Ek Rehber: KAMU KURUMLARINDA YENİ BİR İÇ DENETİM BİRİMİNİN OLUŞTURULMASI Yayın Tarihi: Nisan 2012

Ek Rehber: KAMU KURUMLARINDA YENİ BİR İÇ DENETİM BİRİMİNİN OLUŞTURULMASI Yayın Tarihi: Nisan 2012 ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global 1

Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İçindekiler Yöneticiler İçin Özet 3 Giriş 4 Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulmasında Karşılaşılan Zorluklar 5 Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite Modeli 6 Temel İş Modeli Organizasyon, Yönetme ve Kontrol 7 Bir Kamu Kurum veya Kuruluşunda Bir İç Denetim Birimi Oluşturulurken İzlenmesi Önerilen Uygulama Adımları ve İlgili Süreç Takvimi 18 Varılan Sonuçlar 21 Yazarlar, Katkıda Bulunanlar ve Gözden Geçirenler 22 Ek İç Denetim Birimi İçin Tüzük Örneği 23 Ek - Kamu Sektörü İçin İç Denetim Kapasite Modeli 27 2

Yöneticiler İçin Özet Bu rehber, iç denetim departmanının yönetişim, risk yönetimi ve iç kontrol süreçlerini geliştirdiğinden ve bu sayede kamu kurumuna değer kattığından emin olmak için yeni atanmış bir iç denetim yöneticisinin (İDY) dikkate alması gereken kilit noktalar ve adımlarla ilgilidir. Bu rehberin bir diğer hedefi, kamu sektöründe faaliyet gösteren bir iç denetim biriminin İç Denetim Kapasite Modeli (IA-CM) 1 ve 2 düzeylerinden 3 düzeyine hızla çıkmasına olanak sağlamaktır. Bu amaç ve hedeflerin ışığında, dokümanda dile getirilen unsurlar yerine getirilirken üç önemli bileşenden müteşekkil temel bir iş modeli izlenmektedir: Organizasyon, Yönetme ve Kontrol. Organizasyon bileşeni aşağıda sayılan hedef ve görevlerle ilgilidir: İç denetimin ilgili ülke içerisindeki yasal zemininin araştırılması. Bir iç denetim tüzüğünün biçimlendirilmesi. İç denetim biriminin kurum içerisinde uygun mertebeye yerleştirilmesi. Bir stratejik plan oluşturulması. İzlenecek uygun denetim standartlarının seçilmesi. Denetin evreni/ufkunun tanımlanması. Personel alınması, gereken yeterliliklerin belirlenmesi, iş tanımlarının yaratılması ve uygun maaş/ücret seviyelerinin tayin edilmesi. İş modelinin ikinci bileşeni olan Yönetme, denetim ve danışma görevlerinin planlanması ve yerine getirilmesi, gözetim, çalışma kağıtlarının dokümantasyonu ve elde edilen sonuçların rapor edilmesiyle ilgili unsurları kapsar. Üçüncü bileşen olan Kontrol, bir kalite güvence ve geliştirme programı (QAIP) oluşturmasında İDY ye yol gösterir. Son olarak, bu rehberin son bölümünde, bir kamu kurumunda yeni bir iç denetim birimi oluşturulurken izlenmesi gereken tavsiye niteliğindeki tatbiki adımlar ve konuyla ilgili bir takvim verilmektedir. Bu tavsiyeler, kamu sektörü denetimi alanında ilk elden tecrübe sahibi uzmanlardan alınan bilgilerle oluşturulmuştur. Önerilen program üç bölümden oluşur: ilk altı ay, altıncı aydan hemen hemen birinci yılın sonuna kadar ve daha sonra, kesintisiz/devamlı. 3

Giriş Kamu sektöründe faaliyet gösteren herhangi bir tip veya seviye şube veya kuruluşta yakın zaman önce kurulmuş bir iç denetim birimine ya da kötü işleyen bir iç denetim birimine İDY 1 unvanıyla atandınız. Bu durumda, bazen göz korkutucu bir şekle bürünen bir görev olarak, size bağlı departmanı tüm kamusal düzeylerde şeffaflık, hesap verebilirlik ve verimlilik açısından artan sayıda zorluk ve talebe karşı cevap vermeye hazırlamanız gerekir. (Rehberin yazarları, atanan İDY nin sadece iç denetim standartlarını anlayan bir personel olmadığı, aynı zamanda bir kamu kurum veya kuruluşuna bağlı bir iç denetim biriminde etkili bir önderlik sergilemek için gereken becerilere sahip olduğu, konusunun uzmanı olduğu ve genel yönetim perspektifini taşıdığı varsayımıyla hareket etmektedirler.) Bu rehber, iç denetim departmanını kurumun yönetişim, risk yönetimi ve iç kontrol süreçlerini geliştirerek kuruma değer katmasını sağlayacak bir çerçevede hazır etmeye uğraşan bir İDY veya bir bölüm müdürünün bu süreçte analiz etmesi ve uygulamaya koyması gereken kilit noktalar ve adımlarla ilgilidir. Öte yandan, bu rehberde, kamu sektörü müdürleri ve İDY lerin kendilerine bağlı iç denetim birimlerini asli öneme sahip araç ve kaynaklarla donatırken referans alabilecekleri, tanınmış yazar ve kurumlara/örgütlere ait araştırmalara ve yayınlara atıf yapılmaktadır. Bu rehberde ele alınan unsurlar, Uluslararası İç Denetçiler Enstitüsü Araştırma Vakfı nca (IIARF) geliştirilen Kamu Sektörü için İç Denetim Kapasite Modeli ne (IA-CM) bağlıdırlar. Bu dokümanda iç denetim departmanı için yeterli ve uygun bir altyapı tesisiyle ve departmana has işlevlerin kuruma entegrasyonuyla ilgili kilit faktörler de ele alındığı için, bu doküman aynı zamanda, iç denetim birimini IA-CM düzey 3 e taşımaları konusunda İDY ler ve bölüm müdürlerine yardımcı olmak üzere hazırlanmış bir rehberi teşkil etmektedir. 2 Günümüz mevcut literatürünün gözden geçirilmesine ve kilit adım ve süreçleri uygulamaya koymak için gereken eylemlerin bu literatür bilgileri çerçevesinde ilişkilendirilmesine ek olarak, farklı birkaç ülkede bulunan farklı tip ve seviye kamu sektörü kurum ve kuruluşlarına bağlı yeni iç denetim birimlerinin oluşturulmasında ve/veya mevcut birimlerin dönüştürülmesinde ilk elden tecrübe sahibi insanlarla yapılan görüşmelerden veya yazışmalardan toplanan, tatbiki deneyimle ilgili geniş çaplı bilgi ve veriler de sunulmaktadır. Bu süreçte görüşlerine başvurulan insanlar, belli başlı müşterek eylem ve faaliyetler konusunda genelde uzlaştılar. Bu eylem ve faaliyetlerin önemi veya uygulamaya konma sıralaması bakımından bazı görüş ayrılıkları da elbette vardı. Mevcut kaynaklarla (hem personel hem de finansman olarak) ilgili farklılıklardan ötürü de görüş ayrılıkları oluştu. Bu süreçte danışılan kamu sektörü iç denetim birimleri büyüklükleri açısından 1 ilâ 65 çalışan aralığında değişmektedir. Bu rehberin oluşturulmasında ilave katkıda bulunan diğer unsurlar, global denetim tecrübesine sahip uzmanlardan müteşekkil bir gruptan alınan PowerPoint sunumu kopyaları, görüşler, düzeltmeler, izahat ve açıklamalardır. 1 Bir İDY için tercih edilen kalifikasyonları öğrenmek için, İç Denetim Yöneticileri: Tayin, Performans Değerlendirmesi ve Sözleşme Fesih İşlemleri başlıklı Uluslararası İç Denetçiler Enstitüsü Uygulama Rehberi ne bakınız. İDY kalifikasyonları hakkında daha fazla bilgi almak için, http://www.globaliia.org adresinde yer alan IIA internet sitesinde Yetkinlik Çerçevesi için arama yapınız. 2 Bakınız: Ek: Kamu Sektörü için İç Denetim Kapasite Modeli, İç Denetim Kapasite Modeli Matrisi. 4

Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulmasında Karşılaşılan Zorluklar Bu rehberin hazırlık sürecinde danışılan uzmanlar, bir hukuk danışmanı, bir yönetici asistanı ve ilgili kurumun büyüklüğü için uygunsa, bir iç denetim yönetici yardımcısı gibi personel kaynaklarına yeterli düzeyde erişim sağlamanın ilk aşamada asli öneme sahip olduğu konusunda fikir birliğine varmışlardır. Bu gibi çalışanlar, ivedilikle ilgilenilmesi gereken en önemli örgütsel ve yönetimsel meselelerle ilgilenmesinde İDY ye yardımcı olur ve İDY nin yeni iç denetim birimini hazırlayıp tasarlamasına ve nihai olarak oluşturmasına olanak sağlarlar. Kamu sektöründe karşılaşılan en büyük güçlüklerden biri, iç denetim birimine ayrılan bütçenin yeterli düzeyde olup olmadığıdır. Sınırlı kaynaklar için sürdürülen yoğun rekabet, siyasi baskılar ve vergi mükelleflerinden gelen, devlet kurumlarının etkinlik ve verimliliğinin arttırılması, maliyetlerin kısılması ve vergilerin düşürülmesi yönündeki talepler olarak sıralanabilecek faktörlerin tümü aslında parasal zorlukları temsil ederler. İç denetim biriminin bağımsızlık ve nesnelliğini tehdit eder nitelikte siyasi baskılar da açığa çıkabilir. İDY ler, bu gibi güçlükleri hafifletmek için, aşağıda sayılan faaliyetlerin üzerinde durmalıdırlar: Bir iç denetim biriminden ne beklediklerini öğrenmek için üst düzey yöneticiler, paydaşlar ve tayin otoriteleriyle görüşmelerde bulunmak. İç denetimin rolü konusunda üst düzey yöneticileri ve tayin otoritelerini bilgilendirmek. İç denetim biriminin kurum içerisinde yeteri kadar yüksek mertebe bir memura, denetim komitesine ya da başka bir yönetim organına rapor vermesini sağlamak. İç denetim programını kurum içerisinde pazarlamak. Kurumun tüm personeli için geçerli olmak üzere, çalışanlardan bilgi ve geribildirim talep etmek. Bölüm müdürü için sık ve düzenli aralıklarda hazırlanan yazılı raporlar ve yönetim kurulu ve/veya denetim komitesi için bir özet sunmak. Vatandaşların görüşlerini talep etmek ve toplamak. Değişime her zaman uyum sağlamaya hazır ve esnek bir yapıyı korumak. 5

Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite Modeli IA-CM, özel sektörde veya kamu sektöründe faaliyet gösteren iç denetim birimlerinin farklı düzeylerini tanımlar. 3 Hangi düzeyde bulunulduğu, iç denetim biriminin ve onun bağlı bulunduğu kurumun olgunluğu ve kompleksliğiyle ilgili bir değerlendirme çerçevesinde belirlenir. IA-CM, iç denetim biriminin sahip olduğu kapasitelere göre ayrılan beş farklı iç denetim birimi düzeyini tanımlar. Alt düzeylerde (1 ve 2), iç denetim birimi kapasitelerinin karakterize edici özellikleri, altyapının bulunmaması, yerleşik mesleki uygulamalara bağlılığın yetersiz düzeyde olması veya mesleki standartlara ancak kısmi düzeyde uyulması, görevlerin yerine getirilmesinde kişisel becerilere bel bağlanması ve denetimin diğer faktörler dışında yönetimin öncelikleri temelinde planlanmasıdır. Üst düzeylerde (3, 4 ve 5), iç denetim birimi kapasitelerinin karakterize edici özellikleri, mesleki standartlara harfiyen uyulması, nesnellik ve bağımsızlığa odaklanılması, süreç, politika ve prosedürlerin belgelendirilmesi, kantitatif risk ölçümü ve yönetiminin icra edilmesi, kurumun yönetişim ve risk yönetimine katkıda bulunulması ve süreçlerin kesintisiz olarak geliştirilip yenilendiği, sürekli bir şeyler öğrenmeye devam eden bir teşkilat yapısı oluşturulmuş olmasıdır. Düzey 3 (entegrasyon) denetim birimleri spesifik olarak aşağıda verilen kapasiteler çerçevesinde karakterize edilirler: 3 ENTEGRASYON İç denetim (IA) politika, süreç ve prosedürleri tanımlı, belgeli ve kurumun altyapısına entegre haldedir. IA yönetimi ve mesleki uygulamaları iyi yapılandırılmıştır ve IA birimi genelinde daima eşit ölçüde uygulanmaktadır. IA, kurumun faaliyet gösterdiği iş sektörü ve kurumun yüzleştiği risklerle aynı eksene gelmeye başlamaktadır. IA, sadece geleneksel denetimler gerçekleştiren bir yapıdan, bir takım oyuncusu olarak kuruma entegre olan bir yapıya evrilmekte ve performans ve risk yönetimi konusunda tavsiyelerde bulunmaktadır. IA biriminin kapasitesine ve ekip kurma sürecine ve yanı sıra birimin bağımsızlığına ve nesnelliğine odaklanılmaktadır. IIA Uluslararası İç Denetim Mesleki Uygulama Standartları na (Standartlar) genelde uyulmaktadır. Bu dokümanda yer alan tavsiyeler, bir kamu sektörü iç denetim birimine 1 ve 2 düzeylerinden 3 düzeyine geçmesinde yardımcı olacak adımları teşkil etmektedirler. 3 IA-CM düzeyleri için, Kamu Sektörü için İç Denetim Kapasite Modeli başlıklı Ek B ye bakınız. 6

