KAMU KURUMLARINDA YENİ BİR İÇ DENETİM BİRİMİNİN

advertisement
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Ek Rehber:
KAMU KURUMLARINDA
YENİ BİR İÇ DENETİM BİRİMİNİN
OLUŞTURULMASI
Yayın Tarihi: Nisan 2012
ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global
1
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Ek Rehber:
Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
İçindekiler
Yöneticiler İçin Özet
3
Giriş
4
Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulmasında
Karşılaşılan Zorluklar
5
Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite Modeli
6
Temel İş Modeli – Organizasyon, Yönetme ve Kontrol
7
Bir Kamu Kurum veya Kuruluşunda Bir İç Denetim Birimi Oluşturulurken
İzlenmesi Önerilen Uygulama Adımları ve İlgili Süreç Takvimi
18
Varılan Sonuçlar
21
Yazarlar, Katkıda Bulunanlar ve Gözden Geçirenler
22
Ek – İç Denetim Birimi İçin Tüzük Örneği
23
Ek - Kamu Sektörü İçin İç Denetim Kapasite Modeli
27
2
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Yöneticiler İçin Özet
Bu rehber, iç denetim departmanının yönetişim, risk yönetimi ve iç kontrol süreçlerini
geliştirdiğinden ve bu sayede kamu kurumuna değer kattığından emin olmak için yeni atanmış
bir iç denetim yöneticisinin (İDY) dikkate alması gereken kilit noktalar ve adımlarla ilgilidir.
Bu rehberin bir diğer hedefi, kamu sektöründe faaliyet gösteren bir iç denetim biriminin İç
Denetim Kapasite Modeli (IA-CM) 1 ve 2 düzeylerinden 3 düzeyine hızla çıkmasına olanak
sağlamaktır.
Bu amaç ve hedeflerin ışığında, dokümanda dile getirilen unsurlar yerine getirilirken üç
önemli bileşenden müteşekkil temel bir iş modeli izlenmektedir: Organizasyon, Yönetme ve
Kontrol.
Organizasyon bileşeni aşağıda sayılan hedef ve görevlerle ilgilidir:







İç denetimin ilgili ülke içerisindeki yasal zemininin araştırılması.
Bir iç denetim tüzüğünün biçimlendirilmesi.
İç denetim biriminin kurum içerisinde uygun mertebeye yerleştirilmesi.
Bir stratejik plan oluşturulması.
İzlenecek uygun denetim standartlarının seçilmesi.
Denetin evreni/ufkunun tanımlanması.
Personel alınması, gereken yeterliliklerin belirlenmesi, iş tanımlarının yaratılması ve
uygun maaş/ücret seviyelerinin tayin edilmesi.
İş modelinin ikinci bileşeni olan Yönetme, denetim ve danışma görevlerinin planlanması ve
yerine getirilmesi, gözetim, çalışma kağıtlarının dokümantasyonu ve elde edilen sonuçların
rapor edilmesiyle ilgili unsurları kapsar.
Üçüncü bileşen olan Kontrol, bir kalite güvence ve geliştirme programı (QAIP)
oluşturmasında İDY’ye yol gösterir.
Son olarak, bu rehberin son bölümünde, bir kamu kurumunda yeni bir iç denetim birimi
oluşturulurken izlenmesi gereken tavsiye niteliğindeki tatbiki adımlar ve konuyla ilgili bir
takvim verilmektedir. Bu tavsiyeler, kamu sektörü denetimi alanında ilk elden tecrübe sahibi
uzmanlardan alınan bilgilerle oluşturulmuştur. Önerilen program üç bölümden oluşur: ilk altı
ay, altıncı aydan hemen hemen birinci yılın sonuna kadar ve daha sonra, kesintisiz/devamlı.
3
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Giriş
Kamu sektöründe faaliyet gösteren herhangi bir tip veya seviye şube veya kuruluşta yakın
zaman önce kurulmuş bir iç denetim birimine ya da kötü işleyen bir iç denetim birimine İDY1
unvanıyla atandınız. Bu durumda, bazen göz korkutucu bir şekle bürünen bir görev olarak,
size bağlı departmanı tüm kamusal düzeylerde şeffaflık, hesap verebilirlik ve verimlilik
açısından artan sayıda zorluk ve talebe karşı cevap vermeye hazırlamanız gerekir. (Rehberin
yazarları, atanan İDY’nin sadece iç denetim standartlarını anlayan bir personel olmadığı, aynı
zamanda bir kamu kurum veya kuruluşuna bağlı bir iç denetim biriminde etkili bir önderlik
sergilemek için gereken becerilere sahip olduğu, konusunun uzmanı olduğu ve genel yönetim
perspektifini taşıdığı varsayımıyla hareket etmektedirler.)
Bu rehber, iç denetim departmanını kurumun yönetişim, risk yönetimi ve iç kontrol
süreçlerini geliştirerek kuruma değer katmasını sağlayacak bir çerçevede hazır etmeye
uğraşan bir İDY veya bir bölüm müdürünün bu süreçte analiz etmesi ve uygulamaya koyması
gereken kilit noktalar ve adımlarla ilgilidir. Öte yandan, bu rehberde, kamu sektörü müdürleri
ve İDY’lerin kendilerine bağlı iç denetim birimlerini asli öneme sahip araç ve kaynaklarla
donatırken referans alabilecekleri, tanınmış yazar ve kurumlara/örgütlere ait araştırmalara ve
yayınlara atıf yapılmaktadır.
Bu rehberde ele alınan unsurlar, Uluslararası İç Denetçiler Enstitüsü Araştırma Vakfı’nca
(IIARF) geliştirilen Kamu Sektörü için İç Denetim Kapasite Modeli’ne (IA-CM) bağlıdırlar.
Bu dokümanda iç denetim departmanı için yeterli ve uygun bir altyapı tesisiyle ve departmana
has işlevlerin kuruma entegrasyonuyla ilgili kilit faktörler de ele alındığı için, bu doküman
aynı zamanda, iç denetim birimini IA-CM düzey 3’e taşımaları konusunda İDY’ler ve bölüm
müdürlerine yardımcı olmak üzere hazırlanmış bir rehberi teşkil etmektedir.2
Günümüz mevcut literatürünün gözden geçirilmesine ve kilit adım ve süreçleri uygulamaya
koymak için gereken eylemlerin bu literatür bilgileri çerçevesinde ilişkilendirilmesine ek
olarak, farklı birkaç ülkede bulunan farklı tip ve seviye kamu sektörü kurum ve kuruluşlarına
bağlı yeni iç denetim birimlerinin oluşturulmasında ve/veya mevcut birimlerin
dönüştürülmesinde ilk elden tecrübe sahibi insanlarla yapılan görüşmelerden veya
yazışmalardan toplanan, tatbiki deneyimle ilgili geniş çaplı bilgi ve veriler de sunulmaktadır.
Bu süreçte görüşlerine başvurulan insanlar, belli başlı müşterek eylem ve faaliyetler
konusunda genelde uzlaştılar. Bu eylem ve faaliyetlerin önemi veya uygulamaya konma
sıralaması bakımından bazı görüş ayrılıkları da elbette vardı. Mevcut kaynaklarla (hem
personel hem de finansman olarak) ilgili farklılıklardan ötürü de görüş ayrılıkları oluştu. Bu
süreçte danışılan kamu sektörü iç denetim birimleri büyüklükleri açısından 1 ilâ 65 çalışan
aralığında değişmektedir.
Bu rehberin oluşturulmasında ilave katkıda bulunan diğer unsurlar, global denetim
tecrübesine sahip uzmanlardan müteşekkil bir gruptan alınan PowerPoint sunumu kopyaları,
görüşler, düzeltmeler, izahat ve açıklamalardır.
1
Bir İDY için tercih edilen kalifikasyonları öğrenmek için, “İç Denetim Yöneticileri: Tayin, Performans
Değerlendirmesi ve Sözleşme Fesih İşlemleri” başlıklı Uluslararası İç Denetçiler Enstitüsü Uygulama
Rehberi’ne bakınız. İDY kalifikasyonları hakkında daha fazla bilgi almak için, http://www.globaliia.org
adresinde yer alan IIA internet sitesinde Yetkinlik Çerçevesi için arama yapınız.
2
Bakınız: Ek: Kamu Sektörü için İç Denetim Kapasite Modeli, “İç Denetim Kapasite Modeli Matrisi”.
4
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Kamu Kurumlarında Yeni Bir İç Denetim Biriminin
Oluşturulmasında Karşılaşılan Zorluklar
Bu rehberin hazırlık sürecinde danışılan uzmanlar, bir hukuk danışmanı, bir yönetici asistanı
ve ilgili kurumun büyüklüğü için uygunsa, bir iç denetim yönetici yardımcısı gibi personel
kaynaklarına yeterli düzeyde erişim sağlamanın ilk aşamada asli öneme sahip olduğu
konusunda fikir birliğine varmışlardır. Bu gibi çalışanlar, ivedilikle ilgilenilmesi gereken en
önemli örgütsel ve yönetimsel meselelerle ilgilenmesinde İDY’ye yardımcı olur ve İDY’nin
yeni iç denetim birimini hazırlayıp tasarlamasına ve nihai olarak oluşturmasına olanak
sağlarlar.
Kamu sektöründe karşılaşılan en büyük güçlüklerden biri, iç denetim birimine ayrılan
bütçenin yeterli düzeyde olup olmadığıdır. Sınırlı kaynaklar için sürdürülen yoğun rekabet,
siyasi baskılar ve vergi mükelleflerinden gelen, devlet kurumlarının etkinlik ve verimliliğinin
arttırılması, maliyetlerin kısılması ve vergilerin düşürülmesi yönündeki talepler olarak
sıralanabilecek faktörlerin tümü aslında parasal zorlukları temsil ederler. İç denetim biriminin
bağımsızlık ve nesnelliğini tehdit eder nitelikte siyasi baskılar da açığa çıkabilir.
İDY’ler, bu gibi güçlükleri hafifletmek için, aşağıda sayılan faaliyetlerin üzerinde
durmalıdırlar:
 Bir iç denetim biriminden ne beklediklerini öğrenmek için üst düzey yöneticiler,
paydaşlar ve tayin otoriteleriyle görüşmelerde bulunmak.
 İç denetimin rolü konusunda üst düzey yöneticileri ve tayin otoritelerini
bilgilendirmek.
 İç denetim biriminin kurum içerisinde yeteri kadar yüksek mertebe bir memura,
denetim komitesine ya da başka bir yönetim organına rapor vermesini sağlamak.
 İç denetim programını kurum içerisinde pazarlamak.
 Kurumun tüm personeli için geçerli olmak üzere, çalışanlardan bilgi ve geribildirim
talep etmek.
 Bölüm müdürü için sık ve düzenli aralıklarda hazırlanan yazılı raporlar ve yönetim
kurulu ve/veya denetim komitesi için bir özet sunmak.
 Vatandaşların görüşlerini talep etmek ve toplamak.
 Değişime her zaman uyum sağlamaya hazır ve esnek bir yapıyı korumak.
5
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite
Modeli
IA-CM, özel sektörde veya kamu sektöründe faaliyet gösteren iç denetim birimlerinin farklı
düzeylerini tanımlar.3 Hangi düzeyde bulunulduğu, iç denetim biriminin ve onun bağlı
bulunduğu kurumun olgunluğu ve kompleksliğiyle ilgili bir değerlendirme çerçevesinde
belirlenir.
IA-CM, iç denetim biriminin sahip olduğu kapasitelere göre ayrılan beş farklı iç denetim
birimi düzeyini tanımlar. Alt düzeylerde (1 ve 2), iç denetim birimi kapasitelerinin karakterize
edici özellikleri, altyapının bulunmaması, yerleşik mesleki uygulamalara bağlılığın yetersiz
düzeyde olması veya mesleki standartlara ancak kısmi düzeyde uyulması, görevlerin yerine
getirilmesinde kişisel becerilere bel bağlanması ve denetimin diğer faktörler dışında
yönetimin öncelikleri temelinde planlanmasıdır.
