Certified Internal Auditor (CIA) Part 1 sınavına hazırlanan adaylar için hazırlanan bu deneme seti, sınav formatına ve zorluk seviyesine oldukça yakın sorular içermekte olup, her sorunun detaylı ve öğretici açıklamalarla desteklenmesi sayesinde sadece doğru cevabı bulmayı değil, konunun mantığını kavramayı da hedeflemektedir.
Bir iç denetim yöneticisi (Chief Audit Executive – CAE), şirketin yeni kurulan “Sürdürülebilirlik Raporlaması Komitesi”ne daimi danışman üye olarak atandı. CAE, komitede şirketin karbon ayak izi verilerinin hangi yazılımla takip edileceğine dair teknik tavsiyelerde bulunuyor ve komite kararlarına katılıyor. Bir yıl sonra, Yönetim Kurulu Denetim Komitesi, “Sürdürülebilirlik Raporlaması Süreci”nin bağımsız bir güvence denetiminden geçirilmesini talep ediyor. CAE, bu denetimi kendi departmanındaki en kıdemli müdürüne atamayı planlıyor.
CAE’nin bu planı IIA’nın Uluslararası İç Denetim Mesleki Uygulama Standartları’na göre değerlendirildiğinde aşağıdakilerden hangisi en doğrudur?
A) CAE komitede sadece danışman sıfatıyla bulunduğu, sürecin idari sahibi veya onay mercisi olmadığı ve denetim görevini bizzat yürütmeyip bağımsız bir ekip üyesine devrettiği için bu plan herhangi bir bağımsızlık veya tarafsızlık ihlali yaratmaz, kabul edilebilir bir uygulamadır.
B) CAE’nin komite üyeliği sürecin yönetişimine ve tasarım kararlarına aktif katılım anlamına geldiğinden, bu denetimin aynı departman içinde astına atanması “kendi kendini denetleme” tehdidi doğurur ve bağımsızlık ihlali nedeniyle kabul edilemez.
C) İç denetim fonksiyonel olarak doğrudan Yönetim Kurulu Denetim Komitesine bağlı olduğu ve Denetim Komitesi açıkça bir güvence denetimi talep ettiği için, CAE’nin yapısal bağımsızlığı bu tür bir görevlendirmeye cevaz verir, dolayısıyla plan Standartlara tamamen uygundur.
D) Planın kabul edilebilmesi için CAE’nin yalnızca denetim raporunu imzalamaktan kaçınması ve raporun doğrudan kıdemli müdür tarafından Denetim Komitesine sunulması yeterlidir; bu uygulama “tehditlerin azaltılması” mekanizmasını karşılar.
Bir şirkette İç Denetim Birimi, yıllık risk değerlendirmesi sonucunda “Tedarik Zinciri Kesintisi” riskini “Yüksek Etki – Yüksek Olasılık” olarak belirlemiş ve denetim planına almıştır. Denetim sırasında, Operasyon Direktörü (COO) iç denetçiye şöyle der: “Bu riski biliyorum. Yönetim olarak bu riski kabul ediyoruz çünkü alternatif tedarikçi bulmanın maliyeti, bir kesintiden doğacak zarardan daha yüksek. Sizin bu konuda daha fazla test yapmanıza gerek yok, ben riski yönetiyorum.”
COO’nun bu açıklaması karşısında İç Denetim Birimi’nin IIA Standartları’na en uygun eylemi aşağıdakilerden hangisidir?
A) Risk yönetimi nihai olarak üst yönetimin yetki ve sorumluluğunda olduğundan, COO’nun riski kabul beyanı yeterli bir yönetim aksiyonudur; denetim testleri durdurulmalı, COO’nun yazılı kabulü çalışma kağıtlarına eklenerek denetim kapatılmalıdır.
B) COO’nun risk kabulü, riskin gerçekleşme olasılığını veya etkisini ortadan kaldırmadığı halde denetimin odak noktasını değiştirmiştir; bu nedenle denetim planı revize edilmeli, bu risk denetim kapsamından çıkarılarak kaynaklar başka bir yüksek riskli alana kaydırılmalıdır.
C) COO’nun riski kabul kararı not edilmekle birlikte, iç denetimin görevi riskin kendisini yönetmek değil, risk yönetim sürecinin etkinliğini değerlendirmektir; bu kapsamda COO’nun risk kabul yetkisinin olup olmadığı, risk iştahı ve izleme mekanizmaları denetlenmeye devam edilmelidir.
D) COO’nun iç denetimin çalışmasını engellemeye yönelik bu açıklaması, yönetimin risk gözetim sorumluluğunu ihmal ettiği anlamına gelir; bu nedenle durum derhal Yönetim Kurulu Başkanı’na “Yönetimin Görevi İhmali” başlığıyla raporlanmalıdır.
