ETKİNLİKLER

I. İç Denetimin Esasları (%30)

A. İç Denetimin Temelleri

1. IIA’nın İç Denetim Misyonunu, İç Denetim Tanımını ve İç Denetim Mesleki Uygulamaları için Temel Prensipleri ve ayrıca, iç denetim biriminin amacını, yetkisini ve sorumluluğunu yorumlamak

2. İç denetim yönetmeliğinin şartlarını açıklamak (gerekli unsurlar, yönetim kurulu onayı, yönetmeliğin iletilmesivb.) – Temel Seviye (B)

3. İç denetim biriminin sağladığı güvence ve danışmanlık hizmetleri arasındaki farkları yorumlamak

4. IIA Etik Kurallarına uyum göstermek

B. Bağımsızlık ve Objektiflik

1. İç denetim biriminin kurumsal bağımsızlığını yorumlamak (bağımsızlığın önemi, fonksiyonel raporlama vb.) – (B)

2. İç denetim biriminin bağımsızlığına herhangi bir zarar gelip gelmediğini saptamak – (B)

3. Bir münferit iç denetçinin objektifliğine herhangi bir zarar gelip gelmediğini belirlemek de dâhil münferit iç denetçinin objektifliğini değerlendirmek, korumak ve sürdürmek

4. Objektifliğe teşvik eden ve onu destekleyen politikaları analiz etmek

C. Yetkinlik ve Gereken Azami Mesleki Özen

1. İç denetim faaliyetinin sorumluluklarını yerine getirmek için gereken (geliştirilmiş veya sonradan kazanılmış) bilgi, beceri ve yetkinlikleri tespit etmek– (B)

2. Teknik beceriler ve sosyal beceriler (iletişim becerileri, eleştirel düşünebilme, ikna/müzakere, birlikte çalışma ve işbirliği becerileri) de dâhil olmak üzere bir iç denetçinin kendi münferit sorumluluklarını yerine getirebilmek için sahip olması gereken bilgi ve yetkinlikleri göstermek

3. Gereken azami mesleki özeni göstermek

D. Yönetişim, Risk Yönetimi ve Kontrol

1. Kurumsal yönetişim konseptini tanımlamak– (B)

2. Kurumsal kültürün genel kontrol ortamı ve münferit görev riskleri ve kontrolleri üzerindeki etkilerini tespit etmek – (B)

3. Kurumsal sosyal sorumlulukları tespit etmek – (B)

4. Başlıca risk kavramlarını ve risk yönetim süreçlerini yorumlamak

5. Süreçler ve fonksiyonlar bünyesinde risk yönetiminin etkinliğini incelemek

6. İç denetim faaliyetinin kurumun risk yönetim sürecinde oynadığı rolün uygun olup olmadığını fark etmek – (B)

7. İç kontrol konseptlerini ve kontrol tiplerini ve tarzlarını yorumlamak

8. İç kontrollerin etkinliğini ve verimliliğini incelemek

E. Suiistimal Riskleri

1. Suiistimal risklerini ve tiplerini yorumlamak ve bir görevi yerine getirirken bu suiistimal risklerinin özel mülâhazalar gerektirip gerektirmediğini saptamak

2. Suiistimalin meydana gelme ihtimalini (kırmızı bayrak işaretleri vb.) ve kurumun suiistimal risklerini nasıl tespit edeceğini değerlendirmek

3. Suiistimali tespit etmek ve önlemek için kontroller ve kurumun suiistimal farkındalığını artırmak için kurum çalışanlarına verilebilecek eğitimler tavsiye etmek

4. Adli amaçlara yönelik denetimle (sorgulama, soruşturma, test vb.) ilgili teknikleri ve iç denetimin bu konudaki rollerini tespit etmek– (B)

II. İç Denetim Uygulaması (%40)

A. Görev Planlaması

1. Görev hedeflerini,  değerlendirme kriterlerini ve görevin kapsamını belirlemek

2. Temel risk ve kontrollerin tanımlanmasını güvence altına almak için görevleri planlamak

3. Risk ve kontrol faktörlerinin değerlendirilmesi ve önceliklendirilmesi de dâhil olmak üzere tüm denetim alanlarının detaylı bir risk değerlendirmesini yapmak

4. Görev prosedürlerini belirlemek ve görev iş programı hazırlamak

5. Görev için ihtiyaç duyulan personel ve kaynak seviyesini belirlemek

B. Bilgi Toplanması

1. Görev alanına yönelik bir ön incelemenin parçası olarak o alanla ilgili bilgileri toplamak ve incelemek (önceki denetim raporları ve verilerinin gözden geçirilmesi,  mülakatların yapılması, gözlem yapılması vb.)