Üst düzeylerde (3, 4 ve 5), iç denetim birimi kapasitelerinin karakterize edici özellikleri,
mesleki standartlara harfiyen uyulması, nesnellik ve bağımsızlığa odaklanılması, süreç,
politika ve prosedürlerin belgelendirilmesi, kantitatif risk ölçümü ve yönetiminin icra
edilmesi, kurumun yönetişim ve risk yönetimine katkıda bulunulması ve süreçlerin kesintisiz
olarak geliştirilip yenilendiği, sürekli bir şeyler öğrenmeye devam eden bir teşkilat yapısı
oluşturulmuş olmasıdır.
Düzey 3 (entegrasyon) denetim birimleri spesifik olarak aşağıda verilen kapasiteler
çerçevesinde karakterize edilirler:



3 – ENTEGRASYON



İç denetim (IA) politika, süreç ve prosedürleri tanımlı, belgeli
ve kurumun altyapısına entegre haldedir.
IA yönetimi ve mesleki uygulamaları iyi yapılandırılmıştır ve
IA birimi genelinde daima eşit ölçüde uygulanmaktadır.
IA, kurumun faaliyet gösterdiği iş sektörü ve kurumun
yüzleştiği risklerle aynı eksene gelmeye başlamaktadır.
IA, sadece geleneksel denetimler gerçekleştiren bir yapıdan,
bir takım oyuncusu olarak kuruma entegre olan bir yapıya
evrilmekte ve performans ve risk yönetimi konusunda
tavsiyelerde bulunmaktadır.
IA biriminin kapasitesine ve ekip kurma sürecine ve yanı sıra
birimin bağımsızlığına ve nesnelliğine odaklanılmaktadır.
IIA Uluslararası İç Denetim Mesleki Uygulama
Standartları’na (Standartlar) genelde uyulmaktadır.
Bu dokümanda yer alan tavsiyeler, bir kamu sektörü iç denetim birimine 1 ve 2 düzeylerinden
3 düzeyine geçmesinde yardımcı olacak adımları teşkil etmektedirler.
3
IA-CM düzeyleri için, “Kamu Sektörü için İç Denetim Kapasite Modeli” başlıklı Ek B’ye bakınız.
6
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Temel İş Modeli – Organizasyon, Yönetme ve Kontrol
İç denetim ve genel olarak denetimle ilgili literatürün büyük bir kısmının özel sektörde
edinilen tecrübelerden elde edildiği ve kamu sektöründe edinilen tecrübelere dayanan
literatürün az bulunur olduğu yaygın bilinen bir gerçektir. Kamu sektörünün kendine has
özellikleri vardır. Gelgelelim özel sektörde edinilmiş tecrübelere odaklanan literatürün
İDY’ler ve kamu kurum ve kuruluşlarında çalışan müdürlerin yeni denetim birimleri
kurmalarında yol gösterici nitelikte bir rehber olarak kullanılıp buna göre adapte edilmesi
mantıklı bir yaklaşımdır.
Bunun gerekçesi, mevcut rehberlerin birçoğunun kamusal veya özel teşebbüs olsun, kâr
amaçlı olsun veya olmasın gerçekte tüm kurum ve kuruluş tiplerine uygulanabilecek evrensel
yönetim, iç kontrol ve yönetişim ilkelerine dayanıyor olmalarıdır.
İlgili meseleleri düzenlemek ve İDY’lerin kendilerine bağlı denetim departmanları hakkında
düşünmelerine yardımcı olmak için, rehberler üç temel kısım temelinde oluşturulurlar:
1. Organizasyon – iç denetim biriminin stratejisi ve yetkilendirmesiyle ilgilidir ve tüm
birimi yönetmek için gerekli olan kaynakların çeşitleri ve boyutlarını tanımlar.
2. Yönetme – günlük operasyonlarla ilgilidir.
3. Kontrol – kurumun ihtiyaç ve beklentilerinin birim tarafından karşılandığının güvence
altına alınmasıyla ilgilidir.
Geniş ölçüde bilinen ve tanınan bu iş modeli (Dubrin, 1999, Dessler, 2000 ve Griffen, 2002),
ilk olarak, IIARF sponsorluğunda gerçekleştirilen bir çalışma için Douglas Prawitt tarafından
adapte edilmiştir.4
İç Denetim Biriminin Organizasyonu
Yasal Zeminin Araştırılması
Geniş ölçekli, uluslararası bir bakış açısına göre, iç denetim yetkisi bir dizi yasal enstrüman
aracılığıyla oluşturulabilir. Kamu sektörü birimlerinin birçoğu için geçerli olduğu gibi, iç
denetim de, genelde, İDY tarafından tam ve eksiksiz araştırılıp anlaşılması gereken, yasalara
dayanan bir yetkiye sahiptir.
Katı bir hukuk kültürüne sahip bazı ülkelerde, belirli kanunlar ilan edilmeden önce -ister
federal anayasa isterse de eyalet anayasası olsun- anayasalarında iç denetim işlevine resmi bir
dille atıf yapılır. Kara Avrupası hukuk sistemi ve Anglo-Sakson hukuk sisteminin geçerli
olduğu ülkelerde, kamu sektörüne bağlı iç denetim birimleri genelde spesifik kanunlar
çerçevesinde yetkilendirilirler. Bazı ülkelerde konuyla ilgili ilave yönetmelikler bulunur.
Mahalli idareler seviyesinde, genelde iç denetime özel kanunlar vardır.
4
Prawitt, Douglas, “Managing the Internal Audit Function,” Research Opportunities in Internal Auditing, The
Institute of Internal Auditors Research Foundation, 2003.
7
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Tüzük Gereksinimi
İkinci adım, denetim departmanının kurumun misyon, hedef ve amaçlarını yerine
getirmesinde aktif bir rol oynama şansını arttırmak için bir organizasyonel çerçeve
oluşturmaktır.
 Kurumun faaliyet gösterdiği ülkeden bağımsız olarak (yani, Kara Avrupası hukuk
sistemine tâbi ya da Anglo-Sakson hukuk sistemine tâbi ülkeler), iç denetim biriminin
amaç, yetki ve sorumluluğunun bir tüzük kapsamında resmen tanımlanması önemli bir
unsurdur.
 IIA Uluslararası Mesleki Uygulamalar Çerçevesi (UMUÇ) “Standart 1000: Amaç,
Yetki ve Sorumluluk” başlıklı standardında şunlar belirtilir:
“İç denetim biriminin amaç, yetki ve sorumlulukları, İç Denetimin Tanımı, Etik
Kuralları ve Standartlarla tutarlı ve uyumlu olarak, bir iç denetim tüzüğünde resmen
tanımlanmalıdırlar. İç denetim yöneticisi iç denetim tüzüğünü periyodik olarak gözden
geçirmeli ve onay için üst düzey yönetim ve yönetim kuruluna sunmalıdır.”
İç Denetim Birimi ve İDY, Kurum İçerisinde Kendisine Uygun bir Statüye Sahip Olmalı
ve Kurum İçi ve Siyasal Bağımsızlığını Korumalıdır.
İç denetim birim ve faaliyetlerinin kapsayıcılığı ve kompleksliği göz önünde tutulduğunda,
departman kurum içerisinde gereken statüye sahip olmalıdır, aksi takdirde diğer departman
veya birimler, iç denetim birimiyle işbirliği yapmayabilirler. İç denetim birimi için gereken
uygun statünün sağlanması öncelikli bir konudur. Bu bağlamda, iç denetim birimi, doğrudan
doğruya tayin otoritesine, kurum başkanına ya da denetim komitesi aracılığıyla yönetim
kuruluna bağlı olmalıdır.
Kamu kurum ve kuruluşlarında denetim komitelerinin genelde bulunmadıkları ya da kamu
kurum ve kuruluşlarının genelde bir yönetim kurulunca idare edilmedikleri ülkelerde, iç
denetim biriminin en azından kurum içerisindeki en üst düzey yönetici memura rapor vermesi
zorunludur.
İç denetim birimi, kurum operasyonlarının her türlüsünü ve her kısmını kapsamalı ve bu
gereklilik doğrultusunda, kurumun tüm personel, belge, kayıt ve varlıklarına sınırsız erişim
hakkına sahip olmalıdır.
İç denetim departmanının kurum içerisinde uygun bir mertebede bulunmasının gerekmesinin
yanı sıra, kurum içerisinde bağımsızlığa da sahip olmalıdır. Bunun anlamı, iç denetim birimi
ile denetlediği departman ve/veya birimler arasında dolaysız herhangi bir çeşit ilişki
bulunmamasının gerekmesidir.
Başta İDY’nin yönetime veya bir yasama komitesi, belediye meclisi, vb. bir yapıya rapor
verdiği siyasal idari kurumlar olmak üzere, İDY’nin görev süresi sınırlandırmamalıdır. Aksi
takdirde, İDY görev süresinin sonunda kolayca azledilebilir. İlgili pozisyona atanan İDY’nin
ancak ve sadece denetim veya yasama komitesinde nitelikte çoğunluk sağlanması halinde
görevinden alınabileceği bir yapı oluşturulması tavsiye edilmektedir.
8
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
İç denetim tüzüğü, iç denetim birimine, resmi nitelikli bir iş yapma yetkisi verir. Tüzükte, iç
denetim birim ve işleviyle ilgili olarak aşağıdaki maddeler açıklığa kavuşturulmalıdır:5
 İç denetim departmanının kurum içerisindeki pozisyonunu netleştirmeli ve iç denetim
faaliyetlerinin kapsamı ve tabiatını açıklamalıdır.
 İç denetçilere diğer şeylerin yanı sıra, denetim ve danışmanlık projelerini yerine
getirmeleri için gereken tüm kayıtlara, personele ve varlıklara erişim hakkı
tanımalıdır.
 İDY’ye, yönetimin uygunsuz müdahalesine tâbi olmaksızın, kaynakları tahsis etme,
plan ve programları oluşturma, denetim çalışmasının kapsamını tayin etme ve denetim
hedeflerini belirleme yetkisi vermelidir.
 Departmanın raporlama yapısını açıkça ortaya koymalı ve İDY’nin denetim
komitesine ya da kurumda görev alan en üst düzey memura sınırsız erişime sahip
olmasını sağlamalıdır.
 İç denetim biriminin amacının risk yönetimi, kontrol ve yönetişim süreçlerinin etkinlik
ve verimliliğini IIA İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla tutarlı bir
çerçevede değerlendirerek kuruma hizmet etmek olduğunu açıkça söylemelidir. En
etkili ve verimli sonuçlara ulaşmak için iç denetim birimi ve faaliyetlerinin
diğerleriyle eşgüdümlenmesi de bu gerekliliğin kapsamına girer.
 Uygun bir risk-esaslı yöntem kullanılarak geliştirilmiş bir yıllık denetim planı
oluşturmak ve bunu gözden geçirip onaylaması için yönetim kuruluna sunmak gibi,
İDY ve ona bağlı iç denetim personeline ait spesifik sorumlulukları göstermelidir.
Bir Stratejik Plan Oluşturulması
 Müdür ve yöneticilerin işletmenin sektör içerisinde bulunduğu pozisyonla ilgili kesin
ve net, yapılandırılmış bir fikre sahip olmaları her türlü teşebbüs için son derece
önemli bir unsurdur. Kamu kurum ve kuruluşlarında denetim departmanlarını idare
eden İDY’ler için de bu durum geçerlidir.
