KAMU İÇ DENETİM YAZILIMI (İçDen) KULLANIM KILAVUZU

Transkript

1 KAMU İÇ DENETİM YAZILIMI (İçDen) KULLANIM KILAVUZU

2 AĞUSTOS 2014 SÜRÜM 1 İÇİNDEKİLER 1. İçDen Kamu İç Denetim Yazılımına Giriş Denetim Evreni Denetçi Birimler Faaliyet Denetim Evreni Yönetim Faaliyetleri Plan Dönemi Makro Risk Değerlendirmesi Denetim Alanları Denetim Stratejisi Denetim Planı Denetim Programı Program Dışı Denetim Denetim Görevleri Denetim Başlatma Görev Süre Planı Ön Çalışma Risk Kontrol Matrisi Çalışma Planı Saha Çalışması Raporlama ve İzleme Bulguların Paylaşılması Denetlenenin Görüşü Denetim Görüşü Denetim Raporu Bulgu Görevlendirmesi İzleme

3 2

4 1. İçDen Kamu İç Denetim Yazılımına Giriş İçDen yazılımına girmek için web tarayıcısının adres bölümüne yazılarak İç Denetim Koordinasyon Kurulu ana sayfasına girilmesi gerekmektedir. Ana sayfanın sağ alt bölümünde yer alan İçDen bölümü tıklanarak kimlik doğrulama ekranına ulaşılmaktadır. Kimlik doğrulama ekranında denetçi tarafından aşağıdaki bilgilerin girilmesi gerekmektedir. Sertifika Numarası: İç denetçi sertifika numarasıdır. Kullanıcı Şifre: Denetçi tarafından belirlenen şifredir. Güvenlik Kodu: Giriş sayfası her görüntülendiğinde yazılım tarafından güvenliğin sağlanması amacıyla üretilmiş bir doğrulama kodudur. 3

5 Ana ekrana girildikten sonra denetçilerin karşısına sadece kullanım iznine sahip oldukları bölümler gelmektedir. 3 farklı tür ekran bulunmaktadır. Bunlar; 1. MUB Ekranı 2. İç Denetim Birim Başkanı Ekranı 3. İç Denetçi Ekranı 4

6 2. Denetim Evreni 2.1. Denetçi Bu bölümde birimde görevli olan iç denetçiler görüntülenmektedir. Yeni iç denetçi tanımı MUB tarafından yapılabildiğinden burada sadece belirli alanlarla ilgili güncelleme işlemleri yerine getirilebilmektedir. İç denetim birimi başkanı birimde görevli tüm iç denetçilere ilişkin bilgileri görüntüleyebilirken, iç denetçiler sadece kendi bilgilerini görüntüleyebilmektedir. Denetçi butonuna basıldığında denetçi listesi ekrana gelmektedir. Herhangi bir denetçi ile ilgili güncelleme yapılacaksa, güncelleme yapılacak denetçinin mavi renkli olan sertifika numarası tıklanarak tanım penceresi açılmaktadır. Denetçi tanımı bölümünde güncellenebilen bilgiler; genel bilgiler, güvenlik, eğitim, yabancı dil ve yayınlar bölümüdür. Güvenlik sekmesindeki bilgiler sadece iç denetim birimi başkanı tarafından güncellenebilmektedir. Diğer alanlar için her denetçi kendi bilgilerini güncelleyebilmektedir. 5

7 İç denetim birimi başkanı tarafından şifre değiştirilmek istendiğinde güvenlik sekmesi içerisinde alt bölümde yer alan şifre değiştir bağlantısı tıklanmalıdır. Bağlantıya tıklandığında yeni şifre giriş ekranı gelmektedir. Belirlenen şifre 2 kez girilmeli ve ardından güvenlik kodu girilerek kaydet butonuna basılmalıdır. 6

8 Eğitim sekmesinde yeni bir bilgi girilmek istendiğinde (+) butonuna basıldığında yeni bilgi giriş ekranı gelmektedir. İç denetçi burada bilgi girişini yaptıktan sonra kaydet butonuna basmalıdır. 7

9 Örnek eğitim bilgileri giriş ekranı aşağıdaki gibidir. Yabancı dil bilgi girişi aşağıdaki ekranda yer alan (+) butonuna basılarak gerçekleştirilmektedir. Yayınlar bölümü için (+) butonuna basılarak giriş yapılmaktadır. 8

10 2.2. Birimler İdare bünyesinde yer alan birimler bu bölümde yer almaktadır. Birim tanımı sadece başkan tarafından yapılmaktadır. Birim tanımlaması sırasıyla Yeni Ana Birim ve Detay Tanımlama şeklinde gerçekleştirilmektedir. Yeni Ana Birim butonuna basıldığında aşağıdaki ekran gelmektedir. Başkan bu bölümde birimin adını, organizasyon yapısı ve birim tipi bilgisini girmektedir. 9

11 Ana birim oluşturulduktan sonra, satırın sağında bulunan detay tanımlama bağlantısı tıklanarak alt birimler tanımlanır. Hatalı giriş yapılan birimler sil bağlantısı ile silinmektedir. 10

12 2.3. Faaliyet İdarelerin yürüttüğü faaliyetler bu bölümde tanımlanmaktadır. Faaliyet tanımları, başkan tarafından yapılmaktadır. Yeni faaliyet tanımlayabilmek için aşağıdaki resimde görünen (+) butonuna basılmalıdır. Bu bölümde kod, tanım, faaliyet tipi, kategorisi ve amacı bilgileri yer almaktadır. Faaliyetin ilgili olduğu birimler bu ekrandan seçilmelidir. Alt bölümde bulunan metin girişi bölümüne gerekli görülmesi halinde faaliyetle ilgili açıklamalar girilebilmektedir. Faaliyetin silinmek istenmesi halinde tanım satırının başında bulunan sil seçeneğinin kullanılması gerekmektedir. Denetim evreni modülüne girilen her faaliyet, risk ve kontrol doğrudan faaliyet modülüne yansır. Ancak faaliyet modülüne yapılan yeni girişler denetim evreni modülüne havuzdan al seçeneği ile getirilebilir. 11

