetimlerin yürütülmesinde tutarlılığı artırmak için kullandığı bilgileri içerir.
Entelektüel kaynaklara ilişkin örnekler
Yazılı politika veya prosedürler, metodoloji, sektör veya konuya özgü kılavuzlar, muhasebe kılavuzları, standart belgelendirme veya bilgi kaynaklarına erişim (örneğin, işletmeler hakkında derinlemesine bilgi sağlayan web sitelerine veya genellikle denetimlerin yürütülmesinde kullanılan diğer bilgileri sağlayan web sitelerine abonelikler).
A103. Entelektüel kaynaklar, teknolojik kaynaklar aracılığıyla erişime uygun hâle getirilebilir; örneğin, denetim şirketinin metodolojisi, denetimin planlanmasını ve yürütülmesini kolaylaştıran BT uygulamasına yerleştirilmiş olabilir.
Teknolojik ve Entelektüel Kaynakların Kullanımı (Bkz.: 32(f)-32(g) paragrafları)
A104. Denetim şirketi, teknolojik ve entelektüel kaynakların kullanımına ilişkin politika veya prosedürler oluşturabilir. Bu tür politika veya prosedürler;
• Denetim dosyasının arşivlenmesi gibi denetimin diğer yönleriyle ilgili olarak veya denetimlerin yürütülmesinde, belirli BT uygulamalarının veya entelektüel kaynakların kullanılmasını zorunlu kılabilir.
• Uzman veya eğitime duyulan ihtiyaç dâhil olmak üzere, kişilerin kaynağı kullanması için ihtiyaç duyacakları nitelik veya deneyimleri belirleyebilir. Örneğin denetim şirketi, sonuçların yorumlanması için uzmanlık becerilerine ihtiyaç duyulabileceğini göz önünde bulundurarak, veri analizi yapan bir BT uygulamasını kullanmak için gereken nitelikleri veya uzmanlığı belirleyebilir.
• Sorumlu denetçinin teknolojik ve entelektüel kaynakların kullanımına ilişkin sorumluluklarını belirleyebilir.
• Kişilerin BT uygulamasıyla nasıl etkileşimde bulunması veya entelektüel kaynağın nasıl uygulanması gerektiği ve teknolojik veya entelektüel kaynağı kullanırken destek veya yardımın mevcudiyeti dâhil olmak üzere, teknolojik veya entelektüel kaynakların nasıl kullanılacağını belirleyebilir.
Hizmet Sağlayıcılar (Bkz.: 16(v), 32(h) paragrafları)
A105. Özellikle uygun kaynaklara denetim şirketi içinden erişiminin bulunmaması gibi bazı durumlarda denetim şirketi, bir hizmet sağlayıcı tarafından sağlanan kaynakları kullanabilir. Denetim şirketinin bir hizmet sağlayıcının kaynaklarını kullanmasından bağımsız olarak, kalite yönetim sisteminin sorumluluğu denetim şirketine aittir.
Hizmet sağlayıcının sağladığı kaynaklara ilişkin örnekler
• Denetim şirketinin izleme faaliyetlerini veya kalitenin gözden geçirilmesini gerçekleştirmek veya teknik konularda istişare yapmak için görevlendirdiği kişiler.
• Denetimleri yürütmek için kullanılan ticari bir BT uygulaması.
• Denetim şirketinin denetimlerine ilişkin prosedürleri uygulayan kişiler, örneğin, denetim şirketinin dâhil olduğu ağ kapsamında olmayan diğer denetim şirketlerinden gelen birim denetçileri veya uzak bir yerde fiziki stok sayımına katılmak üzere görevlendirilen kişiler.
• Denetim ekibine denetim kanıtı elde etme konusunda yardımcı olmak için denetim şirketi tarafından kullanılan bir bağımsız denetçinin faydalandığı dış uzman.
A106. Kalite risklerinin belirlenmesi ve değerlendirilmesinde denetim şirketinin, kalite hedeflerine ulaşılmasını olumsuz yönde etkileyebilecek şart, olay, durum, eylem veya eylemsizlikler hakkında kanaat edinmesi gerekir. Bu kanaat; hizmet sağlayıcılarla ilgili şart, olay, durum, eylem veya eylemsizlikleri de kapsar. Bunu yaparken denetim şirketi, bu tür kaynakların kullanımıyla ilgili kalite risklerini belirlemek ve değerlendirmek için hizmet sağlayıcılar tarafından sağlanan kaynakların niteliğini, bunların denetim şirketi tarafından nasıl ve ne ölçüde kullanılacağını ve denetim şirketi tarafından kullanılan hizmet sağlayıcıların genel özelliklerini (örneğin, kullanılan diğer hizmet sağlayıcı şirketlerin türlerini) dikkate alabilir.
A107. Denetim şirketi, bir hizmet sağlayıcıdan edindiği bir kaynağın, denetim şirketinin kalite yönetim sisteminde veya denetimlerin yürütülmesinde kullanılması için uygun olup olmadığını belirlerken, hizmet sağlayıcı ve sağladığı kaynaklar hakkında çeşitli kaynaklardan bilgi edinebilir. Denetim şirketinin dikkate alabileceği hususlar aşağıdakileri içerir:
• İlgili kalite hedefi ve kalite riskleri. Örneğin, bir hizmet sağlayıcıdan edinilen bir metodoloji söz konusu olduğunda, 32(g) paragrafındaki kalite hedefiyle ilgili olarak hizmet sağlayıcının mesleki standartlar ve mevzuat hükümlerindeki değişiklikleri yansıtacak şekilde metodolojiyi güncellememesi gibi kalite riskleri söz konusu olabilir.
• Kaynakların niteliği ve kapsamı ile hizmetin şartları (örneğin, bir BT uygulamasıyla ilgili olarak, güncellemelerin ne sıklıkta sağlanacağı, BT uygulamasının kullanımına ilişkin kısıtlamalar ve hizmet sağlayıcının verilerin gizliliğini nasıl ele aldığı).
• Kaynağın denetim şirketi genelinde ne ölçüde kullanıldığı, kaynağın denetim şirketi tarafından nasıl kullanılacağı ve bu amaca uygun olup olmadığı.
• Kaynağın denetim şirketi için ne ölçüde kişiselleştirildiği.
• Denetim şirketinin hizmet sağlayıcıyı geçmişteki kullanımları.
• Hizmet sağlayıcının sektördeki deneyimi ve piyasadaki itibarı.
A108. Hizmet sağlayıcıdan edindiği kaynağı kullanırken denetim şirketinin kaynağın etkin şekilde çalışması için ilave adımlar atma sorumluluğu bulunabilir. Örneğin denetim şirketinin; kaynağın etkin şekilde çalışması için bilgileri hizmet sağlayıcıya iletmesi gerekebilir veya bir BT uygulamasıyla ilgili olarak destekleyici BT altyapısına ve BT süreçlerine sahip olması gerekebilir.
Bilgi ve İletişim (Bkz.: 33 üncü paragraf)
A109. Bilginin temin edilmesi, oluşturulması veya iletilmesi genellikle tüm personeli içeren ve bilgilerin denetim şirketi içinde ve dışında yayılmasını kapsayan devamlı bir süreçtir. Bilgi ve iletişim, kalite yönetim sisteminin tüm unsurlarına nüfuz eder.
Denetim Şirketinin Bilgi Sistemi (Bkz.: 33(a) paragrafı)
A110. İlgili ve güvenilir bilgi, denetim şirketinin kalite yönetim sisteminin düzgün işlemesini sağlamak ve kalite yönetim sistemiyle ilgili kararları desteklemek için doğru, tam, zamanında ve geçerli bilgileri içerir.
A111. Bilgi sistemi; bilginin belirlenme, kayıt altına alınma, işlenme, sürdürülme ve iletilme şeklini etkileyen manuel veya BT unsurlarının kullanımını içerebilir. Bilgileri belirleme, kayıt altına alma, işleme, sürdürme ve iletme prosedürleri, BT uygulamaları aracılığıyla yerine getirilebilir ve bazı durumlarda denetim şirketinin diğer unsurlara yönelik yapacağı işlerin içerisine yerleştirilmiş olabilir. Ayrıca dijital kayıtlar, fiziki kayıtların yerini alabilir veya bunları tamamlayıcı nitelikte olabilir.
Karmaşıklık düzeyi düşük olan bir denetim şirketinde bilgi sisteminin nasıl tasarlanabileceğine ilişkin ölçeklenebilirlik örneği
Liderlik yapısına doğrudan katılımın bulunduğu ve personel sayısının az olduğu, karmaşıklık düzeyi düşük olan denetim şirketleri; bilgilerin nasıl belirlenmesi, kayıt altına alınması, işlenmesi ve sürdürülmesi gerektiğini belirleyen sıkı politika ve prosedürlere ihtiyaç duymayabilir.
Denetim Şirketi İçerisinde İletişim (Bkz.: 33(b), 33(c) paragrafları)
A112. Denetim şirketi, şirket genelinde iletişimi kolaylaştırmak amacıyla iletişim kanalları oluşturarak, personelin ve denetim ekiplerinin denetim şirketiyle ve birbirleriyle bilgi alışverişinde bulunma sorumluluğunu ele alabilir ve güçlendirebilir.
Denetim şirketi, personel ve denetim ekipleri arasındaki iletişime ilişkin örnekler
• Denetim şirketi; personel ve denetim ekiplerine şirketin risklere karşı yapacağı işlerin uygulanması konusundaki sorumluluklarını iletmektedir.
• Denetim şirketi; kalite yönetim sistemindeki değişiklikleri, değişiklikler sorumluluklarıyla ilgili olduğu ölçüde, personele ve denetim ekiplerine iletmektedir ve personel ve denetim ekiplerinin sorumluluklarına uygun olarak anında ve uygun adımları atmalarını sağlamaktadır.
• Denetim şirketi, denetimin planlanması ve uygulanması sırasında denetim ekibi tarafından kullanılan, müşteri ilişkisinin ve sözleşmenin kabulü ve devam ettirilmesi süreci sırasında elde edilen bilgileri iletmektedir.
• Denetim ekipleri, denetim şirketine aşağıdaki bilgileri iletmektedir:
o Bir denetimi yürütürken müşteri hakkında elde edilen, denetim şirketinin bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul etmeden veya devam ettirmeden önce öğrenmiş olması hâlinde müşteri ilişkisini veya belirli bir sözleşmeyi reddetmesine sebep olabilecek bilgi.
o Bazı durumlarda denetim şirketinin kalite yönetim sistemindeki bir eksikliğe işaret edebilen, şirketin risklere karşı yapacağı işlerin işleyişi hakkında bilgi (örneğin, denetim şirketinin denetimlerde personel görevlendirme süreçlerine ilişkin endişeler).
• Denetim ekipleri, bilgiyi kaliteyi gözden geçiren kişiye veya istişare yapılan kişilere iletmektedir.
• Topluluk denetim ekipleri, denetim düzeyinde kalite yönetimiyle ilgili konular dâhil olmak üzere, denetim şirketinin politika veya prosedürlerine uygun olarak, konuları birim denetçilerine iletmektedir.
• Bağımsızlık hükümlerine uygunluğun işleyişinden sorumlu olarak görevlendirilen kişi veya kişiler, ilgili personele ve denetim ekiplerine bağımsızlık hükümlerindeki değişiklikleri ve şirketin bu tür değişiklikleri ele almaya yönelik politika veya prosedürlerini bildirmektedir.
Denetim Şirketi Dışındaki Taraflarla İletişim
Denetim Şirketinin Dâhil Olduğu Denetim Ağıyla, Denetim Ağı İçerisinde veya Hizmet Sağlayıcılarla İletişim (Bkz.: 33(d)(i) paragrafı)
A113. Denetim şirketinin; şirketin dâhil olduğu denetim ağıyla veya denetim ağı içinde ya da hizmet sağlayıcılarla iletişimine ilave olarak, denetim ağından, denetim ağma dâhil bir şirketten veya hizmet sağlayıcıdan, kalite yönetim sisteminin tasarımı, uygulanması ve işleyişinde kendisini destekleyen bilgiler alması gerekebilir.
Denetim şirketi tarafından denetim ağı içinden elde edilen bilgilere ilişkin örnek
Denetim şirketi, kendisini etkileyen bağımsızlık hükümlerinin bulunduğu durumlarda, denetim ağından ya da ağa dâhil diğer şirketlerden, ağa dâhil diğer şirketlerin müşterileri hakkında bilgi almaktadır.
Denetim Şirketi Dışındakilerle İletişim (Bkz.: 33 (d)(ii) paragrafı)
A114. Denetim şirketinin mevzuat veya mesleki standartlar uyarınca bilgileri denetim şirketi dışındaki taraflara iletmesi gereken durumlara ilişkin örnekler
• Denetim şirketi bir müşterisinin mevzuata uymadığının farkına varmıştır ve etik hükümler uyarınca mevzuata aykırılığı yetkili bir kuruma bildirmesi veya bu tür bir bildirimin içinde bulunulan şartlar altında uygun bir adım olup olmadığını değerlendirmesi gerekmektedir.
• Mevzuat tarafından denetim şirketinin şeffaflık raporu yayımlaması zorunlu tutulmuştur ve şeffaflık raporuna dâhil edilmesi gereken bilgilerin niteliği belirtilmiştir.