 İç denetim birimi için uygun ve yeterli bir stratejik plan oluşturmalarında İDY’lere
yardımı dokunabilecek birçok çerçeve bulunmaktadır. Bu zorlu görevde İDY’lere
yardımcı olabilecek çeşitli araçlar piyasada mevcuttur.6
 Bu araçlar, kamu kurum ve kuruluşlarının görev ve faaliyetlerini şekillendiren misyon,
hedef, amaç ve sonuçlar hakkında yapısal olarak düşünmeye yardımcı olur ve
dolayısıyla, iç denetim birimi için kurumun stratejik planıyla ahenkli bir stratejik plan
geliştirme konusunda İDY’ye yardım ederler.
 İç denetim biriminin stratejik planı, ilk halinde, asgari olarak, ilerlemeyi belirlemek ve
başarıya ulaşmak için gereken uygun önlemlerle birlikte, vizyon, misyon, temel
değerler, hedefler ve amaçları içermelidir.
İzlenecek Uygun Denetim Standartlarının Belirlenmesi
 İDY, iç denetim faaliyetlerinde yol göstermek için doğru denetim standartlarını
seçmelidir.
5
Tarr, Richard, “Built to Last,” Internal Auditor, Aralık 2002.
Porter, Michael, “How Competitive Forces Shape Strategy,” Harvard Business Review, 1979. _____________,
“Strategy and Society,” Harvard Business Review, 2006. _____________, “The Five Competitive Forces That
Shape Strategy,” Harvard Business School Publishing Corporation, 2008.
6
9
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
 Standartlar, kalite güvence sürecinin ilk katmanını oluşturmalarından ötürü
önemlidirler.
 Kamu sektöründe geçerli olan iç denetim standartları, genellikle kanun ve/veya
yönetmelikler çerçevesinde ortaya konurlar; bu yüzden bu standartlara uymak
zorunludur.
 Dünya genelindeki kültürel, sosyal, ekonomik, siyasal, yasal ve hatta dinsel farklılıklar
göz önünde tutulduğunda, uygun denetim standartlarının nasıl seçileceği konusunda
özgün bir rehber oluşturarak, her ülkeye ya da belirli bir ülkede bulunan her eyalet
veya mahalli idareye özgü farklı durum ve koşulları karşılayacak bir çerçeve kurmak
güç bir iştir.
 İç denetim biriminin görevlerini yerine getirirken yasal ve/veya evrensel mesleki kural
ve kılavuzlara uygun hareket ettiğinin denetlenen merciler ve/veya bir bütün olarak
kurum tarafından bilinip kabul edilmesi, iç denetim biriminin sunduğu raporların ve
yaptığı çıkarımların güvenilirliğini ve inandırıcılığını arttırır. Dolayısıyla, iç denetim
biriminin faaliyet gösterdiği mahalli ortam için uygun bir çerçeve araştırıp bulmak,
İDY’lerin yerine getirmesi gereken kritik görevlerden birini teşkil etmektedir.
 Bazılarınca Kırmızı Kitap olarak bilinen IIA UMUÇ, uyulması zorunlu standartlarla
çelişmediği ve uyulması zorunlu standartları tamamlayıcı bir nitelikte olduğu sürece,
en iyi uygulamaları gösteren bir rehber olarak dikkate alınmalıdır.
 Herhangi bir ulusal iç denetim çerçevesi bulunmayan ülkelerde ve uyulması zorunlu iç
denetim standartları şart koşmayan ülkelerde, UMUÇ standartları, kamu sektöründe
çalışan iç denetçiler tarafından benimsenip tercih edilmesi gereken standartlar olarak
görülmelidirler.
Denetim Evreni/Ufkunun Tanımlanması
 Kamu sektöründe faaliyet gösteren iç denetim birimleriyle ilgili denetim evreni, bazen,
Kara Avrupası hukuk sisteminin geçerli olduğu ülkelerde belirli kanunlar tahtında
tanımlanabilir. Bu gibi durumlarda, denetim evreninin kanun ve yönetmeliklerce
çizilmiş olmasından ötürü, denetim hedefleri arasında öncelik sıralaması yapmakla
ilgili bir sorunla karşılaşılır.
 Dolayısıyla, denetim hedefleri arası öncelik sıralamasını yapmak için en uygun aşama,
aşağıda “Denetim Birimini Yönetmek” başlıklı bölümde detaylandırılan planlama
aşamasıdır.
 Yukarıda bahsedilen planlama aşamasında, denetim ufku meselesi de gereğine uygun
ele alınmalıdır.
Personel Alımı
 İç denetim biriminde görev alan çalışanlar, farklı alanlardan gelmiş olmalı ve farklı
deneyimlere sahip olmalıdırlar.
 Richard Anderson (2001) tarafından da ortaya konduğu gibi,7 personel alım sürecine
başlanmadan önce, iç denetim biriminin büyüklüğü kurum tarafından tanımlamış
olmalıdır. Küçük departmanlarda ister istemez daha tecrübeli denetçilerin yer alması
gerekirken, daha büyük departmanlarda, yeni denetçiler, kıdemli denetçiler ve farklı
akademik ve mesleki özgeçmişlere sahip insanlardan oluşan bir ekip oluşturulabilir.
7
Anderson, Richard J., “Internal Auit Career Models: What Is Your Value Driver?” CFO Direct Network,
PricewaterhouseCoopers, 2001.
10
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
 İç denetim birimince sunulan geniş hizmet aralığı göz önünde tutularak, IIA “Standart
1210: Yeterlilik” başlıklı standardında aşağıdaki gerekliliklerden bahsedilmektedir:
“İç denetçiler, bireysel sorumluluklarını yerine getirmek için gereken bilgi, beceri ve
diğer vasıflara sahip olmalıdırlar. İç denetim birimi de, toplu olarak, kendi
sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip
olmalı veya bunları edinmelidir.”
 IIA, İDY’lerin iç denetim faaliyetlerinde gerekli olan becerileri belirlemeleri için bir
başlangıç noktası ya da referans olarak, İç Denetim Yetkinlik Çerçevesi (CFIA) olarak
bilinen bir belge seti yayımlamıştır.
Gereken yetkinliklere verilebilecek örnekler arasında şunlar bulunur:
A. İç denetim standartları, prosedürleri ve tekniklerini uygulama konusunda yeterlilik.
Burada geçen yeterlilik, karşılaşılması muhtemel durumlarda eldeki birikimi
kullanabilmek ve bu gibi durumları kapsamlı teknik araştırma veya yardıma
ihtiyaç duymaksızın halledebilmek anlamına gelir.
B. Muhasebe ilke ve teknikleri konusunda yeterlilik. Geniş ölçüde finansal kayıt ve
raporlar üzerinde çalışacak olan denetçiler, bu alanlarda yeterlilik sahibi
olmalıdırlar.
C. Denetçilerin akla uygun iş uygulama ve prosedürlerinden uzaklaşılmasının ne
anlama geldiğini ve ciddiyetini anlamalarını ve değerlendirmelerini mümkün kılan
yönetim ilkelerinin kavranması. Yönetim ilkelerini kavramak, karşılaşılması
muhtemel durumlara geniş çaplı bir bilgi ve birikimle cevap verebilmeyi, önemli
sapma ve uzaklaşmaların farkına varabilmeyi ve makul çözümlere ulaşmak için
gereken araştırma ve incelemeleri gerçekleştirebilmeyi sağlar.
D. Muhasebe, ekonomi, ticaret hukuku, vergi, finans, kantitatif yöntemler ve BT gibi
alanlara ilişkin asli unsurların anlaşılması. Yukarıda sayılan ve benzeri alanlara
ilişkin asli unsurları anlamak, mevcut problemlerin veya potansiyel problemlerin
farkına varabilmeyi ve ek araştırma ve incelemeler yapılmasının gerektiği ya da
uzman yardımına başvurulmasının gerektiği durumları ayırt edebilmeyi sağlar.
E. Öte yandan, iç denetçiler, insanlarla iletişime geçme ve hem sözlü hem de yazılı
olarak etkili bir iletişim kurma konularında becerikli olmalıdırlar.
F. Özellikle kıymetli olan becerilerden bir diğeri, bilgisayar kullanma yeterliliğidir.
Akreditasyon, Sertifikasyon
Bir denetçinin teknik yeterliliğinin önemli göstergelerinden biri akreditasyon da olabilir. İç
denetim alanı için faydalı teknik yeterlilikleri gösteren belgeler olarak kabul edilen
sertifikasyonlar arasında şunlar bulunmaktadır: Sertifikalı İç Denetçi® (CIA®); Yeminli Mali
Müşavir (CPA) ya da uluslararası muadili (örneğin, Yeminli Muhasebeci [Chartered
Accountant]); Sertifikalı Yönetim Muhasebecisi (CMA), Risk Yönetimi Güvencesi
SertifikasıTM (CRMATM), Sertifikalı Bilgi Sistemleri Denetçisi (CISA) ve özellikle kamu
sektörü için, Sertifikalı Kamu Denetçisi® (CGAP®) ve Sertifikalı Kamu Sektörü Finans
Yöneticisi (CGFM).8
8
CIA, CGAP ve CRMA sertifikaları hakkında daha fazla bilgi almak için, http://globaliia.org IIA global internet
sitesine bakabilirsiniz. CPA için Amerika Sertifikalı Mali Müşavirler Enstitüsü, CCFM için Kamu
Muhasebecileri Birliği, CMA için Faal Muhasebeciler ve Finans Çalışanları Birliği ve CISA için ISACA internet
sitelerine bakınız.
11
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
İş Tanımlarının Oluşturulması
İşe alım sürecindeki önemli adımlardan bir diğeri, iç denetim departmanında mevcut olan her
pozisyon için ayrıntılı iş tanımları oluşturmak, pozisyonlar için gereken bilgi, beceri ve
kabiliyetleri tayin etmek ve ilgili maaş/ücret kademelerini belirlemektir. İş tanımlarının
yapılandırılmasında yardımcı olabilecek mükemmel bir kaynak için “Birkett et al. (1999)”
eserine bakınız.9
İç Denetim Biriminin Yönetimi
İç denetim biriminin yetki, sorumluluk ve hedefleri belirlenip şekillendirildikten sonra,
birimin büyüklüğü tayin edilmiş ve buna uygun olarak tecrübeli ve becerikli personel alımı
yapılmıştır; şimdi sıra, günlük operasyon ve faaliyetlerde.
Risk-Esaslı Denetim Planları ve Münferit Denetim Görevlerinin Planlanması
Denetim faaliyetlerinin planlanmasının ilk adım olduğu açıktır. Gelgelelim küçük çaplı kurum
ve kuruluşların iç denetim departmanlarında çalışan İDY’ler ve müdürler için, iç denetim
faaliyetlerinin tümünün planlanması ile münferit denetim görevlerinin planlanması arasında
bir ayrım yapmak her zaman o kadar da kolay olmaz. Bir denetim departmanının temel hedefi
misyon, hedef ve amaçlarına ulaşmasında kuruma yardımcı olmak ise, o halde, kurum veya
kuruluşun hedeflerine ulaşmasını önleyebilecek risklerin farkına varılması ve bu risklerle
uğraşılması son derece önemlidir.
Tüm İç Denetim Faaliyetleri İçin Yıllık Risk-Esaslı Denetim Planlarının Oluşturulması
IIA “Standart 2010: Planlama” başlıklı standardında şöyle yazar: “İç denetim yöneticisi,
kurumun hedeflerine uygun olarak, iç denetim biriminin önceliklerini belirleyen risk-esaslı
planlar yapmalıdır.”