13 2.4. Denetim Evreni İdareye ilişkin olarak, ana faaliyet, alt faaliyet, risk, kontrol ve testlerin ilişkilendirilmesi bu bölümde yapılmaktadır. Bu bölüme girişler sadece Başkan tarafından yapılmaktadır. Denetçiler bu bölümü sadece görüntüleyebilmektedir. Gerekli olması durumunda bu bölümde yeni faaliyet tanımı da yapılabilmektedir. Faaliyet bölümünde yapılan bu tanımlar burada havuzdan al seçeneği ile kullanılabilmektedir. İlişkilendirme oluşturulurken ana faaliyet, alt faaliyet, risk, kontrol ve test sıralamasının takip edilmesi gerekmektedir. Yeni bir faaliyet/risk/kontrol/test tanımlanmak istenildiğinde ekranın sol üst köşesinde yer alan yeni (+) butonuna tıklanır.. Eğer yeni bir faaliyet/risk/kontrol/test oluşturulmadan doğrudan havuzdan alınmak isteniyorsa havuzdan al seçeneği kullanılmalıdır. 12

14 Havuzdan al seçeneği kullanıldığında aşağıdaki ekran gelmektedir. Seçilecek faaliyet sayısı birden fazla ise işaret kutucuklarının istenilen sayıda seçilmesi gerekmektedir. Kaydet butonuna basıldığında seçilen sayıda faaliyet aktarılmış olacaktır. Yeni seçeneği seçildiğinde ise, faaliyet bölümündeki tanımlama ekrana gelmektedir. Alt faaliyet tanımlama süreci faaliyet tanımlama süreci ile benzerdir. Burada dikkat edilmesi gereken en önemli husus alt faaliyet eklenmesinden önce altına ekleme yapılacak olan ana faaliyetin üzerine gelinerek seçilmesidir. Ana/alt faaliyetlerin silinmesi için ilgili faaliyet seçildikten sonra üst bölümde bulunan sil butonuna basılması gerekmektedir. 13

15 Risk/Kontrol/Test tanımları denetim evreninden yapılabildiği gibi kütüphane modülünden de yapılabilmektedir.. Kütüphane modülünde yapılan tanımlamalar daha sonra denetim evreni modülünde havuzdan al seçeneği ile taşınabilmektedir. Benzer şekilde denetim evreni modülünde yapılan tanımlamalar da kütüphane modülüne yansımaktadır. Bu modüle girişler sadece Başkan tarafından yapılabilmektedir. İç denetçiler ise bu tanımlama işlemlerini sadece RKM modülünde yapabilmektedir. Bu aşamadan önce henüz risk/kontrol/test oluşturulmamışsa bu işlem RKM(Risk Kontrol Matrisi) modülünden de yapılabilmektedir. Yeni risk tanımlama ekranı aşağıdaki gibidir. Bu ekranda; riskin kodu, tanımı açıklamalar, referans, tipi, iç kontrol amaçları ve ilgili kurum-birim seçimi tanımlamaları yapılmalıdır. 14

16 Kontrol Tanımlama ekranı aşağıdaki gibidir. Bu ekranda kontrolün kodu, tanımı, kontrol türü, kontrol kategorisi, kontrol düzeyi, anahtar kontrol olup olmadığı, açıklamalar, referans, kontrol standardı, Kurum-Birim tanımı yer almaktadır. 15

17 Test tanımlama ekranı aşağıdaki gibidir. Bu ekranda, testin kodu, tanımı, açıklamalar, test kategorisi, metod tipi, tüm birimler için geçerli olup olmadığı, kurum-birim bilgisi, ön çalışma mı yoksa saha çalışmasında mı yer alıp almayacağı bilgilerinin tanımlanması gerekmektedir. 3. Yönetim Faaliyetleri 3.1. Plan Dönemi Plan dönemi ve program dönemi sadece Başkan tarafından tanımlanabilmektedir. Plan dönemi 3 yıllık dönemi kapsamaktadır. Program dönemi ise plan döneminin detayını oluşturan yıllık denetim dönemlerini ifade etmektedir. Plan dönemi tanımlanmak istenildiğinde ekranın sağ üst bölümünde yer alan (+) butonuna basılır. Plan tanımında yer alan alanlar; planın kodu, tanımı, başlangıç ve bitiş tarihi, risk değerlendirme yöntemi, genel çalışma ve haftalık çalışma saat ve gün bilgileridir. 16

18 Plan dönemi tanımı yapıldıktan sonra ilgili plan dönemine ilişkin program dönemi detayları tanımlanmalıdır. Bu tanımlama için plan dönemi satırının sonunda yer alan Detay Tanımlama bağlantısı kullanılmalıdır. Detay tanımlama ile ilgili ekran görüntüsü aşağıdaki gibidir. Burada dikkat edilmesi gereken husus, cari yıla ait olmayan her bir program dönemi için Aktif Olmayan Yıl kutucuğunun işaretlenmesidir. Durum sütununda denetim planı ve programının hangi aşamada olduğu görülebilir. 17