• Denetim şirketinin, sermaye piyasası mevzuatı uyarınca, belirli konuları üst yönetimden sorumlu olanlara bildirmesi gerekmektedir.
A115. Bazı durumlarda mevzuat, denetim şirketinin, kalite yönetim sistemiyle ilgili bilgileri şirket dışındaki taraflara iletmesine izin vermeyebilir.
Bilgilerin denetim şirketi dışındaki taraflara iletilmesine izin verilmeyen durumlara ilişkin örnekler
• Gizlilik veya sır saklamayla ilgili mevzuat, belirli bilgilerin açıklanmasını yasaklamaktadır.
• Mevzuat veya etik hükümler, sır saklamayı ele alan hükümler içermektedir.
Risklere Karşı Yapılacak Belirli İşler (Bkz.: 34 üncü paragraf)
A116. Risklere karşı yapılacak belirli işler, farklı unsurlarda birden fazla kalite hedefiyle ilgili birden fazla kalite riskini ele alabilir. Örneğin, şikâyet ve iddialara yönelik politika veya prosedürler; kaynaklar, etik hükümler ve üst yönetim ve liderlik unsurlarına ilişkin kalite hedefleriyle ilgili kalite risklerini (örneğin, personelin kaliteye olan bağlılığını) ele alabilir. Risklere karşı yapılacak belirli işler, tek başına kalite yönetim sisteminin hedeflerine ulaşmak için yeterli değildir.
Etik Hükümler (Bkz.: 34(a) paragrafı)
A117. Etik hükümler, tehditlerin belirlenmesi ve değerlendirilmesi ile bunların nasıl ele alınacağına ilişkin hükümler içerebilir. Örneğin Etik Kurallar, bu amaç için kavramsal çerçeve içerir ve kavramsal çerçeveyi uygularken denetim şirketinin “gerekli bilgiye sahip makul üçüncü taraf testi”ni kullanmasını zorunlu tutar.
A118. Etik hükümler, denetim şirketinin bir ihlale nasıl karşılık vermesi gerektiğini belirleyebilir. Örneğin Etik Kurallar; denetim şirketinin, Etik Kuralların ihlal edilmesi durumunda uyması gereken hükümleri belirler ve dış taraflarla kurulacak iletişimlere ilişkin hükümleri de içeren Bağımsızlık Standartlarının ihlallerini ele alan özel hükümler içerir.
A119. Etik hükümlerin ihlaliyle ilgili olarak denetim şirketinin ele alabileceği hususlar aşağıdakileri içerir:
• Etik hükümlerin ihlalinin uygun personele iletilmesi,
• Bir ihlalin ciddiyetinin ve etik hükümlere uyum konusundaki etkisinin değerlendirilmesi,
• Bir ihlalin sonuçlarını tatminkâr bir şekilde ele alacak adımların mümkün olduğu an atılması,
• İhlalin; işletmenin üst yönetiminden sorumlu olanlar arasından ihlalle ilgilenen kişilere veya düzenleme ve denetleme yetkisini haiz bir kurum gibi denetim şirketi dışındaki taraflara bildirilip bildirilmeyeceğinin belirlenmesi ve
• İhlalden sorumlu kişi veya kişilerle ilgili atılacak uygun adımların belirlenmesi.
Şikâyet ve İddialar (Bkz.: 34(c) paragrafı)
A120. Şikâyet ve iddiaları ele alan politika veya prosedürler oluşturmak, uygun olmayan raporların düzenlenmesini önleme konusunda denetim şirketine yardımcı olabilir. Ayrıca bu tür politika veya prosedürlerin oluşturulması denetim şirketine aşağıdaki konularda yardımcı olabilir:
• Kaliteye bağlılık göstermeyen ve denetim şirketinin kaliteye olan bağlılığını desteklemeyen bir şekilde hareket eden veya davranan kişileri belirlemek ve bunlarla ilgili gerekeni yapmak veya
• Kalite yönetim sistemindeki eksiklikleri belirlemek.
A121. Şikâyet ve iddialar personel tarafından veya denetim şirketi dışındaki kişiler (örneğin, müşteriler, birim denetçileri veya denetim ağındaki kişiler) tarafından yapılabilir.
Müşteri İlişkisinin veya Belirli Bir Sözleşmenin Kabul Edilmesinden veya Devam Ettirilmesinden Sonra Haberdar Olunan Bilgiler (Bkz.: 34(d) paragrafı)
A122. Müşteri ilişkisinin veya belirli bir sözleşmenin kabul edilmesinden veya devam ettirilmesinden sonra haberdar olunan bilgiler;
• Denetim şirketinin müşteri ilişkisini veya belirli bir sözleşmeyi kabul etme veya devam ettirme kararı verdiği sırada mevcuttur ancak şirket bu bilgilerden haberdar olmayabilir veya
• Müşteri ilişkisini veya belirli bir sözleşmeyi kabul etme veya devam ettirme kararından sonra ortaya çıkan yeni bilgilerle ilgili olabilir.
Bir müşteri ilişkisini veya belirli bir sözleşmeyi kabul etme veya devam ettirme kararı verdikten sonra ortaya çıkan ve bu karardan önce öğrenmiş olması hâlinde, söz konusu müşteri ilişkisini veya sözleşmeyi kabul etme veya devam ettirme kararını etkileyebilecek bir bilgiden sonradan haberdar olunduğu durumlara ilişkin denetim şirketinin politika veya prosedürlerinde ele alınan hususlara ilişkin örnekler
• Denetim şirketi içinde veya hukuk müşaviriyle istişare yapılması.
• Denetim şirketinin denetime devam etmesini gerektirecek mesleki veya mevzuattan kaynaklanan bir yükümlülüğünün bulunup bulunmadığının değerlendirilmesi.
• İlgili durum ve gerçekler karşısında denetim şirketinin atabileceği uygun adımlar hakkında müşteri yönetiminin uygun kademeleri ve üst yönetimden sorumlu olan kişilerle veya denetimi yaptıran tarafla müzakere edilmesi.
• Çekilmenin uygun bir adım olduğuna karar verilmiş ise;
o Müşteri yönetiminin ve üst yönetimden sorumlu olanların veya denetimi yaptıran tarafın, bu karar ve geri çekilme gerekçeleri hakkında bilgilendirilmesi,
o Denetim şirketinin söz konusu denetimden ya da denetim ve müşteri ilişkisinden birlikte çekilme kararının sebepleriyle birlikte Kuruma veya diğer düzenleyici kurumlara bildirilmesini gerektiren mesleki veya mevzuattan kaynaklanan bir yükümlülüğünün bulunup bulunmadığının değerlendirilmesi.
A123. Bu tür durumlarda, ülke mevzuatı, denetim şirketine belirli bir sözleşmeyi kabul etme veya devam ettirme yükümlülüğü getirebilir ya da kamu sektörü söz konusu olduğunda denetim şirketi kanunen atanmış olabilir.
Denetim şirketinin daha önce haberdar olmuş olsa sözleşmeyi kabul etmemesine veya devam ettirmemesine sebep olacak bilgiye sahip olduğu; ancak sözleşmeyi kabul etmek veya devam ettirmek zorunda kaldığı ya da denetimden çekilmesinin mümkün olmadığı durumlara ilişkin politika veya prosedürlerinde ele alınan hususlara ilişkin örnekler
• Denetim şirketi, bilgilerin denetimin yürütülmesi üzerindeki etkisini dikkate alır.
• Denetim şirketi, bilgileri sorumlu denetçiye iletir ve kendisinden denetim ekibi üyelerinin yönlendirilmesi ve gözetimleri ile çalışmalarının gözden geçirilmesinin kapsamını ve sıklığını artırmasını ister.
• Denetim şirketi, denetim için daha deneyimli personel görevlendirir.
• Denetim şirketi, kalitenin gözden geçirilmesinin gerektiğine karar verir.
Denetim Şirketi Dışındaki Taraflarla İletişim (Bkz.: 34(e) paragrafı)
A124. Denetim şirketinin, paydaşların denetimlerin kalitesine olan güvenini koruyabilme becerisi; denetim şirketinin kaliteye yönelik üstlendiği faaliyetler ve bu faaliyetlerin etkinliği hakkında ihtiyaca uygun, güvenilir ve şeffaf bir iletişim kurularak artırılabilir.
A125. Denetim şirketinin kalite yönetim sistemi hakkındaki bilgileri kullanabilecek denetim şirketi dışındaki taraflar ve bunların şirketin kalite yönetim sistemine olan ilgisinin kapsamı, denetim şirketinin ve denetimlerinin niteliğine ve içinde bulunduğu şartlara bağlı olarak farklılık gösterebilir.
Denetim şirketinin kalite yönetim sistemi hakkındaki bilgileri kullanabilecek denetim şirketi dışındaki taraflara ilişkin örnekler
• Denetim şirketi müşterilerinin yönetimi veya üst yönetiminden sorumlu olanlar, söz konusu bilgileri denetimi yürütmesi için şirketi seçip seçmeyeceğine karar vermek amacıyla kullanabilir.
• Dış gözetim otoriteleri, ülkedeki denetimlerin kalitesini izleme ve denetim şirketinin çalışmaları hakkında kanaat edinme konusundaki sorumluluklarını desteklemek amacıyla bilgiye ihtiyaç duymuş olabilir.
• Denetimlerin yürütülmesinde denetim şirketinin çalışmalarını kullanan diğer denetim şirketleri (örneğin, bir topluluk denetimiyle ilgili olarak) bu tür bilgileri talep etmiş olabilir.
• Karar alırken denetçi raporlarını kullanan yatırımcılar gibi denetim şirketi raporlarının diğer kullanıcıları bilgileri talep etmiş olabilir.
A126. Kalite yönetim sisteminin kaliteli denetimlerin tutarlı bir şekilde yürütülmesini nasıl desteklediğine ilişkin üst yönetimden sorumlu olanlara sunulan bilgiler dâhil olmak üzere; denetim şirketi dışındaki taraflara kalite yönetim sistemi hakkında verilen bilgilerde aşağıdaki hususlar ele alınabilir:
• Organizasyon yapısı, iş modeli, strateji ve faaliyet çevresi gibi, denetim şirketinin niteliği ve içinde bulunduğu şartlar.
• Denetim şirketinin kültürü, kaliteye olan bağlılığını nasıl gösterdiği ve kalite yönetim sistemiyle ilgili olarak görev, sorumluluk ve yetkilerin verilmesi gibi denetim şirketinin üst yönetimi ve liderlik yapısı.
• Denetim şirketinin, bağımsızlıkla ilgili olanlar dâhil olmak üzere, sorumluluklarını etik hükümlere uygun olarak nasıl yerine getirdiği.
• Kaliteli denetimlerin yürütülmesinde katkıda bulunan faktörler; örneğin, bu tür bilgiler, göstergeleri açıklayan bir anlatımla birlikte denetimde kalite göstergeleri şeklinde sunulabilir.
• Denetim şirketinin izleme faaliyetlerinin ve dış teftişlerin sonuçları ile şirketin tespit edilen eksiklikleri nasıl düzelttiği veya bunlara nasıl karşılık verdiği.
• 53-54 üncü paragraflar uyarınca, kalite yönetim sisteminin denetim şirketine, kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul bir güvence sağlayıp sağlamadığına yönelik yapılan değerlendirme ve ulaşılan sonuç ile bu değerlendirme ve sonucun dayanakları.
• Denetim şirketinin; şirket ya da denetimin içinde bulunduğu şartlarda ortaya çıkan gelişmelere ve değişikliklere nasıl karşılık verdiği ve kalite yönetim sisteminin bu tür değişikliklere karşılık verecek şekilde nasıl uyarlandığı.
• Denetim şirketi ile denetim ağı arasındaki ilişki, denetim ağının genel yapısı, denetim ağından kaynaklanan yükümlülükler ve ağ hizmetlerinin açıklanması, denetim şirketi ve ağın sorumlulukları (kalite yönetim sisteminden nihai olarak denetim şirketinin sorumlu olması dâhil) ve denetim ağma dâhil şirketlerdeki izleme faaliyetlerinin genel kapsamı ve sonuçları hakkında bilgi.
Üst Yönetimden Sorumlu Olanlarla Kurulacak İletişim (Bkz.: 34(e)(i) paragrafı)
A127. Üst yönetimden sorumlu olanlarla iletişimin (denetim şirketi veya denetim ekibi tarafından) nasıl kurulacağı, denetim şirketinin politika veya prosedürlerine ve denetimin şartlarına bağlı olabilir.
A128. BDS 260, denetçinin, finansal tabloların denetiminde üst yönetimden sorumlu olanlarla iletişim kurma sorumluluğunu düzenler ve işletmenin üst yönetim yapısı içinde iletişim kurulacak uygun kişi veya kişileri19 ve iletişim sürecini belirlemesi sorumluluğunu ele alır.20 Bazı durumlarda, borsada işlem gören işletmeler dışındaki işletmelerin üst yönetiminden sorumlu olanlarla (veya başka bir denetimi yürütürken), örneğin kamu yararını ilgilendiren veya kamuya hesap verme yükümlülüğüne sahip olabilecek nitelikteki aşağıdaki gibi işletmelerle iletişim kurmak uygun olabilir:
• Banka, sigorta şirketi ve emeklilik fonları gibi finansal kurumlar dâhil olmak üzere, çok sayıda paydaş için önemli miktarda varlığı emanetçi sıfatıyla elinde bulunduran işletmeler.