Bir risk-esaslı denetim planını tasarlarken başarıya ulaşma şansını arttırmak için, resmi bir
yaklaşımın uygulanması önerilir. IIA internet sitesi, daha iyi yapılandırılmış bir yaklaşımda
kullanılabilecek araçları bulmak için önemli bir kaynaktır. Örneğin, bu başlık üzerine
şekillenmiş bir dizi eğitim kursu bulunmaktadır. CGAP ve yakın zaman önce tanıtımı
yapılmış olan CRMA sertifikaları, denetim yönetim ekibini risk-esaslı denetim planları
geliştirmek için uygun becerilere sahip kişilerle donatmak için mükemmel araçlardır.
Treadway Komisyonu Sponsorluk Kuruluşları Komitesi’ne (COSO) ait Kurumsal Risk
Yönetimi – Entegre Çerçeve’ni anlayıp kavramak da, kurumun iç kontrol risklerinin farkına
varılması ve denetlenmesi gereken alanların tayin edilmesi için faydalıdır.
İDY ve yönetimin kurumun tüm risklerine yönelik kapsamlı bir değerlendirme yapması,
denetime tahsis edilen kaynakların öncelikli olarak hangi alanlarda kullanılmalarının
gerektiğini belirlemelerinde yardımcı olur. Oluşturulan denetim planı, yeni risk ve öncelikler
açığa çıktıkça tekrar tekrar değerlendirilir.
9
Birkett, William P., M.R. Barbara, B.S. Leithead, M. Lower, and P.J. Roebuck, Competency: Best Practices
and Competent Practitioners, The Institute of Internal Auditors Research Foundation, 1999.
12
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Bununla birlikte, hangi alan ve unsurların denetlenmesi gerektiği hakkında karar verilirken
risk dışındaki başka faktörler de ele alınacaktır:
 İş, operasyonlar, programlar, sistemler veya kontrollerle ilgili ortam ve atmosferin
değişmesi
 Risk ortamında yaşanan değişimler.
 Görev sonucunda ulaşılacak olası fayda(lar).
 Mevcut ekibin becerilerinde yaşanan değişimler, zira edinilen yeni beceriler, iç
denetim biriminin farklı tip görevleri yerine getirmesini sağlayabilirler.
 Dış denetçiler, üst düzey yönetim veya diğer yönetim organlarından gelen talepler.
Münferit Görev Planlarının Oluşturulması
Risk-esaslı denetim planına ek olarak, IIA “Standart 2200: Görev Planlama” başlıklı
standardında, “İç denetçiler görev hedefleri, amacı, takvimi ve kaynak tahsisleri dahil her
görev için birer plan hazırlayıp belgelendirmelidirler.” ifadesi geçer.
İç denetçiler, görev planlama sürecinde, “Standart 2201: Planlama Mülahazaları” başlıklı
standart temelinde aşağıda sayılan unsurları dikkate almalıdırlar:
 İncelenen birimin hedefleri ve bu birimin performansını düzenlemek için yürürlükte
bulunan kontroller.
 Birimle ve birimin hedefleri, kaynakları ve operasyonlarıyla ilgili önemli riskler ve
yanı sıra, risk potansiyellerinin yarattığı etkileri kabul edilebilir bir seviyede tutmak
için kullanılan araçlar.
 İlgili bir kontrol çerçevesi veya modeline kıyasen, ilgili birimin risk yönetimi ve
kontrol süreçlerinin yeterlilik ve verimliliği.
 Birimin risk yönetimi ve kontrol süreçlerini önemli ve anlamlı düzeyde geliştirme
fırsatları.
IIA “Uygulama Önerisi 2200-1: Görev Planlama” altında, münferit görevlerde planlamayı
yeterli düzeyde yerine getirmek için kullanılabilecek yöntem ve yaklaşım özetlenmektedir.
Görevlerin Gerçekleştirilmesi: Yeterli, Güvenilir, İlgili ve Faydalı Bilgilerin Toplanması
Planlama sürecinin doğal sonucu görevlerin yerine getirilmesidir. İlgili IIA standartları;
"2300: Görevin Yapılması", "2310: Bilgilerin Tespiti ve Tanımlanması", "2320: Analiz ve
Değerlendirme", "2330: Bilgilerin Kaydedilmesi" ve "2340: Görevin Gözetimi" başlıklı
standartlardır.
2300 ve 2310 sayılı standartlara göre:
 İç denetçiler, görev hedeflerine ulaşmak için gerekli olan bilgileri tespit etmeli, analiz
etmeli, değerlendirmeli ve kayıt altına almalıdırlar.
 İç denetçiler, görev hedeflerine ulaşmak gereken uygun, güvenilir, ilgili ve faydalı
bilgileri belirlemelidirler.
Denetim alanında, yeterli (sufficient) kanıt, "kafi miktarda" (enough) kanıt anlamına gelir.
Denetçi, başka bir denetçinin denetim görevini tekrarlaması halinde yine kendisiyle aynı
çıkarımlara ulaşmasını sağlayacak düzeyde, yeterli miktarda bilgi ve veri toplamalıdır.
13
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Bilginin ilgililiği (relevance), bilginin güvenilirliğiyle bağlantılı bir unsurdur. Kanıtların
güvenilirliğini tanımlamak için kullanılabilecek en uygun kelime yeterliliktir. Yeter
(competent) delil, elde edilen delillerin, destekledikleri çıkarım(lar)ı gerçekten doğruladıkları
anlamına gelir.
Kanıtların yeterliliğini (sufficiency) ve ilgililiğini belirleyen temel faktörlerden biri, bilgi
kaynağının güvenilirliğidir. Temel kural olarak, en nesnel delil kaynağı denetçinin kendisidir.
Şahsen denetçinin kendisi tarafından toplanan asıl kanıtlar genelde en güvenilir kanıtları teşkil
ederler. Denetlenenin sunduğu kanıtlar, ilave kanıt ve bilgilerle doğrulanmalıdırlar.
Toplanan kanıtların yeterliliği ve güvenilirliği ne kadar kuvvetliyse, görev neticesinde bir
sonuca varmak için kullanılan bilgilerin inandırıcılığı da o kadar güçlüdür.
İlgili kanıt, elde edilen kanıtın denetlenen unsurla ilgili olduğu ve görev planlama aşamasında
ortaya atılan sorulara cevap verdiği anlamına gelir.
Faydalı kanıt, kurumun hedeflerine ulaşmasını sağlar. Faydalı kanıt toplamakla ilgili bu süreç,
iç denetim biriminin oynadığı en önemli rollerden birini teşkil eder.
2320 sayılı standartta, "İç denetçiler, vardıkları sonuçları ve görevlerinden elde ettikleri
bulguları uygun analizlere ve değerlendirmelere dayandırmalıdırlar." ifadesi yer almaktadır.
Bu standart, varılan sonuçları destekleyecek kanıtların toplanmasıyla ilgilidir. Bilgi toplamak
için kullanılan iki temel denetim testi tipi, analitik prosedürler ve detay testleridir.10
Gözetimin Önemi
Görev sürecinin kritik aşamalarından bir diğeri denetimin gözetimidir, zira bu aşamanın kanıt
toplama aşamasının üzerinde dolaysız bir etkisi vardır. Gözetim ne denli etkiliyse, kanıt
toplama aşaması da o denli etkili seyreder ve sonuca varma süreci de o denli düzgün ve
sorunsuz devam eder.
Uygulama Önerisi 2340-1'e göre, görev gözetimi, "planlama aşamasından başlayarak görev
tamamlanana kadar devam eden bir süreçtir."
Bu süreçte, diğer faaliyetlerin yanı sıra aşağıda sıralanan faaliyetlerde bulunulur:
 Atanan denetçilerin, toplu olarak, görevi yerine getirmek için gereken bilgi, beceri ve
diğer yeterliliklere sahip olduklarından emin olunması.
 Görev planlama sırasında uygun talimatların verilmesi ve görev programının
onaylanması.
 Gerekçelendirilmiş ve yetkilendirilmiş olası değişiklikler olmadığı sürece onaylı görev
programının tamamlanmış olduğundan emin olunması.
 Görev çalışma kağıtlarının görevde yapılan gözlemler, varılan sonuçlar ve verilen
tavsiyeleri yeterli ölçüde desteklediklerinin belirlenmesi.
10
Bakınız: Sawyer, Internal Auditing: The Practice of Modern Internal Auditing, 5th Edition, The Institute of
Internal Auditors, 2003.
14
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
 Görevle ilgili rapor ve bildirimlerin doğru, nesnel, açık, net ve yapıcı olduklarından ve
yanı sıra zamanında yapıldıklarından emin olunması.
 Görev hedeflerine ulaşıldığından emin olunması.
 İç denetçilerin bilgi, beceri ve diğer yeterliliklerini geliştirme fırsatlarının sunulması.
Yeterli ve uygun bir gözetim süreci, oluşturulan belge ve kayıtların iç denetim standartlarını
karşılamalarını sağlar.
Çalışma Kağıtlarının İşlevleri
Yerine getirilen görevin kayıt altına alınması, denetim çalışmasının temel bir parçasını teşkil
eder, zira görev raporunda belirtilen tüm sonuç ve çıkarımlar, çalışma kağıtlarıyla
desteklenmelidirler.
"Uygulama Önerisi 2330-1: Bilgilerin Kaydedilmesi" başlıklı öneri maddesinde çalışma
kağıtlarının işlevleri ana hatlarıyla özetlenmekte olup çalışma kağıtlarıyla ilgili şu
gerekliliklerin üzerinde durulmaktadır:






Görevlerin planlanma, gerçekleştirilme ve incelenme süreçlerine yardımcı olmalı.
Görevde elde edilen bulgu ve sonuçları destekleyen ana unsur olmalı.
Görev hedeflerine ulaşıp ulaşılamadığını belgelemeli.
Gerçekleştirilen çalışmanın doğru, tam ve eksiksiz olduğunu desteklemeli.
İç denetim birinin kalite güvence ve geliştirme programı için zemin hazırlamalı.
Üçüncü şahıs incelemelerini kolaylaştırmalı.
Sonuçların Rapor Edilmesi
Görev sürecinde yer alan bir diğer adım, sonuçların rapor edilmesi ve bildirilmesidir.
Bu konuyla ilgili standartlar 2400 ilâ 2440 C2 aralığında bulunan standartlardır. Standartların
sonuçların raporlanmasıyla ilgili olarak gerektirdikleri en kritik unsurlar aşağıda ana hatlarıyla
aktarılmaktadır:
Standart 2420: Raporların Kalitesi - "Raporlar doğru, nesnel, açık, net, yapıcı ve
eksiksiz olmalı ve zamanında sunulmalıdırlar."
Yorum:
 Doğru iletişim ve raporlar, hata ve saptırma içermeyen ve altta yatan maddi olgulara
ve olaylara sadık kalan raporlardır.
 Nesnel iletişim ve raporlar adil ve tarafsızdır ve tüm ilgili mevcut belge ve bulgular
karşısında dürüst ve dengeli bir değerlendirmenin ürünüdür.
 Açık iletişim ve raporlar kolay anlaşılır ve mantıklıdır ve gereksiz teknik terimler ve
dil kullanmaktan kaçınır ve ilgili önemli bilgilerin tümünü verir.
 Net ve özlü iletişim ve raporlar, konunun özüne inen, gereksiz ve fazla ayrıntılardan
kaçınan ve laf kalabalığı yapmayan raporlardır.
 Yapıcı iletişim ve raporlar, denetlenenlere ve kuruma faydalı olan ve onların gereken
iyileştirme ve geliştirmeleri yapmalarına yardımcı olan raporlardır.
15
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
 Tam iletişim ve raporlar, hedef okuyucu kitlesi için önemli olan hiçbir bilgiyi
atlamayan ve tavsiye ve sonuçları desteklemek için gereken tüm bilgi ve tespitleri
içeren raporlardır.