19 3.2. Makro Risk Değerlendirmesi Makro Risk Değerlendirmesi modülüne veri girişleri; Başkan tarafından yapılmakta ve onaylanmaktadır. Bu modülde öncelikle Risk değerlendirmesi sekmesindeki mevcut süreç bilgilerini getir butonuna tıklanması gerekmektedir.. Bu butona basıldığında Denetim Evreni nde tanımlı tüm süreçler bu ekrana doğrudan yansımaktadır. Tanımlanmış en alt seviyedeki her bir faaliyet için risk değerlendirmesi yapılır. Ana faaliyet risk puanı, alt faaliyet risk puanlarının toplamından oluşmaktadır. Ana faaliyet risk puanı belirlenirken alt faaliyetlere verilen ağırlıklar dikkate alınmaktadır. Ağırlık verilmemesi durumunda İçDen, ana faaliyetin puanını her bir alt faaliyetin eşit ağırlıkta olduğu varsayımıyla hesaplamaktadır. Risk puanı vermek için alt faaliyetin bulunduğu satırda yer alan risk faktörleri başlığı altındaki aç bağlantısını tıklamak gerekmektedir. Açılan pencerede risk faktörleri bilgisi gelmektedir. Bu pencerede ekrana gelen risk faktörleri parametreler bölümünde MUB tarafından tanımlanmış olan risk faktörleridir. Ayrıca Başkan parametreler modülü nde idareye özgü risk faktörü tanımlayabilmektedir. Bu tanımlama yapılırken ilgili risk faktörleri için duruma göre etki/olasılık seçimi yapılmalıdır. Şayet ilgili risk faktörünün ne etki ne de olasılık olduğu değerlendiriliyorsa risk faktörü herhangi bir seçim yapılmadan tanımlanmalıdır. 18

20 Her bir faaliyet için risk faktörleri en az bir etki ve bir olasılık faktörü içerecek şekilde üçten az olmamak üzere seçilir ve seçilmiş olan risk faktörlerine ilişkin açıklamalar ilgili bölüme girilir. Böylece seçimi yapılan risk puanının hangi faktörler dikkate alınarak seçildiği belirtilmiş olmaktadır. Seçim işlemi sonrası verilecek risk puanı ile ilgili olarak aşağıdaki ekran görüntüsünde de görüldüğü üzere aç bağlantısının tıklanması gerekmektedir. 19

21 Bu bağlantıya tıklandıktan sonra risk skalası bölümü ekrana gelmektedir. Üst yatay bölümde etki düşükten yükseğe, sol dikey bölümde ise olasılık düşükten yükseğe doğru sıralanmaktadır. Bu bölümde yapılması gereken, risk puanının tablo içerisinden seçilmesidir. Bu seçim yapıldıktan sonra risk puanına karşılık gelen etki ve olasılık puanı ekrandaki etki ve olasılık kutucuklarına otomatik olarak gelmektedir. Aşağıdaki örnekte risk puanı 13 olarak seçildiğinde, etki 3 (Orta), olasılık 3 (Orta) olarak ekrana gelmiştir. Tüm alt faaliyetlere ilişkin olarak, risk skalasından risk puanlarının seçilmesi gerekmektedir. Alt faaliyet tanımı bulunmayan faaliyetlerde ise risk puanı doğrudan ana faaliyet için oluşturulmaktadır. Tüm risk puanları atandıktan sonra puan verilen faaliyetler sonuç sekmesinde alt alta sıralanmaktadır. 20

22 Tüm bu işlemler gerçekleştirildikten sonra makro risk değerlendirmesi tamamlanarak onaylanır Denetim Alanları Denetim alanları modülüne veri girişi Başkan tarafından yapılmaktadır. Denetim evreninde yer alan her bir faaliyet müstakil bir denetim alanı olarak belirlenebileceği gibi birbiriyle ilişkili olan faaliyetler birleştirilerek de denetim alanları oluşturulabilir. Birden fazla faaliyetin birleştirilerek bir denetim alanı oluşturulması halinde bu faaliyetlerin birleştirilme gerekçesi Açıklamalar kısmında kayıt altına alınmalıdır. Denetim alanı tanımlamak için ekranın sol üst bölümünde yer alan artı (+) butonuna basılması gerekmektedir. Ekran açıldıktan sonra denetim alanının kodu, başlığı, denetim büyüklüğü ve açıklamalar bölümüne tanımlar girilmelidir. Her bir denetim alanı için sayılardan oluşan bir kod ve denetim alanındaki faaliyetleri ifade edecek şekilde bir başlık belirlenmelidir. 21

23 Bu bilgiler girildikten sonra açılan pencerenin alt bölümünde denetim alanına yönelik faaliyet ve kurum-birim seçim işlemleri gerçekleştirilmektedir. Birimler ile ilgili faaliyet eklemek için alt bölümde yer alan faaliyet başlığı altındaki Birimler ile Faaliyet Ekle seçeneğinin kullanılması gerekmektedir. Burada ekrana faaliyetler ve bu faaliyetlerin gerçekleştirildiği birimler gelmektedir. Denetçinin ilgili gördüğü faaliyet ve birimleri seçmesi gerekecektir. Bir denetim alanı oluşturulurken faaliyetlerin ilişkili olduğu tüm birimler sıralanarak görüntülenir. Denetim görevinin uygulanacağı birimler sınırlandırılmak isteniyorsa, hariç tutulacak tüm birimler seçilerek silinir. Birimler ile Faaliyet Ekle seçeneğinin dışında ayrıca Kurum-Birim butonunun altında yer alan Faaliyet ile Birim Ekle seçeneği de kullanılabilir. 22

24 Bu bölümde kurum-birim listesi ve bunlara bağlı faaliyetler ekrana gelmektedir. Bu bölümdeki seçim işlemi Başkan tarafından gerçekleştirilir. Denetim alanına dâhil edilen bir faaliyetin Denetim Evreni modülünde birim ile ilişkisi kurulmamış ise ilgili modülden faaliyet ile birim ilişkisi kurulduktan sonra denetim alanı oluşturulmalıdır. Denetim evreninde yer alan faaliyetlerin her birinin bir denetim alanına dâhil edilip edilmediği Denetim Alanı Dışı Faaliyetlerin Raporu kullanılarak tespit edilmektedir. Bu raporda açıkta kalan faaliyet ya da faaliyetler bulunması halinde bu faaliyetlerin de bir denetim alanına dâhil edilmesi ya da tek başına bir denetim alanı olarak belirlenmesi zorunludur. Denetim Alanı Dışı Faaliyetlerin Raporu aşağıda gösterilmektedir. Denetim Alanı Dışı Faaliyetlerin Raporu butonuna basıldığında aşağıdaki ekran gelmektedir. 23

