İSKİ İÇ DENETİM REHBERİ

Transkript

1 VERSİYON 1.0 T.C. İSKİ İÇ DENETİM REHBERİ ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI ĠSKĠ GENEL MÜDÜRLÜĞÜ 21 Ağustos 2013 Sayfa 1 / 365

2 ĠÇĠNDEKĠLER [GĠRĠġ HÜKÜMLERĠNE ĠLĠġKĠN HUSUSLAR]... 8 TAKDĠM... 9 KISALTMALAR GĠRĠġ [KĠDS 2100-ĠġĠN NĠTELĠĞĠNE ĠLĠġKĠN HUSUSLAR] ĠġĠN NĠTELĠĞĠ KURUMSAL YÖNETĠM (YÖNETĠġĠM) YönetiĢim Riskleri Anketler Yönetimin Öz Değerlendirmeleri Ortak ÇalıĢma veya Uzman Desteği Etik Ġle Ġlgili Program ve Faaliyetlerin Değerlendirilmesi RĠSK YÖNETĠMĠ Kurumu Kapsayan Risk Yönetim Sisteminin Değerlendirilmesi Denetim Görevlerinde Risklerin Yönetilmesinin Değerlendirilmesi KONTROL [ĠÇ DENETĠM FAALĠYETLERĠNĠN YÖNETĠLMESĠNE ĠLĠġKĠN HUSUSLAR] ĠÇ DENETĠM FAALĠYETĠNĠN YÖNETĠLMESĠ PLANLAMA VE KAYNAK YÖNETĠMĠ ĠLETĠġĠM POLĠTĠKA VE PROSEDÜRLER SÜREKLĠ MESLEKĠ GELĠġĠM BAĞIMSIZLIK VE TARAFSIZLIK KALĠTE GÜVENCE (ĠÇ DEĞERLENDĠRME) KAPSAMLI GÖRÜġÜN OLUġTURULMASI Sayfa 2 / 365

3 V DÖNEMSEL RAPORLAMA [ĠÇ DENETĠM PLAN VE PROGRAMLARININ HAZIRLANMASINA ĠLĠġKĠN HUSUSLAR] ĠÇ DENETĠM PLAN VE PROGRAMININ HAZIRLANMASI DENETĠM EVRENĠNĠN BELĠRLENMESĠ MAKRO RĠSK DEĞERLENDĠRMESĠ DENETĠM ALANLARININ BELĠRLENMESĠ VE ÖNCELĠKLENDĠRĠLMESĠ ĠÇ DENETĠM PLANININ HAZIRLANMASI ĠÇ DENETĠM PROGRAMININ HAZIRLANMASI [DENETĠM FAALĠYETLERĠNE (GÜVENCE HĠZMETLERĠNE) ĠLĠġKĠN HUSUSLAR] GÜVENCE/DENETĠM HĠZMETLERĠ DENETĠM GÖREVLERĠNĠN PLANLANMASI VE YÜRÜTÜLMESĠ Görevlendirme Denetlenen Birime Bildirim Ön ÇalıĢma Denetim Testlerinin Uygulanması (Saha ÇalıĢması) RAPORLAMA Bulguların Resmi Olarak PaylaĢılması KapanıĢ Toplantısının Yapılması Denetim Raporuna Konulacak Bulgulara Karar Verilmesi Denetim GörüĢünün OluĢturulması Denetim Raporunun Hazırlanması [DANIġMANLIK FAALĠYETLERĠNE ĠLĠġKĠN HUSUSLAR] DANIġMANLIK HĠZMETLERĠ TANIMI DANIġMANLIK FAALĠYETLERĠNĠN YÜRÜTÜLMESĠ DanıĢmanlık Faaliyetlerinin Ġç Denetim Plan ve Programına Alınması Sayfa 3 / 365

4 V Uygulama Saha ÇalıĢması Raporlama ve Ġzleme [ĠZLEME FAALĠYETLERĠNE ĠLĠġKĠN HUSUSLAR] ĠZLEME [ĠÇ DENETĠM SONUÇLARININ ĠDKK YA GÖNDERĠLMESĠNE ĠLĠġKĠN HUSUSLAR] ĠÇ DENETĠM SONUÇLARININ ĠDKK YA GÖNDERĠLMESĠ VE ĠDKK YA SUNULACAK DĠĞER BĠLGĠ VE BELGELER [ĠÇ DENETĠM ÇALIġMALARINDA KULLANILACAK PAPOR VE FORM ġablonlarina VE EKLERE ĠLĠġKĠN HUSUSLAR EKLER Denetim Kontrol Listesi Rapor Gözden Geçirme Kontrol Listesi EK 1 ĠSKĠ GENEL MÜDÜRLÜĞÜ ĠÇ DENETĠM EVRENĠ EK 2 RĠSK FAKTÖRLERĠ EK 3 RĠSK ANALĠZĠ MODELĠ EK 4 RĠSK SINIFLANDIRMA TABLOSU EK 5 OLASILIK VE ETKĠ DEĞERLENDĠRME SKALASI EK 5 OLASILIK VE ETKĠ DEĞERLENDĠRME SKALASI EK 6 RĠSK-KONTROL MATRĠSĠ EK 6 RĠSK-KONTROL MATRĠSĠ Hazırlayan Gözetim Sorumlusu Onaylayan Ġç Denetçi Sayfa 4 / 365

5 V1.0 Ġç Denetçi Ġç Denetim Birimi BaĢkanı / / / / / / EK 7 ĠÇ DENETĠM PLAN VE PROGRAMI ÖRNEK 2 ĠÇ DENETĠM PLANININ GÜNCELLENMESĠ EK 8 ĠÇ DENETÇĠ GÖREVLENDĠRME YAZISI EK 9 TARAFSIZLIĞI ZEDELEYEN HUSUSLARA ĠLĠġKĠN AÇIKLAMALARI EK 10 TARAFSIZLIK VE GĠZLĠLĠK BELGESĠ EK 10 TARAFSIZLIK VE GĠZLĠLĠK BELGESĠ EK 11 DENETĠM BĠLDĠRĠM YAZISI ÖRNEĞĠ (Denetlenecek Birime Gönderilir) EK 12 DENETĠM KONTROL LĠSTESĠ (Denetim Kontrol Listesi Denetim Basamaklarına ĠliĢkin ĠĢ ve ĠĢlem Sırasını Gösterir) EK 12 DENETĠM KONTROL LĠSTESĠ EK 13 DENETĠM SÜRE PLANI FORMU EK 14 STANDART Ġġ AKIġ SEMBOLLERĠ (Süreç Analizinde Kullanılan ĠĢ AkıĢ Sembollerinin Ġfade Ettiği Manaları Gösterir) EK 15 SÜREÇ ANALĠZĠ BĠLGĠ TOPLAMA FORMU EK 16 ETĠK DENETĠMĠNE ĠLĠġKĠN AÇIKLAMALAR EK 16.1 ETĠK ANKET FORM ÖRNEKLERĠ EK ĠÇ KONTROL OLGUNLUK SEVĠYELERĠNE ĠLĠġKĠN AÇIKLAMALAR. 225 EK DENETĠM GÖRÜġÜNÜN OLUġTURULMASI (ĠÇ KONTROL OLGUNLUK SEVĠYESĠNE ĠLĠġKĠN DENETĠMĠN GÖRÜġÜNÜN OLUġMASINA DAĠR AÇIKLAMALAR) Sayfa 5 / 365

6 V1.0 EK 17 ÇALIġMA KÂĞITLARINA ĠLĠġKĠN AÇIKLAMALAR EK 18 ÇALIġMA KÂĞIDI ġablonu EK 18 ÇALIġMA KÂĞIDI ġablonu EK 19 AÇILIġ TOPLANTI TUTANAĞI EK 20 RĠSK KAYDI FORMU ÖRNEĞĠ (RĠSK KÜTÜĞÜ BĠLGĠLERĠ) EK 20 RĠSK KAYDI (RĠSK KÜTÜĞÜ BĠLGĠLERĠ) FORMU EK 21 KONTROL KAYDI FORMU ÖRNEĞĠ (KONTROL KÜTÜĞÜ BĠLGĠLERĠ) EK 21 KONTROL KAYDI (KONTROL KÜTÜĞÜ BĠLGĠLERĠ) FORMU EK 22 ÇALIġMA PLANI VE EKĠ GÖREV Ġġ PROGRAMI ÖRNEĞĠ EK 22.1 ÇALIġMA PLANI FORMU EK 23 KANIT VE BĠLGĠ TOPLAMA TEKNĠKLERĠNE ĠLĠġKĠN AÇIKLAMALAR EK 24 ÖRNEKLEM ĠLE ĠLGĠLĠ KULLANILAN TERĠMLERE ĠLĠġKĠN AÇIKLAMALAR EK 25 TEST KAYDI FORMU ÖRNEĞĠ EK 25 TEST KÂĞIDI ġablonu EK 26 BULGU FORMU EK 27 KÖK NEDEN ANALĠZĠ (BULGULARDA TESPĠT EDĠLEN HUSUSLARIN SEBEPLERĠNĠN NELER OLDUĞUNA ĠLĠġKĠN YAPILACAK ANALĠZ ÇALIġMALARI HAKKINDA AÇIKLAMALAR) EK 28 BULGULARIN ÖNEM SEVĠYESĠNE ĠLĠġKĠN AÇIKLAMALAR EK 29 BULGU PAYLAġIM FORMU ÖRNEĞĠ EK 30 BULGU TAKĠP FORMU ÖRNEĞĠ EK 30 BULGU TAKĠP FORMU EK 31 DENETĠM DEĞERLENDĠRME FORMU (Denetlenen Birim Tarafından Doldurulur) Sayfa 6 / 365

7 V1.0 EK 32 ĠÇ DENETÇĠ DEĞERLENDĠRME FORMU EK 33 RAPOR GÖZDEN GEÇĠRME KONTROL LĠSTESĠ (Ġç Denetim Birimi BaĢkanı Tarafından AĢağıdaki Listeye Göre Denetim Raporu Kontrol Edilir) EK 33 RAPOR GÖZDEN GEÇĠRME KONTROL LĠSTESĠ EK 34 YAZILI OLMAYAN DANIġMANLIK FAALĠYETĠ FORMU ÖRNEĞĠ EK 35 KAPANIġ TOPLANTISI TUTANAĞI ÖRNEĞĠ EK 35 KAPANIġ TOPLANTISI TUTANAĞI EK 36 BULGU DEĞERLENDĠRME FORMU EK 36 BULGU DEĞERLENDĠRME FORMU EK 37 BULGU UYUġMAZLIK TABLOSU EK 37 BULGU UYUġMAZLIK TABLOSU EK 38 DENETĠM RAPORU ġablonu *** EK 39 DANIġMANLIK RAPORU ġablonu EK 41 ĠÇ DENETĠM FAALĠYET RAPORU ġablonu EK 42 ĠZLEME GÖREVĠ ĠÇĠN ĠÇ DENETÇĠ GÖREVLENDĠRME YAZISI ÖRNEĞĠ. 326 EK 43 ĠZLEME BĠLDĠRĠM YAZISI ÖRNEĞĠ (Denetlenen Birime Gönderilir) EK 44 ĠZLEME RAPORU ġablonu (Ġç Denetim Raporlarındaki Bulgulara ĠliĢkin Denetlenen Birimlerce GerçekleĢtirilen Eylemler ve Sonuçları Ġzlenir) ĠÇ DENETĠM SÖZLÜĞÜ Sayfa 7 / 365

8 V1.0 BĠRĠNCĠ KISIM [GĠRĠġ HÜKÜMLERĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 8 / 365

9 TAKDĠM V1.0 Bu Rehber, Ġstanbul Su ve Kanalizasyon Ġdaresi Genel Müdürlüğün (ĠSKĠ) de yapılacak güvence ve danıģmanlık faaliyetlerini kapsayan iç denetim çalıģmalarının planlanması, raporlanması, sonuçlarının izlenmesi ve kalitesinin değerlendirilmesinde ortak bir metodolojinin uygulanması ve oluģturulacak belgelerde uygulama birlikteliğinin sağlanması amacıyla Ġstanbul Su ve Kanalizasyon Ġdaresi Genel Müdürlüğü Ġç Denetim Birimi BaĢkanlığı (ĠDBB) tarafından hazırlanmıģtır. Rehberin hazırlanmasında; Ġç Denetçilerin ÇalıĢma Usul ve Esasları Hakkında Yönetmelik hükümleri muvacehesinde hazırlanan ve Ġç Denetim Koordinasyon Kurulunca düzenlen Kamu Ġç Denetim Rehberi esas alınmıģtır. Ayrıca, ĠDKK tarafından yayımlanmıģ diğer kaynaklar ile yapılan denetimlerden edinilen tecrübeler ve bu alandaki iyi uygulama örneklerinden de faydalanmıģtır. Rehber, Ġdaremizin yürüttüğü hizmetlerin mesleki etik ilkelerine uygun olarak yerine getirilmesi, faaliyet ve iģlemlerde hataların önlenmesi, kaynakların etkili, ekonomik ve verimli bir Ģekilde kullanılması gayesiyle Sayın Ġç Denetçi MeslektaĢlarımıza, Ġdaremizin Sayın Yöneticilerine ve Sayın Ġdare ÇalıĢanlarına iç denetim uygulamaları sırasında nelerle karģı karģıya kalınacağına dair yönlendirici bir çerçeve sunmaktadır. Bu muvacehede, ĠSKĠ nin tek yönlü klasik denetim anlayıģı yerine Ġdaremiz çalıģanlarının görüģlerine ve iģbirliğine önem veren, katılımcı, sistematik, çağdaģ ve Ġdaremize değer katan modern denetim anlayıģının benimsenmesinde ve geliģtirilmesinde mühim bir vazife ifa edece değerlendirilmektedir. Ġdaremize mevzuat ile yüklenmiģ görev ve sorumlulukların icaplarının yerine getirilmesi, bu çerçevede kullanılması icap eden kamusal yetkilerin kullanılması, her hal ve Ģartta hizmetinde bulunma Ģerefini haiz bulunduğumuz Ġstanbul halkının su ve kanalizasyon hizmetlerinin ve çevrenin korunması çerçevesindeki sunulan hizmetlerimizin ifasında, Ġdaremizin stratejik amaç ve hedeflerinin gerçekleģtirilmesinde yönetim fonksiyonunun mühim bir cüzünü teģkil eden denetim fonksiyonunun gerçekleģtirilmesinde, Yönetimin Denetim ile birlikte, aynı yöne bakarak, aynı hedefe odaklanarak, iģbirliği ve dayanıģma içerisinde bulunmasına hizmet etmesi ve katkı sunması gayesi çerçevesinde hazırlanan bu Rehberin Ġdaremize, BaĢkanlığımıza, Saygıdeğer MeslektaĢlarımıza, Ġdaremizin Saygıdeğer Yöneticilerine ve ÇalıĢanlarına umulan faydaların sağlanması temennilerimle hayırlara vesile olmasını Cenabı Hakk tan niyaz ederim. Saygılarımla arz ve takdim ederim Murat DEMĠRDĠġ Ġç Denetim Birimi BaĢkanı Sayfa 9 / 365

10 KISALTMALAR V1.0 ĠSKĠ Genel Müdürlüğü Ġç Denetim Rehberinde geçen kısaltmalar aģağıda belirtilmiģtir, bunlar; a) Denetim alanı: Denetim evreninde yer alan; birim, faaliyet, süreç, proje veya bunlardan birkaçının bir arada değerlendirilmek suretiyle denetlenebilir bölümlere ayrılmasıdır. b) DGS: Denetim Gözetim Sorumlusunu, c) Genel Tebliğ: Kamu Ġç Denetim Genel Tebliğini, d) Ġç Denetim Birimi BaĢkanı: ĠSKĠ Genel Müdürlüğü Ġç Denetim Birimi BaĢkanını, e) ĠDB: ĠSKĠ Genel Müdürlüğü nı, f) ĠDKK: Ġç Denetim Koordinasyon Kurulunu, g) KĠDS: Kamu Ġç Denetim Standartlarını, h) KĠKS: Kamu Ġç Kontrol Standartlarını, i) Kurum/Ġdare: Ġstanbul Su ve Kanalizasyon Ġdaresi Genel Müdürlüğünü, yani kısaca ĠSKĠ yi, j) Plan: 3 yıllık Ġç Denetim Planını, k) Program: Yıllık Ġç Denetim programını, l) Üst seviye yönetici: Ġdarenin teģkilat Kanununda gösterilen birimlerin (ana hizmet, yardımcı hizmet, danıģma ve denetim gibi) en Üst Yöneticisini, Üst Yönetici yardımcılarını, yani Harcama Yetkililerini ve Genel Müdür Yardımcılarını, m) Üst Yönetici: Ġdarenin en Üst Yöneticisini, yani ĠSKĠ Genel Müdürünü, n) Yönerge: ĠSKĠ Genel Müdürlüğü Ġç Denetim Yönergesini, o) Yönetmelik: Ġç Denetçilerin ÇalıĢma Usul ve Esasları Hakkında Yönetmeliki, Sayfa 10 / 365

11 1. GĠRĠġ V1.0 Ġç Denetim, 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununda; Ġdaresinin çalıģmalarına değer katmak ve bunları geliģtirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve rehberlik yapmak amacıyla yapılan bağımsız, nesnel 1 güvence sağlama ve danıģmanlık faaliyeti Ģeklinde tanımlanmıģtır. Ġç Denetim faaliyeti, kuruma sunduğu güvence ve danıģmanlık hizmetleri aracılığıyla Ġdarenin amaçlarını gerçekleģtirme fırsatlarını geliģtirmeli, faaliyetleri geliģtirme imkânlarını belirlemeli ve riske maruz kalmasını azaltarak kuruma değer katmalıdır. Kuruma değer katma, kamuda var olan uygunluk denetimi anlayıģına yönetiģim, risk yönetimi ve kontrol süreçlerinin değerlendirilmesini de ekleyerek mevcut denetim anlayıģını günümüz Ģartlarına uygun hale getirmekte ve denetim anlayıģında fark oluģturmaktadır. Bu fark Ġç Denetimin Ġdarenin hedeflerine ulaģabilmesi için gerçekleģtirilecek çalıģmaları içerdiğinden üzerinde önemle durulması gereken bir husus haline gelmektedir. Ġç Denetim faaliyetlerinin, Ġdarenin yönetim ve kontrol yapıları ile mali iģlemlerinin risk yönetimi, yönetim ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliģtirmek yönünde sistematik, sürekli ve disiplinli bir yaklaģımla ve Ġç Denetim Koordinasyon Kurulu (ĠDKK) tarafından belirlenen Kamu Ġç Denetim Standartları ile uyumlu olarak yürütülmesi gerekmektedir. Uluslararası Ġç Denetçiler Enstitüsü nün (IIA) tanımıyla da uyumlu olan bu denetim yaklaģımı kontrol sistemlerinin yeterliliğinin değerlendirilmesinde yalnızca geçmiģteki iģlemlere odaklanmak yerine gelecekte yaģanması muhtemel riskleri belirlemeyi ve bu risklerin gerçekleģmesi halinde ortaya çıkacak etkileri en aza indirmeyi sağlayacak kontrol mekanizmalarını da değerlendirmeyi içermektedir. Ġç kontrol sisteminin tasarım ve uygulama eksikliklerinin giderilmesi amacıyla sürekli izleme ve değerlendirmeye tabi tutulması gerekmektedir. Bu doğrultuda Ġç Denetim Birimi, Üst Yöneticinin gözetim sorumluluğunu yerine getirmesinde önemli bir görev yerine getirmektedir. Güvence Sağlama Faaliyeti Ġdare içerisinde etkin bir iç kontrol sisteminin var olup olmadığına; Ġdarenin risk yönetimi, iç kontrol sistemi ve süreçlerinin etkin bir Ģekilde iģleyip iģlemediğine; üretilen 1 Buradaki nesnellik sayısal ya da ölçülebilir olmaktan ziyade tarafsızlık ilkesiyle ilgilidir. Sayfa 11 / 365

12 V1.0 bilgilerin doğru ve tam olup olmadığına; varlıklarının korunup korunmadığına; faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun bir Ģekilde gerçekleģtirilip gerçekleģtirilmediğine dair kurum içine ve dıģına makul güvencenin verilmesidir. Fiili uygulamada güvence sağlama faaliyetleri denetim olarak adlandırılmaktadır. Bu rehberde de denetim ifadesi kullanılan yerlerde güvence sağlama faaliyeti kastedilmektedir. Rehberin, 5 inci bölümünde Güvence/Denetim Hizmetleri Süreci detaylı olarak ele alınmaktadır. DanıĢmanlık Faaliyeti Ġdarenin hedeflerini gerçekleģtirmeye yönelik kurumsal yönetim, risk yönetimi ve iç kontrol faaliyetlerinin ve süreçlerinin sistematik bir biçimde değerlendirilmesi ve geliģtirilmesine yönelik önerilerde bulunulmasıdır. Rehberin, 6ncı bölümünde DanıĢmanlık Hizmetleri Süreci ele alınmaktadır. Sayfa 12 / 365

13 V1.0 ĠKĠNCĠ KISIM [KĠDS 2100-ĠġĠN NĠTELĠĞĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 13 / 365

14 V ĠġĠN NĠTELĠĞĠ KĠDS nda 2100-ĠĢin Niteliği ayrı bir bölüm olarak karģımıza çıkmaktadır. Söz konusu Standarda göre, Ġç Denetim faaliyeti, sistematik ve disiplinli bir yaklaģımla, yönetiģim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileģtirilmesine katkıda bulunmak zorundadır. ifadesiyle, ĠDB için yukarıda yer verilen hususların değerlendirilmesini zorunlu kılmıģtır. YönetiĢim, risk yönetimi ve kontrol süreçlerinde Ġç Denetim Biriminin esas rolü güvence sağlamaktır. Bunun yanında Ġç Denetim; yönetiģim, risk yönetimi ve kontrol süreçlerinde eğitici, kolaylaģtırıcı veya süreçlerin izlenmesi ve koordine edilmesi hususlarında rol alarak danıģmanlık faaliyeti yürütebilir. Ġç Denetim esasen, yönetiģim, risk yönetimi ve kontrol süreçleri konusunda geliģmiģ ve belli bir olgunluğa ulaģmıģ kurumlarda güvence faaliyetinde; belli bir olgunluğa ulaģamamıģ kurumlarda ise danıģmanlık rolünü üstlenir. AĢağıda yönetiģim, risk yönetimi ve kontrol süreçlerine iliģkin kapsamlı değerlendirmelere yer verilmektedir KURUMSAL YÖNETĠM (YÖNETĠġĠM) Kurumsal yönetim, Ġdarenin amaçlarına ulaģmasına yönelik olarak, Üst Yönetim tarafından, kurum faaliyetlerinin yönlendirilmesi, yönetilmesi ve gözlenmesi gayesiyle uygulanan yapı ve süreçlerin bir birleģimidir. KURUMSAL YÖNETĠġĠM UNSURLARI Kurumsal yönetim, iç kontrol ve risk yönetimi sistemlerinin temelini oluģturur. Yönetim tarafından kurum faaliyetlerinin yönetilmesi, yönlendirilmesi ve gözlenmesi amacı ile oluģturulan ve uygulanan; 1. Etik ilke ve davranıģ kuralları, 2. Misyon, vizyon ve değerler, 3. Kurumsal stratejiler, amaç, hedef ve performans göstergeleri, 4. Organizasyon yapısı, 5. Görev yetki ve sorumlulukların dağıtımı, Sayfa 14 / 365

15 6. Kurum içi iletiģim, V PaydaĢlarla olan iliģkiler, 8. Ġnsan kaynakları politikaları, 9. Faaliyet sonuçlarının izlenmesi ve raporlanması, Gibi çok sayıda iģlem ve faaliyet kurumsal yönetim süreci kapsamındadır. Yukarıda belirtilen kurumsal yönetim unsurları, Ġç Denetim Planları hazırlanırken göz önünde bulundurulur. Hangi yönetiģim süreçlerinin Ġç Denetim Planına alınacağına iliģkin karar, risk değerlendirme sonuçlarına dayanılarak ve Üst Yöneticinin değerlendirmeleri alınarak belirlenir. Tüm yönetiģim faaliyetlerinin bir plan döneminde denetlenmesi gibi bir durum zorunlu olmayıp, Ġdarenin amaçlarını gerçekleģtirmesi üzerinde önemli etkiler meydana getirebilecek faaliyetlere ağırlık verilir YönetiĢim Riskleri Denetim görevlerinin yürütülmesi sırasında yönetiģim riskleri değerlendirilmelidir. YÖNETĠġĠM RĠSKLERĠ YönetiĢime iliģkin bazı risk örnekleri aģağıda sıralanmaktadır: 1. Yönetim tarafından uzun vadeli stratejiler yerine kısa vadeli sonuçlara odaklanılması, 2. Yöneticiler tarafından, kurumsal stratejilerin belirlenmesi ve performansın izlenmesi faaliyetlerinin, güvenilir ve güncel bilgiye dayanmadan gerçekleģtirilmesi, 3. Üst Yönetim tarafından belirlenen stratejilerin, birim seviyesindeki amaçlar ve hedefler ile iliģkisinin kurulmaması nedeniyle gerçekleģtirilememesi, 4. Bilgi teknolojisi önceliklerinin, kurumsal hedeflere göre belirlenmemesi, 5. Kurumsal etik ilkelerin kurum özelinde belirlenmemiģ veya duyurulmamıģ olması nedeniyle personelin farkındalık seviyesinin düģük olması, 6. Ücret ve ödüllendirme sistemlerinin yetersizliği nedeni ile personelin/yöneticilerin aģırı risk alması veya uygunsuz davranıģlarda bulunması, 7. Kilit fonksiyonlardaki personelin yetkin olmaması veya personel devir hızının yüksekliğinin, personelde tecrübe eksikliğine ve kontrollerin daha az güvenilir bir Ģekilde Sayfa 15 / 365

16 uygulanmasına yol açması, V Etik ilke ve davranıģ kurallarının tanımlanmaması, ihbar politikalarının eksikliği veya bildirilen ihbarlar hakkında gerekli incelemelerin yapılmaması, etik ilke ve davranıģ kurallarının etkinliğinin değerlendirilmemesi, yöneticilerin kontrolleri geçersiz kılması gibi nedenlerle yolsuzlukların artması, 9. Kilit yöneticilerin, risk ve kontrollere iliģkin yeterli farkındalığa sahip olmaması nedeni ile yönetim kararlarını, kararların taģıdığı riskleri tümüyle anlamadan ve değerlendirmeden vermesi. YönetiĢimin değerlendirilmesi yapılırken dikkat edilmesi gereken durumlar bulunmaktadır. YönetiĢimin denetimi çoğu durumda dolaylı veya dolaysız olarak Üst Yönetim tarafından veya onun talimatı ile gerçekleģtirilen kontrollerin değerlendirilmesini de içerir. YönetiĢim unsurları ayrı bir denetim alanı olarak belirlenebileceği gibi denetim görevleri içerisinde de değerlendirilebilir. YönetiĢimin bir bütün olarak ayrı bir denetim alanı olarak ele alınması düģünüldüğünde, özellikle yönetiģime iliģkin olgunluk seviyesinin düģük olduğu kurumlarda bu konuda önceliğin danıģmanlık faaliyetlerine verilmesi uygun olacaktır. YönetiĢim sürecine iliģkin denetim faaliyetlerinin hassas konular olması nedeniyle Ġç Denetim Birimi BaĢkanı tarafından dikkat ve özenle yürütülmesi gerekir. Yöneticilerin, yönetim tarzlarının denetim konusu haline gelmesine istekli olmadıkları durumlar ile karģılaģılabilecektir. Bu nedenle Ġç Denetim Birimi BaĢkanı tarafından, denetimlerin planlanması aģamasında bu durumların dikkatle değerlendirilmesi gerekir. Ġç Denetim Birimi BaĢkanı, Ġç Denetim Ekibinin ihtiyaç duyduğu kiģilerle görüģmesi veya belgeleri elde etmesi konusunda güçlüklerle karģılaģma ihtimalini dikkate almalı, kritik pozisyonlarda bulunan Üst Yönetim mensupları ile denetim planlama sürecinin erken safhalarında toplantı yapmalıdır. Bu toplantılarda, hangi bilgilere neden ihtiyaç duyulduğu, yönetiģim süreçlerinin etkinliğinin değerlendirilmemesi durumunda, iç kontrol ve risk yönetimine iliģkin güvence faaliyetlerinin de eksik kalacağı konuları yöneticilere açıklanmalıdır. Yöneticilerin çekinceleri dinlenmeli, anlaģılmalı ve mümkünse giderilmesi sağlanmalıdır. Çözümlenememesi durumunda, konunun Üst Yöneticiye bildirilmesi zorunlu hale gelebilir. YönetiĢimin değerlendirmesi görevlerinde; anketler, yönetimin öz değerlendirmeleri, ortak çalıģma ve uzman desteği araçları kullanılabilir. Sayfa 16 / 365

17 Anketler V1.0 Görevlerin yürütülmesi sırasında personel anketleri kullanılabilir. Anketler ĠDB tarafından oluģturulabileceği gibi, yönetim tarafından uygulanmakta olan anketlerden de faydalanılabilir. Ġnsan kaynakları birimi gibi, personelden bilgi toplanması amacıyla rutin anketler gerçekleģtiren birimlerle iģbirliği yapılarak Ġç Denetim Birimi BaĢkanı tarafından anketlere istenilen soruların eklenmesi sağlanabilir Yönetimin Öz Değerlendirmeleri Yönetim tarafından gerçekleģtirilen öz değerlendirmeler, yönetiģim süreçlerinin değerlendirilmesine katkı sağlayabilir. Ancak bu değerlendirmelerin sübjektif olabileceği göz ardı edilmemelidir. Ġyi yönetiģim uygulamaları hakkında yeterli bilgiye sahip olmayan yönetimler, öz değerlendirme sonucunda uygulanabilir ve değer katıcı öneriler geliģtiremeyebilir. Belirtilen nedenlerle, yönetimin öz değerlendirme çalıģmasına güven duyabilmek için, Ġç Denetimin öncelikle öz değerlendirme sürecinin etkinliğini değerlendirmesi gerekir Ortak ÇalıĢma veya Uzman Desteği Üst Yönetim, yönetiģim sürecinin veya unsurlarından bazılarının, kurum dıģından bir uzman veya uzman grubu tarafından değerlendirilmesini isteyebilir. Böyle bir durumda, Ġç Denetim Birimi BaĢkanı bu uzmanlar ile ortak çalıģma imkânını değerlendirmelidir. Benzer Ģekilde, Ġç Denetim Birimi BaĢkanı, yönetiģim süreçlerinin denetimi için özel bir yetkinlik (iç ve dıģ uzmanlar gibi) gerekip gerekmediğini değerlendirmeli ve Ġç Denetim Ekibinin yönetiģim süreçlerinin tamamını veya bir bölümünü değerlendirmek için gereken bilgi ve tecrübeye sahip olmadığı durumlarda, baģka bir Ġç Denetçiden veya konunun uzmanından görüģ veya yardım alınmasını sağlamalıdır Etik Ġle Ġlgili Program ve Faaliyetlerin Değerlendirilmesi 2110 No.lu Standart, Ġdarenin etikle ilgili amaç, program ve faaliyetlerinin etik tasarımının uygulanması ve etkililiğini Ġç Denetim Birimi tarafından değerlendirilmesine özel bir vurgu yapmıģtır. Etik ile ilgili program ve faaliyetlerin değerlendirilmesi sırasında dikkate alınacak konular ile uygulanabilecek yöntemlere ekte yer verilmiģtir. (EK-16 ila EK : Etik Denetimi) Sayfa 17 / 365

18 V RĠSK YÖNETĠMĠ Risk yönetimi, Risklerin tanımlanması, değerlendirilmesi ve etkisinin kabul edilebilir bir seviyede tutulabilmesi için gerekli kontrollerin uygulanması, gözden geçirilmesi ve raporlanmasını sağlayan bir yönetim sürecidir. Ġç Denetim Biriminin risk yönetimine iliģkin rolü, Ġdarenin olgunluk seviyesine bağlı olarak sınırlı bir görev almaktan, iģ ve iģlemleri fiili olarak üstlenmeye doğru giden bir yelpaze içinde değiģim gösterir. AĢağıdaki Ģekil, kurumsal risk yönetiminde Ġç Denetim Biriminin üstlenebileceği, belirli Ģartlar altında üstlenebileceği ve üstlenmemesi gereken rolleri göstermektedir. ġekil 2.1. Kurumsal Risk Yönetiminde Ġç Denetimin Rolü ġekil 2.1 in sol tarafında yer alan faaliyetler güvence faaliyetlerini, orta bölümde yer alan faaliyetler ise, danıģmanlık faaliyetlerini göstermektedir. Ġç Denetim Birimi, bu faaliyetlerin en azından bir kısmını yürütmelidir. Sayfa 18 / 365

19 V1.0 Ġç Denetim Birimi, risk yönetim süreçlerine iliģkin sorumluluklarını iki Ģekilde yerine getirebilir. 1) Kurumu kapsayan risk yönetim sisteminin değerlendirilmesi 2 2) Denetim görevlerinde risklerin yönetilmesinin değerlendirilmesi Kurumu Kapsayan Risk Yönetim Sisteminin Değerlendirilmesi Ġç Denetim Birimi Ġdarede yürütülen risk yönetim süreçlerinin geliģmiģlik seviyelerini göz önünde bulundurarak, Ġç Denetim faaliyetinin denetim veya danıģmanlık türlerinden hangisini uygulayarak yürüteceğine karar vermelidir. Kurumda risk yönetim süreci oluģturulmamıģsa, Ġç Denetim Birimi, kurumsal risk yönetiminin gerekliliği konusunda Üst Yöneticiyi bilgilendirmeli, kendi tavsiyelerini sunarak Ġç Denetim faaliyetinin risk yönetimi sürecindeki rolü konusunda Üst Yöneticinin talimatlarını almalıdır. Risk yönetim süreçlerinin bulunmadığı/tanımlanmadığı kurumlarda, Ġç Denetim Birimi, Ġdarenin risk yönetimi süreçlerini geliģtirmek üzere danıģmanlık hizmeti sağlaması daha doğru bir yaklaģımdır. Ġç Denetimin sağlayacağı danıģmanlığın kapsamı, Ġdarenin risk olgunluğu, Üst Yönetimin talepleri, Ġdarenin sağlayabileceği iç ve dıģ kaynakların niteliği gibi unsurlara bağlıdır ve zaman içinde değiģiklik gösterebilir. Ġç Denetçilerin, risk yönetimi konusundaki uzmanlığı, özellikle risk yönetiminin kurulması aģamasında, Ġç Denetçilerin bu konudaki çalıģmalara liderlik 3 etmesini gerektirebilir. Ġdarenin risk olgunluğu arttıkça ve risk yönetimi iģ süreçlerine entegre oldukça, Ġç Denetimin de kurumsal risk yönetimindeki liderlik rolü azalır. Bu durumda Ġç Denetim faaliyeti, risk yönetimindeki rolünü danıģmanlık faaliyetleri yerine güvence faaliyetlerine doğru çevirmelidir. Bununla birlikte, risk yönetimine iliģkin gereken yetkinliğe sahip olmayan Ġç Denetçiler, bu alanda herhangi bir görev üstlenmemelidir. Ġç Denetim Birimi BaĢkanı, ĠDB de gereken yetkinlik yoksa ve bunların elde edilmesi de sağlanamıyorsa, bu alanda danıģmanlık hizmetleri vermeye giriģmemelidir. 2 Risk yönetimi ve riskin yönetilmesi farklı kavramlardır. Risk yönetimi, risklerin tanımlanması, değerlendirilmesi ve etkisinin kabul edilebilir bir seviyede tutulabilmesi için gerekli kontrollerin uygulanması, gözden geçirilmesi ve raporlanması süreçlerini içine alan bir çerçeve iken; Riskin yönetilmesi ise, bir süreç veya faaliyete ilişkin risklerin yönetimi işidir. 3 Risk yönetiminin faydalarına ilişkin kurum üst yönetiminin bilgilendirilmesi, kurum personelinin eğitimi, yöneticilerin risk kararlarını alma sürecinde tavsiye ve öneriler ile desteklenmesi gibi faaliyetleri içermektedir. Sayfa 19 / 365

20 V1.0 RĠSK YÖNETĠMĠNDE ĠÇ DENETĠM BĠRĠMĠ TARAFINDAN VERĠLECEK DANIġMANLIK HĠZMETLERĠ Ġç Denetim Birimi, aģağıda sıralanan konularda danıģmanlık faaliyeti yürütebilir: 1) Risklerin ve kontrollerin analizi için kullanılan araçları yönetimin kullanımına sunmak, 2) Kurumsal risk yönetimini kuruma tanıtmak, risk ve kontrollere iliģkin bilgi seviyesini artırmak, 3) Kurumda risk yönetimine iliģkin ortak bir dil, çerçeve ve anlayıģın geliģtirilmesini teģvik etmek, 4) Risk ve kontrol konularında tavsiyelerde bulunmak, kurumu yönlendirmek, 5) Risk ve kontrol konulu çalıģtaylarda kolaylaģtırıcılık rolü 4 üstlenmek, 6) Risklerin koordinasyonu, izlenmesi ve raporlanmasına iliģkin yöntemlerin geliģtirilmesine yardımcı olmak, 7) Yöneticilere, riskleri azaltmanın en uygun yolunu belirleme çalıģmalarında destek olmak. Ġç Denetçiler, risk yönetimi süreçlerinin kurulmasında veya geliģtirilmesinde yönetime danıģmanlık hizmeti verirken riskleri fiilen yönetmek suretiyle yönetim sorumluluğu almaktan kaçınmak zorundadırlar. Kurumsal risk yönetiminin Ġdarede oluģturulması ve izlenmesinden üst seviye yöneticiler yani Harcama Yetkilileri ve Genel Müdür Yardımcıları sorumludur. Ġç Denetim Birimi, bu sorumluluğu üstlenmediği ve Ġdarenin Üst Yönetimi risk yönetimi süreçlerine aktif destek ve yardım sağladığı sürece danıģmanlık faaliyetleri yürütebilir. RĠSK YÖNETĠMĠNDE BAĞIMSIZLIK VE TARAFSIZLIK Ġç Denetim Biriminin danıģmanlık faaliyetleri sırasında, faaliyetin bağımsızlığının 4 İç denetçilerin kolaylaştırıcılık rolü, personele risklerin ve kontrol eksikliklerinin tanımlanması, değerlendirilmesi ve iyileştirilmesi konusundaki rehberlik faaliyetlerini kapsar, işin tümünün İç Denetçiler tarafından yapılması veya kararların alınmasını içermez. Sayfa 20 / 365

21 V1.0 ve Ġç Denetçilerin tarafsızlığının korunması açısından, aģağıdaki hususlara dikkat edilmelidir: 1- Risk yönetimi sorumluluğunun yönetimde olduğu açıkça belirtilmelidir. 2- Ġç Denetçiler, hiçbir riski yönetim adına yönetmemelidir. Bunun yerine yöneticilerin risklere iliģkin kararlarını vermelerini destekleyen öneri ve tavsiyelerde bulunmalıdır. Yönetimin risklere iliģkin kararları alırken, Ġç Denetim Birimine danıģması ve tavsiyelerini alması veya Ġç Denetim Biriminin risk yönetimi sürecinin geliģtirilmesine aktif olarak katılması, Ġç Denetimin risk yönetimine iliģkin kararlar aldığı anlamına gelmez. 3- Risk yönetim sürecinin geliģtirilmesi ve yönetiminde aktif bir rol oynamak, "risklerin sorumluluğunu üstlenmek" rolüyle aynı değildir. Ġç Denetçiler tarafından, kurumsal risk yönetiminin hayata geçirilmesinde Ġdarenin yerine geçerek mevcut risklerin tanımlanması, bunlara yönelik gerekli tedbirlerin alınması ve izlenmesinin, risklerin sorumluluğunun üstlenilmesi anlamına geldiği bilinmelidir. 4- Risklerin fiilen yönetilmesinin Ġç Denetçilerin tarafsızlıklarını yitirmelerine yol açacağı unutulmamalıdır. Kurumsal risk yönetimi sürecinin, Ġç Denetimin sorumluluğunda yürütülen kısımları için, güvence faaliyeti yürütülmemelidir. 5- Güvence görevleri dıģındaki tüm görevler, danıģmanlık fonksiyonu kapsamında algılanmalı ve danıģmanlık görevlerine iliģkin standartlara ve uygulama önerilerine uyulmalıdır. Kurumda bir risk yönetim süreci mevcutsa Ġç Denetim Birimi, risk yönetim sürecinin yeterliliğini güvence faaliyeti ile değerlendirebilir. Ġç Denetçiler risk yönetim süreçlerinin doğru tam ve güvenilir bilgi sunduğu konusunda kurumlara güvence vermelidir. Güvence faaliyetleri yürütülürken, Ġdarenin risk yönetimi süreçlerinin beģ temel hedefi karģılayıp karģılamadığı değerlendirilmelidir. RĠSK YÖNETĠMĠNĠN 5 (BEġ) TEMEL HEDEFĠ Risk yönetiminin beģ temel hedefi Ģunlardır; 5 1 Risklerin belirlenmesi, tanımlanması ve öncelik sırasının tespit edilmesi, 5 Daha fazla bilgi için bakınız; Uygulama Önerisi (Ocak 2009) : Risk Yönetim Sürecinin Yeterliliğinin Değerlendirilmesi, TS ISO Risk Yönetimi - Prensipler Ve Kılavuzlar. Sayfa 21 / 365

22 2 Kabul edilebilir risk seviyesinin belirlenmesi, V1.0 3 Risk azaltma faaliyetlerinin belirlenmesi ve uygulanması, 4 Devamlı izleme faaliyeti yapılması, 5 Dönemsel raporlama yapılması. Üst Yönetime, Ġdarenin risk yönetimi sürecinin etkin bir tasarıma sahip olduğu, etkin bir biçimde dokümante edildiği ve amaçlarını gerçekleģtirecek Ģekilde uygulandığına iliģkin makul güvence sunulabilmesi için, aģağıdaki soruların Ġç Denetim tarafından değerlendirilmesi gerekir: MAKUL GÜVENCE VERĠLEBĠLMESĠ ĠÇĠN RĠSK YÖNETĠMĠ KONUSUNDA ĠÇ DENETĠM TARAFINDA DEĞERLENDĠRĠLECEK HUSUSLAR 1. Risk yönetimi süreci, Ġdarenin Üst Yönetimi tarafından sahipleniliyor mu? (Gereken kaynağın ayrılması, risklere gereken önemin verilmesi, çalıģmaların gözetimi, risk yönetiminin Ġdarenin iģ süreçleri ve karar alma mekanizmalarının ayrılmaz bir parçası haline gelmesi gibi) 2. Risk yönetimi çerçevesinin tasarımı ve risk değerlendirme kriterleri, Ġdarenin faaliyet gösterdiği iç ve dıģ ortama uygun mu? 3. Yönetim tarafından belirlenen risk iģtahı/toleransının seviyesi, Ġdarenin yönetiģim yapısı ile uyumlu mu? 4. Risk yönetimi sürecinin çıktılarının kurum içinde uygun ve yeterli bir Ģekilde iletilmesini sağlayacak iç iletiģim ve raporlama kanalları var mı? 5. DıĢ iletiģim ve raporlama mekanizmaları, ilgili yasal düzenlemelere, yönetiģim ve beyan gereksinimlerine uygun mu? 6. Risk yönetimi çerçevesinin tasarımı ve etkinliğini izlemek için gereken performans ölçütleri ve raporlama mekanizmaları mevcut mu? mu? 7. Benimsenen risk yönetimi çerçevesi kurum içinde etkili bir Ģekilde uygulanıyor 8. Risklerin tanımlanması, bu konuda yeterli bilgiye sahip kiģilerce gerçekleģtiriliyor mu, mevcut risk tanımlama çalıģmaları yeterli mi? Sayfa 22 / 365

23 V Ġç ve dıģ ortam değiģiklikleri ile kurumsal ihtiyaçlardaki değiģiklikler doğrultusunda, risk çerçevesinde ve risk yönetimine iliģkin süreçlerde gerekli uyarlamalar yapılıyor mu? 10. Risklerin değerlendirilmesi ve risk yanıtlarının seçilmesinden sorumlu kiģiler, yeterli bilgiye sahip mi, bu faaliyetlerin gözden geçirilmesi ve onaylanması süreçleri etkin mi? 11. Risk eylem planları izleniyor ve uygun yönetim kademelerine raporlanıyor mu? Denetim Görevlerinde Risklerin Yönetilmesinin Değerlendirilmesi Ġç Denetim Birimi, denetim evreninde yer alan kurumsal risk yönetimi süreçlerinin etkinliğini münferit denetimlerle değerlendirebileceği gibi, yürüttüğü denetim veya danıģmanlık faaliyetleri içerisinde, faaliyet veya sürece iliģkin risklerin yönetilmesini de değerlendirebilir. Ġç Denetçiler, denetim görevleri sırasında süreçlere yönelik riskleri tespit ederek, tedbir alınması gereken riskler konusunda ilgili denetlenen birim nezdinde farkındalık oluģturur ve risk yönetim süreçlerine katkı sağlarlar. Bu kapsamda Ġç Denetçiler, denetlenen süreç ya da faaliyete yönelik risklerin etkili bir Ģekilde yönetildiğine dair güvence verirken; risklerin doğru bir Ģekilde belirlenip değerlendirildiği, risklerin minimize edilmesine yönelik kontrol faaliyetlerinin belirlendiği ve uygulandığı, izlendiği, yetkili kiģilere raporlandığı hususlarını değerlendirmelidirler KONTROL Kontrol; Yönetimin, riski yönetmek ve belirlenen amaç ve hedeflere ulaģma ihtimalini arttırmak amacıyla aldığı tedbirlerdir. Kontrol süreçleri ise; Riskin, risk yönetim süreçleriyle belirlenen riske ait kabul edilebilir sınırlar içinde kalmasını sağlamak amacıyla tasarlanan ve kontrol çerçevesinin bir parçası olan faaliyet, politika ve prosedürlerdir Kontrol süreçlerinin amacı, risklerin yönetilmesi ve belirlenmiģ hedeflere ulaģılmasında kurumu desteklemektir. Ġç Denetçiler, denetim görevleri esnasında, mevcut kontrollerin etkililiğini değerlendirmekte ve kontrollerin çalıģıp çalıģmadığı yönünde ortaya konan tespitler ve sonrasında geliģtirilen düzeltici öneriler ile kontrol süreçlerinin iyileģtirilmesine katkı sağlamaktadır. Ġç Denetçiler bu değerlendirmelerinde mevcut kontrollerin, kurumda üretilen mali ve operasyonel bilgilerin doğru ve güvenilirliğini; programların ve faaliyetlerin Sayfa 23 / 365

24 V1.0 etkililiğini ve verimliliğini, varlıkların korunmasını; mevzuata, politika ve prosedürlere ve sözleģmelere uyumu sağladığı konusunda güvence vermektedirler. Kontroller, Ġdarenin genelinde, kurum, birim ve faaliyet seviyesinde uygulanır. Ġdarenin stratejik önceliklerinin belirlendiği Stratejik Plan, kurum seviyesinde bir kontrolken, bu plana uygun Ģekilde hazırlanan Birim ĠĢ Planları birim seviyesinde bir kontroldür. Benzer Ģekilde kurum personelinin uymakla yükümlü olduğu etik ilke ve davranıģ kurallarının belirlenmesi, kurum seviyesinde bir kontrolken, yürüttüğü iģin niteliği nedeni ile genel kurallar ile uyumlu bir biçimde birim çalıģanlarına mahsus etik ilke ve davranıģ kurallarının belirlenmesi birim seviyesinde bir kontroldür. Doğrulama, mutabakat, çift imza sistemi, amirlerin gözetimi, fiziksel kontroller, faaliyet seviyesi kontrollerine örnek olarak verilebilir. Denetim görevlerinin yürütülmesi sırasında, belirlenen kontrollerin seviyesinin tanımlanması gerekir. Bu Ģekilde bir tanımlama, kontrol eksikliklerinin muhataplarının belirlenmesini kolaylaģtıracağı gibi, Ġç Denetim Biriminin, özellikle kurum seviyesindeki kontrollere iliģkin yeterli çalıģmayı yürütülüp yürütmediğinin değerlendirilmesini de sağlar. Ġç Denetçiler, kontrol süreçlerinin denetimi kapsamında, Ġdarenin bilgilerin güvenilirliği ve doğruluğuna iliģkin kontrollerini dönemsel olarak değerlendirmeli, mevcut kontrollerin iyileģtirilmesini ya da yeni kontrol uygulamalarının geliģtirilmesini tavsiye etmelidir. Bu kontrollere iliģkin değerlendirmeler, bağımsız bir denetim veya yıllık denetim planının bir parçası olan baģka denetim veya danıģmanlık görevleri ile bütünlük arz edecek Ģekilde yapılabilir. Yine kontrol süreçlerinin denetimi sırasında, kiģisel bilgilerin gizliliğinin korunması amacına yönelik risklerin belirlenmesi ve bu risklere iliģkin kontrollerin yeterliliğinin değerlendirilmesi suretiyle Ġdarenin yönetiģim ve risk yönetimine önemli katkılar sağlanabilir. KiĢisel bilgiler, genel olarak, belirli bir bireyle ilgili olan bilgiler ya da baģka bilgilerle birleģtirildiğinde belirli bir kiģiyle iliģkilendirilebilecek ayırt edici nitelikteki bilgilerdir. Ġsim, adres, kimlik numaraları, aile iliģkileri, personel kayıtları, disiplin cezaları, gelir/mali durum bilgileri, tıbbî durum bilgileri gibi bilgiler kiģisel bilgilere örnek olarak verilebilir. KiĢisel bilgilerin korunmasındaki baģarısızlıklar, kiģi ve Ġdarenin itibarının zedelenmesi, yasal sorumluluklara maruz kalınması gibi olumsuz sonuçlara yol açabilir. Bu Ģekildeki bir denetim ile Ġdarenin topladığı kiģisel veya özel sayılan bilgilerin türleri ve uygunluğu, kullanılan bilgi toplama yöntemi, Ġdarenin bu bilgileri asıl kullanım amacına ve geçerli mevzuata uygun kullanıp kullanmadığı belirlenir. Bununla birlikte, konunun teknik ve hukukî niteliği nedeni ile Ġdarenin gizlilik politikasına iliģkin kontrollerin ve risklerin değerlendirilmesi için Ġç Denetçilerin bu konuda yeterli bilgi ve yetkinliğe sahip olması gerekir. Sayfa 24 / 365

25 V1.0 Ġç Denetim Biriminin kontrol süreçlerine denetim görevleriyle nasıl katkı sağlayacağına iliģkin detaylı bilgilere, Rehberin Ön ÇalıĢma ve Denetim Testlerinin Uygulanması (Saha ÇalıĢması) bölümlerinde yer verilmiģtir. Ayrıca, hem Ġç Denetim Birimi BaĢkanı tarafından verilen kapsamlı görüģ, hem de denetim görevlerine iliģkin oluģturulan denetim görüģleri, Üst Yönetici ve birim yöneticilerinin her yıl vermiģ oldukları iç kontrol güvence beyanlarına önemli bir altlık teģkil etmektedir. ĠÇ KONTROL GÜVENCE BEYANI ĠÇ DENETĠM ĠLĠġKĠSĠ 1. Ġdarede iç kontrol sistemlerinin kurulması ve gözetilmesinden sorumlu olan Üst Yönetici ve birim yöneticileri, bu sorumlulukları kapsamında her yıl Ġç Kontrol Güvence Beyanı imzalamaktadır. 2. Üst Yöneticinin Ġç Kontrol Güvence Beyanı nın oluģturulması sırasında, Ġdarenin iç kontrol sisteminin yeterliliği ve etkinliği hakkında yeterli seviyede bilgilendirilmesi gerekir. Ġç Denetim raporları, Ġdarenin Üst Yönetici ve üst seviye yöneticilerinin iç kontrole iliģkin güvence beyanını destekleyen en önemli unsurlardan biridir. 3. Ġç Denetim Birimi BaĢkanı, Ġdarenin iç kontrol süreçlerinin yeterliliği ve etkililiği konusundaki genel değerlendirmesini; önemli riskler, yönetim ve kontrol sorunları ile bunlara iliģkin önerilerini de içerecek Ģekilde hazırlayarak Üst Yöneticiye sunmakla yükümlüdür Ġç Denetim Birimi BaĢkanının genel değerlendirmesi, Ġç Denetim faaliyetlerinden elde edilen yeterli sayıda denetim kanıtına dayanmalıdır. Ġç Denetim Birimi BaĢkanı, 3 yıllık Ġç Denetim Planının hazırlanmasında bu durumu dikkate almalı ve kontrol süreçlerinin etkililiğini değerlendirmek için yeterli kanıt ve bilgi toplanmasına imkân veren bir Ġç Denetim Planı önerisi hazırlamalıdır. Ġç Denetim Plan ve programı, yüksek riskli faaliyet/birimlerin ve kurum seviyesindeki kontrollerin değerlendirilmesine yönelik denetim veya danıģmanlık görevlerini içermelidir. Kaynak veya kapsam kısıtlarının mevcut olması halinde, bu kısıtlamaların etkileri Üst Yöneticiye bildirilmelidir. 5. Genel değerlendirmenin oluģturulması sırasında, önceki tarihlerde gerçekleģtirilmiģ olan denetimlerin bulgularının birleģtirilmesi ve yorumlanması gerekir. Ġç Denetim Birimi BaĢkanı, bu denetimlerden tutarlı bir sonuca varabilmek için, denetimlerin KĠDS na uygun Ģekilde yürütülüp yürütülmediğini dikkatle değerlendirmeli, denetimler 6 İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmelik Md13A/f, Md.46; Kamu İç Denetim Standartları 2060-Üst Yönetici ve Bakana Raporlamalar Sayfa 25 / 365

26 sonrasında yapılan iyileģtirmeleri içeren izleme sürecini de dikkate almalıdır. 6. Ġç Denetim Birimi BaĢkanının genel değerlendirmesi, Üst Yöneticinin iç kontrole iliģkin sorumluluklarını ortadan kaldırmadığı gibi; Ġç Denetim faaliyeti, KĠDS nda belirtilen Ģekilde azami mesleki özen ile yerine getirildiği sürece Ġç Denetçiler kontrol zafiyetlerinden sorumlu tutulamazlar. V1.0 Sayfa 26 / 365

27 V1.0 ÜÇÜNCÜ KISIM [ĠÇ DENETĠM FAALĠYETLERĠNĠN YÖNETĠLMESĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 27 / 365

28 V ĠÇ DENETĠM FAALĠYETĠNĠN YÖNETĠLMESĠ Ġç Denetim faaliyetinin ve nın yönetimine iliģkin görev, yetki ve sorumluluk hususunda Ġç Denetim Birimi BaĢkanı görevli, yetkili ve sorumludur. Ġç Denetim Birimi BaĢkanı, Ġç Denetim faaliyetinin Ġdarenin faaliyetlerine değer katmasını sağlayacak Ģekilde yönetmek ve bu görevi yerine getirirken KĠDS na en üst seviyede uyumu sağlamak zorundadır. görevinin etkin bir Ģekilde yerine getirilebilmesi için Ġç Denetim Birimi BaĢkanlığı yapan Ġç Denetçinin, Ġç Denetimin rol ve sorumlulukları, meslek ahlak kuralları ve KĠDS hakkında yeterli seviyede bilgi sahibi olması gerekmektedir. Ġç Denetim Birimi BaĢkanının teklifi ve Üst Yöneticinin onayıyla Ġç Denetçiler den birisi baģkan yardımcısı olarak görevlendirebilir. BaĢkan yardımcısı Ġç Denetim faaliyetinin yönetiminde ve gözetiminde Ġç Denetim Birimi BaĢkanına yardımcı olur. BaĢkan yardımcısına da denetim ve danıģmanlık görevleri verilir. BaĢkan yardımcısının rol ve sorumluklarına Ġç Denetim Yönergesinde veya BaĢkanlık direktiflerinde yer verilir. Ġç Denetim mevzuatının gereklerinin yerine getirilmesi kapsamında Ġç Denetim Birimi BaĢkanının baģlıca görev ve sorumlulukları aģağıda özetlenmiģ olup, Rehberin ilgili bölümlerinde de süreçteki bazı görevlerine yer verilmiģtir. Bu bölümde belirtilen hususlar, Ġç Denetim Birimi BaĢkanının sorumluluğunda olan iģ ve iģlemlerdir. ĠÇ DENETĠM BĠRĠMĠ BAġKANININ GÖREV, YETKĠ VE SORUMLULUĞUNDA BULUNAN BELLĠ BAġLI Ġġ VE ĠġLEMLER Ġç Denetim Faaliyetlerinin ve nın Yönetilmesi kapsamında Ġç Denetim Birimi BaĢkanının sorumluluğunda olan iģ ve iģlemler; 1) Planlama ve Kaynak Yönetimi Faaliyetleri, 2) ĠletiĢim Politikası GeliĢtirme ve Uygulama Faaliyetleri, 3) Politika ve Prosedürler Tespit Etme ve Uygulama Faaliyetleri, 4) Sürekli Mesleki GeliĢim Sağlayıcı Politika OluĢturma ve Uygulama, 5) Bağımsızlık ve Tarafsızlık Sağlama Faaliyetleri, 6) Kalite Güvence ve GeliĢtirme Sistemi Kurma ve Uygulama (Ġç Değerlendirme), 7) Kapsamlı GörüĢ OluĢturma, Sayfa 28 / 365