Temel İş Modeli Organizasyon, Yönetme ve Kontrol İç denetim ve genel olarak denetimle ilgili literatürün büyük bir kısmının özel sektörde edinilen tecrübelerden elde edildiği ve kamu sektöründe edinilen tecrübelere dayanan literatürün az bulunur olduğu yaygın bilinen bir gerçektir. Kamu sektörünün kendine has özellikleri vardır. Gelgelelim özel sektörde edinilmiş tecrübelere odaklanan literatürün İDY ler ve kamu kurum ve kuruluşlarında çalışan müdürlerin yeni denetim birimleri kurmalarında yol gösterici nitelikte bir rehber olarak kullanılıp buna göre adapte edilmesi mantıklı bir yaklaşımdır. Bunun gerekçesi, mevcut rehberlerin birçoğunun kamusal veya özel teşebbüs olsun, kâr amaçlı olsun veya olmasın gerçekte tüm kurum ve kuruluş tiplerine uygulanabilecek evrensel yönetim, iç kontrol ve yönetişim ilkelerine dayanıyor olmalarıdır. İlgili meseleleri düzenlemek ve İDY lerin kendilerine bağlı denetim departmanları hakkında düşünmelerine yardımcı olmak için, rehberler üç temel kısım temelinde oluşturulurlar: 1. Organizasyon iç denetim biriminin stratejisi ve yetkilendirmesiyle ilgilidir ve tüm birimi yönetmek için gerekli olan kaynakların çeşitleri ve boyutlarını tanımlar. 2. Yönetme günlük operasyonlarla ilgilidir. 3. Kontrol kurumun ihtiyaç ve beklentilerinin birim tarafından karşılandığının güvence altına alınmasıyla ilgilidir. Geniş ölçüde bilinen ve tanınan bu iş modeli (Dubrin, 1999, Dessler, 2000 ve Griffen, 2002), ilk olarak, IIARF sponsorluğunda gerçekleştirilen bir çalışma için Douglas Prawitt tarafından adapte edilmiştir. 4 İç Denetim Biriminin Organizasyonu Yasal Zeminin Araştırılması Geniş ölçekli, uluslararası bir bakış açısına göre, iç denetim yetkisi bir dizi yasal enstrüman aracılığıyla oluşturulabilir. Kamu sektörü birimlerinin birçoğu için geçerli olduğu gibi, iç denetim de, genelde, İDY tarafından tam ve eksiksiz araştırılıp anlaşılması gereken, yasalara dayanan bir yetkiye sahiptir. Katı bir hukuk kültürüne sahip bazı ülkelerde, belirli kanunlar ilan edilmeden önce -ister federal anayasa isterse de eyalet anayasası olsun- anayasalarında iç denetim işlevine resmi bir dille atıf yapılır. Kara Avrupası hukuk sistemi ve Anglo-Sakson hukuk sisteminin geçerli olduğu ülkelerde, kamu sektörüne bağlı iç denetim birimleri genelde spesifik kanunlar çerçevesinde yetkilendirilirler. Bazı ülkelerde konuyla ilgili ilave yönetmelikler bulunur. Mahalli idareler seviyesinde, genelde iç denetime özel kanunlar vardır. 4 Prawitt, Douglas, Managing the Internal Audit Function, Research Opportunities in Internal Auditing, The Institute of Internal Auditors Research Foundation, 2003. 7

Tüzük Gereksinimi İkinci adım, denetim departmanının kurumun misyon, hedef ve amaçlarını yerine getirmesinde aktif bir rol oynama şansını arttırmak için bir organizasyonel çerçeve oluşturmaktır. Kurumun faaliyet gösterdiği ülkeden bağımsız olarak (yani, Kara Avrupası hukuk sistemine tâbi ya da Anglo-Sakson hukuk sistemine tâbi ülkeler), iç denetim biriminin amaç, yetki ve sorumluluğunun bir tüzük kapsamında resmen tanımlanması önemli bir unsurdur. IIA Uluslararası Mesleki Uygulamalar Çerçevesi (UMUÇ) Standart 1000: Amaç, Yetki ve Sorumluluk başlıklı standardında şunlar belirtilir: İç denetim biriminin amaç, yetki ve sorumlulukları, İç Denetimin Tanımı, Etik Kuralları ve Standartlarla tutarlı ve uyumlu olarak, bir iç denetim tüzüğünde resmen tanımlanmalıdırlar. İç denetim yöneticisi iç denetim tüzüğünü periyodik olarak gözden geçirmeli ve onay için üst düzey yönetim ve yönetim kuruluna sunmalıdır. İç Denetim Birimi ve İDY, Kurum İçerisinde Kendisine Uygun bir Statüye Sahip Olmalı ve Kurum İçi ve Siyasal Bağımsızlığını Korumalıdır. İç denetim birim ve faaliyetlerinin kapsayıcılığı ve kompleksliği göz önünde tutulduğunda, departman kurum içerisinde gereken statüye sahip olmalıdır, aksi takdirde diğer departman veya birimler, iç denetim birimiyle işbirliği yapmayabilirler. İç denetim birimi için gereken uygun statünün sağlanması öncelikli bir konudur. Bu bağlamda, iç denetim birimi, doğrudan doğruya tayin otoritesine, kurum başkanına ya da denetim komitesi aracılığıyla yönetim kuruluna bağlı olmalıdır. Kamu kurum ve kuruluşlarında denetim komitelerinin genelde bulunmadıkları ya da kamu kurum ve kuruluşlarının genelde bir yönetim kurulunca idare edilmedikleri ülkelerde, iç denetim biriminin en azından kurum içerisindeki en üst düzey yönetici memura rapor vermesi zorunludur. İç denetim birimi, kurum operasyonlarının her türlüsünü ve her kısmını kapsamalı ve bu gereklilik doğrultusunda, kurumun tüm personel, belge, kayıt ve varlıklarına sınırsız erişim hakkına sahip olmalıdır. İç denetim departmanının kurum içerisinde uygun bir mertebede bulunmasının gerekmesinin yanı sıra, kurum içerisinde bağımsızlığa da sahip olmalıdır. Bunun anlamı, iç denetim birimi ile denetlediği departman ve/veya birimler arasında dolaysız herhangi bir çeşit ilişki bulunmamasının gerekmesidir. Başta İDY nin yönetime veya bir yasama komitesi, belediye meclisi, vb. bir yapıya rapor verdiği siyasal idari kurumlar olmak üzere, İDY nin görev süresi sınırlandırmamalıdır. Aksi takdirde, İDY görev süresinin sonunda kolayca azledilebilir. İlgili pozisyona atanan İDY nin ancak ve sadece denetim veya yasama komitesinde nitelikte çoğunluk sağlanması halinde görevinden alınabileceği bir yapı oluşturulması tavsiye edilmektedir. 8