25 3.4. Denetim Stratejisi Denetim stratejisi modülüne veri girişleri Başkan tarafından yapılmaktadır. Kaynak tahsisi, yürürlükteki Kamu İç Denetim Strateji Belgesiyle belirlenen oranlar esas alınarak yüzde olarak girilmektedir. Denetim Büyüklüğü bölümünde, ortalama denetim süreleri saat bazında belirlenerek veri girişi yapılmalıdır. Yönetmelik uyarınca Denetim Sıklığı, yüksek ve orta risk düzeyine sahip denetim alanları için 36 aydan daha fazla belirlenemez. Denetçiler sekmesinden İç Denetçilerin plan dönemine ilişkin tahmini net çalışma süreleri girilmektedir. Mevzuatla öngörülen izinlerin toplamı İzinler bölümüne girilmelidir. Ekle butonuna basılarak listeden denetçi eklemesi yapılabilmektedir. Her denetçi satırının sağ tarafında bulunan Düzenle bağlantısı tıklanarak her 24

26 denetçi için izin süreleri ayrı ayrı girilmelidir.. Her denetçi için ilgili plan dönemine ilişkin 3 yıllık tahmini izin süreleri girilir. Denetim stratejisi modülündeki denetim sıklığı ve kaynak tahsisi parametreleri Yönetmelik, Rehber ve Kamu İç Denetim Strateji Belgesinde belirlenen esaslara göre Başkan tarafından girilir Denetim Planı Denetim stratejisiyle belirlenen kurallara göre İçDen tarafından otomatik olarak oluşturulan iç denetim planı, kaynak kısıtı göz önünde bulundurulmaksızın hazırlanan durumu yansıtmaktadır. Denetim kaynağının yeterli olması halinde bu şekilde oluşturulan plan aynen uygulanabileceği gibi, İçDen tarafından otomatik olarak ilgili yıllara dağıtılan denetim alanları arasındaki değişiklik, program yılları kutucuğundaki işaretler kaldırılarak veya kutucuğa işaretler konularak yapılabilmektedir. Denetim planında herhangi bir 25

27 yıla ait kutucuktaki işaret kaldırılırsa bu denetimin plan dönemi içerisinde başka bir yıla eklenmesi gerekmektedir. Aşağıdaki ekranda görüldüğü üzere ilgili plan döneminde değiştirilmesine karar verilen denetimlerin işaretleri kaldırılabilmekte ya da seçili olmayanların işaretlenmesi mümkün olabilmektedir. Üst yöneticinin iç denetim planını imzalamasını müteakip söz konusu plan, Başkan tarafından Denetim Planı modülünden onaylanır. İçDen tarafından otomatik olarak oluşturulan İç Denetim Planına göre denetim kaynağının yetersiz olması ve kısa vadede denetim kaynağının artırılmasının mümkün olmaması durumunda, denetim alanının aktif program yılı kutucuğundaki işaretler kaldırılarak, mevcut denetim kaynağı ile denetlenebilecek denetim alanları belirlenir. Bu doğrultuda, aktif program yılından çıkarılan denetim alanları, ihtiyaç duyulan denetim kaynağının doğru belirlenebilmesi ve raporlanabilmesi amacıyla sonraki program yıllarına eklenir. Ayrıca denetim alanının ilgili program yılı kutucuğundaki işaretin kaldırılması durumunda yapılan değişikliğe ilişkin gerekçe, açıklama ile kayıt altına alınmaktadır. Üst yöneticinin İç Denetim Planını imzalamasını müteakip söz konusu Plan, Başkan tarafından Denetim Planı modülünden onaylanmaktadır. 26

28 3.6. Denetim Programı İç Denetim Planında, denetim programına (aktif program yılı) dâhil edilen denetimler bu modülde görüntülenir. Programda yer alan denetimlere ilişkin; başlama ve bitiş tarihleri, denetim türü, görevlendirilecek İç Denetçiler ile Denetim Gözetim Sorumlusu (DGS) bilgileri Başkan tarafından girilmelidir. Denetim programı ekranında her satırın başında düzenle bağlantısı bulunmaktadır. Bu bağlantı tıklandığında; başlama tarihi, bitirme tarihi, denetim türü, başkan ve DGS bilgileri seçilebilmektedir. 27

29 Denetim dışı faaliyetlere (Danışmanlık, İzleme, Eğitim ve Yönetim Faaliyetleri) ilişkin başlama ve bitiş tarihleri ile bu faaliyetlerde görevlendirilecek Başkan ve Denetçi bilgileri Başkan tarafından Denetim Dışı sekmesinden girilmektedir. Denetim evrenindeki bir faaliyete ilişkin danışmanlık hizmeti verilmesi durumunda Denetim Dışı sekmesinden ilgili olan faaliyet veya faaliyetler seçilerek gerekli ilişki kurulabilmektedir. Denetim dışı ekranında sol üstte yer alan + şeklindeki Ekle butonuna basılarak denetim dışı faaliyet eklemesi yapılabilmektedir. Tanımlama ekranında kaynak tahsisinin ne olduğu seçilmelidir. Tanım bölümüne bilgi girişi yapılarak, faaliyetin başlangıç ve bitiş tarihleri seçilmelidir. Denetçiler sekmesinde denetim dışı faaliyet ile ilgili denetçi seçimi yapılmalıdır. Faaliyet bölümünde ise ilgili faaliyet seçimi yapılmalıdır. 28