• Kamuoyu tarafından tanınmış işletmeler ya da yönetimi veya sahipleri kamuoyu tarafından tanınan işletmeler.
• Çok sayıda ve çeşitli pay sahipleri bulunan işletmeler.
19 BDS 260 Üst Yönetimden Sorumlu Olanlarla Kurulacak İletişim, 11-13 üncü paragraflar
20 BDS 260, 18-22 nci paragraflar
Kamu sektörüne özgü hususlar
A129. Denetim şirketi; bir kamu sektörü işletmesinin üst yönetiminden sorumlu olanlara, kamu sektörü işletmesinin büyüklüğü ve karmaşıklığını, pay sahiplerinin çeşitliliğini, sağladığı hizmetlerin niteliğini ve üst yönetimden sorumlu olanların görev ve sorumluluklarını dikkate alarak, kalite yönetim sisteminin, kaliteli denetimlerin tutarlı bir şekilde yürütülmesini nasıl desteklediğini iletmenin uygun olduğuna karar verebilir.
Hangi Durumlarda Denetim Şirketi Dışındaki Taraflarla İletişim Kurmanın Uygun Olduğuna Karar Verilmesi (Bkz.: 34(e)(ii) paragrafı)
A130. Hangi durumlarda denetim şirketinin kalite yönetim sistemi hakkında denetim şirketi dışındaki taraflarla iletişim kurmanın uygun olduğu, mesleki muhakeme konusudur ve aşağıdaki gibi hususlardan etkilenebilir:
• Denetim şirketi tarafından yürütülen denetimin türü ve bu tür denetimi üstlenilen işletme türleri.
• Denetim şirketinin niteliği ve içinde bulunduğu şartlar.
• Denetim şirketinin tabi olduğu düzenleme alanındaki alışılmış iş uygulamaları ve şirketin faaliyet gösterdiği finansal piyasaların özellikleri gibi, şirketin faaliyet ortamının nitelikleri.
• Denetim şirketinin mevzuat uyarınca denetim dışındaki taraflarla hâlihazırda kurduğu iletişimin kapsamı (diğer bir ifadeyle, daha fazla iletişim gerekip gerekmediği ve bu durumda iletilecek hususlar).
• Denetim şirketi dışındaki tarafların, denetim şirketi tarafından üstlenilen denetimlere ve şirketin denetimleri yürütme prosedürlerine gösterdiği ilgi ve bunlarla ilgili sahip oldukları bilgiler dâhil olmak üzere, denetim şirketinin tabi olduğu düzenleme alanındaki paydaşların beklentileri.
• Düzenleme alanındaki eğilimler.
• Hâlihazırda denetim şirketi dışındaki tarafların kullanımına sunulmuş bilgiler.
• Denetim şirketi dışındaki tarafların bilgileri nasıl kullanabilecekleri ve denetim şirketinin kalite yönetim sistemi ile denetim ve hizmetler hakkında sahip oldukları genel kanaat.
• Denetim şirketi dışındaki taraflarla kurulan iletişimin kamu yararı ve bu iletişimin faydasının zararından (parasal veya başka türlü) daha fazla olmasının makul olarak beklenip beklenmeyeceği.
Yukarıdaki hususlar, denetim şirketi tarafından iletişimde sağlanan bilgileri ve iletişimin niteliği, zamanlaması ve kapsamını ve uygun iletişim şeklini etkileyebilir.
Denetim Şirketi Dışındaki Taraflarla Kurulacak İletişimin Niteliği, Zamanlaması ve Kapsamı ile Uygun İletişim Şekli (Bkz.: 34(e)(iii) paragrafı)
A131. Denetim şirketi, denetim şirketi dışındaki taraflara iletilecek bilgileri hazırlarken aşağıdaki özellikleri dikkate alabilir:
• Bilgiler, denetim şirketinin içinde bulunduğu şartlara özgüdür. Denetim şirketinin iletişiminde yer alacak konuların, denetim şirketinin içinde bulunduğu şartlarla doğrudan ilişkilendirilmesi, bu tür bilgilerin zaman içinde büyük ölçüde standartlaşarak daha az faydalı hâle gelmesi ihtimalinin azaltılmasına yardımcı olabilir.
• Bilgiler açık ve anlaşılır bir şekilde sunulur ve sunum şekli yanıltıcı değildir ya da iletişimin muhataplarını uygun olmayan biçimde etkilemez (örneğin, bilgiler konunun olumlu ve olumsuz yönlerini dengeli olarak yansıtacak bir şekilde sunulur).
• Bilgiler tüm önemli yönleriyle doğru ve eksiksizdir ve yanıltıcı bilgi içermez.
• Bilgiler, muhataplarının bilgi ihtiyaçlarını dikkate alır. Denetim şirketi, kullanıcıların bilgi ihtiyaçlarını göz önünde bulundururken, kullanıcıların anlamlı bulacağı detay seviyesi ve kullanıcıların diğer kaynaklar (örneğin, denetim şirketinin web sitesi) aracılığıyla ilgili bilgilere erişiminin olup olmadığı gibi konuları dikkate alabilir.
A132. Denetim şirketi, içinde bulunulan şartlar altında, borsada işlem gören işletmelerin finansal tablolarının bağımsız denetimini gerçekleştirirken üst yönetimden sorumlu olanlarla sözlü veya yazılı olarak kurulabilecek iletişim dâhil olmak üzere, şirket dışındaki taraflarla kurulacak uygun iletişim şeklini belirlerken mesleki muhakemesini kullanır. Dolayısıyla iletişim şekli değişiklik gösterebilir.
Denetim şirketi dışındaki taraflarla kurulacak iletişim şekline ilişkin örnekler
• Şeffaflık raporu veya denetim kalitesi raporu gibi bir yayın.
• Belirli paydaşlara yönelik yazılı iletişim (örneğin, denetim şirketinin izleme ve düzeltme sürecinin sonuçları hakkında bilgi).
• Denetim şirketi dışındaki taraflarla doğrudan yapılan görüşmeler ve etkileşimler (örneğin, denetim ekibi ile üst yönetimden sorumlu olanlar arasındaki görüşmeler).
• Web sayfası.
• Sosyal medya gibi diğer dijital medya biçimleri ya da web yayını veya video yayını yoluyla yapılan röportaj veya sunumlar.
Kalitesi Gözden Geçirilmesi Gereken Denetimler
Mevzuat Uyarınca Kalitesi Gözden Geçirilmesi Gereken Denetimler (Bkz.: 34 (f)(ii) paragrafı)
A133. Aşağıdaki özelliklere sahip işletmelerde yürütülen bağımsız denetimlerde olduğu gibi, mevzuat uyarınca kalitenin gözden geçirilmesi zorunlu tutulmuş olabilir:
• Belirli bir düzenleme alanında tanımlandığı şekliyle kamu yararını ilgilendiren kuruluşlar,
• Kamu sektöründe faaliyet gösteren veya devlet desteği alan işletmeler ya da kamuya hesap verme sorumluluğu bulunan işletmeler,
• Belirli sektörlerde faaliyet gösteren işletmeler (örneğin, bankalar, sigorta şirketleri ve emeklilik fonları gibi finansal kuruluşlar),
• Varlık toplamı belirli bir eşik değeri aşan işletmeler veya
• Bir mahkemenin veya adli sürecin yönetimi altında olan (örneğin, tasfiye hâlindeki) işletmeler.
Bir veya Daha Fazla Kalite Riskine Karşı Yapılacak İş Olarak Kalitenin Gözden Geçirilmesi (Bkz.: 34(f)(iii) paragrafı)
A134. Denetim şirketinin, kalite hedeflerine ulaşılmasını olumsuz yönde etkileyebilecek şart, olay, durum, eylem veya eylemsizlikler hakkında kanaat edinmesi, 25(a)(ii) paragrafı uyarınca, denetim şirketi tarafından yürütülen denetimlerin niteliği ve içinde bulunduğu şartlarla bağlantılıdır. Denetim şirketi; bir veya daha fazla kalite riskine karşı yapılacak işlerin tasarlanması veya uygulanması sırasında, kalite risklerine ilişkin değerlendirmelerin gerekçelerine dayanarak, kalitenin gözden geçirilmesinin risklere karşı yapılacak uygun bir iş olduğuna karar verebilir.
Kalitenin gözden geçirilmesinin yapılacak uygun bir iş olabileceği bir veya daha fazla kalite riskinin ortaya çıkmasına neden olan şart, olay, durum, eylem veya eylemsizliklere ilişkin örnekler
Şirket tarafından yürütülen denetim ve düzenlenen rapor türleriyle ilgili olanlar:
• Aşağıdakiler gibi, yüksek düzeyde karmaşıklık içeren veya muhakeme gerektiren denetimler:
o Genel olarak yüksek tahmin belirsizliğine sahip muhasebe tahminlerinin yapıldığı bir sektörde faaliyet gösteren işletmelerin (örneğin, bazı büyük finalisai kuruluşlar veya madencilik işletmeleri) veya işletmenin sürekliliğini devam ettirme kabiliyetine ilişkin ciddi şüphe oluşturabilecek olay veya şartlarla ilgili önemli belirsizliklerin bulunduğu işletmelerin finansal tablolarının bağımsız denetimi.
o Denetim konusunun (örneğin, bildirilen miktarlarla ilişkili önemli belirsizliklerin olduğu bir sera gazı beyanı) geçerli kıstaslara göre ölçülmesi veya değerlendirilmesinde özel uzmanlık ve bilgi gerektiren güvence denetimleri.
• Tekrarlanan iç veya dış teftiş bulgularının bulunduğu bağımsız denetimler, iç kontrolde düzeltilmemiş önemli eksiklikler veya finansal tablolardaki karşılaştırmalı bilgilerin önemli ölçüde yeniden düzenlenmesi gibi sorunlarla karşılaşılan denetimler.
• Denetim şirketinin müşteri ilişkisinin ve sözleşmenin kabulü ve devam ettirilmesi süreci sırasında olağan dışı koşulların (örneğin, önceki bağımsız denetimini yapan denetçisi veya güvence denetimini yürüten denetçisiyle bir anlaşmazlığı bulunan yeni bir müşteri) tespit edildiği denetimler.
• Resmî makamlara sunulacak dosyaya dâhil edilmesi beklenen finansal veya finansal olmayan bilgilerin raporlanmasını içeren ve bir izahnameye dâhil edilecek proforma finansal bilgiler gibi daha üst düzeyde muhakeme gerektirebilecek denetimler.
Denetimi üstlenilen işletme türleriyle ilgili olanlar:
• Gelişmekte olan sektörlerdeki işletmeler veya denetim şirketinin geçmiş deneyime sahip olmadığı işletmeler.
• Sermaye piyasası veya ilgili düzenleyici otoriteler tarafından yapılan bildirimlerde haklarında şüphe oluşturan ifadelerin bulunduğu işletmeler.
• Borsada işlem gören işletmeler dışında kamu yararını ilgilendiren veya kamuya hesap verme niteliği bulunan aşağıdaki gibi işletmeler:
o Banka, sigorta şirketi ve emeklilik fonları gibi finansal kuruluşlar dâhil olmak üzere, çok sayıda paydaş için önemli miktarda varlığı emanetçi sıfatıyla elinde bulunduran ve mevzuat uyarınca kalitenin gözden geçirilmesinin zorunlu tutulmadığı işletmeler.
o Kamuoyu tarafından tanınan işletmeler ya da yönetimi veya sahipleri kamuoyu tarafından tanınan işletmeler.
o Çok sayıda ve çok çeşitli pay sahibi bulunan işletmeler.
A135. Denetim şirketinin kalite risklerine karşı yapacağı işler, kalitenin gözden geçirilmesi dışındaki gözden geçirme şekillerini de içerebilir. Örneğin, denetim şirketinin finansal tabloların bağımsız denetimine yönelik yapacağı işler, denetim ekibinin önemli risklerle ilgili gerçekleştirdiği prosedürlerin gözden geçirilmesini veya bazı önemli muhakemelerin özel teknik uzmanlığa sahip personel tarafından gözden geçirilmesini içerebilir. Bazı durumlarda, kalitenin gözden geçirilmesine ilave olarak söz konusu diğer gözden geçirmeler gerçekleştirilebilir.
A136. Denetim şirketi, bazı durumlarda kalitenin gözden geçirilmesinin bir veya daha fazla kalite riskine karşı yapılacak uygun iş olarak belirlendiği bağımsız denetim veya diğer denetimlerin bulunmadığına karar verebilir.
Kamu sektörüne özgü hususlar
A137. Kamu sektörü işletmelerinin niteliği ve içinde bulunduğu şartlar (örneğin büyüklükleri ve karmaşıklık düzeyleri, paydaşlarının kapsamı veya sağladıkları hizmetlerin niteliği) kalite risklerine yol açabilir. Böyle durumlarda, denetim şirketi kalitenin gözden geçirilmesinin bu tür risklere karşı yapılacak uygun bir iş olduğuna karar verebilir. Mevzuatta kamu sektörü işletmelerinin denetçileri için ilave raporlama yükümlülükleri (örneğin, yasama veya diğer yürütme organına mevzuata aykırılıklar hakkında ayrı bir rapor veya bu tür durumları finansal tablolara ilişkin bağımsız denetçi raporunda açıklama) getirilmiş olabilir. Bu tür durumlarda, denetim şirketi, kalitenin gözden geçirilmesinin risklere karşı yapılacak uygun bir iş olduğuna karar verirken, bu tür raporlamanın karmaşıklığını ve kullanıcılar için önemini de dikkate alabilir.