İç denetim tüzüğü, iç denetim birimine, resmi nitelikli bir iş yapma yetkisi verir. Tüzükte, iç denetim birim ve işleviyle ilgili olarak aşağıdaki maddeler açıklığa kavuşturulmalıdır: 5 İç denetim departmanının kurum içerisindeki pozisyonunu netleştirmeli ve iç denetim faaliyetlerinin kapsamı ve tabiatını açıklamalıdır. İç denetçilere diğer şeylerin yanı sıra, denetim ve danışmanlık projelerini yerine getirmeleri için gereken tüm kayıtlara, personele ve varlıklara erişim hakkı tanımalıdır. İDY ye, yönetimin uygunsuz müdahalesine tâbi olmaksızın, kaynakları tahsis etme, plan ve programları oluşturma, denetim çalışmasının kapsamını tayin etme ve denetim hedeflerini belirleme yetkisi vermelidir. Departmanın raporlama yapısını açıkça ortaya koymalı ve İDY nin denetim komitesine ya da kurumda görev alan en üst düzey memura sınırsız erişime sahip olmasını sağlamalıdır. İç denetim biriminin amacının risk yönetimi, kontrol ve yönetişim süreçlerinin etkinlik ve verimliliğini IIA İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla tutarlı bir çerçevede değerlendirerek kuruma hizmet etmek olduğunu açıkça söylemelidir. En etkili ve verimli sonuçlara ulaşmak için iç denetim birimi ve faaliyetlerinin diğerleriyle eşgüdümlenmesi de bu gerekliliğin kapsamına girer. Uygun bir risk-esaslı yöntem kullanılarak geliştirilmiş bir yıllık denetim planı oluşturmak ve bunu gözden geçirip onaylaması için yönetim kuruluna sunmak gibi, İDY ve ona bağlı iç denetim personeline ait spesifik sorumlulukları göstermelidir. Bir Stratejik Plan Oluşturulması Müdür ve yöneticilerin işletmenin sektör içerisinde bulunduğu pozisyonla ilgili kesin ve net, yapılandırılmış bir fikre sahip olmaları her türlü teşebbüs için son derece önemli bir unsurdur. Kamu kurum ve kuruluşlarında denetim departmanlarını idare eden İDY ler için de bu durum geçerlidir. İç denetim birimi için uygun ve yeterli bir stratejik plan oluşturmalarında İDY lere yardımı dokunabilecek birçok çerçeve bulunmaktadır. Bu zorlu görevde İDY lere yardımcı olabilecek çeşitli araçlar piyasada mevcuttur. 6 Bu araçlar, kamu kurum ve kuruluşlarının görev ve faaliyetlerini şekillendiren misyon, hedef, amaç ve sonuçlar hakkında yapısal olarak düşünmeye yardımcı olur ve dolayısıyla, iç denetim birimi için kurumun stratejik planıyla ahenkli bir stratejik plan geliştirme konusunda İDY ye yardım ederler. İç denetim biriminin stratejik planı, ilk halinde, asgari olarak, ilerlemeyi belirlemek ve başarıya ulaşmak için gereken uygun önlemlerle birlikte, vizyon, misyon, temel değerler, hedefler ve amaçları içermelidir. İzlenecek Uygun Denetim Standartlarının Belirlenmesi İDY, iç denetim faaliyetlerinde yol göstermek için doğru denetim standartlarını seçmelidir. 5 Tarr, Richard, Built to Last, Internal Auditor, Aralık 2002. 6 Porter, Michael, How Competitive Forces Shape Strategy, Harvard Business Review, 1979., Strategy and Society, Harvard Business Review, 2006., The Five Competitive Forces That Shape Strategy, Harvard Business School Publishing Corporation, 2008. 9

Standartlar, kalite güvence sürecinin ilk katmanını oluşturmalarından ötürü önemlidirler. Kamu sektöründe geçerli olan iç denetim standartları, genellikle kanun ve/veya yönetmelikler çerçevesinde ortaya konurlar; bu yüzden bu standartlara uymak zorunludur. Dünya genelindeki kültürel, sosyal, ekonomik, siyasal, yasal ve hatta dinsel farklılıklar göz önünde tutulduğunda, uygun denetim standartlarının nasıl seçileceği konusunda özgün bir rehber oluşturarak, her ülkeye ya da belirli bir ülkede bulunan her eyalet veya mahalli idareye özgü farklı durum ve koşulları karşılayacak bir çerçeve kurmak güç bir iştir. İç denetim biriminin görevlerini yerine getirirken yasal ve/veya evrensel mesleki kural ve kılavuzlara uygun hareket ettiğinin denetlenen merciler ve/veya bir bütün olarak kurum tarafından bilinip kabul edilmesi, iç denetim biriminin sunduğu raporların ve yaptığı çıkarımların güvenilirliğini ve inandırıcılığını arttırır. Dolayısıyla, iç denetim biriminin faaliyet gösterdiği mahalli ortam için uygun bir çerçeve araştırıp bulmak, İDY lerin yerine getirmesi gereken kritik görevlerden birini teşkil etmektedir. Bazılarınca Kırmızı Kitap olarak bilinen IIA UMUÇ, uyulması zorunlu standartlarla çelişmediği ve uyulması zorunlu standartları tamamlayıcı bir nitelikte olduğu sürece, en iyi uygulamaları gösteren bir rehber olarak dikkate alınmalıdır. Herhangi bir ulusal iç denetim çerçevesi bulunmayan ülkelerde ve uyulması zorunlu iç denetim standartları şart koşmayan ülkelerde, UMUÇ standartları, kamu sektöründe çalışan iç denetçiler tarafından benimsenip tercih edilmesi gereken standartlar olarak görülmelidirler. Denetim Evreni/Ufkunun Tanımlanması Kamu sektöründe faaliyet gösteren iç denetim birimleriyle ilgili denetim evreni, bazen, Kara Avrupası hukuk sisteminin geçerli olduğu ülkelerde belirli kanunlar tahtında tanımlanabilir. Bu gibi durumlarda, denetim evreninin kanun ve yönetmeliklerce çizilmiş olmasından ötürü, denetim hedefleri arasında öncelik sıralaması yapmakla ilgili bir sorunla karşılaşılır. Dolayısıyla, denetim hedefleri arası öncelik sıralamasını yapmak için en uygun aşama, aşağıda Denetim Birimini Yönetmek başlıklı bölümde detaylandırılan planlama aşamasıdır. Yukarıda bahsedilen planlama aşamasında, denetim ufku meselesi de gereğine uygun ele alınmalıdır. Personel Alımı İç denetim biriminde görev alan çalışanlar, farklı alanlardan gelmiş olmalı ve farklı deneyimlere sahip olmalıdırlar. Richard Anderson (2001) tarafından da ortaya konduğu gibi, 7 personel alım sürecine başlanmadan önce, iç denetim biriminin büyüklüğü kurum tarafından tanımlamış olmalıdır. Küçük departmanlarda ister istemez daha tecrübeli denetçilerin yer alması gerekirken, daha büyük departmanlarda, yeni denetçiler, kıdemli denetçiler ve farklı akademik ve mesleki özgeçmişlere sahip insanlardan oluşan bir ekip oluşturulabilir. 7 Anderson, Richard J., Internal Auit Career Models: What Is Your Value Driver? CFO Direct Network, PricewaterhouseCoopers, 2001. 10