İç Denetim Yöneticisi (CAE), departmanının Standartlara uygunluğunu değerlendirmek için bir Dış Değerlendirme yaptırmıştır. Değerlendirme sonucu “Standartlara Genel Olarak Uyumlu Değil” çıkmıştır. Sebep olarak, iç denetim faaliyetlerinin sürekli gözetim (ongoing monitoring) ve periyodik iç değerlendirme yapmadığı, yani bir QAIP (Kalite Güvence ve Geliştirme Programı)’nın hiç var olmadığı tespit edilmiştir. CAE, düzeltici eylem planını Üst Yönetime sunmuş ancak Yönetim Kurulu Denetim Komitesine sunmamıştır. CAE gerekçe olarak “Zaten uyumsuzluk raporunu Denetim Komitesi gördü, detaylı aksiyon planı operasyonel bir konudur” demiştir.
Bu durumda CAE, IIA Standartları’nın hangi zorunluluğunu açıkça ihlal etmektedir?
A) Standart 2060, iç denetim yöneticisinin Yönetim Kuruluna periyodik olarak iç denetim faaliyetinin amaç, yetki ve performansı hakkında rapor sunmasını zorunlu kıldığından, CAE bu genel raporlama yükümlülüğünü yerine getirmemiştir.
B) Standart 1320, iç denetim yöneticisinin dış değerlendirme sonuçlarını ve bu sonuçlara ilişkin iyileştirme planlarını hem üst yönetime hem de yönetim kuruluna bildirmesini şart koştuğundan, CAE aksiyon planını Denetim Komitesinden saklayarak bu standardı ihlal etmiştir.
C) Standart 1312, dış değerlendirmelerin en az beş yılda bir yapılmasını ve sonuçlarının Yönetim Kuruluna raporlanmasını gerektirdiğinden, CAE dış değerlendirme yaptırmakla birlikte sonuçları tam olarak paylaşmadığı için bu standarda aykırı davranmıştır.
D) Standart 1000, iç denetim yönetmeliğinde iç denetimin yetki ve sorumluluklarının açıkça tanımlanmasını zorunlu kıldığından, QAIP eksikliği aslında yönetmeliğin güncel olmamasından kaynaklanan bir yetki ihlalidir.
Bir holdingin İç Denetim Yöneticisi (CAE), şirketin son 3 yılda 15 farklı ülkede şube açtığını ve operasyonların karmaşıklaştığını gözlemlemiştir. Yıllık denetim planı hazırlanırken, CAE mevcut kaynaklarla tüm lokasyonları yılda bir kez denetlemenin imkansız olduğunu fark eder. Bunun üzerine bir “Güvence Haritası” oluşturmaya karar verir. Bu haritayı hazırlarken, Hukuk Müşavirliği’nin tüm sözleşmeleri yılda iki kez uygunluk denetiminden geçirdiğini ve Dış Denetim firmasının da yıl sonunda sadece 5 büyük lokasyonun stok sayımına katıldığını tespit eder.
CAE’nin bu durumda yapması gereken en stratejik ve IIA Standartları’na en uygun eylem aşağıdakilerden hangisidir?
A) Kaynak yetersizliğini Yönetim Kurulu Denetim Komitesine yazılı olarak bildirip, mevcut risk değerlendirmesine göre en yüksek risk taşıyan 5 lokasyonu iç denetim kapsamına almak ve diğer lokasyonlar için herhangi bir güvence sağlanamayacağını raporlamak.
B) Dış denetim firmasının stok sayımı yaptığı 5 lokasyonu mükerrer çalışmayı önlemek adına iç denetim planından çıkarmak, Hukuk Müşavirliği’nin denetim yaptığı sözleşme süreçlerine ise güvence zaten sağlandığı için hiç dokunmamak ve iç denetimi kalan alanlara yoğunlaştırmak.
C) Hukuk Müşavirliği ve Dış Denetim tarafından sağlanan güvencenin seviyesini, sıklığını ve güvenilirliğini değerlendirerek, kurumsal risk evrenindeki boşlukları (gap) ve mükerrerlikleri (overlap) tespit edip, bu analize dayalı olarak risk bazlı ve entegre bir denetim planı önermek.
D) İç denetim kaynaklarının yetersizliğinin bir an önce giderilmesi için Yönetim Kurulu’na acil ek bütçe ve personel talebi sunmak; kaynak artışı sağlanana kadar kapsamlı bir denetim yapılamayacağını beyan ederek mevcut planı askıya almak.