İzleme ve Düzeltme Süreci (Bkz.: 35-47 nci paragraflar)
A138. İzleme ve düzeltme süreci, kalite yönetim sisteminin değerlendirilmesini sağlamanın yanı sıra, denetimin kalitesinin ve kalite yönetim sisteminin proaktif olarak ve sürekli olarak iyileştirilmesini kolaylaştırır. Örneğin;
• Bir kalite yönetim sisteminin yapısal kısıtlamaları göz önüne alındığında, denetim şirketinin eksiklik tespit etmesi olağan dışı değildir ve bu tespit kalite yönetim sisteminin önemli bir unsurudur. Çünkü, eksikliklerin hızlı bir şekilde tespit edilmesi, denetim şirketinin bunları zamanında ve etkili bir şekilde düzeltmesini sağlar ve sürekli iyileştirme kültürüne katkıda bulunur.
• İzleme faaliyetleri, denetim şirketine, belirli bir süre sonra bir eksikliğin oluşmasına yol açabilecek bir bulguya karşılık vererek bir eksikliği önlemesini sağlayan bilgiler sağlayabilir.
İzleme Faaliyetlerinin Tasarlanması ve Yürütülmesi (Bkz.: 37-38 inci paragraflar)
A139. Denetim şirketinin izleme faaliyetleri, sürekli izleme faaliyetleri ile periyodik izleme faaliyetlerinin bileşiminden oluşabilir. Sürekli izleme faaliyetleri genellikle rutin faaliyetlerdir, denetim şirketinin süreçlerine dâhil edilir ve değişen şartlara tepki vererek gerçek zamanlı olarak yürütülür. Periyodik izleme faaliyetleri ise, denetim şirketi tarafından belirli aralıklarla yapılır. Çoğu durumda, sürekli izleme faaliyetleri kalite yönetim sistemi hakkında daha zamanında bilgi sağlar.
A140. İzleme faaliyetleri, yürütülmekte olan denetimlerin teftişini içerebilir. Denetim teftişleri, kalite yönetim sisteminin belirli bir unsurunun amaçlanan şekilde tasarlandığı, uygulandığı ve işlediğini izlemek için tasarlanır. Bazı durumlarda kalite yönetim sistemi; niteliği gereği yürütülmekte olan denetimlerin teftişine benzer bir şekilde, denetim yürütülürken gözden geçirme yapmak için tasarlanmış karşılıkları içerebilir (örneğin, bir kalite riskinin oluşmasını önleyebilmek için kalite yönetim sistemindeki hata veya noksanları tespit etmek üzere tasarlanmış gözden geçirmeler). Faaliyetin amacı; tasarımı ve uygulaması ile kalite yönetim sisteminin neresinde (diğer bir ifadeyle, bir izleme faaliyeti niteliğindeki, yürütülmekte olan denetim teftişi olarak mı yoksa bir kalite riskine karşı yapılacak iş niteliğindeki denetimin gözden geçirilmesi olarak mı) yer aldığı hususunda rehberlik sağlayacaktır.
A141. İzleme faaliyetlerinin niteliği, zamanlaması ve kapsamı, aşağıdakiler dâhil diğer hususlardan etkilenebilir:
• Denetim şirketinin büyüklüğü, yapısı ve organizasyonu.
• Denetim şirketinin dâhil olduğu denetim ağının izleme faaliyetlerine katılımı.
• İzleme faaliyetlerine imkân sağlamak için BT uygulamalarının kullanımı gibi denetim şirketinin kullanmayı planladığı kaynaklar.
A142. Denetim şirketi, izleme faaliyetlerini gerçekleştirirken, izleme faaliyetlerinin niteliği, zamanlaması ve kapsamında değişiklik yapılmasının gerekli olduğunu belirleyebilir; örneğin bulgular daha kapsamlı izleme faaliyetlerine ihtiyaç duyulduğunu gösterebilir.
Denetim Şirketinin Risk Değerlendirme Süreci ile İzleme ve Düzeltme Sürecinin Tasarımı (Bkz.: 37(c) paragrafı)
A143. Denetim şirketinin risk değerlendirme sürecinin nasıl tasarlandığı (örneğin, merkezi veya merkezi olmayan süreç ya da gözden geçirmenin sıklığı), şirketin risk değerlendirme sürecine ilişkin izleme faaliyetleri dâhil olmak üzere, izleme faaliyetlerinin niteliği, zamanlaması ve kapsamını etkileyebilir.
A144. Denetim şirketinin izleme ve düzeltme sürecinin nasıl tasarlandığı (diğer bir ifadeyle, denetim şirketinin niteliği ve içinde bulunduğu şartlar dikkate alınarak izleme ve düzeltme faaliyetlerinin niteliği, zamanlaması ve kapsamı), izleme ve düzeltme sürecinin, 35 inci paragrafta açıklanan amaca ulaşıp ulaşmadığının belirlenmesi için denetim şirketi tarafından gerçekleştirilen izleme faaliyetlerini etkileyebilir.
İzleme ve düzeltme süreci için izleme faaliyetlerine ilişkin ölçeklenebilirlik örneği
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde izleme faaliyetleri basit olabilir. Bunun nedeni, bu tür şirketlerde liderlik, kalite yönetim sistemiyle daha sık etkileşime girmektedir ve yürütülen izleme faaliyetlerinin niteliği, zamanlaması ve kapsamına, izleme faaliyetlerinin sonuçlarına ve denetim şirketinin sonuçları ele almak için attığı adımlara vâkıf olunduğundan izleme ve düzeltme süreciyle ilgili bilgiler kolayca elde edilebilir.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde, izleme ve düzeltme sürecine yönelik izleme faaliyetleri, izleme ve düzeltme sürecinin kalite yönetim sistemi hakkında ihtiyaca uygun, güvenilir ve zamanında bilgi sağlayıp sağlamadığını ve belirlenen eksikliklere uygun şekilde karşılık verip vermediğini belirlemek için özel olarak tasarlanabilir.
Kalite Yönetim Sistemindeki Değişiklikler (Bkz.: 37(d) paragrafı)
A145. Kalite yönetim sistemindeki değişiklikler aşağıdakileri içerebilir:
• Kalite yönetim sisteminde tespit edilmiş bir eksikliği ele almayı amaçlayan değişiklikler,
• Denetim şirketinin ve denetimlerinin niteliği ve içinde bulunduğu şartlardaki değişikliklerin sonucu olarak kalite hedeflerinde, kalite risklerinde veya risklere karşı yapılacak işlerde meydana gelen değişiklikler.
Değişiklikler meydana geldiğinde, denetim şirketi tarafından gerçekleştirilmiş önceki izleme faaliyetleri artık şirkete kalite yönetim sisteminin değerlendirilmesini desteklemek için bilgi sağlamayabilir ve bu nedenle izleme faaliyetleri değişen alanların izlenmesini içerebilir.
Önceki İzleme Faaliyetleri (Bkz.: 37(e) paragrafı)
A146. Denetim şirketinin önceki izleme faaliyetlerinin sonuçları, sistemde bir eksikliğin ortaya çıkabileceği alanları, özellikle de geçmişte tespit edilmiş eksikliklerin bulunduğu alanları gösterebilir.
A147. Denetim şirketi tarafından gerçekleştirilen önceki izleme faaliyetleri, özellikle izleme faaliyetlerinin gerçekleştirilmesinden bu yana önemli bir süre geçtiyse, kalite yönetim sisteminin değişmemiş alanları dâhil olmak üzere, sistemin değerlendirilmesini desteklemek için artık şirkete bilgi sağlamıyor olabilir.
İhtiyaca Uygun Diğer Bilgiler (Bkz.: 37(f) paragrafı)
A148. 37(f) paragrafında belirtilen bilgi kaynaklarına ilave olarak, ihtiyaca uygun diğer bilgiler aşağıdakileri içerebilir:
• Denetim şirketinin kalite yönetim sistemine dâhil ettiği denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetleri dâhil olmak üzere, 50(c) ve 51(b) paragraflarına uygun olarak denetim şirketinin dâhil olduğu ağ tarafından, denetim şirketinin kalite yönetim sistemi hakkında iletilen bilgiler.
• Denetim şirketinin kalite yönetim sisteminde kullandığı kaynaklar hakkında, bir hizmet sağlayıcı tarafından iletilen bilgiler.
• Denetim şirketinin denetimini yürüttüğü bir işletme hakkında, sermaye piyasası düzenleyici kurumundan edinilen bilgiler (örneğin, işletmenin finansal tablolarındaki usulsüzlükler) gibi denetim şirketinin denetimini yürüttüğü işletmeler hakkında düzenleyici otoritelerden edinilen bilgiler.
A149. Dış teftişlerin sonuçları veya denetim şirketi içinden ve dışından sağlanan ihtiyaca uygun diğer bilgiler, denetim şirketi tarafından üstlenilen önceki izleme faaliyetlerinin kalite yönetim sistemindeki bir eksikliği tespit edemediğini gösterebilir. Bu bilgi; denetim şirketinin izleme faaliyetlerinin niteliği, zamanlaması ve kapsamına ilişkin değerlendirmesini etkileyebilir.
A150. Dış teftişler, denetim şirketinin iç izleme faaliyetlerinin yerine geçemez. Bununla birlikte, dış teftişlerin sonuçları izleme faaliyetlerinin niteliği, zamanlaması ve kapsamı hakkında bilgi verir.
Denetimlerin Teftişi (Bkz.: 38 inci paragraf)
A151. 37 nci paragrafta belirtilen ve teftiş için tamamlanan denetimlerin seçilmesinde denetim şirketi tarafından göz önünde bulundurulabilecek hususlara ilişkin örnekler
• Kalite risklerine yol açan şart, olay, durum, eylem veya eylemsizliklerle ilgili olarak;
o Denetim şirketi tarafından yürütülen denetim türleri ve bunları yürütmede denetim şirketinin ne kadar deneyim sahibi olduğu.
o Denetimi üstlenilen işletme türleri, örneğin;
• Borsada işlem gören işletmeler,
• Gelişmekte olan sektörlerde faaliyet gösteren işletmeler.
• Yüksek düzeyde karmaşıklık içeren veya muhakeme gerektiren sektörlerde faaliyet gösteren işletmeler.
• Denetim şirketi için yeni olan bir sektörde faaliyet gösteren işletmeler,
o Sorumlu denetçilerin görev süreleri ve tecrübeleri.
• Her bir sorumlu denetçi için olmak üzere, tamamlanan denetimlere ilişkin önceki teftişlerin sonuçlan.
• Diğer ihtiyaca uygun bilgilere ilişkin olarak:
o Sorumlu denetçilerle ilgili şikâyet veya iddialar.
o Her bir sorumlu denetçi için olmak üzere, dış teftişlerin sonuçları.
o Denetim şirketinin, her bir sorumlu denetçinin kaliteye olan bağlılığına ilişkin değerlendirmesinin sonuçları.
A152. Denetim şirketi, tamamlanan denetimlerin teftişinin yanı sıra, denetimlerin politika veya prosedürlere uygunluk sağlayıp sağlamadığını belirlemeye odaklanan birden fazla izleme faaliyeti yürütebilir. Söz konusu izleme faaliyetleri, belirli denetimler ya da sorumlu denetçiler için gerçekleştirilebilir. Bu izleme faaliyetlerinin niteliği ve kapsamı ile sonuçları, denetim şirketi tarafından aşağıdakilere karar verirken kullanılabilir:
• Tamamlanan hangi denetimlerin teftiş için seçileceği,
• Hangi sorumlu denetçilerin teftiş için seçileceği,
• Bir sorumlu denetçinin teftiş için ne sıklıkla seçileceği veya
• Tamamlanan denetimlerin teftişini gerçekleştirirken denetimlerin hangi yönlerinin dikkate alınacağı.
A153. Sorumlu denetçilerin tamamlanan denetimlere ilişkin periyodik olarak teftiş edilmesi; görevlendirildikleri denetimlerde kaliteyi sağlama ve yönetme konusundaki genel sorumluluklarını yerine getirip getirmediklerinin izlenmesinde denetim şirketine yardımcı olabilir.
Denetim şirketinin, sorumlu denetçileri tamamlanan denetimlerine ilişkin periyodik aralıklarla nasıl teftiş edebileceğine dair örnek
Denetim şirketi, tamamlanan denetimlerin teftişini ele alan aşağıdaki özelliklere sahip politika veya prosedürler oluşturabilir:
• Finansal tabloların denetimini yürüten sorumlu denetçilerin her üç yılda bir, diğer tüm sorumlu denetçilerin beş yılda bir tamamlanan bir denetime ilişkin teftiş edilmesi gibi standart bir teftiş periyodu belirleyen,
• Finansal tabloların denetimini gerçekleştiren sorumlu denetçiler için olanlar dâhil olmak üzere, tamamlanan denetimlerin -en az birinin bağımsız denetim olması kaydıyla- seçilmesine ilişkin kriterleri belirleyen,
• Sorumlu denetçilerin öngörülebilir olmayan bir şekilde seçilmesini ele alan ve
• Sorumlu denetçilerin şirket politikasında öngörülen standart süreden daha sık veya daha seyrek seçilmesinin gerekli veya uygun olduğu durumları ele alan, örneğin;
o Denetim şirketi, sorumlu denetçileri aşağıdaki durumlarda şirket politikasında öngörülen standart süreden daha sık teftiş için seçebilir:
• Denetim şirketi tarafından ciddi olarak değerlendirilen birden fazla eksiklik tespit edilmiştir ve tüm sorumlu denetçilerin daha sık periyodlarla teftiş edilmesi gerektiğine karar vermiştir.