29 8) Dönemsel Raporlama Yapmak, V1.0 Ġle bu kapsamdaki diğer yönetsel faaliyetlerdir. 3.1.PLANLAMA VE KAYNAK YÖNETĠMĠ Ġç Denetim Birimi BaĢkanı, Üst Yöneticinin ve Genel Müdür Yardımcısı ve Harcama Yetkilisi pozisyonundaki üst seviye yöneticilerin de görüģlerini alarak Ġç Denetçilerin aktif katılımıyla Denetim Stratejisi, Ġç Denetim Planı ve Ġç Denetim programını hazırlar. Ġç Denetim Birimi BaĢkanı, Ġdaredeki Ġç Denetim faaliyetinin etkinliğini arttırmak için dıģ Ġç Denetçilerle güçlü iletiģim içerisinde olmalıdır. Bu kapsamda, Ġç Denetim Plan ve programlarının ve denetim sonuçlarının dıģ Ġç Denetçilerle paylaģılması noktasında gerekli önlemleri alır. Ġç Denetim Planında yer alan yüksek ve orta riskli alanların denetimi için gerekli kaynak ihtiyacını belirler. Mevcut Ġç Denetçi sayısının ve yetkinliklerinin yeterli olmaması halinde ihtiyaç duyulan kaynak ve eğitimler ile kaynak sınırlamalarının olası etkileri Üst Yöneticiye sunulacak plan belgesinde özel olarak gösterilir. Ayrıca Ġç Denetim Birimi BaĢkanı, kaynak yetersizliği nedeniyle denetlenemeyecek denetim alanlarının kurum içinden veya dıģından uzman desteği ve danıģmanlık hizmeti alma yolu da dâhil olmak üzere nasıl denetleneceği konusundaki görüģlerini de Üst Yöneticinin onayına sunulmak üzere Ġç Denetim Planına ekler. Ġç Denetim Birimi BaĢkanı, Ġç Denetim Planı dönemiyle ilgili diğer kaynak ihtiyaçlarının da planlamasını yapmak zorundadır. Bu kapsamda üç yıllık dönem için faaliyetler için gerekli harcırah ile mal ve hizmet alımı dâhil ödenek ihtiyacını planlayarak bütçe süreci içinde Strateji GeliĢtirme Dairesi BaĢkanlığına bildirir. Kaynak ihtiyacına yönelik yapılan faaliyetler sonrasında Ġç Denetim Biriminin mevcut denetim kaynakları doğrultusunda Ġç Denetim Planı kapsamına alınan alanlardan denetlenebilecek olanlar denetim programına alınır. Denetim programı kapsamındaki görevlendirmeler Ġç Denetçilerin yetkinlikleri ve tecrübeleri dikkate alınarak yapılır. Bu noktada denetim programında öngörülen görevlerin Ġç Denetçiler arasında dengeli bir Ģekilde paylaģtırılmasına özel önem verilir. Denetimlerin programlanan takvim çerçevesinde yürütülmesi esas olup, Ġç Denetim Birimi BaĢkanı yıllık izin, geçici görevlendirme ve benzeri konularda denetimlerin aksamaması için gerekli tedbirleri almakla yükümlüdür. Sayfa 29 / 365

30 3.2.ĠLETĠġĠM V1.0 Ġç Denetim faaliyetinin etkili bir Ģekilde yürütülmesi ve Ġdarenin faaliyetlerine değer katabilmesi için, Ġç Denetim Birimi BaĢkanının planlama, bulguların geliģtirilmesi, sonuçların raporlanması ve izlenmesi, mesleki geliģimin sağlanması ve kalite değerlendirmesi gibi Ġç Denetimin tüm aģamalarında katılımcı bir yönetim anlayıģını benimsemesi esastır. Bu kapsamda, ĠDB içinde verimli bir takım çalıģması ortamı oluģturulmalı ve Ġç Denetçiler arasında bilgi akıģının serbestçe gerçekleģmesi sağlanmalıdır. ĠDB içinde periyodik toplantılar düzenlenmesi, bilgilerin paylaģımı için ortak alanlar/forumlar oluģturulması, taslak denetim bulguları ve önerilerinin ilgili denetim ekibi ve Ġç Denetim Birimi BaĢkanı arasında tartıģılması, denetim tecrübelerinin paylaģılması gibi uygulamalar birim içi iletiģimi güçlendiren faaliyetlerdir. Ġç Denetim Biriminin kurum içindeki faaliyetlerini istenilen seviyede yerine getirebilmesi için diğer birim yöneticileri ve çalıģanlarıyla sağlıklı iliģkiler kurması gerekmektedir. Bu noktada, Ġç Denetim Birimi BaĢkanın denetim sürecinde denetlenen birim yöneticileriyle etkin bir diyalog içerisinde olması, Ġç Denetim alanındaki farkındalığın arttırılması, plan ve programların paylaģılması, yürütülen denetim faaliyetlerine iliģkin birimlerin geri bildirimlerinin alınması, ortak çalıģma guruplarına katılım sağlanması, yönetiģim, risk yönetimi ve iç kontrol konularında eğitim verilmesi gibi faaliyetlerle Ġç Denetim Biriminin kurum içindeki rolünün doğru anlaģılması sağlanmalıdır. Kurum içi ve kurum dıģı diğer birimlerle iletiģimde Ġç Denetim Birimi, Ġç Denetim Birimi BaĢkanı tarafından temsil edilir. Bu çerçevede, üst seviye yönetici toplantılarına katılım, önem arz eden denetimlerde bizzat açılıģ ve kapanıģ toplantılarına katılım, kritik bulguların denetlenen birim yöneticisiyle paylaģılması gibi uygulamalar yerine getirilebilecek iyi uygulama önerileridir. Bireysel denetimlerin yürütülmesindeki ön çalıģma, saha çalıģmaları ve bulguların paylaģılması hariç olmak üzere tüm yazıģmaların Ġç Denetim Birimi BaĢkanı aracılığıyla yapılması esastır. Ġç Denetçiler tarafından denetlenen birimlerle yapılan elektronik ve resmi yazıģmalar hakkında Ġç Denetim Birimi BaĢkanı bilgilendirilir. Ġç Denetim faaliyetinin etkinliğinin arttırılması, Ġç Denetim Birimi BaĢkanı ile Üst Yönetici arasındaki iletiģimin sıklığına ve kalitesine bağlıdır. Her bir denetim sonrasında denetim sonuçlarının sunulmasının yanı sıra periyodik olarak Üst Yöneticiye bilgilendirme yapılması ve gerektiğinde kolay iletiģim sağlanabilmesi sağlıklı bir iletiģimin önemli unsurlarıdır. Ġç Denetim Birimi BaĢkanının üst seviye yöneticiler toplantısına katılması, stratejik planların, faaliyetlere iliģkin geliģmelerin değerlendirilmesini ve yüksek seviyedeki risklerin, Sayfa 30 / 365

31 V1.0 sistemlerin, prosedürlerin veya kontrol gibi meselelerin erken aģamalarda ele alınmasını sağlar. Toplantılara katılım, ayrıca, Ġç Denetim faaliyeti ve çalıģmaları hakkında bilgi alıģveriģinde bulunma ve tarafların karģılıklı menfaatini ilgilendiren diğer hususlarda birbirlerini bilgilendirme fırsatı sağlar. 3.3.POLĠTĠKA VE PROSEDÜRLER Ġç Denetim Birimi BaĢkanı, Ġç Denetim faaliyetinin kurum içinde daha etkili bir Ģekilde uygulanabilmesi ve standartlara uyum seviyesinin arttırılması amacıyla standartlara, mevzuata ve ĠDKK tarafından yayımlanan rehberlere aykırı olmamak kaydıyla Ġç Denetim ile ilgili gerekli gördükleri konularda politika ve prosedürler belirleyebilir ve gerektiğinde günceller. Ġç Denetim Birimi BaĢkanı söz konusu politika ve prosedürleri ayrı ayrı belirleyebileceği gibi Ġç Denetim Yönergesinde de bu hususlara yer verebilir. Ġç Denetim dosya ve arģivlerinin yönetilmesine iliģkin bir düzenleme yapılması KĠDS uyarınca zorunludur. Ayrıca, denetim sırasında kiģisel bilgilerin çalıģma kâğıtlarına kaydedilmesi durumunda bu bilgilerin korunmasına özel önem gösterilmesi gerekmektedir. Bu kapsamda Ġç Denetim Birimi BaĢkanı, kiģisel bilgilerin korunmasına yönelik bir prosedür belirlemesi ve uygulanmasını sağlamak üzere gerekli gözetim faaliyetlerini yapmak zorundadır. Ġç Denetim Birimi BaĢkanı tarafından belirlenen prosedürlerin ve görevlerin yürütülmesinde kullanılan standart formlar ve belgelerin Ġç Denetçilere duyurulması zorunlu olup, Ġç Denetçilerin de belirlenen prosedürlere uymaları ve standart formlar ve belgeleri de görevlerin yürütülmesi sırasında kullanmaları gerekmektedir SÜREKLĠ MESLEKĠ GELĠġĠM Ġç Denetçiler, mevcut bilgi, beceri ve diğer niteliklerini sürekli meslekî geliģimle arttırmak ve güçlendirmek zorundadır. Ġç Denetim Birimi BaĢkanı, Ġç Denetçilerin mesleki geliģiminin sağlanması için gerekli kaynakları sağlayarak Ġç Denetçilerin mesleki yeterliliklerini sürdürmelerine katkıda bulunacaktır. Bu kapsamda özellikle Ġç Denetim Planında yer alan yüksek ve orta riskli alanların denetimi için gerekli olan eğitimlere yönelik kaynak ayrılmasına özel önem verilmeli ve ihtiyaç duyulan eğitim programlarının uygulanması sağlanmalıdır. Bu kapsamda, denetlenen birimlerin denetimlere iliģkin değerlendirmeleri ile Ġç Denetim Birimi BaĢkanının denetçi değerlendirmelerinin yanı sıra Ġç Denetçilerin de görüģleri alınarak yıllık eğitim ihtiyaç analizi yapılır. Sayfa 31 / 365

32 V1.0 Ġç Denetçilerin eğitim ve sertifikasyon bilgilerinin takip edilerek kayıt altına alınması Ġç Denetim Birimi BaĢkanın sorumluluğundadır. Bu kapsamda Ġç Denetçilerin her 3 (üç) yılda en az 100 (yüz) saat meslek içi eğitim Ģartını sağlayıp sağlamadıklarını da Ġç Denetim Birimi BaĢkanı izlemelidir. Ġç Denetim Birimi BaĢkanı tarafından Ġç Denetçilerin uluslararası sertifikasyonu teģvik edilerek birimde uluslararası sertifikalı Ġç Denetçilerin sayısının arttırılmasına önem verilir. Bu çerçevede Ġç Denetçiler tarafından uluslar arası mesleki sertifika alınmasına yönelik gerekli tüm eğitim masraflarının karģılanması ve sertifika sınav ücretlerinin Ġdare bütçesinden karģılanmasına yönelik gerekli iģ ve iģlemleri yürütür BAĞIMSIZLIK VE TARAFSIZLIK Ġç Denetim faaliyetinin planlanması, yürütülmesi, raporlanması ve izlenmesi süreçlerinde ĠDB bağımsız olmalıdır. Bu bağımsızlık, Ġç Denetim Biriminin idari olarak bağımsız oldukları Ģeklinde anlaģılmamalıdır, zira idari yönden Genel Müdürlük Makamının hiyerarģisine, emir ve talimatlarına tabi bulunmaktadır. nın fonksiyonel bağımsızlığı çerçevesinde; a) doğrudan Üst Yöneticiye bağlıdır, b) Ġdarenin organizasyon Ģemasında doğrudan Üst Yöneticiye bağlı olarak gösterilmelidir. c) Denetlenen birim yöneticileri ile Ġç Denetim faaliyetleri arasında Üst Yöneticinin denge kurmasını gerekli kılar. d) Ġç Denetim Biriminin, yönetim aksini düşünüyor olsa bile, riskli olarak değerlendirdiği her bir alanı (faaliyet/süreç/proje gibi) denetleyebilir. e) Ġdarenin günlük iģleyiģinden bağımsızdır. Görevin yürütülmesine engel olan durumların (bilgi ve kaynaklara eriģim engelleri gibi) varlığını öğrendikten sonra, Ġç Denetim Birimi BaĢkanı öncelikle konunun doğrudan muhatabı olan yöneticiyle görüģerek, bu tür engellemelerin mevzuat hükümlerine aykırı olduğunu hatırlatır. Ġç Denetim Birimi BaĢkanı tarafından çözümlenemeyen hususlar Üst Yöneticiye intikal ettirilir. Ġç Denetim faaliyetlerinin fonksiyonel bağımsızlığına iliģkin esaslara Ġç Denetim Yönergesinde yer verilir. Sayfa 32 / 365

33 V1.0 Denetim görevlendirilmelerinde bir diğer önemli konu görevlendirilen Ġç Denetçinin denetim alanıyla ilgili herhangi bir menfaat çatıģmasının yaģanmamasıdır. Bu konuyla ilgili olarak aģağıdaki ilkelere dikkat edilmesi zorunludur: a) Denetim görevlendirmelerinde Ġç Denetçilerin önceki danıģmanlık faaliyetleri dikkate alınır ve bir yıl geçmeden Ġç Denetçinin danıģmanlık yaptığı aynı alanda denetim görevi verilmez. b) Ġç Denetçilerin daha önceden görev yaptıkları idari birimlerde bir yıl geçmeden görevlendirilmezler. Yukarıda sayılan hususlar Ġç Denetim faaliyetinin güvenilirliği ve nesnelliği faaliyetin etkili olmasında en önemli unsurlar arasında yer almaktadır. Bu nedenle görevlerin yürütülmesi sırasında Ġç Denetçilerin tarafsızlığının korumasına azami önem gösterilmeli ve tarafsızlıklarının bozulabileceği bir durumun oluģması halinde Ġç Denetçilerin konuyu derhal Ġç Denetim Birimi BaĢkanına bildirmesi sağlanmalıdır. Bu durumda farklı bir Ġç Denetçinin görevlendirilmesinden söz konusu görevin ertelenmesine kadar alınacak tedbir Ġç Denetim Birimi BaĢkanının sorumluluğundadır. Bu ilkelerin yanında, Ġç Denetçiler arasındaki görev dağılımının dönemsel rotasyona bağlanması üzerinde durulması gereken iyi bir uygulamadır. Ancak, bu uygulama Ġç Denetçilerin belli bir alanda uzmanlaģmasına engel olmamalıdır. Rotasyon, aynı zamanda denetim ekiplerinin sürekli aynı Ġç Denetçiler den oluģmasını engelleyecek Ģekilde uygulanmalıdır KALĠTE GÜVENCE (ĠÇ DEĞERLENDĠRME) Ġç Denetim Birimi BaĢkanı, Ġç Denetim faaliyetlerinin meslek ahlak kurallarına ve KĠDS na uygun Ģekilde yürütülmesinden sorumludur. Bu çerçevede Ġç Denetim Birimi BaĢkanı, ĠDKK tarafından hazırlanan Ġç Denetim Kalite Güvence ve GeliĢtirme Programına uygun olarak kendi kalite güvence ve geliģtirme programını hazırlar ve sürdürür. Bu çerçevede her bir denetim ve danıģmanlık faaliyetlerinde meslek ahlak kurallarına ve standartlara uygunluğu gözeterek Ġç Denetim faaliyetinin performansının sürekli izlemek ve en az yılda 1 (bir) Ġç Denetim fonksiyonuna iliģkin dönemsel değerlendirme yapmak veya yaptırmakla yükümlüdür. Denetimler sonrasında denetlenen birimlerin denetim faaliyetlerine iliģkin görüģleri de alınır (EK-31: Denetim Değerlendirme Formu). Ġç Denetim Birimi BaĢkanı, uygulanan kalite güvence ve geliģtirme programının sonuçlarını Üst Yöneticiye ve ĠDKK ya iletmek zorundadır. Ġç Denetim Birimi BaĢkanı, gerek Sayfa 33 / 365

34 V1.0 iç değerlendirme gerekse de dıģ değerlendirme sonucunda belirlenen iyileģtirmeye açık alanlarla ilgili gerekli tedbirleri almaktan sorumludur. Ġç Denetim faaliyetinin performansının değerlendirilmesi amacıyla Ġç Denetçilerin katılımıyla Ġç Denetim Birimi BaĢkanı tarafından performans göstergeleri belirlenir. Bu göstergeler çerçevesinde performans ölçümleri yapılarak sonuçları değerlendirilir ve Üst Yöneticiye düzenli olarak raporlanır KAPSAMLI GÖRÜġÜN OLUġTURULMASI Her bir denetim görevi sonucunda oluģturulan denetim görüģünün dıģında, Ġç Denetim Birimi BaĢkanının, belirli bir dönem için, denetim görevleri ve diğer faaliyet sonuçlarına dayanarak oluģturduğu profesyonel mesleki yargı doğrultusunda kapsamlı görüģ vermesi mümkündür. Kurum seviyesinde risk yönetimi faaliyetleri hakkında görüģ verilecekse Ġdarenin bütünü hakkında fikir verecek seviyede denetim görevlerinin bu görüģ öncesinde tamamlanmıģ olması gereklidir. Bu denetimler sonucunda elde edilen bilgi ve bulgular göz önünde bulundurularak bir görüģ oluģturulmalıdır. Kapsamlı görüģ, belirli bir zaman aralığı için (örneğin yıllık olarak) oluģturulur ve Üst Yöneticiye sunulur. Bu görüģ, denetim ve danıģmanlık görevlerinden elde edilen sonuçlar ile dıģ denetim faaliyetleri sonuçlarından elde edilen veriler uyarınca oluģturulur. ĠDBB TARAFINDAN VERĠLECEK KAPSAMLI GÖRÜġLERDE DĠKKATE ALINACAK HUSUSLAR Ġç Denetim Birimi BaĢkanı, kapsamlı bir görüģ verirken aģağıda sayılan faktörleri dikkate almalıdır: 1) GörüĢün hangi amaçla kullanılacağı, 2) GörüĢün hangi dönemde açıklanacağı, 3) GörüĢün kapsamı, 4) GörüĢ oluģturulmasında kullanılan kriterler, 5) Kurum tarafından, görüģün açıklanmasında kullanılan sınıflandırma ifadeleri ile ne kastedildiğinin açıkça anlaģılması, 6) Planlanan çalıģma programına kıyasla görevin yürütülmesi sırasında ortaya çıkan sınırlandırmalar, Sayfa 34 / 365

35 V1.0 7) Denetim çalıģması ve denetim kanıtlarının talep edilen görüģü destekleme yeterlilikleri. Kapsamlı görüģün oluģturulması ve ifade edilmesi karmaģık bir süreçtir ve aģağıdaki konulara iliģkin olarak metodolojiler geliģtirilmesi ve planlamalar yapılmasını gerektirir: GörüĢün açıklanma tarihinden önceki dönemde gerçekleģtirilmiģ olan denetim ve danıģmanlık faaliyetlerine ait bulguların birleģtirilmesi ve yorumlanması gerekir. Ġç Denetim Birimi BaĢkanı, bu denetimlerden tutarlı bir sonuca varabilmek için, tüm denetimlerde tutarlı standartların kullanıldığını dikkatli bir Ģekilde değerlendirmelidir. Ayrıca, önceki denetimler sonrasında yapılan iyileģtirmeleri de içeren izleme sürecini de dikkate almalıdır. GörüĢün kapsamının geniģ olması nedeniyle bir denetim görevine mahsus olmayan kanıtlardan (danıģmanlık faaliyetlerinden sağlanan bilgiler gibi) veya dıģ denetim çalıģmaları, Strateji GeliĢtirme Dairesi BaĢkanlığının çalıģmalardan da faydalanılabilir, bu durumda bu kanıtların uygun Ģekilde birleģtirilmesine iliģkin bir metodoloji uygulanmalıdır. Örneğin İç Denetim Birimi Başkanının güvenilir olduğuna kanaat getirmesi halinde, yönetimin yaptığı öz değerlendirme çalışmasından yararlanılabilir. Ancak görüşlerin açıklanması sırasında, bu tip kanıtlardan faydalanıldığı açıkça ifade edilmelidir. Kapsamlı görüģ, Üst Yöneticinin güvence beyanına dayanak teģkil eden en önemli araçtır. Bununla birlikte kapsamlı görüģün, Üst Yöneticinin, kontrol, risk yönetimi ve yönetiģime iliģkin kiģisel sorumluluklarını ortadan kaldırmadığı ve Ġç Denetim faaliyeti, Standartlarda belirtilen Ģekilde azami mesleki özen ile yerine getirildiği sürece, Ġç Denetçilerin kontrol zafiyetlerinden sorumlu tutulamayacağının altını önemle çizmek gerekir. Kapsamlı görüģ verilebilmesi için ĠDB tarafından bir model oluģturulmalı ve Üst Yönetici ile mutabakata varılmalıdır. Kapsamlı görüģün oluģturulmasında kullanılabilecek olgunluk seviyelerine ekte yer verilmiģtir. (EK : Olgunluk Seviyeleri) 3.8. DÖNEMSEL RAPORLAMA Ġç Denetim Birimi BaĢkanı, Ġç Denetim performansına iliģkin Üst Yöneticiye dönemsel olarak raporlar sunar. DÖNEMSEL RAPORLARDA YER ALACAK ASGARĠ KONULAR VE HUSUSLAR Dönemsel raporlarda, denetim ve danıģmanlık faaliyetleri ile izleme sonucunda tespit edilen asgari aģağıdaki hususlara yer verilir: Sayfa 35 / 365

36 V1.0 1) Bir önceki dönemden bu yana kadar gerçekleģtirilen denetim ve danıģmanlık faaliyetleri hakkında bilgilere ve varsa programdan sapmanın nedenlerine (kaynak kısıtı gibi). 2) Üzerinde mutabık kalındığı halde yönetim tarafından süresi içinde gereği yerine getirilmeyen bulgu ve önerilere. 3) Gereği yerine getirilmeyen bulgulara iliģkin risklerin yönetim tarafından üstlenildiği bilgisine. 4) Bulgular arasından yönetim tarafından üstlenilen risklerin kurum tarafından kabul edilmemesi gerektiği düģünülenlere iliģkin bilgilendirmeye. 5) Tespit edilen suiistimal risklerine. 6) YönetiĢim, risk yönetimi ve kontrol sorunlarına iliģkin bilgilere. 7) Üst Yöneticinin ihtiyaç duyabileceği veya talep edebileceği konulara. Dönemsel raporların sıklığı Üst Yöneticinin beklentilerine bağlıdır. ĠDB de fiili olarak görev yapan Ġç Denetçi sayısının üçten az olduğu birimlerde yılda bir defa raporlama yapılması mümkündür. Dönemsel raporlamaya iliģkin örnek rapor Ģablonu ekte yer almaktadır (EK-40: Dönemsel Rapor ġablonu). Dönemsel raporların dıģında, Ġç Denetim Birimi BaĢkanı yıllık faaliyet raporu da düzenler. Söz konusu Ġç Denetim faaliyet raporunun kapsam ve formatı aģağıda yer almaktadır. ĠÇ DENETĠM FAALĠYET RAPORUNUN KAPSAM VE FORMATINA ĠLĠġKĠN HUSUSLAR Ġç Denetim faaliyet raporunun kapsam ve formatı aģağıda yer almaktadır. a) Rapor kapağı Rapor kapağında aģağıdaki hususlara yer verilir; a.1 Ġç Denetim Biriminin adı, a.2 Varsa ilgili kurum ve Ġç Denetim Biriminin amblem, logo veya resmi, a.3 Rapor tarihi. b) Genel bilgiler Sayfa 36 / 365

37 V1.0 Ġç Denetim Biriminin misyon ve vizyonu, insan kaynakları, fiziki kaynaklar, bütçe ödeneği-harcama durumu ve denetimle ilgili diğer kaynaklar ile dıģ denetim raporlarında yer alan tespit ve değerlendirmelere ve Ġdarenin teģkilat yapısı hakkındaki genel bilgilere kısaca yer verilir. c)amaç ve hedefler Ġç Denetim Biriminin, Ġç Denetim Planı ve/veya kurum stratejik planında belirtilen stratejik amaç ve hedeflerine, faaliyet yılı önceliklerine ve izlenen temel ilke ve politikalarına yer verilir. Ayrıca, Ġç Denetim Planı dönemine iliģkin denetim stratejilerine de yer verilir. d) Faaliyet ve performans bilgileri d.1. Program dönemi performans bilgileri Ġç Denetim programı döneminde planlanan denetim ve danıģmanlık faaliyetlerinin gerçekleģme durumuna iliģkin bilgiler ile program dıģı gerçekleģtirilen denetim, danıģmanlık ve inceleme faaliyetlerine yer verilir. Ġç Denetim programından önemli ölçüde sapmaların olması durumunda söz konusu sapmanın nedenleri de belirtilir. Ayıca her bir denetime iliģkin kritik tespit ve önerilere özet olarak değinilir. Dönem içinde yürütülen izleme faaliyetlerine göre denetim önerilerinin uygulanma durumuna ve varsa uygulanmama nedenlerine iliģkin açıklama yapılır. d.2. Plan dönemi performans bilgileri Ġç Denetim Planının baģlangıcından rapor tarihine kadar olan dönemde Ġç Denetim Planına göre planlanan denetim ve danıģmanlık faaliyetlerine iliģkin gerçekleģme durumu ve denetim evreni kapsamında o tarihe kadar denetlenmeyen ve gelecek dönemdeki Ġç Denetim Planına aktarılacak alanlara iliģkin değerlendirmeye yer verilir. d.3. Kalite güvence değerlendirmeleri Kalite güvence ve geliģtirme programı çerçevesinde yapılan iç ve dıģ değerlendirmelerden elde edilen tespit ve öneriler ile iyileģtirmeye yönelik eylemlere ve uygulama takvimine yer verilir. Ġç Denetim faaliyeti ile ilgili olarak performans ölçütleri geliģtirilmiģ ve bu kapsamda Ġç Denetim Biriminin performansının değerlendirilmesine dönük bir çalıģma yapılmıģ ise elde edilen sonuçlara bu bölümde yer verilir. d.4. Eğitim faaliyetleri Ġç Denetçilerin ilgili faaliyet döneminde gerek eğitici gerekse kursiyer olarak Sayfa 37 / 365

38 V1.0 katıldığı tüm eğitim etkinliklerine (hizmet içi, mesleki, yurtdıģı, akademik çalıģma gibi) iliģkin bilgilere yer verilir. e) Ġç Denetimin kabiliyet ve kapasitenin değerlendirilmesi Ġç Denetim faaliyetlerinin yürütülmesinde karģılaģılan sorunlara (bütçe, personel ve fiziki imkânlar, eğitim vb.) değinilerek söz konusu kaynak sınırlamalarının denetim ve danıģmanlık faaliyetlerine olası etkileri değerlendirilir ve bu kapsamda alınacak/alınması gereken tedbirlere yer verilir. f) Ġdare seviyesinde önemli değiģiklikler ve Ġç Denetim faaliyetlerine olası etkileri Ġdarenin görev alanıyla ilgili mevzuatta, teģkilatlanmada, faaliyet ve süreçlerin iģleyiģinde (otomasyona geçiģ vb.) ya da kurum yönetiminde köklü değiģiklikler olması durumunda söz konusu değiģikliklerin Ġç Denetim Plan ve programlarını nasıl etkilediği değerlendirmeye tabi tutulur. g) Kapsamlı görüģ Yapılan denetim ve danıģmanlık faaliyetleri de göz önünde bulundurularak ilgili kamu Ġdarenin iç kontrol sisteminin genel değerlendirmesini içerecek kapsamlı görüģe bu bölümde yer verilir. Faaliyet raporlarında kullanılacak rapor Ģablonuna ekte yer verilmiģtir (EK-41: Ġç Denetim Faaliyet Raporu ġablonu). Sayfa 38 / 365

39 V1.0 DÖRDÜNCÜ KISIM [ĠÇ DENETĠM PLAN VE PROGRAMLARININ HAZIRLANMASINA ĠLĠġKĠN HUSUSLAR] Sayfa 39 / 365

40 4. ĠÇ DENETĠM PLAN VE PROGRAMININ HAZIRLANMASI V1.0 Ġç Denetimde 3 yıllık planlama süreci denetim evrenin belirlenmesi, makro risk değerlendirmesi, denetim alanlarının belirlenmesi ve önceliklendirilmesi ve Ġç Denetim Plan ve programlarının hazırlanması ve onaylanması aģamalarından oluģur. ĠÇ DENETĠM PLANLAMA SÜREÇLERĠNĠN SAFHALARI Ġç Denetimde 3 yıllık planlama süreci; 1. Denetim evrenin belirlenmesi, 2. Makro risk değerlendirmesi, 3. Denetim alanlarının belirlenmesi ve önceliklendirilmesi, 4. Ġç Denetim Plan ve programlarının hazırlanması ve onaylanması aģamalarıdır DENETĠM EVRENĠNĠN BELĠRLENMESĠ Denetim evreni, Ġdarenin ilgili mevzuatı kapsamında merkez birimleri ve merkez dıģı teģkilatı tarafından yürütülen faaliyet, süreç, proje vb. alanların tamamını kapsar. Denetim evreninde yer alan tüm alanların planlama sürecinde risk değerlendirmesine tabi tutulması zorunludur. Denetim evreninin sağlıklı bir Ģekilde tanımlanabilmesi için gerekli ilk adım, Ġdarenin organizasyon yapısının ortaya konması ve her bir birimin yürüttüğü faaliyet, süreç ve proje envanterinin ortaya konulmasıdır. Organizasyon yapısı içinde yer alan birimlerin, görev, yetki ve sorumluluklarının anlaģılabilmesi için, birimlerin faaliyet alanlarını düzenleyen mevzuat, hizmet envanteri ve varsa tanımlanmıģ süreçleri ve iģ akıģları gözden geçirilmelidir. Birimler tarafından fiilen yürütülmekle birlikte, mevzuatta karģılığı bulunmayan faaliyetlerin belirlenebilmesi için, bu birimlere mahsus planlar, programlar ve raporların incelenmesinin yanı sıra, ilgili yönetici ve personelle görüģmeler yapılması da faydalı olacaktır. Denetlenebilecek faaliyet/süreç/projeye iliģkin sağlıklı bilgi edinilebilmesi için, üst seviye yöneticilerle bu kapsamda yapılacak görüģme ve yazıģmalarda, süreçleri tanımaya ve risk seviyesini doğru tespit etmeye yönelik anket ve görüģme formları oluģturulması ve uygulanması yararlı olacaktır. Sayfa 40 / 365

41 Mal/Hizmetin Teslim Alınması T.C. V1.0 Ġç Denetim Biriminin ilk defa denetim evreni hazırlaması durumunda, denetim evreninin kapsamındaki faaliyet ve süreçlerinin amaç ve kapsamının doğru tespit edilebilmesi için belirli bir miktar denetim kaynağının bu iģe ayrılması uygun olacaktır. Denetim evreninin hazırlanmasında süreç bazlı yaklaģım esas olup, bu kapsamda Ġdarenin stratejik planı ekinde yer alan görev tanımları, hizmet envanterleri, iç kontrol çalıģmaları kapsamında geliģtirilen süreç envanterlerinden de yararlanılması denetim evreninin doğru tanımlanmasına yardımcı olacaktır. Kurum organizasyon yapısının ne seviyede ele alınacağına karar verme yetkisi Ġç Denetim Birimi BaĢkanındadır, bu seviye Ġdaremizde HARCAMA BĠRĠMĠ olarak teģkil edilmiģ Daire BaĢkanlıkları ve ġube Müdürlükleridir. Ġç Denetim Birimi BaĢkanının karar vermesi gereken bir diğer husus da, faaliyet, süreç veya projelerin hangi detayda denetim evrenine dâhil edileceğidir. Örneğin kamu alımları sürecini ġekil 4.1 de gösterildiği üzere denetim evreninde farklı seviyelerde ele almak mümkündür. Denetimlerin daha yönetilebilir ve maliyet etkin olması, denetimlerden anlamlı sonuçlar elde edilebilmesi bakımından ikinci seviyede detaylandırılmıģ bir denetim evreninin tercih edilmesi faydalı olacaktır. Zaman içerisinde denetimler gerçekleģtirildikçe denetlenebilir alanlarda yapılan güncellemeler ile denetim evreni daha belirgin ve tutarlı hale gelir. ġekil 4.1. Denetim Evreni Tanımlama Seviyesi 1. KAMU ALIMLARI SÜRECİ 1.1. Hazırlık Süreci İhtiyacın Belirlenmesi 1. düzey 2. düzey 3. düzey Şartnamenin Hazırlanması Satın Almanın Gerçekleştirilmesi Görevlendirilecek Kişilerin Belirlenmesi Alımın İlan Edilmesi Tekliflerin Toplanması Sözleşmenin Uygulanması Sayfa 41 / Sözleşme Sonrası İş ve İşlemlerin Kontrolü

42 Önemli organizasyonel değiģiklikler, yeni uygulamalar, projeler, yasal değiģikliklerin ortaya çıkması halinde bunların sonucunda ortaya çıkan yeni durumun denetim evrenine yansıtılması gereklidir. Öte yandan denetim görevleri sırasında ilgili faaliyetin alt faaliyetlere ayrılması veya alt faaliyetlerin birleģtirilmesinin denetimlerin etkinliğini arttıracağı V1.0 KİDS 2010 İç denetim yöneticisi, idarenin hedeflerine uygun olarak, İç Denetim faaliyetlerinin önceliklerini belirleyen risk esaslı planlar yapmak zorundadır. kanaatine varılması halinde, denetim evreninde güncelleme yapılması gerekmektedir. Kamu Ġdarelerinde standart denetim evrenleri oluģturulmasına hizmet etmek üzere rehber ekinde yer verilen, büyükģehir belediyesine ait örnek bir denetim evrenine uygun olarak ĠSKĠ Genel Müdürlüğü Denetim Evrenine yer verilmiģtir. (Örnek: 1) Rehber Ekinde yer verilen ĠSKĠ Genel Müdürlüğü Denetim Evreni, ikinci seviyede detaylandırılmıģtır ve denetimlerde fiili olarak ikinci seviyede detaylandırılmıģ bu hali kullanılacaktır, ancak süreçlerin sorumlusu olan birimlerle iliģkisinin daha güçlü olarak tespitinin sağlanması için yıllık gözden geçirmelerde, denetim evreni revizelerinde ve ĠDKK ya gönderilecek denetim evrenlerinde üçüncü seviye dahil detaylandırılmıģ ĠSKĠ DENETĠM EVRENĠ yer alacaktır MAKRO RĠSK DEĞERLENDĠRMESĠ tarafından, denetim evreninde yer alan her bir faaliyet/süreç/proje; Ġdarenin stratejik planlarında yer alan amaç ve hedefler ile Üst Yönetici ve üst seviye yöneticilerin görüģleri de dikkate alınmak suretiyle risk faktörleri doğrultusunda denetim öncelikleri belirlenmek amacıyla değerlendirmeye tabi tutulur. Denetime konu faaliyet/sürecin risk seviyesinin belirlenmesinde, doğrudan riskleri arttırdığı veya azalttığı düģünülen faktörler risk değerlendirmesinde kullanılır ve somut açıklamalarla kayıt altına alınır. Denetim evreninde yer alan faaliyet/süreçlerin değerlendirmesinde kullanılabilecek yapısal risk faktörlerinin belirlenmesiyle, risk analizine baģlanır. Yapısal risk, mevcut kontroller ve tedbirler dıģarıda tutulduğunda Ġdarenin mevcut yapısından veya faaliyetin doğasından kaynaklanan risktir. Sayfa 42 / 365

43 V1.0 MAKRO RĠSK DEĞERLENDĠRMELERĠNDE KULLANILACAK RĠSK PARAMETLERĠ ĠDB tarafından kullanılması önerilen risk faktörleri 1) KarmaĢıklık, 2) Yapısal DeğiĢiklikler, 3) Mali Etkiler, 4) Sosyal Etkiler, 5) Ġtibar Etkileri, 6) Yönetimin Hassasiyeti 7) Ve Önceki Denetim Sonuçları ġeklinde sıralanabilir. Ancak Ġç Denetim Birimi, Ġdarenin faaliyetlerine göre daha farklı risk faktörleri belirleyebilirler (EK-2: Risk Faktörleri Tablosu). Faaliyet/süreçlerin değerlendirilmesinde kullanılabilecek yapısal risk faktörleri de olasılık ve etki faktörleri diye sınıflandırılabilir. Risk faktörlerinin bu Ģekilde sınıflandırılmasına yönelik örneklere aģağıdaki tabloda yer verilmiģtir. Tablo 4.1. Etki ve Olasılık Faktörleri Etki Faktörü Mali Etki Sosyal Etki Ġtibar Etkisi BT Kullanımı Olasılık Faktörü KarmaĢıklık Yapısal DeğiĢiklikler Önceki Denetim Sonuçları ĠĢlem Hacmi Ġdarenin kendi faaliyet alanıyla uyumlu, basit olmak ve 3 ten az olmamak kaydıyla optimum sayıda risk faktörü kullanılarak risk değerlendirmelerinin yapılmasına özen Sayfa 43 / 365

44 V1.0 gösterilmelidir. Risk seviyesinin belirlenmesinde en az bir etki ve bir olasılık faktörü kullanılmalı ve belirlenen tüm risk faktörleri göz önünde bulundurularak değerlendirilen faaliyet/sürece iliģkin olarak tek bir risk puanı (tek bir olasılık ve tek bir etki değeri) belirlenir. Bir risk faktörü ile ilgili olarak elde yeterli bilgi bulunmadığında ya da yanıltıcı olması muhtemel bilgiler bulunduğunda, bu risk faktörü o alan ile ilgili olarak kullanılmamalıdır. Denetim evrenindeki tüm faaliyet/süreçler üzerinde, aynı risk faktörleri kullanılarak 7 bir değerlendirme yapılabileceği gibi, denetim evrenindeki bir faaliyetle ilgili risk değerlendirmesi yapılırken farklı risk faktörleri kullanılması ve bu Ģekilde risk seviyesi belirlenmesi de mümkündür. (Bkz: ġekil 4.2) ÖRNEK Bütçe hazırlama faaliyetinin risk değerlendirmesinin yapılması halinde, öncelikle bu faaliyetle ilgili olarak en önemli risk unsurları göz önünde bulundurularak, risk seviyesi (olasılık ve etki değerleri) belirlenir. Bütçe hazırlama faaliyeti için uygulanacak risk faktörleri olarak da mesela (1) yapısal değiģiklikler, (2) mali etki ve (3) itibar etkisi belirlenmiģ olsun, bunlara iliģkin detay bilgilerin çalıģma kâğıtlarına kaydedilmesi de makro risk değerlendirmesinin sağlıklı yapılabilmesi açısından önemlidir. Söz konusu risk faktörleri ve Ek-7 de yer alan risk analizi modeli dikkate alınarak, anılan faaliyete iliģkin olasılığının orta (3 puan), etkisinin ise yüksek (4 puan) olduğuna karar verilirse, bütçe hazırlama faaliyetinin risk seviyesi orta (18 puan) olarak belirlenir. 7 Gerekli görülmesi halinde, belirlenmiş olan risk faktörlerine ağırlık verilmek suretiyle de denetime konu faaliyet/sürecin nihai risk puanı belirlenebilir. Sayfa 44 / 365

45 ġekil 4.2. Faaliyet/Süreç/Projelere ĠliĢkin Farklı Risk Faktörleri Belirlenmesi V1.0 Kamu Alımları İnsan Kaynakları Deriner Barajı Projesi Strateji Geliştirme Mali Etki Yapısal Değişiklikler Mali Etki Yapısal Değişiklikler İtibar Etkisi Karmaşıklık Usulsüzlük ve Yolsuzluk Karmaşıklık İşlem Hacmi İtibar Etkisi Karmaşıklık İtibar Etkisi Hem makro risk analizinde hem de denetim görevleri sırasında kullanılan mikro risk analizinde aynı risk analizi modeli kullanılır. (Ek-3: Risk Analizi Modeli ) Her bir faaliyete iliģkin makro risk analizi sonuçları, her bir denetim görevi sonucuna göre güncellenir. Söz konusu güncelleme, hem bulguların kesinleģmesi (raporlama aģamasında) hem de izleme sonucunda bulgulara iliģkin eylemler yerine getirildikten sonra olmak üzere iki aģamada yapılır. Buna iliģkin ilave bilgi, Rehberin Raporlama ve Ġzleme Bölümlerinde verilmiģtir. Söz konusu güncellemeler sırasında, denetim görevlerinden elde edilen bilgilerin yanı sıra, denetlenen birimler tarafından risk yönetimine iliģkin yapılan çalıģma sonuçlarından veya dıģ denetim bulgularından da faydalanılabilir. Yıl içerisinde denetlenmemiģ alanların (faaliyet/süreç) risk değerlendirmelerinin ise, KĠDS gereği yılsonunda güncellenmesi gerekmektedir. Böylece Ġç Denetim Planının her yıl güncellenmesi sağlanır. RĠSKE ĠLĠġKĠN GENEL HUSUSLAR (Not: Ġç Denetim Yönergesinden Çıkarılarak Rehbere EklenmiĢtir) Riske iliģkin genel hususlar (1) Riskin tanımına iliģkin hususlar aģağıda belirtilmiģtir. a) Riskler, planlanan amaçlardan sapmayı ortaya çıkaran her türlü durumlar olarak ifade edilir. Sayfa 45 / 365

46 V1.0 b) Riskler, gelecekte ortaya çıkabilecek potansiyel problemlere, tehditlere ve tehlikelere iģaret eder. c) Riskler, tehlikeleri ve belirsizlikleri kapsar, risklerin kapsadığı tehlike ve belirsizliklerden kurtulmak için ortaya çıkan arayıģlar neticesinde fırsatlar ortaya çıkabilir. ç) Riskler, beklenmeyen olaylardan kaynaklanması halinde tehlike, değiģimlerden kaynaklanması halinde belirsizlikler, çeģitli tehlikelerin lehe sonuçlar ortaya çıkarılmasında kullanılması halinde fırsatları beraberinde getirir. d) Riskin, Olasılık (Ġhtimal) BileĢeni ve Etki (Tesir) BileĢeni olmak üzere iki bileģeni vardır. Riskin görünür kılınabilmesi için olasılık durumunun ve etkisinin bilinmesi gerekir. 1) Olasılık Bileşeni; hedeflenen gayeye veya maksatlara ulaşamama ihtimalini veya istenmeyen bir olayın gerçekleşmesi ihtimalini, 2) Etki Bileşeni; riskin oluşması halinde bunun neticesinde, hedeflenen gaye veya maksatlardan ne kadar sapma gösterilmesine yol açtığını, riskin büyüklüğünü ve şiddetini gösteren etkiyi ifade eder. e) Denetim evreninde yer alan her bir süreç, faaliyet, birim, proje risk değerlendirmesine tabi tutulur, her bir alanın ilgili olduğu risk faktörlerinin neler olduğu tespit edilir, tespit edilen hususlara dair açıklamalar belirtilir, tüm risk faktörleri etki ve olasılık durumuna göre puanlanır. Hangi alanın, neden riskli görüldüğüne dair açıklamalar mutlaka yapılır ve dokümante edilir. f) Makro risk değerlendirmesi 3 (üç) yıllık olarak yapılır. g) Risk değerlendirmelerinde, en az 3 (üç) ve gerektiğinde daha fazla risk kriteri üzerinde risk değerlendirmesi yapılır. ğ) Riskin ölçülmesi neticesinde; verimliliğin artırılması, maliyetlerin azaltılması, makul bir güvencenin ortaya çıkması, riskin analiz edilerek olumsuz sürprizlerle karģılaģılmamasının sağlanması hususunda erken uyarı mekanizması görür ve stratejik hedeflere ulaģılmasına yardımcı olur. h) Risk değerlendirmesinde aģağıdaki sorulara cevap aranır; 1) Faaliyet ortamında değişiklik var mı, yok mu? 2) İdareye yeni çalışan personel dâhil oldu mu, olmadı mı? 3) Yeni veya geliştirilmiş sistemler var mı, yok mu? 4) Faaliyetlerde, işlemlerde, kurumsal kapasitede hızlı büyüme oldu mu, olmadı mı? Sayfa 46 / 365

47 5) Ekonomik şartlarda değişiklik oldu mu, olmadı mı? V1.0 6) Yeni teknolojiler var mı, yok mu? 7) Yeni faaliyet konuları var mı, yok mu? 8) Yeniden yapılandırma faaliyetleri gerçekleşti mi, gerçekleşmedi mi? ı) Ġdarenin riskleriyle, risk portföyü ile kontrol portföyünün birbiriyle eģleģmesi ve riskler ile kontroller arasında bir dengenin bulunması gerekir. Risk yönetiminde, riskler ile kontroller arasında bir dengenin olup olmadığına bakılır. Az risk, çok kontrol ile çok risk, az kontrol tercih edilmez, risk ve kontrolün dengeli olması aranır. Risk yönetiminde, her bir icracı birime, birimin sorumluluğundaki süreçlerde yer alan risklerin neler olduğuna ve bu risklerin yönetimi için ne gibi kontrollerin yer aldığına dair öz değerlendirme yapması istenir ve bu sağlanır. i) Risk yönetimi ile iç kontrol faaliyetleri arasındaki iliģki; önleyici kontroller ile riskin gerçekleģme ihtimalinin azaltılması, düzeltici kontroller ile ise meydana gelen riskin etkisinin azaltılması Ģeklinde ortaya çıkar. j) Stratejik risk yönetimi ile risk evreni Ġdare stratejilerine uygun olarak netleģtirilir, böylelikler risklerin yönetimi hususunda görevler, yetkiler, sorumluluklar netleģtirilir. k) Risklerin erken teģhis edilmesi ile karar alma mekanizmasında iyi uygulamaların oluģmasına katkı sağlanır, böylelikle kontrollerin verimliliği gerçekleģir. (2) Kurumsal risk yönetimi, riskleri yönetmede, a) Piyasa risklerine, b) Operasyonel risklere, c) Finansal risklere, ç) Ġç kontrol risklerine, d) Bilgi teknolojileri risklerine, e) Yasal mevzuat risklerine, f) Ġmaj ve itibar risklerine odaklanılır. (3) Kurumsal risk yönetimi ile risklerin yönetiminde bütünleģik bir yaklaģım ortaya konulur ve değer üretme ve kurumun, kurumun varlıklarının ve değerlerinin korunması hedeflenir. (4) Risk yönetimi basamakları, a) Sebep sonuç iliģkisi, potansiyel kayıpları esas alınarak Risklerin tanımlanması ve Sayfa 47 / 365

48 belirlenmesi, V1.0 b) Risklerin sınıflandırılması, tasnif edilmesi, gruplandırılması, c) Risklerin önceliklendirilmesi, ç) Risklerin yönetilmesine dair sorumlulukların ve sorumluların belirlenmesi, d) Risklerin kontrol altına alınmasına yönelik önleyici ve/veya düzeltici faaliyet ve tedbirlerin geliģtirilmesi safhalarından oluģur. (5) Ġdarenin, bir risk meydana gelmesi halinde bu riskin ne kadarının tolere edilebileceği, riskin ne kadarına katlanılabileceği, riskin absorbe edilebilecek seviyesi olan risk iģtah (risk tolerans) düzeyinin tespiti gerekir. (6) Risk iģtah seviyesinin belirlenmesinde; a) Farklı risk kategorilerinde risk seviyesinin, dağılımının ve sınıflandırılmasının teģhisi yönüyle Risk Profilinin Operasyonel Risk, Finansal Risk, Yasal Risk ve benzeri risk gruplarından hangisine ait olduğunun belirlenmesi, b) Hedeflere ulaģmak için katlanılabilecek riskin miktarı itibariyle Risk Kapasitesinin tespit edilmesi, c) Kabul edilebilir risk düzeyi cihetiyle Risk Tolerans düzeyinin ortaya konulması, ç) Büyüme, getiri ve risk karģısındaki davranıģlar itibariyle Risk Tepkisi belirlenmesi faktörleri göz önünde bulundurulur. --- *** --- RĠSK YÖNETĠMĠNDE VE DEĞERLENDĠRĠLMESĠNDE AġAĞIDAKĠ 13 UNSUR TEMEL ALINIR. (Not:Ġç Denetim Yönergesinden Çıkarılarak Rehbere EklenmiĢtir) Risk yönetiminde ve değerlendirilmesinde temel alınacak 13 (on üç) unsur aģağıda sunulmuģtur. (1) Riskin ĠliĢkili Olduğu Hedef, (2) Riskin Ġlgili Olduğu Kurum ve KiĢiler, (3) Ġdarenin Riske Maruz Kalan Varlıkları, Sayfa 48 / 365

49 (4) Riskin Etkilediği Kıymetler ve Değerler, V1.0 (5) Riske Yol Açan Aksiyon ve Süreçler, (6) Riskle ĠliĢkili DeğiĢim Faktörleri, (7) Riskin Meydana Getirdiği Etkiler, (8) Riske Yol Açan Olay, (9) Riskin Ortaya Çıktığı veya ĠliĢkili Olduğu Zaman, (10) Riskin GerçekleĢme Ġhtimali, Meydana Gelme Olasılığı, (11) Mevcut Durum, (12) Riskle ĠliĢkili veya Riskten Etkilenen Ġnsan Menfaatleri, (13) Riskle Ġlgili Bilgilerdir. Risk yönetiminde ve değerlendirilmesinde temel alınacak 13 (on üç) unsur aģağıda ayrıntılı olarak arz edilmiģtir. (1) Hedef Unsuru, 1) Riskler, her zaman bir hedef ile ilişkilidir. 2) Risklerin ilişkili olduğu hedefler (a) Stratejik Hedefler, (b) Bütçe Hedefleri, (c) Operasyonel Hedefler, (ç) Kurumsal Hedefler, (d) Faaliyet Hedefleri, (e) Diğer Kurumlarla İlişkilere Yönelik Hedefler olabilir. (3) Risk yönetiminde, riskin hangi hedef ile ilişkili olduğunun tespit edilmesi lazımdır. (2) Riskin Ġlgili Tarafları olan Kurum ve KiĢi Unsuru, 1) Risk her zaman, ilgili tarafları içerir. 2) Risk yönetiminde, riskin ilgili olduğu kurum ile riskin kaynağının hangi kurum olduğu tespit edilir. Sayfa 49 / 365

50 3) Riskin ilgili olduğu kurum V1.0 (a) Bakanlıklar, (b) Üniversiteler, (c) Belediyeler, (ç) İlgili Kurumlar, (d) İnsan Kaynağı, (e) Hizmet Birimleri, (f) İlişkili Hizmet Birimleri, (g) Destek Birimleri, (ğ) Bütçe Büyüklüğünü Belirleyenler, (h) Denetim Birimlerinden hangisi ise riskin ilgili tarafları tespit edilir. (3) Varlık Unsuru, 1) Risk, her zaman bir varlıkla ilişkilidir. 2) Risk, her zaman bir varlığa yöneliktir. 3) İdareler, risk değerlendirmesi sırasında varlıklarının neler olduğunu, bu varlıkların koruma altında olup olmadığını tespit ederler. 4) İdarenin varlıkları dinamik varlıklar ve statik varlıkları olarak ikiye ayrılır, dinamik varlıklar arasında yasal varlıklar, insan kaynağı varlıkları, fiziksel varlıklar, tecrübeler ve bütçe yer alır, statik varlıklar arasında ise arsa, bina, makine ve teçhizatlar bulunur. (4) Değer Unsuru, 1) Riskler, her zaman bir değeri etkilerler. 2) Risklerin etkilediği değerler, (a) Stratejik değerler, (b) Zaman değeri, (c) Yerine koyma değeri, (ç) Ekonomik değer, (d) İtibar değeri, Sayfa 50 / 365

51 ( e) Algılanan değer, V1.0 (f) Sosyal değer, (g) Fayda değer olabilir. (5) Aksiyon ve Süreç Unsuru, 1) Riskler, süreçler içinde oluşur. 2) Riskler, süreçlerin içinde gömülüdür. 3) Risklerin içerisinde gömülü olarak bulunduğu süreçlerin girdilerine, işlem ve operasyonlarına ve çıktılarına ilişkin hususlar aşağıda belirtilmiştir. (a) Girdilere iliģkin hususlar; girdilerin belirlenmesi, insan gücünün planlanması, ilgili kurum veya birimlerin belirlenmesi, hizmet birimlerinin ihtiyaçlarının tespit edilmesi ve belirlenen amaçlar için araçların seçilmesi basamaklarından ibarettir. (b) ĠĢlem ve operasyonlara iliģkin hususlar; bütçe hedeflerinin tutturulması, en az maliyetle en çok faydanın sağlanmasına yönelik iş ve işlemlerdir. (c) Çıktılara iliģkin hususlar; sosyal faydanın ortaya çıkarılması, kamu kaynaklarının etkin ve verimli bir şekilde kullanılması, amaçlar ile araçlar arasındaki tutarlılığın sağlanması için testlerin yapılmasından ibarettir. (6) DeğiĢim Faktörü Unsuru, 1) Riskle ilgili bir değişim faktörü vardır. 2) Riskle ilgili değişim faktörleri, (a) Coğrafi faktörler, (b) Kültürel faktörler, (c) Mali kaynaklar, (ç) İnsan kaynağının yapısı, (d) Zaman, (e) Bürokratik yapı, (f) İşlemlerde yasal riskler, (g) Yetki-sorumluluk dengesizliği, (ğ) Şeffaflık ve Hesap verebilirliktir. (7) Etki Unsuru, Sayfa 51 / 365

52 1) Risk, etkilediği değişkenler ile gözlemlenir ve ölçülür. V1.0 2) Risk, beraberinde başka başka risklerin oluşmasını tetikleyebilir. 3) Riskler, etkileriyle birlikte değerlendirilir. 4) Risklerin etkilediği değişkenler; (a) Veriler-data, (b) Kümelenme, (c) Karmaşıklık, (ç) Parametreler (korelâsyon-ilişki derecesi, kritik olma-risk ölçüsü, döngü bağımlılık, çeşitlilik, süre-vade, oynaklık itibariyle parametreler) (8) BaĢlatan Olay Unsuru, 1) Riski başlatan olay olduğunda, gerçek bir vakaya dönüşür. 2) Riski başlatan olay sonuçta değişime yol açar. 3) Riski başlatan olay; (a) Amaç- Araç dengesizliği, (b) Süreç için ihtiyaç duyulanı insan kaynağının bulunamaması, (c) Eğitim eksikliği, (ç) İş süreçlerinin oluşturulmaması, (d) Yavaşlama, (e) Suiistimal sebepleriyle gerçekleşir. (9) Zaman Unsuru, 1) Riskin, her zaman bir zaman boyutu bulunur. 2) Riskin ortaya çıkmasına etki eden zaman unsurları, (a) Döngüsel faktörler, (b) Mevsimsel etkiler, (c) Zamanlama, (ç) Vade, (d) Eş zamanlılık, Sayfa 52 / 365

53 (e) Bölgesel farklılıklar, V1.0 (f) Gerçekleşmelerde yavaşlık şeklinde kendini gösterir. (10) Olasılık Unsuru, 1) Riskin bir olasılık, gerçekleşme ihtimal derecesi bulunur. 2) Riske sebebiyet veren olay veya durumların olma olasılığı tespit edilmeye çalışılır. 3) Riske sebebiyet veren olayın olma olasılığının belirlenebilmesi için; (a) Korelâsyon, (b) Oynaklık, değişkenlik, limitlerin aşılıp aşılmama durumu, limitlerde sapma olup olmama durumunun tespiti, (c) Kümelenme, (ç) Zamanlama, (d) Frekans Gibi parametreler çerçevesinde istatistikî ölçümler yapılır ve riskin gerçekleşme olasılığı tespit edilir. (11) Mevcut Durum (pozisyon) Unsuru, 1) Riskin yapısı ve profili mevcut kontroller ile şekillenir. 2) Riske ilişkin mevcut durum, (a) Bütçe hedeflerinde meydana getirebileceği sapma itibariyle Finansal Pozisyon, (b) Mevzuata uyum, kontrol ve yayılma itibariyle Yönetsel Pozisyon, (c) İzleme, önleme ve koruma faaliyetleri itibariyle Risk Pozisyonu Yönlerinden değerlendirilir. (12) Ġnsan Menfaati Unsuru, 1) Riskin içinde mutlaka bir insan menfaati vardır. 2) Kişi menfaatlerinin çatışması durumu tespit edildiğinde, bu durum risk olarak tespit edilir ve raporlanır. 3) Riske yol açan kişi menfaatleri; (a) Risk alma eğilimi, Sayfa 53 / 365