İç denetçi Ayşe, şirketin satın alma sürecini denetlemektedir. Denetim sırasında, tüm ihaleleri kazanan “X Tedarikçisi”nin, Ayşe’nin eşinin üzerine kayıtlı bir şirket olduğunu fark eder. Ayşe, eşinden boşanma aşamasındadır, ayrı evlerde yaşamaktadır ve eşinin şirketinden maddi bir fayda sağlamamaktadır. Ayşe, durumu İç Denetim Yöneticisi’ne (CAE) açıklar. CAE, Ayşe’ye aşağıdakilerden hangisini yapmasını söylerse IIA Etik Kuralları ve Standartları’na en uygun hareket etmiş olur?
A) “Boşanma aşamasında olmanız ve maddi bağınızın bulunmaması, IIA Etik Kuralları Madde 2 uyarınca tarafsızlığınıza halel getirmez; denetime devam edebilirsiniz ancak olası algı riskini bertaraf etmek için nihai raporu ben imzalayacağım.”
B) “Bu durum Standart 1130 kapsamında yalnızca fiili değil aynı zamanda görünürdeki tarafsızlığı da zedeler; derhal bu denetimden çekilmeniz ve konunun Denetim Komitesi’ne ‘Çıkar Çatışması Bildirimi’ olarak yazılı şekilde iletilmesi gerekir.”
C) “Satın alma sürecinin diğer alanlarındaki testleri yapmaya devam edebilirsiniz ancak X Tedarikçisi ile ilgili tüm evrak incelemelerini, fiyat analizlerini ve görüşmeleri tamamen bir başka denetçiye devredelim; bu şekilde tarafsızlık tehdidi ortadan kalkar.”
D) “Durumun hassasiyeti nedeniyle satın alma denetimini tamamen durduruyorum; konuyu İnsan Kaynakları ve Hukuk Müşavirliği’ne ileterek eşinizin şirketiyle ilgili tüm iş ilişkilerinin disiplin soruşturması kapsamında incelenmesini talep edeceğim.”
Bir iç denetim ekibi, şirket kredi kartlarının kullanımını denetlerken, Üst Düzey Pazarlama Müdürü’nün iki yıl boyunca her ay düzenli olarak aynı lüks restoranda 2.000 TL’lik yemek harcaması yaptığını ve fişlerin üzerinde “Müşteri Ağırlama – İsimsiz” yazdığını tespit eder. İç denetçi, bu durumun şirketin harcama politikasına aykırı olduğunu (müşteri adı ve şirket zorunluluğu) not eder. Müdüre sorulduğunda, “Bunlar benim normal iş yemeklerim, kimseyi ağırlamadım, fişleri böyle yazdırdım çünkü sistem kabul ediyordu” cevabını alır.
İç denetçinin bu noktada IIA Uygulama Rehberi uyarınca yapması gereken en doğru eylem nedir?
A) Şirket politikasına açıkça aykırılık bulunduğu ve müdürün savunması ikna edici olmadığı için bu durumu doğrudan “Suistimal (Fraud)” olarak sınıflandırıp, Standart 2060uyarınca Yönetim Kurulu Denetim Komitesi’ne acil ve sözlü raporlama yapmak.
B) Harcama tutarlarının müdürün unvanı ve piyasa koşulları göz önüne alındığında makul seviyede olduğunu değerlendirerek, konuyu sadece “Politika İhlali (Uyumsuzluk)” kategorisinde raporlamak ve gelecekte fişlere isim yazılması yönünde düzeltici eylem önermek.
C) Mevcut bulguların suistimal için bir “kırmızı bayrak” teşkil ettiğini kabul etmekle birlikte, bir suç isnadında bulunmadan önce makul bir kesinlik elde etmek için ek prosedürler (restoran çalışanlarıyla görüşme, müdürün takvim kayıtlarıyla eşleştirme, benzer dönem trend analizi) uygulamak.
D) Konu hassas bir harcama suistimali şüphesi içerdiğinden, iç denetim biriminin tarafsızlığını korumak adına dosyayı derhal Hukuk Müşavirliği’ne ve İnsan Kaynakları’na devretmek ve kendi denetim dosyasını bu aşamada kapatmak.
İç denetim, yeni kurumsal kaynak planlama (ERP) yazılımına geçiş projesini denetlemektedir. Denetim başladıktan iki hafta sonra, Finans Direktörü (CFO) iç denetim ekibine gelir ve şöyle der: “Proje danışmanlarımız, sizin sistemin güvenlik açıklarına yönelik sızma testlerinizin yazılımın lisans garantisini bozacağını söyledi. Bu nedenle, modülün güvenlik kısmını denetlemenize izin veremem.”
Bu durum, IIA Standartları’na göre bir Denetim Kapsamının Sınırlandırılması olarak değerlendirildiğinde, CAE’nin sorumluluğu nedir?
