Riskin Erken Saptanması Sistemi ve Komitesi Hakkında Denetçi Raporuna İlişkin Esaslar 18 Mart 2014 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Esasların amacı; yönetim kurulunun şirketi tehdit eden veya edebilecek nitelikteki riskleri zamanında teşhis edebilmek ve risk yönetimini gerçekleştirebilmek için 6102 sayılı Türk Ticaret Kanununun (TTK) 378 inci maddesinde öngörülen sistemi ve yetkili komiteyi kurup kurmadığını, böyle bir sistem varsa bunun yapısı ile komitenin uygulamalarını açıklayan ve değerlendiren denetçi raporunun esaslarını belirlemektir.
Bu Esaslar, 1/1/2013 tarihinde ve sonrasında başlayacak hesap dönemlerinden itibaren uygulanmak üzere yayımı tarihinde yürürlüğe girmiştir.
Denetçinin Amacı
Denetçinin amacı, TTK’nın 378 inci maddesi uyarınca riskin erken saptanması sistemi ve komitesini kurması gereken şirketlerde, söz konusu sistem ve komitenin anılan madde çerçevesinde işleyip işlemediği hakkında denetim yapmaktır.
Riskin erken saptanması ve yönetimi sistemine yönelik bir değerlendirmenin doğasından kaynaklanan kısıtlamalar sebebiyle denetçinin, yaptığı denetim çerçevesinde, sistem tarafından bütün risklerin doğru bir şekilde tespit edilip edilmediğini ortaya koyma imkânı bulunmamaktadır.
Denetçi denetimini, TTK’ya, Kurum tarafından yayımlanan bu Esaslara ve Bağımsız Denetçiler için Etik Kurallara uygun olarak yürütür.
Denetimin Planlanması
Denetçi, denetimi etkin olarak yürütecek şekilde planlar. Plan, denetimin kapsamına, zamanlamasına ve yürütülmesine yönelik genel bir strateji geliştirilmesini ve uygulanacak kanıt toplama prosedürlerinin yapısı, zamanlaması ve kapsamına ilişkin detaylı bir yaklaşım oluşturulmasını içerir.
Denetimin planlanması kapsamında, iç kontrol de dâhil olmak üzere denetlenen şirket ile şirketin yasal ve ekonomik çevresi hakkında denetçi tarafından edinilen bilgiler, yönetim tarafından gerçekleştirilen risk saptama faaliyetlerinin değerlendirilmesi açısından büyük önem taşır ve denetimin planlanması aşamasında ön şart niteliğindedir.
Denetimin planlanmasının ön şartlarından bir diğeri, denetlenen şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin denetçi tarafından yeterli şekilde anlaşılmasıdır. Bu ön şart, yönetimin riski kontrol etmek için geliştirdiği temel yaklaşım ile yönetim ve ilgili personelin risk farkındalığı hakkında denetçi tarafından genel bir bakış açısı edinilmesini gerektirir. Personelin sistem kapsamındaki görevlerini anlamasına yardımcı olmak ve tüm yetki seviyelerindeki riski teşhis etmenin, analiz etmenin ve bu konuda iletişim kurmanın önemini açığa kavuşturmak için yönetim tarafından gerçekleştirilen risk saptama faaliyetleri değerlendirilir. Risk farkındalığını değerlendirmek için denetçi, şirketin iç kontrolünü incelerken edindiği bulguları da dikkate alabilir.
Denetçi, denetlenen şirket tarafından gerçekleştirilen risk saptama faaliyetlerini belgelendiren kayıtların mevcut olup olmadığını ve söz konusu kayıtların denetimin amaçları açısından uygun olup olmadığını değerlendirir. Kayıtların bulunmaması veya yetersiz olması durumunda denetçi, denetim prosedürlerini uygulamaya başlamadan önce söz konusu kayıtları hazırlaması için şirkete süre tanır.