30 Daha önceden tanımlanmış bir denetim dışı faaliyet ile ilgili değişiklik yapılacaksa, tanımı yapılan faaliyet üzerine gelinerek satır başında bulunan düzenle bağlantısı tıklanmalıdır. Tanımın silinmesi isteniyorsa yine satır başında yer alan sil butonuna basılması gerekmektedir. Denetimler, başlama ve tarihleri esas alınarak İç Denetim Programı çıktısında sırasıyla görüntülenmektedir. İçDen tarafından oluşturulan İç Denetim Programı dokümanına üzerinde gerekli şekilsel düzenlemeler yapılarak son hali verilmeli ve üst yöneticinin imzasına sunulmalıdır. Üst yöneticinin Programı imzalamasını müteakip söz konusu Program, Başkan tarafından Denetim Programı modülünden onaylanır. Denetim Programına ilişkin işlemler tamamlandıktan sonra programın onaylanması için Onayla butonuna basılması gerekmektedir. 29

31 Denetim Programı onaylandıktan sonra onayın Başkan tarafından geri alınması mümkün bulunmamaktadır. Zira denetimler başladıktan sonra denetim programındaki onayın geri alınması durumunda, önceki programa göre başlatılan denetimlere ilişkin bilgilere ulaşılamama riski bulunmaktadır. Denetim Programında revizyona ihtiyaç duyulması halinde durum İçDen koordinatörleri tarafından MUB a iletilmelidir. Denetim Programı modülündeki denetim türleri ile denetim dışı iç denetim faaliyet türlerine ilişkin parametreler MUB tarafından belirlenmektedir Program Dışı Denetim Denetim programında yer almayan ancak yıl içerisinde ortaya çıkan ihtiyaçlardan kaynaklı yeni denetimlerin girişleri (+) butonuna tıklanmak suretiyle Başkan tarafından bu modül aracılığıyla yapılır. Ekranda yer alan denetim alanı, plan dönemi, denetim türü, denetim türü 2, DGS, denetçiler ve tarih kısımlarına ilişkin veri girişleri Başkan tarafından yapılır. 30

32 4. Denetim Görevleri 4.1. Denetim Başlatma Denetim başlatma ekranında denetime ilişkin amaç, kapsam, yöntem ve ihtiyaç duyulması halinde denetim ekibine iletilmesi gereken özel not Başkan tarafından girilmektedir. 31

33 Alt bölümdeki denetçi sekmesinde ise iç denetçi bilgileri yer almaktadır. Bu ekranda iç denetçi değişikliği ekle/kaldır butonlarıyla, DGS değişikliği ise denetim gözetim sorumlusunun adının yanında yer alan mavi buton aracılığıyla Başkan tarafından yapılır Görev Süre Planı Ön çalışma, saha çalışması ve raporlama aşamalarına ilişkin takvim, denetim ekibi tarafından birlikte belirlenmekte ve bu modüle veri girişi DGS tarafından yapılmaktadır. Aşağıdaki ekranda denetim takvimine yönelik tarih bilgi girişi yer almaktadır. 32

34 DGS tarafından havuzdan al butonu kullanılarak MUB un oluşturmuş olduğu ön çalışmalar seçilebileceği gibi, yeni butonu kullanılarak da yeni ön çalışmalar oluşturulabilir. Daha sonra bu görevlerin hangi tarihlerde ve hangi denetçiler tarafından yürütüleceği bilgileri DGS tarafından girilmelidir. Sistemde her bir göreve yalnızca bir denetçi atanması gerekmektedir. Bir ön çalışmaya ilişkin başlangıç ve bitiş tarihleri, ön çalışmayı yapacak ve gözden geçirecek iç denetçiler belirlenirken öncelikli olarak bu ön çalışmaya ilişkin kutucuğun seçilmesi gerekmektedir. 33

35 4.3. Ön Çalışma Bu modülde ön çalışma görevlerine ilişkin veri girişleri İç Denetçiler tarafından yapılmaktadır. Bu kapsamda iç denetçiler tarafından tamamlanan görevler, DGS tarafından incelenerek onaylanmalı veya tekrar gözden geçirilmek üzere gerekçesi ile birlikte ilgili iç denetçiye geri gönderilmelidir. Aşağıdaki ekranda ön çalışmada yapılması gereken testler veya tamamlanması gereken aşamalar yer almaktadır. Burada yer alan görevlerin hangi tarih aralığında yapılacağı, sonucunun olumlu yada olumsuz olup olmadığı, hangi denetçi tarafından yapılacağı ve onaylayan kişinin kim olacağı bilgileri yer almaktadır. 34

36 Her bir görev ile ilgili işlemi gerçekleştirebilmek için ilgili satırda bulunan kod tıklanarak ilgili test/aşama ekranı açılmalıdır. Test ekranında örneklem metodu, örneklem büyüklüğü, sonuç bilgisi, olumlu olup olmadığı belirtilmedir. Alt bölümde bulunan çalışma kağıdı sekmesinde denetçi, göreve ilişkin açıklamaları detaylı olarak yazabilmektedir. Notlar sekmesinde denetçilerin birbirlerine yazdıkları notlar yer almaktadır. Burada gelen kutusunda denetçiye gelen notlar, giden kutusunda ise denetçinin gönderdiği notlar yer almaktadır. Yeni bir not oluşturmak için alt bölümde bulunan not oluştur butonuna basmak gerekmektedir. 35

37 Not ekranının üst bölümünde, notun oluşturulduğu, faaliyet, risk, kontrol ve test bilgisi ile notu gönderen kişi bilgisi otomatik olarak gelmektedir. Bu bilgiler değiştirilememektedir. Öncelik, konu bilgisi ve açıklama notu denetçi tarafından doldurulmaktadır. Notun kime gönderildiği ile ilgili olarak notun alt kısmında alıcı bölümü bulunmaktadır. Denetçi notu kime gönderdiğini buradaki listeden seçmelidir. 36

38 Görev içerisindeki dosyalar sekmesinde göreve eklenmiş olan dosya varsa bu bölümde görüntülenmektedir. Ön çalışma içerisinde yer alan dosyalar sekmesinde ise ön çalışma ile ilgili her türlü dosya eklenebilmektedir. Dosya eklemek için sol üst bölümde yer alan ekle butonuna basılması ve ilgili dosyanın seçilmesi yeterlidir. Dosya bu bölüme eklenecektir. Gereksiz görülen dosyalar için ise ilgili dosya başındaki kutu işaretlenerek sil butonuna basılmalıdır. Ayrıca açılış toplantısı tutanağı ekle butonu ile tutanak sisteme yüklenebilmekte, yüklenmiş olan dosya ise açılış toplantısı tutanağını aç butonu ile görüntülenebilmektedir. 37