A) CFO’nun operasyonel yetki alanına giren teknik bir karar olduğu için bu sınırlamaya saygı duymak ve denetimin kapsamını sadece finansal modüller ile proje yönetim ofisi süreçleriyle sınırlandırmak.
B) Sınırlamanın teknik gerekçesini ve makuliyetini araştırmak, eğer sınırlama iç denetimin güvence sağlama yeteneğini önemli ölçüde kısıtlıyor ve haklı bir mazerete dayanmıyorsa, bu durumu ve denetim üzerindeki potansiyel etkisini Yönetim Kurulu Denetim Komitesi’ne yazılı olarak bildirmek.
C) Yazılım danışmanı ve proje yöneticisi ile doğrudan iletişime geçerek, sızma testi yapılmaksızın da sistem güvenliği hakkında makul güvence sağlayabilecek alternatif bir denetim metodolojisi (örneğin konfigürasyon denetimi veya log analizi) üzerinde anlaşmaya varmak.
D) Denetimin kapsam sınırlaması nedeniyle denetlenemeyen alanlar bulunduğunu belirterek, dış denetim raporlarına benzer şekilde iç denetim raporunda “Şartlı Görüş (Qualified Opinion)” sunmak ve denetimi mevcut haliyle tamamlamak.
Bir iç denetçi, 50.000 adet seyahat harcama formunu incelemektedir. Denetçi, örnekleme yazılımı kullanarak %95 güvenilirlik seviyesinde istatistiksel bir örneklem seçer ve sadece 4 adet hatalı form bulur. Denetçi, bu hatayı ana kütleye yansıtarak toplam mali etkinin 8.000 TL olduğunu ve bunun önemsiz olduğu sonucuna varır. Ancak denetçi, aynı veri tabanı üzerinde ACL/IDEA ile bir Benford Kanunu analizi çalıştırdığında, formlarda sürekli olarak “99,99 TL” ve “49,99 TL” gibi onay limitlerinin hemen altında kalan tutarların anormal derecede yüksek frekansta olduğunu fark eder.
Bu durumda iç denetçinin ilk bulgusu (4 hata) ile ilgili aşağıdaki ifadelerden hangisi en doğrudur?
A) İstatistiksel örnekleme, bilimsel yöntemlere ve olasılık teorisine dayandığı için ana kütle hakkında en güvenilir sonucu verir; bu nedenle Benford Kanunu gibi yardımcı analitik prosedürlerin sonuçları göz ardı edilmeli ve sürecin mali etkisi önemsiz kabul edilmelidir.
B) Benford Kanunu analizi, örneklemin ana kütleyi temsil kabiliyetinin olmadığını ve denetçinin yanlış bir örneklem yöntemi seçtiğini kanıtladığı için, denetim prosedürleri geçersiz sayılmalı ve örneklem yeniden tasarlanarak denetim baştan yapılmalıdır.
C) İstatistiksel örnekleme, mali hata oranı ve parasal önemlilik hakkında geçerli bir tahmin sunmuş olabilir ancak Benford Kanunu sonuçları, onay limitlerinin aşılmasını önlemek için yapılan kasıtlı işlem bölme (split) veya kontrol atlatma (override) gibi mali olmayan sistematik bir davranışsal riskin varlığına işaret eder.
D) Denetçi, Benford Kanunu sonuçlarının ürettiği anomali sinyallerine dayanarak, söz konusu harcamaları gerçekleştiren tüm çalışanları doğrudan suistimal girişiminde bulunmakla suçlamalı ve dosyayı derhal Hukuk Müşavirliği’ne intikal ettirmelidir.
Yönetim Kurulu, şirketin girdiği yeni bir pazardaki satış sürecini denetlemesi için iç denetimi görevlendirir. Denetim sırasında Satış Direktörü iç denetçiye şu teklifi yapar: “Siz bu süreçleri çok iyi biliyorsunuz. Raporu yazdıktan sonra, bulduğunuz aksaklıkları gidermek için bizimle çalışın. Yeni satış prosedürlerini birlikte yazalım.”
İç denetim yöneticisinin bu teklife cevabı ne olmalıdır?
A) Teklif kabul edilmelidir; çünkü IIA Standart 2100 uyarınca iç denetim, yönetime danışmanlık hizmeti sunarak kuruma değer katmakla yükümlüdür ve prosedür yazımı bu danışmanlık kapsamında değerlendirilebilir.
B) Raporun yayınlanması ve bulguların resmiyet kazanmasının ardından danışmanlık görevi kabul edilebilir; çünkü güvence görevi sona erdiğinde, aynı süreçle ilgili gelecekte oluşabilecek bağımsızlık ve tarafsızlık tehditleri de otomatik olarak ortadan kalkar.