 Zamanında sunulan iletişim ve raporlar ise, konunun önemine bağlı olarak, tam
zamanında ve uygun zamanda verilen raporlardır ve yönetimin gereken uygun
düzeltici eylem ve tedbirleri almasına olanak sağlarlar.
Görev sonuçlarının ilgili taraflara dağıtımı ve yayımı, iletişim aşamasının önemli bir
safhasıdır (Standart 2440).
Kapanış Görüşmesi
Her ne kadar nihai raporu verecek veya bildirimi yapacak taraf İDY olsa da, iç denetçi, nihai
rapor sunulmadan önce, görev neticesinde varılan çıkarımları ve verilen tavsiyeleri denetlenen
müşteri/birim/merciinin uygun yönetim kademeleriyle son kez tartışmak için uygun en iyi
yolu seçmelidir.
Bu konuda tercih edilen yöntem bir bitiş görüşmesi düzenlemektir. Bu toplantının
amaçlarından biri, ortada bir yanlış anlama veya yanlış yorumlama olmadığından emin
olmaktır.
Bitiş görüşmesinde yapılan tartışmalar belgelenmeli ve nihai rapora yansıtılmalıdırlar.
Görevlerin Takibi ve İzlenmesi
Görev süreciyle ilgili son -ama diğerlerine göre önemsiz olmayan- safha izleme aşamasıdır.
İlgili IIA standardı "2500: İlerlemenin Gözlenmesi (İzlenmesi)" başlıklı standarttır. Bu
sürecin ayrıntıları, 2500-1 ve 2500.A1-1 sayılı Uygulama Önerilerinde ortaya konmaktadır.
2500.A1-1 sayılı Uygulama Önerisinde, takip, "Dış denetçiler ve başka kaynaklardan gelenler
de dahil, rapor edilen gözlemler ve verilen tavsiyeler konusunda yönetimin attığı adımların
etkinliği ve yeterliliğini ve bu adımların zamanında atılıp atılmadığını değerlendirmek için iç
denetçilerin izlediği bir süreç. Bu süreçte, üst düzey yönetim ve/veya yönetim kurulunun
rapor edilen gözlem ve tespitler ışığında düzeltici adımlar atmadıkları takdirde oluşacak riski
üstlenip üstlenmedikleri de belirlenir." olarak tanımlanmaktadır.
Öte yandan, 2500.A1-1 sayılı Uygulama Önerisine göre, takip sürecinin tabiatı, zamanlaması
ve kapsamı, aşağıda sayılan faktörlere yönelik mülahazalar temelinde İDY tarafından
belirlenmelidir:





Rapor edilen gözlemlerin veya verilen tavsiyelerin önemi.
Rapor edilen durumu düzeltmek için gereken çaba ve maliyetin boyutları.
Düzeltici adımların başarısız olması durumunda oluşabilecek etki.
Düzeltici adımların kompleksliği.
İlgili süre.
16
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
İç Denetim Biriminin Kontrol Edilmesi
Bir Kalite Güvence ve Geliştirme Programının (QAIP) Oluşturulması Bir Kalite Güvence ve Geliştirme Programının Önemi
Griffen (2002) tarafından da belirtildiği gibi,11 "Kontrol, hedeflenen performans unsurlarının
kabul edilebilir sınırlar içerisinde kalmasını sağlamak üzere, kurumların faaliyetlerinin
düzenlenmesidir."
İlgili Standartlar arasında “1300: Kalite Güvence ve Geliştirme Programı”, “1310: Kalite
Güvence ve Geliştirme Programının Gereklilikleri”, “1311: İç Değerlendirmeler”, “1312: Dış
Değerlendirmeler”, “1320: Kalite Güvence ve Geliştirme Programıyla İlgili Raporlamalar”,
“1321: 'Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygun Yapılmıştır'
İbaresinin Kullanımı” ve “1322: Aykırılıkların Açıklanması” başlıklı standartlar bulunur.
 Standartlar’a göre, "İDY, iç denetim birimiyle ilgili tüm unsurları kapsayan bir kalite
güvence ve geliştirme programı geliştirmeli ve bu programı sürdürmelidir."
Bu tip bir program, periyodik harici ve dahili kalite değerlendirmelerini ve sürekli
devam eden dahili izleme sürecini kapsar. Program, kurumun operasyonlarına katkıda
bulunması ve geliştirmesinde iç denetim birimine yardımcı olacak ve birimin
Standartlar’a uygun hareket ettiği konusunda güvence sağlayacak şekilde tasarlanır.
1310-1 sayılı Uygulama Önerisi’ne göre, kalite programı değerlendirmelerinde aşağıdaki
unsurlar dikkate alınmalıdır:
 Önemli aykırılık vakalarını tersine çevirmek için uygun düzeltici adımların zamanında
atılması da dahil, İç Denetimin Tanımı, Etik Kuralları ve Standartlar'a uyum.
 İç denetim biriminin tüzük, hedefler, amaçlar, politikalar ve prosedürlerinin yeterliliği.
 Kurumun yönetişim, risk yönetimi ve kontrol süreçlerine katkı.
 Cari kanunlar, mevzuat ve diğer devlet veya sektör standartlarına uyum.
 Sürekli geliştirme faaliyetlerinin etkililiği ve en iyi uygulamaların benimsenip
benimsenmediği.
 İç denetim biriminin kurumun operasyonlarını ne denli geliştirip katkıda bulunduğu.12
11
Griffen, Ricky W., Management, 7th Edition, Houghton Mifflin Publishing, 2002.
Kalite güvence ve geliştirme programları hakkında daha fazla bilgi almak için, IIA'in http://www.theiia.org
adresli internet sitesinde yer alan "Kalite" bölümüne bakınız.
12
17
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Kamu Kurum veya Kuruluşunda İç Denetim Birimi
Oluşturulurken İzlenmesi Önerilen Uygulama Adımları ve İlgili
Süreç Takvimi
Bu bölümde verilen bilgilerin tek kaynağı, kamu kurum veya kuruluşlarında bir iç denetim
birimi kurma konusunda ilk elden tecrübeye sahip kişilerle yapılan yüz yüze görüşmelerdir.
İlk Altı Ay – Atılması Gereken Adımlar
1.
2.
3.
Tüm görüşmeciler, katılımcılar ve denetçiler, İDY’nin mümkün olan en kısa sürede bir
yönetici asistanını ve eğer kurumun büyüklüğü bunu gerektiriyorsa, bir iç denetim
yönetici yardımcısını işe alması gerektiğini genellikle kabul ettiler.
Bu aşamada, İDY’nin kendisine kamu kurumunda hizmet vermeye uygun herhangi bir
hukuk müşaviriyle bir ilişki kurması ve bu ilişkiyi geliştirmesi de önemli bir husustur.
İlk alınan personelin kullanımına sunmak için bazı temel ekipman, referans materyaller
ve yazılımlar satın alınmalıdır.
Aşağıda belirtilen faaliyetleri -belki de bir yardımcının desteğiyle- fiilen gerçekleştirmesi
gereken kişinin İDY olduğunu görüşme yapılan herkes onayladı. İDY’nin toplanan bilgilere
güven duyması önemlidir; yanı sıra, bu faaliyetler, iletişim kanallarının açılmasını, ilişkiler
kurulmasını ve iç denetim biriminin geleceğini hazırlaması ve planlaması için İDY’ye bir
zemin hazırlanmasını sağlayan faaliyetler olarak önem arz eden faaliyetlerdir.
4.
5.
6.
7.
8.
İç denetim biriminin oluşturulması için yasal zeminin araştırılması ve İDY’nin atanması.
Bu araştırmanın sadece mahalli kanunlar ve mevzuatla sınırlı kalmaması, ayrıca başka
herhangi bir eyalet, şehir, bölge veya ülkeyle ilgili ya da uluslararası ölçekli cari kanunlar
ve mevzuatı da kapsaması önemli bir husustur. Bu araştırmanın sonuçları; raporlama
ilişkileri, İDY ve ekip için istenen kalifikasyonlar (örneğin, sertifikalar), işten çıkarma
koşul ve şartları, bir denetim komitesi olsun ya da olmasın raporlama ilişkileri, denetim
komitesinin kompozisyonu, vb. unsurları etkileyebilir/belirleyebilir.
Kurumda izlenecek denetim standartlarının belirlenmesi. Örneğin, kamu denetimleri,
Birleşik Devletler’de ABD Sayıştayı (GAO) Kamu Denetim Standartlarına (“Sarı
Kitap”), Birleşik Krallık’ta Maliye Bakanlığı Kamuda İç Denetim Standartlarına ve
Kanada
Sayıştayı’nda
Sayıştay’ın
Kapsamlı
Denetim
Elkitabına
göre
gerçekleştirilmektedirler. Öte yandan, kamu sektöründe faaliyet gösteren denetim
gruplarından birçoğu Uluslararası Yüksek Denetim Kurumları Örgütü’ne (INTOSAI) üye
olmalarından dolayı INTOSAI’nın yayımladığı denetim standartlarına uygun hareket
eder. Avrupa Birliği’nde, birçok ülke, Kamu İç Mali Kontrolü’nde (PIFC) ortaya konan
ilkeleri izlemektedir.
Denetim faaliyetlerinin dış denetçiyle eşgüdümlendiği odak noktası olarak merkezi iç
denetim biriminde bir merkezi uyumlaştırma birimi (CHU) bulunan PIFC tarafından
önerilen organizasyonel yapıyı benimseme fikrinin dikkate alınması. Ayrıca, CHU, iç
denetim eğitimini merkezi olmayan iç denetim birimleriyle ve iç kontrol eğitimini kurum
içerisindeki bölüm müdürleriyle eşgüdümlemekten sorumludur.
Denetim evreninin tanımlanması.
İç denetimler, Standartlar, farklı denetim tipleri, iç kontroller, vb. unsurların rol ve
yöntemleri hakkında üst düzey yöneticiler ve tayin otoriteleriyle görüşülmesi.
a. Kullanılmakta olan süreçlerin öğrenilmesi.
b. İç kontrollerin değerlendirilmesi.
18
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
9.
10.
11.
12.
13.
14.
c. İlgili ortak konuların tespit edilmesi.
Üst düzey yöneticiler ve tayin otoritelerinin iç denetimler, Standartlar, farklı denetim
tipleri, iç kontroller, vb. unsurların rol ve yöntemleri hakkında eğitilmesi.
Bir risk değerlendirmesinin gerçekleştirilmesi.
a. Risklerin önceliklerine göre sıralanması ve iç denetim biriminin faydasını açığa
çıkarmak için hızla ilgilenilebilecek olanların tespit edilmesi.
b. Kurumun risk iştahının belirlenmesi.
Denetim tüzüğünün yazılması; yönetim ve konsey ya da denetim komitesinden onay
alınması.
Misyon, vizyon, temel değerler ve stratejik planın geliştirilmesi
Başlangıç risk değerlendirmesi temelinde, denetim planı taslağının hazırlanması; taslak
halindeki plan sunulabilir de sunulmayabilir de. Denetim planı taslağı en azından dış
denetçilerle koordine edilerek, aynı çalışmaların lüzumsuz yere iki defa yapılmasının
azami ölçüde önüne geçilmelidir.
Denetim kapasitesinin belirlenmesi ve bunun denetim çalışma planıyla ilişkilendirilmesi.
Taslak halindeki denetim planını hayata geçirmek için gereken kaynakların (personel ve
finansman) tahminen hesaplanması.
Altıncı Aydan Birinci Yıl Sonuna Kadar Veya Daha Uzun Bir Süre –
Atılması Gereken Adımlar
İlk yıl, temelde, yönetimin sizi denediği bir “sınama periyodu”dur. Bu süre zarfında İDY
hazırladığı programı “satar”. Tayin otoritesi ve/veya denetim komitesi, aşağıda listelenen
maddelerden bazılarının ilk altı ay içerisinde hayata geçirilmesini sağlayacak daha hızlı bir
uygulama programına ihtiyaç duyabilir.