39 4.4. Risk Kontrol Matrisi Risk Kontrol Matrisi modülüne risk, kontrol ve test girişleri iç denetçiler veya DGS tarafından yapılmaktadır. Denetim alanı kapsamında yer alan bir faaliyete ilişkin olarak denetlenecek birimler Denetim Alanı Modülünde görüntülenmektedir. Bu birimlerden hangilerinde saha çalışması testlerinin uygulanacağına yapılacak mikro risk değerlendirmesi sonuçları ve denetim kaynağına göre karar verilmektedir. Değerlendirme sonucu test yapılması öngörülmeyen risk ve kontroller için her hangi bir test girişi yapılmamalıdır. İlk aşamada denetim ekibince her bir alt faaliyete ilişkin riskler belirlenerek veri girişi yapılmalıdır. Girişler yapılırken risk, kontrol ve test birden fazla faaliyete ilişkinse her bir faaliyet için ayrı ayrı risk, kontrol ve test ataması yapmak yerine çoklu ekle seçeneği kullanılabilir. 38

40 Daha sonra risk analizi modelinde etki ve olasılık değerlerinin kesiştiği hücrede bulunan risk puanı belirlenerek mikro risk değerlendirmesi tamamlanmaktadır. RKM Liste Görünümü sekmesinde risk kontrol matrisinde yer alan kurum, birim, faaliyet, risk, kontrol ve test detayları liste şeklinde görüntülenebilir ve Excel dosyası halinde alınabilir. 39

41 Risk değerlendirmesinin sonuçlarına göre, Rehberdeki esaslar göz önünde bulundurularak test edilmesine karar verilen kontrollere ilişkin testlerin girişi yapılmaktadır. Risk ve kontrol bilgileri girilirken, bu bilgilerin ön çalışmanın hangi görevinden elde edildiği veya diğer bir kaynaktan elde edilmişse bu verinin kaynağı referans bölümünde açıkça belirtilmelidir. Risk bölümünde ayrıca üst metin, riskin kodu, tanımı, riske ilişkin açıklamalar, referans, riskin tipi ve iç kontrol amaçları yer almaktadır. 40

42 Kontrol bölümünde üst metin, kontrolün kodu, tanımı, türü, kategorisi, düzeyi, anahtar kontrol olup olmadığı, kontrole ilişkin açıklamalar ile referans ve kontrol standardı bilgileri yer almaktadır. 41

43 Test bölümü ekranı aşağıdaki gibidir. Bu bölümde üst metin, testin kodu, tanımı, açıklamalar, olgunluk modeli test kategorisi ve test yöntemi bilgileri yer almaktadır. Aynı birimde yapılacak her bir teste yalnızca bir denetçi atanması esastır. Bir testin birden fazla denetçi tarafından yapılmasına ihtiyaç duyulması halinde, aynı testler farklı kodlar verilmek suretiyle farklı iç denetçilere atanabilmektedir Çalışma Planı Çalışma Planı modülüne veri girişleri DGS tarafından yapılmaktadır. Denetim Başlatma modülünde girilen denetimin amaç, kapsam ve yöntemi, yapılan ön çalışmalar neticesinde elde edilen bilgiler doğrultusunda DGS tarafından bu aşamada güncellenmektedir. 42

44 DGS tarafından saha çalışması testlerine ilişkin görevlendirmeler ile testlerin yapılacağı tarihler testlerin başındaki kutucuklar işaretlendikten sonra girilmelidir. Denetçi Sekmesinden yürürlükteki iç denetim programıyla üst yöneticiden gerekli yetki alınması kaydıyla, denetim ekibinde Başkan tarafından bu aşamada değişiklik yapılabilir. 43

45 4.6. Saha Çalışması Saha Çalışması modülüne veri girişlerinin iç denetçiler tarafından yapılması esastır. Saha çalışmasına ilişkin ilişkili görünüm ekranı aşağıdaki gibidir. Saha Çalışmasına ilişkin liste görünümü ekranı aşağıdaki gibidir. Testlerle ilgili çalışma yapmak için kodu bölümünde yer alan test kodu tıklandığında test ekranı gelmektedir. Test ekranında bilgi girilmesi gereken ekranlar örneklem metodu, örneklem büyüklüğü ve sonuç bilgileridir. Test sonucunun olumlu mu yoksa olumsuz mu olduğu seçilmelidir. Alt bölümde bulunan çalışma kağıdı sekmesinde denetçi, göreve ilişkin açıklamaları detaylı olarak yazabilmektedir. Çalışmalara açılır ekran kapatılmadan devam edilmek istenirse kaydet butonuna; çalışmayı hem kaydedip hem de pencereyi kapatmak için kaydet ve kapat butonuna basılır. 44

46 İç denetçiler kendilerine atanmış olan testleri bu aşamada yapmaktadırlar. Testler olumlu ya da olumsuz olarak sonuçlandırılmaktadır. Testlerin sonucunda kritik önem düzeyinde bulgu oluşturması muhtemel bir tespit yapılması halinde, bu testin olumsuz sonucunu vurgulamak için olumsuz seçeneğiyle birlikte bayrak kutucuğu da işaretlenmelidir. Öte yandan olumlu sonuçlanan testlerde, tespitin iyi uygulama örneği olduğunun düşünülmesi halinde olumlu seçeneği ile birlikte bayrak kutucuğu da işaretlenmelidir. İç denetçiler tarafından tamamlanan testler, DGS tarafından incelenerek onaylanmalıdır veya not oluşturularak ilgili iç denetçiden tekrar gözden geçirmesi istenmelidir. Bulgular sekmesinde; olumlu seçeneğiyle birlikte bayrak kutucuğu da işaretlenen testler iyi uygulama örneği alt sekmesinin altında, olumsuz sonuçlanan testler ise olumsuz alt sekmesinin altında yer almaktadır. 45