54 (b) Karar vermeye etkisi, V1.0 (c) Hata, (ç) Atlama, (d) İhmal, (e) Yararlanma, (f) Yetkisiz erişim, (g) Stres ve gerilim, (ğ) Kibir, (h) Güç, (ı) Algı yönleriyle değerlendirilir. (13) Bilgi Unsuru. 1) Riskler, eksik bilgiden dolayı meydana gelir. 2) Riske sebebiyet veren eksik bilgilerin telafisi için, (a) Kontrollerden elde edilen bilgiler, (b) Süreç sahiplerinden gelen bilgiler, (c) Mülakatlardan, (ç) Kontrol testlerinden elde edilen bilgiler, (d) Bütçe gerçekleşmelerine ilişkin bilgiler, (e) Yerine getirilmiş süreçlerdeki zaman bilgileri, (f) Süreç sahiplerinin yetkinliklerine ilişkin CV bilgilerinden faydalanılır. --- *** --- Sayfa 54 / 365

55 V1.0 RĠSKLERĠN BELĠRLENMESĠNDE DĠKKATE ALINACAK UNSURLAR (Not: Ġç Denetim Yönergesinden Çıkarılarak Rehbere EklenmiĢtir) (1) Risklerin belirlenmesinde aģağıdaki unsurlar dikkate alınır; a) Finansal piyasa risklerinde; hisse senedi piyasası, günlük döviz kurları, kredi riski, likidite, vergi, faiz oranları, emtia fiyatları, maliyet yapıları, enflasyon, zamanlama, sermaye masrafı, sözleģmeler, alacaklılar, çalıģanların sosyal hakları ve ödeme gücü, b) Ġnsan kaynakları risklerinde; yetkinlik, vasıflı iģçilik kaybı, anahtar kiģiler, bordro, iç kontrol süreci, çalıģanların sosyal hakları, yasal düzenlemeler, üretkenlik, verimlilik aksamaları, dıģ kaynak kullanımı, seyahat, çalıģan kalitesi, endüstriyel iliģkiler, teģvikler, kamusal yükümlülükler, istihdam eģitliği, öğrenme ve geliģtirme ve yönetim değiģikliği, c) Operasyonel risklerde; sözleģmeler, alt yapı hizmetleri, iģçilik, sağlık ve sosyal konularla ilgili hususlar, sivil itaatsizlik, kazalar, taģıma, çevresel riskler, kamu yükümlülükleri, yapı, mal hasarı, hile, mühendislik, suç, doğal tehlikeler, yangın, bilgi teknolojileri, siber suçlar, yolsuzluk, terörizm, sabotaj, ç) Ġmaj ve itibar risklerinde; skandallar, halkla iliģkiler, hizmetler, irtikâp, d) Kaliteye yönelik risklerde; algılar, uluslar arası standartlar, hatalar, Ģikâyetler, kriz yönetimi, e) Politika değiģimi risklerinde; el koyma, müdahale, siyasi değiģiklik, mevzuat, bireyler, yabancı devletler, f) Satın almaya yönelik risklerde; darboğaz, fiyat istikrarsızlığı, elveriģlilik, kesinti, baģarısızlık, kritik girdiler, g) Dağıtım risklerinde; maliyet, ara verme, lojistik, rekabet, teknoloji, emek, ğ) Lokasyon ile ilgili risklerde; uygunluk, iģlem hacmi, talep, politik konular, yedekler, demografik unsurlar, h) Ġhmal ile ilgili risklerde; hatalar ve unutmalar, yöneticilerin yükümlülükleri, kurum yönetimi, gerekli özen, karar verme, iç kontroller, verilen tavsiyeler, iftira atmalar, ı) Sistematik değiģikliklerle ilgili risklerde; kültür değiģikliği, ekonomi, çevre, sosyal çevre, teknolojik geliģmeler, siyasi geliģmeler, i) Felaket risklerinde; deprem, fırtına, sel, aģırı yağıģ ve benzeri tabi afetler, Sayfa 55 / 365

56 patlamalar, yangınlar, terör saldırıları, savaģ, isyan ve devrimler, V1.0 j) Operasyonlardaki değiģikliklerden kaynaklığı risklerde (geçen ve gelecek 3 yıl esas alınarak); yeni hizmetler, yeni süreçler, yeni yurtiçi yükümlülükler, yatırımlar, teģkilat yapısına meydana gelen büyük değiģiklikler, yabancı yatırımlar, AR-GE de meydana gelen büyük değiģiklikler, personel çıkarma-azaltma, diğer önemli değiģiklikler, k) Risk alma durumundan kaynaklanan risklerde; yenilik ve inovasyon oranı, yeni varlık değerine göre mevcut yatırımlar, olumsuz değiģiklikler, Dikkate alınır. (2) Risklerin belirlenmesinde gruplandırmaya göre dikkate alınacak riskler aģağıda tasnif edilmiģtir. a) VatandaĢ/Kamuoyu/Piyasa ve Rekabet ile Ġlgili Riskler; 1) Ekonomik krizler, düşüşte olan ekonomi riskleri, 2) Düşüşte olan piyasalar veya belirli pazar segmentleri, 3) Pazar payı kaybı riskleri, 4) Rekabet artışı riskleri, 5) Artan indirimler ve teşviklere bağlı riskler, 6) Fiyat ve net fiyat gelişimi riskleri, 7) Hizmet kanallarının gelişmesi ve değişmesine bağlı risklerdir. b) Hizmet ve Teknolojik Riskler; 1) Araştırma geliştirme (AR-GE) riskleri, 2) Hizmetin tanıtımı ile ilgili riskler, 3) Kalite riskleri, 4) Garantiden doğan riskler, 5) Müdahaleden kaynaklanan riskler, 6) Değişim yönetiminden kaynaklanan riskler, 7) Eksik üretim ve eksik hizmet riskleri, 8) Üretim ve hizmet faydalanması ve kapasitesi ile ilgili risklerdir. c) Finansal Piyasa Riskleri; Sayfa 56 / 365

57 1) Kur riskleri, V1.0 2) Faiz riskleri, 3) Kredi riskleri, 4) Likidite riskleri, 5) Sermaye piyasalarından kaynaklanan riskler, 6) Sermaye yetersizliği ve dağıtımı riskleri, 7) Gerekli tahvillerden kaynaklanan riskler, 8) Rating ve paydaşların ihtiyaçları ile ilgili risklerdir. ç) Ġnsan Kaynaklarından Kaynaklanan Riskler; 1) Nitelikli personel yetersizliği riski, 2) İşveren kurumun cazibesini yitirmesi riski, 3) Personelin uygun nitelikli olmama riski, 4) Motivasyon eksikliği veya bozukluğu riski, 5) Önemli personelin kaybedilmesi riski, 6) Yetersiz bilgi akışı riski, 7) Uygunsuz bilgi akışı riski, 8) Personelin uygunsuz dağıtılması riski, 9) Çalışma güvenliğine ilişkin riskler, 10) Hastalık, kaza gibi çalışanların kaybedilmesi riski, 11) Artan personel maliyetleri riskidir. d) Dağıtım Piyasası Riskleri; 1) Kalite standartlarının korunamaması, gerçekleştirilememesi riski, 2) Dağıtım mecburiyetlerine ilişkin riskler, 3) Verimlilik hedeflerinin gerçekleştirilememesi riski, 4) Satın alma bütçesinin yetersizliğine ilişkin riskler, 5) Dağıtıcıların iflas etmesi riski, 6) Dağıtıcının güvenir olmaması riskleridir. Sayfa 57 / 365

58 e) Yasal ve Politik Riskler; V1.0 1) Politik ve siyasal sistem riskleri, 2) Sosyal sistem riskleri, 3) Kanunlara ve mevzuata aykırılık riskleri, 4) Piyasalara olan müdahalelerden doğan riskler, 5) Hizmet sorumluluğu riskleri, 6) Hizmet süresi garantileri ile ilgili riskler, 7) Vergi artış riskleri, 8) Sınıf hareketlerinden doğan riskler, 9) Korumalı piyasalara girişlerden kaynaklanan risklerdir. f) BT (Bilgi Teknolojileri) Proje ĠliĢkili Riskler; 1) Zaman aşımı riskleri, 2) Maliyet aşımı riskleri, riskleri, 3) Geliştirme, test ve eğitim çerçevesinde bilgi teknolojilerinin kalite eksiklikleri 4) Veri, data ve program korumalarının eksik olmasından, virüslerden, izinsiz girişlerden kaynaklanan bilgi teknolojilerinin yetersiz kalması riskleri, 5) Kontrol eksikliklerinden, yedekleme ve eğitim programları eksikliklerinden kaynaklanan felaket planının eksik olması riskleri, 6) Eski stratejilerin güncellenmemesi ve yenilenmemesi riskleri, 7) Operasyonel sistem bileşenlerinin güncel olmaması riskleri, 8) Yangın güvenliği, enerji kesintileri ve benzeri sebeplerle ilgili donanım güvenliğinin eksik olması riskleri, 9) Darboğazlarda eksik insan kaynağı riskleridir. g) Diğer Riskler; 1) Kurumun faaliyetleri ile ilgili riskler, 2) Yeniden yapılanma maliyet riskleri, 3) İş modeli, portföy, kurum kültürü, değişim yönetimi ve benzeri organizasyonel Sayfa 58 / 365

59 riskler, V1.0 4) Değerleme ve belirlemeden kaynaklı riskler, 5) Kontrol, muhasebe, raporlama kaynaklı kesinlik, bilgi kalitesi, güvenirlik zaman aralıklarına yönelik riskler, 6) Fikri hakların çalınması riskleri, 7) Sabotaj riskleri, 8) İşveren veya kuruma karşı kasıtlı davranış riskleridir. --- *** --- ĠDARENĠN MAKRO ve MĠKRO RĠSK DEĞERLENDĠRMELERĠNDE BĠLGĠ TEKNOLOJĠLERĠNE ĠLĠġKĠN AġAĞIDAKĠ ÇERÇEVEDE RĠSK DEĞERLENDĠRMESĠ YAPILACAKTIR (Not: Ġç Denetim Yönergesinden Çıkarılarak Rehbere EklenmiĢtir) Ġdarenin bilgi teknolojileri alanındaki; a) Yazılım, donanım ve bilgi teknolojilerinin yeterli olup olmadığı, b) Yazılım, donanım ve bilgi teknolojilerinin verimli bir Ģekilde kullanılıp kullanılmadığı, c) Yazılım, donanım ve bilgi teknolojilerine izinsiz eriģim olup olmadığı, bunların izinsiz eriģimlere karģı güvenli olup olmadığı, ç) Bilgi ve kayıtlara eriģimlerin kontrol altında tutulup tutulmadığı, d) Bilgi teknolojileri projelerinin ve harcamalarının yeterli seviyede kontrol edilip edilmediği, e) ĠĢ ve bilgi teknolojileri stratejileri arasında eģgüdüm olup olmadığı, f) Bilgi teknolojileri iģlem kapasitesinin yeterli olup olmadığı, g) Bilgi teknolojilerinin performans sorunları olup olmadığı, riskler, ğ) Programcı, operatör, teknik personel, son kullanıcı hatalarından kaynaklanan h) Bilgi teknolojilerinin doğal felaketler, yangın, su basması, enerji problemleri, Sayfa 59 / 365

60 V1.0 sabotaj, terör eylemleri ve benzeri olumsuz durum risklerine karģı güvenli olup olmadığı, ı) Bilgi teknolojileri iç kontrol faaliyetlerinin yeterli olup olmadığı, i) Bilgi teknolojilerinin yasalar, standartlara veya Ġdarenin iç politikalarına uyumlu olup olmadığı Hususlarındaki riskleri her denetim görevinde veya özel olarak planlanan bilgi teknolojisi denetim veya danıģmanlık görevinde değerlendirilir. --- *** --- ĠDARENĠN MAKRO ve MĠKRO RĠSK DEĞERLENDĠRMELERĠNDE YÖNETĠġĠM SÜREÇLERĠNE ĠLĠġKĠN AġAĞIDAKĠ ÇERÇEVEDE RĠSK DEĞERLENDĠRMESĠ YAPILACAKTIR (Not: Ġç Denetim Yönergesinden Çıkarılarak Rehbere EklenmiĢtir) a) Ġdarenin YönetiĢim süreçlerinin, b) Ġdarenin YönetiĢim unsurlarından olan, 1) Stratejik Planlama, 2) Performans esaslı programlama, 3) Görev, yetki ve sorumlulukların dağılımı, 4) Performans göstergeleri, 5) Organizasyon yapısı, 6) Kurum içi iletişim, 7) Dış paydaşlarla olan ilişkiler, 8) İnsan kaynakları politikaları, 9) Faaliyet sonuçlarının izlenmesi ve raporlanması gibi konuların, c) Ġdarenin Faaliyetlerinin, d) Ġdarenin Bilgi sistemlerinin Maruz kalabileceği riskler makro planlamalarda ve mikro planlamalar sırasında değerlendirilir. Sayfa 60 / 365

61 V DENETĠM ALANLARININ BELĠRLENMESĠ VE ÖNCELĠKLENDĠRĠLMESĠ Denetim evreninde yer alan faaliyet, süreç, alt süreç, projelerden her birisi müstakilen bir denetim alanı olarak belirlenebileceği gibi, birbirleriyle iliģkili olanlar da birleģtirilerek denetim alanları oluģturulabilir. Denetim alanlarının oluģturulmasında denetim konusu hususlarının kendi içerisinde tutarlı bir Ģekilde bir bütün olarak ele alınmasına dikkat edilir. Denetim alanlarının oluģturulmasında göz önünde bulundurulması gereken önemli bir husus da denetim alanlarına ayrılacak muhtemel sürelerdir. Gerek aynı büyüklükteki denetimlerin birbirilerine yakın sürede tamamlanması, gerekse denetim kaynağının optimum seviyede kullanılması amacıyla denetim alanları, küçük, orta ve büyük ölçekli Ģeklinde sınıflandırılır. ÖRNEK Karayolları Genel Müdürlüğünde yol yapım süreci merkez ve ağırlıklı olarak taģra teģkilatında yürütülen bir faaliyettir. Bu bakımdan gerek denetim görevinin planlanması, gerekse saha çalıģmaları daha uzun süre alacağından bu denetim alanı Büyük ölçekli Ģeklinde belirlenebilir. Diğer yandan bilgi edinme hizmetleri süreci sadece merkez teģkilatında yürütülmekte, sürecin kapsamı dar olduğu için hem planlama hem de saha çalıģmaları sırasında bilgiye ulaģma daha kolay olacağından kısa zamanda bu çalıģmalar tamamlanabilmektedir. Bu nedenle söz konusu denetim alanının Küçük ölçekli olarak belirlenmesi daha uygun olacaktır. Denetim stratejisiyle her bir ölçek için ayrılması gereken denetim süresi belirlenir. Denetim stratejisinde denetim büyüklüklerine göre belirlenmiģ olan ortalama denetim sürelerinin çok üstünde veya çok altında sürede denetimi gerçekleģtirilebilecek denetim alanlarının belirlenmesinden mümkün olduğunca kaçınılmalıdır. Birden fazla faaliyet/sürecin birleģtirilerek denetim alanı oluģturulması durumunda, bu denetim alanının risk puanı her bir faaliyet, süreç veya projenin müstakil risk puanının ağırlıklı aritmetik ortalaması alınarak hesaplanır. Örneğin bir denetim alanı içerisinde dört adet faaliyet bulunuyorsa ve bu faaliyetler denetim alanının içerisinde eģit ağırlığa sahipse, denetim alanın risk seviyesi bu dört faaliyetin risk puanlarının ağırlıklı aritmetik ortalaması doğrultusunda belirlenir. Sayfa 61 / 365

62 V1.0 Denetim alanları almıģ oldukları risk puanları doğrultusunda; yüksek, orta ve düģük olarak önceliklendirilir. Sayfa 62 / 365

63 ÖRNEK Bir üniversite Ġç Denetim Biriminin Kütüphanecilik ĠĢlemleri Süreci ni denetim alanı olarak belirlediğini ve bu denetim alanının eģit önem seviyesine sahip dört faaliyetten oluģtuğunu varsayalım. Bu durumda Ek-3 deki Risk Analiz Modeli de göz önünde bulundurulduğunda denetim alanının alacağı risk puanı aģağıdaki gibi olacaktır. (Bkz. Ek-3: Risk Analizi Modeli Puanlama) Denetim Alanı Risk Puanı Ağırlığı Ağırlıklı Risk Puanı (Kütüphane ĠĢlemleri Süreci) (A) (B) (C=AxB) Üyelik ĠĢlemleri (Faaliyet 1) 24 0,25 6 Abonelik ve Dağıtım ĠĢlemleri (Faaliyet 2) 12 0,25 3 Ödünç Verme, Kayıp ve Ġade ĠĢlemleri (Faaliyet 3) 22 0,25 5,5 Dokümantasyon ĠĢlemleri (Faaliyet 4) 10 0,25 2,5 Kütüphanecilik ĠĢlemleri Süreci Risk Puanı Toplam) Kütüphane ĠĢlemleri Sürecinin Risk Seviyesi 17 ORTA Söz konusu ĠDB bu denetim alanında üyelik iģlemlerinin ağırlığının daha fazla, dokümantasyon iģlemlerinin ağırlığının ise daha az seviyede olduğunu düģünüyorsa, buna iliģkin ağırlıklandırmasını yaparak aģağıda gösterildiği Ģekilde denetim alanının risk Sayfa 63 / 365

64 seviyesine ulaģacaktır. V1.0 Denetim Alanı Risk Puanı Ağırlığı Ağırlıklı Risk Puanı (Kütüphane ĠĢlemleri Süreci) (A) (B) (C=AxB) Üyelik ĠĢlemleri (Faaliyet 1) 24 0,50 12 Abonelik ve Dağıtım ĠĢlemleri (Faaliyet 2) 12 0,20 2,4 Ödünç Verme, Kayıp ve Ġade ĠĢlemleri (Faaliyet 3) 22 0,20 4,4 Dokümantasyon ĠĢlemleri (Faaliyet 4) 10 0,10 1 Kütüphanecilik ĠĢlemleri Süreci Risk Puanı (Toplam) Kütüphane ĠĢlemleri Sürecinin Risk Seviyesi 19,8 YÜKSEK Sayfa 64 / 365

65 Yüksek riskli denetim alanlarında daha fazla test yapılması gerekeceği göz önünde bulundurularak, buna göre ölçeklendirme yapılır. Ayrıca, bir denetim alanına iliģkin olarak birden fazla denetim türünün uygulanması planlanıyorsa, bu durum ölçek belirlenirken göz önünde bulundurulur. Birden fazla denetim alanının risk seviyesinin aynı olması halinde, denetim alanlarının daha önce denetlenip denetlenmediğine bakılarak denetlenmemiģ alanlara öncelik verilir. Eğer denetim alanlarının tümü daha önce denetlenmiģ ise, denetim yılı daha önce olanlara öncelik verilir ĠÇ DENETĠM PLANININ HAZIRLANMASI Ġç Denetim Planı, Ġç Denetim Biriminin uzun vadeli stratejisini belirleyen en önemli belgedir. Plan dönemi, ilk yılın Ocak ayının birinci günü ile üçüncü yılın Aralık ayının son günü arasındaki zaman dilimini ifade eder. ĠÇ DENETĠM PLANININ HAZIRLANMASI Bu plan, Ġç Denetim faaliyetinin etkili, ekonomik ve verimli bir Ģekilde yürütülmesini sağlamak amacıyla; 1) Denetim stratejisini, 2) Risk seviyesi yüksek ve orta olarak belirlenen denetim alanlarını 8, 3) Planın uygulanabilmesi için gereken denetim kaynaklarını, 4) Kaynak kısıtlarının olası etkilerini, Ġçerecek Ģekilde üç yıllık dönemler için hazırlanır. Ġç Denetim Planının hazırlanmasında; ĠDKK tarafından yayımlanan (1) Kamu Ġç Denetim Strateji Belgesi, (2) kurumun stratejik planı ile (3) Üst Yönetici ve (4) üst düzey yöneticilerin görüģleri dikkate alınır. ĠDB BaĢkanı bu amaçla, Ġç Denetim Plan ve KİDS 2010.G2 İç Denetim Yöneticisi, üst düzey yöneticilerin görüş ve kanaatlerini almak, beklentilerini göz önünde bulundurmak zorundadır. Ayrıca, iç denetim planının hazırlanmasında, idarenin Stratejik Planı ile Kamu İç Denetim Strateji Belgesinin dikkate alınması zorunludur. programının yürürlüğe girmesinden en az bir ay önce, tüm birimlerle iletiģime geçerek birimlerin Ġç Denetimden beklentileri hakkında bilgi edinir. 8 İDÇUEHY in 39 uncu maddesi uyarınca en az yüksek ve orta riskli olarak belirlenen denetim alanlarını bir plan döneminde kapsanması esastır. Sayfa 65 / 365

66 V1.0 Bu plan, risk değerlendirmesi ve denetim sonuçlarına göre gözden geçirilerek her yıl yeniden hazırlanır. Denetim planı, her yıl bir sonraki üç yılı içerecek Ģekilde güncellenerek ĠDB nin üç yıllık yol haritasını gösterir. Denetim planına esas olacak temel stratejilerin öncelikli olarak belirlenmesi ve mümkün olduğu ölçüde planın Üst Yöneticiye sunulması öncesinde Üst Yönetici ile tartıģılması gereklidir. Ġç Denetim Birimi BaĢkanı tarafından Ġç Denetçilerin katılımıyla belirlenen temel stratejiler aģağıdaki hususları içermelidir. (1) ĠDB tarafından yürütülecek aģağıdaki faaliyetlere kaynak tahsisi 9 oransal (yüzde) olarak belirlenir. Bir plan dönemindeki toplam denetim kaynaklarının tahsis edilecek yüzdesel dağılımında, ĠDKK tarafından yayımlanan Kamu Ġç Denetim Strateji Belgesiyle belirlenen yüzdeler esas alınır. ĠSKĠ ĠÇ DENETĠM STRATEJĠ BELGESĠNDE YER ALACAK HUSUSLAR DENETĠM Makro risk değerlendirmesi sonuçlarına göre Ġç Denetim stratejine uygun olarak güvence sağlama hizmeti verilmesi gerekli alanların planlı denetimlerini kapsar. DANIġMANLIK Ġdareden gelecek talepler doğrultusunda Ġdarenin faaliyetleri, süreçleri veya iģlemleriyle ilgili olarak sistematik bir biçimde sunulan değerlendirme faaliyetlerini kapsar. DanıĢmanlık görevi kapsamındaki kurum içindeki eğiticilik faaliyetleri de bu baģlık altında değerlendirilir. EĞĠTĠM Ġç Denetçilerin ilgili mevzuat hükümleri kapsamında aldıkları eğitimler ve katıldıkları konferans ve seminerler bu kapsamdadır. Ayrıca Ġç Denetçilerin mevzuat kapsamında verdikleri eğitimleri de kapsar. ĠZLEME Denetim faaliyetleri sonucunda ortaya çıkan bulgular ile danıģmanlık faaliyetleri sonucunda denetlenen birim ile mutabık kalınarak izlenmesi kararlaģtırılan hususlara iliģkin ilerlemelerin değerlendirilmesini kapsar. ĠDARĠ ĠġLER Ġç Denetim Planlarının ve programlarının hazırlanması, denetim faaliyetlerinin koordinasyonu, denetim raporlarının incelenmesi, iç değerlendirme çalıģmaları gibi denetimin yönetimi iģlemleri ile idare içerisindeki tüm yazıģmaları kapsar. ĠHTĠYAT ĠÇĠN Planlama aģamasında öngörülemeyen ve yıl içerisinde ortaya çıkan program dıģı 9 Adam/saat ayrılacaktır. Bir gün 8 saat olarak esas alınacaktır. Sayfa 66 / 365

67 AYRILAN KAYNAK denetim ve danıģmanlık ihtiyaçları ile diğer faaliyetler için ayrılan denetim kaynağını içerir. V1.0 (2) Denetim stratejisi kapsamında; standart denetimin büyüklüğüne göre (büyük ölçekli, orta ölçekli, küçük ölçekli) ortalama denetim süreleri saat bazında belirlenir ve denetimler oluģturulurken bu ortalama süreler, kaynak dağılımının dengeli yapılabilmesi amacıyla dikkate alınır. Denetim sürelerine iliģkin fiili gerçekleģme bilgileri incelenerek, sürelerin aģılması ya da erken tamamlanması gibi durumlarla karģılaģılması hallerinde, yeni Ġç Denetim Planı hazırlığı sırasında ortalama denetim süreleri revize edilerek gerçekçi hale getirilir ya da denetim alanları içeriğinde revizyona gidilir. (3) Denetim alanlarının risk seviyesine göre hangi sıklıkta denetlenmesi gerektiği belirlenir. Uluslararası genel kabul görmüģ iyi uygulamalara göre, risk seviyesi arttıkça o alanda daha sık denetim yapılması temel esastır. ĠDB de kendi yaklaģımlarına uygun olarak denetim sıklıklarını ay bazında belirlemelidir ( Yüksek riskli alanlar 12 ayda bir, Orta riskli alanlar 24 ayda bir denetlenecektir gibi). Bir plan döneminde düģük risk seviyesine sahip en az bir denetim alanının Ġç Denetim Planına dâhil edilmesi makro risk değerlendirmesinin güvenirlik seviyesinin test edilmesi bakımından faydalı olacaktır. Denetim stratejisine karar verildikten sonra, bu strateji doğrultusunda üç yıl içerisinde denetlenmesi gereken tüm denetim alanlarının yer aldığı Ġç Denetim Planı ile önceki yıla iliģkin gerçekleģme bilgileri ve önceki Ġç Denetim Planına uyulamama gerekçeleri Üst Yöneticiye sunulmak zorundadır. Denetim alanlarında yer alan faaliyet/alt faaliyet/süreç/alt süreçlere, Ġç Denetim Planlarında ayrıntılı olarak yer verilir. DanıĢmanlık, eğitim, izleme gibi diğer faaliyetler için ise denetim stratejisiyle tahsis edilmesi öngörülen toplam kaynak miktarları her bir baģlık bazında toplu yüzdesel olarak gösterilir. ĠDB tarafından belirlenen denetim sıklığına uygun, düzenli olarak güncellenen risk seviyelerine göre denetim alanlarının Ġç Denetim Planındaki yıllara dağıtımı yapılır. Bu dağıtımda, yıllar arasındaki kaynak ihtiyacının da dengeli yapılmasına dikkat edilir. (Ek:7.3.2:Denetim Planının Güncellenmesi) KİDS 2010.G1 İç denetim planı, en az yılda bir kez yapıla yazılı bir risk değerlendirmesine dayanmak zorundadır. Üst yönetici ile üst düzey yöneticiler bu sürece dâhil edilerek görüşleri alınmak zorundadır. Sayfa 67 / 365

68 KİDS 2020 İç denetim yöneticisi, önemli değişiklikler de dâhil, İç Denetim faaliyetinin plan ve programları ile kaynak ihtiyaçlarını, gözden geçirme ve onay için üst yöneticiye bildirmek zorundadır. İç denetim yöneticisi kaynak sınırlarının etkilerini de üst yöneticiye bildirmek zorundadır. V1.0 Ġç Denetim Planı hazırlık çalıģmalarının son aģaması, belirlenen denetim stratejisini gerçekleģtirmek için ihtiyaç duyulan denetçi kaynağının hesaplanmasıdır. Planın uygulanabilmesi için gerekli insan kaynağı ihtiyacı ve kaynak sınırlamasının etkileri Üst Yöneticiye raporlanır. Yapılan analiz sonucunda idareye tahsis edilen Ġç Denetçi kadrosunun yetersiz olması halinde durum ĠDKK ya bildirilir ĠÇ DENETĠM PROGRAMININ HAZIRLANMASI Ġç Denetim programı, nın, 01 Ocak-31 Aralık arası zaman diliminde olmak kaydıyla, bir yıllık dönemde gerçekleģtirmeyi planladığı denetimler ile programın hazırlandığı tarih itibariyle yaklaģık tarihleri öngörülebilen danıģmanlık, eğitim, idari iģler ve izleme faaliyetlerinin belirlendiği bir belgedir. 01 Ocak - 31 Aralık dönemi arasında ihtiyaç duyulması halinde en fazla iki ayrı denetim programı uygulanabilir. Ġç Denetim programı aģağıdaki adımların gerçekleģtirilmesi suretiyle hazırlanır: (1) Ġç Denetim Planının birinci yılında yer alan denetimler, Ġç Denetim Biriminin mevcut denetçi kaynağı nispetinde en yüksek risk seviyesinden baģlamak üzere Ġç Denetim programına alınır. ÖRNEK Ġç Denetim Planının ilk yılında 20 tane denetim alanı bulunuyorsa ve Ġç Denetim Biriminin mevcut denetçi kaynağı yalnızca ilk beģini denetlemeye yetiyorsa, Ġç Denetim programına en yüksek risk puanına sahip bu beģ denetim alanı alınır. (2) Ġç Denetim Birimi BaĢkanı, Ġç Denetim programında yer alan denetim görevlerini, denetimde yer alacak Ġç Denetçileri ve bunların görevlerini (Ġç Denetçi, Denetim Gözetim Sorumlusu, Ġç Denetim Birimi BaĢkanı gibi), denetçi bazında tahsis edilecek çalıģma sürelerini (saat bazında) belirler. Bu aģamada aģağıdaki hususlara dikkat edilir: Sayfa 68 / 365

69 V1.0 Bir Ġç Denetçinin çalıģabileceği toplam denetim saatinden, kullanılması muhtemel izinler ile planlanmıģ eğitim faaliyetleri gibi süreler düģülmelidir. Bir denetim için tahsis edilen saat bazındaki toplam denetim süresi, denetim stratejisi ile belirlenen ortalama denetim sürelerinin çok üstünde ya da altında olmamalıdır. Mümkün olduğunca Ġç Denetçilerin, tecrübeli oldukları konularda görevlendirilmeleri sağlanmalıdır. Ancak bu durumun tarafsızlıklarını zedeleyip zedelemediği hususu Ġç Denetim Birimi BaĢkanı tarafından dikkatle izlenmelidir. Bir Ġç Denetçiye üst üste üç yıl aynı birimde görev verilmemelidir. Ġç Denetim programında yer alan her bir denetim alanına, denetlenen birim olarak, denetim kapsamındaki faaliyetlerden/süreçlerden sorumlu en üst seviye birim olan HARCAMA BĠRĠMĠ yazılır. Denetim testlerinin yürütüleceği alt birimler ön çalıģma sonucunda risk esaslı olarak belirlenir ve denetime tabi tutulur. Ġç Denetim stratejisine uygun Ģekilde hazırlanan Ġç Denetim Planı ve Ġç Denetim programı, en geç Aralık ayı baģında Üst Yöneticiye yazılı olarak sunulur ve Aralık ayı sonuna kadar Üst Yönetici tarafından onaylanır. Ġç Denetim Plan ve programı, Üst Yönetici tarafından Aralık ayı sonunda onaylanmaması halinde, Ġç Denetim Planı ve Ġç Denetim programı Ġç Denetim Birimi BaĢkanı tarafından 1 Ocak tarihinde KİDS 1120 İç denetçiler, tarafsız ve önyargısız bir şekilde davranmak zorundadır. KİDS 1111 İç denetim yöneticisi üst yönetici ile doğrudan iletişim ve etkileşim içerisinde olmak zorundadır. yürürlüğe konulur. Ġç Denetim Plan ve programının zamanında onaylanmasını sağlamak amacıyla en geç Eylül ayı itibariyle hazırlık çalıģmalarının baģlatılması uygun olacaktır. Ġç Denetim Plan ve programının hazırlanması sürecinde, Üst Yöneticiyle doğrudan ve güçlü bir iletiģim sağlanmalı ve bu süreç yalnızca rutin bir onay süreci olarak görülmemelidir. Yürürlüğe konulan Ġç Denetim Plan ve programı, yürürlük tarihinden sonraki bir hafta içerisinde Ġç Denetçilerle paylaģılır. Ġç Denetim programında yer alan denetimler de, onay tarihinden sonraki 1 ay içerisinde Ġç Denetim Birimi BaĢkanı tarafından ilgili denetlenen birimlere bilgi için gönderilir. Fakat Ġç Denetim programı eki çizelgenin, denetlenen birimlere bir bütün halinde gönderilmesi uygun olmayabilir. Ġç Denetim Plan ve programı kapsam ve Ģablonuna ekte yer verilmiģtir. (EK-7: Ġç Denetim Plan ve Programı) Sayfa 69 / 365

70 V1.0 BEġĠNCĠ KISIM [DENETĠM FAALĠYETLERĠNE (GÜVENCE HĠZMETLERĠNE) ĠLĠġKĠN HUSUSLAR] Sayfa 70 / 365

71 V GÜVENCE/DENETĠM HĠZMETLERĠ Bir denetim görevi süreci genel olarak aģağıdaki gibi özetlenebilir: DENETĠM GÖREVLERĠNĠN UYGULANMASI SÜRECĠ Bir denetim görevi süreci genel olarak aģağıdaki gibi özetlenebilir: 1 Öncelikle denetlenecek alan (faaliyet/süreç/proje) detaylı olarak anlaģılır. 2 Üzerinde odaklanılması gereken alanlar önceliklendirilir. 3 Denetimde kullanılacak kriterler Ġç Denetçiler tarafından belirlenir. 4 Ġç Denetçi mevcut durum ile ilgili olarak denetim kanıtı toplar. 5 Ġç Denetçi toplanan kanıtları değerlendirir ve analiz eder. 6 Analiz ve değerlendirmeler doğrultusunda kontrol sisteminin etkililiği hakkında sonuçlara varılır. 7 Elde edilen tespit ve öneriler ilgili tüm taraflar ile paylaģılır. 8 Önerilere iliģkin eylem planlarının gerçekleģmeleri izlenir. Ġdarede yürütülecek Ġç Denetim faaliyetleri aģağıda belirtilen denetim uygulamalarını kapsar: DENETĠM TÜRLERĠ 1. Uygunluk denetimi: Ġdarelerinin faaliyet ve iģlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer mevzuata uygunluğunun incelenmesidir. 2. Performans denetimi: Yönetimin bütün kademelerinde gerçekleģtirilen faaliyet ve iģlemlerin planlanması, uygulanması ve kontrolü aģamalarındaki etkililiğin, ekonomikliğin ve verimliliğin değerlendirilmesidir. 3. Mali denetim: Gelir, gider, varlık ve yükümlülüklere iliģkin hesap ve iģlemlerin doğruluğunun; mali sistem ve tabloların güvenilirliğinin değerlendirilmesidir. 4. Bilgi teknolojileri denetimi: Denetlenen birimin elektronik bilgi sistemlerinin sürekliliğinin ve güvenilirliğinin değerlendirilmesidir. 5. Sistem denetimi: Denetlenen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaģımla analiz edilmesi, eksikliklerinin tespit Sayfa 71 / 365

72 V1.0 edilmesi, kalite ve uygunluğunun araģtırılması, kaynakların ve uygulanan yöntemlerin yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir. Denetim faaliyetleri, bu denetim uygulamalarından bir veya birkaçını kapsayacak Ģekilde yapılabilir. Sistem denetimi kapsamında; uygunluk, bilgi teknolojileri ve performansa iliģkin hususlar da değerlendirilebilir. Mali denetimin ise müstakil yürütülmesi esas olmakla birlikte, uygunluğu da içeren mali denetimler yapılabilir. Rehberin bu bölümü genel denetim metodolojisini belirlemektedir. Bu genel metodoloji yukarıda gösterilen tüm denetim türlerine uygulanabilmekle birlikte, esas olarak sistem ve uygunluk denetimine yöneliktir. Bilgi teknolojileri denetiminde ise, ĠDKK tarafından ayrıca yayınlanan Kamu Ġç Denetimi Bilgi Teknolojileri Denetimi Rehberi esas alınır DENETĠM GÖREVLERĠNĠN PLANLANMASI VE YÜRÜTÜLMESĠ Ġç Denetim programının onaylanmasının ardından denetim baģlama tarihi gelmeden en geç bir hafta önce Ġç Denetim Birimi BaĢkanı tarafından denetimler baģlatılır. Denetimlerin daha etkin ve etkili yürütülebilmesi adına ihtiyaç duyulması halinde Ġç Denetim programıyla belirlenen Ġç Denetçi görevlendirmelerinde Ġç Denetim Birimi BaĢkanı tarafından değiģiklikler yapılabilir. Bir Ġç Denetçinin üzerinde aynı tarihler arasında mümkün olduğunca birden fazla denetim olmamasına özen gösterilmelidir. Ancak bilgi ve belge akıģında yavaģlık olması muhtemel durumlarda, bir Ġç Denetçinin aynı anda birden fazla denetim ile görevlendirilmesi de mümkündür. Denetim görevi, esas olarak üç ana KĠDS grubu tarafından düzenlenmektedir. Güvence ve danıģmanlık hizmetlerinde bu Standartlara ve ilgili uygunluk kriterlerine 10 uyum sağlanması gerekmektedir. Denetim Görevinin Temel Aşamaları Denetim Görevinin Planlanması (KİDS 2200) Denetim Görevinin Yürütülmesi (KİDS 2300) Denetim Sonuçlarının Raporlanması (KİDS 2400) 10 İDKK; tarih ve 3 sayılı Kurul Kararıyla,dış kalite değerlendirme çalışmalarında aranacak Temel Uygunluk Kriterlerini belirlemiştir. Söz konusu Uygunluk Kriterleri, KİDS nın gereklerinin neler olduğu hususunda yol göstericidir. Sayfa 72 / 365

73 V1.0 Bu temel aģamaların detayları Rehberin ilgili kısımlarında detaylı olarak ele alınacaktır. Denetim görevinin yürütülmesine iliģkin planlamanın yapılması KĠDS e göre zorunlu bir husustur. 4 temel Standart grubundan oluģmaktadır. Denetim Görevinin Planlanması Planlamada Dikkate Alınması Gerekenler (KİDS 2201) Amacın belirlenmesi (KİDS 2210) Kapsamın belirlenmesi (KİDS 2220) Kaynak tahsisi (KİDS 2230) Görev İş Programı (KİDS 2240) Görevlendirme Denetim görevlendirmeleri yapılmasından önce, ilgili Ġç Denetim programı Ġç Denetim Birimi BaĢkanı tarafından gözden geçirilir. KİDS 2030 İç denetim yöneticisi, onaylı planın uygulanabilmesi için, İç Denetim kaynaklarının uygun ve yeterli olmasını ve etkili bir şekilde kullanılmasını sağlamak zorundadır. Denetim görevlendirmelerinin yapılması esnasında, Ġç Denetim programında önemli değiģikliklere gidilmemesi temel prensip olmakla birlikte, Ġç Denetim programının hazırlanması esnasında öngörülemeyen Ġç Denetçi değiģiklikleri, izinler, kapsam dıģı görevlendirmeler gibi hususların ortaya çıkması halinde Ġç Denetim Birimi BaĢkanı tarafından, denetim görevlerinin etkin bir Ģekilde gerçekleģtirilmesini teminen gerekli değiģiklikler yapılarak Ġç Denetçi ve denetim ekibinin bir parçası olarak Denetim Gözetim Sorumlusu görevlendirmeleri yapılır. Ġç Denetim faaliyetlerinin bir denetim ekibi tarafından yürütülmesi esastır. Denetlenen alanın karmaģıklığı ve büyüklüğü ile paralel olarak denetim ekibinin büyüklüğü de değiģiklik göstermektedir. Sayfa 73 / 365

74 V1.0 DENETĠM GÖZETĠM SORUMLUSUNUN ROL VE SORUMLULUKLARI Ġç Denetim Birimi BaĢkanı her bir denetim görevinin KĠDS ile bu Rehbere uygun olarak yürütülmesini sağlamak amacıyla kıdemli bir Ġç Denetçiyi, denetimin gözetimi sorumlusu olarak görevlendirir. ĠDKK nın düzenlemelerine uygun olarak denetimin gözetimi faaliyeti, Ġç Denetim Birimi BaĢkanı tarafından da yürütülebilir. Denetimin gözetimi sorumlusu olarak görevlendirilenler, baģka bir Ġç Denetim faaliyetinde de görevlendirilebilir. Denetimin gözetimi sorumluluğu; 1) ÇalıĢma planının yeterli risk analizine dayandırılıp dayandırılmadığı, 2) Görev iģ programında belirlenen denetim testlerinin denetim amaçlarının gerçekleģtirilmesi için yeterli olup olmadığı, 3) Görev iģ programında yer alan testlerin uygulanıp uygulanmadığı ve denetim sonuçlarına dayanak teģkil eden bilgilerin kayıtlı hale getirilip getirilmediği, 4) Risklerin denetlenmesi için uygun test tekniklerinin kullanılıp kullanılmadığı (taģınır denetiminde fiili ve kaydi durumun uygunluğunun görüģme ile test edilmesi gibi) 5) Denetim sonucunda ortaya konulan tespit ve önerilerle ilgili kanıtların yeterli olup olmadığı, yetersiz ise bunlarla ilgili olarak ilave incelemelerin gerekli olup olmadığı, 6) Raporda uygulanabilir önerilere ve eylem planlarına yer verilip verilmediği, Hususlarında değerlendirme yapmak ve ilgili Ġç Denetçiden gerekli düzeltmeleri istemek görev ve yetkilerini kapsar. Yukarıda belirtilen konularda eksiklikler olduğunun düģünülmesi halinde, söz konusu eksikliklerin ilgili Ġç Denetçiler tarafından giderilmesi gerekir. Denetim Gözetim Sorumlusu, Ġç Denetçi ile birlikte denetimin tüm aģamalarından sorumludur. Bu nedenle Denetim Gözetim Sorumlusu, Ġç Denetçinin çalıģmalarını sadece onaylama ile yetinmemeli, denetim ekibinin bir parçası olarak denetim çalıģmalarını yakından takip etmeli, yönlendirmeli ve Ġç Denetçiye/Ġç Denetçilere yardımcı olmalıdır. Ancak ilgili Ġç Denetçi ile Denetim Gözetim Sorumlusu arasında görüģ ayrılığının bulunması halinde gerekli açıklamalar çalıģma kâğıtları aracılığıyla kayıt altına alınır. Böyle bir durumda Ġç Denetim Birimi BaĢkanının vereceği görüģ doğrultusunda iģlem yapılır. Sayfa 74 / 365

75 V1.0 Denetime baģlama tarihinden en geç bir hafta önce Ġç Denetim Birimi BaĢkanı tarafından Ġç Denetçilere görevlendirme yazısı (Ek-8: Görevlendirme Yazısı) gönderilerek Ġç Denetçiler denetimden haberdar edilir. Görevlendirme yazısında aģağıdaki hususlara yer verilir: ĠÇ DENETÇĠ GÖREVLENDĠRME YAZISINDA YER VERĠLECEK HUSUSLAR 1) Denetimin adı 2) Denetimin türü 3) Planlanan denetim süresi (baģlama ve bitiģ tarihleri ile toplam denetim saati) 4) Denetim Gözetim Sorumlusu ve görevlendirilen Ġç Denetçilere ait bilgiler 5) Gerek duyulması halinde, Ġç Denetçiler tarafından denetim sırasında esas alınması gereken mevzuat, standart ve diğer kriterler. Tarafsızlık Belgesinin Hazırlanması Ġç Denetim Biriminin faaliyetlerini bağımsız olarak yürütmesi, Ġç Denetçilerin de görevlerini tarafsız bir Ģekilde yerine getirmesi gerekmektedir. (Ek-9: Tarafsızlığı Zedeleyen Hususlar) KİDS 1100.G1 İç denetim faaliyeti, İç Denetimin kapsamının belirlenmesi, yürütülmesi ve sonuçlarının paylaşılması ve raporlanması hususunda her türlü müdahaleden uzak ve serbest olmak zorundadır. Tarafsızlığın, denetimin baģlangıcından sonuna kadar korunduğunun kayıt altına alınabilmesi açısından aģağıdaki hususlara uyulması gereklidir: Denetim görevlendirmesi yapıldıktan sonra ivedilikle tarafsızlık ve gizlilik belgesinin (Ek-10: Tarafsızlık ve Gizlilik Belgesi) doldurulması gereklidir. Ġç Denetçiler tarafsızlıklarının fiilen bozulduğunu anlamaları halinde ya da denetlenen birimler nezdinde böyle bir izlenimin ortaya çıktığını fark etmeleri halinde bu durumu Ġç Denetim Birimi BaĢkanına bildirirler. Ġç Denetim Birimi BaĢkanı bu durumla ilgili gerekli tedbirleri alır. Sayfa 75 / 365

76 Ayrıca tarafsızlığın korunması açısından Ġç Denetçilerin, son 1 yıl içerisinde sorumlu oldukları kurum faaliyetlerine iliģkin denetim hizmeti sunmamaları esastır. KİDS 1130.G1 V1.0 İç denetçiler, daha önce sorumlu olduğu faaliyetlere ilişkin denetim görevi yapmaktan kaçınmak zorundadır. Bir denetçinin son bir yıl içinde sorumlu olduğu idari bir faaliyet hakkında denetim vermesinin, tarafsızlığını bozacağı varsayılır. ÖRNEK Ġdari birimden bir kiģinin Ġç Denetçi olarak atanması halinde, bu Ġç Denetçi daha önce görev yaptığı birimde denetim yapmak üzere görevlendirilemez. Böyle bir durum ile karģılaģan bir Ġç Denetçinin ise bağımsızlık ve tarafsızlık belgesini doldurmadan Ġç Denetim Birimi BaĢkanını bilgilendirmesi gerekir. Ġç Denetim Birimi BaĢkanının da bu kiģiye farklı bir birimde denetim görevi vermesi gerekir Denetlenen Birime Bildirim Ġç Denetim Birimi BaĢkanı tarafından denetlenecek birime denetim hakkında temel bilgileri içeren denetim bildirim yazısı (Ek-11: Denetim Bildirim Yazısı) gönderilir. DENETĠM BĠLDĠRĠM YAZISINDA YER VERĠLECEK HUSUSLAR Denetim bildirimi yazısında aģağıdaki hususlara yer verilir: 1) Denetimin dayanağı olan onay 2) Denetim programının yılı 3) Denetimin kapsamı (konusu) 4) Denetimin türü 5) Denetime baģlama tarihi 6) Denetim Gözetim Sorumlusu ve görevlendirilen Ġç Denetçilere ait bilgiler. Bu bildirim, aģağıdaki iģlevleri yerine getirmektedir: a) Denetlenecek birim yöneticilerinin ve çalıģanlarının genel olarak denetimin kapsam ve amaçları ile denetime baģlama tarihi hakkında bilgi sahibi olmasını sağlamaktadır. Sayfa 76 / 365

77 V1.0 b) Denetlenen birime, denetim konusuyla ilgili personelin hazır bulundurulması ve ihtiyaç duyulacak bilgi ve belgelerin hazırlanabilmesi için zaman kazandırılmaktadır. Bu durum aynı zamanında denetime baģlandıktan sonra denetim süresinin etkin kullanılmasına yardımcı olmaktadır. c) Denetimin planlanan baģlama ve bitiģ tarihleri bildirildiğinden, denetimin zamanında bitirilmesini daha önemli hale getirmektedir Ön ÇalıĢma Ġç Denetçiler görevlendirildikleri tarihten itibaren denetimle ilgili olarak ön çalıģmalara baģlarlar. Ön çalıģmanın amacı, Ġç Denetçilerin yürütecekleri denetim görevi kapsamında yer alan faaliyetleri (denetim alanını) tam olarak anlamalarını sağlamak ve saha çalıģmalarını etkin ve etkili bir Ģekilde yürütmelerini kolaylaģtırmak ve böylece denetimin doğru alanlara yoğunlaģabilmesini sağlamaktır. Bu doğrultuda, ön çalıģma aģamasında Ġç Denetçiler tarafından ihtiyaç duyulan tüm bilgiler toplanır, analiz edilir ve kayıt altına alınır. Elde edilen bilgiler doğrultusunda saha çalıģmasında uygulanacak testler belirlenir. ĠÇ DENETĠM ÖN ÇALIġMALARININ SAFHALARINDA ĠÇ DENETÇĠLER TARAFINDAN YAPILACAK Ġġ VE ĠġLEMLER (DENETĠME HAZIRLIK) Ġç Denetim ön çalıģmaları aģağıdaki aģamalardan oluģur. 1. Denetim Görev Süre Planı OluĢturulması (Denetim gözetim sorumlusu tarafından), 2. Ön AraĢtırma Yapılması ve Denetim Amacının Belirlenmesi, 3. AçılıĢ Toplantısı, 4. Risklerin Belirlenmesi ve Değerlendirilmesi, 5. Kontrollerin Belirlenmesi ve Değerlendirilmesi, 6. Denetim Testlerinin Belirlenmesi, 7. Risk Kontrol Matrisinin Tamamlanması, 8. ÇalıĢma Planı ve Görev ĠĢ Programının Onaylanması aģamalarıdır. Bundan sonrası safha saha çalıģmasıdır. Sayfa 77 / 365

78 Denetim Görev Süre Planının OluĢturulması V1.0 Denetim Gözetim Sorumlusu, denetim ekibinde yer alan diğer Ġç Denetçilerin de görüģlerini dikkate alarak denetim süre planı formunu doldurur. Denetim süre planı formu denetimin üç temel aģamasına (ön çalıģma, saha çalıģması ve raporlama) iliģkin baģlama ve bitiģ tarihlerini belirlemek amacıyla doldurulur. (Ek-13: Denetim Süre Planı Formu) ĠDB tarafından denetimin ara aģamalarını da gösteren daha detaylı formların kullanılması mümkündür. Denetim esnasında ortaya çıkan gerçekleģme bilgileri de bu forma kaydedilerek sapmalar kayıt altına alınır. Daha sonraki denetimlerde daha gerçekçi planlamaların yapılabilmesi amacıyla kullanılır Ön AraĢtırma Denetim süre planı formunun doldurulmasının ardından Ġç Denetçiler, denetlenecek alan hakkında yeterli ve güncel bilgi sahibi olmak amacıyla ön araģtırmalara baģlarlar. Bu esnada temel bilgilerin yanı sıra denetlenen alanla ilgili olarak güncel bilgilere sahip olmak da büyük önem taģımaktadır. Bu aģama, aģağıdaki hususlarda önemli bilgilerin ve uygulamaya yönelik tecrübelerin elde edilmesinden oluģur; ÖN ARAġTIRMA SIRASINDA BĠLGĠ SAHĠBĠ OLUNACAK HUSUSLAR Denetlenecek alan hakkında yeterli ve güncel bilgi sahibi olmak için Ġç Denetçiler tarafından yapılacak ön araģtırmada; 1) Denetlenecek alanın büyüklüğü, kapsamı, amaç ve hedefleri, 2) Denetlenecek alana iliģkin mevzuat, politika ve prosedürler, 3) Yetki devirleri ve paylaģımları, 4) Mevcut kontroller, 5) ĠĢ akıģ süreçleri, 6) Organizasyon ve yönetim yapısı, 7) Süreçte kullanılan bilgi teknolojileri hakkında malumat edinilir. Söz konusu bilgilere ulaģabilmek için kullanılabilecek bazı kaynaklar Ģunlardır; Sayfa 78 / 365

79 V1.0 ÖN ARAġTIRMADA FAYDALANILACAK KAYNAKLAR Denetlenecek alan hakkında yeterli ve güncel bilgi sahibi olmak için Ġç Denetçiler tarafından yapılacak ön araģtırmada; 1. Önceki denetimlere iliģkin rapor ve çalıģma kâğıtları, 2. DıĢ denetim ve diğer denetim birimlerince yazılmıģ raporlar, 3. ĠĢ/süreç akıģ Ģemaları, 4. Organizasyon Ģemaları, 5. Fonksiyon ve iģ/görev tanımları, 6. Faaliyet raporları. Bu safhada gerek görülmesi halinde denetlenecek birimin yöneticisi ve ilgilileriyle de görüģülebilir. Bu tür görüģmeler muhtemel sorunlar, hassas konular ve denetimde ihtiyaç duyulacak diğer alanlarda önemli bir bilgi kaynağı oluģturur. Ön araģtırmalar sırasında toplanan bilgiler denetlenen faaliyetlere iliģkin risk ve kontrollerin belirlenmesinde kullanılır. Ayrıca bu aģamada denetim ekibi tarafından denetimin amacı belirlenir. DENETĠM AMACININ BELĠRLENMESĠ Denetim amaçları, en geniģ manasıyla denetim görevi sonucunda ulaģılmak istenen sonuçların Ġç Denetçiler tarafından belirlenmesi olarak tanımlanabilir. Her bir denetim görevine iliģkin amaçların belirlenmesi standartlara uyum açısından zorunludur. Denetim görevinin amaçları belirlenirken, Ġç Denetimin Ġdarenin çalıģmalarına ve özellikle risk yönetimi, yönetiģim ve iç kontrol sistemlerine değer katması gerektiği hususu göz önünde bulundurulur. Denetimin, Ġdarenin faaliyetlerine ne gibi bir değer katacağı baģlangıçta çok iyi düģünülmelidir. Denetim amaçlarının belirlenmesinde dikkat edilmesi gereken diğer bir husus da, denetimde kullanılabilecek yeterli kriterlerin bulunmasıdır. Örneğin yeterli performans göstergelerinin belirlenmediği bir kurumda, sürecin verimliliğine ve etkililiğine ilişkin hususların denetim amacı olarak belirlenmesi halinde bu denetim amacına ulaşılması çok zor olabilecektir. Öte yandan iç kontrol sisteminin etkinliğini ve etkililiğini değerlendirmek Ģeklinde denetim amacı belirlenmiģ ise, denetim sonucunda bu sistemin dört amacını da kapsayacak Sayfa 79 / 365

80 V1.0 değerlendirmelere yer vermek gerekmektedir. Aksi halde denetim sonuçları ile denetim amacı arasında bir uyumsuzluk ortaya çıkacaktır. KĠDS 2210 Amaçlar, her bir denetim ve danıģmanlık görevi için belirlenmek zorundadır G1. Ġç Denetçiler, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmak zorundadır. Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmak zorundadır G2. Ġç Denetçiler, görevin amaçlarını belirlerken, önemli hatâların, suiistimallerin, mevzuata aykırılıkların ve diğer risklerin meydana gelme ihtimalini göz önüne almak zorundadır. ÖRNEK -ĠĢe alma sürecindeki kontrollerin etkililiği ve yeterliliğinin değerlendirilmesi -Doğrudan temin ve ihale yoluyla mal alımı iģlemlerinin etkili bir Ģekilde yürütülüp yürütülmediğinin belirlenmesi -Projelendirme çalıģmalarının teknik Ģartname, iģ programı ve diğer teknik esaslara uygun Ģekilde yürütüldüğünden emin olunması -Doğrudan temin ve ihale yoluyla temin edilen varlıkların korunup korunmadığının belirlenmesi -Bilgi teknolojileri faaliyetlerine iliģkin kaynakların güvenli ve sürekli bir Ģekilde hizmet verebildiğinden emin olunması AçılıĢ Toplantısı Ġç Denetçiler, ön araģtırmalar sonrasında denetlenen alan ile ilgili yeterli seviyede bilgiye sahip olduktan sonra denetlenecek birim yöneticileriyle bir toplantı yapar. Bu toplantıya ihtiyaç duyulması halinde diğer personel de katılabilir. Sayfa 80 / 365

81 V1.0 AÇILIġ TOPLANTISI AçılıĢ toplantısında aģağıdaki hususlar özellikle ele alınır: 1. Denetimin kapsamı, 2. Denetimin tahmini süresi, 3. Denetime yardımcı olacak personel, 4. Denetim sırasında çalıģanlardan beklentiler, 5. Ġdarenin denetimden beklentileri, 6. Denetim ekibi ile birim arasındaki iletiģimin nasıl gerçekleģtirileceği, 7. Denetimin sağlayacağı faydalar. Toplantıda ayrıca denetim süreci 11 hakkında genel bilgi verilir. Toplantı sonrasında ele alınan konular çalıģma kâğıdıyla kaydedilir Risklerin Belirlenmesi ve Değerlendirilmesi Risklerin Belirlenmesi Ġç Denetçiler, Ġdarenin yönetim ve kontrol yapılarına iliģkin değerlendirmelerini risk analizine dayalı olarak gerçekleģtirir. Yapılan risk değerlendirmeleri sonrasında Ġdarenin en riskli alanlarına odaklanılması gerekmektedir. Denetim görevleri yerine getirilirken denetim kaynağının imkân tanıdığı ölçüde yüksek riskli alanlara öncelik verilerek denetim testlerinin gerçekleģtirilmesi gerekmektedir. Bu doğrultuda risklerin belirlenmesi ve değerlendirilmesi için aģağıdaki aģamalar takip edilir Denetim Konusunun AnlaĢılması ve Birim/Faaliyet Amaçlarının Belirlenmesi Ön araģtırma aģamasında elde edilen bilgiler doğrultusunda denetlenen alanla ilgili olarak temel süreçlerin belirlenmesi ve bu süreçler arasındaki iliģkilerin tam olarak anlaģılması gerekmektedir. Bu amaçla iģ süreçlerini görsel hale getirmeye yarayan iģ akıģ 11 Risklerin belirlenmesi ve değerlendirilmesi, oluşturulan risk kontrol matrisi hakkında birimin bilgilendirilmesi, saha çalışmaları, bulguların oluşturulması ve paylaşımı, kapanış toplantısı, raporlama, denetim görüşü verilecekse bu görüşün nasıl oluşturulacağı, izleme süreci (önemli risklerin üst yöneticiyle paylaşılmasını da içerecek şekilde) ve bulgulara ilişkin eylemlerin uygulanmaması halinde konu ile risklerin kabul edilmiş sayılacağı vb. Sayfa 81 / 365