Onaylanan başlangıç bütçesinin açık ve kesin bir dille belirtilmesi ve alınması.
Tahsis edilen kaynaklar temelinde (personel sayısı, iş sınıflandırmaları, idare, denetim
operasyonları, dışarıdan danışmanlık hizmeti alma ihtiyaçları, eğitim ihtiyaçları, vb.) bir
tahmini yıllık bütçenin önerilmesi.
3. Bir denetim elkitabı yazmaya başlanması; kurumun büyüklüğü buna uygunsa, elkitabı
geliştirme sürecinde yardımcının ve/veya bir kıdemli denetçinin yardımının alınması.
4. Belirtilen beceri ve tecrübe düzeylerine uygun ücretlerle birlikte detaylı iş tanımlarının
oluşturulması.
5. Üst düzey ekip lideri pozisyonları için deneyimli denetim personeline yönelik
araştırmaya başlanması.
6. Bir eğitim programı geliştirilmesi ve yeni personeli eğitecek ve ilk denetimlere önderlik
edecek kıdemli personelin işe alınması.
7. İç denetim işlevlerini yerine getirmek için gereken araç ve ekipmanın (özellikle laptoplar
ve yazılım) satın alınması.
8. İç denetimlere başlanması ve denetim planının uygulamaya konması.
9. Bir QAIP oluşturulması.
10. Olası sorunlu alanları hızla belirlemelerinde iç denetçilere yardımcı olması için veri
analizi aplikasyonları gibi bilgisayar-tabanlı denetim yazılımlarını satın almak üzere
zemin hazırlanması.
11. Yapılan beceri değerlendirmelerine göre, resmi nitelikli bir personel eğitim ve geliştirme
planı uygulanması.
12. Yeteri kadar üst düzey bir memur, gözetim organı veya denetim komitesinin gözetiminde
bir bağımsız iç denetim birimi oluşturmak için ortaya konan çabaların sürdürülmesi.
1.
2.
19
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
13. Günümüzde Avrupa Birliği genelinde benimsendiği gibi, bir CHU kurmaya dönük
çabaların sürdürülmesi.
14. İç denetim birimi ile kamu sektörü yönetici ve çalışanları arasında kesintisiz ve devamlı
erişim, girdi alışverişi ve iletişimin sağlanması.
a. İç denetim programının kesintisiz ve devamlı olarak pazarlanmasının sağlanması.
b. Kamu sektörü personelinden bilgi ve geribildirim talep edilmesi.
c. Konsey ve/veya denetim komitesi için azami iki sayfalık bir özetle birlikte, bölüm
müdürü için her ay bir yazılı rapor hazırlanması.
d. Üst düzey müdürler için, her üç ayda bir iç denetim birimi hakkında bir bülten
sunulması.
e. Güncel denetim planını yayımlamak için bir internet sitesi oluşturulması ve nihai
denetim raporlarının buraya aktarılması; vatandaşlardan gelen görüş ve
geribildirimlerin alınması, vb.
15. Müdürler, konsey ve denetim komitesiyle kesintisiz devam eden ilişkilerin kurulması.
16. Dış denetçilerle ilişki kurulması.
17. Yapılan denetimlerle ilgili düzeltici adımların ve takip sürecinin durumunu izlemek için
veritaban(lar)ı oluşturulması.
Kesintisiz / Devamlı
1.
2.
3.
4.
5.
6.
7.
8.
9.
Kurulan ilişkilerin korunması.
Yönetim kurulu toplantılarında hazır bulunulması.
Risk değerlendirmesinin devamlı güncellenmesi.
Denetim planının devamlı güncellenmesi.
İç denetim birimi ve İDY üzerindeki siyasi baskı ve nüfuzu asgari düzeye indirmeye
çalışılması.
Esnek olunması ve değişime uyum sağlanması.
Bir dahili QAIP ve harici kalite güvence incelemesinin (QAR) uygulamaya konması. İç
denetim birimini sürekli geliştirme yaklaşımının korunması.
Mesleki standartları karşılamak için devamlı gelişmeye açık olunması.
Geçerli en iyi uygulamaları araştırıp kullanmaya başlayarak ve dünya standardında
kurumlarla kıyaslama yaparak, iyileştirme ve geliştirme çalışmalarına sürekli devam
edilmesi.
20
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Varılan Sonuçlar
Bu dokümanın amacı, bir kamu kurum veya kuruluşunda yeni atanmış bir İDY’ye, yeni bir iç
denetim birimi kurması ya da kötü işleyen bir iç denetim birimini geliştirmesinde yardımcı
olacak en iyi uygulamaları ve diğer bilgileri vermektir. Bu doküman, konuyla ilgili pratik,
adım-adım sunulan, tavsiye niteliğindeki bilgi ve talimatları içermektedir. Kamu sektöründe
bir iç denetim birimini ilk iki yıl ve takip eden periyot için başarıyla planlayıp oluşturmak
veya geliştirmek için gereken standartları, işe alım sürecini ve personel kalifikasyon ve
kaynaklarını özetlemektedir. Bu doküman sadece kapsamlı bir teorik çerçeve çizmekle
kalmaz, aynı zamanda, İDY için, işlerin idealde ne sırada yerine getirilmesi gerektiğini
gösteren bir kronolojik liste sunar.
Bu doküman; mevcut literatüre yönelik bir değerlendirme, cari UMUÇ kılavuzları ve bu
alanda deneyimli uzmanlardan alınan uygulama önerilerinden oluşan bir derlemedir.
İDY’lerin yanlış adımlar atma ve tuzağa düşme olasılıklarını ortadan kaldırmak maksadıyla
oluşturulmuştur. İDY; organizasyon, yönetme ve kontrol olarak ayrılan üç temel kısımdan
oluşan bir iş modelini izleyerek işe başlar. Son olarak, dikkate alınması ve/veya hayata
geçirilmesi gereken adımlardan müteşekkil bir kronolojik liste verilmektedir.
Önerilen adım ve standartların hepsine uyulursa, İDY, zamanı geldiğinde bir QAR için hazır,
kapsamlı ve eksiksiz bir kamu sektörü iç denetim birimi kurmuş olacaktır. İDY, iç denetim
birimini ilk iki yıl ve takip eden periyot içerisinde IA-CM 1 ve 2 düzeylerinden 3 düzeyine
çıkarmak için hızlı davranmalıdır.
21
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Yazarlar, Katkıda Bulunanlar ve Gözden Geçirenler
Yazarlar
Gualter Portella, CIA, CGAP
Christie J. O’Loughlin, CGAP
Katkıda Bulunanlar ve Gözden Geçirenler
Paul J. Duggan, CA, CIA, CISA (Denetim Hizmetleri Direktörü, York Bölge Belediyesi,
Ontario Eyaleti, Kanada)
Scottie Nix, CIA (Belediye Denetçisi, Tacoma, Washington)
Harriet Richardson, CPA, CIA, CGAP (Eski Belediye Denetçisi Yardımcısı, Atlanta; şimdi,
San Francisco Belediye Denetçisi ve ayrıca, yeni bir performans denetim işlevini yerine
getirmek üzere Washington Eyaleti Denetim Bürosu’nda görevli)
Susan Cohen (Eski Belediye Denetçisi, Seattle)
Jesse W. Hughes, Ph.D., CPA, CIA, CGFM (Uluslararası denetim alanında kapsamlı bir
tecrübeye sahip Fahri Profesör, Old Dominion University, Norfolk, Virginia)
Daniela Danescu, CIA, CGAP (Eskiden Romanya devleti için de çalışmış olan Hollandalı bir
iç denetim danışmanı)
Steve Goodson, CIA, CISA (Texas Kamu Güvenliği Dairesi’nde İDY)
Elizabeth (Libby) MacRae, CGAP
Kenneth J. Mory, CIA, CPA, CISA (Belediye Denetçisi, Austin, Texas)
Greg Hollyman, CGAP, CFSA, CFE, CISA, CCSA, CIA (Johannesburg Belediyesi Eski
İDY’si, Güney Afrika Posta Ofisi’nin Eski İDY’si, Port Philip Belediyesi Eski İDY’si ve
Whitehorse Belediyesi’nde Denetim Komitesi Azası)
Josh Richardson, CIA, CFE, CISA (İç Denetim Direktörü, Oklahoma Öğretmen Emeklilik
Sistemi)
22
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Ek – İç Denetim Birimi İçin Tüzük Örneği13
Misyon ve İşin Kapsamı
İç denetim departmanının misyonu, kurumun operasyonlarına değer katıp onları geliştirmek
için tasarlanmış bağımsız ve nesnel güvence ve danışmanlık hizmetleri sağlamaktır.
Yönetişim, risk yönetimi ve kontrol süreçlerinin verimliliğini değerlendirip arttırmak için
sistematik ve disiplinli bir yaklaşım getirerek, kurumun hedeflerine ulaşmasına yardımcı
olur.
İç denetim departmanının iş kapsamı, kurumun yönetişim, risk yönetimi ve kontrol süreçleri
ağının, yönetim tarafından öngörülüp tasarlandığı gibi, aşağıda sayılan unsurların yerine
getirilmesini sağlayacak yeterlilikte ve işlerlikte olup olmadığının belirlenmesidir:
 Riskler gereğine uygun tespit edilip yönetiliyorlar.
 Çeşitli
yönetişim
gruplarıyla
sürdürülen
iletişimler
gereğine
uygun
gerçekleştiriliyorlar.
 Önemli finansal, yönetimsel ve operasyonel bilgiler zamanında sunuluyorlar ve
doğruluk ve güvenilirliklerini koruyorlar.
 Çalışanlar; politikalar, standartlar, prosedürler ve cari kanunlar ve mevzuata uygun
hareket ediyorlar.
 Yükleniciler ve ortak girişimler dahil, üçüncü şahıslarla içine girilen etkileşimler ve
yapılan düzenlemeler; politikalar, standartlar, prosedürler ve cari kanunlar ve
mevzuata uygun bir çerçevede sürdürülüyorlar.
 Kaynaklar ekonomik ve verimli kullanılıyor ve yeterli düzeyde korunuyorlar.
 Programlar, planlar ve hedefler yerine getiriliyorlar.
 Kurumun kontrol sürecinde kalite ve kesintisiz gelişim teşvik ediliyor.
 Kurumu etkileyen, kanunlara ve mevzuata uyumla ilgili meseleler zamanında fark
edilip gereğine uygun tarzda çözüme kavuşturuluyorlar.
İç denetim departmanının misyonuyla tutarlı ve uyumlu oldukları sürece ek danışmanlık
hizmetleri de verilebilir. Bu gibi danışmanlık hizmetleri, genelde, kurumun risk yönetimi,
kontrol ve yönetişim süreçlerinde yapılması düşünülen ya da yapılan değişikliklerin
etkilerinin değerlendirilmesiyle ilgili olacaklardır.
Denetimler sırasında, yönetimin kontrolünü, kârlılığı ve kurumun imajını yükselten fırsatlarla
da karşılaşılabilir. Bu fırsatlar, uygun yönetim seviyesine rapor edileceklerdir.
13
İç denetim birimi için tüzük örneği IIA tarafından hazırlanmıştır; IIA’in internet sitesinde, denetim komiteleri
için ikinci bir denetim tüzüğü örneği bulunmaktadır.
23
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Hesap Verebilirlik
İç denetim yöneticisi (İDY), görevlerini yerine getirirken, aşağıda sayılan hususlarda
yönetime ve denetim komitesine karşı sorumluluk taşır:
 Misyon ve işin kapsamı altında ortaya konan alanlarda gerçekleştirilen faaliyetlerin
kontrolü ve açığa çıkan risklerin yönetilmesiyle ilgili kurumsal süreçlerin yeterlilik ve
verimliliği konusunda güvence sağlanması.