C) Teklif reddedilmelidir; zira prosedür yazmak, iç kontrol sisteminin tasarımına dahil olmak anlamına gelen bir yönetim sorumluluğudur ve bu sorumluluğun iç denetim tarafından üstlenilmesi, gelecekte aynı sürecin denetiminde “kendi kendini denetleme” tehdidi oluşturarak bağımsızlığı kalıcı olarak zedeler.
D) Teklif kabul edilmeli ancak iç denetçiler sadece sözlü tavsiyelerde bulunmalı ve prosedürlerin fiilen yazılması işini Satış Direktörü’nün ekibine bırakmalıdır; bu şekilde “danışmanlık” ile “yönetim sorumluluğu üstlenme” arasındaki çizgi korunmuş olur.
Bir iç denetçi, şirketin Ar-Ge merkezinde bir denetim yürütmektedir. Denetim programı, “Proje Zaman Çizelgelerinin Doğruluğu” testini içermektedir. Ar-Ge Direktörü, iç denetçinin e-posta yazışmalarını ve anlık mesajlaşma kayıtlarını (Slack/Teams) inceleme talebini reddeder. Gerekçe olarak, “Bu yazışmalar fikri mülkiyet sırları içerir ve şirket politikası gereği sadece Hukuk Departmanı’nın erişimine açıktır.” der.
İç denetçinin bu durumda dayanması gereken en güçlü ve meşru yetki kaynağı aşağıdakilerden hangisidir?
A) İç Denetim Yöneticisi’nin (CAE) denetimin kapsamını belirleme ve gerektiğinde tüm engelleri kaldırma konusundaki sözlü talimatı ve hiyerarşik pozisyonu.
B) Yönetim Kurulu tarafından onaylanmış Şirket İç Denetim Yönetmeliğinde yazılı olan “Kayıtlara, personele ve fiziksel varlıklara tam, serbest ve sınırsız erişim hakkı” maddesi.
C) Uluslararası İç Denetim Mesleki Uygulama Standartları’nın (IIA) iç denetçilere denetim konusuyla ilgili tüm bilgi ve belgelere erişim yetkisi tanıyan ilgili maddeleri.
D) Yönetim Kurulu Başkanı’nın veya Denetim Komitesi Başkanı’nın bu spesifik denetim için ayrıca ve yazılı olarak verdiği e-posta onayı.
Bir şirkette İç Denetim Birimi, Satın Alma Süreci denetimi sırasında aşağıdaki tespitleri yapmıştır:
Satın alma talepleri için yetki limitleri yazılı olarak belirlenmiştir.
Finans departmanı, bütçe sapmalarını aylık olarak raporlamakta ancak bu raporları kimse incelememektedir.
İşe yeni alınan satın almacılara 2 saatlik bir oryantasyon videosu izletilmekte, ancak etik kurallar ve yolsuzluk riskleri hakkında spesifik bir eğitim verilmemektedir.
Bu tespitler sırasıyla COSO İç Kontrol Bütünleşik Çerçevesi’nin hangi bileşenlerindeki eksikliklere işaret etmektedir?
A) 1. tespit yönetimin kontrol bilincini ve etik değerlere bağlılığını yansıttığı için Kontrol Ortamı, 2. tespit risklerin tanımlanmasıyla ilgili olduğu için Risk Değerlendirme, 3. tespit ise politika ve prosedürlerin uygulanmasına dair olduğu için Kontrol Faaliyetleri bileşenine işaret eder.
B) 1. tespit yetkilendirme ve onay mekanizmalarına dair somut bir politika olduğu için Kontrol Faaliyetleri, 2. tespit mevcut kontrollerin etkinliğinin gözden geçirilmemesi anlamına geldiği için İzleme, 3. tespit ise personelin etik değerlerle donatılmaması nedeniyle Kontrol Ortamı bileşenindeki eksikliğe işaret eder.
C) 1. tespit yazılı kuralların varlığı nedeniyle Kontrol Faaliyetleri, 2. tespit raporların üretilmesi ancak iletişiminin sağlanmaması nedeniyle Bilgi ve İletişim, 3. tespit ise yeni işe alınanların risk farkındalığının düşük olması nedeniyle Risk Değerlendirme bileşenine işaret eder.
D) 1. tespit limitlerin yazılı olarak duyurulması nedeniyle Bilgi ve İletişim, 2. tespit raporların okunmaması nedeniyle İzleme, 3. tespit ise çalışanların yetkinlik eksikliği nedeniyle Kontrol Ortamı bileşenine işaret eder.
Bir iç denetçi, depoda sayım yapılan bir malzemenin miktarının kayıtlarla uyuşmadığını tespit eder. Aşağıdaki kanıtlardan hangisi tek başına en güvenilir ve ikna edici kanıt olarak kabul edilir?