İç denetim birimince sunulan geniş hizmet aralığı göz önünde tutularak, IIA Standart 1210: Yeterlilik başlıklı standardında aşağıdaki gerekliliklerden bahsedilmektedir: İç denetçiler, bireysel sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmalıdırlar. İç denetim birimi de, toplu olarak, kendi sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmalı veya bunları edinmelidir. IIA, İDY lerin iç denetim faaliyetlerinde gerekli olan becerileri belirlemeleri için bir başlangıç noktası ya da referans olarak, İç Denetim Yetkinlik Çerçevesi (CFIA) olarak bilinen bir belge seti yayımlamıştır. Gereken yetkinliklere verilebilecek örnekler arasında şunlar bulunur: A. İç denetim standartları, prosedürleri ve tekniklerini uygulama konusunda yeterlilik. Burada geçen yeterlilik, karşılaşılması muhtemel durumlarda eldeki birikimi kullanabilmek ve bu gibi durumları kapsamlı teknik araştırma veya yardıma ihtiyaç duymaksızın halledebilmek anlamına gelir. B. Muhasebe ilke ve teknikleri konusunda yeterlilik. Geniş ölçüde finansal kayıt ve raporlar üzerinde çalışacak olan denetçiler, bu alanlarda yeterlilik sahibi olmalıdırlar. C. Denetçilerin akla uygun iş uygulama ve prosedürlerinden uzaklaşılmasının ne anlama geldiğini ve ciddiyetini anlamalarını ve değerlendirmelerini mümkün kılan yönetim ilkelerinin kavranması. Yönetim ilkelerini kavramak, karşılaşılması muhtemel durumlara geniş çaplı bir bilgi ve birikimle cevap verebilmeyi, önemli sapma ve uzaklaşmaların farkına varabilmeyi ve makul çözümlere ulaşmak için gereken araştırma ve incelemeleri gerçekleştirebilmeyi sağlar. D. Muhasebe, ekonomi, ticaret hukuku, vergi, finans, kantitatif yöntemler ve BT gibi alanlara ilişkin asli unsurların anlaşılması. Yukarıda sayılan ve benzeri alanlara ilişkin asli unsurları anlamak, mevcut problemlerin veya potansiyel problemlerin farkına varabilmeyi ve ek araştırma ve incelemeler yapılmasının gerektiği ya da uzman yardımına başvurulmasının gerektiği durumları ayırt edebilmeyi sağlar. E. Öte yandan, iç denetçiler, insanlarla iletişime geçme ve hem sözlü hem de yazılı olarak etkili bir iletişim kurma konularında becerikli olmalıdırlar. F. Özellikle kıymetli olan becerilerden bir diğeri, bilgisayar kullanma yeterliliğidir. Akreditasyon, Sertifikasyon Bir denetçinin teknik yeterliliğinin önemli göstergelerinden biri akreditasyon da olabilir. İç denetim alanı için faydalı teknik yeterlilikleri gösteren belgeler olarak kabul edilen sertifikasyonlar arasında şunlar bulunmaktadır: Sertifikalı İç Denetçi (CIA ); Yeminli Mali Müşavir (CPA) ya da uluslararası muadili (örneğin, Yeminli Muhasebeci [Chartered Accountant]); Sertifikalı Yönetim Muhasebecisi (CMA), Risk Yönetimi Güvencesi Sertifikası TM (CRMA TM ), Sertifikalı Bilgi Sistemleri Denetçisi (CISA) ve özellikle kamu sektörü için, Sertifikalı Kamu Denetçisi (CGAP ) ve Sertifikalı Kamu Sektörü Finans Yöneticisi (CGFM). 8 8 CIA, CGAP ve CRMA sertifikaları hakkında daha fazla bilgi almak için, http://globaliia.org IIA global internet sitesine bakabilirsiniz. CPA için Amerika Sertifikalı Mali Müşavirler Enstitüsü, CCFM için Kamu Muhasebecileri Birliği, CMA için Faal Muhasebeciler ve Finans Çalışanları Birliği ve CISA için ISACA internet sitelerine bakınız. 11

İş Tanımlarının Oluşturulması İşe alım sürecindeki önemli adımlardan bir diğeri, iç denetim departmanında mevcut olan her pozisyon için ayrıntılı iş tanımları oluşturmak, pozisyonlar için gereken bilgi, beceri ve kabiliyetleri tayin etmek ve ilgili maaş/ücret kademelerini belirlemektir. İş tanımlarının yapılandırılmasında yardımcı olabilecek mükemmel bir kaynak için Birkett et al. (1999) eserine bakınız. 9 İç Denetim Biriminin Yönetimi İç denetim biriminin yetki, sorumluluk ve hedefleri belirlenip şekillendirildikten sonra, birimin büyüklüğü tayin edilmiş ve buna uygun olarak tecrübeli ve becerikli personel alımı yapılmıştır; şimdi sıra, günlük operasyon ve faaliyetlerde. Risk-Esaslı Denetim Planları ve Münferit Denetim Görevlerinin Planlanması Denetim faaliyetlerinin planlanmasının ilk adım olduğu açıktır. Gelgelelim küçük çaplı kurum ve kuruluşların iç denetim departmanlarında çalışan İDY ler ve müdürler için, iç denetim faaliyetlerinin tümünün planlanması ile münferit denetim görevlerinin planlanması arasında bir ayrım yapmak her zaman o kadar da kolay olmaz. Bir denetim departmanının temel hedefi misyon, hedef ve amaçlarına ulaşmasında kuruma yardımcı olmak ise, o halde, kurum veya kuruluşun hedeflerine ulaşmasını önleyebilecek risklerin farkına varılması ve bu risklerle uğraşılması son derece önemlidir. Tüm İç Denetim Faaliyetleri İçin Yıllık Risk-Esaslı Denetim Planlarının Oluşturulması IIA Standart 2010: Planlama başlıklı standardında şöyle yazar: İç denetim yöneticisi, kurumun hedeflerine uygun olarak, iç denetim biriminin önceliklerini belirleyen risk-esaslı planlar yapmalıdır. Bir risk-esaslı denetim planını tasarlarken başarıya ulaşma şansını arttırmak için, resmi bir yaklaşımın uygulanması önerilir. IIA internet sitesi, daha iyi yapılandırılmış bir yaklaşımda kullanılabilecek araçları bulmak için önemli bir kaynaktır. Örneğin, bu başlık üzerine şekillenmiş bir dizi eğitim kursu bulunmaktadır. CGAP ve yakın zaman önce tanıtımı yapılmış olan CRMA sertifikaları, denetim yönetim ekibini risk-esaslı denetim planları geliştirmek için uygun becerilere sahip kişilerle donatmak için mükemmel araçlardır. Treadway Komisyonu Sponsorluk Kuruluşları Komitesi ne (COSO) ait Kurumsal Risk Yönetimi Entegre Çerçeve ni anlayıp kavramak da, kurumun iç kontrol risklerinin farkına varılması ve denetlenmesi gereken alanların tayin edilmesi için faydalıdır. İDY ve yönetimin kurumun tüm risklerine yönelik kapsamlı bir değerlendirme yapması, denetime tahsis edilen kaynakların öncelikli olarak hangi alanlarda kullanılmalarının gerektiğini belirlemelerinde yardımcı olur. Oluşturulan denetim planı, yeni risk ve öncelikler açığa çıktıkça tekrar tekrar değerlendirilir. 9 Birkett, William P., M.R. Barbara, B.S. Leithead, M. Lower, and P.J. Roebuck, Competency: Best Practices and Competent Practitioners, The Institute of Internal Auditors Research Foundation, 1999. 12