 Kurum ve onun iştiraklerine ait faaliyetlerin kontrol edilmesiyle ve risklerin
yönetilmesiyle ilgili süreçlerde açığa çıkan -bu süreçleri geliştirme fırsatları dahilönemli meselelerin rapor edilmesi ve çözüm sürecinde bu meseleler hakkında bilgi
vermeye devam edilmesi. Bunun kapsamına, risk yönetimi ve yönetişim uygulamaları
da girer.
 Yıllık denetim planının durumu ve sonuçları ve departman kaynaklarının yeterliliği
hakkında periyodik olarak bilgi sunulması. Yıllık denetim planında geçen riskleri de
karşılamak için, şirket-içi personel ve eş-kaynak kullanımı aracılığıyla, kaynakların
miktar ve yetkinlik açısından yeterli oldukları yönünde güvence verilmesi de buna
dahildir.
 Dış denetçiyle eşgüdüm sağlanması ve diğer kontrol ve izleme işlevleri (risk
yönetimi, yönetişim, uyum, güvenlik, hukuk, etik, ortam) hakkında güvence
sağlanması.
 Yönetimin önemli mesele ve tavsiyelerle ilgili olarak attığı adımların etkili bir
uygulama çerçevesinde sürdürülüp sürdürülmediğini izlemek ve gözlemek için bir
takip sürecinin oluşturulması
Bağımsızlık ve Nesnellik
İç denetim departmanının kurum içerisinde bağımsızlığa sahip olmasını ve iç denetim
personelinin nesnelliğini korumasını sağlamak için, iç denetim personelinin doğrudan
doğruya İDY’ye, İDY’nin ise işlevsel olarak denetim komitesine ve idari olarak CEO’ya
rapor vermesi gerekir. İDY, kuruma bağlı bir memur olmalıdır. İç denetim birimi, denetim
komitesine sunduğu raporların bir parçası olarak, iç denetimin bağımsızlığıyla ve iç denetim
kapsamı, iletişimler ve raporlar, erişim ve kaynaklarda (kurum personeli ve dışarıdan alınan
kaynaklar dahil) karşılaşılan yersiz kısıtlamalarla ilgili bir yıllık rapor da sunacaktır.
İç denetim biriminin bağımsızlık ve nesnelliğinin desteklenmesi için denetim komitesinin iç
denetim alanında görünür olması önemli bir husustur ve bundan dolayı, denetim komitesi,
aşağıda sayılan konularda rol oynamalıdır:
 İç denetim tüzüğünün onaylanması.
 Risk-esaslı iç denetim planının onaylanması.
 İç denetim departmanının iç denetim planı ve diğer konularla ilgili performansı
hakkında İDY’den gelen raporların alınması.
 İDY’nin tayini ve azliyle ilgili kararların onaylanması.
 İDY’nin performans değerlendirmesi ve maaşı hakkında karar verilmesi.
 İşin kapsamıyla ilgisiz faaliyetler yürütülüp yürütülmediğini ya da lüzumsuz kaynak
24
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
kısıtlamaları olup olmadığını belirlemek için, yönetim ve İDY’ye yönelik uygun
soruşturmaların yapılması.
Sorumluluk
İDY’nin sorumlulukları şunlardır:
 Yönetim tarafından tespit edilen herhangi bir risk veya kontrol meselesi de dahil,
uygun bir risk-esaslı metodoloji kullanarak esnek bir yıllık denetim planı geliştirmek
ve takip eden periyodik değişiklik ve düzeltmelerle birlikte bu planı, gözden geçirip
onaylaması için üst düzey yönetim ve denetim komitesine sunmak.
 İç denetim kapsamını, yeni risklerin açığa çıktığı önemli alanlar dahil, kurumun
stratejik, operasyonel, uyumla ilgili ve finansal riskleriyle uyumlulaştırmak.
 Uygunsa ve uygun olduğunda yönetim ve denetim komitesince talep edilen özel
görev veya projeler de dahil, onaylanmış haliyle yıllık denetim planını uygulamak.
 İç denetim personeli dahil mesleki iç denetim kaynaklarını ve uygunsa ve uygun
olduğunda, iç denetim tüzüğünün gerekliliklerini karşılamak için gereken yeterli
bilgi, beceri, deneyim ve mesleki sertifikalara sahip diğer iç veya dış kaynakları
korumak.
 Birleştirilen/konsolide edilen önemli işlevleri ve yeni veya değişen hizmetleri, iş
birimlerini, süreçleri, sistemleri ve operasyonları ve bunların geliştirilmesi,
uygulamaya konması ve/veya genişletilmesiyle paralel kontrol süreçlerini ölçmek ve
değerlendirmek.
 Denetim komitesi ve yönetime, denetim faaliyetlerinin sonuçlarını özetleyen
periyodik raporlar sunmak.
 İç denetim alanında yeni ortaya çıkan trendler ve başarılı uygulamalar hakkında
denetim komitesini bilgilendirmek.
 İç denetim ölçümlerinin hedeflerini ve sonuçlarını denetim komitesine sunmak.
 Kurum içerisinde hileli olduğu yönünde şüphe çeken faaliyetler görülmesi halinde
bunların soruşturulmasına uygun görülen şekilde yardımcı olmak ve elde edilen
sonuçları yönetime ve denetim komitesine bildirmek.
 Makul bir toplam maliyet karşılığında kuruma optimal denetim kapsamını
kazandırmak amacıyla, dış denetçiler ve düzenleyici kurumlarca gerçekleştirilen
denetim faaliyetlerinin kapsamını uygun görülen şekilde değerlendirmek.
 Yönetimsel bir sorumluluğun altına girmeksizin, uygun görülen hallerde ve
durumlarda yönetime danışmanlık ve müşavirlik hizmetleri vererek, kurumun
yönetişim, risk yönetimi ve kontrol süreçlerine değer katmak ve bunları geliştirmek.
 Bir kalite güvence ve geliştirme programını (QAIP) tatbik ederek, İDY'nin iç denetim
faaliyetlerinin etkin ve etkili bir çerçevede süregelmesini güvence altına almasını ve
yılda bir defa olmak üzere, ilgili programdan alınan sonuçlar hakkında denetim
komitesine rapor sunmasını sağlamak.
25
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Yetki
İDY, aşağıda sayılanları yapmaya yetkilidir:
 İç denetim personeli ve sözleşmeli kaynaklar için tüm kurumsal birimler, kayıtlar,
mülkiyet ve personele sınırsız erişim sağlamak.
 Denetim komitesine tam ve serbest erişime sahip olmak.
 Kaynakları tahsis etmek, denetim sıklığını ayarlamak, denetim konularını seçmek,
işin kapsamını belirlemek ve denetim hedeflerine ulaşmak için gereken teknikleri
uygulamak.
 Kurum birimlerindeki veya kurumla sözleşmeli, denetimin gerçekleştirildiği kurum
veya kuruluşlardaki personelin ve yanı sıra, kurum içi veya dışı, diğer uzman hizmet
sağlayıcılarına bağlı personelin gerektiğinde yardımını almak.
 Uygun görüldüğü takdirde, yönetime danışmanlık hizmetleri vermek.
İDY ve iç denetim personeli, aşağıda sayılanları yapmaya yetkili değildirler:
 Kurum veya onun iştirakleri için herhangi bir operasyonel görevi yerine getirmek.
 İç denetim departmanıyla ilgili olmayan muhasebe işlemleri başlatmak veya
onaylamak.
 İç denetim departmanında çalışmayan herhangi bir kurum personelinin faaliyetlerini
yönlendirmek (bu personelin iç denetim ekiplerine atanmasının uygun görüldüğü ya
da iç denetçilere yardımcı olmasının gerektiği haller dışında).
İç Denetim Standartları
İç denetim mesleği, İç Denetçiler Enstitüsü Uluslararası Mesleki Uygulamalar Çerçevesi
kapsamında standardize edilen bir meslektir. Bu çerçeve, İç Denetimin Tanımı, Etik
Kuralları ve Uluslararası İç Denetim Mesleki Uygulama Standartları'ndan oluşan uyulması
zorunlu unsurları içerir. İç denetim departmanı, mesleğin icra edilebilmesi için uyulması
zorunlu olan bu gereklilikleri ya karşımalı ya da daha iyisini yapmalıdır.
İDY, iç denetim faaliyetlerinin etkili bir çerçevede süregeldiğini güvence altına almasına
yarayan iç denetim QAIP programından alınan sonuçları her yıl belirli bir tarihte denetim
komitesiyle tartışacaktır.
İç Denetim Yöneticisi _______________________________________________________
CEO ____________________________________________________________________
Denetim Komitesi Başkanı ___________________________________________________
Tarih ____________________________________________________________________
26
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Ek - Kamu Sektörü İçin İç Denetim Kapasite Modeli
İç Denetim Kapasite Modeli (IA-CM) fikri, ilk olarak IIA Kamu Sektörü Komitesi tarafından
dile getirilmiştir. İlgili araştırmayı IIA Araştırma Vakfı (IIARF) finanse etmiş ve model 2009
senesinde yayımlanmıştır. IA-CM, devlet kurumlarında ve daha geniş olarak tüm kamu
sektöründe etkili bir iç denetim mekanizması kurmak için gereken esasların ortaya konduğu
bir çerçevedir. Bu model, bir iç denetim (IA) biriminin kendisiyle ilgili süreçleri ve
uygulamaları tanımlayarak, uygulamaya koyarak, ölçerek, kontrol ederek ve geliştirerek
izleyebileceği düzeyleri ve aşamaları göstermektedir.
Bir IA biriminin temel unsurlarının her biri için toplam beş kapasite düzeyi bulunmaktadır.
Her düzeyin, bağlantılı anahtar süreç alanlarıyla (Key Process Areas-KPA'lar) ilgili kendine
has ayırt edici özellikleri vardır. Aşağıdaki grafik ve çizelge, her düzey için IA biriminin
karakteristiklerini göstermektedir.
İç Denetim Kapasite Modeli Düzeyleri
27
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması



5 – OPTİMİZASYON






4 - YÖNETİM







3 – ENTEGRASYON



IA, süreçleri sürekli geliştirip yenileyen, her daim öğrenmeye
açık bir birim haline gelmiştir.
IA, stratejik hedeflere ulaşma konusunda yardımcı olmak için,
kurum içinden ve dışından gelen bilgileri kullanmaktadır.
Dünya
standardında/önerilen/en
iyi
uygulamalar
gerçekleştirilmektedir.
IA, kurumsal yönetişim yapısının kritik bir parçasını teşkil
etmektedir.
Belirli alanlarda uzmanlaşmış, becerikli, üst düzey iç
denetçilerden oluşan bir ekip bulunmaktadır.
Performans artışlarını sürdürmek ve yönlendirmek üzere
belirlenen bireysel, birim çapında ve kurumsal performans
ölçütlerinin entegrasyonu tamamlanmıştır.
IA ve kilit paydaşların beklentileri uyumludur.
IA süreçleri ve sonuçlarını ölçmek ve izlemek için gereken
performans ölçütleri bulunmaktadır.
IA, kuruma önemli ve anlamlı katkılar sağlayan bir birim
olarak tanınmaktadır.
IA, kurumun yönetişim ve risk yönetiminin tamamlayıcı,
değişmez bir parçası olarak işlev göstermektedir.
IA, iyi yönetilen bir işletme birimidir.
Riskler kantitatif olarak ölçülüp yönetilmektedirler.
Sürekli yenilenme ve bilgi paylaşma (hem IA içinde hem de
kurum genelinde) kapasitesiyle birlikte gereken beceriler ve
yeterlilikler sağlanmış durumdadır.