A) Depo Şefi’nin “Malzemeler bu sabah üretime verildi, sistem düşmemiş” şeklindeki imzalı ve yazılı beyanı; zira sürecin doğrudan sorumlusundan alınan yazılı teyit, iç denetimde yeterli kanıt standardını karşılar.
B) İç denetçinin depo çıkış kapısında bizzat bekleyerek malzeme çıkışlarını gözlemlemesi sonucu tuttuğu fiziki gözlem tutanağı; çünkü doğrudan kişisel gözlem, belgeye dayalı tüm kanıtlardan üstündür.
C) Denetçinin, depo şefinin kurumsal e-posta hesabından elde ettiği ve şefin muhasebe departmanına “Fişi sonra işleyelim, şimdilik kaydı düşme” talimatını içeren e-posta çıktısı; bu belge, hatanın bilinçli olarak yapıldığını gösteren yazılı bir itiraf niteliğindedir.
D) Denetçinin, malzemenin depodan çıkış anına ait kamera kayıtları ile aynı zaman diliminde üretim bandındaki sensörlerden alınan üretim başlangıç verilerini karşılaştırarak elde ettiği ve iki bağımsız kaynaktan doğrulanmış analitik kanıt.
Bir iç denetim müdürü, yıl sonu envanter sayım sürecini denetlemiş ve ciddi kontrol zafiyetleri bulmuştur. Müdür, raporun sonuç bölümüne şu ifadeyi yazmayı düşünmektedir: “Genel olarak, incelenen dönem itibarıyla envanter yönetim süreci, maddi hata riskini makul seviyeye indirecek şekilde etkin olarak işlemektedir.”
Bu ifade ile ilgili aşağıdaki değerlendirmelerden hangisi IIA Standartları’na göre en doğrudur?
A) İfade hatalıdır çünkü IIA Standart 2410 uyarınca iç denetim, dış denetimde olduğu gibi “olumlu görüş” veya “şartlı görüş” sunma yetkisine sahip değildir; bu tür bir genel değerlendirme dış denetimin münhasır yetki alanına girer.
B) İfade hatalıdır çünkü raporun bulgular bölümünde ciddi kontrol zafiyetleri tespit edildiği belirtilmesine rağmen sonuç bölümünde sürecin etkin olduğuna dair olumlu bir görüş sunulması, rapor içi mantıksal tutarsızlık yaratarak okuyucuyu yanıltır ve raporun güvenilirliğini zedeler.
C) İfade doğrudur çünkü IIA Standartları, iç denetimin yürüttüğü güvence görevlerinin sonucunda, tespit edilen zafiyetlerin genel resmi değiştirmediği durumlarda, denetlenen faaliyet hakkında genel bir değerlendirme yapmasına izin verir.
D) İfade hatalıdır çünkü iç denetim asla “makul güvence” ifadesini kullanamaz; iç denetimin sağladığı güvence seviyesi “mutlak güvence” olarak tanımlanır ve bu kavramın raporda doğru şekilde yer alması gerekir.
İç denetim, BT şifre politikalarının zayıf olduğuna dair Yüksek Riskli bir bulgu raporlamış ve yönetim de düzeltici eylem planını (aksiyon tarihi ile birlikte) kabul etmiştir. Ancak aksiyon tarihinden 3 ay sonra yapılan takip denetiminde, BT Müdürü’nün hiçbir değişiklik yapmadığı ve “Kaynak yok, öncelik veremedim” dediği tespit edilmiştir.
İç Denetim Yöneticisi’nin (CAE) bu durumda yapması gereken en uygun eylem aşağıdakilerden hangisidir?
A) Bulgu takip sisteminde ilgili maddeyi “Kapatılamamış – Gecikmeli” statüsüne alıp, BT Müdürü’ne yeni bir makul süre tanıyarak bir sonraki çeyrek dönemde yeniden takip etmek.
B) BT Müdürü’nün sorumluluğunu hatırlatmak ve aksiyonun bir an önce tamamlanmasını sağlamak üzere, İç Denetim Yöneticisi sıfatıyla resmi bir uyarı yazısı göndermek ve bu yazıyı BT Müdürü’nün üst yöneticisine bilgi olarak iletmek.
C) Yönetimin üzerinde mutabık kalınan düzeltici eylem planını uygulamadığını ve bu nedenle yüksek seviyeli BT güvenlik riskinin devam ettiğini, çözüm için gerekli aksiyonun alınması talebiyle Yönetim Kurulu Denetim Komitesi’ne yazılı olarak raporlamak.
D) Denetim planında değişikliğe giderek, kaynak yetersizliği nedeniyle ertelenen BT şifre politikaları konusunu bir sonraki yılın denetim planına tam kapsamlı yeni bir denetim olarak eklemek.