47 İyi uygulama örneği olan testleri gösteren ekran aşağıdaki gibidir. Olumsuz sonuçlanan testleri gösteren ekran aşağıdaki gibidir. Olumsuz sonuçlanan testler denetim ekibi tarafından gözden geçirilerek bulguların oluşturulması aşamasına geçilmektedir. Bulguların iç denetçiler tarafından oluşturulması esastır. Ancak birden fazla testin farklı iç denetçiler tarafından yapılması ve bu testlerden tek bir bulgu oluşturulması durumunda, söz konusu bulgu DGS tarafından veya DGS tarafından görevlendirilen iç denetçi tarafından oluşturulmaktadır. Bir testten tek bulgu oluşturulması esas olmakla birlikte, birden çok testten de tek bir bulgu oluşturulabilmektedir. Ancak bir testten birden çok bulgu oluşturulamaz. Bulgu oluşturulması için olumsuz sekmesindeki ekle butonu kullanılmalıdır. Bulgu ekranı genel, test ve sorumlu kişi sekmelerinden oluşmaktadır. Genel sekmesinde; Mevcut Durum (Tespit), Neden, Risk ve Etkileri, Kriter, Öneri alanları yer almaktadır. 46

48 Test sekmesinde bulgu oluşturulurken eklenen testler görüntülenmektedir. Ayrıca bu sekmeden de test eklenmesi mümkündür. Bulgular ve iyi uygulama örnekleri iç denetçiler tarafından tamamlandıktan sonra DGS tarafından incelenerek onaylanmalı veya tekrar gözden geçirilmek üzere gerekçesi ile birlikte ilgili iç denetçiye geri gönderilmelidir. Bulgu, denetlenen birimle e-posta ile paylaşılacaksa, DGS tarafından denetlenen birim yöneticisinin e-posta adresi bilgisi girilmelidir. 47

49 Oluşturulan bulgular, DGS veya iç denetçinin ilgili bulguyu tamamlamasından önce bulguyu oluşturan kişi tarafından silinebilir. Bulgular ancak bulguyu oluşturan iç denetçi veya DGS tarafından geri alınarak değiştirilebilir. İyi uygulama örneği olarak belirlenen tespit, bulgu oluşturma sırasında iyi uygulama olarak ekranda görüntülenmektedir. Denetim ekibince yapılacak değerlendirme sonucu raporlanması uygun görülen tespitler iyi uygulama örneği olarak oluşturulmaktadır ve sistem tarafından denetim raporunun ilgili bölümüne aktarılmaktadır. 48

50 Testler bölümünde dosya ekleme işlemi dosyalar sekmesinin altında bulunan ekle butonu ile yapılmaktadır. Eklenen dosyaların silinmesi istendiğinde sil butonunu kullanmak gerekmektedir. 5. Raporlama ve İzleme 5.1. Bulguların Paylaşılması Bulguların Paylaşılması modülüne veri girişleri DGS tarafından yapılmaktadır. Bulgu unsurlarının yanında bulunan kutucuklar işaretlenerek denetlenen birim ile paylaşılması istenen unsurlara karar verilir. Saha Çalışması modülünde denetlenen birim yöneticisinin e-posta adresi girilerek tamamlanan bulgu, bu aşamada DGS tarafından onaylanmaktadır ve gözden geçirilmek üzere Başkana sistem üzerinden gönderilmektedir. Bulgular Başkan tarafından, bulguların önem düzeyi ve maddi hata bakımından gözden geçirilmekte ve sorun olması durumunda gerekçesi ile birlikte DGS ye geri gönderilmesi gerekmektedir. 49

51 DGS tarafından denetlenen birim yöneticisinin e-postasının girilmesi halinde, İç Denetim Birim Başkanı tarafından gözden geçirilen bulgular otomatik olarak denetlenen birimle e-posta aracılığıyla paylaşılmaktadır. Bulguların e-posta aracılığıyla paylaşılmasının tercih edilmemesi durumunda Başkanlık, bulguları kurum içi yazışma ve bulgu paylaşım formu kullanmak suretiyle denetlenen birimle paylaşabilmektedir. Denetlenen birimden kurum içi yazışmayla gelen görüşler Denetlenenin Görüşü modülüne DGS tarafından girilmektedir. 50

52 5.2. Denetlenenin Görüşü Denetlenenin Görüşü modülüne veri girişleri denetlenen birim veya DGS tarafından yapılmaktadır. Bulguların e-posta aracılığıyla paylaşıldığı durumda, denetlenen birim bulguya katılıyorsa, e-posta ile gönderilen bağlantıya giriş yaparak eylem planını bildirir. Denetlenen birim bulguya katılmıyorsa gerekçesini belirtir. Söz konusu eylem planı veya katılmama gerekçeleri Denetlenenin Görüşü modülüne otomatik olarak kaydedildiğinden, DGS tarafından bu modüle veri girişi yapılmasına gerek bulunmamaktadır. Bulgu denetlenen birimle paylaşıldıktan sonra denetlenen birimden gelen görüş doğrultusunda bulgunun esasına ilişkin olarak denetim ekibi tarafından temel bir hatanın yapıldığının kabul edilmesi ve artık bulgunun konusunun kalmadığının anlaşılması üzerine DGS tarafından bulgu iptali butonuna basılarak bulgu iptal edilir. Ayrıca kapanış toplantısı tutanağı kapanış toplantısı tutanağı ekle/güncelle butonu kullanılarak sisteme yüklenebilir. Yüklenen dosya kapanış toplantısı tutanağını aç butonu ile açılabilmekte, kapanış toplantısı tutanağını sil butonu ile silinebilmektedir. 51