2. Görev alanına yönelik ön incelemenin parçası olarak kontrol listeleri hazırlamak ve risk ve kontrol anketleri geliştirmek

3. Uygun örnekleme (istatistiksel olmayan, yargısal, keşif vb.) ve istatistiksel analiz teknikleri uygulamak

C. Analiz ve Değerlendirme

1. Bilgisayarlı denetim araçları ve tekniklerini (veri madenciliği , sürekli izleme, otomatik çalışma kâğıtları hazırlama, gömülü denetim modülleri vb.) kullanmak

2. Potansiyel kanıt kaynaklarının konuyla bağlantılı, yeterli ve güvenilir olup olmadığını değerlendirmek

3. Uygun analitik yaklaşımları ve süreç haritalandırma tekniklerini (süreç tanımlama, iş akışı analizi, süreç haritası çıkarma ve analizini yapma, spagetti haritaları, RACI diyagramları vb.) uygulamak

4. Analitik gözden geçirme tekniklerini (oran tahmini, değişim analizleri, fiili bütçe ile planlanan bütçe kıyaslaması, trend analizleri, anlamlılık testleri, kıyaslama yapılması vb.) saptamak ve uygulamak– Temel Seviye (B)

5. Görev sonuçlarını ve bunlarla ilgili varılan sonuçları desteklemek için konuyla ilgili bilgilerden çalışma kâğıtları ve dokümantasyon hazırlamak

6. Risk ve kontrol değerlendirmeleri de dâhil görevle ilgili sonuçlara varmak ve onları özetlemek

D. Görev Gözetimi

1. Görev gözetimine ilişkin temel faaliyetleri tespit etmek (iş atamalarının koordine edilmesi, çalışma kâğıtlarının gözden geçirilmesi, denetçilerin performansının değerlendirilmesi vb.) – (B)

E. Görev Sonuçlarının Açıklanması ve Risk Kabulü

1. Görev müşterisiyle ilk ön teması ve iletişimi kurmak

2. İletişim kalitesini (doğru, objektif, açık ve net, kısa ve öz, yapıcı, eksiksiz ve tam, zamanında) ve unsurlarını (hedefler, kapsam, varılan sonuçlar, tavsiyeler ve eylem planı) göstermek

3. Görevin ilerleyişini gösteren ara raporlar hazırlamak

4. Kurumsal değerleri korumak ve artırmak için tavsiyeler vermek

5. Kapanış toplantısı düzenlemek, denetim raporunu hazırlamak (taslak, gözden geçirme, onay ve dağıtım) ve yönetimden yanıt almak da dâhil denetim görevini ve raporlama sürecini  tanımlamak – (B)

6. İç denetim yöneticisinin artık risk değerlendirme sorumluluğunu tanımlamak – (B)

7. Risk kabulünün açıklanma sürecini tanımlamak (yönetimin, kurumun kabul edemeyebileceği bir risk seviyesini kabul etmesi hâlinde) – (B)

F. İlerlemenin İzlenmesi

1. Yönetim aksiyon planı da dâhil olmak  üzere görev sonuçlarını değerlendirmek

2. Yönetime ve yönetim kuruluna bildirilen denetim görevi sonuçlarının eğilimlerine ilişkin izleme ve tâkip çalışmalarını yönetmek

III. İç Denetim için İş Bilgisi (%30)

A. Veri Analitiği

1. Veri analitiğini, veri türlerini, veri yönetişimini ve iç denetimde veri analitiği kullanmanın değerini ve önemini tanımlamak – Temel Seviye (B)

2. Veri analitiği süreçlerini (soruların tanımlanması, ilgili verilerin elde edilmesi, verilerin temizlenmesi/normalize edilmesi, verilerin analiz edilmesi, sonuçların açıklanması) açıklamak– (B)