İç Denetim Birimi, teknik bilgi eksikliği nedeniyle bir siber güvenlik denetimini dışarıdan bir danışmanlık firmasına yaptırmıştır. Dış firma, raporunda şirketin güvenlik duvarı konfigürasyonunun “yeterli” olduğunu belirtmiştir. 6 ay sonra şirket bir fidye yazılımı saldırısına uğrar ve yapılan incelemede dış firmanın raporunda belirtilenin aksine güvenlik duvarında kritik bir açık olduğu ortaya çıkar.
Bu durumda nihai mesleki sorumluluk kime aittir?
A) Sorumluluk münhasıran Dış Hizmet Sağlayıcı firmaya aittir; çünkü iç denetim birimi bu alanda teknik yetkinliğe sahip olmadığını beyan ederek denetimi devretmiş ve firmanın verdiği hatalı güvenceye güvenmiştir.
B) Sorumluluk sadece İç Denetim Yöneticisi’ne (CAE) aittir; çünkü hizmet alım sözleşmesini imzalayan ve dış kaynağı seçen taraf olarak, çalışmanın sonuçlarından bağımsız olarak tüm mesleki sorumluluğu üstlenmiş olur.
C) Nihai sorumluluk İç Denetim Yöneticisi’ne (CAE) aittir; zira IIA Standart 2050 ve 2340 uyarınca, dış hizmet sağlayıcı kullanılsa dahi iç denetim faaliyetinin Standartlara uygunluğundan CAE sorumlu olup, dış ekibin çalışmasını yeterince gözetmek (supervise) ve sonuçlarına güvenmeden önce makul özeni göstermek zorundadır.
D) Sorumluluk Yönetim Kurulu’na aittir; çünkü iç denetim bütçesini ve yıllık denetim planını onaylayan organ olarak, dış kaynak kullanımına ilişkin riskleri de üstlenmiş sayılır.
Bir bankanın Yönetim Kurulu, strateji toplantısında aşağıdaki tanımları yapmıştır:
P: Bankanın yasal sermaye yeterlilik rasyosunu bozmadan kaldırabileceği maksimum batık kredi tutarı 500 Milyon TL’dir.
R: Banka, tek bir müşteriye açacağı kredi limitini, toplam kredi portföyünün %5’i ile sınırlamıştır.
S: Yönetim Kurulu, yıllık net kârın %2’sine kadar olan operasyonel kayıpları “işin doğal akışı” olarak kabul etmektedir.
Bu tanımların doğru eşleştirmesi aşağıdakilerden hangisidir?
A) P: Risk Kapasitesi, R: Risk İştahı, S: Risk Toleransı
B) P: Risk İştahı, R: Risk Toleransı, S: Risk Kapasitesi
C) P: Risk Kapasitesi, R: Risk Toleransı, S: Risk İştahı
D) P: Risk Toleransı, R: Risk Kapasitesi, S: Risk İştahı
Bir iç denetçi, denetim sırasında şirketin çevre mevzuatına aykırı olarak zehirli atıkları dereye boşalttığını ve bu durumun belgelerini tespit eder. Denetçi, durumu CAE’ye ve Hukuk Müşavirliği’ne raporlar. Ancak şirket yönetimi konuyu örtbas etmeye karar verir. Denetçi, vicdani nedenlerle durumu Çevre Koruma Kurumu’na isimsiz olarak ihbar etmeyi düşünmektedir.
IIA Etik Kuralları’nın Gizlilik ilkesi açısından aşağıdakilerden hangisi en doğrudur?
A) İç denetçi IIA Etik Kuralları Madde 3 uyarınca mutlak gizlilikle bağlıdır; yasa dışı eylemler söz konusu olsa dahi denetim sırasında elde ettiği hiçbir bilgiyi hiçbir koşulda şirket dışına çıkaramaz, aksi halde meslekten ihraç edilir.
B) İç denetçi, kamu yararını ve çevre sağlığını tehdit eden bu durumu isimsiz olarak yetkili mercilere ihbar edebilir; çünkü IIA Etik Kuralları, kamu menfaatinin korunması gereken istisnai durumlarda gizlilik ilkesinin esnetilebileceğini açıkça hükme bağlamıştır.
C) İç denetçi keyfi olarak ihbarda bulunamaz; ancak IIA Etik Kuralları Madde 3.2, iç denetçinin yasal veya mesleki bir zorunluluk olması halinde elde ettiği bilgileri açıklayabileceğini belirtir. Dolayısıyla ancak ilgili mevzuatın ihbarı zorunlu kılması durumunda ve hukuki danışmanlık aldıktan sonra ifşa mümkündür.
D) İç denetçi, şirket yönetimi suçu örtbas etmeye çalıştığı için etik sorumluluğu gereği durumu derhal medyaya veya sosyal medya platformlarına sızdırarak kamuoyu baskısı oluşturmalıdır.