82 V1.0 Ģemaları kullanılabileceği gibi, süreç aģamalarının yazılı olarak gösterildiği tablolardan da faydalanılabilir. ĠĢ akıģ Ģemaları hazırlanırken rahat anlaģılabilir olmasına ve mümkün olduğunca aģırı detaylardan kaçınılmasına dikkat edilmesi, denetim sırasında önemli hususlara odaklanılması açısından faydalı olmaktadır. ġemaların oluģturulmasında birim içinde standart sembollerin kullanılmasına dikkat edilmelidir. (Ek-14: Standart ĠĢ AkıĢ Sembolleri) Süreç değerlendirilirken; süreç içinde rol alan kiģi ve birimlerin rol ve sorumluluklarının açıkça belirlenip belirlenmediği, sürecin diğer süreçlerle iliģkileri, sürecin hangi amaca ne gibi bir katkısı olduğu, sürdürülebilir olup olmadığı, sürecin çıktılarının herhangi faaliyete girdisinin olup olmadığının incelenmesi yararlı olacaktır. Ayrıca sürecin sistematik olarak uygulanıp uygulanmadığı, süreçte istisnai durumların var olup olmadığına bakılması uygun olacaktır. (Ek-15: Bilgi Toplama Formu) Buna ilave olarak süreç ve alt süreçlerin amaç ve hedeflerinin tam olarak tespit edilmesi gerekmektedir. Risklerin belirlenebilmesi, değerlendirilebilmesi ve öncelik sırasına konulabilmesi mutlak surette amaç ve hedefler ile iliģkilendirilebilmesine bağlıdır. Denetlenecek sürecin/birimin amaçları tam olarak ortaya konulmadan yapılacak risk değerlendirmesi yanlıģ sonuçlar verecektir. Bu amaçların kurum tarafından daha önceden belirlenmemesi halinde yönetim ile birlikte çalıģılarak amaçların belirlenmesi gerekmektedir. Bu amaç ve hedeflerin belirlenmesi sırasında Ġdarenin stratejik plan ve performans programları göz önünde bulundurulur. Bu aģamada ayrıca KĠK Saçısından denetlenen süreç değerlendirilerek, KĠKS te mevcut olan ancak denetlenen süreçte var olmayan kontrol standartları tespit edilir. Var olmayan kontrol standartlarının ilgili süreç açısından önemli bir risk oluģturup oluģturmadığı değerlendirilir ve ayrıca oluģturulacak risk kontrol matrisinde bu durumun etkileri göz önünde bulundurulur. ÖRNEK Satın alma sürecinde hassas pozisyon analizinin yapılmaması (KĠKS 2.6) ve bunun sonucunda satın alma birimi bünyesinde uzun yıllar görev alanların yerlerinin değiģtirilmemesi, söz konusu personelin firmalarla uygunsuz iliģkilere girmesine neden olabilir. Bu durumda yıllar içinde aynı firmalardan yapılan satın alımlar özel olarak denetim testlerine tabi tutulacağı gibi, belirlenen risklerin gerçekleģme olasılığının daha fazla olduğu değerlendirmesi de yapılabilir. Bu karģılaģtırma yapılırken KĠKS in tamamının her bir süreçte aynı ölçüde geçerli olmadığı hususu göz önünde bulundurulur. Örneğin denetlenen Sayfa 82 / 365

83 V1.0 bir süreç tamamen evrak üzerinden yürüyorsa bilgi sistemleri kontrollerine iliģkin 12 no.lu Standart ile ilgili hiçbir değerlendirme yapılmasına gerek yoktur Riskli Alanların Tespit Edilmesi Denetlenen bir süreçte veya denetim yapılan bir birimde birden fazla alt süreç bulunabilir. Bu alt süreçlerin tamamının denetim kaynağı kısıtı nedeniyle kapsanmasının mümkün olmadığı durumlarda, denetim yapılacak alt süreçlerin belirlenmesi içinde risk değerlendirmesi yapılır. Bu kapsamda yapılacak risk değerlendirmesinde, makro risk değerlendirmesinde kullanılan risk faktörleri kullanılabileceği gibi, alt süreçlerin hangilerinin daha fazla risk barındırdığına iliģkin daha özel risk faktörleri belirlenerek bunlar kullanılabilir veya analitik inceleme prosedürlerinden faydalanılabilir. ÖRNEK Örneğin bir ay gibi kısa bir süre içinde satın alma sürecinin denetimi görevi verilen bir Ġç Denetçi, satın alma sürecini üç alt sürece ayırarak bunlarla ilgili bir risk değerlendirmesi yapar, bu değerlendirme sonrasında en riskli bulunan alanlarda denetim testlerini uygular. Burada Ġç Denetçi, harcama ve iģlemlerin karmaģıklığı gibi risk faktörlerini kullanarak yapım iģlerinin daha riskli olduğuna karar verebilir ve bu iģlere yoğunlaģabilir. Ancak sürece özel risk faktörleri uygulayarak (iptal/ģikâyet oranı) mal alımı iģlemlerinin daha riskli olduğunu değerlendirip bu iģlemlere de yoğunlaģabilir. Hangi yöntemin en uygun olduğuna Ġç Denetçi ve DGS birlikte karar vereceklerdir. Ġkinci yöntemin tercih edildiği durumda Ġç Denetçiler, Kamu Ġhale Ġdarenin doğru ve sağlıklı bir Ģekilde karar verdiğini varsaymaktadırlar. Sayfa 83 / 365

84 V1.0 Alt Süreç Harcama(TL) Toplam Ġhale Sayısı (20xx) ġikâyet Edilen Ġhale Sayısı (20xx) Kamu Ġhale Kurumu Tarafında n Ġptal Edilen Ġhale Sayısı (20xx) Yapım ĠĢleri Hizmet Alımları Mal Alımları Bir sürecin birden fazla taģra biriminde yürütüldüğü ve bu birimlerin tamamının yerinde incelenmesinin mümkün olmadığı durumlarda da benzer analizler yapılarak daha riskli olduğu düģünülen taģra birimlerinde yerinde incelemeler yapılabilir. Denetim kaynağı kısıtı nedeniyle denetim görevi kapsamına alınmayan alt süreçlerle ilgili denetim raporunun kapsam bölümünde bilgi verilmeli, bu durumun gerekçelerine ise çalıģma kâğıtlarında yer verilir. Bunun yanında makro risk analizinin güncellenmesi için, denetim görevi sırasında ilgili denetim alanından çıkartılan (denetim kapsamına alınmayan) alt süreçler için ayrı bir denetim alanı oluģturulmalı ve bu kapsamda denetim evreni güncellenmelidir. GÖREV KAPSAMI Denetimin kapsamının, denetim amaçlarına ulaģmayı sağlayacak Ģekilde belirlenmesi gereklidir. Kapsamın belirlenerek süreç içerisinde denetlenecek faaliyetler ile denetlenmeyecek faaliyetler tam olarak ortaya konmaya çalıģılmaktadır. Ġç Denetim programı sırasında denetim kapsamı içerisinde yer alan faaliyetler, ön çalıģmalar sırasındaki risk değerlendirmeleri doğrultusunda netlik kazanarak nihai haini almaktadır. Denetim Sayfa 84 / 365

85 kapsamı; denetlenecek birim, faaliyet ve iģlemlerin tarih aralığı olarak belirlenir. V1.0 Bu tarih aralığının belirlenmesinde denetimin gerçekleģtirildiği tarihe mümkün olduğunca yakın dönemlerin seçilmesi Ġç Denetimin sağlayacağı katkı açısından önem arz etmektedir. Eğer farklı bir tarih aralığı seçilmiģse, bu durumun gerekçeleri çalıģma kâğıtlarında açıklanır ve kapsanan dönem raporda belirtilir. Denetim kapsamı belirlenirken dikkat edilmesi gereken bir hususta denetlenen alanla ilgili olarak makul bir görüģ oluģturmaya yetecek seviyede önemli (kilit) kontrollerin değerlendirilmiģ olması gerekmektedir. ÇalıĢma planının hazırlanması aģamasında denetim kapsamı ve iģ programı belirlenirken bu tip kontrolleri dıģarıda bırakmayacak Ģekilde kapsamın belirlenmesi yerinde olacaktır. Denetim kapsamına iliģkin önemli sınırlandırmaların mutlak surette kayıt altına alınması ve denetim raporunda bu sınırlamalara yer verilmesi gereklidir. Örneğin, sürecin tamamen bilgi sistemleri üzerinde yürütüldüğü bir faaliyete ilişkin denetimde söz konusu sisteme ilişkin kontroller denetlenmemişse, bu durum kapsam metninde ifade edilmelidir Risklerin Belirlenmesi ve Değerlendirilmesi Riskin en temel özelliği, geleceğe dönük olarak olasılık ve etkilerinin bir belirsizlik içermesidir. Risk faktörleri bu belirsizliği arttırırken Ġdarenin uygulamıģ olduğu kontroller riskin gerçekleģmesini (risk vakasının ortaya çıkmasını engelleme ya da olumsuzlukları azaltma) önlemeye çalıģmaktadır. Ġç Denetçilerin bu sistematik içerisinde riskleri belirlemesi gerekmektedir. Riskler, denetlenen birim çalıģanlarının da riskin olasılık ve etkilerini anlayabilecekleri Ģekilde açık ve anlaģılabilir bir dille ifade edilmelidir. Riski ortaya çıkaran olay ve etkileri neden-sonuç iliģkisi içerisinde ortaya konmalıdır. Riskler belirlenirken sürecin amacına ulaģmayı engelleyecek hususlar nelerdir?, Hata ve suiistimale açık alanlar hangileridir? soruları cevaplandırılmaya çalıģılır. Bu aģamada faaliyetin yürütüldüğü ortama mahsus sorunlar ile bu faaliyeti yürüten birimlerin maruz kaldığı problemler de göz önünde bulundurulur. Denetim ekibi tarafından tüm bu hususlar ortaya konduktan sonra, ortak yürütülen çalıģmalarla (beyin fırtınası Ģeklindeki toplantılar) daha kapsamlı ve tutarlı olarak dokümante edilmeye çalıģılır. Bu çalıģmalara, denetim ekibinin tamamının veya büyük çoğunluğunun katılması ve üzerinde mutabık kalınan risklerin risk kütüğüne tek bir elden kaydedilmesi, çalıģmalardaki uyumu arttıracağı gibi ortak tecrübenin daha sonraki denetimlere sağlıklı bir Ģekilde aktarılmasını sağlayacaktır. Sayfa 85 / 365

86 V1.0 Ġlk defa denetlenen alanlarda oldukça uzun süren bu çalıģmalar sonraki denetimlerde daha kısa sürede tamamlanabilmektedir. Ancak sonraki denetimlerde yalnızca önceki denetimlerde kaydedilen risklere odaklanılmamalı, zaman içerisinde ortaya çıkan değiģikliklere iliģkin riskler de dikkate alınmalıdır. Risklerin belirlenmesi aģamasında denetlenen birimin de sürece dâhil edilmesi denetim sonuçlarının denetlenen birim tarafından da benimsenmesine ve ayrıca risklerin daha kapsamlı Ģekilde belirlenmesine katkıda bulunacaktır. Bu doğrultuda denetlenen birim tarafından gerçekleģtirilmiģ olan risk yönetimi faaliyetleri sonuçlarından da risk değerlendirme çalıģmalarında faydalanılabilir, ancak bu durum Ġç Denetçilerin mesleki sorumluluklarını ortadan kaldırmaz. DĠKKAT Risklerin belirlenmesi ve değerlendirilmesi aģamasında çok önemli bir baģka konu, denetim konusu süreç/birimde yaģanması olası usulsüzlük ve suiistimal risklerinin belirlenmesi ve değerlendirilmesidir. Denetim ekibinin bu usulsüzlük ve suiistimal risklerini göz ardı etmesi KĠDS na aykırılık teģkil edecektir. ÖRNEK MaaĢ ödemeleri ile ilgili riskler belirlenirken, çift bordro hazırlanması veya sistem çıktıları ile bankaya elektronik ortamda hazırlanan maaģ listesinin farklı düzenlenmesi; harcırah ödemeleri ile ilgili gerçeğe aykırı beyanda bulunma; eğitim faaliyetlerine katılım sağladığı halde denetim harcırahı almak için ilgili Ġç Denetçinin yanlıģ beyanda bulunması; ihale süreci ile ilgili belirli yüklenicilere ayrıcalık tanınması gibi risklerin göz ardı edilmemesi gerekir. Risklerin belirlenmesi aģamasında bazı risklerin birden fazla amaç veya hedef ile iliģkili olduğu tespit edilebilir. Ancak bahse konu risklerin her bir amaç veya hedefe dönük olarak ayrı ayrı değerlendirmeye tabi tutulması yerinde olacaktır, çünkü aynı riskin farklı amaçlara ulaģılmasını etkileme seviyeleri farklı olabilmektedir. Sayfa 86 / 365

87 V1.0 ÖRNEK Muhasebe kayıtlarının yetkisiz kiģiler tarafından değiģtirilmesi; varlıkların korunması açısından düģük bir risk iken, üretilen bilgilerin doğruluğu açısından daha yüksek seviyede öneme sahip olabilir. Riskler ifade edilirken öncelikle genel ifadelerin kullanılmasından kaçınılması gerekmektedir. ÖRNEK Karayolları Genel Müdürlüğünün yürüttüğü bir projede tünel riski veya hatalı ölçüm riski gibi ifadelerin kullanılması riskin tam olarak anlaģılmasını zorlaģtıracaktır. Bunun yerine Yapılan hatalı ölçüm neticesinde tünelde çökme veya yıkılmaların yaģanması ve bunun sonucunda mevcut yolun ya da insanların zarar görmesi gibi bir ifade kullanmak daha faydalı olacaktır. Burada riski ortaya çıkaran faktör hatalı ölçüm, ortaya çıkan olay tünelin çökmesi, bu olayın muhtemel sonuçları yolun ya da insanların zarar görmesi Ģeklinde sistematik olarak ortaya konmuģtur. Risklerin belirlenmesinde sıkça karģılaģılan hatalar: AMAÇ: Ankara-Ġzmir Karayolunun maliyet etkin bir Ģekilde zamanında tamamlanması EKSĠK VEYA HATALI RĠSK Kara yolunun zamanında tamamlanamaması, Karayolunun yüksek maliyetle gerçekleģtirilmesi Yılı içerisinde ödeneğin kullanılamaması, Planlamalardan önemli sapmaların yaģanması YAPILAN HATA Riskler, genellikle, amaç veya hedeflerin olumsuz hali olarak tanımlanmaktadır. Riskler, yalnızca ortaya çıkan sonuçlar olarak tanımlanmaktadır. Sayfa 87 / 365

88 V1.0 Yetersiz yol bakım hizmetleri, Dinlenme tesislerinin yetersizliği Amaçla doğrudan ilgisi olmayan riskler tanımlanmaktadır. Belirlenen bu risklerin Risk Sınıflandırma Tablosuna (Ek-4: Risk Sınıflandırma Tablosu) uygun olarak tasnif edilmesi, tüm risklerin sistematik ve etraflıca düģünülmesine yardımcı olmasının yanı sıra risklerin toplulaģtırılmıģ halde gösterilmesinde ve mukayeseli karģılaģtırmaların yapılmasında kullanılabilecektir. Risklerin belirlenmesinin ardından risklerin değerlendirilmesine baģlanır. Her bir riskin olasılık ve etki değerlendirmesi yapılır. Olasılık bir riske iliģkin olayın ya da koģulların ortaya çıkması ihtimalini, etki seviyesi ise o olayın ya da Ģartların ortaya çıkması halinde karģılaģılacak sorunların büyüklüğünü ifade etmektedir. Olasılık ve etki seviyeleri 5 li bir sınıflandırma (Çok Yüksek, Yüksek, Orta, DüĢük ve Çok DüĢük) doğrultusunda değerlendirmeye tabi tutulur. Bu değerlendirmelerde ekte (Ek-5: Olasılık ve Etki Değerlendirme Skalası) yer alan skala kullanılabilir. Risk değerlendirmesi yapılırken denetlenen sürecin her bir alt sürecinin de özel olarak değerlendirilmesi gerekmektedir Kontrollerin Belirlenmesi ve Değerlendirilmesi Risk değerlendirmesinin tamamlanmasının ardından bu risklere yönelik mevcut kontrollerin belirlenmesi ve değerlendirilmesi aģamasına geçilmektedir. Kontroller, risklerin gerçekleģme olasılığını ya da gerçekleģmesi halinde ortaya çıkabilecek etkileri en aza indirmeye yönelik alınan her türlü önlemlerdir. Bu önlemler kurum tarafından belirlenen alt seviye mevzuat olabileceği gibi, faaliyetle ilgili kullanılan biliģim teknolojileri de olabilir. Ancak burada dikkat edilmesi gereken bir husus; kontrollerin mevcut faaliyetleri yürütmek için tasarlanmıģ olan sürecin bir parçası olduğudur. KONTROLLER Kontroller, Ġdarenin amaçlarına ulaģmasına yardımcı olmak amacıyla geliģtirilirler, yoksa kurumlara tanınan görev ve yetkileri sınırlandırmaya ya da müdahale etmeye dönük araçlar değillerdir. Kontroller, ilgili kanun ve mevzuat uyarınca kurumlara verilmiģ olan yetkilerin yine ilgili mevzuat tarafından kendilerine çizilmiģ olan o çerçeve içerisinde kullanılmasını sağlarlar. Bu nedenle kuruma tanınan bu yetkileri sınırlandırıcı kontrol Sayfa 88 / 365

89 önerilerinin yapılmaması önemlidir. V1.0 Kontroller belirlenirken; dosyaların güvenli bir yerde saklanması, evrakların belirli bir sıra numarası içerisinde kaydedilmesi, hiyerarģik yönetim kademeleri gibi belli kontrol faaliyetleri ele alınabileceği gibi, usul ve esasların belirlendiği yönetmelik veya yönergelerin ilgili hükümleri de riskin içeriğine bağlı olarak kontrol gibi nitelendirilebilir. ġekil 5.1. Risk ve Kontrollerin Belirlenmesi Süreci Kontrollerin tamamının tek tek gözden geçirilmesine gerek yoktur. Risk değerlendirmesi sonuçları bize hangi kontrollere yoğunlaģmamız gerektiği konusunda yardımcı olur. Özellikle olasılık ve etkisi yüksek risklere iliģkin kontrollere odaklanılması kaynakların etkin kullanımı açısından önemlidir. Daha sonra bu risklere iliģkin kontrollerin hangilerinin kilit/anahtar kontrol olduğu değerlendirilir. Kontrolün çalıģmaması halinde yürütülen faaliyetin sekteye uğraması, mali kayıpların ortaya çıkması gibi hususlar yaģanması muhtemel ise bu kontroller kilit kontrollerdir. Saha çalıģması aģamasında kilit kontrol olarak kabul edilen tüm kontroller denetim testlerine tabi tutulmalıdır. Sayfa 89 / 365

90 Tablo 5.1. Kontrollerin Testi V1.0 ETKĠ OLASILIK RĠSK PUANI Ġlgili Kontrollerin Test Edilip Edilmeyeceği Çok DüĢük Çok DüĢük 1 Hayır Çok DüĢük DüĢük 2 Hayır Çok DüĢük Orta 4 Hayır Çok DüĢük Yüksek 7 Hayır Çok DüĢük Çok Yüksek 11 Yeterli Kaynak Varsa DüĢük Çok DüĢük 2 Hayır DüĢük DüĢük 5 Hayır DüĢük Orta 8 Hayır DüĢük Yüksek 12 Yeterli Kaynak Varsa DüĢük Çok Yüksek 16 Yeterli Kaynak Varsa Orta Çok Yüksek 20 Evet Yüksek Yüksek 21 Evet Yüksek Çok Yüksek 23 Evet Çok Yüksek Çok DüĢük 15 Yeterli Kaynak Varsa Çok Yüksek DüĢük 19 Evet Çok Yüksek Orta 22 Evet Çok Yüksek Yüksek 24 Evet Çok Yüksek Çok Yüksek 25 Evet Sayfa 90 / 365

91 V1.0 Not: Bu tablodaki risk puanlarının belirlenmesinde Rehberin ekinde yer alan Risk Analiz Modelinden faydalanılmıştır. Söz konusu tabloda Yeşil alanlar test yapılmasına gerek olmayan bir kontrolü; Sarı alanlar yeterli kaynak varsa test yapılması gereken bir kontrolü; Kırmızı alanlar ise mutlaka test yapılması gereken bir kontrolü göstermektedir. Bu aģamada ayrıca saha çalıģması sırasında test edilmesine karar verilen kontroller belirlenir. Örneğin orta ve yüksek riskli alanlarda yalnızca kilit (anahtar) kontrollerin test edilmesine karar verilebilir. Ġç Denetçilerin, ön çalıģmalar sırasında bazı risklerin etkilerinin ve/veya gerçekleģme olasılıklarının düģük olduğuna karar vermeleri halinde, bu alanların test edilmesinin gerekmediğine karar verilerek bu alanlarla ilgili testler belirlenmeyebilir. Özellikle denetim kaynağı sınırlı ĠDB de düģük riskli görülen alanlarla ilgili test yapılmaması daha doğru bir yaklaģım olacaktır. Kontrolün ilgili olduğu riskle ilgili hangi iģlevi (örneğin önleyici, tespit edici gibi)yerine getirdiği değerlendirilir. Burada amaç kontrolün daha iyi anlaģılması, daha sağlıklı denetim önerilerinin yapılmasını sağlamaktır. Önleyici kontroller, hata ya da usulsüzlüklerin ortaya çıkmasını engellerken; tespit edici kontroller, gerçekleģmiģ olan hata ya da usulsüzlüklerin belirlenmesini sağlayan kontrollerdir. Böylelikle tespit edilen hata ya da usulsüzlüklerin düzeltilmesi sağlanır. Ayrıca yönetimin bunların tekrar ortaya çıkmasını engelleyecek kontrolleri belirleyebilmesine olanak sağlar. Ayrıca kontrollerin otomatik olarak mı yoksa manüel olarak mı çalıģtığı belirlenir. Otomatik kontroller uygulama kontrolleri aracılığıyla insan hatalarını daha aza indirmesi, zorunlu ve tutarlı bir Ģekilde tüm iģlemlerde uygulanması ve detaylı raporların alınabilmesi avantajlarından ötürü daha güvenilir olarak değerlendirilmektedir. Ancak bu kontrollerin uygun bir Ģekilde çalıģıp çalıģmadığı mutlaka kontrol edilmelidir, çünkü yanlıģ tasarlanması halinde tüm iģlemlerin yanlıģ bir Ģekilde iģlemesine yol açabilmektedir. Bu tip kontrollerin değerlendirilmesinde, bilgi teknolojileri denetimi konularında uzmanlaģmıģ Ġç Denetçiler den faydalanılması yerinde olacaktır. Belirlenen kontrollerin kaydı yapılarak değerlendirme aģamasına geçilir. (Ek-21: Kontrol Kaydı) Kontrollerin değerlendirilmesi iki aģamada gerçekleģtirilmektedir. 1. Tasarımın Değerlendirilmesi: Öncelikle kontrolün tasarımının ilgili oldukları riskleri karģılamayıp karģılamadığı değerlendirilir. Bu değerlendirmede aģağıdaki sorulardan faydalanılabilir. KONTROL TASARIMLARININ DEĞERLENDĠRĠLMESĠNDE AġAĞIDAKĠ SORULARA CEVAP ARANIR Sayfa 91 / 365

92 1) Kontrol hata veya usulsüzlüklerin ortaya çıkma olasılığını yeterli seviyede azaltmakta mıdır? V1.0 midir? 2) Kontrol ilgili olduğu riskin gerçekleģmesi halinde etkilerini en aza indirmekte 3) Kontrol hata veya usulsüzlüklerin ortaya çıkması halinde bunları tespit edebilmekte midir? 4) Kontrol süreç içerisinde doğru aģamada mı yer almaktadır? 5) Kontrolün uygulanma sıklığı doğru belirlenmiģ midir? Mümkün olduğunca bu soruların ön çalıģma sırasında cevaplandırılmaya çalıģılması risk kontrol değerlendirmelerinin daha sağlıklı yapılmasına yardımcı olacak ve saha çalıģmalarında yapılacak testlerin daha doğru belirlenmesini sağlayacaktır. Ancak ön çalıģma sırasında bu sorulara olumlu ya da olumsuz cevap verilememesi halinde, bu soruların saha çalıģması sırasında cevaplandırılarak kontrol tasarımının değerlendirilmesi mümkündür. Saha çalıģması sırasında yapılan test sonuçlarına göre, kontrol tasarımına iliģkin ön çalıģmalar sırasında yapılan değerlendirmelerin güncellenmesi de mümkündür. Bir kontrolün tasarımına yetersiz denilmesi halinde, mutlaka gerekli testlerin yapılması ve bu tasarım eksikliğinin çıkardığı sorunlar ortaya konmalıdır. GeçmiĢte herhangi bir sorun yaģanmamıģ olması halinde, ön çalıģmalar sırasında belirlenmemiģ telafi edici bir kontrolün olup olmadığı araģtırılmalıdır. Ayrıca bu durumun ortaya çıkaracağı muhtemel sorunlar çok net ortaya konulabilmelidir. Ġdare açısından hiçbir sorun oluģturmamıģ kontrol tasarımındaki zafiyetlerin önem seviyesi yüksek bulgu olarak değerlendirilmemesi gerekmektedir. Önerilen kontrollerin her zaman maliyet etkin olması için çaba gösterilmelidir. 2. Uygulamanın Değerlendirilmesi: Daha sonra özellikle kritik kontrollerin istenilen Ģekilde çalıģıp çalıģmadığı veya ne kadar farklı çalıģtığı iz sürme yöntemiyle ön bir değerlendirmeye tabi tutulur. Böylelikle kritik kontrollerin daha iyi anlaģılması ve testlerin tam ve doğru olarak belirlenmesi sağlanır. Bu amaçla denetlenen faaliyet veya süreçle ilgili en az bir iģlem, olay veya bir baģvuruyla ilgili dokümanlar rutin iģ akıģ süreci içerisinde baģından sonuna kadar tek tek gözden geçirilir ve kayıt altına alınır. Bu gözden geçirme sırasında ihtiyaç duyuldukça belge ve dokümanları hazırlayan kiģilerle görüģülerek bilgi alınır. Ġlgililerin kontrolleri tam olarak anlayıp anlamadıkları ve herhangi bir sorun ile karģılaģtıklarında ne yaptıkları öğrenilmelidir. Ayrıca iģ akıģ süreci içerisinde yer alan belgelerin içerdiği bilgiler dikkate alınmalıdır. Bu bilgilere gerçekten ihtiyaç duyulup duyulmadığı, iģ akıģını etkileyip etkilemediği ya da mükerrerlik olup olmadığı gibi hususlar gözden geçirilmelidir. Elde edilen bu bilgiler doğrultusunda test Sayfa 92 / 365

93 V1.0 stratejileri belirlenmeli ve saha çalıģması sırasında uygun ve yeterli denetim kanıtlarının toplanması gerekmektedir. Yalnızca bir iģ akıģının incelenmesi neticesinde denetim sonuçlarına ulaģılmamasına özen gösterilmelidir. Kontrollere iliģkin ilk değerlendirmelerde ve daha sonraki test aģamasındaki değerlendirmelerde söz konusu kontrollerin uygulanmasının sağladığı faydanın maliyetinin üstünde olup olmadığı araģtırılmalı; aģırı, mükerrer ya da riskin önem seviyesiyle uyumsuz kontrol faaliyetlerinin bulunup bulunmadığı incelenmelidir. Kötü tasarlanmıģ kontroller, faaliyetleri aksatacağı gibi gereksiz iģ yığılmalarına da sebebiyet vermektedir. Ayrıca yöneticilere faaliyetlerin sorunsuz iģleyeceği güveni uyandırarak yanlıģların ortaya çıkmasına neden olabilmektedir. Kontrollerin değerlendirilmesinde gözden kaçırılmaması gereken önemli bir husus da, farklı büyüklükteki Ġdarenin veya birimlerin benzer risklere yönelik farklı kontrol mekanizmaları geliģtirebilecekleridir. Örneğin görevlerin ayrılığı ilkesine uyum çok küçük bir birim için mümkün olamaması nedeniyle birim amirinin yürütülen faaliyetleri doğrudan izlemesi yeterli bir kontrol faaliyeti olabilir. Bir riske yönelik yalnızca bir kontrol olabileceği gibi, birden fazla kontrolün söz konusu riskle iliģkili olması da muhtemeldir. Ayrıca bir kontrolün de birden fazla riskle iliģkili olması mümkündür. Bu yüzden her bir kontrolün tasarımı ve uygulaması ayrı ayrı incelendikten sonra bir bütün olarak da iliģkili oldukları riskleri karģılamada yeterli olup olmadıkları değerlendirilmelidir. Bu amaçla kontrollerin ilgili oldukları kontrol standartlarının belirlenmesi kontrol boģlukların tespit edilmesinde yararlı olabilecektir. ÖRNEK RĠSK: TaĢınırların Çalınması/Kaybolması KONTROL TEDBĠRĠ 1. Her taģınıra bir sorumlu belirlenmesi (ÖNLEYĠCĠ) 2. TaĢınırların periyodik olarak sayılması (TESPĠT EDĠCĠ) 3. Ġlgili taģınırın kaybolması sonucu zararın ilgilisinden tazmin edilmesi (TELAFĠ EDĠCĠ) Sayfa 93 / 365

94 RĠSK: Ġhtiyacın gerçek olmaması nedeniyle gereksiz alımların yapılması KONTROL TEDBĠRĠ 1) Satın alma taleplerinin yalnızca yetkili personel tarafından yapılması (ÖNLEYĠCĠ) 2) Mal alımlarında talep ön Ģartı olarak stok eģik değerleri belirlenmesi (ÖNLEYĠCĠ) 3) Satın alımlara ait verilerin dönemsel olarak izlenmesi ve olağanüstü sapmaların araģtırılması (TESPĠT EDĠCĠ) V Denetim Testlerinin Belirlenmesi Denetim testlerinin amacı süreçlerde varolduğu anlaģılan kontrollerin öngörüldüğü Ģekilde çalıģıp çalıģmadıklarının anlaģılmasıdır. Bu aģamada Ġç Denetçiler tarafından, hangi kontrollerin nasıl test edileceği belirlenir. Belirlenecek test yöntemi testin hedefine bağlı olarak değiģmektedir. KİDS 2240 İç denetçiler, görevin niteliği, karmaşıklığı, süre kısıtı ve mevcut kaynakları dikkate alarak görevin amaçlarına ulaşmak için uygun ve yeterli kaynakları belirlemek zorundadır. KİDS 2310 İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri belirlemek zorundadır. I.Testin Hedefi: Bir kontrolün etkili bir Ģekilde çalıģıp çalıģmadığının belirlenmesi ise, uygulanacak test, seçilen örnekler üzerinden söz konusu kontrolün her örnekte uygulanıp uygulanmadığının incelenmesidir. Bir taģınırın var olup olmadığının belirlenmesi (veya bir iģin yapılıp yapılmadığının belirlenmesi) ise, uygulanacak test, taģınırın var olup olmadığının gözlemlenmesidir. Bir rapordaki bilgilerin doğruluğunun araģtırılması ise, uygulanacak test, bu bilgilerin dayandığı kaynakların belirlenerek doğrulanmasıdır. II. Risk: Sayfa 94 / 365

95 V1.0 Yüksek seviyede bir riskin gerçekleģme olasılığını azaltan bir kontrol daha fazla güvence veren test yöntemleri gerektirmektedir. Dolayısıyla yüksek seviyedeki riskle iliģkili bir kontrolün testinde gözlem, belge inceleme gibi daha güçlü kanıtlara ulaģılmasına imkân verecek yöntemler kullanılmalıdır. III. Testin yapılması için ihtiyaç duyulan kaynaklar: Güçlü denetim kanıtlarının oluģturulmasına yardımcı olan test yöntemleri aynı zamanda daha fazla zaman (belli durumlarda uzman desteği) gerektirmektedir. Konuyla ilgili risk bu kaynak kullanımını destekleyecek seviyede değilse daha az maliyetli yöntemler tercih edilmelidir. DĠKKAT Denetim görüģü verilebilmesi için gerek ön çalıģmalar sırasında gerekse saha çalıģması sırasında görüģün içeriğinde yer alan hususlarla ilgili olarak mutlaka yürütülmesi gereken testlerin belirlenmesi gereklidir. Bu testler sonucu, ilgili kontrollerin etkili ve etkin bir Ģekilde çalıģıp çalıģmadıklarına yönelik bilgi ve kanıtların toplanması amaçlanmaktadır. Bu kapsamda, kanıt ve bilgi toplanmasında kullanılan yöntemlerden (yeniden hesaplama, gözlem, doğrulama, görüģme, evrak inceleme, yerinde gözlem, anket, analitik inceleme ve araģtırma gibi) yukarıdaki ilkeler çerçevesinde en uygun olanları kullanılır. (Ek-23: Kanıt ve Bilgi Toplama Teknikleri) Uygunluk denetiminde dikkat edilecek husus, sistem yapısının ve kontrollerin tasarımının genel olarak mevzuatta düzenlenmiģ olmasıdır. Bu nedenle uygunluk denetimlerinde kontrollerin test edilmesinde Ġç Denetçiler, hazırlamıģ oldukları kontrol listelerinden yararlanabilir. Uygunluk denetiminde hedef iģlemlerin mevzuata uygunluğu olmasından dolayı, kontrolün çalıģıp çalıģmadığının yanı sıra kontrolle güvence altına alınmıģ iģlemin doğruluğunun da test edilmesi gerektiğidir. ÖRNEK Ġhale sürecinde yaklaģık maliyet tespit tutanağı, yaklaģık maliyetin ilgilerce düzenlendiğini gösteren bir kontroldür. Bu kontrolün çalıģıp çalıģmadığının tespiti için yaklaģık maliyet tespit tutanaklarında ilgili yetkilinin onayının bulunup bulunmadığının (imzaları) test edilmesi gerekir. Bununla birlikte yapılan risk Sayfa 95 / 365

96 V1.0 değerlendirmesi sonucunda, yaklaģık maliyetin tespitinde tecrübesiz personelin bulunması veya daha önce yaģanmıģ usulsüzlükler nedeniyle yüksek riskli değerlendirilmesi durumunda, yaklaģık maliyetin ihale mevzuatına uygun olarak tespit edildiğinin kanıtlanması için yaklaģık maliyetin doğru bir Ģekilde belirlenip belirlenmediğinin ayrıca test edilmesi gerekmektedir Risk Kontrol Matrisinin Tamamlanması Risk ve kontrollere iliģkin değerlendirmeler sonucunda Risk Kontrol Matrisi ortaya çıkmaktadır. (Ek-6: Risk Kontrol Matrisi) Risk kontrol matrisinde; (1) denetlenebilir alanlara/alt süreçlere, (2) bu alanlara iliģkin risklere, (3) bu risklere yönelik kontrollere ve (4) testlere iliģkin bilgilere yer verilmektedir. ĠDB risk kontrol matrisinde yer almasını istediği alanları aģağıdaki liste doğrultusunda belirleyebilmektedirler. Risk kontrol matrisinin bu aģamada denetlenen birim yönetimiyle paylaģılması ve görüģleri alınarak gözden geçirilmesi iyi bir uygulamadır. DENETLENEBĠLĠR ALAN SÜREÇ RĠSK KONTROL TEST Adı Tür (Otomatik/Manüel) Alt-Süreç / Faaliyet / Proje Adı Amaç Adı Risk Türü Açıklama Puanı Tür (Kilit / Telafi Edici) Tür (Önleyici / Tespit Edici) Seviyesi 12 (Kurumsal / Birim / Süreç) Adı Açıklama Sıklığı 13 Ġlgili Kamu Ġç Kontrol Standardı 12 Buna ilave olarak kontrollerin kurumsal, birim veya işlem düzeylerinin belirlenmesinin kontrol ile ilgili yapılacak değerlendirmelerde yararlı olacağı öneri ve önerinin muhatabını destekleyebilir. 13 Kontrolün yıllık, aylık, haftalık, günlük yapılması sıklığını ifade eder. Sayfa 96 / 365

97 ÇalıĢma Planı ve Görev ĠĢ Programının Onaylanması V1.0 ÇalıĢma planı; denetimin amaç, kapsam ve yöntemi gibi temel bilgilerin nihai hale getirildiği, denetim testlerinin ve gerçekleģtirilecekleri tarihlerin görev iģ programı ile belirlendiği aģamadır. Ön KİDS 2240 İç denetçiler, görev amaçlarına ulaşmalarını sağlayacak iş programları hazırlamak ve kayıtlı hale getirmek zorundadırlar. çalıģmalar sırasında elde edilen bilgiler doğrultusunda denetim amaçları ile kapsamı gerekiyorsa güncellenir. ÇalıĢma planında, denetim ön çalıģmaları neticesinde denetlenen birim ve faaliyetlerle ilgili temel bilgiler özet bir Ģekilde (iki paragrafı aģmayacak Ģekilde) (raporda yer alacağı Ģekilde) kayıt altına alınmalıdır. Bu kısımda ayrıca, daha önceki denetim ve izleme çalıģmaları sonucunda edinilen ve denetim ile ilgili olduğu düģünülen önemli bilgilere de yer verilebilir. Ġç Denetim Birimi BaĢkanı tarafından onaylanan çalıģma planının eki, görev iģ programı ve risk kontrol matrisinden oluģmaktadır. (Ek-22: ÇalıĢma Planı ve Eki Görev ĠĢ Programı) Görev iģ programında hangi denetim testlerinin kim tarafından, nerede, hangi tarihler arasında yapılacağı kaydedilir. Testlere iliģkin görevlendirmelerin yapılmasında temel kriter, Ġç Denetçinin testi sağlıklı bir Ģekilde yerine getirebilecek yetkinliğe sahip olmasıdır. Her bir test, içeriğine göre denetim ekibindeki farklı Ġç Denetçilere atanabileceği/verilebileceği gibi, belli bir riske mahsus testlerin ya da belirli bir birimdeki testlerin bir denetçiye atanması mümkündür 14. Ġç Denetçilerin testlere atanmasında Ġç Denetçilerin niteliklerinin yanı sıra, denetim kaynaklarının en etkin nasıl kullanılabileceği de göz önünde bulundurulur. KİDS 2240.G1 İş programları, görev sırasında uygulanacak bilgi toplama, analiz, değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır. İş programı, saha çalışmalarına başlanmadan önce onaylanmak zorunda olup, programda yapılan değişiklikler için de derhal onay alınmak zorundadır. Risk ve kontrollerin değerlendirilerek denetim testlerinin belirlenmesi aģamaları, denetim görevi içerisinde ihtiyaç oldukça sürekli devam eden bir faaliyet olarak ele alınmalıdır. Çoğu denetimde denetim ekibi, çalıģmaların %30-%40 ı tamamlanmadan ne kadar test yapılması gerektiği konusunda aslında tam olarak emin olamamaktadır. Bu nedenle 14 Bir denetim alanı için farklı taşra birimlerinde veya farklı alt süreçlerde görevlendirilen İç Denetçiler tarafından yapılan risk ve kontrol değerlendirmeleri çalışmaları yeterli düzeye ulaştığında denetim gözetim sorumlusu tarafından konsolide edilerek nihai hale getirilir ve onaylanır. Sayfa 97 / 365

98 V1.0 saha çalıģmasına baģlandıktan sonra yeni riskler tespit edildiğinde bunlar da risk kütüğüne eklenmelidir (Ek-20: Risk Kaydı). Görev iģ programı oldukça dinamik yapıda olup, saha çalıģmaları sırasında ortaya çıkan ihtiyaca göre güncellenebilmektedir. Ġç Denetim Birimi BaĢkanı kendisine sunulan çalıģma planı ve eki görev iģ programını 3 iģ günü içerisinde değerlendirir ve onaylar. Onaylanmasını uygun bulmadığı çalıģma planını düzeltilmesi için gerekçeli bir Ģekilde ilgili denetim ekibine iletir. ÇalıĢma planı onaylanmadan test çalıģmalarına baģlanamaz. KAYNAK TAHSĠSĠ ĠLGĠLĠ UYGUNLUK KRĠTERLERĠ 15 Risk değerlendirmesi sonucunda yüksek risk içeren alanlarda denetim testi yapılması için yeterli süre bulunmadığı kanaatine varılmıģsa, Ġç Denetim Birimi BaĢkanı konu hakkında bilgilendirilmektedir. Risk değerlendirmesi sonrasında Ġç Denetçiler tarafından denetim görevi için uzman görevlendirilmesine ihtiyaç bulunduğuna karar verilmiģse Ġç Denetim Birimi BaĢkanı konu hakkında bilgilendirilmektedir. Ġç Denetim faaliyetlerine yönelik kaynak tahsisinde Ġç Denetim Birimi BaĢkanının dengeli bir yaklaģım sergilemesi gereklidir. BaĢkan tarafından Ġç Denetçiler üzerindeki iģ yükünün ve iģ türlerinin dağılımının dengeli olması sağlanmalıdır Denetim Testlerinin Uygulanması (Saha ÇalıĢması) ĠÇ DENETĠM SAHA ÇALIġMALARI SIRASINDA ĠÇ DENETÇĠLER TARAFINDAN YAPILACAK Ġġ VE ĠġLEMLER (DENETĠMĠN YAPILMASI) Ġç Denetim sahada uygulanmasına iliģkin çalıģmalar aģağıdaki aģamalardan oluģur. 1 Denetim Testlerinin Uygulanması ve Örneklem Seçimi, 2 Test Sonuçlarının Değerlendirilmesi ve Denetim Bulgularının 15 KİDS na yönelik Uygunluk Kriterleri, tarih ve 3 sayılı Kurul Kararıyla kabul edilmiştir. Sayfa 98 / 365

99 OluĢturulması, V1.0 3 Denetim Bulgularının Gözden Geçirilmesi ve Onaylanması, 4 Raporlama Denetim Testlerinin GerçekleĢtirilmesi ÇalıĢma planının onaylanmasının ardından denetimin saha çalıģması aģamasına geçilir ve çalıģma planı ekinde yer alan görev iģ programında yer alan testler gerçekleģtirilmeye baģlanır. Denetim testlerinin gerçekleģtirilmesi risk kontrol matrisinin kontrol uygulamaları sütununda yer alan kontrollerin var olduklarına ve etkin bir Ģekilde çalıģıp çalıģmadıklarına dair uygun delillerin elde edilmesini kapsamaktadır. Her bir test tamamlandıkça elde edilen sonuçlar, ilgili kontrollerin nihai değerlendirilmesi için gerekli delilleri sunacak, tüm delillerin değerlendirilmesi ise sürecin geneline yönelik bir değerlendirmeye dayanak oluģturacaktır. Testlerin nasıl yapıldığı, ne tür bilgiler elde edildiği, uygulanan kanıt toplama teknikleri ve test sonucunda ulaģılan tespitler çalıģma kâğıdına aktarılır. Testlerin uygulanması sonucunda elde edilen bilgilerin dört niteliğe sahip olması gerekmektedir: yeterli, güvenilir, ilgili, faydalı. BĠLGĠNĠN 4 NĠTELĠĞĠ 1. Yeterli: Uygun sayıda ve aynı bilgilere sahip bir baģka Ġç Denetçinin de aynı sonuçlara ulaģmasına imkân verecek seviyede ikna edici ve somut olgulara dayalı olması. 2. Güvenilir: Bu bilginin uygun denetim teknikleri kullanıldığında emin bir Ģekilde elde edilebilir olması (gerçeklere dayandığı). 3. Ġlgili: Test amacıyla tutarlı ve test sonucunda ulaģılan tespit ve önerileri destekleyici olması. 4. Faydalı: Test amacına ulaģmaya yardımcı olması. Yeterli kanıt elde edilmesi için iģlemlerin tamamının (% 100 ünü) incelenmesine gerek yoktur. Ġç Denetçi uygun örneklem yöntemleri uygulayarak yeterli ve uygun kanıtı kısa zamanda ve düģük maliyetle elde edebilir. Örneklem seçimi için aģağıdaki aģamalar uygulanır: Sayfa 99 / 365

100 Örneklem Seçim Süreci V1.0 Örnekleme, denetim testlerinin ana kütlede yer alan iģlemlerin yüzde yüzünden azına uygulanmasıdır. Bu uygulama Ġç Denetçiye, içerisinden örneklerin seçildiği toplam ana kütlenin herhangi bir niteliğiyle ilgili olarak bir kanaat oluģturmak üzere denetim kanıtlarını elde etme ve değerlendirme imkânı sağlar. Örneklem Seçimine ĠliĢkin Pratik Bilgiler Saha çalışması sırasında örnekleme yapılması halinde, örnekleme yöntemine ilişkin bilgiler çalışma kâğıtlarına kaydedilir. Çalışma kâğıtlarında uygulanan test yöntemlerine, örneklem yöntemlerinin belirlenmesine, örneklemin hangi popülâsyon aralığında niçin seçildiğine ilişkin açıklamalara yer verilir. Örneklem seçiminde; a) Mali denetimlerde, istatistiksel yöntemler kullanılır. b) Örneklem için tane örnek yeterli örneklem sayılır adet alınan örneklerde herhangi bir olumsuzluk görülmemesi durumunda, kontrollerin iyi çalıştığı kanaatine varılır, adet örnek içinde olumsuzluk görülmesi durumunda örnek sayısı artırılır. c) Uluslar arası iç denetim uygulamalarında, örneklem seçiminde 30 (otuz) adetlik örnek sayısı, genel kümeyi temsil eden yeterli örneklem sayılır. ç) Kümenin üye sayısı toplamı 10 (on) ise bu kümenin tamamı alınır, bunlar arasından örneklem seçimi yapılmaz. d) Kümenin üye sayısının çok fazla olması halinde, örneklem kümesi bir satınalma süreci incelenmesi örneğinde 300 adet ihale, 700 adet doğrudan temin yoluyla alım gibi tabakalar haline getirilir. I. Örneklemin Planlanması Örneklemin, testlerin belirlenmesi aģamasında planlanması ve çalıģma planında yer alması esastır. Ancak saha çalıģması sırasında ilgili denetim alanında ana kütle özelliklerinde farklılıklar olduğu tespit edilirse, yeniden örneklem belirleme, örneklem miktarını artırma veya azaltma yoluna gidilebilir. Örnekleme çalıģmalarında kullanılan tanımlar ekte yer almaktadır. (Ek-24: Örneklem Ġle Ġlgili Kullanılan Terimler) Sayfa 100 / 365

101 II. Örneklemin Seçimi ve Ġncelenmesi V1.0 II.1. Ana Kütlenin Belirlenmesi Ana kütle, Ġç Denetçinin içinden örnek seçtiği ve hakkında sonuca varmayı istediği veri topluluğudur. Örnek birimi, ana kütle içinde incelenebilecek bir belge, dosya, görüģülen kiģi, vb. test edilecek unsurlardır. Denetçi inceleyeceği ana kütlede neyin örneklem birimi olacağına da karar vermelidir. ÖRNEK TaĢınır iģlem fiģleri bir ana kütle oluģturacağı gibi, sadece giriģ iģlemlerinin olduğu taģınır iģlem fiģleri de ana kütleyi oluģturabilir. Her iki durumda da örneklem birimi taģınır iģlem fiģleridir. Ġç Denetçi ana kütleyi, yapacağı testin hedeflerine uygun olarak belirlemelidir. Ana kütle belirlenirken sıkça yapılan hatalardan biri ana kütlenin yeterince incelenmeden bir bütün olarak ele alınmasıdır. Denetçi, ana kütleyi benzer özelliklere sahip alt tabakalara ayırabilir. Tabakalara ayırmanın amacı, her tabakanın kendi içindeki iģlemlerin değiģkenliğini azaltmak ve örneklem büyüklüğünü küçültmektir. Ana kütle içerisinde bulunan alt grupların (tabaka/katman) belirlenmesi, seçilecek örneklerin birbiriyle homojenliğinin sağlanmasına imkân verir. Bu nedenle, ana kütlenin olabildiğince homojen olmasına dikkat etmelidir. ÖRNEK Yapılacak test, 2012 yılında tedarik edilen malların teknik Ģartnamesindeki hususlara göre alınıp alınmadığına yönelik ise, bu test için örneklem birimi muayene ve kabul evrakları; homojen katmanlar ise açık ihale, doğrudan temin, pazarlık usulü ile alınacak taģınır malların muayene ve kabul iģlemleri/evrakları olacaktır. II.2. Örnekleme Yönteminin Belirlenmesi Yeterli denetim kanıtının elde edilmesi hususunda istatistikî ya da istatistikî olmayan örnekleme yaklaģımlarından hangisinin kullanılacağına yönelik verilecek karar önem arz eder. Sayfa 101 / 365

102 Denetimde kullanılabilecek iki tür örnekleme yöntemi bulunmaktadır: V1.0 a) Ġstatistikî Olmayan Örnekleme Yöntemi: Ġç Denetçinin yargısına bağlı olarak örneklem birimlerinin belirli bir ana kütleden sistematik veya yorumsal biçimde seçilmesine dayanır. Bu yöntemden yararlanılırken ana kütle hakkında makul bir sonuç çıkarılabilirse de, örnekleme sonuçları matematiksel olarak ölçülemez ve değerlendirilemez. Kontrollerin etkin bir Ģekilde çalıģıp çalıģmadığının belirlenmesine iliģkin testler için istatistikî olmayan örnekleme genel olarak daha uygun bir yaklaģımdır. b) Ġstatistikî Örnekleme Yöntemi: Ġstatistikî örnekleme; örneklerin rastgele seçildiği, her bir örneğin seçilme Ģansının eģit olduğu, örneklem büyüklüğü ve örnek seçiminin matematiksel teorilerin kullanılmasına dayalı olarak yapıldığı, sonuçlarının ölçülebildiği bir yöntemdir. Ġstatistikî olmayan örneklemenin temel ilkeleri istatistikî örnekleme ilkeleri ile aynıdır. Farklılık sadece Ġç Denetçinin istatistikî olmayan örnekleme yöntemi kullandığında istatistikî ölçülerin yerine geçecek bir takım yargılarda bulunmasındadır. Dolayısıyla belli ölçüde sübjektiflik taģır ve belli bir riski de kendi içinde barındırır. Bu yöntemde ana kütledeki her iģlemin eģit oranda seçilme Ģansı yoktur. Ġstatistikî olmayan örnekleme yöntemi kullanıldığında da temel ilke, kiģisel tarafsızlığın korunmasıdır. Ġç Denetçi ayrıca denetleyeceği ana kütlenin özelliğini, denetim sonucunda ulaģmak istenen hedefleri, bilgisayarlı örnekleme tekniklerinin varlığını, denetim türünü ve mesleki tecrübesini dikkate alarak da yukarıdaki yöntemlerden birini seçebilir. Ancak her iki yöntemde de denetçi, örnekleri tüm ana kütlenin içinden seçtiğine ve bahse konu ana kütlenin eksiksiz olduğuna emin olmalıdır. Denetçi, ana kütleyi nasıl elde ettiğini, ana kütlenin tam olduğundan nasıl emin olduğunu ve örneklem seçimine yönelik olarak uyguladığı yöntemleri ve seçtiği örneklere iliģkin bilgileri çalıģma kâğıdına kaydeder. II.3. Örneklem Büyüklüğünün Belirlenmesi Ġstatistikî olmayan örneklem yönteminde örneklem büyüklüğü, kontrolün sıklığı dikkate alınarak belirlenebilmektedir. Ön çalıģmalar sonrasında kontrollerin çalıģmadığına yönelik Ģüphe duyuluyorsa, aģağıda yer alan asgari örneklem büyüklüklerine bağlı kalmaksızın örneklem büyüklüğü arttırılmalıdır. Örneklem seçimine yönelik testin ilgili olduğu risk seviyesine göre seçilecek asgari örnek sayısına iliģkin bir örnek aģağıdadır. Sayfa 102 / 365

103 V1.0 ÖRNEK Asgari Örnek Büyüklüğü Kontrol Sıklığı Risk Seviyesi DüĢük Yüksek Yılda bir 1 1 Aylık 2 3 Haftalık 5 8 Günlük ĠĢlem bazında Ancak yukarıda verilen asgari örneklem büyüklüğüne iliģkin değerler, kontrollerin çalıģmadığı noktasında herhangi bir Ģüphe bulunmadığı durumlar için geçerli olduğu unutulmamalıdır. Bu örneklem büyüklüğü denetim ekibinin profesyonel değerlendirmeleri doğrultusunda gerektiğinde arttırılmalıdır. Ġstatistikî örneklem yönteminde ise; iģlem birimine göre, belirlenen tabakaya göre veya mali değerlere göre örneklem büyüklüğü hesaplanabilmektedir. Ġstatistikî örneklem yönteminde örneklem büyüklüğünün hesaplanmasında kullanılan kriterlerin ve formüllerin neler olduğunun mutlaka kayıt altına alınması gerekmektedir. AĢağıdaki durumlar karģısında örneklem büyüklüğünün ayarlanması gerekmektedir: ÖRNEKLEM BÜYÜKLÜĞÜN TESPĠTĠNDE DĠKKAT EDĠLECEK PARAMETRELER 1. Kontrollerin daha önce fark edilmeyen önemli hataları engellediği tespit edilmiģse örneklem büyüklüğü arttırılır. 2. Kontrollerin iyi çalıģmamasından kaynaklanacak eksiklikler kabul edilebilir seviyedeyse örneklem miktarı azaltılabilir. 3. Kontrollerin iģletilmesinde ana kütlede kabul edilebilir hata sayısının üzerinde Sayfa 103 / 365

104 hatalar ile karģılaģılmıģ ise örneklem büyüklüğü arttırılır. V Denetim görevi kritik hususları içeriyor ve sonuçlar önem arz ediyorsa daha fazla güvence sağlamak amacıyla örneklem büyüklüğü arttırılır. 5. Kontrolün iģletilmemesi nedeniyle ortaya çıkabilecek olumsuz etkilerde bir artıģ olması halinde örneklem büyüklüğü arttırılır.(ġlgili riskin etkisinin daha fazla olduğunun anlaģılması durumunda) 6. Test konusu hususların baģka bir test ile de teyit edildiği durumlarda örneklem miktarı azaltılabilir. II.4. Örneklerin Seçimi ve Ġncelenmesi Denetçi, istatistikî olmayan örnekleme yöntemini uygulaması durumunda, yargısal olarak örnekleri belirleyebileceği gibi (daha riskli veya olağandıģı örneklerin seçilmesi gibi) örneklerin seçiminde aģağıdaki örnek seçim tekniklerinden birisini tercih edebilir. a. Tesadüfî olarak seçilen çok miktardaki sayının peģ peģe sıralanmasına dayalı seçim: Her ana kütle birimine bir numara verilir. Denetçi tarafından ana kütle sayısı ile sınırlı olmak koģulu ile örneklem büyüklüğü kadar rastsal sayı belirlenir. Üretilen rastsal sayılara karģılık gelen örneklem birimi incelenir. b. BaĢ harflere göre seçim: Ana kütle birimleri konularının baģ harflerine göre sıralanır. Örnekler her harf kullanılarak seçilir. c. Örneklemeye girecek birimlerin numaraları arasındaki aralığın sabit tutulmasına dayalı sistematik seçim: Her ana kütle birimine bir numara verilir. Örneklem arasındaki sabit aralık ana kütle örneklem büyüklüğüne bölünmesi ile tespit edilir. Ġlk seçim sabit aralık dikkate alınarak rastgele yapılır ve diğer örneklerin belirlenmesinde sabit aralık dikkate alınır. Ana kütle sayısı : Örnek sayısı : Aralık : Seçilen ilk örnek (1-s arası) : Diğer seçilecek örnekler : P o s =P/o t t+s, t+2s, t+3s...,t+(o-1)s Sayfa 104 / 365