3. İç denetimde veri analitiği yöntemlerinin nasıl uygulandığını fark etmek (aykırılık saptama, tanı analizi,  ağ analizi, metin analizi vb.)– (B)

B. Bilgi Güvenliği

1. Yaygın fiziksel güvenlik kontrollerinin türlerini (kartlar, anahtarlar, biyometrik ölçümler vb.) ayırt etmek– (B)

2. Kullanıcı kimlik doğrulama ve yetki kontrollerinin çeşitli formlarını (şifre, iki kademeli kimlik doğrulama, biyometrik ölçümler, dijital imza vb.) ayırt etmek ve potansiyel riskleri tanımlamak– (B)

3. Çeşitli bilgi güvenliği kontrollerinin (şifreleme, güvenlik duvarları, antivirus programları) kullanılmasını ve kullanılma amacını açıklamak) – (B)

4. Veri gizliliği kanunlarını ve bu kanunların veri güvenliği politika ve uygulamaları üzerindeki potansiyel  etkilerini fark etmek– (B)

5. Ortaya çıkan yeni teknoloji uygulamalarını ve onların güvenlik üzerindeki olası etkilerini fark etmek (kendi cihazını getir [BYOD], akıllı cihazlar, şeylerin interneti [IoT] vb.)– (B)

6. Var olan ve yeni ortaya çıkan siber güvenlik risklerini (hacking, korsanlık, onaysız ve hileli değişiklik yapma, fidye yazılım saldırıları, e-dolandırıcılık saldırıları vb.) fark etmek– (B)

7. Siber güvenlik ve bilgi güvenliğiyle ilgili politikaları tanımlamak– (B)

C. Uygulama ve Sistem Yazılımı

1. Sistem geliştirme yaşam döngüsündeki ve sistemin uygulamaya konulması anındaki temel faaliyetleri (gereksinimlerin belirlenmesi, tasarım, geliştirme, test, hatadan arındırma, yerleştirme, bakım vb.) ve süreç boyunca değişiklik kontrollerinin önemini fark etmek– (B)

2. Temel veri tabanı terimlerini (veri, veri tabanı, kayıt, konu, saha, şema vb.) ve internet terimlerini (HTML, HTTP, URL, alan ismi, tarayıcı, tıklama, elektronik veri değişimi [EDI], çerezler vb.) açıklamak– (B)

3. Yazılım sistemlerinin kilit özelliklerini (müşteri ilişkileri yönetimi [CRM]  sistemleri;  kurumsal kaynak  planlaması  [ERP] sistemleriyönetişim, risk ve uyum [GRC] sistemleri vb.) tanımlamak– (B)

D. BT Altyapısı ve BT Kontrol Çerçeveleri

1. Temel BT altyapısını ve ağ kavramlarını (sunucu, merkezi işlemci [anabilgisayar], müşteri-sunucu konfigürasyonu, ağ geçitleri, yönlendiriciler [router], LAN, WAN, VPN vb.) açıklamak ve potansiyel riskleri tanımlamak– (B)

2. Bir ağ yöneticisinin, veri tabanı yöneticisinin ve yardım masasının operasyonel rollerini belirtmek– (B)

3. BT kontrol çerçevelerinin (COBIT, ISO 27000, ITIL vb.) ve temel BT kontrollerinin amacını ve uygulamalarını fark etmek – (B)

E. Finansal Muhasebe ve Finans

1. Mali muhasebe kavramlarını ve temel prensiplerini (mali tablo türleri ve örneğin tahvil ve bonolar, finansal kiralama, emekli aylıkları, gayrimaddi varlıklar, araştırma ve geliştirme gibi terimler vb.) tanımlamak – (B)

2. Hem ileri seviye hem de yeni geliştirilen mali muhasebe kavramlarını (konsolidasyon, yatırımlar, döviz işlemleri vb.) fark etmek – (B)

3. Finansal analizleri (faaliyete, kârlılığa, likiditeye, finansal kaldıraçlara ve benzerlerine ilişkin yatay ve dikey analizler ve oranlar) yorumlamak

4. Gelir döngüsünü, cari varlık yönetimi faaliyetleri ve muhasebe, tedarik zinciri yönetimini (stok değerlemesi ve ticari borç hesapları  da dâhil) tanımlamak – (B)