Bununla birlikte, hangi alan ve unsurların denetlenmesi gerektiği hakkında karar verilirken risk dışındaki başka faktörler de ele alınacaktır: İş, operasyonlar, programlar, sistemler veya kontrollerle ilgili ortam ve atmosferin değişmesi Risk ortamında yaşanan değişimler. Görev sonucunda ulaşılacak olası fayda(lar). Mevcut ekibin becerilerinde yaşanan değişimler, zira edinilen yeni beceriler, iç denetim biriminin farklı tip görevleri yerine getirmesini sağlayabilirler. Dış denetçiler, üst düzey yönetim veya diğer yönetim organlarından gelen talepler. Münferit Görev Planlarının Oluşturulması Risk-esaslı denetim planına ek olarak, IIA Standart 2200: Görev Planlama başlıklı standardında, İç denetçiler görev hedefleri, amacı, takvimi ve kaynak tahsisleri dahil her görev için birer plan hazırlayıp belgelendirmelidirler. ifadesi geçer. İç denetçiler, görev planlama sürecinde, Standart 2201: Planlama Mülahazaları başlıklı standart temelinde aşağıda sayılan unsurları dikkate almalıdırlar: İncelenen birimin hedefleri ve bu birimin performansını düzenlemek için yürürlükte bulunan kontroller. Birimle ve birimin hedefleri, kaynakları ve operasyonlarıyla ilgili önemli riskler ve yanı sıra, risk potansiyellerinin yarattığı etkileri kabul edilebilir bir seviyede tutmak için kullanılan araçlar. İlgili bir kontrol çerçevesi veya modeline kıyasen, ilgili birimin risk yönetimi ve kontrol süreçlerinin yeterlilik ve verimliliği. Birimin risk yönetimi ve kontrol süreçlerini önemli ve anlamlı düzeyde geliştirme fırsatları. IIA Uygulama Önerisi 2200-1: Görev Planlama altında, münferit görevlerde planlamayı yeterli düzeyde yerine getirmek için kullanılabilecek yöntem ve yaklaşım özetlenmektedir. Görevlerin Gerçekleştirilmesi: Yeterli, Güvenilir, İlgili ve Faydalı Bilgilerin Toplanması Planlama sürecinin doğal sonucu görevlerin yerine getirilmesidir. İlgili IIA standartları; "2300: Görevin Yapılması", "2310: Bilgilerin Tespiti ve Tanımlanması", "2320: Analiz ve Değerlendirme", "2330: Bilgilerin Kaydedilmesi" ve "2340: Görevin Gözetimi" başlıklı standartlardır. 2300 ve 2310 sayılı standartlara göre: İç denetçiler, görev hedeflerine ulaşmak için gerekli olan bilgileri tespit etmeli, analiz etmeli, değerlendirmeli ve kayıt altına almalıdırlar. İç denetçiler, görev hedeflerine ulaşmak gereken uygun, güvenilir, ilgili ve faydalı bilgileri belirlemelidirler. Denetim alanında, yeterli (sufficient) kanıt, "kafi miktarda" (enough) kanıt anlamına gelir. Denetçi, başka bir denetçinin denetim görevini tekrarlaması halinde yine kendisiyle aynı çıkarımlara ulaşmasını sağlayacak düzeyde, yeterli miktarda bilgi ve veri toplamalıdır. 13

Bilginin ilgililiği (relevance), bilginin güvenilirliğiyle bağlantılı bir unsurdur. Kanıtların güvenilirliğini tanımlamak için kullanılabilecek en uygun kelime yeterliliktir. Yeter (competent) delil, elde edilen delillerin, destekledikleri çıkarım(lar)ı gerçekten doğruladıkları anlamına gelir. Kanıtların yeterliliğini (sufficiency) ve ilgililiğini belirleyen temel faktörlerden biri, bilgi kaynağının güvenilirliğidir. Temel kural olarak, en nesnel delil kaynağı denetçinin kendisidir. Şahsen denetçinin kendisi tarafından toplanan asıl kanıtlar genelde en güvenilir kanıtları teşkil ederler. Denetlenenin sunduğu kanıtlar, ilave kanıt ve bilgilerle doğrulanmalıdırlar. Toplanan kanıtların yeterliliği ve güvenilirliği ne kadar kuvvetliyse, görev neticesinde bir sonuca varmak için kullanılan bilgilerin inandırıcılığı da o kadar güçlüdür. İlgili kanıt, elde edilen kanıtın denetlenen unsurla ilgili olduğu ve görev planlama aşamasında ortaya atılan sorulara cevap verdiği anlamına gelir. Faydalı kanıt, kurumun hedeflerine ulaşmasını sağlar. Faydalı kanıt toplamakla ilgili bu süreç, iç denetim biriminin oynadığı en önemli rollerden birini teşkil eder. 2320 sayılı standartta, "İç denetçiler, vardıkları sonuçları ve görevlerinden elde ettikleri bulguları uygun analizlere ve değerlendirmelere dayandırmalıdırlar." ifadesi yer almaktadır. Bu standart, varılan sonuçları destekleyecek kanıtların toplanmasıyla ilgilidir. Bilgi toplamak için kullanılan iki temel denetim testi tipi, analitik prosedürler ve detay testleridir. 10 Gözetimin Önemi Görev sürecinin kritik aşamalarından bir diğeri denetimin gözetimidir, zira bu aşamanın kanıt toplama aşamasının üzerinde dolaysız bir etkisi vardır. Gözetim ne denli etkiliyse, kanıt toplama aşaması da o denli etkili seyreder ve sonuca varma süreci de o denli düzgün ve sorunsuz devam eder. Uygulama Önerisi 2340-1'e göre, görev gözetimi, "planlama aşamasından başlayarak görev tamamlanana kadar devam eden bir süreçtir." Bu süreçte, diğer faaliyetlerin yanı sıra aşağıda sıralanan faaliyetlerde bulunulur: Atanan denetçilerin, toplu olarak, görevi yerine getirmek için gereken bilgi, beceri ve diğer yeterliliklere sahip olduklarından emin olunması. Görev planlama sırasında uygun talimatların verilmesi ve görev programının onaylanması. Gerekçelendirilmiş ve yetkilendirilmiş olası değişiklikler olmadığı sürece onaylı görev programının tamamlanmış olduğundan emin olunması. Görev çalışma kağıtlarının görevde yapılan gözlemler, varılan sonuçlar ve verilen tavsiyeleri yeterli ölçüde desteklediklerinin belirlenmesi. 10 Bakınız: Sawyer, Internal Auditing: The Practice of Modern Internal Auditing, 5th Edition, The Institute of Internal Auditors, 2003. 14