105 V1.0 d. Belirli tarihleri taģıyan örnek birimlerinin seçilmesi (tarih esaslı seçim): Her ana kütle birimi ilgili oldukları tarihlere göre sıralanır. Denetçi tarafından belirlenen tarihlerle iliģkili örneklem sayısı kadar birim seçilir (Örneğin maaş artışlarının doğru hesaplanıp hesaplanmadığı gibi bir test yapılacaksa bu yöntem tercih edilebilir: Ocak, Temmuz gibi). e. ĠĢlem türlerine göre seçim: Her ana kütle biriminin hangi iģlemin parçası olduğu belirlenir. Bahse konu iģlemler göz önüne alınarak örneklem büyüklüğü kadar örnek seçilir. f. Bilgisayarla seçim: Her ana kütle birimine bir numara verilir. Bilgisayar tarafından ana kütle sayısı ile sınırlı olmak koģulu ile örneklem büyüklüğü kadar rastsal sayı üretir. Üretilen rastsal sayılara karģılık gelen örneklem birimi incelenir. III. Örnekleme Sonuçlarının Değerlendirilmesi Her örneklem birimine, belirlenen denetim prosedürlerini uyguladıktan sonra denetçi, tespit edilen olası hataların gerçekten hata olup olmadığını incelemeli ve belirlemelidir. Denetçi, hatanın mahiyeti, sebebi ve denetimin diğer aģamaları üzerindeki olası etkileri gibi niteliksel yönlerini de değerlendirmelidir. Denetçi, örneklem sonuçlarını ana kütleye uygulamak için, örneklemi seçmekte kullandığı yönteme uygun ve uyumlu bir tahmin yöntemi kullanmalıdır. Denetçi böylece bulunan hataları analiz ederek ana kütledeki uygunsuzluk konusunda fikir sahibi olur ve uygunsuzluğun genellenip genellenmeyeceğini değerlendirebilir. Denetçi, ana kütledeki hataların kabul edilebilir hata seviyesini aģıp aģmadığını, denetim hedefine uygun diğer denetim prosedürlerinin sonuçlarını da dikkate alarak belirlemeli ve değerlendirmelidir. Ġstatistikî olmayan örnekleme yönteminde, örneklem büyüklüğü ve ne kadar örneğin ne Ģekilde seçileceği Ġç Denetçinin mesleki yargısına göre belirlendiğinden, bu yöntemle belirlenen örnekler ana kütleyi temsil etme özelliğinden ziyade bilgi sağlamak ya da değerlendirme yapmak amacı taģır. KİDS 2330 İç denetçiler, vardıkları kanaatleri ve görev sonuçlarını, uygun analiz ve değerlendirmelere dayandırmak zorundadır Test Sonuçlarının Değerlendirilmesi ve Denetim Bulgularının OluĢturulması Ġç Denetçiler denetim testleri sonucunda kontrollerin çalıģıp çalıģmadığı, uygunsuzlukların olup olmadığı konusunda delil elde edecektir. Sayfa 105 / 365

106 V1.0 Ġç Denetçilerin gerçekleģtirdikleri testler sonucunda elde ettikleri bilgi ve kanıtları değerlendirmek ve analiz etmek suretiyle olumlu veya olumsuz bir kanaate ulaģması gerekmektedir. Olumsuz sonuç, test sonucunda elde edilen bilginin kontrolün sağlıklı bir Ģekilde çalıģmadığı ya da makul Ģüphe oluģturduğu anlamını taģırken; olumlu sonuç ise elde edilen bilginin kontrolün sağlıklı bir Ģekilde çalıģtığı veya yeterli olduğu yönünde kanaate ulaģıldığını ifade etmektedir. Test sonucunun olumlu ya da olumsuz olması hususlarının yeterli kanıt ile desteklenmesi zorunludur. Ayrıca bulguların, faaliyete iliģkin risklerin seviyesini değiģtirmesi ihtimali söz konusu olduğu durumlarda, ilk olarak denetimin kapatılması ve sonrasında da bulguların kapatılması aģamalarında ilgili risklerin tekrar değerlendirmesi yapılır. Ayrıca olumlu sonuçlanan testlerde incelenen hususların iyi uygulama olduğunun düģünülmesi halinde de bu test sonuçları bulguların hazırlanması aģamasında tekrar değerlendirilerek iyi uygulama örneklerinin raporlanması sağlanır. Test sonucunda olumlu veya olumsuz sonuca ulaģılamaması iki halde ortaya çıkabilir: 1) Seçilen örneklem sayısı yetersizdir. 2) Bilgi veya kanıta eriģimde sınırlama söz konusudur. Birinci durumda daha fazla örnek seçilerek yeterli kanaate ulaģılması sağlanır. Ġkinci durumda ise denetim kapsamına sınırlama getirildiğinden Ġç Denetim Birimi BaĢkanı ve Üst Yönetici haberdar edilerek sorunun çözümü aranır. Sorunun yine çözülememesi halinde denetime son verilerek bu durum kayıt altına alınır. Bulguların hazırlanması aģamasının kolaylaģtırılması ve daha sağlıklı belirlenmesi açısından test sonuçlarının eksiksiz ve doğru bir Ģekilde ifade edilmesi gereklidir. Test sonuçlarının yazılmasında sıkça yapılan hatalar Ģunlardır: Tablo 5.2. Test Sonuçlarına ĠliĢkin Hatalar TEST SONUCU Ġncelenen doğrudan alım dosyalarının 3 tanesinde satın alma limitlerinin ihlal edildiği tespit edilmiģtir. Örneklem seçim yöntemimize göre seçilen dosyalar arasından 3 tanesinde satın alma limitlerine uyulmadığı tespit edilmiģtir. YAPILAN HATA Örneklemin büyüklüğü bilgisine yer verilmemiģtir. Örneklem seçim yönteminin ne olduğu belirtilmediği gibi örneklem büyüklüğünden de bahsedilmemiģtir. Sayfa 106 / 365

107 V1.0 Seçilen 30 örnek arasından 3 tanesinde hata bulunmaktadır. Ana kütle bilgisine ve hatanın ne olduğu hususlarına değinilmemiģtir. Olumsuz sonuçlanan testler denetim ekibi tarafından gözden geçirilerek bulguların hazırlanmasına baģlanır. Bulguların oluģturulmasında birbiriyle benzer olan veya bütünlük arz eden konular birleģtirilmeye çalıģılır. Tüm tespitlerin bulgularla iliģkilendirilmesi gerekir. Denetlenen birimler, denetim raporunda yer alan tespit ve önerileri resmi olarak aldıkları aģamada bulgunun içeriği hakkında ciddi bir bilgiye sahip olmalıdırlar. Bu nedenle yapılan testlerde olumsuz sonuçlar elde edildiğinde, oluģturulan bulgular gayr-ı resmi (sözlü Ģekilde veya e-posta yolu ile) olarak ilgili personel ile paylaģılmalı ve görüģleri alınarak, bulguda yer alan hususların teyit edilmesi sağlanmalıdır. Bulgu formu; tespit, neden, risk ve etkileri, kriter ve öneri olmak üzere 5 unsurdan oluģmaktadır. (Ek-26: Bulgu Formu) Bulgu formlarında yer alan hususlardan; BULGU FORMLARINDA YER ALMASI GEREKEN HUSUSLAR VE AÇIKLAMALARI (1) Mevcut Durum: Mevcut durum adı altında saha çalıģmaları sırasında yapılan testler sonucunda ortaya çıkan somut gözlem ya da duruma yer verilir. (2) Neden: Mevcut durum ile olması gereken durum arasındaki farklılığın neden kaynaklandığı değerlendirilir. Nedenin tam olarak ifade edilebilmesi ve doğru önerilerin ortaya konabilmesi açısından temel/gerçek nedenin anlaģılması çok önemlidir. Bu amaçla özellikle önem seviyesi yüksek olabilecek bulgularla ilgili olarak Kök Neden Analizi yönteminden yararlanılabilir. (Ek-27: Kök Neden Analizi) (3) Riskler ve Etkileri: Mevcut durum nedeniyle Ġdarenin ya da diğer kiģilerin maruz kaldığı/kalabileceği riskler ve etkiler gösterilir. (4) Kriterler: Kriter doğrudan belirli bir mevzuat hükmü olabileceği gibi denetlenen alanın özelliğine göre bir standart, ölçüt ya da karģı taraf ile üzerinde uzlaģılmıģ somut bir beklenti de olabilmektedir. Örneğin bilgi sistemlerinin güvenliğinin denetlenmesinde TSE/ISO kullanılabileceği gibi, o faaliyetle ilgili Ġdarenin stratejik plan ve performans programında yer alan ölçütler ya da benzer nitelikteki Ġdarenin o faaliyete mahsus değerleri (örneğin öğrenci sayısı, yayın sayısı ya da harcama miktarı gibi) Sayfa 107 / 365

108 V1.0 de kullanılabilir. Kriterlerin belirlenmesinde testin ilgili olduğu kontrollerin ilgili olduğu kontrol standardından (KĠKS) yararlanılabilir. (5) Öneriler: Uygunsuzluğun nedenini ortadan kaldırmaya yönelik Ġç Denetçilerin ortaya koyduğu hususlardır. Önerilerin raporlama yapılan birimin gerçekleģtirebileceği nitelikte olması ve yapıcı hususlar içermesi gerekmektedir. ÖRNEK Denetlenen birime, Mevzuat değiģikliği gibi bir önerinin yapılması yerine, Mevzuat taslağı hazırlanarak ilgili Makama sunulması gibi bir öneri getirilmelidir. Ayrıca önerilerin, bulguda yer alan olumsuzlukları gidermeye dönük veya bu olumsuzlukların gelecekte ortaya çıkmasını engelleyecek nitelikte somut iģlemleri belirtiyor olması gereklidir. ÖRNEK Ġç kontrol sisteminin tesisi, gerekli önlemlerin alınması veya gerekli özenin gösterilmesi gibi önerilerin pratikte bir faydası bulunmamaktadır. Önerilerin belirlenmesinde denetlenen birimle güçlü bir iletiģim ve iyi bir iģbirliği yapılması daha katılımcı bir denetimin yürütülmesine yardımcı olacak ve önerilerin doğru belirlenmesinde oldukça faydalı olacaktır. Son olarak bulgunun önem seviyesi ile yapılan tespit ve önerinin kurum açısından ne kadar kritik bir husus olduğu belirlenir. (Ek-28: Bulguların Önem Seviyesi) Bu derecelendirmede özellikle risklerin stratejik öncelikleri, bulgunun düzeltilmesinin kuruma sağlayacağı fayda ve değer, göz önünde bulundurulur. Öte yandan önem seviyesi düģük ve ilgili birim tarafından kolaylıkla düzeltilebilecek tespitlerin denetim sırasında kurulacak sağlıklı bir iletiģim yardımıyla raporlama safhasına geçirilmeden çözülmesi, düzenlenecek raporun daha kritik konulara yoğunlaģmasını sağlayacaktır. Ancak düzeltilen veya düzeltilmesi için sözlü olarak aktarılan hususlarla ilgili geliģmelerin çalıģma kâğıtlarıyla mutlaka kayıt altına alınması gereklidir. Sayfa 108 / 365

109 BULGU FORMLARI VE BULGU FORMLARININ UNSURINA ĠLĠġKĠN PRATĠK BĠLGĠLER V1.0 Bulgu formları ve unsurlarına ilişkin hususlar aşağıda belirtilmiştir. Bunlar; a) Bulgu formları, doğrudan nihai rapora eklenecek şekilde yazılmalıdır. b) Bulgularda, münferit ve tek bir olaya yer verilmemelidir, bir tek olumsuzluk veya münferit durumların sistematik bir olumsuzluklar zinciriymiş algısının oluşturulmasına sebebiyet verilmemesi için, bulgularda yalnızca sistematik sorunlara yer verilmelidir. c) Bulguların önem seviyesi aynı değildir ve mutlaka her bir bulgu için 1 puan ile 5 puan arasındaki bir puanlama sıkalasında puanlama yapılır, bulguların önem düzeyi yüksek, orta ve düşük seviyeli olarak puanlanır ve önem seviyesine bulgu formunda mutlaka yer verilir. ç) Yüksek seviyeli bulgular, çok iyi seçilmelidir, bir bulgunun yüksek önem seviyeli olduğu, kısa vadede hemen bir tedbir alınmaması halinde İdare açısından çok önemli olumsuz sonuçların meydana gelme ihtimali çok yüksek olan bulgulardan olduğu kabul edilir. Düşük seviyeli bulgular, denetim raporuna konulmayabilir. d) Bulgu formlarında, mevcut durumu tespit eden tespit, kriter, etki, neden ve öneri satırlarına yer verilmelidir. 1) Durum (tespit) kısmında yer alan bilgiler, doğru, tam açık ve tartışılamaz olmalıdır. 2) Kriter kısmında, kriterlere ilişkin hususlar nesnel olmalıdır, kriter olarak belirtilen hususun hangi kanun, mevzuat hükmü olduğu, madde, fıkra ve bent numaraları ile belirtilmesi gerekir, kriterlerde genel standartlara ilişkin genel ibareler kullanılmaz. 3) Etki kısmında, yer alan açıklamalarda, herhangi bir tedbir alınmadığında meydana gelebilecek durumlar ve etkileri, risklerin etkilerine ilişkin açıklamalara yer verilir. 4) Neden kısmı, bulgu formunun en önemli kısmıdır. Neden kısmında, bulgu formunun tespit edilen hususlara ilişkin durum (tespit) kısmında yer alan hususların sebeplerine yer verilir. Nedenler, 5 N yöntemi ile ne oldu, nerede oldu, ne zaman oldu, nasıl oldu ve niçin oldu sorularına verilecek cevaplar tespit edilir veya yüksek riskli bulgularda kök neden analizi yapılmak suretiyle belirlenir. Kök neden analizi, tespit edilen durumların ve tespitlerin ana sebebi ve kökü nedir sorusuna tespit mahiyetinde yapılan analizlerdir. Kök neden analizi, tedbir alınabilir nitelikte olmalıdır. Çalışma kağıdı niteliğindeki bulgu formunda, neden unsuruna mutlaka yer verilecektir, ancak, açıklanan Sayfa 109 / 365

110 V1.0 nedenlerin denetlenen birimler ve İdare nezdinde sıkıntı ve çalışma barışının bozulmasına sebebiyet verme durumunun bulunması halinde neden unsurunda yer alan hususlar bulgu formunun neden kısmında boş bırakılmak suretiyle nihai rapora konulmayabilir. 5) Öneri (teklif ve tavsiye) kısmında, bulguya yönelik yapılabilecek iyileştirme önerilerine yer verilir. Önerilerin denetlenen birim ile birlikte geliştirilmesi uygulanması tavsiye edilen, çok iyi uygulama örneği olarak kabul edilir. Bulgu paylaşımı sırasında formunun, neden kısmı bulgu formundan çıkarılır, geriye kalan durum (tespit), kriter (kıstas), etki ve öneri kısımlarındaki bilgilerin yer aldığı şekliyle bulgu formu denetlenen birime gönderilir, bu durum çerçevesinde yapılabilecek hususlara dair görüş ve önerileri istenir, gelen cevap değerlendirilmek suretiyle öneri kısmı denetlenen birimle birlikte geliştirilir Denetim Bulgularının Gözden Geçirilmesi ve Onaylanması Ġç Denetçiler tarafından hazırlanan bulgular, Denetim Gözetim Sorumlusu tarafından gözden geçirilir ve onaylanır. Bulguların hazırlanması ve gözden geçirilmesinde, raporlamanın kalitesini belirleyen 6 temel ilkeye uyulmasına özel önem verilir. Bunlar doğruluk, tarafsızlık, açıklık, kısalık (özlülük), yapıcılık ve tamlık ilkeleridir. KİDS 2420 Raporların; doğru, tarafsız, açık, özlü, yapıcı ve tam olması ile zamanında sunulması zorunludur. Bunlardan ilki olan doğruluk, tespitlerde hatalı ya da yanlıģ bir bilginin yer almaması gerektiğini vurgulamaktadır. Diğer bir ifadeyle, yapılan testler sonucunda elde edilen bilgilerin doğruluğundan emin olunması gerekmektedir. Örneğin yalnızca bir çalışan ile yapılan görüşmeler neticesinde elde edilen bir bilgi doğrultusunda bulgu oluşturulmamalıdır. Basiretli bir Ġç Denetçinin yapması gereken, tüm testler tamamlandıktan sonra profesyonel bir yargı ile doğruluğuna kanaat getirilen hususlar bulgu haline getirilmelidir. Aksi halde bulguda yer verilen bir hususun yanlıģlığı denetlenen birimler tarafından rahatlıkla ortaya konulabilecek, Ġç Denetçinin ve Ġç Denetim Biriminin yetkinliği ve yeterliliği konusunda Ģüpheler oluģabilecektir. Bulgularda doğruluğun sağlanabilmesi için kanıtların ve bilgilerin toplanması, değerlendirilmesi ve konsolide edilmesi aģamalarının büyük bir titizlik ve dikkat ile gerçekleģtirilmesi gereklidir. ÖRNEK Sayfa 110 / 365

111 Ġç Denetçi bir çalıģan ile yaptığı görüģmede gündeme gelen bir uygunsuzluğu teyit etmeden tespit haline getirmiģ ve birim ile paylaģmıģtır. Ancak bahse konu çalıģanın konu ile ilgili sadece kendi yorumlarını aktardığı, birimin bulguya verdiği cevapta sunduğu kanıtlayıcı belgeler ile ortaya çıkmıģ ve Ġç Denetçi tespitinden vazgeçmek zorunda kalmıģtır. V1.0 ÖRNEK Ġç Denetçi kanıtları ile birlikte ortaya koyduğu bir uygunsuzluğu çalıģma kâğıdı ile hatasız olarak kayıt altına almıģtır. Ancak referans aldığı çalıģma kâğıdındaki maddi unsurları bulguların tespit kısmına yanlıģ aktardığından, denetlenen birim bulgudaki bu hata üzerine bir cevap hazırlamıģ ve önerilerin yerinde olmadığını söylemiģtir. Ġkinci olarak bulgularda yer alan tespitlerin (mevcut durum) tarafsız (objektif) bir Ģekilde ifade edilmesi zorunludur. Denetim sonuçları, toplanan tüm kanıt ve bilgiler sonucunda ulaģılan gerçekler doğrultusunda adil, taraf tutmadan ve önyargısız olarak sunulmasını içermelidir. Mevcut durum kısmında herhangi bir değerlendirme yapılmaksızın genel bir perspektif içerisinde yalnızca somut olayın açıklanması gereklidir. ÖRNEK Ġncelenen 60 adet ödeme emri belgesinin 4 ünde fatura fotokopilerinin olmadığı tespit edilmiģtir. ifadesi somut ve herhangi bir yargı içermeyen bir tespittir. Bunun yanı sıra bulgunun diğer unsurları olan kriter, risk ve etkiler ile önerilerde de tarafsızlığın korunması gereklidir. Ancak bulgunun bu kısımlarında Ġç Denetçinin tarafsız bir Ģekilde ve profesyonel değerlendirmeleri doğrultusunda karar verdiği unutulmamalıdır. Denetim Gözetim Sorumlusu, Ġç Denetçilerin herhangi bir nedenden ötürü (denetlenen birim ile denetim sırasında yaģanan gerginlikler, kiģisel çıkarlar, önyargılar, yandaģlık ya da Sayfa 111 / 365

112 V1.0 baģkalarının etkisi gibi) bulguları olduğundan daha ağır ya da daha farklı yansıtmadığı konusunda emin olmalıdır. Bulguların hazırlanmasında açıklık, kısalık (özlük) ve tamlık, dikkat edilmesi gereken birbiriyle yakından iliģkili üç önemli ilkedir. Bulgularda yer alan tüm ifadelerin kolaylıkla anlaģılabilir olması ve mantıksal örgüsünün sağlam olması açıklık ilkesinin bir gereğidir. Mantıksal örgü; testten bulguya bulgudan öneri ve sonuçlara nedensellik bağının kurularak aktarılmasını içerir. Bulguların kolay anlaģılabilmesi açısından mümkün olduğunca teknik ve belirli bir jargona mahsus ifadelerin kullanılmasından kaçınılmakla birlikte gerekli tüm önemli bilgilere eksiksiz yer vermek gereklidir. Bu doğrultuda, bulguların gereksiz ayrıntı ve açıklamalar ile uzatılmaması da kısalık ilkesinin gereğidir. Bulguların, denetimin raporlanma süreci içerisinde sürekli gözden geçirmelerle revize edilmesi ve özlü bir Ģekilde sunulması, bulguların okunabilirliğini arttırarak daha güçlü hale getirecektir. Öte yandan tamlık ilkesi gereği, bulguları okuyacak kiģilerin denetim sonuçları için ihtiyacı olan tüm önemli bilgilere bulgularda yer verilmesi gerekmektedir. Bulguların tam olması, denetim sonucunda ulaģılan tespit ve önerilerin dayandığı kanıtların eksiksiz olmasını da içermektedir. Ancak bu durum tüm kanıtların raporun ekine konulması gerektiği anlamına gelmemektedir. Bu kanıtların eksiksiz bir Ģekilde denetim dosyasında tutulması yeterlidir. Bu hususlara uyulmayan raporlarda daha sonra bulguların açıklanmasını ve anlaģılmasını sağlamaya dönük ekstra çalıģmaların (yazıģma ve toplantılar gibi) yapılması gerekli olacaktır. Bulguların ifade edilmesinde yapıcı bir dil kullanılması, denetlenen birimlerin gerekli iyileģtirmeleri yapabilmelerine yardımcı olmaktadır. Özellikle bulguda yer alan hususlar ilgili sürecin amaçlarına ulaģması noktasında destekleyici olmalıdır. KiĢileri ve geçmiģi eleģtirmekten ziyade, sistemi değerlendiren ve iyileģtirmeye yönelik ifadeler kullanılmalı, olumsuz hususlar gerektiğinden fazla vurgulanmamalıdır. Bulgularda kiģi adlarına yer verilmemelidir. Özellikle yetersizlik, ihmal, yanlıģ ya da hata gibi ifadeler, denetlenen birimin savunmaya geçmesine ve denetim raporu ile hedeflenen yapıcı önerilerin tam olarak anlaģılamamasına neden olmaktadır. Bu nedenle bu ifadelerin kullanımında oldukça dikkatli olunmalı, yalnızca bulgunun mahiyeti gereği mutlak surette gerekli olduğu zamanlarda kullanılmalıdır. Yukarıda belirtilen ilkeler doğrultusunda bulgular hazırlandıktan sonra tekrar içerikleri kontrol edilerek birleģtirilmesi gereken bulguların bulunup bulunmadığı, mükerrer ya da birbirine benzer hususların bulunup bulunmadığına bakılmalıdır. Örneğin, aynı nedenle ilgili bulgular birleştirilerek açıklık, kısalık ve tamlık ilkelerine uygun bir şekilde tek bir bulgu içerisinde ifade edilmelidir. Testlerin sonuçlanması aģamasından bulguların hazırlanması ve nihai hale getirilmesi aģamasına kadar denetlenen birim ile güçlü bir iletiģim kurulması gereklidir. Ġdarenin yapısına Sayfa 112 / 365

113 V1.0 ve personel özelliklerine bağlı olarak kimi zaman ara toplantılarla kimi zaman ise e-posta ve sunu gibi araçlarla denetlenen birimin bulgulardan, kapanıģ toplantısından önce haberdar olması sağlanmalıdır. Özellikle konu hakkında detaylı bilgi sahibi olan kiģilerin bulgu konusu hususlardan haberdar olması sağlanmalıdır. Bu aģamada denetlenen birimin yönetici ve çalıģanlarıyla her hafta statü toplantıları yapılması ve denetim süreci ile taslak bulgulara iliģkin bilgi paylaģımında bulunulması iyi bir uygulamadır. TaĢra birimleri olan kurumlarda, muhtemel bulgu olabilecek hususlara iliģkin olarak ilgili taģra biriminden ayrılmadan önce, bulgu konusu hususlar üzerinde bilgilendirme yapılmalı ve bu taģra birimlerini ilgilendiren bulgular düzenlenecek toplantılarda ele alınmalıdır RAPORLAMA Raporlama süreci, saha çalıģmaları sonucunda oluģturulan bulguların resmi olarak denetlenen birim/birimlerle paylaģılması ile baģlar ve denetim raporunun hazırlanarak Üst Yönetici imzasıyla ilgili birimlere gönderilmesiyle sona erer. KİDS 2400 İç denetçiler, görev sonuçlarını raporlamak zorundadır. RAPORLAMA AġAMASINDA ĠÇ DENETÇĠLER TARAFINDAN YAPILACAK Ġġ VE ĠġLEMLER Ġç Denetim faaliyetleri sonucunda Ġç Denetçi tarafından yapılacak iģ ve iģlemlere iliģkin aģağıda sayılmıģtır. 1) Bulguların Resmi Olarak Denetlenen Birimle PaylaĢılması, 2) KapanıĢ Toplantısının Yapılması, 3) Denetim Raporuna Konulacak Bulgulara Karar Verilmesi, 4) Denetim GörüĢünün OluĢturulması, 5) Denetim Raporunun Hazırlanması ve BaĢkanlığa sunulmasından ibarettir. Raporlama, Ġç Denetimin kurumda istenilen seviyede katma değer üretebilmesi açısından en önemli aģamadır. Raporun kalitesi ve zamanlılığı, denetim konusu hususlarla Sayfa 113 / 365

114 V1.0 ilgili olarak yönetimin etkili bir Ģekilde karar alabilmesini kolaylaģtıracaktır. Saha çalıģması sırasında elde edilen birçok önemli tespit ve öneri uygun bir üslup ile eksiksiz ve tam olarak karģı tarafa iletilemediği takdirde bu hususlarla ilgili düzeltici adımların atılmasında büyük zorluklarla karģılaģılabilecektir. Diğer taraftan raporlamada yaģanan ciddi gecikmeler konunun önemini ya da uygulanabilirliğini yitirmesine de neden olabilecektir Bulguların Resmi Olarak PaylaĢılması Denetim Gözetim Sorumlusu tarafından nihai hali verilen bulgular denetlenen birime gönderilmeden önce Ġç Denetim Birimi BaĢkanı tarafından; Bulguların önem seviyelerinin, daha önce yürütülen benzer denetimlerdeki bulgu önem seviyeleriyle uyumlaģtırılması, KİDS 2410 Raporlar, varılan sonuçlar, uygulanabilir öneriler ve eylem planlarının yanı sıra görevin hedeflerini ve kapsamını da içermek zorundadır. Bulgulardaki maddi ve mevzuati hatalar, açısından gözden geçirilir. Ġç Denetim Birimi BaĢkanı, bu konularda bir sorun görmesi halinde ilgili denetim ekibinden gerekli düzeltmelerin yapılmasını talep eder. Bu Ģekilde nihai hali verilen denetim bulguları Bulgu PaylaĢım Formları aracılığıyla Denetim Gözetim Sorumlusu tarafından denetlenen birimlere gönderilir. (Ek-29: Bulgu PaylaĢım Formu) Bildirimde, kapanıģ toplantısının tarihi, yeri, kimlerin katılmasının faydalı olacağı hususu ile toplantının gündemi belirtilir. Ayrıca bu bildirimde Bulgu PaylaĢım Formlarının, ne kadar süre 16 içerisinde cevaplanarak ĠDB ye iletilmesi gerektiği de belirtilir. Bulgu ve önerilerin karar alma noktasında bulunan yöneticilerle paylaģılması yerinde olacaktır. DGS tarafından Bulgu PaylaĢım Formunda yer alan tespit ve öneri dıģında kalan diğer alanların paylaģılıp paylaģılmayacağını karar verilebilir. Örneğin denetimin içeriğine göre olumsuz bir hava oluşturacağı düşünülüyorsa, neden kısmının denetlenen birime gönderilmemesine karar verilebilir. Bulguların Resmi Olarak Paylaşılması Kapanış Topantısı Bulgulara İlişkin Resmi Görüş ve Eylem Planlarının Alınması Bu aģama, bulguların ve önerilerin nihai hale getirilmesinden önceki son aģamadır ve herhangi bir yanlıģ anlaģılmanın ya da eksikliğin yaģanmaması için yapılır. Aynı zamanda 16 Bulguların kapanış toplantısında tartışılması söz konusu olduğundan, bulgu formlarının resmi cevaplanma süresinin kapanış toplantısından sonraki bir tarih olarak belirlenmesi gerekmektedir. Sayfa 114 / 365

115 V1.0 denetlenen birimin bulgular ile ilgili olarak resmi görüģünün ne olduğu, bulguda yer alan bölümlerin netlik kazandığı aģamadır KapanıĢ Toplantısının Yapılması KapanıĢ toplantısı, bulgular ve öneriler paylaģıldıktan sonra denetlenen birim ile bulgularda yer alan hususlarla ilgili olarak her iki tarafın birbirini tam olarak anladığından emin olmak amacıyla yapılan toplantıdır. Bu toplantının amacı denetlenen birimi bulguda yer alan hususlarda ikna etmek değildir. GörüĢ ayrılığı varsa da hangi hususlarda ne gibi görüģ ayrılığının olduğunun tam olarak anlaģılması önemlidir. KapanıĢ toplantısında; denetim tespitleri, öneriler, bulguların önem seviyesi ile gerçekleģtirilecek eylemler ve uygulama takvimi tartıģılarak toplantı sonrasında tutanak düzenlenmelidir. (Ek-35:KapanıĢ Toplantısı Tutanağı) Gerektiğinde bulguların sayısı ve içeriğine göre, aynı birimle birden fazla veya farklı farklı birimlerle kapanıģ toplantılarının yapılması ya da kademeli toplantıların yapılması toplantıların verimliliğini arttırmak adına faydalı olabilecektir. Aynı birimde birden fazla toplantı yapılması halinde son toplantı sonucuna göre KapanıĢ Toplantısı Tutanağı düzenlenebilir. Denetlenen birimin bulgulara (mevcut durum, riskler ve etkileri ile önem seviyeleri) katılması halinde, kapanıģ toplantısı sonuçlarını da dikkate alarak makul bir sürede alınacak önlemleri içeren bir eylem planı sunmak zorundadır. Bu eylem planında; her bir bulguda belirtilen hususların düzeltilmesiyle ilgili olarak (1) yapmayı planladığı somut faaliyetlere, (2) bu faaliyetlerin tamamlanacağı tarihlere ve (3) bu faaliyetin gerçekleģtirilmesinden sorumlu birimlerin adlarına yer verilir. Ġç Denetim Birimi BaĢkanı tarafından eylem planlarında yer alan bu üç hususta eksiklik olup olmadığı mutlaka kontrol edilmeli, eksikliklerin olması halinde rapor öncesinde bu eksikliklerin giderilmesi sağlanmalıdır. Denetim Gözetim Sorumlusu tarafından bulgu ve öneri üzerinde uzlaģılıp uzlaģılamadığı bilgisi kaydedilir. UzlaĢılamaması halinde verilen cevaplar incelenerek denetlenen birimin bulguda yer alan hangi hususlara katılmadıkları belirlenir ve buna iliģkin denetim ekibinin görüģü belirtilir (Ek-36: Bulgu Değerlendirme Formu). DĠKKAT Sayfa 115 / 365

116 Denetlenen birimle uzlaģılamayan hususlar kalite güvence ve geliģtirme programı kapsamında gözden geçirilmeli ve bulgunun unsurlarından hangilerinin anlaģılmasında sorun yaģandığı, nasıl daha iyi ifade edilebileceği gibi hususlara daha sonraki denetimlerde dikkat edilmelidir. V Denetim Raporuna Konulacak Bulgulara Karar Verilmesi Denetlenen birim ile yapılan kapanıģ toplantısı ve denetlenen birimleri görüģleri doğrultusunda bulgulara son hali verilir. (1) Denetlenen biriminin denetim ekibi ile aynı görüģte olduğu bulgu ve eylem planlarına denetim raporunda yer verilir. (2) Denetlenen birimin denetim ekibi ile aynı görüģte olmadığı bulgularla ilgili olarak, bulguda önemli bir eksiklik ya da hata söz konusuysa ve DGS bu konuda denetlenen birimin cevabına katılıyorsa bu bulgulara denetim raporunda yer verilmez. (3) Denetlenen birimin denetim ekibi ile aynı görüģte olmadığı bulgularla ilgili olarak, ĠDB bu konuda denetlenen birimin cevabına katılıyorsa, bulgularda denetlenen birimin görüģü doğrultusunda değiģiklikler yapılarak denetim raporuna yer verilir. Örneğin bulgunun önem seviyesinin daha düģük olduğu konusunda denetim ekibi, denetlenen birime katılıyorsa bulgunun önem seviyesi düģürülerek denetim raporuna dâhil edilir. (4) Denetlenen birimin ĠDB ile aynı görüģte olmadığı bulgu ve eylem planlarıyla 17 ilgili olarak, Ġç Denetim Birimi bu konuda denetlenen birimin cevabına katılmıyorsa konu uzlaģılamayan husus olarak Üst Yöneticiye raporlanır. Üst Yöneticinin talimatı doğrultusunda iģlem tesis edilir. Ġç Denetim Birimi BaĢkanı tarafından uzlaģılamayan hususun Üst Yöneticiye sunulmasında kullanılabilecek örnek uyuģmazlık tablosu ektedir. (Ek-37: Bulgu UyuĢmazlık Tablosu) Üst Yöneticinin uzlaģılamayan hususlara iliģkin olarak Ġç Denetim Biriminin değerlendirmesine katılması halinde, denetlenen birimden uzlaģmazlık konusu hususlarla ilgili eylem ve uygulama takvimi alınarak bulguya son hali verilir. Üst Yöneticinin uzlaģılamayan hususlara iliģkin olarak tespite katılmakla birlikte farklı bir öneri getirmesi halinde, bu öneri doğrultusunda bulguda gerekli değiģiklikler yapılır ve denetlenen birimden 17 Bulgularla ilgili uyuşmazlık olması ve bu hususların üst yöneticiye intikal ettirilmesi durumunun yanı sıra, eylem planları ile ilgili uyuşmazlık hallerinin de üst yöneticiye intikal ettirilmesi gerekir. Örneğin; üst yönetici yüksek önem düzeyine sahip bir bulgunun daha kısa sürede tamamlanmasını veya yüksek önem düzeyine sahip bir bulguya yönelik olarak farklı bir aksiyon alınmasını isteyebilir. Sayfa 116 / 365

117 V1.0 bu doğrultuda eylem planı alınır. Bu eylem planları ilgili Bulgu Değerlendirme Formuna iģlenir. Yukarıda belirtilen durumlar aģağıdaki tabloda gösterilmiģtir. Tablo 5.3. Bulgunun Rapora Konulup Konulmamasına Karar Verilmesi Denetlenen Birim Ġç Denetim Birimi Üst Yönetici Bulgunun Durumu Bulguya katılıyor > Raporda yer verilir. Bulguya katılmıyor. (Düzeltilemez husus) Denetlenen birimin görüģüne katılıyor > Raporda yer verilmez. Bulguya katılmıyor. (Düzeltilebilir husus) Denetlenen birimin görüģüne katılıyor > Düzeltme yapılarak raporda yer verilir. Bulguya katılmıyor Bulguya katılmıyor Denetlenen birimin görüģüne katılmıyor. Denetlenen birimin görüģüne katılmıyor. UzlaĢılamayan husus olarak Üst Yöneticiye aktarılır. Denetlenen birimin görüģüne katılıyor. Ġç Denetim Biriminin görüģüne katılıyor. Raporda yer verilmez. Eylem planı alınarak raporda yer verilir. Kalite güvence değerlendirmeleri kapsamında dikkate alınmak üzere, uzlaģmazlık konusu hususlara iliģkin olmak üzere, Üst Yöneticinin talimatları dâhil, rapordaki düzeltmeler çalıģma kâğıtlarına bağlanarak denetim dosyasına konulur Denetim GörüĢünün OluĢturulması Denetim görüģü, denetim görevi sırasında toplanan bilgi ve kanıtlar doğrultusunda denetim konusu hususlarla ilgili olarak görevin amaç ve kapsamına uygun bir Ģekilde genel Sayfa 117 / 365

118 V1.0 bir kanaate ulaģılmasıdır. Bu görüģ ile denetlenen birim yöneticisine ve Üst Yöneticiye, denetim alanına iliģkin genel durumu hakkında bilgi sunulur. DĠKKAT Bir faaliyet tüm Ġdare çapında yürütülüyorsa ve denetim görevi kapsamında denetlenmiģse, buna iliģkin görüģ verilebilmesi için Ġdarenin genel durumunu yansıtacak seviyede bir örneklem seçilmiģ olması gerekmektedir. Aksi halde yanıltıcı görüģ verilmesi durumu söz konusu olabilecektir. Kaynak yetersizliğinden dolayı Ġdarenin genel durumunu yansıtacak ölçüde örneklem yapılamıyorsa bu durumda verilen görüģ sadece test uygulanan birimlerle sınırlı olmalıdır. Örneğin Ġdarenin tüm birimlerinin taģınır iģlemlerine yönelik olarak sadece 5 (beģ) harcama biriminde denetimin yürütülmesi halinde, verilecek görüģ bu beģ harcama biriminin taģınır iģlemleriyle sınırlı olacaktır. Burada en kritik husus, denetim ekibinin ne seviyede güvence verdiğinin farkında olması ve bunu yeterli kanıt, örnek ve bilgiye dayandırmasıdır. için; Denetlenen faaliyet ya da süreçle ilgili olarak bir denetim görüģü ortaya konulabilmesi Hangi Ģartlar altında ne tür denetim görüģü verileceğine iliģkin esasların açık ve net olarak Ġç Denetim Yönergesinde tanımlanmıģ olması, Söz konusu esasların Üst Yönetici tarafından onaylanarak Ġdarenin tüm birimlerine bildirilmiģ olması, Denetlenen faaliyet ya da süreçlerin yeterliliğiyle ilgili destekleyici ve yeterli miktarda denetim kanıtı elde edilmiģ olması, ġarttır. OluĢturulan denetim görüģü her durumda, yeterli, güvenilir ve ilgili bilgilere dayanmalı ve mümkün olduğunca olumlu bir Ģekilde ifade edilmelidir. (Ek : Denetim GörüĢü OluĢturma) Sayfa 118 / 365

119 Denetim Raporunun Hazırlanması V1.0 KĠDS na göre, denetim sonuçlarının raporlanması zorunludur. Ancak bu raporlamanın Ģekli ve içeriği görevin mahiyetine göre değiģiklik göstermektedir. Denetim raporunda bulunması gereken temel unsurlar ise (1) denetimin amacı, (2) denetimin kapsamı, (3) denetim yöntemi, (4) tespitler (mevcut durum), (5) uygulanabilir öneriler, (6) eylem planları (7) bulgunun önem seviyesi ve (8) Ġyi Uygulamalar ve baģarılı performans Ģeklinde belirlenmiģtir. Bir bulgu ortaya konmuģsa bununla ilgili mutlaka uygulanabilir bir önerinin ve eylem planının da bulunması gerekir. Dolayısıyla herhangi bir denetim raporunda bu unsurlardan birinin eksikliği halinde, bu rapor KĠDS 2410 numaralı standart ile uyumsuz hale gelecektir. Herhangi bir kanıta dayanmayan ve denetlenen birimle paylaģılmayan bir öneriye raporda yer verilmesi yerinde olmayacaktır. DENETĠM RAPORLARINDA BULUNMASI GEREKEN 8 (SEKĠZ) TEMEL UNSUR Denetim raporunda bulunması gereken temel unsurlar; (1) Denetimin Amacı, (2) Denetimin Kapsamı, (3) Denetim Yöntemi, (4) Tespitler (mevcut durum), (5) Uygulanabilir Öneriler ve Eylem Planı, (6) Eylem Planları, (7) Bulgunun Önem Seviyesi, (8) Ġyi Uygulamalar ve BaĢarılı Performans. Denetim raporu, aģağıdaki adımların gerçekleģtirilmesi suretiyle tamamlanır: 1. Amaç olarak yazılan ifadenin, denetim sonucunda ulaģılan durumun ne olduğunu anlatmada yeterli olduğundan emin olunur. Gerektiğinde neden böyle bir denetime ihtiyaç duyulduğu bilgisine de yer verilebilir. 2. Kapsam olarak yazılan ifadenin denetlenen birim, faaliyet ve dönemi net bir Ģekilde ortaya koyduğundan emin olunur. Denetim alanı içinde yer alan ancak kapsam dıģı bırakılan birim ya da faaliyetler de belirtilir. 3. Yöntem ile ilgili ifadelerin kullanılan denetim sırasında kullanılan metodolojiyi tam olarak tanımladığından emin olunur. Sayfa 119 / 365

120 4. Üzerinde uzlaģma sağlanan bulgulara raporda yer verilir. V1.0 Bu aģamalardan sonra denetim raporu Ġç Denetim Birimi BaĢkanı tarafından ekte örneği bulunan kontrol listesi aracılığıyla gözden geçirilir. (Ek-33: Denetim Raporu Gözden Geçirme Kontrol Listesi) Bu Ģekilde nihai hale gelen denetim raporu, Ġç Denetim Birimi BaĢkanı ve denetim ekibi tarafından imzalanarak Üst Yöneticiye sunulur. Raporda yer alan yüksek riskli bulgular ve kritik diğer konular raporun yönetici özetinde ele alınır ve raporun hangi birimlere gönderilmesi gerektiği hususu (dağıtım listesi) belirlenir. Raporun sunumu, dar anlamda bir yazı ekinde Üst Yöneticiye iletilmesi olarak anlaģılmamalıdır. Rapor konusu hususların, görsel materyaller gibi etkili olabilecek araçlar kullanılarak bir toplantıyla Üst Yöneticiye sunulması iyi bir uygulamadır. Ancak Üst Yöneticiye sunulacak hususların titizlikle önemli konularla sınırlandırılması gerektiği unutulmamalıdır. Denetim raporu, ĠDB tarafından hazırlanan ve Üst Yönetici tarafından imzalanan bir yazı eki dağıtım listesi doğrultusunda gereği ve/veya bilgi için denetlenen birime/birimlere ve Strateji GeliĢtirme Dairesi BaĢkanlığına gönderilmelidir. Denetim raporunun kapsam ve formatı aģağıdaki Ģekilde olmalıdır:(ek-38: Denetim Raporu ġablonu) a) Rapor kapağı Rapor kapağında, nın adına, denetim adına, denetim türüne, denetimi gerçekleģtiren Ġç Denetçilere, Denetim Gözetim Sorumlusuna, raporun tarih ve numarasına yer verilir. b) Yönetici Özeti Üst Yöneticiye ve denetlenen birim yöneticisine yönelik olarak en fazla 2 (iki) sayfa yönetici özeti hazırlanır. Yönetici özeti bölümünde aģağıdaki hususlara yer verilir; b.1) Kısaca denetimin amacı ve kapsamı, b.2) Özet olarak kritik tespit ve öneriler, b.3) Özet olarak denetlenen süreçle ilgili başarılı performans ve iyi uygulama örnekleri. b.4) Denetim görüşü. c) Rapor metni Sayfa 120 / 365

121 Rapor metni asgari olarak aģağıdaki hususları içerir; V1.0 c.1) Görevin dayanağı denetim plan ve programı ile denetlenen birim ya da süreç hakkında kısa bilgilerin açıklandığı GiriĢ bölümü, c.2) Denetimin hedefleri ile denetime tabi tutulan dönem, faaliyet ve işlemler ile denetlenen birimleri vb. içeren Amaç ve Kapsam bölümü c.3) Denetimde uygulanan teknik ve yöntemlerin açıklandığı Denetim Yöntemi bölümü c.4) Rapora alınmasına lüzum görülen her bir tespit ve öneriyi içeren Tespit ve Öneriler bölümü ile bölüm altında aşağıdaki alt bölümler; c.4.1 Önem derecesine göre sınıflandırılmış şekilde denetim amacı karşısında mevcut durumun ortaya konulduğu Tespit bölümü, c.4.2 Mevcut durumu olması gereken duruma getirmek için gerekli tedbir ve eylemleri içeren Öneriler bölümü, c.4.3 Denetlenen birimin verdiği cevaplar ile eylem planını içeren Eylem Planı bölümü, c.5) İç Denetçinin denetlenen süreçle ilgili iç kontrollerin yeterlilik ve etkinliğine ilişkin değerlendirmesini içeren Denetim GörüĢü bölümü. c.6) Denetlenen faaliyet ve süreçle ilgili BaĢarılı performans ve iyi uygulama örnekleri başlığının yer aldığı bölüm. Raporun Üst Yönetici tarafından onaylanarak ilgili birimlere gönderilmesinden sonra, raporda yer alan bulgu sayısı, bulguların önem seviyesi ve etkisi de dikkate alınarak denetim alanı kapsamındaki faaliyet/süreç/projenin risk seviyesi puanı Ġç Denetim Birimi BaĢkanı tarafından güncellenir. Sayfa 121 / 365

122 V1.0 ALTINCI KISIM [DANIġMANLIK FAALĠYETLERĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 122 / 365

123 V DANIġMANLIK HĠZMETLERĠ 6.1. TANIMI DanıĢmanlık faaliyetleri, Ġdarenin hedeflerini gerçekleģtirmeye yönelik faaliyetlerinin ve iģlem süreçlerinin değerlendirilmesi ve geliģtirilmesine yönelik önerilerde bulunulmasıdır. DanıĢmanlık faaliyetleri; yazılı ve yazılı olmayan faaliyetler olarak gerçekleģtirilir. DanıĢmanlık ve benzeri faaliyetler; bir idari sorumluluk üstlenmeksizin yürütülen, icrai konularla ilgili görüģ, kapsamlı mevzuat değiģikliklerine/tasarılarına görüģ verilmesi, eğitim, analiz, değerlendirme, performans göstergelerinin tespiti, kontrol öz-değerlendirme, süreç tasarımı ve proje görevleri gibi idari faaliyetlere değer katmak, kolaylaģtırmak, geliģtirmek ve yol göstermek amaçlarıyla gerçekleģtirilen hizmetlerdir. DANIġMANLIK FAALĠYETĠ TÜRLERĠ DanıĢmanlık faaliyetlerine iliģkin çeģitli sınıflandırmalar yapılabilir: 1. Ġç Denetimin üstleneceği role iliģkin olarak; a. KolaylaĢtırıcı b. Eğitici c. ĠyileĢtirici öneriler geliģtirme 2. Aynı zamanda danıģmanlık faaliyetlerinin kapsamına göre; a. GeniĢ Kapsamlı danıģmanlık faaliyetleri: Bir haftadan fazla bir süre denetim kaynağı kullanımını gerektiren kolaylaģtırıcılık faaliyeti ya da öneri geliģtirme gibi sonucunda spesifik çıktıların üretilmesini amaçlayan danıģmanlık faaliyetleridir. b. Dar Kapsamlı danıģmanlık faaliyetleri: Kısmi mevzuat değiģikliklerine görüģ verilmesi ya da eğitim faaliyetleri ya da çeģitli proje toplantılarına gözlemci statüsünde katılma gibi çok kısa süreli ve detaylı bir raporlama gerektirmeyen danıģmanlık faaliyetleridir. Sayfa 123 / 365

124 6.2. DANIġMANLIK FAALĠYETLERĠNĠN YÜRÜTÜLMESĠ V DanıĢmanlık Faaliyetlerinin Ġç Denetim Plan ve Programına Alınması DanıĢmanlık faaliyetlerinin Ġç Denetim Plan ve programları kapsamında yürütülmesi esastır. Ġç Denetim Planının hazırlanması sürecinde, Kamu Ġç Denetim Strateji Belgesi ve kurum stratejik planı da dikkat alınarak Üst Yönetici tarafından onaylanan denetim stratejisi doğrultusunda danıģmanlık faaliyetleri için plan döneminde ayrılacak denetim kaynağı tespit edilir. Ayrıca, detayları dönem içerisinde belirlenecek danıģmanlık faaliyetleri için Ġç Denetim Plan ve programında ihtiyati kaynak ayrılabilir. DanıĢmanlık faaliyetinin iģin doğası gereği birimlerden gelen talepler üzerine gerçekleģtirilmesi esastır. Bununla birlikte Ġç Denetim Planının hazırlanması sürecinde gerek kurumsal seviyede gerekse birim süreç seviyesinde danıģmanlık faaliyetlerinin katma değer meydana getirebileceği alanların olup olmadığı araģtırılır. Bu kapsamda, kurumsal seviyede üst seviye yöneticilerin görüģ ve önerileri dikkate alınarak danıģmanlık hizmeti verilebilecek alanlar Üst Yöneticiye sunulur ve Üst Yöneticinin uygun görüģü ve önerileri doğrultusunda ilgili birimlerle iģbirliği halinde danıģmanlık faaliyetlerinin amacı, kapsamı, süresi ve yürütülmesine iliģkin detaylar netleģtirilerek Ġç Denetim programına dâhil edilir. Program dıģı danıģmanlık hizmeti talep edilmesi durumunda Ġç Denetim Birimi BaĢkanı tarafından aģağıdaki hususlar göz önünde bulundurularak bir değerlendirme yapılır ve uygun görülmesi halinde ihtiyati denetim kaynağından karģılanmak üzere danıģmanlık hizmeti verilmesine karar verilebilir. DanıĢmanlık görevlerinden elde edilen potansiyel risk ile ilgili bilgiler, Ġç Denetim Plan ve program çalıģmalarında dikkate alınır. a. DanıĢmanlık hizmetinin ilgili sürecin yönetiģim, risk yönetimi ve kontrol sistemlerinin iyileģtirilmesine olası katkısı: YönetiĢim, risk yönetimi ve kontrol süreçleri ne ölçüde zayıfsa danıģmanlığın olası katkısı da o derece fazla olacaktır. b. Ġlgili süreçte son dönemde yaģanan değiģikliklerin boyutu: Yeniden yapılanma, mevzuatta değiģiklik vb. değiģikliklerin boyutu ne derece kapsamlı ve köklü ise, danıģmanlığa ihtiyaç da o derece artacaktır. c. Ġç Denetimin danıģmanlık konusu ile ilgili bilgi ve tecrübe seviyesi: Ġç Denetim Biriminin bilgi ve deneyim seviyesinin yüksek olduğu alanlardaki danıģmanlığı daha fazla katkıda bulunacaktır. Sayfa 124 / 365

125 V1.0 d. Süreç sahibinin/ilgili birim yöneticisinin danıģmanlık hizmeti talebinde ne derecede ısrarcı olduğu: Birim yöneticisinin istekli olması ve danıģmanlık sürecine aktif desteği, danıģmanlık hizmetinin olası katkısını da artıracaktır Uygulama Bireysel danıģmanlık faaliyetleri ilgili birim ile birlikte hazırlanacak olan mutabakat metni esas alınarak KĠDS na uygun bir Ģekilde yürütülür. DANIġMANLIK FAALĠYETĠ MUTABAKAT METNĠNDE BULUNACAK BĠLGĠLER DanıĢmanlık faaliyetlerine iliģkin mutabakat metninde danıģmanlık faaliyetine iliģkin aģağıdaki bilgilerin bulunması beklenir. DanıĢmanlık faaliyetinin; 1) Amaçları, 2) Kapsamı, 3) Süresi, 4) ĠDB ile ilgili birimin karģılıklı rol ve sorumlulukları, 5) Raporlama biçimi ve görev sonuçlarının nasıl izleneceği, Belirlenir. Raporlama yapılmayan danıģmanlık faaliyetlerinde (eğitim, proje, toplantılarına gözlemci olarak katılım vb.) mutabakat metni düzenlenmez. Bireysel danıģmanlık görevlerinde görev amaçlarının belirlenmesinde, ilgili yöneticiyle mutabık kalındığı ölçüde yönetiģim, risk yönetimi ve kontrol süreçlerinin göz önünde bulundurulması gerekmektedir. Herhangi bir süreçle ilgili danıģmanlık hizmetinde bulunan Ġç Denetçinin, bir yıl geçmeden aynı süreçte denetim faaliyeti yürütmemesi esastır. DanıĢmanlık görevini yürütecek Ġç Denetçi, görev kapsamının görev amaçlarının yerine getirilmesinde yetersiz olduğunu düģünüyorsa bu durumu ilgili birim yöneticisiyle birlikte değerlendirerek göreve devam edilip edilmeyeceğini Ġç Denetim Birimi BaĢkanına bildirmek zorundadır. Ġç Denetim Birimi BaĢkanı tarafından yapılacak nihai değerlendirme sonrasında, söz konusu danıģmanlık faaliyetine devam edilmeyecekse durum ilgili birim yöneticisine bildirilir. Sayfa 125 / 365

126 V1.0 Risk yönetimi süreçlerinin geliģtirilmesi, Ġç Denetim faaliyetinin en önemli amaçlarından birisidir. DanıĢmanlık faaliyetleri de bu alanda çok önemli bir fırsat sunmaktadır. Bu nedenle danıģmanlık hizmetinin planlanması çalıģmaları sırasında, risklerin belirlenmesi ve değerlendirmesi çalıģmalarına özel önem verilir. Ġlgili birimden katılımcılarla birlikte mutabakat metninde yer alan görev amaçlarına iliģkin risklerin neler olduğu belirlenmeli ve riskler karģısında mevcut kontrollerin durumu değerlendirilmelidir. Bu çalıģmalar sırasında birimin karģılaģtığı diğer önemli riskler gündeme gelirse Ġç Denetçiler bu riskleri kayıt altına almalı ve söz konusu risklerin iyi yönetilmediğini düģündüğü durumlarda ĠDB tarafından sunulabilecek hizmetleri Ġç Denetim Birimi BaĢkanı ile birlikte değerlendirmelidir. Ġç Denetçiler tespit edilen riskler karģısında mevcut kontrollerin etkililiği ve verimliliğini değerlendirmelidir. Bu konuda geniģ katılımlı bir toplantı düzenlenmesi ve yahut konuyla ilgili yeterli bilgiye sahip kiģilerle ayrı ayrı görüģmeler yapmak suretiyle kontroller hakkında ilgili birimin değerlendirilmeleri alınmalıdır. Daha sonrasında görev amaçlarıyla ilgili riskler karģısında etkili olmadığı düģünülen ya da fayda-maliyet dengesi açısından verimli olmayan kontrollerle ilgili inceleme yapılması için ilgili birimden katılımcılarla birlikte uygulanması öngörülen testler belirlenmeli ve bu testleri içerecek Ģekilde bir görev iģ programı yapılır. Mutabakat metninde iģ programı için içerik ve Ģekil açısından baģka bir format belirlenmemiģse, bu Rehber ekinde yer alan görev iģ programı danıģmanlık faaliyetleri için de kullanılır. DanıĢmalık faaliyetlerinin kontrol öz değerlendirme çalıģması Ģeklinde yürütülmesi de mümkündür. KONTROL ÖZ DEĞERLENDĠRME Kontrol öz değerlendirme Ġdarenin/birimlerin iç kontrol sistemlerini ve süreçlerini geliģtirmek için kullandıkları etkin bir yoldur. Kontrol öz değerlendirme çalıģmasında Ġç Denetçiler, daha çok kolaylaģtırıcı rol üstlenmekte ve süreçle ilgili kontrollerin süreçte görev yapan personel tarafından değerlendirilmesi ön plana çıkmaktadır. Kontrol öz değerlendirme yaklaģımını geleneksel denetim yaklaģımından ayıran en temel özellik, kontrol sistemlerinin ve süreçlerinin değerlendirilmesi iģlemlerinin sadece Ġç Denetçiler tarafından değil kullanılan yönteme göre kurum çalıģanlarının katılımı ile yerine getirilmesidir. Bir danıģmanlık faaliyetinin aģağıdaki hallerde kontrol öz değerlendirme çalıģması olarak yürütülmesi daha fazla yarar sağlayacaktır: Sayfa 126 / 365

127 1) Yeni kurulan birimlerdeki süreçlerin değerlendirilmesinde, V1.0 2) Süreçle ilgili alt mevzuatın oluģturulmadığı veya yetersiz olduğu durumlarda, 3) Sürecin yazılı prosedürlerden çok teamüllere göre yürütüldüğü durumlarda. Ayrıca yumuģak kontrollerin, Ġç Denetçilerin çalıģanlarla iģbirliği içinde olduğu, kontrol öz değerlendirme faaliyetlerine konu edilmesi yararlı olacaktır. YumuĢak kontroller; etik, dürüstlük, yetki sorumluluğu, yönetim tarzı, anlama ve sorumluluk seviyesi, iletiģim liderlik, davranıģ kuralları gibi gayrı resmi olan konulardır. Ġç Denetimde yazılı uygulamalar, kanunlara uyum, sözleģmeler, görevler ayrılığı, stok kayıtlarının yapılması gibi sert kontroller rahatça değerlendirilebildiği halde, önemli kontroller olan yumuģak kontrollerin denetimlerinde yeterli ve uygun Ģekilde test edilmeleri kolay olmamaktadır. ÇalıĢtay, kontrol öz değerlendirmede en sık kullanılan yöntemdir. ÇalıĢtayın baģarı ile uygulanabilmesi için katılımcıların çok iyi seçilmesi ve kontrol öz değerlendirme çalıģmasının nasıl uygulanacağının katılımcılara aktarılarak, katılımcıların risk tanımlama, analiz etme, değerlendirme ve kontrollerin tasarlanması konularında eğitilmesi gerekmektedir. ÇalıĢmanın somut sonuçlarının aktif katılıma bağlı olduğu ve özellikle risklerin belirlenmesinde ve mevcut kontrollerin değerlendirilmesinde bütün katılımcıların özgürce düģüncelerini ifade etmelerinin çok önemli olduğuna vurgu yapılır. ÇalıĢma sırasında farklı görüģlerin nasıl uyumlaģtırılacağı ve sonuçlar üzerinde tüm katılımcıların mutabakatının aranıp aranmayacağı çalıģtay öncesinde belirlenmeli ve katılımcılara iletilmelidir Saha ÇalıĢması Görevin Yürütülmesi (2300) standartları bakımından danıģmanlık görevleri ile planlı güvence görevleri arasında bir fark bulunmamaktadır. DanıĢmanlık faaliyeti kapsamında yapılan çalıģmalar görev iģ programına göre yürütülmeli, gözetim sorumlusu tarafından gözden geçirilmeli ve ayrıca çalıģma kâğıtlarıyla belgelenmelidir. Özellikle varılan sonuçlara dayanak teģkil eden bilgi ve belgelerin çalıģma kâğıtlarıyla kayıt altına alınmasına özel dikkat gösterilmelidir Raporlama ve Ġzleme DanıĢmanlık raporlarının da KĠDS na uygun bir Ģekilde doğru, tarafsız, açık, özlü, yapıcı ve tam olması ve öngörülen zamanda sunulması gerekmektedir. Ġç Denetim Birimi Sayfa 127 / 365