• Sorumlu denetçi, karmaşıklık düzeyi yüksek olan veya yüksek muhakeme gerektiren sektörlerde faaliyet gösteren işletmeler için denetim yürütmektedir.
• Sorumlu denetçi tarafından gerçekleştirilen bir denetim, diğer izleme faaliyetlerine konu olmuştur ve söz konusu izleme faaliyetlerinin sonuçları tatmin edici değildir.
• Sorumlu denetçi, kendisinin sınırlı deneyime sahip olduğu bir sektörde faaliyet gösteren bir işletme için denetim yürütmüştür.
• Sorumlu denetçi, yeni atanmış bir sorumlu denetçidir ya da yakın zamanda başka bir denetim şirketinden veya başka bir ülkeden şirket bünyesine katılmıştır.
o Denetim şirketi, aşağıdaki durumlarda sorumlu denetçi seçimini erteleyebilir (örneğin, şirket politikasında belirtilen standart periyodun bir yıl sonrasına erteleyebilir):
• Sorumlu denetçi tarafından yürütülen bir denetim, şirket politikasında belirtilen standart periyot içinde diğer izleme faaliyetlerine konu olmuştur ve
• Diğer izleme faaliyetlerinin sonuçları, sorumlu denetçi hakkında yeterli bilgi sağlamaktadır (diğer bir ifadeyle, tamamlanan denetimlerin teftişini yapmak, muhtemelen denetim şirketine sorumlu denetçi hakkında daha fazla bilgi sağlamayacaktır).
A154. Bir denetimin teftişinde dikkate alınan hususlar, teftişin kalite yönetim sisteminin izlenmesinde nasıl kullanılacağına bağlıdır. Genellikle, bir denetimin teftişi, risklere karşı denetim düzeyinde uygulanan işlerin (örneğin, denetimin yürütülmesine ilişkin denetim şirketinin politikaları ve prosedürleri) tasarlandığı şekilde uygulanmış olup olmadığının ve etkin bir şekilde işleyip işlemediğinin belirlenmesini içerir.
İzleme Faaliyetlerini Yürüten Kişiler (Bkz.: 39(b) paragrafı)
A155. İzleme faaliyetlerini yürüten kişilerin tarafsızlığını ele alan politika veya prosedürlerin tasarlanması etik hükümlerle ilgilidir. Aşağıdaki hâllerde kendi kendini denetleme tehdidi ortaya çıkabilir:
• Denetimin teftişini yapan kişi;
o Finansal tablolarının bağımsız denetiminde, denetim ekibi üyelerinden biri veya söz konusu kaliteyi gözden geçiren kişi ya da bir sonraki finansal dönem için kaliteyi gözden geçiren kişidir veya
o Diğer tüm denetimler için; denetim ekibi üyelerinden biri veya kaliteyi gözden geçiren kişidir.
• İzlenmekte olan karşılığın (risklere karşı yapılan işin) tasarlanması, yürütülmesi veya işleyişinde başka tür bir izleme faaliyeti yer almıştır.
A156. Karmaşıklık düzeyi düşük olan bir denetim şirketinde olduğu gibi bazı durumlarda, izleme faaliyetlerini yürütebilecek uygun yetkinlik, kabiliyet, zaman veya tarafsızlığa sahip personel bulunmayabilir. Bu tür durumlarda denetim şirketi, izleme faaliyetlerini yürütmek için denetim ağı hizmetlerini veya bir hizmet sağlayıcıyı kullanabilir.
Bulguların Değerlendirilmesi ve Eksikliklerin Tespit Edilmesi (Bkz.: 16(a), 40-41 inci paragraflar)
A157. Denetim şirketi, izleme faaliyetlerinin yürütülmesinden, dış teftişlerden ve diğer ilgili kaynaklardan elde edilen bulguları toplar.
A158. İzleme faaliyetleri, dış teftişler ve diğer ilgili kaynaklardan toplanan bilgiler, denetim şirketinin kalite yönetim sistemine ilişkin aşağıdaki gibi diğer gözlemleri ortaya çıkarabilir:
• Kalite yönetim sisteminin kalitesi veya etkinliği bağlamında olumlu sonuçlara yol açan eylem, davranış veya şartlar ya da
• Hiçbir bulgunun tespit edilmediği benzer durumlar (örneğin, hiçbir bulgunun tespit edilmediği denetimler ile bulguların tespit edildiği denetimler kendi içlerinde benzer niteliktedir).
Diğer gözlemler; tespit edilen eksikliklerin kök neden(ler)inin araştırılmasında denetim şirketine yardımcı olabileceğinden, denetim şirketinin daha kapsamlı bir şekilde (örneğin, tüm denetimlerde) destekleyebileceği veya uygulayabileceği uygulamaları gösterebileceğinden veya denetim şirketine kalite yönetim sistemini geliştirebileceği fırsatları gösterebileceğinden dolayı denetim şirketi için faydalı olabilir.
A159. Denetim şirketi, bulguların tek başına veya diğer bulgularla birlikte kalite yönetim sisteminde bir eksikliğe yol açıp açmadığını belirlerken mesleki muhakemede bulunur. Denetim şirketi mesleki muhakemede bulunurken, bulguların nispi ehemmiyetini (ilgili oldukları kalite yönetim sisteminin kalite hedefleri, kalite riskleri, risklere karşı yapılacak işler veya diğer yönleri bağlamında) dikkate alması gerekebilir. Denetim şirketinin muhakemeleri, bulgularla ilgili nicel ve nitel faktörlerden etkilenebilir. Bazı durumlarda denetim şirketi, bir eksikliğin olup olmadığını belirlemek için bulgular hakkında daha fazla bilgi edinmenin uygun olduğuna karar verebilir. Denetim bulguları dâhil olmak üzere, tüm bulgular mutlak surette eksiklik niteliği taşımak zorunda değildir.
A160. Bulguların bir eksikliğe yol açıp açmadığını belirlerken denetim şirketinin dikkate alabileceği nicel ve nitel faktörlere ilişkin örnekler
Kalite Riskleri ve Risklere Karşı Yapılacak İşler
• Bulgular risklere karşı yapılmış bir işle ilgiliyse:
o Risklere karşı yapılan söz konusu işin nasıl tasarlandığı, örneğin, işin niteliği, (varsa) ortaya çıkma sıklığı ve söz konusu işin ilgili olduğu kalite risk(ler)inin ele alınmasında ve kalite hedef(ler)ine ulaşılmasındaki nispi ehemmiyeti.
o Riske karşı yapılan işin ilgili olduğu kalite riskinin niteliği ve bulguların, kalite riskinin ele alınmama düzeyini gösterme derecesi.
o Aynı kalite riskini ele alan başka işlerin bulunup bulunmadığı ve bu işler için bulguların olup olmadığı.
Bulguların Niteliği ve Yaygınlığı
• Bulguların niteliği. Örneğin, liderlik yapısı unsurunun eylem ve davranışlarıyla ilgili bulgular, bir bütün olarak kalite yönetim sistemi üzerinde sahip olabileceği yaygın etki göz önüne alındığında, niteliksel olarak önemli olabilir.
• Bulguların diğer bulgularla birlikte bir trende veya sistemik bir soruna işaret edip etmediği. Örneğin, birden fazla denetimde görülen benzer bulgular sistemik bir soruna işaret edebilir.
İzleme Faaliyetinin ve Bulguların Kapsamı
• Seçimlerin sayısı ve büyüklüğü dâhil olmak üzere, bulguların ortaya çıktığı izleme faaliyetinin kapsamı.
• İzleme faaliyetinin kapsadığı seçimle ilgili ve beklenen sapma oranıyla ilgili bulguların kapsamı. Örneğin, denetimlerin teftişinde, seçilen toplam denetim sayısı, bulguların belirlendiği yerde seçilen denetimlerin sayısı ve denetim şirketi tarafından belirlenen beklenen sapma oranıyla ilgilidir.
A161. Tespit edilen bir eksikliğin kök neden(ler)inin araştırılması dâhil olmak üzere, bulguların değerlendirilmesi ve eksikliklerin tespit edilmesi ile tespit edilen eksikliğin ciddiyet ve yaygınlığının değerlendirilmesi, düz olmayan ve yinelenen bir sürecin parçasıdır.
Tespit edilen bir eksikliğin kök neden(ler)inin araştırılması dâhil olmak üzere, bulguların değerlendirilmesi ve eksikliklerin tespit edilmesi ile tespit edilen eksikliklerin değerlendirilme sürecinin nasıl düz olmadığı ve yinelendiğine ilişkin örnekler
• Denetim şirketi tespit edilen bir eksikliğin kök neden(ler)ini araştırırken, eksiklik olarak kabul edilmemiş bulguların olduğu durumlarla benzerlikleri olan bir durum tespit edebilir. Böyle bir durumda, denetim şirketi diğer bulgulara ilişkin değerlendirmesini düzeltir ve bunları eksiklik olarak sınıflandırır.
• Denetim şirketi tespit edilen bir eksikliğin ciddiyet ve yaygınlığını değerlendirirken, eksiklik olarak kabul edilmeyen diğer bulgularla ilişkili bir trend veya sistemik bir sorun tespit edebilir. Böyle bir durumda, denetim şirketi diğer bulgulara ilişkin değerlendirmesini düzeltir ve bunları da eksiklik olarak sınıflandırır.
A162. İzleme faaliyetlerinin sonuçlan, dış teftişlerin sonuçlan ve diğer ihtiyaca uygun bilgiler (örneğin, denetim ağı izleme faaliyetleri veya şikâyet ve iddialar) izleme ve düzeltme sürecinin etkinliği hakkında bilgiler ortaya çıkarabilir. Örneğin, dış teftişlerin sonuçları, kalite yönetim sistemi hakkında denetim şirketinin izleme ve düzeltme süreci tarafından tespit edilmemiş olan ve bu süreçteki bir eksikliği vurgulayan bilgiler sağlayabilir.
Tespit Edilen Eksikliklerin Değerlendirilmesi (Bkz.: 41 inci paragraf)
A163. Tespit edilen bir eksikliğin ciddiyet ve yaygınlığını değerlendirirken, denetim şirketinin dikkate alabileceği faktörler aşağıdakileri içerir:
• Eksikliğin ilişkili olduğu kalite yönetim sisteminin ilgili yönü ve eksikliğin kalite yönetim sisteminin tasarımından mı, uygulamasından mı yoksa işleyişinden mi kaynaklandığı dâhil olmak üzere, tespit edilen eksikliğin niteliği,
• Tespit edilen eksikliğin risklere karşı yapılan işlerle ilgili olması durumunda, bu işin ilgili olduğu kalite riskini ele almak için telafi edici işlerin bulunup bulunmadığı,
• Tespit edilen eksikliğin kök neden(ler)i,
• Tespit edilen eksikliğe neden olan hususun ortaya çıkma sıklığı ve
• Tespit edilen eksikliğin büyüklüğü, ne hızla meydana geldiği, ne kadar sürdüğü ve kalite yönetim sistemi üzerinde etkisi.
A164. Tespit edilen eksikliklerin ciddiyet ve yaygınlığı, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler tarafından yerine getirilen kalite yönetim sistemi değerlendirmesini etkiler.
Tespit Edilen Eksikliklerin Kök Nedeni (Bkz.: 41 (a) paragrafı)
A165. Tespit edilen eksikliklerin kök neden(ler)inin araştırılmasının amacı, eksikliklere neden olan şartları anlamak ve denetim şirketinin;
• Tespit edilen eksikliğin ciddiyet ve yaygınlığını değerlendirmesini ve
• Tespit edilen eksikliği uygun şekilde düzeltmesini
sağlamaktır. Bir kök neden analizinin yapılması, değerlendirmeyi yapanların mevcut kanıtlara dayalı olarak mesleki muhakemelerini kullanmasını içerir.
A166. Tespit edilen eksikliğin kök neden(ler)ini anlamak için uygulanan prosedürlerin niteliği, zamanlaması ve kapsamı, denetim şirketinin niteliği ve içinde bulunduğu şartlardan da etkilenebilir; örneğin:
• Şirketin karmaşıklığı ve faaliyet özellikleri,
• Şirketin büyüklüğü,
• Şirketin coğrafî dağılımı,
• Denetim şirketinin nasıl yapılandırıldığı ya da şirketin süreçlerini veya faaliyetlerini ne ölçüde yoğunlaştırdığı veya merkezileştirdiği.
Tespit edilen eksikliklerin niteliğinin, bunların olası ciddiyetinin ve denetim şirketinin niteliği ve içinde bulunduğu şartların, tespit edilen eksikliklerin kök neden(ler)ini anlamaya yönelik prosedürlerin niteliği, zamanlaması ve kapsamını nasıl etkileyebileceğine ilişkin örnekler
• Tespit edilen eksikliğin niteliği: Borsada işlem gören bir işletmenin finansal tablolarının bağımsız denetimine ilişkin bir denetim raporunun uygun olmadığı veya tespit edilen eksikliğin liderliğin kaliteye ilişkin davranış ve eylemleriyle ilgili olduğu durumlarda, denetim şirketinin tespit edilen eksikliğin kök neden(ler)ini anlamaya yönelik prosedürleri daha sıkı olabilir.