Görevle ilgili rapor ve bildirimlerin doğru, nesnel, açık, net ve yapıcı olduklarından ve yanı sıra zamanında yapıldıklarından emin olunması. Görev hedeflerine ulaşıldığından emin olunması. İç denetçilerin bilgi, beceri ve diğer yeterliliklerini geliştirme fırsatlarının sunulması. Yeterli ve uygun bir gözetim süreci, oluşturulan belge ve kayıtların iç denetim standartlarını karşılamalarını sağlar. Çalışma Kağıtlarının İşlevleri Yerine getirilen görevin kayıt altına alınması, denetim çalışmasının temel bir parçasını teşkil eder, zira görev raporunda belirtilen tüm sonuç ve çıkarımlar, çalışma kağıtlarıyla desteklenmelidirler. "Uygulama Önerisi 2330-1: Bilgilerin Kaydedilmesi" başlıklı öneri maddesinde çalışma kağıtlarının işlevleri ana hatlarıyla özetlenmekte olup çalışma kağıtlarıyla ilgili şu gerekliliklerin üzerinde durulmaktadır: Görevlerin planlanma, gerçekleştirilme ve incelenme süreçlerine yardımcı olmalı. Görevde elde edilen bulgu ve sonuçları destekleyen ana unsur olmalı. Görev hedeflerine ulaşıp ulaşılamadığını belgelemeli. Gerçekleştirilen çalışmanın doğru, tam ve eksiksiz olduğunu desteklemeli. İç denetim birinin kalite güvence ve geliştirme programı için zemin hazırlamalı. Üçüncü şahıs incelemelerini kolaylaştırmalı. Sonuçların Rapor Edilmesi Görev sürecinde yer alan bir diğer adım, sonuçların rapor edilmesi ve bildirilmesidir. Bu konuyla ilgili standartlar 2400 ilâ 2440 C2 aralığında bulunan standartlardır. Standartların sonuçların raporlanmasıyla ilgili olarak gerektirdikleri en kritik unsurlar aşağıda ana hatlarıyla aktarılmaktadır: Yorum: Standart 2420: Raporların Kalitesi - "Raporlar doğru, nesnel, açık, net, yapıcı ve eksiksiz olmalı ve zamanında sunulmalıdırlar." Doğru iletişim ve raporlar, hata ve saptırma içermeyen ve altta yatan maddi olgulara ve olaylara sadık kalan raporlardır. Nesnel iletişim ve raporlar adil ve tarafsızdır ve tüm ilgili mevcut belge ve bulgular karşısında dürüst ve dengeli bir değerlendirmenin ürünüdür. Açık iletişim ve raporlar kolay anlaşılır ve mantıklıdır ve gereksiz teknik terimler ve dil kullanmaktan kaçınır ve ilgili önemli bilgilerin tümünü verir. Net ve özlü iletişim ve raporlar, konunun özüne inen, gereksiz ve fazla ayrıntılardan kaçınan ve laf kalabalığı yapmayan raporlardır. Yapıcı iletişim ve raporlar, denetlenenlere ve kuruma faydalı olan ve onların gereken iyileştirme ve geliştirmeleri yapmalarına yardımcı olan raporlardır. 15

Tam iletişim ve raporlar, hedef okuyucu kitlesi için önemli olan hiçbir bilgiyi atlamayan ve tavsiye ve sonuçları desteklemek için gereken tüm bilgi ve tespitleri içeren raporlardır. Zamanında sunulan iletişim ve raporlar ise, konunun önemine bağlı olarak, tam zamanında ve uygun zamanda verilen raporlardır ve yönetimin gereken uygun düzeltici eylem ve tedbirleri almasına olanak sağlarlar. Görev sonuçlarının ilgili taraflara dağıtımı ve yayımı, iletişim aşamasının önemli bir safhasıdır (Standart 2440). Kapanış Görüşmesi Her ne kadar nihai raporu verecek veya bildirimi yapacak taraf İDY olsa da, iç denetçi, nihai rapor sunulmadan önce, görev neticesinde varılan çıkarımları ve verilen tavsiyeleri denetlenen müşteri/birim/merciinin uygun yönetim kademeleriyle son kez tartışmak için uygun en iyi yolu seçmelidir. Bu konuda tercih edilen yöntem bir bitiş görüşmesi düzenlemektir. Bu toplantının amaçlarından biri, ortada bir yanlış anlama veya yanlış yorumlama olmadığından emin olmaktır. Bitiş görüşmesinde yapılan tartışmalar belgelenmeli ve nihai rapora yansıtılmalıdırlar. Görevlerin Takibi ve İzlenmesi Görev süreciyle ilgili son -ama diğerlerine göre önemsiz olmayan- safha izleme aşamasıdır. İlgili IIA standardı "2500: İlerlemenin Gözlenmesi (İzlenmesi)" başlıklı standarttır. Bu sürecin ayrıntıları, 2500-1 ve 2500.A1-1 sayılı Uygulama Önerilerinde ortaya konmaktadır. 2500.A1-1 sayılı Uygulama Önerisinde, takip, "Dış denetçiler ve başka kaynaklardan gelenler de dahil, rapor edilen gözlemler ve verilen tavsiyeler konusunda yönetimin attığı adımların etkinliği ve yeterliliğini ve bu adımların zamanında atılıp atılmadığını değerlendirmek için iç denetçilerin izlediği bir süreç. Bu süreçte, üst düzey yönetim ve/veya yönetim kurulunun rapor edilen gözlem ve tespitler ışığında düzeltici adımlar atmadıkları takdirde oluşacak riski üstlenip üstlenmedikleri de belirlenir." olarak tanımlanmaktadır. Öte yandan, 2500.A1-1 sayılı Uygulama Önerisine göre, takip sürecinin tabiatı, zamanlaması ve kapsamı, aşağıda sayılan faktörlere yönelik mülahazalar temelinde İDY tarafından belirlenmelidir: Rapor edilen gözlemlerin veya verilen tavsiyelerin önemi. Rapor edilen durumu düzeltmek için gereken çaba ve maliyetin boyutları. Düzeltici adımların başarısız olması durumunda oluşabilecek etki. Düzeltici adımların kompleksliği. İlgili süre. 16