128 V1.0 BaĢkanı danıģmanlık raporlarını bu kriterlere uyup uymadığı konusunda değerlendirir ve görüģlerini görevli Ġç Denetçilere bildirir. Ġç Denetçiler tarafından gerekli düzeltmeler yapıldıktan sonra rapor ilgili birimlere gönderilir. Yönetimin uygun bulmadığı önerilere raporda yer verilmeyebilir. DanıĢmanlık görevi sırasında tespit edilen ve rapora dâhil edilemeyen önemli sorunlar bulunuyorsa bunlar ayrı bir yazı ile Üst Yöneticiye ve ilgili üst seviye yöneticilere bildirilir. DanıĢmanlık görevleri sonucunda düzenlenen raporda yer almayan ancak yıllık risk değerlendirmesinde veya diğer denetim görevlerinde kullanılabilecek bilgiler özel olarak ĠDB ne iletilir. BĠR DANIġMANLIK RAPORUNDA BULUNMASI GEREKEN UNSURLAR DanıĢmanlık Raporunun kapsamı aģağıdaki unsurları içermelidir: 1. Rapor kapağı; Ġç Denetim Birimine, yürütülen danıģmanlık konusuna, danıģmanlık talep eden birime veya yöneticiye, danıģmanlığı gerçekleģtiren Ġç Denetçilere, gözetim sorumlusuna, raporun tarih ve numarasına yer verilir. 2. Yönetici özeti; Kısaca danıģmanlığın amacı ve kapsamı ile özet olarak yönetimin uygulanmasını uygun gördüğü tespit ve önerilere yer verilir. Üst Yöneticiye yönelik hazırlanan özet mümkün olduğu kadar kısa hazırlanmalıdır. (en fazla iki sayfa gibi) 3. Rapor metni; Rapor metninde en az aģağıda yer verilen hususların yer alması beklenir; a. Görevin Ġç Denetim programı kapsamında mı yoksa programı dıģı talep üzerine mi gerçekleģtirildiği, danıģmanlığın konusu ve görevin yerine getirildiği dönem hakkında kısa bilgilere yer verilen GiriĢ bölümü, b. DanıĢmanlık talep eden birim/yönetici ile varılan mutabakat sonucunda belirlenen amaçların ve kapsamının belirtildiği Amaç ve Kapsam bölümü, c. Yapılan çalıģma ve analizler ile yöntemlerin belirtildiği Yöntem bölümü, d. Yürütülen görev sonucunda yapılan değerlendirme, tespit ve tavsiyeleri içeren Tespitler ve Değerlendirme. DanıĢmanlık faaliyeti sonucunda düzenlenecek raporun Ģekli ve içeriği konusunda Rehberin ekinde yer alan danıģmanlık rapor Ģablonu kullanılır. (Ek-39:DanıĢmanlık Raporu ġablonu) Sayfa 128 / 365

129 V1.0 Ġç Denetim Birimi, danıģmanlık raporunda somut ve belli bir takvime bağlanan önerilerin olması ve danıģmanlık hizmeti talep eden birimle mutabık kalındığı ölçüde görev sonuçlarını izlemeye alır. DanıĢmanlık faaliyetlerine iliģkin izleme sonuçları da Üst Yöneticiye ayrıca raporlanır. Sayfa 129 / 365

130 V1.0 YEDĠNCĠ KISIM [ĠZLEME FAALĠYETLERĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 130 / 365

131 V ĠZLEME Ġç Denetimin Ġdarenin faaliyetlerine değer katabilmesi açısından, denetim raporlarında yer alan önerilerin hayata geçirilmesi kilit önemi haizdir. Bu nedenle bu öneriler doğrultusunda denetlenen birimler tarafından sunulan eylem planlarının gerçekleģme durumlarının takip edilmesi gereklidir. Bu doğrultuda bulguların izlenmesi aģamasında, denetim faaliyetleri sonucunda, eylem planına alınan ve bir uygulama takvimine bağlanan faaliyetlerin gerçekleģme durumları takip edilmektedir. Ġzleme kapsamında; denetim raporunda belirtilen öneriler, bu öneriler doğrultusunda sorumlu birimlerce gerçekleģtirilmesi taahhüt edilen ve bir takvime bağlanan eylemlerin gerçekleģme seviyesi, takvim çerçevesinde aksiyon alınan eylemlerin ilgili riski azaltıp azaltmadığı hususları dikkate alınır. Denetim raporunun ilgili birimlere gönderildiği üst yazıda, belirlenen takvim çerçevesinde rapordaki eylemlerin yerine getirilmesine iliģkin izleme sürecinin baģlayacağı ve bulgunun kapatılabilmesi için denetlenen birimin söz konusu eylemlere iliģkin gerçekleģmeleri Ġç Denetim Birimine bildirmesi gerektiği ayrıca vurgulanır. Ġzleme süreci, denetim raporunun denetlenen birimlere gönderilmesiyle baģlar ve görevlendirilen Ġç Denetçi (ya da Ġç Denetim Birimi BaĢkanı) tarafından bulgunun kapatılmasıyla sona erer. Bulguların izlenmesi; denetim, Ġç Denetçi ve eylem planlarının tamamlanma tarihleri bazında yapılabilir. Kritik ve yüksek önem seviyesine sahip bulguların izlenmesinde Ġç Denetim Birimi BaĢkanı bu durumu göz önünde bulundurarak görevlendirme yapmalıdır. ĠDB tarafından eylem tarihi sona eren bulgulara iliģkin gerçekleģme bilgileri ve belgeler denetlenen birimden yazılı olarak talep edilir. Denetlenen birim tarafından gerçeklemelere iliģkin gönderilen bilgi ve belgelerin, eylem planında belirtilen hususların yerine getirildiği kanaatine varılmıģsa izlemeyle görevlendirilen Ġç Denetçi tarafından TAMAMLANMIġ olarak kapatılır. Bulgunun kapatılması için yerinde test yapılmasının gerekli görülmesi halinde ise görevlendirilen Ġç Denetçi, faaliyetin niteliğine göre en uygun test yöntemlerini belirleyip uygulayarak bulguda yer alan hususlarla ilgili olarak gerekli önlemlerin alınıp alınmadığını ve risklerin karģılanıp karģılanmadığı değerlendirir. Bu değerlendirme sonucunda, eylem planında belirtilen hususların yerine getirildiği kanaatine varılmıģsa izlemeyle görevlendirilen Ġç Denetçi tarafından TAMAMLANMIġ olarak kapatılır. Sayfa 131 / 365

132 V1.0 Denetlenen birim tarafından eylemlerin tamamlanmaması ve süre uzatımı talebinin olması halinde bir defaya mahsus olmak üzere süre uzatımı verilerek izleme faaliyeti bir sonraki döneme aktarılır. Verilen ek süre, bulgunun önem seviyesi ve mahiyetine bağlı olarak belirlenir ancak hiçbir surette 24 (yirmi dört) ayı geçemez. Bulgunun izlenmesi sürecinde, eylem planında belirlenen tarihte herhangi bir ilerlemenin kaydedilmediğinin görülmesi ve ilgili birimden de süre uzatımına yönelik bir talebin olmaması halinde, söz konusu bulgu bir sonraki izleme periyodunda da kapsama alınır. KİDS 2060 İç denetim yöneticisi, İç Denetim faaliyetinin amacı, görev, yetki ve sorumlulukları ve planın uygulama sonuçlarını üst yönetici ile bakanlıklar ve bağlı idarelerde bakana dönemsel raporlar halinde sunmak zorundadır. Bu raporlar, suiistimal risklerini, yönetişim sorunlarını ve üst düzey yöneticiler ve üst yöneticinin ihtiyaç duyabileceği veya talep edebileceği diğer konuların da dâhil olduğu önemli riskleri ve kontrol sorunlarını içermek zorundadır. Ġkinci izleme periyodunda da herhangi bir ilerleme kaydedilmemesi halinde, riskin üstlenildiği kabul edilerek bulgu, RĠSK ÜSTLENĠLDĠ olarak kapatılır. Ancak Ġç Denetim Birimi BaĢkanı, kurum için kabul edilemeyecek bir riskin üstlenildiğini düģünüyorsa bu durumu denetlenen birim yöneticisiyle müzakere eder. Müzakere sonucunda mutabakat sağlanamaması durumunda çözüme kavuģturulması amacıyla Üst Yöneticiye bildirilir. Ġzleme sonuçları toplulaģtırılarak dönemsel raporlama kapsamında Üst Yöneticiye sunulur. Bu raporlamada Üst Yönetici özellikle, RĠSK ÜSTLENĠLDĠ olarak kapatılan bulgular konusunda bilgilendirilir. Görevlendirilen Ġç Denetçiler, eylemlerin gerçekleģmelerine iliģkin denetlenen birimlerin bildirimleri ve test sonuçları için çalıģma kâğıdı düzenler ve bu belgeleri bir yazı ekinde ĠDB BaĢkanlığına sunar. Söz konusu kayıtlar ilgili denetimin dosyasında saklanır. (Ek-30: Bulgu Takip Formu) Denetlenen birim yöneticisi değiģikliklerinde takip edilen bulgulara iliģkin son durum yeni atanan yöneticiye gönderilebilir. Bulgular kapatıldıktan sonra, bulgunun ilgili olduğu risklere iliģkin mikro risk puanı güncellenir. Ayrıca, bulgunun önem seviyesi ve etkileri de dikkate alınarak denetim alanı kapsamındaki faaliyet/süreç/projenin risk seviyesi puanı Ġç Denetim Birimi BaĢkanı tarafından güncellenir. Sayfa 132 / 365

133 V1.0 SEKĠZĠNCĠ KISIM [ĠÇ DENETĠM SONUÇLARININ ĠDKK YA GÖNDERĠLMESĠNE ĠLĠġKĠN HUSUSLAR] Sayfa 133 / 365

134 V ĠÇ DENETĠM SONUÇLARININ ĠDKK YA GÖNDERĠLMESĠ VE ĠDKK YA SUNULACAK DĠĞER BĠLGĠ VE BELGELER Ġç Denetim raporları ile bunlar üzerine yapılan iģlemler hakkındaki bilgiler; raporun Üst Yöneticiye sunulduğundan itibaren 2 (iki) ay içerisinde Kurula gönderilir. BaĢkan tarafından veya izleme ile görevlendirilen Ġç Denetçi tarafından yapılan çalıģmalar sonucunda hazırlanan Ġzleme Raporu, Nihai Rapor üzerine yapılan iģlemlerle birlikte, Kurula gönderilir. Bu iģlemi Üst Yönetici adına Ġç Denetim Birimi BaĢkanı tarafından gerçekleģtirilir. tarafından hazırlanan Yıllık Ġç Denetim Faaliyet Raporunun bir örneği ġubat Ayının sonuna kadar Kurula gönderilir. tarafından hazırlanan, ĠSKĠ Ġç Denetim Yönergesi taslağı veya ĠSKĠ Ġç Denetim Yönergesinde kısmi değiģiklik önerisi Kurulun görüģüne gönderilir, Kurul tarafından verilen görüģ doğrultusunda Yönerge taslağına son hali verilir ve ĠSKĠ Yönetim Kurulu tarafından onaylanan ĠSKĠ Ġç Denetim Yönergesi ile bu Ģekilde hazırlanan ĠSKĠ Ġç Denetim Yönergesi değiģikliklerinin onaylanmıģ bir örneği Kurula gönderilir. Ġç Denetim faaliyetlerinde Ġç Denetçiler tarafından esas alınmak üzere, Kurul tarafından, hazırlanan, geliģtirilen, güncellenen ve yayımlanan denetim rehberleri, Kurul tarafından yayımlanan usul ve esaslara uygun olarak, nın görev alanına giren konular itibariyle, Ġç Denetim Faaliyetlerinde yol gösterici olacak, Ġç Denetçilerin denetim yeteneklerini sınırlamayacak ve Ġç Denetim uygulamalarının geliģtirilmesine imkân sağlayacak Ģekilde hazırlanan ĠSKĠ Ġç Denetim Rehberinin bir örneği Kurula gönderilir. ĠSKĠ Genel Müdürlüğü denetim faaliyetlerine esas dokümanlardan; ĠSKĠ Denetim Evreni, Risk Değerlendirme ÇalıĢmaları Sonuçları, ĠSKĠ Ġç Denetim Plan ve Programları ve bunlara iliģkin gözden geçirme çalıģmalarının sonuçları Kurula gönderilir. Kalite güvence ve geliģtirme çalıģmaları kapsamında yapılan dıģ değerlendirme sonuçlarına göre gerçekleģtirilen eylemlere iliģkin bilgiler ile ĠSKĠ Ġç Denetim Birimi BaĢkanlığı bünyesinde yapılan yıllık iç değerlendirme çalıģmalarının sonuçları Kurula gönderilir. Kamu Ġç Denetçi Sertifika Derecelendirmesine iliģkin puanlama teklif ve taslağı Ġç Denetim Birimi BaĢkanı tarafından Genel Müdürlük Makamına (Üst Yönetici) sunulur, Sayfa 134 / 365

135 V1.0 puanlama teklifinin Üst Yönetici tarafından onaylanması üzerine ve sertifika derecelendirmesine esas puanlama teklifi Kurula gönderilir. Ġç Denetçi ile denetlenen birim arasında oluģacak görüģ ayrılıkları Üst Yönetici tarafından çözülür. Üst Yönetici ile Ġç Denetçi arasında görüģ ayrılıkları olması halinde ise durum anlaģmazlığın giderilmesine yardımcı olmak amacıyla aracılığıyla Kurula iletilir. Ġç Denetçilerin, Ġç Denetçilik mesleği ile bağdaģmayan hareketlerde bulunduğunun objektif olarak tespit edilerek Rapora bağlanması durumunda, ilgili Ġç Denetçi hakkında düzenlenen bu raporun Kamu Ġç Denetçi Sertifikası ile ilgili değerlendirme yapılmak üzere Ġç Denetim Koordinasyon Kuruluna gönderilir. Mevzuat hükümleri çerçevesinde Kurula sunulması icap eden diğer bilgi ve belgeler Ġç Denetim Birimi BaĢkanı ve/veya Üst Yönetici tarafından Ġç Denetim Koordinasyon Kuruluna gönderilir. Sayfa 135 / 365

136 V1.0 DOKUZUNCU KISIM [ĠÇ DENETĠM ÇALIġMALARINDA KULLANILACAK PAPOR VE FORM ġablonlarina VE EKLERE ĠLĠġKĠN HUSUSLAR Sayfa 136 / 365

137 V EKLER Bu bölümde, Rehberin daha iyi anlaģılabilmesi açısından detaylı olarak ele alınmasının yararlı olduğu düģünülen temel bilgiler ile yardımcı araçlara, form ve Ģablonlara yer verilmiģtir. & & & EK NO. AÇIKLAMA 1 Denetim Evreni Örneği ve ĠSKĠ Genel Müdürlüğü Denetim Evreni 2 Risk Faktörleri 3 Risk Analizi Modeli 4 Risk Sınıflandırma Tablosu 5 Olasılık ve Etki Değerlendirme Skalası 6 Risk Kontrol Matrisi Örneği 7 Ġç Denetim Plan ve Programı 7.1 Üst Yönetici Onayı Örneği 7.2 Ġç Denetim Planı Örneği Ġç Denetim Planı Eki Çizelge 7.3 Ġç Denetim Programı Ġç Denetim Programı Eki Çizelge Ġç Denetim Planının Güncellenmesi Örneği 8 Ġç Denetçi Görevlendirme Yazısı Örneği 9 Tarafsızlığı Zedeleyen Hususlara ĠliĢkin Açıklamalar 10 Tarafsızlık ve Gizlilik Belgesi Örneği Sayfa 137 / 365

138 V Denetim Bildirim Yazısı Örneği 12 Denetim Kontrol Listesi 13 Denetim Süre Planı Örneği 14 Standart ĠĢ AkıĢ Sembollerine ĠliĢkin Açıklamalar 15 Süreç Analizi Bilgi Toplama Formu 16 Etik Denetimine ĠliĢkin Açıklamalar 16.1 Etik Anket Formu Örnekleri Kurum Seviyesindeki Personel Anket Örneği Denetim Görevlerine ĠliĢkin Personel Anketi Örneği Ġç Kontrol Olgunluk Seviyelerine ĠliĢkin Açıklamalar Denetim GörüĢünün OluĢturulması 17 ÇalıĢma Kağıtlarına ĠliĢkin Açıklamalar 18 ÇalıĢma Kağıdı ġablonu 19 AçılıĢ Toplantısı Toplantı Tutanağı Örneği 20 Risk Kaydı Formu Örneği (Risk Kütüğü Bilgileri) 21 Kontrol Kaydı Formu Örneği (Kontrol Kütüğü Bilgileri) 22 ÇalıĢma Planı ve Eki Görev ĠĢ Programı Örneği ÇalıĢma Planı Formu Örneği ÇalıĢma Planı Eki Görev ĠĢ Programı 23 Kanıt ve Bilgi Toplama Tekniklerine ĠliĢkin Açıklamalar 24 Örneklem Ġle Ġlgili Kullanılan Terimlere ĠliĢkin Açıklamalar Sayfa 138 / 365

139 V Test Kağıdı Formu Örneği 26 Bulgu Formu Örneği 27 Kök Neden Analizi 28 Bulguların Önem Seviyesine ĠliĢkin Açıklamalar 29 Bulgu PaylaĢım Formu Örneği 30 Bulgu Takip Formu Örneği 31 Denetim Değerlendirme Formu Örneği 32 Ġç Denetçi Değerlendirme Formu 32.1 Denetim Görevi Sonrasında Ġç Denetçi Değerlendirme Formu Örnekleri Denetçi Değerlendirme Formu (Tek KiĢilik Denetim Ekibi) Denetçi Değerlendirme Formu (Ġki KiĢilik Denetim Ekibi) Denetçi Değerlendirme Formu (Üç KiĢilik Denetim Ekibi) 32.2 DanıĢmanlık Görevi Sonrasında Ġç Denetçi Değerlendirme Formu Örnekleri DanıĢmanlık Değerlendirme Formu (Tek KiĢilik DanıĢmanlık Ekibi) DanıĢmanlık Değerlendirme Formu (Ġki KiĢilik DanıĢmanlık Ekibi) DanıĢmanlık Değerlendirme Formu (Üç KiĢilik DanıĢmanlık Ekibi) 33 Rapor Gözden Geçirme Kontrol Listesi 34 Yazılı Olmayan DanıĢmanlık Formu Örneği 35 KapanıĢ Toplantısı Tutanağı Örneği 36 Bulgu Değerlendirme Formu Örneği 37 Bulgu UyuĢmazlık Tablosu Örneği Sayfa 139 / 365

140 V Denetim Raporu ġablonu 39 DanıĢmanlık Raporu ġablonu 40 Dönemsel Rapor ġablonu 41 Ġç Denetim Faaliyet Raporu ġablonu 42 Ġzleme Görevlendirmesi 43 Ġzleme Bildirim Yazısı 44 Ġzleme Raporu ġablonu & & & Sayfa 140 / 365

141 ÖRNEK 1 DENETĠM EVRENĠ Örnek 1. (X) BüyükĢehir Belediyesi Denetim Evreni SN SÜREÇ/ALT SÜREÇ/FAALĠYET/ALT FAALĠYET ĠLGĠLĠ BĠRĠM ĠLGĠLĠ ALT BĠRĠM 1. ĠNSAN KAYNAKLARI YÖNETĠMĠ 1.1 Memur personel maaģ tahakkuk iģlemleri Ġnsan Kayn. ve Eğt.D.BĢk. MaaĢ Tahakkuk ġb.md. 1.2 ĠĢçi personel maaģ ödemeleri Ġnsan Kayn. ve Eğt.D.BĢk. ĠĢçi personel müdürlüğü 1.3 SözleĢmeli personel maaģ ödemeleri Ġnsan Kayn. ve Eğt.D.BĢk. ĠĢçi personel müdürlüğü 1.4 Ġzin iģlemleri Ġnsan Kayn. ve Eğt.D.BĢk. ĠĢçi personel müdürlüğü 1.5 Disiplin iģlemleri Ġnsan Kayn. ve Eğt.D.BĢk. ĠĢçi personel müdürlüğü 1.6 ĠĢ sağlığı ve güvenliği süreci Ġnsan Kayn. ve Eğt.D.BĢk. ĠĢçi personel müdürlüğü Sayfa 141 / 365

142 & & & EK 1 ĠSKĠ GENEL MÜDÜRLÜĞÜ ĠÇ DENETĠM EVRENĠ ĠSKĠ Genel Müdürlüğü Ġç Denetim Evreni; Ġdaremizin a) Ġdare Birimlerinin Sorumluluğunda Bulunan Süreçler ve Bu Süreçlere ĠliĢkin Faaliyetler ile b) Ġdaremiz Harcama Birimlerinden, oluģmaktadır. & & & T.C PLAN DÖNEMĠ ĠSKĠ ĠÇ DENETĠM EVRENĠ A. ĠSKĠ GENEL MÜDÜRLÜĞÜ SÜREÇLERĠNE GÖRE DENETĠM EVRENĠ TABLOSU SIRA NO SÜREÇ KODU 1 SÜREÇ / ALT SÜREÇ / FAALĠYET / ALT FAALĠYET ADI ĠÇME SUYUNUN YÖNETĠLMESĠ Ham Su Temin Edilmesi ĠLGĠLĠ BĠRĠM PLAN PROJE DAĠRESĠ BAġKANLIĞI, SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ĠLGĠLĠ ALT BĠRĠM Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü, Sayfa 142 / 365

143 2 1.2 Ham Suyun Ġletilmesi ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI. PLAN PROJE DAĠRESĠ BAġKANLIĞI, SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI Ham Suyun Arıtılması PLAN PROJE DAĠRESĠ BAġKANLIĞI, Baraj ĠĢletmeleri ve Katodik Koruma ġube Müdürlüğü, Su Proje ġube Müdürlüğü, Terkos ĠĢletmeleri ġube Müdürlüğü, YeĢilçay ĠĢletmeleri ġube Müdürlüğü. Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü, Asya Su Ġsale ġube Müdürlüğü, Asya Su Ġsale ġube Müdürlüğü, Asya Terfi Merkezleri ġube Müdürlüğü, Avrupa Su Ġsale ġube Müdürlüğü, Avrupa Su Ġsale ġube Müdürlüğü. Avrupa Terfi Merkezleri ġube Müdürlüğü, Su Dağıtım ve Kumanda ġube Müdürlüğü, Su Proje ġube Müdürlüğü, Terkos ĠĢletmeleri ġube Müdürlüğü, YeĢilçay ĠĢletmeleri ġube Müdürlüğü, Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü. V1.0 Sayfa 143 / 365

144 4 1.4 Ġçme Suyunun Ġletilmesi Ġçme Suyunun Dağıtılması SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, SU ARITMA DAĠRESĠ BAġKANLIĞI PLAN PROJE DAĠRESĠ BAġKANLIĞI, SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI. PLAN PROJE DAĠRESĠ BAġKANLIĞI, SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, Ömerli Su Arıtma ġube Müdürlüğü, Büyükçekmece Su Arıtma ġube Müdürlüğü, Cumhuriyet Su Arıtma ġube Müdürlüğü. Ġkitelli Su Arıtma ġube Müdürlüğü, Kâğıthane Su Arıtma ġube Müdürlüğü, Su Proje ġube Müdürlüğü, Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü, Asya Su Ġsale ġube Müdürlüğü, Asya Terfi Merkezleri ġube Müdürlüğü, Avrupa Su Ġsale ġube Müdürlüğü, Avrupa Terfi Merkezleri ġube Müdürlüğü. Su Proje ġube Müdürlüğü, Terkos ĠĢletmeleri ġube Müdürlüğü, YeĢilçay ĠĢletmeleri ġube Müdürlüğü, Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube V1.0 Sayfa 144 / 365

145 ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, Müdürlükleri, Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü, Asya Su Ġsale ġube Müdürlüğü, V1.0 ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, Avrupa Su Ġsale ġube Müdürlüğü, Su Proje ġube Müdürlüğü, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI, Yer altı Suları ve Göletler ġube Müdürlüğü. ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI Ġçme Suyu Tesislerinin Sürekliliğinin Sağlanması SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, SU ARITMA DAĠRESĠ BAġKANLIĞI, ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, Asya Su Ġsale ġube Müdürlüğü, Asya Terfi Merkezleri ġube Müdürlüğü, Avrupa Su Ġsale ġube Müdürlüğü, Avrupa Terfi Merkezleri ġube Müdürlüğü. Baraj ĠĢletmeleri ve Katodik Koruma ġube Müdürlüğü, Büyükçekmece Su Arıtma ġube Sayfa 145 / 365

146 Müdürlüğü, V1.0 Cumhuriyet Su Arıtma ġube Müdürlüğü, Ġkitelli Su Arıtma ġube Müdürlüğü, Kâğıthane Su Arıtma ġube Müdürlüğü, Ömerli Su Arıtma ġube Müdürlüğü, Su Dağıtım ve Kumanda ġube Müdürlüğü, Terkos ĠĢletmeleri ġube Müdürlüğü, YeĢilçay ĠĢletmeleri ġube Müdürlüğü, Büyükçekmece Su Arıtma ġube Müdürlüğü, Cumhuriyet Su Arıtma ġube Müdürlüğü Ġçme Suyu Kalitesinin Kontrol Altında Tutulması SU ARITMA DAĠRESĠ BAġKANLIĞI. Ġkitelli Su Arıtma ġube Müdürlüğü, Kâğıthane Su Arıtma ġube Müdürlüğü, Ömerli Su Arıtma ġube Müdürlüğü, Su Arıtma Planlama ve Kontrol ġube Müdürlüğü, Temizsu Laboratuar ġube Müdürlüğü, Sayfa 146 / 365

147 8 1.8 Su Kaynaklarının Korunması Su Kayıp ve Kaçaklarının Yönetilmesi EMLAK VE ĠSTĠMLÂK DAĠRESĠ BAġKANLIĞI, ÇEVRE KORUMA VE KONTROL DAĠRESĠ BAġKANLIĞI, SU ARITMA DAĠRESĠ BAġKANLIĞI, MAKĠNE ĠKMAL VE TESĠSLER DAĠRESĠ BAġKANLIĞI. ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI, Asya Bölgesi Atıksu Kontrol ve Ruhsat ġube Müdürlüğü, Asya Bölgesi Havza Koruma ġube Müdürlüğü, Atık Yönetimi ve Çevre Denetimi ġube Müdürlüğü, Avrupa Bölgesi Atıksu Kontrol ve Ruhsat ġube Müdürlüğü, Avrupa Bölgesi Havza Koruma ġube Müdürlüğü. Harita ĠĢleri ġube Müdürlüğü, Temizsu Laboratuar ġube Müdürlüğü, Tesisler Bakım ve Onarım ġube Müdürlüğü. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, Asya Su Ġsale ġube Müdürlüğü, Avrupa Su Ġsale ġube Müdürlüğü, Coğrafi Bilgi Sistemleri ġube Müdürlüğü, Su Dağıtım ve Kumanda ġube V1.0 Sayfa 147 / 365

148 Vakıf Sularının Yönetilmesi 2 ATIKSUYUN YÖNETĠLMESĠ PLAN PROJE DAĠRESĠ BAġKANLIĞI, EMLAK VE ĠSTĠMLÂK ġube MÜDÜRLÜĞÜ. PLAN PROJE DAĠRESĠ BAġKANLIĞI, ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI. Müdürlüğü, Su Proje ġube Müdürlüğü. Vakıfsu ġube Müdürlüğü, Eğitim ĠĢleri ġube Müdürlüğü. V Atıksuyun Toplanması PLAN PROJE DAĠRESĠ BAġKANLIĞI, ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, ATIKSU ARITMA DAĠRESĠ BAġKANLIĞI. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri. Asya Atıksu ĠnĢaat ġube Müdürlüğü, Asya Bölgesi Atıksu Arıtma ġube Müdürlüğü, Avrupa 1.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, Avrupa 2.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, Avrupa Bölgesi Atıksu Arıtma ġube Müdürlüğü. Kanal Proje ġube Müdürlüğü. Sayfa 148 / 365

149 Atıksuyun Arıtılması Atıksuyun UzaklaĢtırılması Atıksu Tesislerinin Sürekliliğinin Sağlanması PLAN PROJE DAĠRESĠ BAġKANLIĞI, ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ATIKSU ARITMA DAĠRESĠ BAġKANLIĞI. PLAN PROJE DAĠRESĠ BAġKANLIĞI, ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, ATIKSU ARITMA DAĠRESĠ BAġKANLIĞI. ATIKSU ARITMA DAĠRESĠ BAġKANLIĞI, KANALĠZASYON DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE Asya Bölgesi Atıksu Arıtma ġube Müdürlüğü, Atıksu Arıtma Tesisleri ĠnĢaat ġube Müdürlüğü. Avrupa Bölgesi Atıksu Arıtma ġube Müdürlüğü. Kanal Proje ġube Müdürlüğü. Üst Yapı ġube Müdürlüğü. Asya Bölgesi Atıksu Arıtma ġube Müdürlüğü, Atıksu Arıtma Tesisleri ĠnĢaat ġube Müdürlüğü. Avrupa Bölgesi Atıksu Arıtma ġube Müdürlüğü. Kanal Proje ġube Müdürlüğü. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, Asya Bölgesi Atıksu Arıtma ġube Müdürlüğü, Asya Bölgesi Kanal ĠĢletme ġube Müdürlüğü, V1.0 Sayfa 149 / 365

150 DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI. Avrupa Bölgesi Atıksu Arıtma ġube Müdürlüğü. Avrupa Bölgesi Kanal ĠĢletme ġube Müdürlüğü. V1.0 Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri. Asya Bölgesi Atıksu Arıtma ġube Müdürlüğü, Atıksu Kalitesinin Kontrol Altında Tutulması ÇEVRE KORUMA VE KONTROL DAĠRESĠ BAġKANLIĞI, ATIKSU ARITMA DAĠRESĠ BAġKANLIĞI. Asya Bölgesi Atıksu Kontrol ve Ruhsat ġube Müdürlüğü, Asya Bölgesi Havza Koruma ġube Müdürlüğü, Atık Yönetimi ve Çevre Denetimi ġube Müdürlüğü. Avrupa Bölgesi Atıksu Arıtma ġube Müdürlüğü. Avrupa Bölgesi Atıksu Kontrol ve Ruhsat ġube Müdürlüğü, Avrupa Bölgesi Havza Koruma ġube Müdürlüğü. Sayfa 150 / 365

151 YAĞMUR SUYU VE DERELERĠN YÖNETĠMĠ Yağmursuyunun UzaklaĢtırılması Derelerin Korunması PLAN PROJE DAĠRESĠ BAġKANLIĞI, ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, KANALĠZASYON DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI. PLAN PROJE DAĠRESĠ BAġKANLIĞI, ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, KANALĠZASYON DAĠRESĠ BAġKANLIĞI. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, Asya Atıksu ĠnĢaat ġube Müdürlüğü. Asya Bölgesi Kanal ĠĢletme ġube Müdürlüğü, Asya Bölgesi Kanal ĠĢletme ġube Müdürlüğü, Avrupa 1.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, Avrupa 2.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, Avrupa Bölgesi Kanal ĠĢletme ġube Müdürlüğü. Kanal Proje ġube Müdürlüğü. Asya Atıksu ĠnĢaat ġube Müdürlüğü. Asya Bölgesi Kanal ĠĢletme ġube Müdürlüğü, Avrupa 1.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, V1.0 Sayfa 151 / 365

152 Avrupa 2.Bölge Atıksu ĠnĢaat ġube Müdürlüğü, V1.0 Avrupa Bölgesi Kanal ĠĢletme ġube Müdürlüğü. Kanal Proje ġube Müdürlüğü. 4 ABONE HĠZMETLERĠNĠN YÖNETĠMĠ Abonelik ĠĢlemlerinin Yürütülmesi ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri Sayaç ĠĢlemlerinin Yürütülmesi ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI. Sayaç Hareketleri ġube Müdürlüğü. 5 KURUM PERFORMANSININ YÖNETĠLMESĠ Sayfa 152 / 365

153 Stratejinin Yönetilmesi Süreç ĠyileĢtirmelerinin Yönetilmesi ĠNSAN KAYNAKLARININ YÖNETĠLMESĠ Ġnsan Kaynakları Planlanması ĠĢe Alma ĠĢlemlerinin Yürütülmesi Personel ĠĢlemlerinin Yürütülmesi Personel Performansının Yönetilmesi Organizasyon DeğiĢikliklerinin Yönetilmesi PLAN PROJE DAĠRESĠ BAġKANLIĞI, STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI, ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI, SĠVĠL SAVUNMA UZMANLIĞI. STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI. ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI. ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI. ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI, BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI. ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI. ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI, Kanal Proje ġube Müdürlüğü. Stratejik Yönetim ve Planlama ġube Müdürlüğü. Su Proje ġube Müdürlüğü, Üst Yapı ġube Müdürlüğü. Stratejik Yönetim ve Planlama ġube Müdürlüğü. Ġnsan Kaynakları ġube Müdürlüğü. Ġnsan Kaynakları ġube Müdürlüğü. Ġnsan Kaynakları ġube Müdürlüğü, Yazılım ġube Müdürlüğü. Ġnsan Kaynakları ġube Müdürlüğü. Ġnsan Kaynakları ġube Müdürlüğü V1.0 Sayfa 153 / 365

154 ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI. V Eğitim Faaliyetlerinin Yürütülmesi ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI. Eğitim ĠĢleri ġube Müdürlüğü. 7 BĠLGĠ SĠSTEMLERĠNĠN YÖNETĠLMESĠ Sunucu Donanım ve ĠĢletim Sistemi Altyapısının Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Donanım ġube Müdürlüğü Network Yönetimi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Donanım ġube Müdürlüğü KiĢisel Donanımın Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Donanım ġube Müdürlüğü Kurumsal IT Güvenliğinin Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Donanım ġube Müdürlüğü Felaket Yedekliliğin Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Donanım ġube Müdürlüğü. Elektronik ve HaberleĢme ġube Müdürlüğü. Yazılım ġube Müdürlüğü Yazılım Analizinin Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Yazılım ġube Müdürlüğü ĠletiĢim Altyapısının Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Elektronik ve HaberleĢme ġube Müdürlüğü. Sayfa 154 / 365

155 V Yazılımların Yönetilmesi BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI Yazılım ġube Müdürlüğü Web Sayfasının Yönetilmesi Bilgisayar Türevi Elektronik Cihazlar DıĢındaki Cihazların Yönetilmesi Coğrafi Bilgi Sistemlerinin Yönetilmesi MALĠ KAYNAKLARIN YÖNETĠLMESĠ Bütçenin Yönetilmesi Finansman ĠĢlerinin Yönetilmesi Muhasebe ĠĢlerinin Yönetilmesi Ön Mali Kontrol Sağlanması BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI, BASIN YAYIN ġube MÜDÜRLÜĞÜ. BĠLGĠ ĠġLEM DAĠRESĠ BAġKANLIĞI EMLAK VE ĠSTĠMLÂK DAĠRESĠ BAġKANLIĞI STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI Yazılım ġube Müdürlüğü. Su Dağıtım ve Kumanda ġube Müdürlüğü. Elektronik ve HaberleĢme ġube Müdürlüğü. Coğrafi Bilgi Sistemleri ġube Müdürlüğü Bütçe ve Finansman ġube Müdürlüğü Bütçe ve Finansman ġube Müdürlüğü Ġlgili Harcama Birimi, Muhasebe ve Kesin Hesap ġube Müdürlüğü Ġç Kontrol ġube Müdürlüğü Sayfa 155 / 365

156 Ġç Kontrol Sisteminin Yönetilmesi KURUM TAġINMAZLARININ YÖNETĠLMESĠ Arazi Ölçme Ve Değerlendirme KamulaĢtırma ĠĢlemlerinin Yürütülmesi Emlak Yönetimi PAYDAġ ĠLĠġKĠLERĠNĠN YÖNETĠLMESĠ Yönetim Kurulu Karar ĠĢlemlerinin Yürütülmesi Genel Kurul Karar ĠĢlemlerinin Yürütülmesi STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI EMLAK VE ĠSTĠMLÂK DAĠRESĠ BAġKANLIĞI EMLAK VE ĠSTĠMLÂK DAĠRESĠ BAġKANLIĞI EMLAK VE ĠSTĠMLÂK DAĠRESĠ BAġKANLIĞI ZABIT VE KARARLAR ġube MÜDÜRLÜĞÜ ZABIT VE KARARLAR ġube MÜDÜRLÜĞÜ Ġç Kontrol ġube Müdürlüğü Harita ĠĢleri ġube Müdürlüğü Asya Bölgesi Emlak ve Ġstimlâk ġube Müdürlüğü, Avrupa Bölgesi Emlak ve Ġstimlâk ġube Müdürlüğü. Asya Bölgesi Emlak ve Ġstimlâk ġube Müdürlüğü, Avrupa Bölgesi Emlak ve Ġstimlâk ġube Müdürlüğü. Zabıt ve Kararlar ġube Müdürlüğü Zabıt ve Kararlar ġube Müdürlüğü V1.0 Sayfa 156 / 365

157 Halkla ĠliĢkilerin Yönetilmesi ĠSKĠ Kurum GörüĢü Verilmesi ve Ġzlenmesi Ulusal ve Uluslararası Organizasyonlara Katılım ve Düzenleme Basın Organlarıyla ĠliĢkilerin Yürütülmesi ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI, HALKLA ĠLĠġKĠLER ġube MÜDÜRLÜĞÜ PLAN PROJE DAĠRESĠ BAġKANLIĞI, ÇEVRE KORUMA VE KONTROL DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI. BASIN YAYIN ġube MÜDÜRLÜĞÜ BASIN YAYIN ġube MÜDÜRLÜĞÜ Halkla ĠliĢkiler ġube Müdürlüğü, Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri. Basın Yayın ġube Müdürlüğü. Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri, Asya Bölgesi Havza Koruma ġube Müdürlüğü, Avrupa Bölgesi Havza Koruma ġube Müdürlüğü, Kanal Proje ġube Müdürlüğü. Üst Yapı ġube Müdürlüğü. Basın Yayın ġube Müdürlüğü Basın Yayın ġube Müdürlüğü V1.0 Sayfa 157 / 365

158 Diğer Kurumlarla ĠliĢkilerin Yönetilmesi ÇEVRE SAĞLIĞI VE GÜVENLĠĞĠNĠN SAĞLANMASI Çevre Sağlığı ve Güvenliğinin Sağlanması DESTEK HĠZMETLERĠNĠN YÖNETĠLMESĠ Evrak ĠĢlerinin Yönetilmesi Afet ve Olağanüstü Durumların Yönetilmesi STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ ASYA BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 1. BÖLGE DAĠRESĠ BAġKANLIĞI, ABONE ĠġLERĠ AVRUPA 2. BÖLGE DAĠRESĠ BAġKANLIĞI. TÜM HARCAMA BĠRĠMLERĠ ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI SĠVĠL SAVUNMA UZMANLIĞI, SU ĠSALE VE DAĞITIM DAĠRESĠ BAġKANLIĞI. Stratejik Yönetim ve Planlama ġube Müdürlüğü, Abone ĠĢleri Bölge Dairesi BaĢkanlıklarına Bağlı Bölge ġube Müdürlükleri. Tüm Harcama Birimleri ve Bunların Alt Birimleri Yazı ĠĢleri ve ArĢiv ġube Müdürlüğü, Ġdarenin Tüm Birimleri. Sivil Savunma Uzmanlığı Su Dağıtım ve Kumanda ġube Müdürlüğü V Tesislerin Sürekliliğinin DESTEK HĠZMETLERĠ DAĠRESĠ Sosyal ve Ġdari ĠĢler ġube Müdürlüğü, Sayfa 158 / 365

159 Sağlanması Araç ve ĠĢ Makinelerinin Yönetilmesi Sosyal Hizmetlerin Yönetilmesi Malzeme ve Hizmet Ġhtiyaçlarının Yönetilmesi Yatırımlarla Ġlgili Destek Hizmetlerinin Yürütülmesi BAġKANLIĞI, MAKĠNE ĠKMAL VE TESĠSLER DAĠRESĠ BAġKANLIĞI, ELEKTRĠK MAKĠNE VE MALZEME ĠKMAL DAĠRESĠ BAġKANLIĞI. MAKĠNE ĠKMAL VE TESĠSLER DAĠRESĠ BAġKANLIĞI. DESTEK HĠZMETLERĠ DAĠRESĠ BAġKANLIĞI TĠCARET ĠġLERĠ DAĠRESĠ BAġKANLIĞI, HARCAMA BĠRĠMLERĠ. ĠġLETMELER DAĠRESĠ BAġKANLIĞI, PLANLAMA VE YATIRIM DAĠRESĠ BAġKANLIĞI, SU ĠNġAAT DAĠRESĠ BAġKANLIĞI, Koruma ve Güvenlik ġube Müdürlüğü, Tesisler Bakım ve Onarım ġube Müdürlüğü, Elektromekanik ĠĢleri ġube Müdürlüğü, Araçlar ġube Müdürlüğü Sosyal ve Ġdari ĠĢler ġube Müdürlüğü Harcama Birimleri, Ġç Satın Alma ġube Müdürlüğü, DıĢ Satın Alma ġube Müdürlüğü. Ambarlar ġube Müdürlüğü, TeĢvik Uygulama ġube Müdürlüğü, Araçlar ġube Müdürlüğü ġartnameler ġube Müdürlüğü, Harcama Birimleri, Yapım ĠĢleri Ġhale ġube Müdürlüğü, Kesin Hesap ġube Müdürlüğü, V1.0 Sayfa 159 / 365

160 ATIKSU ĠNġAAT DAĠRESĠ BAġKANLIĞI, Asya Su ĠnĢaat ġube Müdürlüğü, Avrupa Su ĠnĢaat ġube Müdürlüğü, V1.0 PLAN PROJE DAĠRESĠ BAġKANLIĞI, Üst Yapı ġube Müdürlüğü HARCAMA BĠRĠMLERĠ ĠĢ Sağlığı ve Güvenliğinin Sağlanması SAĞLIK VE Ġġ GÜVENLĠĞĠ ġube MÜDÜRLÜĞÜ, ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI, HARCAMA BĠRĠMLERĠ. Sağlık ve ĠĢ Güvenliği ġube Müdürlüğü, Harcama Birimleri Ġnsan Kaynakları ġube Müdürlüğü 13 AR-GE (ARAġTIRMA GELĠġTĠRME) FAALĠYETLERĠNĠN YÖNETĠLMESĠ AraĢtırma GeliĢtirme (Ar-Ge) Faaliyetlerinin Yönetilmesi ĠġLETMELER DAĠRESĠ BAġKANLIĞI, STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI. Su ve Atıksu Teknolojileri GeliĢtirme ġube Müdürlüğü, Stratejik Yönetim ve Planlama ġube Müdürlüğü. 14 DENETĠM VE DANIġMANLIK HĠZMETLERĠNĠN YÖNETĠLMESĠ Sayfa 160 / 365

161 Ġç Denetim Faaliyetlerinin Yönetilmesi ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI V TeftiĢ Faaliyetlerinin Yönetilmesi TEFTĠġ KURULU BAġKANLIĞI TeftiĢ Kurulu BaĢkanlığı Hukuki ĠĢlerin Yönetilmesi HUKUK MÜġAVĠRLĠĞĠ Hukuk MüĢavirliği 15 ETĠK ÇALIġMALARI Etik ÇalıĢmaların Yönetilmesi YÖNETĠġĠM VE KURUMSAL RĠSK YÖNETĠMĠ Kurumsal Risk Yönetimi Sisteminin Kurulması ve Uygulanması GENEL MÜDÜR YARDIMCILIKLARI, ĠNSAN KAYNAKLARI VE EĞĠTĠM DAĠRESĠ BAġKANLIĞI, ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI, HUKUK MÜġAVĠRLĠĞĠ, HARCAMA BĠRĠMLERĠ. GENEL MÜDÜR YARDIMCILIKLARI, STRATEJĠ GELĠġTĠRME DAĠRESĠ BAġKANLIĞI, ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI, HARCAMA BĠRĠMLERĠ Ġnsan Kaynakları ġube Müdürlüğü Genel Müdür Yardımcılıkları, Strateji GeliĢtirme Dairesi BaĢkanlığı, Tüm Harcama Birimleri Ġle DanıĢmanlık veya Ġzleme Görevi Kapsamında Ġç Denetim Birimi Sayfa 161 / 365

162 BaĢkanlığı V1.0 & & & T.C PLAN DÖNEMĠ ĠSKĠ ĠÇ DENETĠM EVRENĠ B. ĠSKĠ GENEL MÜDÜRLÜĞÜ BĠRĠMLERĠNE GÖRE DENETĠM EVRENĠ TABLOSU Sıra No BĠRĠM ADI 1 TeftiĢ Kurulu BaĢkanlığı 2 Hukuk MüĢavirliği 3 Abone ĠĢleri Asya Dairesi BaĢkanlığı 4 Abone ĠĢleri Avrupa 1. Bölge Dairesi BaĢkanlığı 5 Abone ĠĢleri Avrupa 2. Bölge Dairesi BaĢkanlığı 6 Atıksu Arıtma Dairesi BaĢkanlığı Sayfa 162 / 365

163 V1.0 7 Atıksu ĠnĢaat Dairesi BaĢkanlığı 8 Bilgi ĠĢlem Dairesi BaĢkanlığı 9 Çevre Koruma ve Kontrol Dairesi BaĢkanlığı 10 Destek Hizmetleri Dairesi BaĢkanlığı 11 Elektrik Makine ve Malzeme Ġkmal Dairesi BaĢkanlığı 12 Emlak ve Ġstimlâk Dairesi BaĢkanlığı 13 Ġnsan Kaynakları ve Eğitim Dairesi BaĢkanlığı 14 ĠĢletmeler Dairesi BaĢkanlığı 15 Kanalizasyon Dairesi BaĢkanlığı 16 Makine Ġkmal ve Tesisler Dairesi BaĢkanlığı 17 Plan Proje Dairesi BaĢkanlığı 18 Planlama ve Yatırım Dairesi BaĢkanlığı 19 Strateji GeliĢtirme Dairesi BaĢkanlığı Sayfa 163 / 365

164 V Su Arıtma Dairesi BaĢkanlığı 21 Su ĠnĢaat Dairesi BaĢkanlığı 22 Su Ġsale ve Dağıtım Dairesi BaĢkanlığı 23 Ticaret ĠĢleri Dairesi BaĢkanlığı 24 Özel Kalem Müdürlüğü 25 Zabıt ve Kararlar ġube Müdürlüğü 26 Basın Yayın ġube Müdürlüğü 27 Halkla ĠliĢkiler ġube Müdürlüğü 28 Sağlık ve ĠĢ Güvenliği ġube Müdürlüğü 29 Sivil Savunma Uzmanlığı 30 Reorganizasyon ÇalıĢmaları Kapsamında Kurulacak Diğer Harcama Birimleri. & & & EK 2 RĠSK FAKTÖRLERĠ Sayfa 164 / 365

165 T.C. EK 2 RĠSK FAKTÖRLERĠ (Risk Değerlendirilmesinde Dikkate Alınacak Risk Faktörleri) SIRA NO RĠSK FAKTÖRÜ FAKTÖR TÜRÜ TANIM AÇIKLAMA (Riskin Ortaya Çıkmasına Sebebiyet Veren Durumlara ĠliĢkin Açıklamalar Bu Sütunda Yer AlmıĢtır) 1 KarmaĢıklık Olasılık Ġdarenin faaliyetlerinin veya bu alandaki mevzuatın karmaģıklığı, kontrollerin uygulanmasını zorlaģtırarak hata yapılma olasılığını değerlendirmek için kullanılır. Kontrol ve yetkilendirme limitlerine yakın seviyede fazla sayıda iģlem bulunmaktadır. Konu, kiģi ve birimler itibariyle uygun görev dağılımı yapmayan ve görevler ayrılığı ilkesini ihlal eden organizasyon yapısı bulunmaktadır. Sık sık hatalar ortaya çıkmakta ve bunların düzeltilmesine yönelik yoğun çalıģmalar yapılmaktadır. Denetlenen alanın veya birimin iģ/görev sahasının baģka birim ya da kuruluģlarla iliģkilileri nedeniyle koordinasyon eksikliği bulunmaktadır. Çok sayıda yasal düzenlemenin olması nedeniyle mevzuat doğru bir Ģekilde anlaģılamamaktadır. Sayfa 165 / 365

166 V1.0 2 Yapısal DeğiĢiklikler Olasılık Yeni birim ve faaliyetler, yeniden yapılandırma projeleri, organizasyon ve insan kaynaklarındaki önemli değiģiklikler hataların yaģanma olasılığını değerlendirmek için kullanılır. OlağandıĢı faaliyet ve iģlemler ortaya çıkmıģtır. Organizasyon ve insan kaynaklarındaki önemli değiģiklikler yaģanmıģtır. Yeni birim ve faaliyetler ile yeniden yapılandırma projeleri vardır. 3 Mali Etkiler Etki Faaliyette bir hata ile karģılaģıldığında ortaya çıkabilecek mali kayıpların büyüklüğünü değerlendirmek için kullanılır. Büyük tutarlı harcama, tahsilât veya alacaklar bulunmaktadır. Büyük bir bütçe kullanılmaktadır. Resmi olarak uygulanması öngörülen ancak etkisiz veya maliyeti sağlayacağı faydadan yüksek olan prosedürler bulunmaktadır. Varlıklar, yükümlülükler, alacaklar, ödemeler ve harcamalar üzerinde etkili bir kontrol oluģturulmasında yetersiz kalan yetki dağılımı bulunmaktadır. 4 Sosyal Etkiler Etki Faaliyette bir hata ile karģılaģıldığında ortaya çıkabilecek sosyal etkilerin (maddi manevi kayıplar, huzursuzluklar vb.) büyüklüğünü Faaliyette aksamalar nedeniyle bakıma muhtaç kimselerin temel hizmetlere eriģiminde sıkıntılar yaģanmaktadır. Sosyal patlamaların yaģanması ihtimali bulunmaktadır. Sayfa 166 / 365

167 değerlendirmek için kullanılır. V1.0 5 Ġtibar Etkisi Etki Faaliyette bir hata ile karģılaģıldığında Ġdarenin paydaģları nezdinde itibarını zedeleyebilecek hususları değerlendirmek için kullanılır. YanlıĢ veya hatalı bilgiler nedeniyle kamuoyu nezdinde güven kaybı söz konusudur. GeliĢime açık alanlar bulunmaktadır. Üst Yönetici bu faaliyetle ilgili ciddi sorunlar yaģandığını belirtmiģtir. 6 Yönetimin Hassasiyeti 18 Üst Yönetici veya üst seviye yöneticilerin belli bir faaliyet ile ilgili olarak özellikle denetim talepleri olması halinde bu durum bir risk unsuru olarak değerlendirilebilir. Plansızlık ya da planlamadaki yetersizlikler bulunmaktadır. Politika ve faaliyetleri etkileyecek konumda bulunan personelin kendi aralarındaki veya bunlarla idare arasında çıkar çatıģmaları bulunmaktadır. Yöneticileri, birim faaliyetlerinden haberdar edecek geribildirim mekanizmalarının yokluğu veya yetersizliği söz konusudur. 18 Bu risk faktörünün, etki veya olasılık faktörü olarak değerlendirilmemesi uygun olacaktır. Sayfa 167 / 365

168 V1.0 7 Önceki Denetim Sonuçları Olasılık Aynı denetim alanında bir önceki dönemde yapılan denetim sonuçları, elde edilen bulgular ve söz konusu bulgulara yönelik gerekli önlemlerin alınma seviyesi olasılığı değerlendirmek için kullanılır. Bir önceki denetim sonuçlarına kontrol yetersizlikleri veya önemli bir aksaklığa rastlanmamıģtır. Kısmen uzun zamandır devam eden kontrol yetersizlikleri bulunmaktadır. Denetimlerde tespit edilen bulguların önemli bir kısmında iliģkin ilgili birim yöneticileriyle mutabakat sağlanamamıģtır. Denetimlerde kritik seviyede kontrol yetersizlikleri saptanmıģtır. 8 Usulsüzlük ve Yolsuzluk Etki Ġdarenin usulsüzlük veya yolsuzluk gibi olaylarla zarara uğraması durumunu değerlendirmek için kullanılır. ĠĢlem sürecinde maddi veya maddi olmayan menfaat temin etme imkânı yüksektir. Yüksek oranda maddi değerler üzerinde yetki kullanımı söz konusudur. Sürecin yürütülmesinde özel Ģahıs veya kuruluģlarda yoğun bir iliģki söz konusudur. 9 Bilgi Teknolojileri Kullanımı Olasılık Faaliyetin veya sürecin yürütülmesinde bilgi teknolojilerinin kullanım seviyesinin hata yapma olasılığını değerlendirmek için kullanılır. Sürecin iģleyiģi ağırlıklı olarak manüel olarak yapılmakta, bilgi teknolojilerinin kullanımı sınırlı seviyede kalmaktadır. Sürecin iģleyiģinde bilgi teknolojileri hiç kullanılmamaktadır. Sayfa 168 / 365

169 V ĠĢlem Hacmi Olasılık ĠĢlem hacminin büyüklüğü karģısında personel sayısının yetersizliği hata yapılma olasılığını değerlendirmek için kullanılır. Personel sayısına göre iģlem hacmi çok fazladır. Yeterli tecrübeye sahip olmayan personel yüksek iģlem hacmine sahip alanlarda değerlendirilmektedir. Sayfa 169 / 365

170 EK 3 RĠSK ANALĠZĠ MODELĠ V1.0 T.C. EK 3 RĠSK ANALĠZĠ MODELĠ Makro risk analizinde kullanılan sınıflandırma yöntemi ile denetim görevleri sırasında kullanılan mikro risk analizi yöntemi arasında tutarlılığı sağlayabilmek açısından; hem makro risk analizinde hem de denetim görevleri sırasında kullanılan mikro risk analizinde, bu risk analizi modeli kullanılır. Ġç Denetim Yönergesinde tanımlanmak Ģartıyla, düģük/orta/yüksek için farklı puan aralıkları belirlenebilir. Örneğin, yüksek öncelikli için; aralığı değil, aralığı belirlenebilir. Denetim alanında yer alan her bir faaliyet veya sürecin bahse konu denetim alanı için önem seviyesi yüzdesel olarak Ġç Denetim Birimi BaĢkanı tarafından belirlenir. Sonrasında her bir faaliyet veya süreç için risk faktörleri göz önünde bulundurularak aģağıdaki puanlama modelinde etki ve olasılık değerlerinin kesiģtiği hücredeki risk puanları alınır. Denetim alanı içerisinde yer alan bu faaliyet/süreçlerin ağırlıklı aritmetik ortalaması alınarak söz konusu denetim alanının genel risk seviyesi (önceliği) belirlenir. DÜġÜK (1-9 puan) Bu faaliyet veya süreçte yaģanacak sorunların etkisi Ġdare açısından çok kritik değildir. Dönem dönem kontrol edilmesi yeterlidir. ORTA (10-19 puan) Bu faaliyet veya süreçte yaģanacak sorunlar mali ve itibar kayıplarına neden olur. Söz konusu denetim alanı, Ġç Denetim Planında mutlaka yer almalıdır. Sayfa 170 / 365

171 OLASILIK T.C. YÜKSEK (20-25 puan) Bu faaliyet veya süreçte yaģanacak herhangi bir aksama, ciddi mali ve itibar kayıplarına neden olur. Söz konusu denetim alanı, Ġç Denetim programına öncelikli olarak alınması gerekir. V1.0 Risk Analizi Modeli (Puanlama) ETKĠ RĠSK ANALĠZ MODELĠ Çok DüĢük (1) DüĢük (2) Orta (3) Yüksek (4) Çok Yüksek (5) Çok Yüksek (5) Yüksek (4) Orta (3) DüĢük (2) Çok DüĢük (1) Sayfa 171 / 365