Şirket, 6 ay sürecek bir dijital dönüşüm projesine başlamıştır. Geleneksel yöntemde iç denetim, proje bittikten sonra “Uygulama Sonrası Değerlendirme” yapmayı planlamaktadır. Ancak CAE, bunun yerine her 2 haftada bir sprint toplantılarına gözlemci olarak katılıp, anlık risk değerlendirmeleri yaparak yönetime sözlü geri bildirim vermeye karar verir.
CAE’nin bu yeni yaklaşımı aşağıdaki kavramlardan hangisi ile en iyi tanımlanır?
A) Sürekli Denetim : İç denetimin teknolojik araçlar kullanarak işlemleri %100 test etmesi ve anlık güvence sağlamasıdır.
B) Sürekli İzleme : Yönetimin, iç kontrollerin etkinliğini gerçek zamanlı olarak takip etmek için kullandığı dashboard ve erken uyarı sistemleridir.
C) Entegre Denetim: Finansal tablo denetimi ile operasyonel süreç denetiminin eş zamanlı ve birbirini tamamlayacak şekilde yürütülmesidir.
D) Çevik Denetim: Denetim faaliyetlerinin Scrum/Kanban gibi iteratif metodolojilerle, küçük parçalar halinde ve proje yaşam döngüsü boyunca sürekli geri bildirim sağlayarak yürütülmesidir.
Bir iç denetçi, faturaların doğruluğunu test etmektedir. Ana kütlede aslında %8 hata oranı vardır ve bu oran şirketin kabul edilebilir limitinin (%5) üzerindedir. Denetçi, örneklem seçimi sırasında şans eseri sadece hatasız faturaları seçmiş ve “Hata oranı %0, kontrol etkin” sonucuna varmıştır.
Bu durum, istatistiksel örnekleme literatüründe hangi hata türüne örnektir?
A) Tip I Hata (Alfa Riski) – Yanlış Ret: Ana kütlenin aslında iyi olduğu bir durumda, örneklem hatası nedeniyle ana kütlenin kötü olduğuna karar verilmesidir; denetim verimliliğini düşürür.
B) Tip II Hata (Beta Riski) – Yanlış Kabul: Ana kütlenin aslında kötü olduğu bir durumda, örneklem hatası nedeniyle ana kütlenin iyi olduğuna karar verilmesidir; denetim etkinliğini düşürür ve yanıltıcı güvence verilmesine yol açar.
C) Örneklem Dışı Hata : Denetçinin yanlış denetim prosedürü seçmesi, hatalı yorumlama yapması veya örneklem sonuçlarını yanlış değerlendirmesi gibi insan kaynaklı sistematik hatalardır.
D) Kabul Edilebilir Sapma Oranı : Denetçinin denetimin başında belirlediği, ana kütlede bulunmasına razı olabileceği maksimum hata oranı parametresidir.
Halka açık bir şirkette Yönetim Kurulu, Denetim Komitesi’ne yeni bir üye atayacaktır. Adaylardan biri, şirketin emekli olmuş eski CFO’sudur. Emekli olalı 2 yıl olmuştur, maaş almamaktadır ve şirkette hissesi yoktur.
Bu adayın Denetim Komitesi üyeliği için IIA ve SPK (Sermaye Piyasası Kurulu) ruhuna uygun en doğru değerlendirme nedir?
A) Adayın bordrolu çalışan statüsü sona erdiği ve şirkette herhangi bir maddi menfaati kalmadığı için, üzerinden 2 yıl geçmiş olması bağımsızlık kriterlerini tam olarak karşılar ve Denetim Komitesi’nde görev almasında hiçbir sakınca yoktur.
B) Aday, 2 yıl öncesine kadar şirketin finansal raporlama ve iç kontrol sistemlerinin baş sorumlusu olduğu için, aradan geçen süreye rağmen “kendi kendini denetleme” tehdidi hala canlıdır; bu nedenle adayın bağımsız olduğu söylenemez ve üyeliği uygun değildir.
C) Sermaye piyasası düzenlemeleri ve uluslararası iyi uygulamalar, üst düzey yöneticilerin Denetim Komitesi’ne atanabilmesi için 1 yıllık bir “soğuma” süresini yeterli görmektedir; dolayısıyla aday 2 yıl beklemiş olduğu için bağımsızlık kriterlerini sağlamaktadır.
D) Adayın bağımsızlığı, şekli kriterlerden ziyade Genel Kurul’da pay sahiplerinin takdirine bağlıdır; Genel Kurul’da yapılacak oylamada kabul edilmesi halinde, adayın geçmişteki CFO görevi bağımsızlığına gölge düşürmez.