İç denetim (IA) politika, süreç ve prosedürleri tanımlı, belgeli
ve kurumun altyapısına entegre haldedir.
IA yönetimi ve mesleki uygulamaları iyi yapılandırılmıştır ve
IA birimi genelinde daima eşit ölçüde uygulanmaktadır.
IA, kurumun faaliyet gösterdiği iş sektörü ve kurumun
yüzleştiği risklerle aynı eksene gelmeye başlamaktadır.
IA, sadece geleneksel denetimler gerçekleştiren bir yapıdan,
bir takım oyuncusu olarak kuruma entegre olan bir yapıya
çevrilmekte ve performans ve risk yönetimi konusunda
tavsiyelerde bulunmaktadır.
IA biriminin kapasitesine ve ekip kurma sürecine ve yanı sıra
birimin bağımsızlığına ve nesnelliğine odaklanılmaktadır.
Standartlar'a genelde uyulmaktadır.
28
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması


2 – ALTYAPI






1 - BAŞLANGIÇ





Düzey 2 ile ilgili kilit soru veya güçlüklerden biri, süreçlerin
tekrarlanabilirliğinin ve dolayısıyla tekrarlanabilir bir
kapasitenin nasıl sağlanıp korunabileceğidir.
IA raporlama ilişkileri, yönetimsel ve idari altyapılar ve
mesleki uygulama ve süreçler kurulmuştur (IA kılavuzu,
süreçleri ve prosedürleri).
Denetim planlaması, esasen yönetimin önceliklerine
dayanmaktadır.
Belirli kişilerin becerilerine ve yetkinliklerine duyulan güven
temelinde ilerleme devam etmektedir.
Standartlar'a kısmen de olsa uyum sağlanmıştır.
Henüz planlaması veya yapılandırması tamamlanmamıştır.
Belirli belge ve işlemlerin doğruluk ve uygunluğunun
değerlendirildiği izole münferit denetimler veya incelemeler
yapılmaktadır.
Yapılan çalışmalar, temelde belirli personelin becerilerine
dayanmaktadır.
Meslek örgütlerinin şart koştuğu uygulama ve prosedürler
dışında oluşturulmuş herhangi bir mesleki uygulama
bulunmamaktadır.
Yönetimden alınması gereken finansman onayı alınmıştır.
Altyapı yoktur.
Çalışmakta olan denetçiler büyük ihtimalle esasen daha büyük
bir kurumsal birime bağlı personeli teşkil etmektedir.
Kurumsal kapasite henüz geliştirilmemiştir.
Bir IA birimiyle ilgili altı adet asli unsur bulunmaktadır. Bunların ilk dördü temelde IA
biriminin kendisinin yönetimi ve uygulamalarıyla ilgilidir. Son iki unsur, IA biriminin
desteklediği kurumla ve iç ve dış ortamla kurduğu ilişkiyle ilgilidir.
Bu altı asli unsur şunlardır:
 İç Denetimin Hizmetleri ve Oynadığı Roller - İç denetim biriminin verdiği hizmetler
arasında, güvence ve danışmanlık hizmetleri ve yanı sıra, dış hizmet sağlayıcılarıyla
eş-kaynak kullanımı çerçevesinde yerine getirilen hizmetler bulunmaktadır. İç denetim
biriminin oynadığı rol, hedeflerine ulaşmasında ve operasyonlarını geliştirmesinde
kuruma yardımcı olmak maksadıyla bağımsız ve nesnel değerlendirmeler hazırlayıp
sunmaktır.
 İnsan Yönetimi - İnsanların sahip oldukları kabiliyetleri en iyi düzeyde
sergilemelerini mümkün kılan bir çalışma ortamı yaratma sürecidir. İnsan yönetimi
sürecinin kapsamında, iş tanımları, işe alım, performans standartları, mesleki gelişim,
eğitim, sürekli rehberlik ve kariyer geliştirme bulunmaktadır.
29
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
 Mesleki Uygulamalar - İç denetim faaliyetlerinin gereken mesleki özen ve hassasiyet
gösterilerek, ustalıkla ve etkili bir çerçevede gerçekleştirilmelerini mümkün kılan tam
ve eksiksiz bir politika, süreç ve uygulama zeminini yansıtmaktadır.
 Performans Yönetimi ve Hesap Verebilirlik - İç denetim birimiyle ilgili
operasyonları yönetmek, gerçekleştirmek ve kontrol etmek ve iç denetim
faaliyetlerinin performansı ve sonuçlarını izah etmek için gereken bilgilerle ilgilidir.
 Kurum İçi İlişkiler ve Kültürler - İç denetim biriminin içerisindeki kurumsal yapı ile
dahili yönetim ve ilişkileri ve yanı sıra iç denetim yöneticisinin üst düzey yönetimle
kurduğu ilişkiyi kapsamaktadır.
 Yönetişim Yapıları - İç denetim yöneticisinin raporlama ilişkileriyle (idari ve
işlevsel) ve iç denetim biriminin kurumun örgütsel yapısı ve yönetişim yapısı
içerisinde nasıl konumlandığıyla ilgilidir.
IA birimiyle ilgili bu altı asli unsurun her birinin dahilinde birkaç KPA bulunur. Bu yapı
blokları, bir IA biriminin kapasitesini belirlerler. KPA'lar, bir sonraki kapasite düzeyine
çıkmak için atılması gereken adımlar veya bulunması gereken öğelerdir. KPA'ların her biri,
bir amaç, temel faaliyetler, çıktılar, sonuçlar ve kurumsallaştırma uygulamalarından oluşur.
KPA'lar, her asli unsur kapsamında ve her kapasite düzeyinde olmak üzere, bir diğer KPA
temelinde kurulur ve daha yüksek düzeydeki KPA'nın uygulamaya konması için zemin
oluştururlar.
Bir sonraki sayfada, tüm kapasite düzeyleri, IA asli unsurları ve bağlantılı KPA'ların
bulunduğu IA-CM matrisi gösterilmektedir.
30
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
İç Denetim Kapasite Modeli Matrisi
IA HİZMETLERİ
VE
OYNADIĞI ROL
Düzey 5 Optimizasyon
IA, Değişim İçin
Kilit Unsur Olarak
Tanınıyor.
Düzey 4 Yönetim
Yönetişim, Risk
Yönetimi ve
Kontrol Hakkında
Genel Güvence
Düzey 3 Entegrasyon
Düzey 2 Altyapı
Düzey 1 Başlangıç
Danışmanlık
Hizmetleri
Performans /
Paranın Değerinin
Karşılığı Denetimi
Uyum Denetimi
PERFORMANS
YÖNETİMİ VE
HESAP
VEREBİLİRLİK
KURUM İÇİ
İLİŞKİLER VE
KÜLTÜRLER
YÖNETİŞİM
YAPILARI
Etkili ve Kesintisiz
İlişkiler
IA Biriminin
Bağımsızlığı, Gücü
ve Yetkisi
İNSAN YÖNETİMİ
MESLEKİ
UYGULAMALAR
Mesleki Kurum ve
Kuruluşlarla Liderlik İlişkisi
Mesleki Uygulamalarda
Sürekli Gelişim
İşgücü Projeksiyonu
Stratejik IA Planlaması
IA Verimliliği
Konusunda Kamu
Raporlaması
Denetim Stratejisi,
Kurumun Risk
Yönetimini
Güçlendiriyor
Kalitatif ve Kantitatif
Performans
Ölçütlerinin
Entegrasyonu
İDY, Üst Düzey
Yönetime Tavsiye
Veriyor ve Onu
Etkiliyor
Kalite Yönetimi
Çerçevesi
Performans Ölçütleri
Diğer İnceleme
Gruplarıyla Eşgüdüm
IA Birimi Üzerinde
Yönetimin Gözetimi
İşgücü Eşgüdümü
Risk-Esaslı Denetim
Planları
IA Yönetim Raporları
Yönetim Ekibinin
Tamamlayıcı Parçası
Finansman
Mekanizmaları
Bireysel Mesleki Gelişim
Mesleki Uygulamalar
ve Süreçler Çerçevesi
IA Birimi İçerisinde
Yönetim
Kurumun Bilgilerine,
Varlıklarına ve
Çalışanlarına Tam
Erişim
IA Yönetimin Gelişmesine
Katkıda Bulunuyor
IA Birimi, Mesleki Kurum
ve Kuruluşları Destekliyor
İşgücü Planlaması
Ekip Kurma ve Yetkinlik
Mesleki Olarak
Kalifiye Ekip
Becerikli İnsanlar Tespit
Edilip İşe Alınıyor
Yönetim / Paydaş
Önceliklerine Dayanan
Denetim Planı
Maliyet Bilgileri
IA Operasyon Bütçesi
IA İş Planı
IA Biriminin
Bağımsız Gözetimi
İDY, Üst Düzey
Otoriteye Rapor
Veriyor
Raporlama İlişkileri
Kurulmuş
Henüz planlaması ve yapılandırması tamamlanmamış; belirli belge ve işlemlerin doğruluk ve uygunluğunun değerlendirildiği izole münferit denetimler
veya incelemeler yapılıyor; yapılan çalışmalar, temelde belirli personelin becerilerine dayanıyor;
meslek örgütlerinin şart koştuğu uygulama ve prosedürler dışında oluşturulmuş herhangi bir mesleki uygulama bulunmuyor; yönetimden alınması
gereken finansman onayı alınmış; altyapı yok; çalışmakta olan denetçiler büyük ihtimalle esasen daha büyük bir kurumsal birime bağlı personeli teşkil
ediyorlar; yerleşik kapasiteler yok; dolayısıyla spesifik kilit süreç alanları yok.
31
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet
gösteren bir meslek örgütüdür ve genel merkezi Altamonte Springs, Fla., ABD adresinde
bulunur. IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, baş savunucusu ve
baş eğitmenidir.
Ek Rehber Hakkında
Ek Rehber, IIA’e ait UMUÇ’un parçası değildir. UMUÇ’a uygun, IIA tarafından geçerliliği
kabul edilen bir referans metindir ve UMUÇ’un uygulanması ve iç denetim faaliyetleri
sırasında uygulayıcılar için yararlı olabileceği düşünülmektedir. Rehberin, uygulayıcının
kurumuna ve iç denetim faaliyetinin güvence ve danışma amaçlarına uygun ölçüde
kullanılması tavsiye edilir. Bu tür tüm materyallerin içerikleri oluşturulurken IIA tam ya da
kısmi katılım göstermelidir. Bu kategori, başka kurum ya da bireyler tarafından oluşturulan
materyalleri desteklemek ya da teşvik etmek için hazırlanmamıştır.
IIA tarafından yayımlanan diğer yol gösterici
www.globaliia.org internet sayfamızı ziyaret ediniz.
rehberlere
ulaşmak
için
lütfen
Sorumluluk Reddi
Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit
koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanılmalıdır. IIA, her zaman,
doğrudan doğruya belirli durumlarla ilgili bilgi almak için bağımsız uzmanlara danışmanızı
tavsiye eder. IIA, yalnızca bu rehber esas alınarak alınan kararlar veya atılan adımlardan
doğabilecek zararlar için hiçbir sorumluluk kabul etmez.
Telif Hakkı
Telif Hakkı © 2012 İç Denetçiler Enstitüsü. Çoğaltmak için lütfen guidance@theiia.org eposta adresi üzerinden IIA ile iletişime geçiniz.
32
Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması
Uluslararası İç
Denetçiler
Enstitüsü
Global
GENEL MERKEZ
T: +1-407-937-1111
247 Maitland Ave.
F: +1-407-937-1101
Altamonte Springs, FL 32701 ABD
İ: www.theiia.org
33
Download