172 EK 4 RĠSK SINIFLANDIRMA TABLOSU S.NO RĠSK SINIFI AÇIKLAMASI T.C. EK 4 RĠSK SINIFLANDIRMA TABLOSU 1 Bilgi teknolojileri Ġdarenin bilgi teknolojileri alt yapılarına ve uygulamalarına sahip olma ve bunları kullanabilme kapasitelerine yönelik riskleri içermektedir. 2 Bilgi yönetimi Ġdarenin ihtiyaç duyduğu bilgileri toplama, sahip olduğu bilgileri yönetme ve çalıģanlarının kullanımına sunabilme ve sürdürülebilir kurumsal hafızanın oluģturulmasına yönelik riskleri içermektedir. 3 Çıkar çatıģması 4 DeğiĢim yönetimi Ġdarenin veya çalıģanların kendi çıkarları ile kamunun menfaati arasında ortaya çıkabilecek çatıģmalar ile buna yönelik algıları içermektedir. Ġdarenin karģılaģtığı stratejik, yapısal ve operasyonel değiģiklikleri yönetebilmesiyle ilgili riskleri içermektedir. 5 Etik değerler Ġdarenin etik değerlere bağlılığına yönelik riskleri içermektedir. 6 Fikri mülkiyet hakları Ġdarenin faaliyetleri esnasında fikri mülkiyet haklarını ihlal ile karģılaģmasına yönelik riskleri içermektedir. Sayfa 172 / 365

173 V1.0 7 Hukuk Ġdarenin faaliyetlerini sürdürmesi esnasında ortaya çıkabilecek mevzuat sorunları nedeniyle maruz kalacağı riskleri içermektedir. 8 ĠletiĢim Ġdarenin iletiģim, Ģeffaflık ve bilgi paylaģımı gibi konulardaki yaklaģımına yönelik riskleri içermektedir. 9 Ġnsan kaynakları yönetimi Personel yönetimi, personel değiģim hızı, çalıģma ortamı ve kültürü, iģe alım ve istihdam süreç ve uygulamaları, yetenek yönetimi, eğitim ve kapasite oluģturma faaliyetlerine yönelik riskleri içermektedir. 10 ĠĢ süreçleri Ġdarenin iģ süreçlerinin tasarımı veya uygulanmasına dönük riskleri kapsamaktadır. 11 Ġtibar Ġdarenin paydaģları, stratejik ortakları ve vatandaģlar nezdinde güvenilirliği ve itibarıyla ilgili riskleri içermektedir. 12 Kaynak yönetimi Ġdarenin faaliyetlerini sürdürebilmesi için ihtiyaç duyduğu kaynakları yeterli seviyede elde edilebilmesine ve etkin bir Ģekilde yönetilmesine yönelik riskleri içermektedir. 13 KiĢisel bilgilerin korunması Ġdarenin elinde bulunan kiģisel bilgilerin saklanması ve izinsiz paylaģımıyla karģılaģmasına yönelik riskleri içermektedir. 14 Maddi varlıklar Ġdarenin kontrolünde veya kullanımında olan bilgi teknoloji varlıkları dıģındaki tüm maddi varlıklara (binalar, araçlar gibi) yönelik riskleri içermektedir. Sayfa 173 / 365

174 V Mali yönetim Ġdarenin mali varlıklarını etkin, etkili ve verimli bir Ģekilde yönetmesine yönelik kurumsal yapılanmasına ve süreçlerine yönelik riskleri içermektedir. 16 PaydaĢ ve stratejik ortaklar Ġdarenin faaliyetlerini sürdürürken etkileģim halinde olduğu paydaģ ve stratejik ortaklarına iliģkin riskleri içermektedir. 17 Politik Ġdarenin faaliyet gösterdiği alanla ilgili olarak ortaya çıkan siyasi riskleri içermektedir Politika geliģtirme ve uygulama Program tasarımı ve uygulamaları Ġdarenin gerek kendi görev alanıyla ilgili gerekse Ġdare içerisindeki yönetim faaliyetleriyle ilgili politika geliģtirebilmesine yönelik riskleri içermektedir. Kalkınma programlarındaki amaçlar doğrultusunda Ġdarenin ortaya koyduğu programların tasarım ve uygulanmasına yönelik riskleri içermektedir. 20 Proje yönetimi Ġdarenin amaçlarına ulaģmak amacıyla ortaya koyduğu projelerin kendilerine mahsus riskleri dıģında hazırlanmalarına, geliģtirilmelerine, yönetilmelerine yönelik riskleri içermektedir. 21 Stratejik yönetim Ġdarenin liderlik, karar alma ve yönetim yaklaģımıyla ilgili riskleri içermektedir. Sayfa 174 / 365

175 EK 5 OLASILIK VE ETKĠ DEĞERLENDĠRME SKALASI V1.0 T.C. EK 5 OLASILIK VE ETKĠ DEĞERLENDĠRME SKALASI OLASILIK ÇOK YÜKSEK YÜKSEK ORTA DÜġÜK ÇOK DÜġÜK Riskin gerçekleģmesi yönünde çok ciddi emareler bulunmaktadır. Benzer olaylarla çok sık karģılaģılmaktadır. Riskin gerçekleģmesi yönünde ciddi emareler bulunmaktadır. Benzer olaylarla sık karģılaģılmaktadır. Riskin gerçekleģmesi yönünde bazı emareler bulunmaktadır. Benzer olaylarla ara sıra karģılaģılmaktadır. Riskin gerçekleģmesi yönünde hiçbir emare bulunmamaktadır. Benzer olaylarla nadiren karģılaģılmaktadır. Riskin gerçekleģmesi yönünde hiçbir emare bulunmamaktadır. GeçmiĢte benzer bir olayla karģılaģılmamıģtır. ETKĠ Sayfa 175 / 365

176 V1.0 ÇOK YÜKSEK AĢağıdaki veya aģağıdakilere benzer etkilerin ortaya çıkması söz konusuysa risk Çok Yüksek olarak değerlendirilir. Can kaybı, çok büyük miktarlı mali kayıplar, ciddi sosyal sorunlar, faaliyetin uzun süre yürütülememesi, kurumsal itibarin ciddi şekilde sarsılması gibi AĢağıdaki veya aģağıdakilere benzer etkilerin ortaya çıkması söz konusuysa risk Yüksek olarak değerlendirilir. YÜKSEK ORTA DÜġÜK ÇOK DÜġÜK Kişilerin ciddi yaralanmaları veya sakatlanmaları, büyük miktarlı mali kayıplar, kurumsal itibar kaybı, faaliyetin kısmen sekteye uğraması, sosyal rahatsızlıklar gibi AĢağıdaki veya aģağıdakilere benzer etkilerin ortaya çıkması söz konusuysa risk Orta olarak değerlendirilir. Mali kayıplar, faaliyetin bir kısmının belli süreyle yürütülememesi gibi AĢağıdaki veya aģağıdakilere benzer etkilerin ortaya çıkması söz konusuysa risk DüĢük olarak değerlendirilir. Düşük tutarlı mali kayıplar, faaliyetin sürdürülmesinde basit sorunların yaşanması gibi AĢağıdaki veya aģağıdakilere benzer etkilerin ortaya çıkması söz konusuysa risk Çok DüĢük olarak değerlendirilir. Çok düşük tutarlı mali kayıplar, faaliyeti yürüten kişilerin basit sorunlar yaşaması gibi Sayfa 176 / 365

177 EK 6 RĠSK-KONTROL MATRĠSĠ V1.0 T.C. EK 6 RĠSK-KONTROL MATRĠSĠ RĠSK KONTROL MATRĠSĠ REFERANS NO: C DENETĠM NUMARASI: DENETĠM KONUSU: SÜREÇ SORUMLUSU BĠRĠM: Bu risk kontrol matrisine gerektiğinde sürece, riske ve kontrole iliģkin diğer bilgiler (örneğin; amaç veya hedef, riskin türü, kontrolün türü gibi) eklenebilir. SÜREÇ ĠLGĠLĠ BĠRĠM RĠSK KONTROL FAALĠYETĠ TEST RĠSK SEVĠYESĠ Sayfa 177 / 365

178 V1.0 Hazırlayan, gözden geçiren ve onaylayan bilgilerine de yer verilir. Hazırlayan Gözetim Sorumlusu Onaylayan Ġç Denetçi Ġç Denetçi Ġç Denetim Birimi BaĢkanı / / 20 / / 20 / / 20 Sayfa 178 / 365

179 EK 7 ĠÇ DENETĠM PLAN VE PROGRAMI EK 7.1. Üst Yönetici Onayı T.C. EK 7.1 Üst Yönetici Onayı Sayı: / / 20 Konu: Ġç Denetim Plan ve Programı GENEL MÜDÜRLÜK MAKAMINA Belirlenen denetim stratejisi doğrultusunda hazırlanan ve ekte yer alan Dönemi Ġç Denetim Planı ile 2014 Yılı Ġç Denetim Programının yürürlüğe konulması, anılan Denetim Programı kapsamında yer alan denetimlerin zamanında ve etkili bir Ģekilde tamamlanabilmesi için Ġç Denetim Birimi BaĢkanı tarafından gerekli değiģikliklerin yapılması hususunu Olurlarınıza arz ederim. Ġmza Adı-Soyadı Ġç Denetim Birimi BaĢkanı OLUR /12/2013 Ġmza Adı-Soyadı Genel Müdür EKLER : Dönemi Ġç Denetim Planı ( sayfa) Yılı Ġç Denetim Programı ( sayfa) Sayfa 179 / 365

180 EK-7.2. Ġç Denetim Planı T.C. EK 7.2 ( - Dönemi) Ġç Denetim Planı I. GĠRĠġ Dönemi Ġç Denetim Planı, Ġç Denetçilerin ÇalıĢma Usul ve Esasları Hakkında Yönetmeliğin 36 ve 39 uncu maddeleriyle Kamu Ġç Denetim Genel Tebliğinin 5 inci maddesi uyarınca hazırlanmıģtır. Planın hazırlanması sırasında, Ġç Denetim Koordinasyon Kurulunca yayımlanan Kamu Ġç Denetimi Strateji Belgesi ve Kamu Ġç Denetim Rehberinde belirtilen esas ve usuller dikkate alınmıģtır. II. AMAÇ Bu Plan; denetim kaynaklarının (denetçi, süre ve maddi kaynaklar) etkin ve etkili Ģekilde kullanılabilmesi için 3 (üç) yıllık dönemde yürütülmesi planlanan denetim faaliyetlerini belirlemek ve önceliklendirmek ile danıģmanlık ve diğer faaliyetlerin toplam % (yüzde) sel dağılımının belirlenmesi amacıyla düzenlenmiģtir. Ayrıca Ġç Denetim Planıyla, kaynak kısıtlarının belirlenmesi ve bu kısıtların denetim faaliyetlerine olası etkisini belirlemek de hedeflenmiģtir. III. TEMEL STRATEJĠLER Planın hazırlanmasında aģağıda belirtilen temel stratejiler esas alınmıģtır. 1. Kaynak Tahsisi yılları arasında yürütülecek Ġç Denetim faaliyetleri için tahsis edilmesi öngörülen sürelerin yüzdesel dağılımı aģağıda belirtilmiģtir. Sayfa 180 / 365

181 Sıra No Faaliyet Kaynak Tahsisi (%) 1 Denetim % 60 2 DanıĢmanlık % 20 3 Eğitim %5 4 Ġzleme % 5 5 Ġdari ĠĢler % 5 6 Ġhtiyat Kaynağı % 5 2. Denetim Büyüklüğü Denetim alanı büyüklüklerine göre ayrılması planlanan ortalama denetim süreleri aģağıda belirtilmiģtir. Denetim Büyüklüğü Büyük Ölçekli Denetim Orta Ölçekli Denetim Küçük Ölçekli Denetim Ortalama Denetim Süresi 600 saat 450 saat 300 saat 3. Denetim Öncelikleri Denetim evreni içerisinde yer alan denetim alanlarından yapılan risk değerlendirmesi sonucu; 3.a) YÜKSEK denetim önceliğine sahip olanlarının yılda (12 ayda) bir kez, 3.b) ORTA denetim önceliğine sahip olanlarının iki yılda (24 ayda) bir kez, 3.c) DÜġÜK denetim önceliğine sahip olanlarının ise üç yılda (36 ayda) bir kez denetlenmesi planlanmaktadır. IV. KAYNAK KISITLARI VE OLASI ETKĠLERĠ Sayfa 181 / 365

182 Yukarıda belirlenmiģ olan temel denetim stratejileri göz önünde bulundurularak Ġdaremizin tüm iģlem ve faaliyetlerini kapsayacak Ģekilde hazırlanmıģ olan ĠSKĠ Genel Müdürlüğü Denetim Evreninde yer alan bütün denetim alanlarının denetim kapsamına alınabilmesi için detayları ekli çizelgede gösterildiği üzere Ġç Denetçi istihdam edilmesi gerekmektedir. nda mevcut Ġç Denetçi (hali hazır Ġç Denetçi sayısı yazılır) kaynağıyla üç yıllık dönemde kurumumuz faaliyetlerinin önemli bir bölümünün denetlenememesi dolayısıyla kurumumuzun birçok faaliyetindeki iģ ve iģlemlerin güvenirlik seviyesinin belirlenememesi söz konusudur. Söz konusu insan kaynağı ihtiyacının, ilave Ġç Denetçi istihdamı veya uzman çalıģtırılması yöntemiyle karģılanması gerekmektedir. Gerekli kaynak temin edilememesi halinde denetimlerimizin en yüksek risk seviyesine sahip denetim alanlarından baģlanılarak yürütülmesi planlanmaktadır. EK: Dönemi Ġç Denetim Planı Çizelgesi Sayfa 182 / 365

183 V1.0 EK Ġç Denetim Planı Eki Çizelge T.C. EK Dönemi Ġç Denetim Planı Eki Çizelgesi ENETĠM GÖREVLERĠ YILLAR Denetimin Adı Denetim Alanının Kapsamı Denetlenen Birimler Denetim Ölçeği Risk Seviyesi ABC Denetimi F1 Faaliyeti F2 Faaliyeti A Genel Müdürlüğü B Daire BaĢkanlığı (Bağımsız) Büyük Yüksek - (Denetimin ismi gösterilir.) (Denetim kapsamına alınan faaliyetler gösterilir.) (Denetim kapsamına alınan faaliyetler ile ilgili birimler gösterilir.) (Ölçek, büyük-küçük gibi belirlenir.) (Risk seviyesi, yüksekdüşük gibi belirlenir.) (Plana dâhil olanlar işaretlenir.) (Plana dâhil olanlar işaretlenir.) (Plana dâhil olanlar işaretlenir.) Sayfa 183 / 365

184 Ġç Denetçi Kaynağı Sayfa 184 / 365

185 EK- 7.3 Ġç Denetim Programı T.C. EK 7.3 ( Yılı) Ġç Denetim Programı I. GĠRĠġ 2014 Yılı Ġç Denetim Programı; 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununun 64 üncü maddesi, Ġç Denetçilerin ÇalıĢma Usul ve Esasları Hakkında Yönetmeliğin 36 ve 40 ıncı maddeleri ve Kamu Ġç Denetim Genel Tebliğinin 5 inci maddesi uyarınca hazırlanmıģtır. Programın hazırlanmasında Kamu Ġç Denetim Rehberinde belirlenen esas ve usuller de dikkate alınmıģtır Dönemi Ġç Denetim Planı ile mevcut Ġç Denetçi kaynağı göz önünde bulundurularak Programa alınacak denetim alanları, risk öncelikli olarak belirlenmiģtir. II. AMAÇ Bu Program, Dönemi Ġç Denetim Planı ve temel stratejiler de dikkate alınarak BaĢkanlığımızca 2014 yılı içerisinde yürütülmesi planlanan denetim, danıģmanlık, izleme, eğitim, idari faaliyetlere ayrılacak kaynaklarını belirlemek amacıyla hazırlanmıģtır. III. TEMEL ĠLKELER 1. Programda belirtilen denetim ve danıģmanlık faaliyetlerine iliģkin saha çalıģmalarının yürütüleceği yerler ve tarihleri, Ġç Denetim Birimi BaĢkanı tarafından belirlenerek ilgili birimlere ayrıca bildirilecektir. 2. Ġç Denetim Birimi BaĢkanı, hastalık, görev değiģikliği gibi zorunlu nedenlerle denetim ekiplerinde değiģlik yapmaya yetkilidir. 3. Programda öngörülmeyen iģlerin yıl içerisinde yürütülmesi gerekirse, öncelikle ihtiyat için ayrılan kaynak bu alanda kullanılacaktır. Bu kaynağın yeterli olmaması haline en düģük risk seviyesine sahip denetim alanının bir sonraki döneme kaydırılması sağlanacaktır. Sayfa 185 / 365

186 4. Programda detayları gösterilmeyen faaliyet alanlarına (danıģmanlık, izleme gibi) ayrılacak sürelerde Ġç Denetim planında belirlenmiģ oranlara uyulmasına azami dikkat gösterilecektir. 5. Denetim görevleriyle ilgili olarak Ġç Denetçilerin saha çalıģmaları kapsamında yapacakları seyahatlerde uçak kullanılabilecektir. EK: 2014 Yılı Denetim Programı Ġç Denetçi Kaynak Tahsisi (Adam/Saat) Sayfa 186 / 365

187 EK Ġç Denetim Programı Eki Çizelge V1.0 T.C. EK ( Yılı) Ġç Denetim Programı Eki Çizelge 2014 Yılı Ġç Denetim Programı Denetçi Kaynak Tahsisi (Adam/Saat) Denetim DanıĢmanlık Eğitim Ġzleme Ġdari ĠĢler Ġhtiyat (Denetçi Kaynağı X Denetim Stratejisinde Denetim için Belirlenen Oran) (Denetçi Kaynağı X Denetim Stratejisinde Danışmanlık için Belirlenen Oran) (Denetçi Kaynağı X Denetim Stratejisinde Eğitim için Belirlenen Oran) (Denetçi Kaynağı X Denetim Stratejisinde İzleme için Belirlenen Oran) (Denetçi Kaynağı X Denetim Stratejisinde İdari İşler için Belirlenen Oran) (Denetçi Kaynağı X Denetim Stratejisinde İhtiyat için Belirlenen Oran) 1- Denetim Faaliyetleri: Sayfa 187 / 365

188 Denetimin Adı Denetim Alanlarının Kapsamı Denetlenecek Birimler Denetim Türü Denetlenme Sırası Denetim Ekibi ABC Denetimi F1 Faaliyeti F2 Faaliyeti A Daire BaĢkanlığı B ġubesi Sistem Denetimi 1 (Denetçi ve Denetim Gözetim Sorunlarının isimleri gösterilir..) (Denetimin ismi gösterilir.) (Denetim kapsamına alınan faaliyetler gösterilir.) (Denetim kapsamına alınan faaliyetler ile ilgili birimler gösterilir.) (Birden fazla denetim türü belirlenebilir.) (Denetleme sırası girilir.) 2 - DanıĢmanlık Faaliyetleri: Program hazırlanması esnasında danışmanlık faaliyeti belirlenmişse burada gösterilir Sayfa 188 / 365

189 DanıĢmanlık Konusu Ġlgili Birimler X Konusu C Dairesi Sayfa 189 / 365

190 EK Ġç Denetim Planının Güncellenmesi Örneği ÖRNEK 2 ĠÇ DENETĠM PLANININ GÜNCELLENMESĠ T.C.. EK ĠÇ DENETĠM PLANININ GÜNCELLENMESĠ (X) Ġdaresine ait risk değerlendirmeleri 2014, 2015 ve 2016 yıllarında aģağıdaki gibi gerçekleģmiģtir. Denetim alanlarının risk seviyesindeki değiģiklikler, denetim kapsamında yer alan faaliyetlerin denetimler sonucunda değiģen risk durumlarına göre ve ayrıca denetlenmemiģ faaliyetlerin yılsonlarında yapılan güncellemelerine dayanmaktadır. Denetim Alanları Risk Seviyesi 2014 yılı için 2015 yılı için 2016 yılı için A1 Yüksek Yüksek Orta A2 Yüksek Orta Orta A3 Yüksek Yüksek Yüksek A4 Yüksek Orta Yüksek B1 Orta Orta DüĢük B2 Orta DüĢük Orta B3 Orta Orta Orta C1 DüĢük Orta Orta C2 DüĢük DüĢük DüĢük C3 DüĢük DüĢük Orta 2013 yılı sonu itibariyle Sayfa / 365 dönemi İç Denetim planı

191 Bu durumda 2014 yılı baģında risk değerlendirmesi sonuçlarına göre denetim alanlarının aģağıdaki gibi yıllara dağıtımının yapılması halinde yıllar arasındaki denetim kaynağı ihtiyacı dağılımı dengelenmiģ olmaktadır A1, A2, A3, A4 A1, A2, A3, A4 A1, A2, A3, A4 B1, B2 B3 B1, B2 C1 C2, C yılı sonu itibariyle dönemi İç Denetim planı Bir yıl sonra 2015 yılı baģında güncellenen risk değerlendirmesi sonuçlarına göre Ġç Denetim Planının aģağıdaki Ģekilde revize edilmesi gerekmektedir. Risk seviyesi düģen A2, A4 ve B2 denetimleri 2017 yılına kaydırılmalı, risk seviyesi yükselen C1 denetimi ise 2016 yılında denetlenmek üzere öne alınmalıdır A1, A3, A4 A1, A3 A1, A3 B3 B1, C1 A2, A4 C2 C3 B yılı sonu itibariyle dönemi İç Denetim planı Bir yıl sonra, Ġç Denetim Planı yukarıdaki 2016 yılı risk değerlendirmesi sonucuna göre aģağıdaki Ģekilde revize edilebilir. Sayfa 191 / 365

192 A2, A3, A4 A3, A4 A3, A4 B2 B3 B1, B2 C3 B1, C2 C1, C3, C2 Belirli bir yıla (2018 yılında) yığılma olduğundan denetimler bir önceki yıllara kaydırılarak denetim kaynak dağılımının yıllar arasında dengeli olması sağlanabilir. (C2 denetimi 2017 yılına kaydırılmıģtır.) Sayfa 192 / 365

193 EK 8 ĠÇ DENETÇĠ GÖREVLENDĠRME YAZISI T.C. EK 8 Ġç Denetçi Görevlendirme Yazısı Sayı: / / 20 Konu: Görevlendirme Sayın İç Denetçinin Adı Soyadı (Denetimin adı) denetimiyle görevlendirilmiģ bulunmaktasınız. Denetiminizin Kamu Ġç Denetim Standartları ve Kamu Ġç Denetim Rehberine uygun olarak gerçekleģtirilmesini ve düzenlenecek denetim raporunun (İç Denetim Birimi Başkanlığına) iletilmesini rica ederim. Saygılarımla... Ġmza Adı-Soyadı Ġç Denetim Birimi BaĢkanı Denetimin Türü: (Sistem, Uygunluk, Performans, Mali, Bilgi Teknolojileri) Özel Talimatlar: (Varsa özellikle dikkat edilmesi gereken hususlar) Planlanan Denetim Süresi: (Başlama ve Bitiş Tarihleri ile Toplam Denetim Saati) Görevlendirilen Diğer Ġç Denetçiler: Denetim Gözetim Sorumlusu: Sayfa 193 / 365

194 EK 9 TARAFSIZLIĞI ZEDELEYEN HUSUSLARA ĠLĠġKĠN AÇIKLAMALARI Ġç Denetçilerin tarafsızlıklarını olumsuz etkileyen hususlar Ģunlardır: 1. Kendi Faaliyetlerini Denetleme Ġç Denetçilerin, daha önce gerçekleģtirdikleri faaliyetleri ya da almıģ oldukları kararlar doğrultusunda yürütülen faaliyetleri denetlemesi halinde ortaya çıkmaktadır. Özellikle idari görevlerde bulunduktan sonra Ġç Denetçi olarak atanan kiģilerin daha önce görev yaptıkları alanlarda görevlendirilmesi halinde bağımsızlığın zedelenmesi riski bulunmaktadır. Bunun dıģında, daha önceki denetimler sonucunda Ġç Denetçinin önerileri doğrultusunda kurumda ciddi değiģikliklerin yapılması durumunda da böyle bir riskin ortaya çıkması mümkündür. Bu önerilerin uygulanmasından kaynaklanabilecek olumsuz sonuçların, aynı Ġç Denetçi tarafından raporlanması zorlaģacaktır. 2. Sosyal Baskı Ġç Denetçilerin üzerinde Üst Yönetim ya da denetlenen birim içerisinden herhangi bir baskı olması halinde ortaya çıkmaktadır. Denetlenen birim, Ġç Denetçiler üzerinde baskı kurularak bazı bulguların yazılmaması, değiģtirilmesi ya da belli alanların detaylı incelenmemesi yönünde baskı kurulmaktadır. 3. Ekonomik Çıkar Ġç Denetçinin ortaya çıkardığı bulgular neticesinde kendi özlük haklarına yönelik olumlu ya da olumsuz bir beklenti içerisinde olabileceği durumlar söz konusuysa bu durumda tarafsızlığın zedelenmesi söz konusudur. Örneğin, İMİD de yürütülen bir denetim sırasında, İç Denetçinin yapmış olduğu lojman başvurusunun sonuçlandırılması söz konusuysa burada tarafsızlığın zedelenmesi riski ortaya çıkmaktadır. Ya da Ġç Denetçinin idari bir göreve atanması kararı bu denetimle yakından iliģkiliyse bu durumda tarafsızlığın zedelenmesi durumu ortaya çıkmaktadır. 4. KiĢisel ĠliĢkiler Denetlenen birimin yöneticileri ya da çalıģanları arasında denetimi yürütecek Ġç Denetçinin yakın bir akrabası ya da arkadaģı bulunuyorsa bu durum tarafsızlık açısından bir tehdit unsuru olmaktadır. Bu durumda denetçi bu kiģileri zor durumda bırakmak istemediğinden denetimi ister istemez daha üstün körü yapmak durumunda kalabilir. 5. Yakınlık Kurma Sayfa 194 / 365

195 Bu tehdit, Ġç Denetçinin uzun süre aynı birimde aynı konularda denetim yapması durumunda ortaya çıkmaktadır. Uzun süren denetim iliģkisi Ġç Denetçinin denetlenen birime karģı sempati duymasına neden olabilecek ve denetim perspektifini kaybetmesi söz konusu olabilecektir. Diğer taraftan geçmiģte yaģanan olumsuzluklar nedeniyle denetim konularına ön yargılarla yaklaģması durumu ortaya çıkabilecektir. 6. Kültürel Önyargılar Denetlenen birim yöneticilerinin ya da çalıģanlarının dil, din, mezhep, ırk, bölge, cinsiyet gibi farklılarından ötürü denetim yaklaģımında değiģim ortaya çıkması durumunda söz konusudur. Ġç Denetçilerin denetlenen birime yönelik yaklaģımında bu nedenlerle değiģikliklerin olduğunu hissetmeleri halinde ĠDB BaĢkanlarını bilgilendirmeleri gerekir. 7. Ġdraki (Cognitive) Önyargılar Bu tehdit, Ġç Denetçilerin elde ettikleri bilgi ve kanıtları bilinçsiz ve kasıtsız bir Ģekilde yanlıģ yorumlamaları durumunda ortaya çıkmaktadır. Örneğin, çok önemli bir bulgu tespit ettiğini düşünen bir İç Denetçi bu bulguyu destekleyen bilgi ve belgeleri dikkate alırken, zayıflatacak hususları göz ardı edebilmektedir. Sayfa 195 / 365

196 EK 10 TARAFSIZLIK VE GĠZLĠLĠK BELGESĠ Tarafsızlık ve Gizlilik Belgesi Referans No: T.C. EK 10 TARAFSIZLIK VE GĠZLĠLĠK BELGESĠ Denetimin Adı: Denetim Kapsamı: ) Denetim kapsamında yer alan faaliyetlerle ilgili olarak son bir yıl içerisinde hiçbir idari faaliyet üstlenmediğimi, 2) Denetlenen birim içerisinde birinci ve ikinci derece yakınım olan herhangi bir kimsenin çalıģmadığını, Beyan: 3) Aynı denetim faaliyetiyle ilgili olarak 3 kez üst üste görevlendirilmediğimi, 4) Denetim konusu hususlarla ilgili olarak son bir yıl içerisinde herhangi bir danıģmanlık görevi almadığımı, 5) Denetlenen birime, çalıģanlarına ya da yöneticilerine yönelik olarak herhangi bir önyargımın bulunmadığını Beyan ederim. Taahhüt: Denetimin yürütülmesi sırasında tarafsızlığımı bozacak ya da tarafsızlığımın bozulduğu intibaı uyandıran herhangi bir durum ile karģılaģmam halinde, Ġç Denetim Birimi BaĢkanını en kısa sürede bilgilendireceğimi, Denetimin yürütülmesi sırasında elde ettiğim bilgilerin niteliğine uygun olarak gizliliğini koruyacağımı Sayfa 196 / 365

197 Taahhüt ederim. Beyan ve Taahhüt Sahibi Ġç Denetçinin Adı Soyadı Ġmzası: / / Ġmza Adı-Soyadı İç Denetçi Sayfa 197 / 365

198 EK 11 DENETĠM BĠLDĠRĠM YAZISI ÖRNEĞĠ (Denetlenecek Birime Gönderilir) T.C. EK 11 DENETĠM BĠLDĠRĠM YAZISI Sayı: / / 20 Konu : Denetim Bildirimi DAĠRE BAġKANLIĞINA / ġube MÜDÜRLÜĞÜNE (Genel Müdürlük) Makamının.../.../...(Onay tarihi) tarihli Onayı doğrultusunda yürütülmekte olan (İç Denetim Programının yılı) Yılı Ġç Denetim Programı kapsamında Biriminizde (Denetimin Adı) denetimi yürütülecektir. Söz konusu denetime.../.../...(denetimin kaynak tahsisi aşamasında belirlenen denetime başlama tarihi) Tarihinde baģlanacaktır. Denetim, Ġç Denetçi (Denetim Gözetim Sorumlusu) Gözetiminde Ġç Denetçiler (Görevlendirilen İç Denetçilerin isimleri) tarafından gerçekleģtirilecek olup denetim sonrasında hazırlanacak bulgular ve rapor tarafınıza gönderilecektir. Denetimin kapsamı temel olarak;... (Denetim içerisinde yer alan temel denetlenebilir alanlar)... Faaliyetleri olup, kesin kapsam ve denetim amaçları Ġç Denetçiler imiz tarafından biriminizle yapılacak görüģmeler sonucunda belirlenecektir. Denetimin baģarıyla sonuçlanması için iģ birliğiniz ve bilgi paylaģımınız büyük önem arz etmektedir. Bilgi ve gereğini rica ederim. Saygılarımla... Ġmza Adı-Soyadı Ġç Denetim Birimi BaĢkanı Sayfa 198 / 365

199 EK 12 DENETĠM KONTROL LĠSTESĠ (Denetim Kontrol Listesi Denetim Basamaklarına ĠliĢkin ĠĢ ve ĠĢlem Sırasını Gösterir) V1.0 T.C. EK 12 DENETĠM KONTROL LĠSTESĠ REFERANS NUMARASI DENETĠM NUMARASI DENETĠM KONUSU DÜZENLEYEN DENETÇĠ: DENETĠM KONTROL LĠSTESĠ S.N YAPILACAKLAR DURUM ÇALIġMA KÂĞIDI REFERANS NO. TARĠH PARAF Görevlendirme yazısı ve eki Denetim Görevlendirme Formu incelenerek çalıģma dosyasına konuldu. Denetim Süre Planı Formu düzenlendi. Denetlenecek alana iliģkin ön araģtırma yapılarak Denetim Hedefleri belirlendi. Denetlenecek birim ile açılıģ toplantısı yapıldı. Denetlenen birim hakkında genel bilgiler ile denetlenen birimin hedefleri, bu hedeflere nasıl ulaģıldığı ve yürütülen faaliyetlerin sonucu hakkında bilgi edinildi. 6 Önceki denetim raporu, denetlenen birimin cevapları ve Sayfa 199 / 365

200 çalıģma kâğıtları gözden geçirildi (Daha önce denetim yapıldı ise) Önceki denetim bulguları incelenerek denetlenen birimin cevaplarında belirttiği düzeltici faaliyetler gözden geçirildi (Daha önce denetim yapıldı ise). Denetlenen birimdeki prosedürler öğrenildi, faaliyetler gözlemlendi, bu faaliyetler üzerindeki kontrol sistemi gözden geçirilerek çalıģma kâğıtlarıyla belgelendirildi. Riskler belirlendi. Risk değerlendirmesi ve derecelendirilmesi yapılarak anahtar riskler belirlendi. Bu konudaki çalıģmalar belgelendirildi. Denetimin hedefleri gözden geçirildi ve denetimin kapsamı belirlendi. AçılıĢ toplantısı ve yapılan ön çalıģmalara dayanarak Görev ĠĢ Programı hazırlandı. 12 Görev ĠĢ Programı onayı alındı Gerekli ise Denetim Süresi ve Kaynağı Revizyon Formu dolduruldu. ÇalıĢma planında belirlenmiģ araģtırmalar ve testler yapıldı, belgelendirildi ve sonuçları analiz edildi. Denetim bulguları oluģturuldu ve denetlenen birim ile paylaģıldı. Yorumlar ve planlanan düzeltici faaliyetler Sayfa 200 / 365

201 not alındı KapanıĢ toplantısı yapıldı ve idarenin verdiği cevaplar alındı. Denetim rapor hazırlandı ve ekleriyle birlikte Ġç Denetim Birimi BaĢkalığı na teslim edildi. Sayfa 201 / 365

202 EK 13 DENETĠM SÜRE PLANI FORMU V1.0 T.C. EK 13 DENETĠM SÜRE PLANI FORMU Planlanan GerçekleĢen BaĢlama Tarihi BitiĢ Tarihi BaĢlama Tarihi BitiĢ Tarihi ÖN ÇALIġMALAR A D Bilgi toplama ve ön araştırma Açılış toplantısının yapılması Kapsamlı risk analizinin yapılması A B C Görev iş programının onaylanması D SAHA ÇALIġMALARI E F Sayfa 202 / 365

203 Testlere başlanması E Testlerin tamamlanması RAPORLAMA G I Bulguların hazırlanması Bulguların paylaşılması G H Denetim raporunun sunulması I Denetim Gözetim Sorumlusu tarafından Ġç Denetçilerin görüģleri dikkate alınarak A, D, E, F, G ve I tarihlerinin zorunlu olarak doldurulması gerekmektedir. Ġstenildiği takdirde diğer alanlarında doldurulması mümkündür. Bu formun gerçekleģme bilgilerinin yer aldığı sütuna, aģağıdaki hususlar gözetilerek gerçekleģme bilgileri girilir. A- Görevlendirme yazısıyla belirlenen denetime başlama tarihi B- Açılış toplantısı tarihi C- Risk analizlerine başlama tarih D- Görev iş programının onay tarihi E- İlk teste başlama tarihi F- En son testin bitirilme tarihi Sayfa 203 / 365

204 G- Bulguların hazırlanmaya başlandığı tarih H-Bulguların denetlenen birime gönderildiği tarih I- Denetim raporunun tamamlanıp Üst Yöneticiye sunulduğu tarih (Raporlama tarihi denetimin tamamlanması planlanan tarihten sonra olamaz) Sayfa 204 / 365

205 V1.0 EK 14 STANDART Ġġ AKIġ SEMBOLLERĠ (Süreç Analizinde Kullanılan ĠĢ AkıĢ Sembollerinin Ġfade Ettiği Manaları Gösterir) SEMBOL ADI KULLANIM AMACI Doküman ĠĢ akıģı içerisinde kullanılan belgeleri ifade etmektedir. Belgenin adı ve belge içerisinde sunulan bilginin ne olduğu belirtilir. Adım, Süreç, Aktivite ĠĢ akıģı içerisinde yer alan adımları göstermektedir. Bu simge genel bir faaliyet tanımlanırken alt bir süreci ifade edebileceği gibi detaylı bir iģ akıģında ise bir iģlemi iģaret edebilir. Karar ĠĢ akıģı içerisinde farklı yönlere gidilmesi durumlarında kullanılan semboldür. BaĢlangıç / BitiĢ ĠĢ akıģının baģlangıç noktasını ve bitiģ noktasını belirtmek amacıyla kullanılan semboldür. Bağlantı ĠĢ akıģı içerisinde detaylandırılamayan veya baģka iģ akıģlarında yer alan kısımları belirtmek için kullanılan semboldür. Girdi Süreç içerisinde sağlanan girdileri ifade eden semboldür. Bilgilerin Kaydedilmesi Süreç içerisinde kullanılan ya da üretilen bilgi ve belgelerin saklanmasını ve depolanmasını ifade eden semboldür. Sayfa 205 / 365

206 EK 15 SÜREÇ ANALĠZĠ BĠLGĠ TOPLAMA FORMU T.C. EK 15 SÜREÇ ANALĠZĠ BĠLGĠ TOPLAMA FORMU BĠLGĠ TOPLAMA FORMU (SÜREÇ ANALĠZĠ) AMAÇ Denetlenecek sürecin nerede baģlayıp nerede bittiği, nasıl çalıģtığı, sorun yaģanan adımlar ile diğer sistemlerle iliģkisini ortaya koymak. Denetim saha çalıģmalarının verimli ve sistematik bir Ģekilde yürütülmesi amacıyla aģağıdaki soruların denetim ön çalıģmaları sırasında Ġç Denetçiler tarafından elde edilen bilgiler doğrultusunda cevaplandırılması gerekmektedir Yürütülen hizmetlerle ilgili mevcut süreçler nelerdir ve hangi alt süreçlerden oluģmaktadır? Süreçlerin temel önceliği nedir? Süreç tarafından üretilen çıktının değeri (parasal olan olmayan) nedir? Sürecin iģleyiģi ile ilgili olarak; 3. Süreç nasıl iģlemeye baģlamaktadır? Süreci hangi talep, olay veya sistem baģlatmaktadır? Süreç Ģu anda sorunsuz iģlemekte midir? Sürecin iģlemesine iliģkin önemli engeller nelerdir? Biriminiz içinde bu süreçte görev alan alt birimler hangileridir? Biriminiz dıģında süreçler için ihtiyaç duyduğunuz temel girdiler ve bu girdileri sağlayan birimler hangileridir? Bu süreçle ilgili olarak diğer birimlerden alınan bilgi ve belgelerde kritik noktalar nelerdir? Bu sürece iliģkin herhangi bir bilgi teknolojisi sistemi kullanılmakta mıdır? Sayfa 206 / 365

207 Sürecin çıktılarıyla ilgili olarak; 4. Süreç sonunda ortaya çıkan çıktılar nelerdir? Bu çıktıları kimler kullanmaktadır? Bu çıktılara kimler bağımlıdır? Bu çıktılar kabul edilmediği zaman ilgili birim tarafından yapılan iģlemler nelerdir? Sürecin nihai faydalanıcısı kimdir? Bu çıktının belirli zaman ve sürelerde oluģturulması gerekmekte midir? Sürecin çalıģma dönemleri var mıdır? Süreçteki dokümantasyonla ilgili olarak; 5. Sürece iliģkin dokümantasyon / teknik belgeler bulunmakta mıdır? Sürece iliģkin düzenlenmiģ raporlar bulunmakta mıdır? 6. Hedefleri baģarıyla gerçekleģtirmek için ne gibi ilave kaynak ve imkânların bulunması gerekmektedir? 7. Bu süreçle ilgili olarak ortaya çıkabilecek en önemli sorun nedir? 8. GeçmiĢte bu süreçle ilgili karģılaģılan en önemli sorun nedir? 9. Bir kriz anında sürecin iģlemesini sağlayacak alternatifler var mıdır? Sayfa 207 / 365

208 EK 16 ETĠK DENETĠMĠNE ĠLĠġKĠN AÇIKLAMALAR 1. Etik ile ilgili program ve faaliyetlerin tasarımı değerlendirilirken; a. Ġlke ve davranıģ kurallarının uygulanabilirliği (Uymak zorunda olanlar kimlerdir: Üst seviye yöneticiler, çalıģanlar, diğer kurumlar, hizmet sağlayıcılar?) b. Ġlke ve davranıģ kurallarının kapsayıcılığı (Örneğin iģ yerindeki dürüstlük, çıkar çatıģmalarının açıklanması, Ġdare mallarının kullanımı, hediye alma yasağı, gizli bilgilerin açıklanması, hizmet alanlarla olan iliģkiler gibi kritik konuları içerip içermediği) değerlendirilmelidir. 2. Etik ile ilgili program ve faaliyetlerin uygulaması değerlendirilirken; a. ĠletiĢim Planları (etik ile ilgili iletiģim tasarlandığı Ģekilde sağlanıyor mu, hedeflenen katılımcılara ve uygun sıklıkta mesajlar aktarılıyor mu?) b. Eğitim/Farkındalık Programları (Kaç çalıģan eğitimlere katıldı, eğitimlere iliģkin değerlendirmeleri nedir?) c. Etik ile ilgili ihlal durumları veya Ģüphelere iliģkin bildirim süreçleri (çalıģanlar bu durumları raporlamakta mıdır, raporlanan konular ile ilgili gerekli iģlemler yapılmıģ mıdır?) midir? d. ÇalıĢanlar etik kuralları anladıkları ve bu kurallara uyduklarını beyan etmekte e. Çıkar çatıģmaları veya ihtimaline iliģkin durumlar beyan edilmekte midir, bu beyanlara iliģkin olarak yönetim tarafından uygun çözümler üretilmekte midir? 3. Etikle ilgili program ve faaliyetlerin tasarım, uygulama ve etkililiği değerlendirilmekle birlikte, bu değerlendirmelerin kilit unsuru etkililiktir. Ġç Denetçiler, Ġdarenin etik ile ilgili amaçlarını gerçekleģtirmede ne seviyede baģarılı olduğunu değerlendirmek zorundadır. Program ve faaliyetlerin etkililiği değerlendirilirken; a. ÇalıĢanlar tarafından bildirilen/raporlanan etik sorunlar ve bunun üzerine gerçekleģtirilen iģlemlerin gözden geçirilmesi (Alınan aksiyonlar sorunu gidermeye uygun mu, bildiren/raporlayan kiģiler olumsuz muameleye maruz kalmıģ mı? b. YasadıĢı veya etik dıģı davranıģları belirlemeye yönelik ihbar ve bildirimler dıģında bir yöntem uygulanmakta mı? (aģırı büyüklükteki iģlem sayısının izlenmesi gibi) c. Etik ile ilgili program ve faaliyetlerin etkinliğinin izlenmesine yönelik yöntemlerin değerlendirilmesi (Kim kime raporlama yapıyor, raporlama zamanında yapılıyor mu, bu raporlar üzerine gerekli iģlemler yapılıyor ve tekrarlanmaması için önlemler alınıyor mu?) Sayfa 208 / 365

209 d. ÇalıĢan anketlerinin sonuçlarının gözden geçirilmesi ve çalıģanlar ile etik kuralların anlaģılıp uygulandığını belirlemeye yönelik görüģmeler yapılması, e. Üst Yönetime yapılan raporlamaların tamlığı ve kapsamının uygunluğunun gözden geçirilmesi, f. Anahtar kontrollerin (risk değerlendirme sürecinde tanımlanan) uygulamadaki etkinliğinin gözden geçirilmesi. Etik ile ilgili program ve faaliyetlerin değerlendirilmesi sırasında uygulanabilecek farklı yöntemler bulunmaktadır, bunlardan beģi aģağıda sıralanmaktadır: ETĠK ĠLE ĠLGĠLĠ FAALĠYETLERĠN DEĞERLENDĠRĠLMESĠNE ĠLĠġKĠN 5 YÖNTEM 1) Kurum seviyesinde Etik Ġle Ġlgili Politika ve Süreçlerin Gözden Geçirilmesi Yöntemi, 2) Etik ile Ġlgili Fonksiyonların, Özel Olarak Denetlenmesi Yöntemi, 3) Kurum seviyesinde Personel Anketleri uygulanması yöntemi, 4) Denetim Görevleri Kapsamında Personel Anketleri Uygulanması Yöntemi, 5) Ġç Denetçilerin Etik Ortama ĠliĢkin Algılarının Değerlendirmelere Dâhil Edilmesi Yöntemi. 1) Kurum seviyesinde Etik Ġle Ġlgili Politika ve Süreçlerin Gözden Geçirilmesi Ġç Denetçiler, etik değerlere iliģkin unsurları içeren tüm düzenlemeleri gözden geçirmeli ve aģağıdaki konuları değerlendirmelidir: 1.a) Etik ilke ve kurallar, kuruma özel ve anlamlı bir Ģekilde belirlenmiģ midir? mıdır? 1.b) Farklı politika belgeleri arasında etik değerlere iliģkin tutarlılık bulunmakta 1.c) Politikalarda eksik bırakılan bir unsur bulunmakta mıdır, etik ile ilgili ilke ve kuralların eklenmesi gereken bir baģka politika dokümanı bulunmakta mıdır? 1.d) Etik ilkeler ve çalıģanlardan beklenen davranıģ kuralları, açık, basit ve kolay anlaģılabilir bir Ģekilde çalıģanlara bildirilmiģ midir? Sayfa 209 / 365

210 2) Etik ile ilgili fonksiyonların, özel olarak denetlenmesi Etik ile ilgili faaliyet ve fonksiyonlar(uygunluk, etik ile ilgili eğitimler, çağrı hatları vs.) Ġdare genelinde yapılacak genel bir gözden geçirme kapsamında veya bu faaliyetlere özel planlanan denetimler kapsamında denetlenebilir. 3) Kurum seviyesinde Personel Anketleri uygulanması Ġyi yönetilmiģ bir anket uygulaması, çalıģanların etik ortama iliģkin algısını gösteren objektif bir kanıt sağlar ve bu algı etik ortamın mevcut durumuna iliģkin en güvenilir göstergedir. Ġç Denetçiler, çalıģanların algısının sübjektifliğini göz önünde bulundurmak suretiyle sonuçları raporlarken anketin güçlü yönleri ve sınırlılıkları hakkında uygun bir bakıģ açısı geliģtirmelidir. Zayıflıklara iliģkin aksiyon planlarının geliģtirilmesi için yönetimle beraber çalıģmalıdır. Etik ile ilgili faaliyetlerin etkinliğini değerlendirmek için Ġç Denetçiler etik ortamını değerlendirmelidir. Ġdare genelindeki uygulanacak bir anket çalıģması, bunun iyi bir yöntemidir. (Örnek-3: Etik Anket Formları) Uygulanan etik anketleri neticesinde; 3.a) Etik ortama iliģkin belirtilen zayıflıkların gerçekte var olup olmadığı, kuvvetlendirici deliller ile belirlenmeli, eğer mevcutsa bu zayıflığın kök nedeni ve alınması gereken önlemler tanımlanmalıdır. 3.b) Gerekiyorsa, çalıģanların belirttiği riskli alanlara iliģkin olarak makro risk değerlendirmesi güncellenmelidir. 3.c) Anket sonuçları, eğer bireysel denetim görevlerini etkileyen hususları içeriyorsa, bireysel denetim görevlerinin planlamasında dikkate alınmalı ve mikro seviyedeki risk değerlendirmeleri bu bilgiler doğrultusunda gerçekleģtirilmelidir. Eğer denetim alanına mahsus zayıflıklardan bahsedilmekte ise, bu zayıflıklara iliģkin testler gerçekleģtirilmelidir. Her durumda, zayıflıkların kök nedeni analizi yapılır. 4) Denetim Görevleri Kapsamında Personel Anketleri Uygulanması Yukarıda anlatılan Ġdare seviyesindeki anket uygulamasına benzer Ģekilde, daha özet bir anket uygulaması bireysel denetim görevlerinde kullanılabilir. (Örnek: Etik Anket Formları) Sayfa 210 / 365

211 Anket sonuçları, daha somut kanıtlar ile doğrulanmadıkça, denetim bulgusu olarak raporlanmamalıdır. Anketler personel algılarını doğru bir Ģekilde yansıtabilir; ancak bu algılar her zaman doğru olmayabilir. Sonuçlar, sorumlu yöneticiye mutlaka raporlanmalıdır. Çünkü sorumlu yöneticinin çalıģanların düģüncelerini öğrenmesi ve varsa yanlıģ algının düzeltilmesi gerekir. 5) Ġç Denetçilerin Etik Ortama ĠliĢkin Algılarının Değerlendirmelere Dâhil Edilmesi Resmi değerlendirme yöntemlerinden daha az etkin olmakla birlikte, Ġç Denetçiler en azından riskleri değerlendirirken, etik ortama iliģkin Ģahsi algılarını destekleyen tüm kanıtları elde etmelidir. Ġç Denetçiler, denetimleri yürütürken etikle ilgili konularda hassas ve dikkatli olmalıdır. Denetim sürecinde gerçekleģtirilen görüģmelere etik ile ilgili sorular (geçmiģte karģı karģıya kaldığınız en önemli etik ikilem/sorun nedir gibi) eklenebilir. Ġdarenin etik ortamının değerlendirilmesinde kullanılan yukarıda bahsedilen yöntemlerin tamamı, tüm kurumlar için uygun olmayabilir. Ġç Denetçiler, kurumsal özellikleri doğrultusunda kendilerine uygun yöntemi tercih etmelidir. Sayfa 211 / 365

212 & & & V1.0 EK 16.1 ETĠK ANKET FORM ÖRNEKLERĠ EK KURUM SEVĠYESĠNDE PERSONEL ANKETĠ ÖRNEĞĠ Etik ortam, her zaman yöneticilerin istediği ya da düģündüğü Ģekilde oluģmaz. Etik ortamı belirleyen çalıģanların düģündükleridir. Bu nedenle etik anketi, etik ortamın anlaģılmasında önemli bir araçtır. Ġstenen ve gerçekleģen durum arasındaki boģlukların belirlenmesi, sonrasında bu boģlukların giderilmesi için gerekli tedbirlerin alınması halinde, anket önemli bir katma değer meydana getirebilir. AĢağıda Ġç Denetçiler tarafından etkin Ģekilde kullanılan bir anket örneği yer almaktadır. Anket yalnızca etik ortam üzerine odaklanmamıģ, etik üzerinde etkili olan konular da içerisine yerleģtirilmiģtir. BĠRĠM ADI: (Lütfen aģağıda verilen durumlardan düģüncelerinizi en iyi Ģekilde ifade eden bir cevabı iģaretleyiniz.) T.C. EK KURUM SEVĠYESĠNDE PERSONEL ANKETĠ Sayfa 212 / 365

213 1.BÖLÜM KURUM KÜLTÜRÜ Kurum kültürü insanların kontrol farkındalığını etkileyerek Ġdarenin tarzını belirler. Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum 1. Birim yöneticilerim etik standartlara üst seviye uyum sergiler. 2. Birim yöneticilerim kanun ve düzenlemelere uymak için azami çabayı gösterir. 3. Bölümümdeki amirlerim kanun ve düzenlemelere uymak için çaba gösterir. 5. Birimimdeki çalıģanlar, görevlerini gereği gibi yürütebilmek için gereken bilgi, tecrübe ve eğitime sahiptir. Eğitim ve bilgi eksikliğini gidermek için ihtiyaç analizi yapılmakta ve programlı Ģekilde giderilmeye çalıģılmaktadır. 6. Birimimde hatalarımızdan ders alırız. Sayfa 213 / 365

214 7. Personel devir hızı, izinler ve geçici görevlendirmeler birimimin fonksiyonlarını etkin bir Ģekilde yürütmesine engel teģkil etmemektedir. 8. Birimimizde mali ve operasyonel (faaliyetlerimize iliģkin) sonuçların doğru ve dürüst bir Ģekilde raporlanmasına üst seviye özen gösterilmektedir. 9. Birimimde çalıģanlara dürüst ve adaletli bir Ģekilde davranılmaktadır. 10. Birimimde çalıģanlar, görevlerini yaparken gereksiz güvenlik risklerini üstlenmek zorunda kalmazlar. 11. Yukarıdaki durumlardan herhangi birine katılmıyorum veya kesinlikle katılmıyorum seçeneklerini iģaretleyseniz neden bu Ģekilde hissettiğinizi lütfen açıklayınız. 2.BÖLÜM HEDEFLER VE ENGELLER Kurumlar hedeflerini gerçekleģtirmelerini engelleyebilecek riskleri nasıl yöneteceklerini belirlemek için hedefleri önündeki engelleri tanımlar ve Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum Sayfa 214 / 365

215 değerler. 12. Gelecek yıl için sorumlu olduğum hedefler anlaģılır ve kesin olarak belirlendi ve tebliğ edildi. 13. Hedeflerimi gerçekleģtirmek için gereken yetki, bilgi, kaynak, araç ve zamana sahibim. 14. Birimimde hedeflerimizi gerçekleģtirmenin önündeki engel ve sınırlılıkları tanımladık. 15. Birimimde yeni hizmet, teknoloji ve diğer önemli değiģikliklere iliģkin durumlar uygun Ģekilde yönetilir. 16. Birimimde, alınan karar ve yürütülen faaliyetlerin hizmet alan üzerindeki etkileri dikkate alınır. 17. Yukarıdaki durumlardan herhangi birine katılmıyorum veya kesinlikle katılmıyorum seçeneklerini iģaretleyseniz neden bu Ģekilde hissettiğinizi lütfen açıklayınız. 18. Sizce biriminizin karģı karģıya olduğu en önemli mali ve operasyonel riskler nelerdir? Bu riskler nasıl yönetilmeli? Sayfa 215 / 365

216 3.BÖLÜM POLĠTĠKA VE PROSEDÜRLER Politika prosedür ve diğer düzenlemeler hedeflerin gerçekleģtirilmesine yardımcı olur. Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum 19. Birimimdeki politika ve prosedürler görevimi etkin bir Ģekilde yürütmeme izin vermektedir. 20. Kurum varlıklarını çalan (mal, para bilgi, zaman) kiģi tespit edilecektir. Kurumda yaģanacak hırsızlık olaylarının önlenmesi konusunda teknik ve idari önlemler mevcuttur. 21. Kurumdan çalan (mal, para bilgi, zaman) personel tespit edildiğinde uygun Ģekilde cezalandırılacaktır. 22. Yasa ve düzenlemeleri çiğneyen personel tespit edilecektir. 23. Yasa ve düzenlemeleri çiğneyen personel tespit edildiğinde uygun Ģekilde cezalandırılacaktır. 24. Yukarıdaki durumlardan herhangi birine katılmıyorum veya kesinlikle katılmıyorum seçeneklerini iģaretleyseniz neden bu Ģekilde Sayfa 216 / 365

217 hissettiğinizi lütfen açıklayınız. 4. BÖLÜM: BĠLGĠ VE ĠLETĠġĠM Ġlgili bilgiler tanımlanmalı, elde edilmeli ve sorumluluklarını yerine getirmek için ihtiyaç duyan kiģilere uygun formda ve zamanında iletilmelidir. Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum 25. Bilgi yönetim sistemimiz belirlenmiģ hedeflere kıyasla birim performansımız hakkında yönetime zamanında rapor sunmamıza imkân sağlar. 26. Süreçlerin iyileģtirilmesine yönelik önerilerimi sunmama iliģkin mekanizma ve teģvikler bulunmaktadır. 27. Birimimiz ve üst seviye yöneticiler arasındaki iliģki görevimizi etkin bir Ģekilde yürütmemizi sağlamaktadır. 28. Birimimiz sınırları içerisindeki iletiģim görevimizi etkin bir Ģekilde yürütmemizi sağlamaktadır. 29. Birimler arasındaki iletiģim çalıģanların Sayfa 217 / 365

218 görevlerini etkin bir Ģekilde yürütmelerini sağlamaktadır. 30. Görevimi yapmam için gereken yeterli bilgiye sahibim. Görevimi yapmam için yeterli bilgiye sahip olmadığım konularda kurum destek vermektedir. 31. Ġdaredeki Üst Yöneticiler, birimimin gerçek performansı hakkında bilgilendirilmektedir. 32. ġüphelenilen uygunsuzlukların bildirilmesine iliģkin iletiģim kanalı mevcuttur. 33. ġüphelendiği uygunsuzlukları bildiren personel kötü muameleden korunmaktadır. 34. YanlıĢ giden durumları amirime bildirdiğimde bu durumların sona ereceğinden eminim. 35. Yukarıdaki durumlardan herhangi birine katılmıyorum veya kesinlikle katılmıyorum seçeneklerini iģaretleyseniz neden bu Ģekilde hissettiğinizi lütfen açıklayınız. Sayfa 218 / 365

219 5.BÖLÜM: DEĞERLENDĠRME VE GERĠ BĠLDĠRĠM Kurum, değerlendirme ve geri bildirimler aracılığı ile performansını sürekli olarak değerlendirir, izler ve gözetir. Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum 36. Üst Yönetime sunulan raporlarda yer alan bilgiler birimimin gerçek faaliyet sonuçlarını yansıtmaktadır. 37. Hizmet sağlayıcıların(tedarikçilerin) performansını izlemek için gereken bilgilere sahibim. 38. PaydaĢların(iç ve dıģ) memnuniyetini veya memnuniyetsizliğini izlemek için gereken bilgilere sahibim. 39. Ġç ve dıģ paydaģların geri bildirimleri ve Ģikâyetleri zamanında ve etkin bir Ģekilde izlenmektedir. 40. Birimimde üretilen çıktının kalitesi ölçülebilirdir. Sayfa 219 / 365