Denetimin Yürütülmesi
Denetlenen şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin belirlenmesi
Denetimin yürütülmesi kapsamında denetçi ilk olarak, açık bir biçimde yanlış olmadıkça, TTK’nın 378 inci maddesi uyarınca gerçekleştirilen risk saptama faaliyetlerine ilişkin şirket tarafından hazırlanan kayıtlara dayanarak, söz konusu faaliyetleri belirler.
Denetim prosedürlerinin başlangıcında yeterli belgelendirmenin bulunmadığının belirlenmesi durumunda denetçi, şirket tarafından gerçekleştirilen faaliyetleri gözlem ve sorgulama gibi prosedürler yoluyla kaydeder.
Denetlenen şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin yeterliliğinin değerlendirilmesi
Denetçi, şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin TTK’nın 378 inci maddesindeki gereklilikleri karşılamak için yeterli olup olmadığını değerlendirir. Bu kapsamda, şirketin varlığını, gelişmesini ve sürekliliğini tehdit edebilecek muhtemel risklerin zamanında teşhisi, analizi ve ilgili birimlere bildirimlerin (komite tarafından yönetim kuruluna yapılan raporlamalar dâhil), yönetimin bu risklere uygun bir karşılık vermesine imkân sağlayacak şekilde zamanında yapılıp yapılmadığı belirlenir. Ayrıca denetçi; komitenin, risk saptama faaliyetlerine uygunluğu sağlamaya yönelik izleme fonksiyonunu icra edip etmediğini de değerlendirir.
Denetçi bu değerlendirme çerçevesinde öncelikle, finansal tabloların bağımsız denetimi ve yaptığı bu denetim sırasında edindiği bilgilere dayanarak farkına vardığı önemli risklerin sistem tarafından teşhis edilip edilmediğini dikkate alır. Değerlendirme aynı zamanda, teşhis edilmiş risklerle bunlara karşılık olarak önerilen çarelerin komite tarafından zamanında raporlanıp raporlanmadığını da içerir.
Şirket tarafından gerçekleştirilen risk saptama faaliyetleri, denetlenen yıl boyunca sürekli olarak uygulanıp uygulanmadıkları açısından incelenir.
Şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin yeterliliğinin belirlenmesinde; tetkik (örneğin, şirket kontrollerinin incelenmesi) prosedürünün yanı sıra sorgulama ve gözlem prosedürleri kullanılabilir.
Denetçi, şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin yeterliliğine yönelik değerlendirme yaparken bir uzmandan faydalanabilir. Bu durumda denetçi, uzman tarafından yapılan çalışmanın denetimin amaçları kapsamında uygun olup olmadığını değerlendirir.
Denetimin Belgelendirilmesi
Denetçi, denetimin planlanması ve yürütülmesi sırasında uyguladığı denetim prosedürleri ve sonuçları ile denetimin nihai sonucunu çalışma kâğıtlarına dâhil eder.
Denetimin Raporlanması
Raporlama
TTK’nın 402 nci maddesinin altıncı fıkrası uyarınca denetçi, bağımsız denetim çerçevesinde, sisteme yönelik değerlendirmesinin sonucunu ayrı bir raporda yönetim kuruluna sunar. TTK’nın 378 inci maddesi uyarınca yönetim tarafından gerçekleştirilen risk saptama faaliyetlerinde eksiklik bulunmasının, finansal tablolara ilişkin bağımsız denetçi görüşü üzerinde etkisi yoktur.
Denetçi, sistemin şirketin varlığını, gelişmesini ve sürekliliğini tehdit edebilecek gelişmeleri önceden saptamak için yeterli olup olmadığını değerlendirir ve -varsa- yetersiz gördüğü hususlara raporunda yer verir. Denetçi, sistemin iyileştirilmesine yönelik somut önerilere raporunda yer verebilir. Denetlenen şirket tarafından sisteme ilişkin belgelendirmenin yapılmaması durumunda bu husus da raporda ifade edilir.