• Tespit edilen eksikliğin muhtemel ciddiyeti: Eksikliğin birden fazla denetimde tespit edildiği ya da politika veya prosedürlerin yüksek oranda aykırılıklar içerdiğine dair bir gösterge olduğu durumlarda, denetim şirketinin tespit edilen bir eksikliğin kök neden(ler)ini anlamaya yönelik prosedürleri daha sıkı olabilir.
• Denetim şirketinin niteliği ve içinde bulunduğu şartlar:
o Tek bir yerde konumlanmış, karmaşıklık düzeyi düşük olan bir şirkette tespit edilen eksikliğin kök neden(ler)ini anlamaya yönelik prosedürler; anlaşılacak bilgilerin kolayca elde edilebilir ve bir noktada toplanmış olmasından ve kök neden(ler) daha belirgin olabildiğinden dolayı basit olabilir.
o Birden fazla yerde konumlanmış, karmaşıklık düzeyi yüksek olan bir şirkette tespit edilen eksikliğin kök neden(ler)ini anlamaya yönelik prosedürler; tespit edilen eksikliğin kök neden(ler)ini araştırmak için özel olarak eğitilmiş kişilerden faydalanılmasını ve kök neden(ler)in tespit edilmesi için daha resmileştirilmiş prosedürleri olan bir metodoloji geliştirilmesini içerebilir.
A167. Denetim şirketi, tespit edilen eksikliklerin kök neden(ler)ini araştırırken, tespit edilen eksikliğin ilgili olduğu hususa benzer nitelikteki diğer durumlarda eksikliklerin neden ortaya çıkmadığını değerlendirebilir. Bu tür bilgiler, tespit edilen bir eksikliğin nasıl düzeltileceğine karar verirken de faydalı olabilir.
Benzer nitelikteki başka durumlarda eksikliğin ortaya çıkmaması ve bu bilginin tespit edilen eksikliklerin kök neden(ler)ini araştırma konusunda denetim şirketine nasıl yardımcı olduğuna ilişkin örnek
Denetim şirketi, birden fazla denetimde benzer bulguların ortaya çıkması nedeniyle bir eksiklik olduğuna karar verebilir. Buna karşın, bulgular, test edilen aynı ana kitledeki diğer birkaç denetimde ortaya çıkmamıştır. Denetim şirketi, söz konusu denetimleri karşılaştırarak, belirlenen eksikliğin kök nedeninin, sorumlu denetçilerin denetimlerin önemli aşamalarına yeterince katılımda bulunmadığı sonucuna varmıştır.
A168. Kök neden(ler)in yeterince ayrıntılı olarak tespit edilmesi, denetim şirketinin tespit edilen eksikliklerin düzeltilmesi sürecini destekleyebilir.
Kök neden(ler)in yeterince ayrıntılı tespit edilmesine ilişkin örnek
Denetim şirketi, yönetimin varsayımlarının yüksek derecede sübjektiflik içerdiği durumlarda, finansal tabloların denetimini gerçekleştiren denetim ekiplerinin muhasebe tahminlerine ilişkin yeterli ve uygun denetim kanıtı elde edemediğini tespit edebilir. Denetim şirketi, denetim ekiplerinin gerektiği gibi mesleki şüphecilik içinde hareket etmediklerini tespit etmiş olmakla birlikte, bu hususun altında yatan kök neden başka bir konuyla ilgili olabilir (örneğin, denetim ekibi üyelerini; daha fazla yetkiye sahip kişileri veya denetimlerde yapılan işin yetersiz bir şekilde yönlendirme, gözetim ve gözden geçirmesini sorgulamaya teşvik etmeyen bir kültür ortamının bulunması).
A169. Denetim şirketi, tespit edilen eksikliklerin kök neden(ler)ini araştırmaya ek olarak, şirketin kalite yönetim sisteminin iyileştirilmesi veya daha da geliştirilmesi için fırsat doğurabileceğinden dolayı olumlu sonuçların kök neden(ler)ini de araştırabilir.
Tespit Edilen Eksikliklere Karşılık Verilmesi (Bkz.: 42 nci paragraf)
A170. Düzeltici faaliyetlerin niteliği, zamanlaması ve kapsamı, aşağıdakiler dâhil olmak üzere çeşitli faktörlere bağlı olabilir:
• Kök neden(ler),
• Tespit edilen eksikliğin ciddiyet ve yaygınlığı ile bu eksikliğin ele alınması gereken ivedilik düzeyi ve
• Denetim şirketinin kök neden(ler)i etkili bir şekilde ele almak için birden fazla düzeltici adım uygulamasının gerekip gerekmediği veya daha etkili düzeltici adım uygulayana kadar geçici önlem olarak düzeltici adım uygulamasının gerekip gerekmediği gibi, düzeltici adımların kök neden(ler)i ele almadaki etkinliği.
A171. Bazı durumlarda düzeltici adım, ilave kalite hedefleri oluşturmayı içerebilir veya uygun bulunmadığına karar verilen kalite riskleri veya kalite risklerine karşı yapılacak işler ilave edilebilir veya değiştirilebilir.
A172. Tespit edilen eksikliğin kök nedeninin hizmet sağlayıcı tarafından sağlanan bir kaynakla ilgili olduğunu tespit ettiği durumlarda denetim şirketi;
• Hizmet sağlayıcı tarafından sağlanan kaynağı kullanmaya devam edip etmeyeceğini değerlendirebilir.
• Söz konusu hususu hizmet sağlayıcıya iletebilir.
Denetim şirketi, hizmet sağlayıcı tarafından sağlanan bir kaynakla ilgili tespit edilen eksikliğin kalite yönetim sistemi üzerindeki etkisini ele almaktan ve şirketin kalite yönetim sistemine ilişkin eksikliğin tekrarlanmasını önlemek için adım atmaktan sorumludur. Ancak, hizmet sağlayıcı adına belirlenen eksikliğin düzeltilmesinden veya hizmet sağlayıcıda tespit edilen eksikliğin kök nedeninin daha derinlemesine araştırılmasından denetim şirketi sorumlu değildir.
Belirli Bir Denetime İlişkin Bulgular (Bkz.: 45 inci paragraf)
A173. Prosedürlerin atlandığı veya düzenlenen raporun uygun olmadığı durumlarda, denetim şirketi tarafından atılacak adımlar aşağıdakileri içerebilir:
• Atılacak uygun adımla ilgili olarak uygun kişilerle istişare yapmak.
• Söz konusu hususu işletmenin yönetimi veya üst yönetiminden sorumlu olanlarla görüşmek.
• Atlanılan prosedürleri uygulamak.
Denetim şirketi tarafından atılan adımlar; eksiklikleri belirlemek için bulguları değerlendirmek ve eksiklik bulunduğunda, tespit edilen eksikliğin kök neden(ler)ini araştırmak dâhil olmak üzere, şirketin kalite yönetim sistemi bağlamında bulguyla ilgili daha fazla adım atma sorumluluğunu ortadan kaldırmaz.
İzleme ve Düzeltmeyle İlgili Devam Eden İletişim (Bkz.: 46 ncı paragraf)
A174. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilere izleme ve düzeltme hakkında iletilen bilgiler, sürekli veya periyodik olarak iletilebilir. Söz konusu kişi veya kişiler bu bilgileri aşağıdaki gibi farklı amaçlarla kullanabilirler:
• Kalitenin önemi hakkında personele daha fazla bilgi vermek için bir dayanak olarak.
• Kişileri kendilerine verilen görevlerden sorumlu tutmak.
• Kalite yönetim sistemi hakkındaki önemli şüpheleri zamanında tespit etmek.
Söz konusu bilgi ayrıca, 53-54 üncü paragraflar uyarınca kalite yönetim sisteminin değerlendirilmesi ve değerlendirmenin sonucu için dayanak sağlar.
Denetim Ağından Kaynaklanan Yükümlülükler veya Denetim Ağı Hizmetleri (Bkz.: 48 inci paragraf)
A175. Bazı durumlarda denetim şirketi, bir denetim ağına dâhil olabilir. Denetim ağları; denetim şirketinin kendi kalite yönetim sistemiyle ilgili hükümleri belirleyebilir veya şirketin kendi kalite yönetim sisteminin tasarımında, uygulamasında ve işleyişinde uygulamayı veya kullanmayı seçebileceği hizmetleri veya kaynakları kullanımına sunabilir. Bu tür hüküm veya hizmetler, denetim ağına dâhil olan şirketler arasında kaliteli denetimlerin tutarlı bir şekilde yürütülmesini teşvik etmeyi amaçlayabilir. Denetim ağının denetim şirketine; ağ genelindeki ortak kalite hedefleri, kalite riskleri ve risklere karşı yapılacak işleri ne ölçüde sağlayacağı, şirketin denetim ağı ile yaptığı düzenlemelere bağlı olacaktır.
Denetim ağından kaynaklanan yükümlülüklere ilişkin örnekler
• Denetim şirketinin, denetim ağma dâhil şirketler genelinde ortak olan ilave kalite hedeflerini veya kalite risklerini kalite yönetim sistemine dâhil etmesine ilişkin hükümler.
• Denetim şirketinin, denetim ağma dâhil şirketler genelinde ortak olan, risklere karşı yapılacak işleri kalite yönetim sistemine dâhil etmesine ilişkin hükümler. Denetim ağı tarafından tasarlanan bu tür işler aşağıdakileri içerebilir:
- Denetim şirketinin yetki ve sorumlulukları nasıl dağıtacağı da dâhil olmak üzere, liderlik görev ve sorumluluklarını belirleyen ağ politikaları veya prosedürleri veya
- Denetimlerin yürütülmesi için denetim ağı tarafından geliştirilen metodolojiler veya BT uygulamaları gibi kaynaklar.
• Denetim şirketinin denetim ağının izleme faaliyetlerine tabi olmasına ilişkin hükümler. Söz konusu izleme faaliyetleri, denetim ağından kaynaklanan yükümlülükler (örneğin, denetim şirketinin ağ metodolojisini uygun şekilde uyguladığının izlenmesi) veya genel olarak denetim şirketinin kalite yönetim sistemiyle ilgili olabilir,
Denetim ağı hizmetlerine ilişkin örnekler
• İhtiyari eğitim programları, denetim ağı içindeki birim denetçilerinin veya uzmanların kullanımı ya da denetim ağı düzeyinde, başka bir denetim ağı şirketi veya ağ şirketleri grubu tarafından kurulan hizmet sunum merkezinin kullanılması gibi, kalite yönetim sisteminde veya denetimlerin yürütülmesinde denetim şirketi tarafından kullanımı isteğe bağlı hizmet veya kaynaklar.
A176. Denetim ağı; denetim ağından kaynaklanan yükümlülükler veya ağ hizmetlerinin uygulanmasında denetim şirketi için sorumluluklar oluşturabilir.
Denetim ağından kaynaklanan yükümlülüklerin veya ağ hizmetlerinin uygulanmasında denetim şirketinin sorumluluklarına ilişkin örnekler
• Denetim şirketinin kalite yönetim sisteminde kullandığı denetim ağı tarafından sağlanan bir BT uygulamasını desteklemek için, şirketin belirli bir BT altyapısına ve BT süreçlerine sahip olması gerekmektedir.
• Denetim şirketinin, denetim ağı tarafından sağlanan metodoloji hakkında, metodolojide güncellemelerin ne zaman yapılacağı dâhil olmak üzere denetim şirketi genelinde eğitim vermesi gerekmektedir.
A177. Denetim şirketinin; denetim ağından kaynaklanan yükümlülüklere veya ağ hizmetlerine ve bunların uygulanmasına ilişkin sorumluluklarına vâkıf olması, aşağıdaki gibi konular hakkında denetim ağında sorgulamalar yaparak veya denetim ağından belgeler temin ederek elde edilebilir:
• Denetim ağının üst yönetimi ve liderliği,
• Denetim ağından kaynaklanan yükümlülüklerin veya ağ hizmetlerinin tasarımı, uygulanması ve -uygun hâllerde- işleyişinde denetim ağı tarafından yerine getirilen prosedürler,
• Denetim ağının, örneğin mesleki standartlardaki değişiklikler ya da denetim ağından kaynaklanan yükümlülüklerdeki veya ağ hizmetlerindeki bir eksikliği gösteren bilgiler gibi denetim ağından kaynaklanan yükümlülükleri veya denetim ağı hizmetlerini etkileyen değişiklikleri veya diğer bilgileri nasıl tespit ettiği ve bunlara karşılık verdiği ve
• Denetim ağının; denetim ağından kaynaklanan yükümlülüklerin veya denetim ağı hizmetlerinin (denetim ağına dâhil şirketlerin izleme faaliyetleri yolu dâhil) ve denetim ağının tespit edilen eksiklikleri gidermeye yönelik süreçlerinin uygunluğunu nasıl izlediği.
Denetim Şirketinin Kalite Yönetim Sistemindeki Denetim Ağından Kaynaklanan Yükümlülükler veya Denetim Ağı Hizmetleri (Bkz.: 49 uncu paragraf)
A178. Denetim ağından kaynaklanan yükümlülüklerin veya denetim ağı hizmetlerinin özellikleri; kalite risklerinin belirlenmesi ve değerlendirilmesindeki şart, olay, durum, eylem veya eylemsizliktir.