220 41. Birimimde çalıģan personel, bir hata veya eksikliği tespit etmesi halinde nasıl bir iģlem yapması gerektiğini bilmektedir. 42. Amirlerim performansımı benimle de görüģerek izlemektedir. 43. Etik olmayan veya usulsüz faaliyetleri fark etmem durumunda ne yapmam gerektiğini biliyorum. 44. Yukarıdaki durumlardan herhangi birine katılmıyorum veya kesinlikle katılmıyorum seçeneklerini iģaretleyseniz neden bu Ģekilde hissettiğinizi lütfen açıklayınız. EVET HAYIR 45. Birimimde usulsüz faaliyetler yürütüldüğü biliyorum/ģüpheleniyorum. Eğer 45. soruya EVET cevabı verdiyseniz lütfen aģağıdakileri yanıtlayınız. 45A. 45. Soruda belirttiğiniz durum hangi faaliyete iliģkindir? Sayfa 220 / 365

221 45B. Bu durumu bildirdiniz mi? EVET/HAYIR (Lütfen iģaretleyiniz) 45C. Eğer hayırsa neden? NOT: Eğer herhangi bir yolsuzluk veya suiistimali bildirmek istiyorsanız lütfen(idarenizdeki yolsuzluk hattının numarasını yazınız) numaralı hattı/telefonu arayınız. Sayfa 221 / 365

222 EK DENETĠM GÖREVLERĠNE ĠLĠġKĠN PERSONEL ANKETĠ ÖRNEĞĠ Birim yöneticileri, geliģtirdiği yazılı prosedürler, söylemleri ve davranıģları ile birimlerindeki etik ortamı oluģtururlar. Bu ortam Ġdarenin geneli ile uyumlu olmayabilir, bu nedenle tüm denetim görevleri sırasında bir personel anketi uygulanması değer katabilecektir. Birim yöneticilerine, ankete eklemek istedikleri özel bir konu olup olmadığı mutlaka sorulmaktadır. Ankette geçen Yönetici ifadesi ile görev yaptığınız birimin/bölümün yetkilisi kastedilmektedir. T.C. EK DENETĠM GÖREVLERĠNE ĠLĠġKĠN PERSONEL ANKETĠ Kesinlikle Katılıyorum Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Bilmiyorum 1. Yönetim, etik ve dürüstlüğe verdiği önemi davranıģlarıyla göstermektedir. 2. Yönetim verimlilik ve kaliteyi geliģtirmek için çalıģan önerilerine açıktır. Sayfa 222 / 365

223 3. Yönetim bazen kurum politika, prosedür ve mevzuatını çiğnemektedir.(mevzuat ve düzenlemelere uygun olmayan kısa yollar kullanmaktadır.) 4. Yönetim görevini yürütmek için gereken doğru bilgi, tecrübe ve eğitime sahiptir. 5. Personel(yönetim dıģındaki) görevini yürütmek için gereken doğru bilgi, tecrübe ve eğitime sahiptir. 6. Yönetim, birimimdeki faaliyetleri etkin bir Ģekilde izlemekte, gözetmekte ve yönlendirmektedir. 7. Yönetim, hizmet alanların öneri ve geri bildirimlerine karģı duyarlıdır. 8. Kurum politika ve prosedürleri hakkında bilgi sahibiyim ve ihtiyaç duyduğumda politika ve prosedürlere hızlı ve Sayfa 223 / 365

224 kolay bir Ģekilde ulaģabiliyorum. 9. Yönetim görev ve sorumluluklarımı bana yazılı ve anlaģılır bir Ģekilde bildirmedi. 10. Politika, prosedür veya iģ yeri kurallarının ihlal edilmesi halinde, yönetimin uygun aksiyonları alacağına inanıyorum. 11. Bir uygunsuzluğu bildirmem halinde kötü muameleye maruz kalmayacağımı düģünüyorum. 12. Hatalı, hileli, usulsüz veya etik dıģı davranıģları nasıl bildireceğimi biliyorum. Biriminiz faaliyetleri hakkında bizimle paylaģmak istediğiniz baģka bir durum bulunmakta mıdır, lütfen yazınız. Adınız ve Soyadınız (İsteğe Bağlı) Sayfa 224 / 365

225 V1.0 EK ĠÇ KONTROL OLGUNLUK SEVĠYELERĠNE ĠLĠġKĠN AÇIKLAMALAR Ġdarenin iç kontrol olgunluk seviyesinin belirlenmesine iliģkin olarak farklı seviyeler tanımlanmıģtır. Olgunluk seviyeleri aģağıda tanımlanmaktadır: Kapsam DıĢı: Görev kapsamı, değerlendirme yapılmasına imkân vermemektedir veya iç kontrol sisteminin mevcut durumu, sağlıklı değerlendirme yapılmasına imkân vermemektedir. 1-BaĢlangıç: Ġç kontrol uygulamaları henüz baģlangıç seviyesindedir veya sürekliliğine iliģkin güven sağlamamaktadır. BaĢarılmak istenen sonuçlara ulaģılabilmesi ancak bireylerin olağanüstü çabası ile mümkün olmaktadır. Bununla birlikte, bu çabaların sürekli tekrarlanması mümkün olamayacağından istenen sonuçlar sağlanamayacaktır. 2-Sınırlı/Sistematik Olmayan: Ġç kontrol uygulamalarına iliģkin bazı yapılar ve baģarılmak istenen sonuçlara ulaģıldığı durumlar mevcuttur. Bununla birlikte olgunluk kriterleri, iyi tanımlanmamıģ veya formel bir Ģekilde dokümante edilmemiģ olması nedeniyle, esnek değildir veya değiģikliklere uyum sağlayamamaktadır. Bu nedenle iç kontrol sisteminin, insan kaynaklarının yeterliliği ve motivasyonuna, yüksek seviyede bağımlılığı söz konusudur. 3-GeliĢime Açık: Ġç kontrol bileģenleri (KĠKS) uygun bir Ģekilde tanımlanmıģ ve dokümante edilmiģtir, bu sayede zaman içinde meydana gelen değiģikliklere (personel değiģimi, süreç ve sistemlerin değiģimi gibi) uyum sağlanabilmektedir. Bununla birlikte, performansın izlenmesi formel hale getirilmemiģtir. Bu nedenle yönetimin, olgunluk kriterlerinin tanımlandığı Ģekilde yönetildiğine iliģkin olarak personele büyük bir güven duyması gerekmektedir. 4-Yeterli: Ġç kontrol uygulamalarına iliģkin baģarının ölçülmesi için anahtar performans göstergeleri ve izleme teknikleri kullanılmaktadır. Bu sayede yönetimin aksayan ve duraklayan durumları yönetmesi mümkün olabilmektedir. Tasarlanan kriterler, iģ ortamındaki değiģikliklere, küçük uyarlamalar yapılarak adapte edilebilmektedir. 5-GeliĢmiĢ: Yönetim, en iyi olarak kalmak için, iģ ortamındaki değiģiklikler veya geliģmeler doğrultusunda, Ġdare içerisinden veya dıģarısından en iyi uygulama örneklerini takip etmekte ve kendi süreçlerine yansıtmaktadır. Sayfa 225 / 365

226 ĠSTANBUL SU VE KANALĠZASYON ĠDARESĠ Ġ S K Ġ GENEL MÜDÜRLÜĞÜ ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI EK DENETĠM GÖRÜġÜNÜN OLUġTURULMASI (ĠÇ KONTROL OLGUNLUK SEVĠYESĠNE ĠLĠġKĠN DENETĠMĠN GÖRÜġÜNÜN OLUġMASINA DAĠR AÇIKLAMALAR) Sayfa 226 / 365

227 ĠSTANBUL SU VE KANALĠZASYON ĠDARESĠ Ġ S K Ġ GENEL MÜDÜRLÜĞÜ ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI EK DENETĠM GÖRÜġÜNÜN OLUġTURULMASI (ĠÇ KONTROL OLGUNLUK SEVĠYESĠNE ĠLĠġKĠN DENETĠMĠN GÖRÜġÜNÜN OLUġMASINA DAĠR AÇIKLAMALAR AÇIKLAMALAR KURALLAR 1 Ġç kontrol ihtiyacının farkına varılmıģtır. Risk ve kontrollerin belirlenmesine yönelik geliģi güzel ve kiģilere bağlı bir yaklaģım söz konusudur. Kontrol zayıflıkları belirlenmemektedir. Kontrollere iliģkin sorumlulukların belirlenmesinde yetersizlikler bulunmaktadır. Denetlenen faaliyetle ilgili olarak 1 BaĢlangıç değerlendirmesine, iki veya daha fazla kritik önem seviyesine sahip bulgunun olması halinde karar verilir. 2 Kontroller uygulanmakla birlikte, dokümantasyonunda eksiklikler bulunmaktadır. Kontrollerin çalıģması, ilgili kiģilerin bilgi ve motivasyonlarına bağlı olarak değiģmektedir. Kontrollerin etkililiği değerlendirilmemektedir. Kontrol zayıflıkları tam olarak ortaya konamamakta ve önceliklendirilmek suretiyle çözüme kovuģturulmamaktadır. Kontrollere iliģkin sorumluluklar kısmen belirlenmiģtir. Denetlenen faaliyetle ilgili olarak 2 Sınırlı/Sistematik Olmayan değerlendirmesine, bir kritik veya iki ve daha fazla yüksek önem seviyesine sahip bulgunun olması halinde karar verilir. 3 Kontrol uygulanmakta ve yeterli seviyede dokümante edilmektedir. Düzenli olarak kontrollerin çalıģıp çalıģmadığı kontrol edilmektedir. Ancak bu değerlendirme süreci yazılı olarak belirlenmemiģtir. Yönetim, büyük ölçüde kontrolleri takip edebilmekle birlikte gözden kaçan hususlar olabilmektedir. ÇalıĢanlar, kontrollerle ilgili sorumluluklarının farkındadır. Denetlenen faaliyetle ilgili olarak 3 GeliĢime açık değerlendirmesinin yapılabilmesi için kritik önem seviyesine sahip bulgu bulunmaması ve en fazla bir yüksek önem seviyesine sahip bulgunun olması halinde karar verilir. Sayfa 227 / 365

228 4 Etkili bir risk yönetimi ve iç kontrol ortamı bulunmaktadır. Yazılı olarak tanımlanmıģ ve düzenli olarak yürütülen bir kontrol değerlendirme süreci bulunmaktadır. Yönetim kontrollerle ilgili sorunları hızla tespit ederek öncelik sırasına uygun ve tutarlı bir Ģekilde çözüme kovuģturabilmektedir. Denetlenen faaliyetle ilgili olarak 4 Yeterli değerlendirmesinin yapılabilmesi için kritik, yüksek veya orta seviyede bir bulgunun bulunmaması gerekmektedir. 5 Risk ve kontrol değerlendirme faaliyetleri, Ġdare seviyesinde birbirine entegre olarak yürütülmektedir. Kontroller sürekli olarak takip edilmekte ve BT destekli olarak yürütülmektedir. Sorun tespit edilen alanlarda kök neden analizleri yapılarak gerçekçi çözümler üretilebilmektedir. ÇalıĢanlar kontrollerin geliģtirilmesi ve iyileģtirilmesi sürecine aktif olarak katılmaktadır. Denetlenen faaliyetle ilgili olarak 5 GeliĢmiĢ değerlendirmesinin yapılabilmesi her hangi bir bulgunun bulunmaması gerekmektedir. Sayfa 228 / 365

229 ĠSTANBUL SU VE KANALĠZASYON ĠDARESĠ Ġ S K Ġ GENEL MÜDÜRLÜĞÜ ĠÇ DENETĠM BĠRĠMĠ BAġKANLIĞI EK 17 ÇALIġMA KÂĞITLARINA ĠLĠġKĠN AÇIKLAMALAR ÇalıĢma kâğıtları, denetim sırasında düzenlenen ve elde edilen bilgileri, yapılan analizleri, ulaģılan sonuçları ve bunların dayanaklarının kaydedilmesi için kullanılan belgelerdir. Denetim sırasında farklı bir ad ile anılsa da- düzenlenen her türlü belge bir çalıģma kâğıdıdır. Risk kontrol matrisi, kapanıģ toplantısı tutanağı, iģ akıģ Ģeması, bulgu formu gibi belgeler de aslında birer çalıģma kâğıdıdır. ÇalıĢma kâğıtları ile ilgili temel test denetim görevi ile ilgili olmayan bir Ġç Denetçinin denetim ortasında iģe dâhil olduğunda düzenlenen çalıģma kâğıtlarını ilave açıklamaya gerek duymaksızın anlaması ve denetime kalındığı yerden devam edebilmesidir. ÇalıĢma kâğıtları; 1. Denetimin planlanması ve yürütülmesini kolaylaģtırır, 2. Ġç Denetim Birimi BaĢkanı ile Ġç Denetçiler arasındaki değerlendirme farklılıklarının çözümü için bir temel oluģturur, 3. Denetim hedeflerine ulaģılıp ulaģılmadığını gösterir, 4. Ġç Denetim faaliyetinin kalitesinin değerlendirmesi için bir temel oluģturur, 5. Ġç Denetçilerin mesleki geliģimlerini sürdürmelerine yardımcı olur, 6. Bir sonraki denetim için önemli bir kaynak teģkil eder, Tüm çalıģma kâğıtlarında aģağıdaki unsurlar bulunmalıdır: 1) Yapılan denetimin referans no.su, 2) ÇalıĢma kâğıdı ile ilgili açıklayıcı bir baģlık, 3) ÇalıĢma kâğıdında kullanılan sembolleri açıklayacak notlar, 4) ÇalıĢma kâğıdının tamamlandığı tarih, hazırlayan ve gözetimi yapanın parafı, 5) ÇalıĢma kâğıdında kullanılan verilerin kaynakları ÇalıĢma Kâğıtları ile Ġlgili Temel Ġlkeler 1 Ġç Denetçiler çalıģma kâğıdında testin kapsamı, seçilen örneklemin boyutu ve örneklem seçim yöntemi hususlarına yer vermeli ve kullanılan bilgilerin kaynaklarını açıklamalıdır. 2 ÇalıĢma kâğıtlarında yalnızca elde edilen denetim kanıtları yer almalı ve sonuçlar dıģında herhangi bir yoruma yer verilmemelidir. 3 ÇalıĢma kâğıtları ile ilgili standardizasyon sağlanmalıdır. Sayfa 229 / 365

230 4 ÇalıĢma kâğıtları ekonomik olmalıdır. Ġç Denetçiler konuyla ilgili her soruya cevap aramaya çalıģmamalıdır. Bu durum özellikle sonucu olumlu olan testler için geçerlidir. 5 Bir çalıģma kâğıdında mümkün olduğunca birden fazla test bulunmalı ve ortak bir örneklem üzerinde bu testlerin uygulanması sağlanmalıdır. 6 ÇalıĢma kâğıdında açık kalan bir husus olmamalıdır. Bir soru sorulmuģsa bunun cevabı çalıģma kâğıdında verilmeli veya cevap verilememesinin gerekçeleri ortaya konmalıdır. 7 Ġç Denetçiler çalıģma kâğıtları ile ilgili «yapılacaklar» listesi tutmalı ve bu listede görev iģ programında kapsanmayan ancak gerçekleģtirilen test sırasında ortaya çıkan ve ele alınması gereken hususlar kaydedilmelidir. 8 ÇalıĢma kâğıtları arasında referanslama yapılır. ÇALIġMA KÂĞITLARINA ĠLĠġKĠN PRATĠK BĠLGĠLER İç Denetim Birimi Başkanı tarafından, İç Denetim Faaliyetlerinde kullanılacak standart formlar ve belgeler belirlenir ve bunlar İç Denetçilere duyurulur. (1) Denetime hazırlık, risk ve kontrol değerlendirmeleri, yapılan testler, bunların sonucunda elde edilen bilgi ve kanıtlar ile raporlama ve izleme faaliyetleri gibi denetim süresince yapılan tüm çalışmalar İç Denetim Birimi Başkanı tarafından belirlenen standart formlar ve belgeler çalışma kâğıdı olarak kullanılır, çalışma kâğıtları ile belgelendirilir. (2) Denetim sonuçlarının takibinde ve kalite güvence ve geliştirme faaliyetleri çerçevesinde yapılan değerlendirmelerde bu çalışma kâğıtlarından yararlanılır. (3) Gerekli olması halinde çalışma kâğıtlarına konuyu destekleyici belgeler eklenir. (4) Uygulanacak her bir denetim testi için düzenlenen çalışma kâğıtları; a) Anlaşılır olmalı, ilave açıklamaya muhtaç olmamalıdır. b) Denetim ile ilgili olmalıdır. c) Ekonomik olmalıdır, tek örneklem üzerinde birden fazla test bulunmalıdır. ç) Çalışma kâğıtları tam olmalıdır. d) Basit olmalıdır. e) Mantıklı ve görev iş programına uygun olmalıdır. f) Kullanılan bilgilerin kaynaklarına ilişkin açıklayıcı bilgi yer almalıdır. g) Sadece denetim kanıtları yer almalı, sonuçlar dışında, herhangi bir yoruma yer Sayfa 230 / 365

231 verilmemelidir. ğ) Testin kapsamı, örneklem boyutu ve örneklem seçim yöntemi yer almalıdır. h) Çalışma kâğıtlarında, kontrol zayıflıklarına özet olarak yer verilmelidir, kontrol eksikliklerine tam olarak bulgu formunda yer verilmelidir. ı) Uygun sayıda ve ikna edici yeterlilikte olmalıdır. i) Gerçeklere dayanan güvenirliği olmalıdır. j) Çalışma kâğıtları, test amacıyla tutarlı ve test sonucunda ulaşılan tespit ve önerileri destekleyecek şekilde ilgili olmalıdır. k) Çalışma kâğıtları, test amacına ulaşmasına yardımcı olacak faydayı sağlayacak nitelikte olmalıdır. l) Çalışma kâğıtlarında, test yöntemi ile uygun analiz ve değerlendirmelere yer verilir. m) Tespit edilen eksiklikler, denetlenen birim yönetimi ile paylaşılmalıdır. (5) Çalışma kâğıtları aşağıdaki şekil şartlarını taşıyacak şekilde düzenlenir. a) Yapılan denetim referans no bulunur. b) Çalışma kâğıdının, açıklayıcı bir başlığı bulunur. c) Kullanılan sembolleri açıklayıcı notlara yer verilir. ç) Elde edilen bilgilerin kaynağına yer veren bilgilere yer verilir. d) Çalışma kâğıdının tamamlandığı tarih, onaylayan bilgisine yer verilir. e) Bir çalışma kâğıdında mümkün olduğunca birden fazla test bulunması sağlanır ve ortak bir örneklem üzerinde bu testlerin uygulanması sağlanır. (6) Denetim ve danışmanlık faaliyetleri için düzenlenen çalışma kâğıtları, görevlerin yürütülmesinde azami mesleki özen ve itinanın gösterildiğine dair yeterli delilleri sağlayacak şekilde düzenlenir. Testlerin uygulanma metodolojisi, test metodolojisinin dayanakları da belirtilerek tanımlanır, çalışma kâğıtlarındaki değerlendirmelerin dayandığı kanıtlara dair gerekli ve yeterli bilgiler bulunacak şekilde düzenlenir, çalışma kâğıtlarındaki değerlendirmelere mesnet teşkil eden test sonuçları, bilgiler ve fiziki delillere referanslama yoluyla dosyada yer verilir ve bunların izlenmesi sağlanır. (7) Çalışma kâğıtlarının düzenlenmesinde Kurulun yaptığı düzenlemeler ile bu çerçevede İç Denetim Birimi Başkanlığı tarafından hazırlanan Denetim Rehberindeki Sayfa 231 / 365

232 dokümanlar esas alınır. (8) Bilgisayar ortamında hazırlanan ve muhafaza edilen çalışma kâğıtlarına denetim dosyasında da ıslak imzalı olarak yer verilir. (9) İç Denetim uygulamalarında kullanılan çalışma kâğıtları; denetimin planlamasından raporlanmasına kadar varılan sonuçların tamamının bağımsız bir göz ile izlenmesine imkân verecek bir referanslama sistemi kullanılır, tüm çalışma kâğıtları referanslanarak çalışma dosyasında muhafaza edilir. (10) Üçüncü kişilerin veya kurumların çalışma kâğıtlarına erişimi için gerekli onaylar Üst Yönetici veya İç Denetim Birimi Başkanı tarafından verilir, erişim izni verilmeyen çalışma kâğıtları üçüncü kişi ve kurumlar ile paylaşılmaz. Sayfa 232 / 365

233 EK 18 ÇALIġMA KÂĞIDI ġablonu REFERANS NUMARASI: T.C. EK 18 ÇALIġMA KÂĞIDI ġablonu TEST / PROSEDÜR: [Çalışma kâğıtlarının ilgili olduğu test, prosedür, denetim adımına ilişkin bilgi kaydedilecektir.] ELDE EDĠLEN BĠLGĠ: SONUÇ: ÇALIġMA KÂĞITLARI VE BELGELER: [BaĢka çalıģma kâğıtları ya da diğer destekleyici belgeler konuyla ilgiliyse onların referans numaraları kaydedilecektir.] HAZIRLAYAN/HAZIRLAYANLAR GÖZDEN GEÇĠREN Ġç Denetçi Ġç Denetçi Denetim Gözetim Sorumlusu Sayfa 233 / 365

234 19 AÇILIġ TOPLANTISI TOPLANTI TUTANAĞI ÖRNEĞĠ T.C. EK 19 AÇILIġ TOPLANTI TUTANAĞI Referans No: Toplantıya Katılan Denetçiler: Denetlenen Birim Yöneticisi: Toplantıya Katılan Diğer Personel: TOPLANTIDA GÜNDEME GETĠRĠLEN HUSUSLAR Denetimin Kapsamı: Denetimin Amacı: Denetimin Tahmini Süresi: Denetime Yardımcı Olacak Personel: Denetim Sırasında ÇalıĢanlardan Beklentiler: Ġdarenin Denetimden Beklentileri: Denetim Ekibi Ġle Denetlenen Birim Arasındaki ĠletiĢimin Nasıl GerçekleĢeceğine ĠliĢkin Hususlar: Denetimin Sağlayacağı Faydalar: Sayfa 234 / 365

235 Diğer Hususlar: DENETĠM EKĠBĠ DENETLENEN BĠRĠM YÖNETĠCĠSĠ Ġç Denetçi Ġç Denetçi Harcama Yetkilisi Sayfa 235 / 365

236 EK 20 RĠSK KAYDI FORMU ÖRNEĞĠ (RĠSK KÜTÜĞÜ BĠLGĠLERĠ) T.C. EK 20 RĠSK KAYDI (RĠSK KÜTÜĞÜ BĠLGĠLERĠ) FORMU RĠSK KAYDI FORMU REFERANS NO: BAġLIK: [Başlık Bilgisi Girilecek] TANIM: [Açıklayıcı bilgiler girilecektir] RĠSKĠN ĠLGĠLĠ OLDUĞU FAALĠYET: RĠSKĠN ĠLGĠLĠ OLDUĞU BĠRĠMLER: RĠSKĠN ĠLGĠLĠ OLDUĞU AMAÇ: [Riskin ilgili olduğu faaliyetin amacı buraya girilecektir.] [ ] Ġdarenin misyon ve stratejik amaçlarına ulaģması [ ] Faaliyetlerin etkin ve etkili bir Ģekilde sürdürülmesi ĠLGĠLĠ OLDUĞU ĠÇ KONTROL AMACI: [ ] Kanun ve diğer yasal düzenlemelere uyumun sağlanması [ ] Usulsüzlük ve yolsuzlukların önlenmesi [ ] Raporlama ve diğer bilgilerin doğruluğunun ve güvenilirliğinin sağlanması AÇIKLAMALAR: RĠSK SINIFI: [Açıklayıcı bilgilerin yetersiz olduğu durumlarda daha detaylı bilgiler girilecektir.] [Rehberin ekinde yer alan Risk Sınıflandırma Tablosuna uygun olarak risk sınıfı girilecektir.] REFERANS: Sayfa 236 / 365

237 HAZIRLAYAN/HAZIRLAYANLAR GÖZDEN GEÇĠREN Ġç Denetçi Ġç Denetçi Denetim Gözetim Sorumlusu Sayfa 237 / 365

238 EK 21 KONTROL KAYDI FORMU ÖRNEĞĠ (KONTROL KÜTÜĞÜ BĠLGĠLERĠ) T.C. EK 21 KONTROL KAYDI (KONTROL KÜTÜĞÜ BĠLGĠLERĠ) FORMU KONTROL KAYDI FORMU REFERANS NUMARASI: BAġLIK: [Başlık Bilgisi Girilecek] KONTROLÜN TANIMI: [Açıklayıcı bilgiler girilecektir] KĠLĠT KONTROL: [ ] Kilit Kontrol [ ] Yıllık KONTROL SIKLIĞI: [ ] Aylık [ ] Haftalık [ ] Günlük [ ] Önleyici KONTROL TÜRÜ: [ ] Tespit Edici [ ] Telafi Edici KONTROL ġeklġ: [ ] Otomatik [ ] Manüel [ ] Kurum KONTROL SEVĠYESĠ: [ ] Birim [ ] ĠĢlem KONTROLÜN ĠLGĠLĠ OLDUĞU KAMU ĠÇ KONTROL STANDARDI: Sayfa 238 / 365

239 KONTROLÜN ĠLGĠLĠ OLDUĞU BĠRĠMLER: AÇIKLAMALAR: [Açıklayıcı bilgilerin yetersiz olduğu durumlarda daha detaylı bilgiler girilecektir.] REFERANS: HAZIRLAYAN/HAZIRLAYANLAR GÖZDEN GEÇĠREN Ġç Denetçi Ġç Denetçi Denetim Gözetim Sorumlusu Sayfa 239 / 365

240 EK 22 ÇALIġMA PLANI VE EKĠ GÖREV Ġġ PROGRAMI ÖRNEĞĠ EK ÇalıĢma Planı Formu Örneği DENETĠMĠN PLANLANAN SÜRESĠ T.C. EK 22.1 ÇALIġMA PLANI FORMU Ön ÇalıĢma Süreleri: Saha ÇalıĢma Süreleri: Raporlama ÇalıĢma Süreleri: DENETĠMĠN AMACI / AMAÇLARI: DENETĠMĠN KAPSAMI: DENETĠMĠN YÖNTEMĠ: ÖNCEKĠ DENETĠME ĠLĠġKĠN BĠLGĠLER: HAZIRLIK ÇALIġMALARI: EK (Görev ĠĢ Programı): sayfa Hazırlayan, gözden geçiren ve onaylayan bilgilerine de yer verilir. HAZIRLAYAN GÖZDEN GEÇĠREN ONAYLAYAN Ġç Denetçi Denetim Gözetim Sorumlusu Ġç Denetim Birimi BaĢkanı Sayfa 240 / 365

241 EK Görev ĠĢ Programı Örneği Görev iģ programı, çalıģma planı ekinde yer alır. T.C. EK Görev ĠĢ Programı No Uygulanacak Test Ġlgili Birimler Ġç Denetçi BaĢlama Tarihi BitiĢ Tarihi Hazırlayan, gözden geçiren ve onaylayan bilgilerine de yer verilir. HAZIRLAYAN GÖZDEN GEÇĠREN ONAYLAYAN Ġç Denetçi Denetim Gözetim Sorumlusu Ġç Denetim Birimi BaĢkanı Sayfa 241 / 365

242 EK 23 KANIT VE BĠLGĠ TOPLAMA TEKNĠKLERĠNE ĠLĠġKĠN AÇIKLAMALAR 1. Kanıtların güvenilirliğinin değerlendirilmesi Denetim kanıtlarının güvenilirliğinin anlaģılabilmesi için kaynağı (kurum içi, kurum dıģı gibi), doğası (yazılı, sözlü, görsel ya da elektronik gibi) ve gerçekliği (asıl olma, imza, mühür gibi) açılarından değerlendirilmesi gerekmektedir. Denetim kanıtlarının güvenilirliği açısından genel olarak aģağıdaki ilkeler kabul edilmektedir: 1) Yazılı veya belgeye dayalı kanıtlar, sözlü kanıtlara göre daha güvenilirdir. 2) Bağımsız kaynaklardan elde edilen kanıtlar, Ġdare/birim içerisinden elde edilenlere nazaran daha güvenilirdir. 3) Ġç Denetçinin kendisinin elde ettiği kanıtlar, denetlenen birimin sunduklarından daha güvenilirdir. 4) Asıl belgeler, fotokopilerinden daha güvenilirdir. Denetim amaç ve kapsamına iliģkin önemli soruları cevaplıyorsa denetim kanıtlarının yeterliliğinden bahsedilebilir. Bu kanıtlara iliģkin testlerin baģka bir denetçi tarafından da yapılması durumunda aynı sonuçlara ulaģılıyorsa, denetim kanıtlarının objektif ve yeterli olduğu kabul edilir. Denetim kanıtının, denetim konusunun önemlilik seviyesi ve riskleriyle orantılı olması gerekir. 2. Kanıt türleri Denetim kanıtları türlerine göre fiziki, sözlü, belgeye dayanan ve analitik olmak üzere dört baģlık altında gruplandırılabilir: 1) Fiziki Kanıtlar: Genellikle kiģilerin ve olayların gözlemlenmesi ya da varlıkların incelenmesi yoluyla elde edilmektedir. MüĢahede yöntemiyle elde edilen delillerin örneklerle belgelendirilmesi ya da destekleyici mahiyette müģahede yapılmak suretiyle güçlendirilmesi yerinde olacaktır. Destekleyici mahiyetteki müģahedenin, diğer Ġç Denetçiler tarafından, mümkünse idari birimin temsilcilerinin katılımıyla yapılması yerinde olacaktır. Buna örnek olarak; fotoğraflar, haritalar, ses ve görüntü kayıtları sayılabilir. MüĢahede sonuçları çalıģma kâğıdıyla kayıt altına alınmalıdır. Sayfa 242 / 365

243 2) Sözlü Kanıtlar: Genellikle sorgulama ya da mülakat sonucunda Ġdarenin iç ve dıģ paydaģlarından elde edilen bilgilerdir. Aslında bu bilgiler ilgili paydaģın açıklamalarını yansıtmaktadır. Denetim çalıģmaları kapsamında diğer denetim teknikleriyle elde edilemeyecek önemli ipuçları elde edilmesine ve konunun çok daha iyi anlaģılmasına imkân sağlamaktadır. Ancak sözlü kanıtların doğrudan kullanılması yerine mümkün olduğunca belgelerle desteklenmesi, yeterli miktarda güvenilir ve uygun kanıtla denetim amaçlarına ulaģılmasını sağlayacaktır. Sözlü kanıtların güvenilirliği ve uygunluğu değerlendirilirken; mülakat yapılan kiģinin görevi, bilgisi, uzmanlığı, inanılırlığı ve samimiyeti göz önünde bulundurulur. Sözlü ifadelerin denetim sonucuna önemli bir etkisinin olacağı düģünüldüğü takdirde, bu ifadeleri doğrulayan bir yazılı beyan tutanağı ya da ses veya görüntü kaydı alınmalıdır. 3) Belgeye Dayalı Kanıtlar: Denetim kanıtlarının en yaygın Ģeklidir. AnlaĢmalar, sözleģmeler, raporlar, faturalar, tutanaklar, mektuplar gibi çok çeģitli formlarda olabilir. Ayrıca uygun yöntem ve araçlarla bilgisayar kayıtlarından da elde edilmesi mümkündür. Belgelere dayalı kanıtların güvenilirliği ve uygunluğu denetim amaçlarıyla bağlantılı olarak kaynağı açısından değerlendirilmelidir. Güçlü bir iç kontrol sisteminin varlığı, Ġdare içerisinden elde edilen kanıtların güvenilirliğini artırır. 4) Analitik Kanıtlar: Mali ve mali olmayan bilgiler arasındaki iliģkilerin incelenmesi, hesaplanması ve karģılaģtırılması suretiyle elde edilen kanıtlardır. Analitik kanıtlar, normal Ģartlar altında benzer sonuçların çıkacağı varsayımıyla toplanır. Çoğu kez sayısal olmakla birlikte, analitik kanıtların sayısal karakterde olmadığı durumlarda mevcuttur. Analitik kanıtlar, dönemler arasında oran ve eğilim analizlerinden elde edilebileceği gibi eldeki bilgilerin alt gruplara ayrılması yoluyla da elde edilebilir. 3. Kanıt toplama teknikleri Denetim testleri sırasında kanıt ve bilgi toplamak amacıyla aģağıdaki teknikler kullanılabilir: 1. Gözlem: Denetlenen birimde iģlemlerin veya faaliyetlerin nasıl gerçekleģtirildiğinin bizzat Ġç Denetçi tarafından izlenerek bilgi edinilmesidir. Denetlenen birim tarafından gerçekleģtirilen stok sayımının gözlenmesi buna örnek olarak verilebilir. 2. Doğrulama: Ġç Denetçinin bir kaynaktan temin ettiği bilgilerin doğruluğunu, aynı veya daha fazla güvenilirlik derecesine sahip bir baģka bilgi kaynağından temin edeceği bilgilerle teyit etmesidir. 3. GörüĢme: Denetlenen birimde iģlemlerin veya faaliyetlerin nasıl gerçekleģtirildiğinin bizzat Ġç Denetçi tarafından ilgili görevlilerle yüz yüze görüģülerek bilgi Sayfa 243 / 365

244 edinilmesidir. Bu yöntem, denetçi için denetlenen birimde karģılaģılan sorunlar veya önemli risklerle ilgili en kısa bilgi edinme yoludur. Ancak bu yöntemle yalnızca bir kaynaktan temin edilen bilgilerin diğer kaynaklardan doğrulanması gerekir. 4. Anket: Herhangi bir konuyla ilgili durum ve tutumu belirlemek için düzenlenmiģ ayrıntılı ve kapsamlı soru dizisidir. Ġyi düzenlenmiģ bir anket (hizmet değerlendirme anketi/ memnuniyet anketi/ öz değerlendirme anketi) sürecin veya sunulan hizmetin etkinliği ve baģarısı gibi konular hakkında yararlı bilgiler sağlar. 5. Analitik inceleme: Verilerin kendi içindeki ve aralarındaki rasyonel iliģkilere dayanarak değerlendirilmesini ifade eder. Analitik inceleme, ilgili veriler arasındaki tutarsızlık veya tahmin edilen tutarların önemli ölçüde sapması gibi verilerdeki tanımlanmıģ dalgalanmaların ve iliģkilerin araģtırılmasını da kapsar. Özellikle denetimin bir bütün olarak gözden geçirilmesi ve risk değerlendirmesi aģamasında, denetlenen birimin faaliyet koģullarını ve çevresiyle olan iliģkilerini kavramak amacıyla denetçi tarafından analitik inceleme teknikleri uygulanır. 6. Yeniden hesaplama/uygulama: Bir hesaplama veya iģlemi tekrar yaparak aynı sonuca ulaģılıp ulaģılmadığının test edilmesidir. Bu test Ġç Denetçiye denetlenen birim çalıģanları tarafından gerçekleģtirilen iģlemlere ne kadar güvenilebileceği hakkında fikir verir. Sayfa 244 / 365

245 EK 24 ÖRNEKLEM ĠLE ĠLGĠLĠ KULLANILAN TERĠMLERE ĠLĠġKĠN AÇIKLAMALAR 1. Ana kütle: Ġç Denetçinin denetlenen alanın tamamı hakkında bir sonuca ulaģmak için örnek seçmek istediği veri setidir. 2. Örneklem birimi: Saha çalıģmasında yapılacak denetim testlerinin amacına bağlı olarak ana kütle içinden seçilen birim/belge/kiģi vs.dir. 3. Katmanlama: Bir ana kütlenin açıkça tanımlanmıģ benzer özellik ve niteliklere sahip alt kütlelere bölünmesi iģlemidir. 4. Örneklem büyüklüğü: Ġç Denetçinin ana kütle hakkında bir sonuca ulaģmak için kullanacağı ana kütle parçasını ifade eder. Örneklem büyüklüğünü tespit ederken, denetçi, örnekleme riskini, kabul edilebilecek hata miktarını ve beklenen hataların kapsamını dikkate almalıdır. 5. Örnekleme riski: Ġç Denetçinin vardığı sonucun, ilgili ana kütlenin tümü aynı denetim prosedürüne tâbi tutulsaydı, ulaģılacak olan sonuçtan farklı olabileceği ihtimalinden kaynaklanır. Ġki tip örnekleme riski vardır: YanlıĢ kabul riski: Örneklemenin ana kütleyi yeterli seviyede temsil etmemesi nedeniyle, ana kütle seviyesinde hatalı olan bir durumun yanlıģ veya eksik örneklem seçimi nedeniyle hatasız kabul edilmesi riskidir. YanlıĢ red riski: YanlıĢ kabul riskinin tam tersi olup, örneklemenin ana kütleyi yeterli seviyede temsil etmemesi nedeniyle, popülâsyon seviyesinde hatasız olan bir durumun yanlıģ veya eksik örneklem seçimi nedeniyle hatalı kabul edilmesi riskidir. 6. Kabul edilebilir hata: Ġhmal edildiğinde dahi denetim sonuçlarını etkilemeyecek azami hata seviyesidir. Denetçi, denetim konusunun Ġdare açısından önemi, denetim kaynağı ve maliyeti ile denetim süresini dikkate almak suretiyle bireysel tecrübesine dayanarak bu hata seviyesini belirler. 7. Beklenen hata: Daha önceki denetimlerde tespit edilen hata seviyeleri, Ġdarenin prosedürlerinde yapılan değiģiklikler, iç kontrol değerlendirmesinin sonuçları ve analitik inceleme prosedürlerinin sonuçları dikkate alınarak denetçi tarafından tespit edilen ve ana kütlede olması muhtemel hatadır. Bu hatanın kabul edilebilir hata seviyesinden yüksek olmasının beklendiği durumlarda denetçi daha büyük bir örneklem seçer. Aksi durumlarda ise, daha küçük örneklem grupları kullanılabilir. 8. Örneklemden kaynaklanmayan risk: Ġç Denetçinin uygun olmayan denetim teknikleri kullanması kanıtları hatalı yorumlaması gibi seçilen örneklemden kaynaklanmayan farklı sonuçlara ulaģılması riskidir. Sayfa 245 / 365

246 EK 25 TEST KAYDI FORMU ÖRNEĞĠ TEST KÜTÜĞÜNE KAYDEDĠLEN BĠLGĠLER: T.C. EK 25 TEST KÂĞIDI ġablonu TESTĠN ADI: [BaĢlık Bilgisi Girilecek] TESTĠN AMACI: Gözlem Doğrulama GörüĢme TEST YÖNTEMĠ: [Kanıt ve bilgi toplama teknikleri bölümünde yer alan yöntemler girilecektir.] Anket Analitik Ġnceleme Yeniden Hesaplama/Uygulama YayımlanmıĢ Rapor/ÇalıĢmaların Değerlendirilmesi Sunulan Hizmetlerden Bir VatandaĢ Olarak Yararlanma Diğer (Açıklama: ) TESTĠN ĠLGĠLĠ OLDUĞU BĠRĠMLER: AÇIKLAMALAR: [Açıklayıcı bilgiler girilecektir] Sayfa 246 / 365

247 ÖN ÇALIġMALAR VE SAHA ÇALIġMASI SIRASINDA KAYDEDĠLEN BĠLGĠLER ġunlardir: Ġstatistiksel Olmayan ÖRNEKLEM YÖNTEMĠ: Ġstatistiksel Örnekleme [ ] Rastgele Örnekleme [ ] Sistematik Örnekleme [ ] Diğer Örnekleme Örnekleme [ ] GeliĢigüzel Örnekleme [ ] Yargısal Örnekleme [ ] Diğer Örnekleme ÖRNEKLEM BÜYÜKLÜĞÜ: TESTĠN SONUCU: [ ] OLUMLU [ ] OLUMSUZ [ ] DĠKKAT ÇALIġMA KÂĞITLARI VE BELGELER: [ÇalıĢma kâğıtlarının ya da diğer destekleyici belgelerin referans numaraları kaydedilecektir.] Hazırlayan ve gözden geçiren bilgilerine de yer verilir. HAZIRLAYAN/HAZIRLAYANLAR GÖZDEN GEÇĠREN Ġç Denetçi Ġç Denetçi Denetim Gözetim Sorumlusu Sayfa 247 / 365

248 EK 26 BULGU FORMU T.C. BULGUNUN REFERANS NUMARASI: D EK 26 BULGU FORMU DENETĠM NUMARASI: DENETĠM KONUSU: BULGUNUN SAYISI: BULGUNUN KONUSU: BULGUNUN ĠLGĠLĠ OLDUĞU BĠRĠM: BULGUNUN ÖNEM DÜZEYĠ: [ ] KRĠTĠK [ ] YÜKSEK [ ] ORTA [ ] DÜġÜK HEDEFE ULAġILMASINA YÖNELĠK HEMEN, DERHAL, ÇOK ACĠL ÖNLEMLER ALINMASI GEREKĠR. HEDEFE ULAġILMASINA YÖNELĠK ACĠL BĠR ÖNLEM ALINMASI GEREKĠR. HEDEFE ULAġILMASINDA MARUZ KALINABĠLECEK RĠSKLERDEN SAKINILABĠLMESĠ ĠÇĠN ÖNLEM ALINMASI GEREKĠR. KONTROLLERĠ GELĠġTĠRMEK VE FAALĠYET ETKĠNLĠĞĠNĠ ARTTIRMAYA YÖNELĠK BĠR AKSĠYONUN ÖZENDĠRĠLMESĠ VEYA TEġVĠK EDĠLMESĠ GEREKĠR. ĠLGĠLĠ ÇALIġMA Sayfa 248 / 365

249 KÂĞIDI REFERANS NO: MEVCUT DURUM (TESPĠT): NEDEN: RĠSK VE ETKĠLERĠ: KRĠTER: ÖNERĠ: [ ] Bulguyla ilgili ek bilgiler elde edildiğinden rapora konulmadı. BULGUNUN DURUMU: [ ] [ ] Bulguyla ilgili hususlar ilgili birim tarafından düzeltildiğinden rapora konulmadı. Bulgu paylaģımına iliģkin verilen cevap sonrasında nihai rapora konulmamasına karar verildi. [ ] Nihai rapora konuldu. AÇIKLAMALAR: HAZIRLAYAN/HAZIRLAYANLAR GÖZDEN GEÇĠREN Ġç Denetçi Ġç Denetçi Denetim Gözetim Sorumlusu Sayfa 249 / 365

250 EK 27 KÖK NEDEN ANALĠZĠ 19 (BULGULARDA TESPĠT EDĠLEN HUSUSLARIN SEBEPLERĠNĠN NELER OLDUĞUNA ĠLĠġKĠN YAPILACAK ANALĠZ ÇALIġMALARI HAKKINDA AÇIKLAMALAR) Kök neden analizi, Ġdaredeki bir sorunun; yalnızca hata veya uygunsuzluk olarak tanımlanması yaklaģımından farklı olarak, sorunun neden ortaya çıktığını belirlemek Ģeklinde tanımlanabilir. Kök neden analizi, karģılaģılan bir sorunun altta yatan nedenlerini belirleyerek kuruma yarar sağlar. Bu yaklaģım, Ġdarenin süreçlerinin geliģtirilmesi için uzun vadeli bir perspektif sunar. Etkili bir kök neden analizi ve bunun devamında geliģtirilen iyileģtirme çalıģmaları gerçekleģmez ise, hatanın tekrarlanma olasılığı yüksektir. Kök neden analizi, aynı sorunun gelecekte de sürekli tekrarlanarak aynı tespitin yinelenmesini de önler. ÖngörülmemiĢ bir riskin doğmasından, faaliyetlerdeki baģarısızlık, varlıkların zarar görmesi veya kaybı, güvenlik sorunları, kalitedeki düģüģ veya hizmet sunumundaki memnuniyetsizliğe uzanan birçok sorun alanında, kök neden analizi etkili bir Ģekilde yürütülebilir. Bir sorunun sıklıkla birden fazla ilgili veya ilgisiz nedenlerinin olabileceği de unutulmamalıdır. Raporunda sadece sorunun yönetim tarafından giderilmesini öneren denetçi, sorunun ortaya çıkıģ nedenleriyle ilgili bir analiz yapmadığı müddetçe, uzun dönemde süreçlerin verimliliği ve etkililiğini geliģtirecek katkılarda bulunamayacaktır, dolayısıyla yönetiģim, risk yönetimi ve kontrol süreçleri hakkında değer katıcı öneriler geliģtiremeyecektir. Ġç Denetçinin bu alanlarda kapsamlı bir bakıģ açısı geliģtirebilmesi için gerekli yetkinliğe sahip olması, kök neden analizine neden ihtiyaç duyulduğunu belirleyebilme ve o soruna mahsus bir kök neden analizini bizzat gerçekleģtirebilmesine bağlıdır. Kök neden analizi için harcanan kaynak miktarı, sorunun etkisi ya da gelecekteki potansiyel sorunlar ve riskler ile orantılı olmalıdır. Bazı durumlarda, kök neden analizi toplam beģ neden? sorusunun sorulmasından ibaret olabilir. Örneğin; Bir iģçi düģtü. (1) ĠĢçi neden düģtü? Zeminin yağlı ve kaygan olması yüzünden. (2) Zemin neden yağlı? Kırık bir parça yüzünden. (3) Parça neden kırık? Sürekli bazı parçaların aģınması nedeniyle. (4) AĢınmanın nedeni ne? Satın alma usullerindeki değiģiklik yüzünden. 19 Bu bölümün hazırlanmasında Uluslararası İç Denetçiler Enstitüsünün (IIA) No.lu Uygulama Önerisinden yararlanılmıştır. Sayfa 250 / 365

251 En son beģinci neden sorusu ile Ġç Denetçinin kök nedeni belirlemiģ veya belirlemeye çok yaklaģmıģ olması gerekir. Ancak daha karmaģık sorun alanları, daha fazla miktarda kaynak tahsisini ve daha titiz ve detaylı bir analizi gerektirebilir. Ġç Denetçiler böylesi karmaģık sorunlarda kök neden analizine baģlamadan önce, Ģu hususları dikkatle ele almalıdırlar: 1) Kök neden analizi, kök nedenin belirlenmesi ve dayanaklarla desteklenebilmesi için; sürecin değerlendirilmesine iliģkin daha fazla zaman, personel, teknolojik kaynak ve veri gerektirebilir. BaĢlangıçta hızlıca tamamlanabilecek gibi görünen bir analiz, çeģitli senaryo seçeneklerini, kapsamlı bir veri değerlendirmesini ve çok sayıda iç ve dıģ etkenin değerlendirilmesini gerektiren bir çalıģmaya dönüģebilir. 2) Ġç Denetçiler, gündemdeki kök neden analizini yürütebilecek mesleki yetkinliğin tamamına sahip olmayabilir. Bu nedenle Ġç Denetçiler, varılan sonucu/oluģan kanaati yeterli ölçüde destekleyecek bir analiz ve değerlendirme için gereken mesleki yetkinlik seviyesine bağlı olarak, nasıl bir kök neden analizi uygulayacaklarını dikkatlice belirlemelidirler. Ġç Denetim Birimi BaĢkanı, görevi yürüten Ġç Denetçilerin konuyla ilgili olarak yeterli deneyim ve uzmanlığa sahip olduklarını belgelemeli, gerekirse konunun uzmanlarını veya kurum içi veya dıģı danıģmanları ekibe yardım etmesi için görevlendirmelidir. 3) Ġç Denetçiler tasarlanan süre planına uyulamaması veya yürütülecek analiz için gerekli uzmanlık bilgisinin mesleki donanımını aģması halinde, konuya iliģkin temel tespit ve önerileri yönetime sunmalı ve bir kök neden analizi uygulanmasını önermelidir. 4) Ġç Denetçiler kök neden analizine giriģmeden önce, bu çalıģmanın yürütülmesini zorlaģtırabilecek aģağıdaki veya benzer engellemelere dair bir öngörü geliģtirmeli ve böylesi bir durumda nasıl bir yol izleyecekleri konusunda bir yöntem kararlaģtırmalıdırlar. Yönetim, kök neden analizi yapılırken Ġç Denetimi aktif olarak sürece dâhil etmek istemeyebilir. Bu durumda Ġç Denetim Birimi BaĢkanının, Ġç Denetimin analizle ilgili rolünü anlatmak için Üst Yönetimle beraber çalıģma yürütmesi gerekebilir. Üst Yönetim, fazladan zaman ve insan kaynağı tahsisi gerektirmesi nedeniyle, bir kök neden analizi yürütülmesine direnç gösterebilir ve sorunun kısa vadede nedenlerine inmeden ortadan kaldırılmasını veya yalnızca mevcut uygunsuzluğu gidermeyi tercih edebilir. Özellikle bir kök neden analizinin sonuçları kısa vadede hızlı sonuç meydana getirmekten ziyade, önleyici ve uzun vadeli bir eylem planı uygulanmasını gerektiriyorsa, Üst Yönetim ancak eldeki insan ve zaman kaynağı elveriyorsa, bu tarzda sonuçları zamana yayılan kapsamlı bir çalıģmaya onay verebilir. Sonuç olarak bu analiz yöntemi, süreçteki düzeltilmemiģ hatalardan veya Ġdarenin izlediği rotada gerekli değiģikliğin gerçekleģtirilememesinden doğan maliyet, zaman ve kaynak kayıplarını ve bu sorunların uzun Sayfa 251 / 365

252 vadeli etkisini tam bir ölçü ve somutlukla gösteremeyebilir. Bu konuda Üst Yönetimin desteğini almak için Denetim Gözetim Sorumlusu, kök neden analizi uygulanması ihtiyacını akılcı bir Ģekilde gerekçelendirmelidir. Önemli miktarda nitel ve nicel veri mevcut olduğunda bile doğru kök nedeni belirlemek zor ve sübjektif olabilir. Bu nedenle denetçi, verilerin Ģekillenmesi, analizi ve değerlendirmesi sürecinde mutlaka faaliyetin farklı aģamalarında yer alan ve faaliyetten etkilenen birimlerden ve görevlilerden geri bildirim almalıdır. Bir sorunun kök nedeni, değiģik seviyelerde etkisi olan birden fazla hatadan doğabilir. Ġç Denetçi bazı durumlarda, Üst Yönetime bir kök nedene dair birden fazla seçenek veya senaryo sunabilir. Böyle bir durumda, Ġç Denetçinin kuruma kattığı değer, yönetime; içlerinden en olası kök nedeni belirleyeceği tarafsız ve bağımsız bir veri ve analiz değerlendirmesine dayanan seçenekler seti sunmaktır. Kök neden analizi Ġç Denetçiler tarafından yürütüldüğünde, sürece dair somut gözlemler, öneriler ve iyileģtirme faaliyetleri içerdiğinden, Ġç Denetçinin yönetimin yerine eylem geliģtirdiği algısı oluģabilir. Bu yönde bir algının oluģması riski Ģu yollarla önlenebilir: a) Özgün, tarafsız ve yeterli kanıtla desteklenen bir kök neden çalıģması yürütmek. b) Kök nedeni netleģtirebilmek için, kök neden tayini ve önerilere ait kısımları birbirinden ayırmak. c) Ġç Denetim tarafından geliģtirilen önerilerin, yönetim tarafından değerlendirilerek, bunun sonucunda iģ süreçlerinde yapılacak değiģikliklerin; yönetimin sorumluluğu altında olduğunu mutabakat metninde belirtmek. d) Ġç Denetim tarafından yapılan çalıģmanın, güvence sağlama veya danıģmanlık faaliyetlerinin hangisi kapsamında yürütüldüğünü ve aralarındaki farkı net olarak belirtmek. Çoğu kök neden genellikle bir kiģi ya da kiģiler tarafından alınan kararlar, eylemler veya eylemsizliklerden kaynaklanmasına karģın Ġç Denetçiler, sorunun ortaya çıkmasında payı bulunan ve Ġdare için yüksek risk taģıyan çevresel faktörleri de dikkate almalıdır. Bunlar: 1) ÇalıĢanların yetkinlik seviyeleri 2) Kalifiye personel alımı 3) Hizmet içi eğitim eksikliği veya yetersizliği 4) Teknoloji ve diğer araçların yeterliliği 5) Kurumsal veya birime mahsus kültürün sahiplenilmesi Sayfa 252 / 365

253 6) Ġdarenin sağlığı/ kurumsal ahlak anlayıģı 7) Kaynak miktarları (bütçe, personel vs.) 8) KiĢi veya kiģilerin karar alma süreçlerinde etkili olan faktörler ve koģullar 9) Süreçteki personelin karar verme yetkileri Kök neden analizini, sürecin somut ve soyut bileģenlerine (teknoloji sistemi, yönetsel politikalar, eğitim vb.) dayandırıp bu aģamada bırakan bir kök neden çalıģmasının, tamamlanmıģ bir çalıģma olarak değerlendirilmesi güçtür. Gerçek bir kök neden analizi yapan denetçi, iyi insanların neden kötü veya eksik kararlar aldığını da anlamaya çalıģacaktır. (Örneğin, problemi doğuran noktada, kiģinin yapılacak en doğru Ģeyi yaptığını düģünmesine yol açan neden neydi?) Böyle durumlarda, Ġç Denetçiler, iģi yürütenlerin belirli kararlar almasına yol açan tüm koģulları anlamaya çalıģırlar. BeĢ Neden Analizi BeĢ neden analizi her hangi bir problemin nedenlerini geriye doğru nedensellik bağı içerisinde inceleyerek sorunun asıl kaynağını ortaya çıkarmayı hedefleyen basit bir yöntemdir. Bu yöntem, özellikle sorunun insan faktöründen kaynaklandığının düģünüldüğü durumlarda ve günlük iģ hayatında iģe yarayabilir ve genelde balık kılçığı yöntemi ile (sebepsonuç diyagramı) ile tamamlayıcı olarak kullanılır. 5 Neden Analizi Nasıl Yapılır? 1. Problem tanımlanır. 2. Probleme yol açan ve ilk akla gelen neden yazılır. 3. Daha sonra söz konusu nedenin neden ortaya çıktığı cevaplanır. 4. Neden? sorusunu art arda sorma iģlemi probleme yol açan asıl neden bulununcaya kadar devam eder. Dolaysıyla, neden sorusu 5 defadan az sayıda sorulabileceği gibi az daha fazla da tekrarlanabilir. Kök neden bulununca da söz konusu nedeni ortadan kaldıracak öneri geliģtirilir. Mevcut Durum (Problem Tanımı): Bilgi edinme taleplerinin karģılanmasında örnek olarak alınan 35 talebin 15 inde, cevapların yanlıģ kiģiye gönderildiği anlaģılmıģtır. Soru 1: 15 talebin cevabı neden yanlıģ adrese gönderilmiģ? Cevap 1: Çünkü bilgi edinme sürecinde sisteme girilen adreslerin doğruluğu kontrol edilmemektedir. Sayfa 253 / 365

254 Soru 2: Adreslerin doğruluğu neden kontrol edilmiyor? Cevap 2: Çünkü bilgi edinme taleplerine iliģkin iģlemler tek bir kiģi aracılığıyla yürütülmektedir. Soru 3: ĠĢlemler neden tek bir kiģiyle yürütülüyor? Cevap 3: Çünkü Basın MüĢavirliğinin diğer personeli bilgi edinme biriminde çalıģmak istememektedir. Soru 4: Diğer personel neden bilgi edinme biriminde çalıģmak istemiyor? Cevap 4: Çünkü iģ yoğunluğu çok fazla ve gece yarısına kadar çalıģma gerektiriyor. Soru 5: ĠĢ yoğunluğu neden çok fazla? Cevap 5: Çünkü tüm iģlemler manüel ortamda yapılmakta ve dosyalama-kayıt ve cevaplama iģlemleri çok vakit almaktadır. (Kök Neden) Balık Kılçığı Yöntemi (Sebep Sonuç Diyagramı-Ishikawa Diyagramı) Basit bir süreçte her hangi bir sorunun kaynağını bulmak için 5 neden analizi yeterli olabilirken, karmaģık ve birçok faktörden etkilenen bir süreçte bu yöntem yeterli olmayacaktır. Bu kapsamda, balık kılçığı diyagramı, sebep-sonuç iliģkisi çerçevesinde bir soruna eģ zamanlı olarak etki eden faktörleri ve nedenleri ortaya çıkarmak için faydalı bir çerçeve sunmaktadır. Balık Kılçığı Yöntemiyle Kök Neden Analizi Nasıl Yapılır? 1. Ġlk önce problem tanımlanır ve diyagramın sonuç kısmına yazılır. 2. Probleme etki edebilecek temel faktörler kılçıklara kutucuk Ģeklinde sıralanır. Sayfa 254 / 365