53 Bulguların e-posta aracılığıyla paylaşılmasının tercih edilmemesi durumunda, Başkanlık kurum içi yazışma ile paylaştığı bulgulara ilişkin denetlenen birimce gönderilen eylem planı veya katılmama gerekçesi DGS tarafından Denetlenenin Görüşü modülüne girilmektedir. Başkanlık, denetlenen birimin bulguya katılmama gerekçesini uygun buluyorsa ve bu durum düzeltilebilir bir husus olarak mütalaa ediliyorsa, bulgu oluşturma aşamasına geri dönülerek gerekli değişiklikler yapılmaktadır. Bu işlem için Başkanın, yaptığı gözden geçirmeye ilişkin işlemi geri alması gerekmektedir. İlgili DGS ya da iç denetçi tarafından bulgunun düzeltilmesi ile birlikte bulguların paylaşılması süreci tekrarlanmaktadır. Başkanlık, denetlenen birimin görüşüne katılmıyorsa konu uzlaşılamayan husus olarak üst yöneticiye sunulmaktadır. Üst yöneticinin görüşü doğrultusunda işlem tesis edilmektedir. Üst yöneticinin uzlaşılamayan hususlara ilişkin olarak Başkanlığın değerlendirilmesine katılması halinde, denetlenen birimden 52

54 uzlaşmazlık konusu hususlarla ilgili kurum içi yazışmayla alınan eylem planı DGS tarafından Denetlenenin Görüşü modülüne girilmektedir. Üst yöneticinin, uzlaşılamayan hususlarla ilgili olarak Başkanlığın görüşlerine katılmaması halinde, söz konusu bulguya denetim raporunda yer verilmemektedir. Ancak ilgili bulgunun sonuçları Denetim Görüşü modülünde dikkate alınmaktadır ve ayrıca bu bulgu yılı iç denetim faaliyet raporunda yer verilmek suretiyle Kurula bildirilmektedir. Bulgu geçmişini görüntülemek için aşağıda kırmızı çerçeve içerisinde gösterilmiş bulgu geçmişi kolonundaki göster bağlantısının tıklanması gerekmektedir. Göster bağlantısı tıklandığında aşağıdaki ekranda bulguya yönelik oluşturulan geçmiş bilgilerin tarihsel görünümü yer almaktadır. 53

55 5.3. Denetim Görüşü Denetlenen her bir faaliyete ilişkin denetim görüşü, Rehberde belirlenen kurallar doğrultusunda sistem tarafından otomatik olarak oluşturulmaktadır Denetim Raporu Denetim Raporu modülüne ilişkin işlemler DGS tarafından yapılmaktadır. DGS bu modülde denetim raporunda yer alması ya da hariç tutulması gereken bulgulara karar vermektedir. Denetim raporuna dâhil edilmeyen bulgulara ilişkin gerekçeler açıklama bölümünde belirtilmektedir. Yönetici Özeti ve Giriş bölümü hariç olmak üzere Denetim Raporu sistem tarafından üretilmektedir. Üretilen raporun Yönetici Özeti ve Giriş bölümü denetim ekibi tarafından doldurulmaktadır. İhtiyaç olması halinde üzerinde gerekli şekilsel düzenlemeler yapılarak son şekli verilen rapor, modüle yeni haliyle yüklenebilir Denetim Raporuna nihai hali verilerek sisteme yüklendikten sonra, DGS tarafından Raporu Tamamla butonuna basılır. 54

56 5.5. Bulgu Görevlendirmesi Bulgu Görevlendirmesi modülüne veri girişleri Başkan tarafından yapılmaktadır. Bu modülde Başkan, denetim raporunda yer alan bulgulara ilişkin izleme faaliyetini yürütecek iç denetçilerin görevlendirmesini yapmaktadır. Kaydet butonuna basıldıktan sonra görevlendirme işlemi gerçekleşmiş olmaktadır. Görevlendirmenin iptal edilmesi isteniyorsa, görevlendirmede olduğu gibi seçim işlemi gerçekleştirildikten sonra denetçiyi kaldır butonunun kullanılması gerekmektedir. Görevlendirme yapılacak bulgular satır başlarında bulunan kutucuklar işaretlenerek seçilmelidir. İzlemeyi yapacak denetçi Denetçi Görevlendirme butonuna basılarak belirlenir. Yapılan görevlendirmelerin ardından Başkan tarafından Denetimi Tamamla butonuna basılır. 55

57 5.6. İzleme İzleme modülüne veri girişleri iç denetçiler tarafından yapılmaktadır. Kendisine izleme görevi verilen iç denetçi bulgunun takibini bu modülden yapmaktadır. İzlemeye ilişkin eylemin denetlenen birimce yerine getirildiğinin iç denetçi tarafından tespit edilmesi durumunda, ilgili alana açıklama girilerek izleme faaliyeti tamamlanmakta ve bulgu kapatılmaktadır. Bulguya ilişkin eylemin öngörülen tarihte tamamlanmaması ve denetlenen birimce eyleme ilişkin ek süre istenmesi durumunda Devam Ediyor butonu kullanılarak revize edilmiş eylem planının girişi yapılmaktadır ve ek süre verilmektedir. İkinci izleme dönemi sonunda eylemin denetlenen birimce yerine getirildiğinin iç denetçi tarafından tespit edilmemesi durumunda ilgili alan açıklama girilerek izleme faaliyeti tamamlanmalı ve bulgu kapatılmalıdır. İlk izleme döneminde herhangi bir ilerleme kaydedilmemesi ve ilgili birimden de süre uzatımına yönelik bir talebin olmaması halinde Devam Ediyor butonu kullanılarak ek süre verilmektedir. İkinci izleme dönemi sonunda da herhangi bir ilerleme kaydedilmemesi durumunda Risk Kabul butonu kullanılıp gerekli açıklamalar yazılarak bulgu kapatılmaktadır. 56

58 Tüm bulguların izlemesi tamamlandıktan sonra denetimi kapatma işlemi Başkan tarafından yapılır. 57