Kalite riskine yol açan denetim ağından kaynaklanan yükümlülük veya denetim ağı hizmetine ilişkin örnek
Denetim ağı, denetim şirketinin; müşteri ilişkisinin ve belirli bir sözleşmenin kabulü ve devam ettirilmesi için ağ genelinde standartlaşmış bir BT uygulamasını kullanmasını zorunlu tutabilir. Bu durum, müşteri ilişkisinin ve belirli bir sözleşmenin kabulü ve devam ettirilmesinde, şirket tarafından dikkate alınması gereken yerel mevzuattaki hususların, BT uygulaması tarafından ele alınmaması gibi bir kalite riskine yol açabilir.
A179. Denetim ağından kaynaklanan yükümlülüklerin amacı, denetim ağma dâhil şirketler arasında kaliteli denetimlerin tutarlı bir şekilde yürütülmesinin teşvik edilmesidir. Denetim ağı, denetim şirketinin denetim ağından kaynaklanan yükümlülükleri yerine getirmesini isteyebilir; ancak, denetim şirketinin denetim ağından kaynaklanan yükümlülükleri şirketin ve denetimlerinin niteliğine ve içinde bulunduğu şartlara uygun olacak şekilde uyarlaması veya desteklemesi gerekebilir.
| Denetim ağından kaynaklanan yükümlülüklerin veya denetim ağı hizmetlerinin nasıl uyarlanma veya desteklenme gerektirebileceğine ilişkin örnekler | |
| Denetim Ağından Kaynaklanan Yükümlülükler veya Denetim Ağı Hizmetleri | Denetim Şirketinin, Denetim Ağından Kaynaklanan Yükümlülükleri veya Denetim Ağı Hizmetlerini Nasıl Uyarlayacağı veya Destekleyeceği |
| Denetim ağı, denetim şirketinin kalite yönetim sistemine belirli kalite risklerini dâhil etmesini zorunlu tutmuştur. Böylece, denetim ağma dâhil tüm denetim şirketleri söz konusu kalite risklerini ele alır. | Kalite risklerinin belirlenmesi ve değerlendirilmesinin bir parçası olarak denetim şirketi, denetim ağının zorunlu tuttuğu kalite risklerini dâhil eder. |
| Denetim şirketi ayrıca kalite risklerini ele almak için denetim ağının zorunlu tuttuğu, risklere karşı yapılacak işleri tasarlar ve uygular. | |
| Denetim ağı, denetim şirketinin risklere karşı yapılacak belirli işleri tasarlamasını ve uygulamasını zorunlu tutmuştur. | Risklere karşı yapılacak işlerin tasarlanması ve uygulanmasının bir parçası olarak denetim şirketi aşağıdakilere karar verir: |
| • Risklere karşı yapılacak işlerin hangi kalite risklerini ele aldığı, | |
| • Denetim şirketinin niteliği ve içinde bulunduğu şartlar göz önüne alındığında, denetim ağının zorunlu tuttuğu risklere karşı yapılacak işlerin, şirketin kalite yönetim sistemine nasıl dâhil edileceği. Bu husus, denetim şirketinin ve denetimlerinin niteliğini ve içinde bulunduğu şartları yansıtacak şekilde, risklere karşı yapılacak işlerin uyarlanmasını (örneğin, bir metodolojiyi mevzuata ilişkin konuları içerecek şekilde uyarlamayı) içerebilir. | |
| Denetim şirketi, denetim ağma dâhil diğer şirketlerden kişileri birim denetçisi olarak kullanmaktadır. Denetim ağına dâhil şirketlerin kalite yönetim sistemlerinde yüksek derecede benzerlik sağlayan denetim ağından kaynaklanan yükümlülükler mevcuttur. Denetim ağından kaynaklanan yükümlülükler, topluluk denetimlerinde bir birim üzerinde çalışmak üzere görevlendirilen kişilere uygulanan belirli kriterleri kapsamaktadır. | Denetim şirketi; denetim ekibinin birim denetçisi (diğer bir ifadeyle, denetim ağına dâhil diğer şirket) ile birlikte birim denetimi için görevlendirilen kişilerin, denetim ağından kaynaklanan yükümlülüklerde belirlenen belirli kriterleri karşıladığını taahhüt etmesi gereken politika veya prosedürler oluşturur. |
A180. Bazı durumlarda denetim şirketi, denetim ağından kaynaklanan yükümlülükleri veya denetim ağı hizmetlerini uyarlarken veya desteklerken, denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetlerinde olası iyileştirmeler tespit edebilir ve bu iyileştirmeleri denetim ağma bildirebilir.
Denetim Ağı Tarafından Denetim Şirketinin Kalite Yönetim Sistemi Üzerinde Gerçekleştirilen İzleme Faaliyetleri (Bkz.: 50(c) paragrafı)
A181. Denetim şirketinin kalite yönetim sistemine ilişkin denetim ağı tarafından gerçekleştirilen izleme faaliyetleri aşağıdaki gibi bilgileri içerebilir:
• Niteliği, zamanlaması ve kapsamı dâhil olmak üzere, izleme faaliyetlerinin açıklanması,
• Denetim şirketinin kalite yönetim sistemiyle ilgili bulgular, tespit edilen eksiklikler ve diğer gözlemler (örneğin, denetim şirketinin kalite yönetim sistemini iyileştirmesi veya daha da geliştirmesi için olumlu sonuçlar veya fırsatlar) ve
• Denetim ağının, tespit edilen eksikliklerin kök neden(ler)ine ilişkin değerlendirmesi, tespit edilen eksikliklerin etkisi ve önerilen düzeltici adımlar.
Denetim Ağı Tarafından Denetim Ağına Dâhil Şirketlerde Gerçekleştirilen İzleme Faaliyetleri (Bkz.: 51(b) paragrafı)
A182. Denetim ağı tarafından, denetim ağına dâhil şirketlerin kalite yönetim sistemleri genelinde gerçekleştirilen izleme faaliyetlerinin genel sonuçları hakkında denetim ağından alınan bilgiler; denetim ağı genelinde tespit edilen eksikliklere ilişkin trendler ve ortak alanlar ya da ağ genelinde pekiştirilecek olumlu sonuçlar dâhil olmak üzere, A181 paragrafında açıklanan bilgilerin bir toplamı veya özeti olabilir. Bu tür bilgiler;
• Denetim şirketi tarafından;
o Kalite risklerinin belirlenmesi ve değerlendirilmesinde kullanılabilir.
o Denetim şirketi tarafından kalite yönetim sisteminde kullanılan, denetim ağından kaynaklanan yükümlülüklerde veya denetim ağı hizmetlerinde eksikliklerin olup olmadığına karar vermede denetim şirketi tarafından dikkate alınan, ihtiyaca uygun diğer bilgilerin bir parçası olarak kullanılabilir.
• Ortak denetim ağından kaynaklanan yükümlülüklere (örneğin, ortak kalite hedefleri, kalite riskleri ve risklere karşı yapılacak işlere) tabi olan, denetim ağına dâhil bir şirketten gelen birim denetçilerinin yetkinlik ve kabiliyetlerini değerlendirme kapsamında topluluk sorumlu denetçilerine iletilir.
A183. Bazı durumlarda denetim şirketi, denetim ağma dâhil bir şirketin kalite yönetim sisteminde tespit edilen ve denetim şirketini etkileyen eksiklikler hakkında denetim ağından bilgi alabilir. Denetim ağı ayrıca, denetim ağma dâhil şirketlerin kalite yönetim sistemlerinde gerçekleştirilen dış teftişlerin sonuçlarıyla ilgili olarak denetim ağına dâhil şirketlerden bilgi toplayabilir. Bazı durumlarda, ülke mevzuatı, denetim ağının, ağdaki diğer denetim şirketleri ile bilgi paylaşımında bulunmasını engelleyebilir veya bu tür bilgilerin ayrıntı düzeyini sınırlandırabilir.
A184. Denetim şirketi; denetim ağı tarafından denetim ağma dâhil denetim şirketlerinde gerçekleştirilen izleme faaliyetlerinin genel sonuçları hakkında kendisine bilgi verilmediği durumlarda aşağıdaki gibi ilave adımlar atabilir:
• Konuyu denetim ağı ile görüşmek ve
• Bu durumun denetim şirketinin denetimleri üzerindeki etkisini belirlemek ve bu etkiyi denetim ekiplerine bildirmek.
Denetim Şirketi Tarafından, Denetim Ağından Kaynaklanan Yükümlülüklerde ya da Denetim Ağı Hizmetlerinde Tespit Edilen Eksiklikler (Bkz.: 52 nci paragraf)
A185. Denetim ağından kaynaklanan yükümlülükler veya denetim şirketi tarafından kullanılan denetim ağı hizmetleri, denetim şirketinin kalite yönetim sisteminin bir parçasını oluşturduğundan, KYS 1’in izleme ve düzeltme ile ilgili hükümlerine de tabidir. Denetim ağından kaynaklanan yükümlülükler veya denetim ağı hizmetleri; denetim ağı, denetim şirketi veya her ikisi tarafından da izlenebilir.
Denetim ağından kaynaklanan yükümlülüğün veya denetim ağı hizmetinin hem denetim ağı hem de denetim şirketi tarafından izlendiği duruma ilişkin örnek
Bir denetim ağı, ortak bir metodoloji için denetim ağı seviyesinde izleme faaliyetleri gerçekleştirebilir. Denetim şirketi ayrıca, denetim teftişlerini gerçekleştirerek denetim ekibi üyeleri tarafından metodolojinin uygulanmasını izler.
A186. Denetim ağından kaynaklanan yükümlülüklerde veya denetim ağı hizmetlerinde tespit edilen eksikliğin etkisini ele alacak düzeltici adımları tasarlar ve uygularken denetim şirketi;
• Denetim ağı tarafından planlanan düzeltici adımları ve bu düzeltici adımların uygulanmasında denetim şirketinin herhangi bir sorumluluğu olup olmadığını anlamaya çalışabilir ve
• Aşağıdaki gibi durumlarda, tespit edilen eksikliği ve ilgili kök neden(ler)i ele almak için destekleyici düzeltici adımların atılmasına gerek olup olmadığını değerlendirebilir:
o Denetim ağı, uygun düzeltici adımlar atmamıştır veya
o Denetim ağının düzeltici adımlarının, tespit edilen eksikliği etkin bir şekilde ele alması zaman alacaktır.
Kalite Yönetim Sisteminin Değerlendirilmesi (Bkz.: 53 üncü paragraf)
A187. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilere, değerlendirmenin gerçekleştirilmesinde diğer kişiler tarafından destek verilebilir. Bununla birlikte, değerlendirmenin sorumluluğu, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilere aittir.
A188. Değerlendirmenin yapıldığı zaman; denetim şirketinin içinde bulunduğu şartlara bağlı olabilir ve denetim şirketinin mali yılsonu veya yıllık izleme döngüsünün tamamlanmasına denk gelebilir.
A189. Kalite yönetim sisteminin değerlendirilmesi için dayanak oluşturan bilgiler, 46 ncı paragraf uyarınca kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilere iletilen bilgileri içerir.
Kalite yönetim sisteminin değerlendirilmesi için dayanak oluşturan bilgilerin nasıl elde edilebileceğine ilişkin ölçeklenebilirlik örnekleri
• Karmaşıklık düzeyi düşük olan bir denetim şirketinde, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler izleme ve düzeltme sürecine doğrudan katılabilirler ve bu nedenle kalite yönetim sisteminin değerlendirilmesini destekleyen bilgilerden haberdar olabilirler.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, kalite yönetim sistemini değerlendirmek için gereken bilgileri derlemek, özetlemek ve iletmek için süreç oluşturmaya ihtiyaç duyabilirler.
Kalite Yönetim Sistemine İlişkin Sonuca Ulaşılması (Bkz.: 54 üncü paragraf)
A190. KYS 1 bağlamında kalite yönetim sisteminin bir bütün olarak işlemesinin, denetim şirketine, sistemin hedeflerine ulaşıldığına dair makul güvence sağlaması beklenmektedir. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler; kalite yönetim sistemine ilişkin sonuca ulaşırken, aşağıdaki hususları izleme ve düzeltme sürecinin sonuçlarını kullanırken dikkate alabilir:
• Tespit edilen eksikliklerin ciddiyet ve yaygınlığı ile kalite yönetim sisteminin hedeflerine ulaşılması üzerindeki etkisi,
• Denetim şirketinin düzeltici adımlar tasarlamış ve uygulamış olup olmadığı ile değerlendirme zamanına kadar atılmış düzeltici adımların etkin olup olmadığı ve
• Tespit edilen eksikliklerin kalite yönetim sistemi üzerindeki etkisinin uygun şekilde düzeltilmiş olup olmadığı (örneğin, 45 inci paragraf uyarınca ilave adımların atılıp atılmadığı).
A191. Değerlendirme zamanında, tespit edilen ciddi eksikliklerin (ciddi ve yaygın olan tespit edilen eksiklikler dâhil) uygun şekilde düzeltilmiş olduğu ve etkilerinin düzeltildiği durumlar olabilir. Bu tür durumlarda, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler, kalite yönetim sisteminin, denetim şirketine kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağladığı sonucuna ulaşabilir.
A192. Tespit edilen bir eksikliğin kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi üzerinde yaygın bir etkisi olabilir. Örneğin;
• Eksiklik, kalite yönetim sisteminin birçok unsurunu veya yönünü etkiler.
• Eksiklik, kalite yönetim sisteminin belirli bir unsuru veya yönü ile sınırlı olmasına rağmen kalite yönetim sistemi açısından temel teşkil edecek derecede öneme sahiptir.
• Eksiklik, denetim şirketinin birçok faaliyet birimini veya farklı coğrafi konumlarını etkilemektedir.
• Eksikliğin bir faaliyet birimi veya bir coğrafi konumla sınırlı olmasına rağmen etkilenen faaliyet birimi veya coğrafi konum, denetim şirketinin tümü açısından temel teşkil edecek derecede bir öneme sahiptir.
• Eksiklik, belirli tür veya nitelikteki denetimlerin önemli bir bölümünü etkilemektedir.
Ciddi olarak kabul edilebilecek ancak yaygın olmayan bir eksiklik örneği
Denetim şirketi, küçük bir bölge ofisinde bir eksiklik tespit etmiştir. Tespit edilen eksiklik, şirketin birçok politika veya prosedürüne aykırılık teşkil etmektedir.
Denetim şirketi, bölge ofisindeki şirket kültürünün, özellikle finansal önceliklere aşırı derecede odaklanan bölge ofisindeki yöneticilerin eylem ve davranışlarının, tespit edilen eksikliğin kök nedenine katkıda bulunduğunu tespit etmiştir. Denetim şirketi, tespit edilen eksikliğin etkisinin;
• Bölge ofisinin kültürü ve denetim şirketi politika veya prosedürlerine genel uygunluk sağlama ile ilgili olduğu için ciddi olduğuna ve
• Küçük bir bölge ofisiyle sınırlı olduğu için yaygın olmadığına,
karar vermiştir.
A193. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler; tespit edilen eksikliklerin ciddi ve yaygın olduğu ve tespit edilen eksikliklerin düzeltilmesi için atılan adımların uygun olmadığı ve tespit edilen eksikliklerin etkilerinin uygun bir şekilde düzeltilmediği durumlarda kalite yönetim sisteminin denetim şirketine kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağlamadığı sonucuna varabilir.
Ciddi ve yaygın olarak değerlendirilebilecek bir eksiklik örneği
Denetim şirketi, şirketin en büyük ofisi olan ve tüm bölge için finansal, operasyonel ve teknik destek sağlayan bir bölge ofisinde eksiklik tespit etmiştir. Tespit edilen eksiklik, şirketin birçok politika veya prosedürüne aykırılık teşkil etmektedir. Denetim şirketi, bölge ofisindeki kültürün, özellikle finansal önceliklere aşırı derecede odaklanan bölge ofisindeki yöneticilerin eylem ve davranışlarının, tespit edilen eksikliğin kök nedenine katkıda bulunduğunu tespit etmiştir. Denetim şirketi, tespit edilen eksikliğin etkisinin;
• Bölge ofisinin kültürü ve denetim şirketi politika veya prosedürlerine genel uygunluk sağlama ile ilgili olduğu için ciddi olduğuna ve
• Bölge ofisi, en büyük ofis olduğu ve diğer birçok ofise destek sağladığı için ve denetim şirketi politika veya prosedürlerine uyulmaması diğer ofisler üzerinde daha geniş bir etkiye sahip olabileceği için yaygın olduğuna,
karar vermiştir.
A194. Denetim şirketinin, tespit ettiği ciddi ve yaygın eksiklikleri düzeltmesi zaman alabilir. Denetim şirketinin tespit edilen eksiklikleri düzeltmek için adım atmaya devam etmesi durumunda, tespit edilen eksikliklerin yaygınlığı azalabilir ve tespit edilen eksikliklerin hâlâ ciddi olduğu, ancak artık ciddi ve yaygın nitelikte olmadığına karar verilebilir. Bu tür durumlarda, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişiler; kalite yönetim sisteminin tasarımı, uygulanması ve işleyişi üzerinde ciddi ancak yaygın olmayan bir etkiye sahip, tespit edilen eksikliklerle ilgili hususlar dışında, kalite yönetim sisteminin denetim şirketine kalite yönetim sisteminin hedeflerine ulaşıldığına dair makul güvence sağladığı sonucuna ulaşabilir.
A195. KYS 1’de, denetim şirketinin kalite yönetim sistemi hakkında bağımsız bir güvence raporu edinmesi zorunlu tutulmamakta, ancak bunu yapması da yasaklanmamaktadır.
Zamanında ve Uygun Adımlar Atılması ve İletişim (Bkz.: 55 inci paragraf)
A196. Kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilerin 54(b) veya 54(c) paragraflarında belirtilen sonuçlardan birine ulaşması durumunda, denetim şirketi aşağıdakiler dâhil olmak üzere zamanında ve uygun adımlar atar:
• Daha fazla kaynak tahsis etme veya daha fazla rehberlik geliştirme yoluyla denetimlerin yürütülmesini desteklemek için önlem almak ve tespit edilen eksiklikler düzeltilene kadar denetim şirketi tarafından hazırlanan raporların içinde bulunulan şartlara uygun olduğunu teyit etmek ve bu önlemleri denetim ekiplerine bildirmek ve
• Hukuki danışmanlık almak.
A197. Bazı durumlarda denetim şirketi, şirketin icrâî nitelikte olmayan gözetimini üstlenen bağımsız bir yönetim organına sahip olabilir. Bu tür durumlarda iletişim, bağımsız yönetim organını bilgilendirmeyi de içerebilir.
A198. Denetim şirketinin kalite yönetim sisteminin değerlendirilmesi hakkında denetim şirketi dışındaki taraflara bilgi vermesinin uygun olabileceği durumlara ilişkin örnekler
• Denetim şirketinin bir denetim ağına dâhil olması.
• Denetim ağma dâhil diğer şirketlerin, örneğin bir topluluk denetiminde, denetim şirketi tarafından yapılan çalışmaları kullanması.
• Denetim şirketi tarafından düzenlenen bir raporun, kalite yönetim sistemine aykırı hareket edilmesinden dolayı uygun olmadığının şirket tarafından tespit edilmesi durumunda, işletme yönetiminin veya üst yönetiminden sorumlu olanların bilgilendirilmesine ihtiyaç duyulması.
• Mevzuatla, denetim şirketinin düzenleme ve denetleme yetkisini haiz olan bir kurum veya kuruluşla iletişime geçmesinin zorunlu tutulması.
Performans Değerlendirmeleri (Bkz.: 56 ncı paragraf)
A199. Periyodik performans değerlendirmeleri hesap verebilirliği artırır. Bir kişinin performansını değerlendirirken denetim şirketi aşağıdakileri dikkate alabilir:
• Denetim şirketinin kalite yönetim sistemine ilişkin izleme faaliyetleri neticesinde söz konusu kişinin sorumluluğuyla ilgili olarak ulaşılan sonuçlar. Bazı durumlarda denetim şirketi, söz konusu kişi için hedefler belirleyebilir ve bu hedeflere göre şirketin izleme faaliyetlerinin sonuçlarını ölçebilir.
• Kişinin sorumluluğuyla ilgili tespit edilen eksikliklere karşılık olarak kişi tarafından atılan adımlar ve bu tür adımların zamanlaması ve etkinliği.
Denetim şirketinin performans değerlendirmelerini nasıl yapacağına ilişkin ölçeklenebilirlik örnekleri
• Karmaşıklık düzeyi düşük olan bir denetim şirketi, değerlendirmeyi yapmak üzere bir hizmet sağlayıcıyı görevlendirebilir veya şirketin izleme faaliyetlerinin sonuçları, kişinin performansının bir göstergesi sayılabilir.
• Karmaşıklık düzeyi yüksek olan bir denetim şirketinde ise, performans değerlendirmeleri; şirketin yönetim organının icrâî nitelikte olmayan bağımsız bir üyesi veya şirketin yönetim organı tarafından gözetimi yapılan özel bir komite tarafından yapılabilir.
A200. Olumlu performans değerlendirmeleri, kişinin kaliteye olan bağlılığına odaklanan ve hesap verme yükümlülüğünü güçlendiren ödül, terfi ve diğer teşvikler yoluyla ödüllendirilebilir. Öte yandan, denetim şirketi, kalite hedeflerine ulaşmasını etkileyebilecek olumsuz bir performans değerlendirmesini ele almak için düzeltici adımlar atabilir.
Kamu Sektörüne Özgü Hususlar
A201. Kamu sektörü söz konusu olması hâlinde, kişilerin atanma şekli göz önünde bulundurulduğunda, kalite yönetim sistemi için nihai sorumluluk ve hesap verme yükümlülüğü verilen kişi veya kişilerin performans değerlendirmesini yapmak ya da performans değerlendirme sonuçlarını ele almak için adım atmak mümkün olmayabilir. Bununla birlikte, yine de kalite yönetim sisteminin bazı yönlerinin işleyişi için sorumluluk verilen denetim şirketindeki diğer kişiler için performans değerlendirmeleri yapılabilir.
Belgelendirme (Bkz.: 57-59 uncu paragraflar)
A202. Çalışma kâğıtları, denetim şirketinin KYS 1’in yanı sıra mevzuat veya etik hükümlere uygunluk sağladığına dair kanıt sağlar. Ayrıca, personel ve denetim ekiplerini eğitmek, kurumsal bilginin korunmasını sağlamak ve denetim şirketi tarafından kalite yönetim sistemi hakkında alınan kararların dayanağına ilişkin bir tarihçe sağlamak açısından faydalı olabilir. Denetim şirketinin, kalite yönetim sistemi hakkında dikkate alınan her konuyu veya varılan her yargıyı belgelendirmesi gerekli ve uygulanabilir değildir. Ayrıca, denetim şirketinin KYS l’e uygunluk sağladığı; bilgi ve iletişim unsuru kapsamında dokümanlar veya diğer yazılı materyaller ya da kalite yönetim sisteminin unsurlarına dâhil olan BT uygulamaları aracılığıyla kanıtlanabilir.
A203. Çalışma kâğıtları; resmî yazılı kılavuzlar, kontrol listeleri ve formlar şeklinde olabilir, gayri resmî olarak belgelendirilebilir (örneğin, e-posta iletişimi veya web sitelerindeki ilanlar) veya BT uygulamalarında ya da diğer dijital formlarda (örneğin, veri tabanlarında) tutulabilir. Çalışma kâğıtlarının ne sıklıkla güncellendiği dâhil olmak üzere, denetim şirketinin çalışma kâğıtlarının şekli, içeriği ve kapsamı hakkındaki yargılarını etkileyebilecek faktörler aşağıdakileri içerebilir:
• Denetim şirketinin büyüklüğü ve ofis sayısı,
• Denetim şirketi uygulamalarının ve kurumsal yapısının niteliği ve karmaşıklığı,
• Denetim şirketinin yürüttüğü denetimlerin niteliği ve denetimlerini yürüttüğü işletmelerin niteliği,
• Belgelenen hususun niteliği ve karmaşıklığı (örneğin, söz konusu hususun kalite yönetim sisteminin değişen bir yönüyle ilgili olup olmadığı veya daha yüksek bir kalite riski içeren bir alanla ilgili olup olmadığı) ve hususla ilgili varılan yargıların karmaşıklığı ve
• Kalite yönetim sistemindeki değişikliklerin sıklığı ve kapsamı.
Karmaşıklık düzeyi düşük olan bir denetim şirketinde, gayri resmî iletişim yöntemleri etkin olabileceğinden, iletilen konuları destekleyen çalışma kâğıtlarına sahip olmak gerekli olmayabilir. Bununla birlikte, karmaşıklık düzeyi düşük olan denetim şirketi, gerçekleştiklerine dair kanıt sağlamak için bu tür iletişimleri belgelendirmenin uygun olduğuna karar verebilir.
A204. Bazı durumlarda, Kurum veya düzenleme ve denetleme yetkisini haiz olan bir kurum veya kuruluş, örneğin, dış teftiş bulgularının bir sonucu olarak, resmî veya gayri resmî olarak belgelendirme hükümleri oluşturabilir. Etik hükümler, belgelendirmeyle ilgili ayrıntılı hükümler içerebilir. Örneğin Etik Kurallar; çıkar çatışmaları, mevzuata aykırılık ve bağımsızlıkla ilgili belirli durumlar dâhil olmak üzere, belirli hususların belgelendirilmesini zorunlu tutar.
A205. Denetim şirketinin, her bir kalite hedefine ilişkin her şart, olay, durum, eylem veya eylemsizliği ya da kalite riskine yol açabilecek her bir risk değerlendirmesini belgelendirmesi gerekmez. Bununla birlikte denetim şirketi; kalite risklerini ve denetim şirketinin kalite risklerine nasıl karşılık verdiğini belgelendirirken, kalite risklerine ilişkin yapılan değerlendirmenin (diğer bir ifadeyle, bir veya birden fazla kalite hedefine ulaşılması üzerindeki etkisine ve gerçekleşmesine ilişkin) gerekçelerini risklere karşı yapılacak işlerin tutarlı bir şekilde uygulanmasını ve işleyişini desteklemek için belgelendirebilir.
A206. Çalışma kâğıtları; denetim ağı, denetim ağma dâhil şirketler veya denetim ağma dâhil diğer yapı veya kuruluşlar tarafından sağlanabilir.