İç Denetim Biriminin Kontrol Edilmesi Bir Kalite Güvence ve Geliştirme Programının (QAIP) Oluşturulması - Bir Kalite Güvence ve Geliştirme Programının Önemi Griffen (2002) tarafından da belirtildiği gibi, 11 "Kontrol, hedeflenen performans unsurlarının kabul edilebilir sınırlar içerisinde kalmasını sağlamak üzere, kurumların faaliyetlerinin düzenlenmesidir." İlgili Standartlar arasında 1300: Kalite Güvence ve Geliştirme Programı, 1310: Kalite Güvence ve Geliştirme Programının Gereklilikleri, 1311: İç Değerlendirmeler, 1312: Dış Değerlendirmeler, 1320: Kalite Güvence ve Geliştirme Programıyla İlgili Raporlamalar, 1321: 'Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygun Yapılmıştır' İbaresinin Kullanımı ve 1322: Aykırılıkların Açıklanması başlıklı standartlar bulunur. Standartlar a göre, "İDY, iç denetim birimiyle ilgili tüm unsurları kapsayan bir kalite güvence ve geliştirme programı geliştirmeli ve bu programı sürdürmelidir." Bu tip bir program, periyodik harici ve dahili kalite değerlendirmelerini ve sürekli devam eden dahili izleme sürecini kapsar. Program, kurumun operasyonlarına katkıda bulunması ve geliştirmesinde iç denetim birimine yardımcı olacak ve birimin Standartlar a uygun hareket ettiği konusunda güvence sağlayacak şekilde tasarlanır. 1310-1 sayılı Uygulama Önerisi ne göre, kalite programı değerlendirmelerinde aşağıdaki unsurlar dikkate alınmalıdır: Önemli aykırılık vakalarını tersine çevirmek için uygun düzeltici adımların zamanında atılması da dahil, İç Denetimin Tanımı, Etik Kuralları ve Standartlar'a uyum. İç denetim biriminin tüzük, hedefler, amaçlar, politikalar ve prosedürlerinin yeterliliği. Kurumun yönetişim, risk yönetimi ve kontrol süreçlerine katkı. Cari kanunlar, mevzuat ve diğer devlet veya sektör standartlarına uyum. Sürekli geliştirme faaliyetlerinin etkililiği ve en iyi uygulamaların benimsenip benimsenmediği. İç denetim biriminin kurumun operasyonlarını ne denli geliştirip katkıda bulunduğu. 12 11 Griffen, Ricky W., Management, 7th Edition, Houghton Mifflin Publishing, 2002. 12 Kalite güvence ve geliştirme programları hakkında daha fazla bilgi almak için, IIA'in http://www.theiia.org adresli internet sitesinde yer alan "Kalite" bölümüne bakınız. 17

Kamu Kurum veya Kuruluşunda İç Denetim Birimi Oluşturulurken İzlenmesi Önerilen Uygulama Adımları ve İlgili Süreç Takvimi Bu bölümde verilen bilgilerin tek kaynağı, kamu kurum veya kuruluşlarında bir iç denetim birimi kurma konusunda ilk elden tecrübeye sahip kişilerle yapılan yüz yüze görüşmelerdir. İlk Altı Ay Atılması Gereken Adımlar 1. Tüm görüşmeciler, katılımcılar ve denetçiler, İDY nin mümkün olan en kısa sürede bir yönetici asistanını ve eğer kurumun büyüklüğü bunu gerektiriyorsa, bir iç denetim yönetici yardımcısını işe alması gerektiğini genellikle kabul ettiler. 2. Bu aşamada, İDY nin kendisine kamu kurumunda hizmet vermeye uygun herhangi bir hukuk müşaviriyle bir ilişki kurması ve bu ilişkiyi geliştirmesi de önemli bir husustur. 3. İlk alınan personelin kullanımına sunmak için bazı temel ekipman, referans materyaller ve yazılımlar satın alınmalıdır. Aşağıda belirtilen faaliyetleri -belki de bir yardımcının desteğiyle- fiilen gerçekleştirmesi gereken kişinin İDY olduğunu görüşme yapılan herkes onayladı. İDY nin toplanan bilgilere güven duyması önemlidir; yanı sıra, bu faaliyetler, iletişim kanallarının açılmasını, ilişkiler kurulmasını ve iç denetim biriminin geleceğini hazırlaması ve planlaması için İDY ye bir zemin hazırlanmasını sağlayan faaliyetler olarak önem arz eden faaliyetlerdir. 4. İç denetim biriminin oluşturulması için yasal zeminin araştırılması ve İDY nin atanması. Bu araştırmanın sadece mahalli kanunlar ve mevzuatla sınırlı kalmaması, ayrıca başka herhangi bir eyalet, şehir, bölge veya ülkeyle ilgili ya da uluslararası ölçekli cari kanunlar ve mevzuatı da kapsaması önemli bir husustur. Bu araştırmanın sonuçları; raporlama ilişkileri, İDY ve ekip için istenen kalifikasyonlar (örneğin, sertifikalar), işten çıkarma koşul ve şartları, bir denetim komitesi olsun ya da olmasın raporlama ilişkileri, denetim komitesinin kompozisyonu, vb. unsurları etkileyebilir/belirleyebilir. 5. Kurumda izlenecek denetim standartlarının belirlenmesi. Örneğin, kamu denetimleri, Birleşik Devletler de ABD Sayıştayı (GAO) Kamu Denetim Standartlarına ( Sarı Kitap ), Birleşik Krallık ta Maliye Bakanlığı Kamuda İç Denetim Standartlarına ve Kanada Sayıştayı nda Sayıştay ın Kapsamlı Denetim Elkitabına göre gerçekleştirilmektedirler. Öte yandan, kamu sektöründe faaliyet gösteren denetim gruplarından birçoğu Uluslararası Yüksek Denetim Kurumları Örgütü ne (INTOSAI) üye olmalarından dolayı INTOSAI nın yayımladığı denetim standartlarına uygun hareket eder. Avrupa Birliği nde, birçok ülke, Kamu İç Mali Kontrolü nde (PIFC) ortaya konan ilkeleri izlemektedir. 6. Denetim faaliyetlerinin dış denetçiyle eşgüdümlendiği odak noktası olarak merkezi iç denetim biriminde bir merkezi uyumlaştırma birimi (CHU) bulunan PIFC tarafından önerilen organizasyonel yapıyı benimseme fikrinin dikkate alınması. Ayrıca, CHU, iç denetim eğitimini merkezi olmayan iç denetim birimleriyle ve iç kontrol eğitimini kurum içerisindeki bölüm müdürleriyle eşgüdümlemekten sorumludur. 7. Denetim evreninin tanımlanması. 8. İç denetimler, Standartlar, farklı denetim tipleri, iç kontroller, vb. unsurların rol ve yöntemleri hakkında üst düzey yöneticiler ve tayin otoriteleriyle görüşülmesi. a. Kullanılmakta olan süreçlerin öğrenilmesi. b. İç kontrollerin değerlendirilmesi. 18

c. İlgili ortak konuların tespit edilmesi. 9. Üst düzey yöneticiler ve tayin otoritelerinin iç denetimler, Standartlar, farklı denetim tipleri, iç kontroller, vb. unsurların rol ve yöntemleri hakkında eğitilmesi. 10. Bir risk değerlendirmesinin gerçekleştirilmesi. a. Risklerin önceliklerine göre sıralanması ve iç denetim biriminin faydasını açığa çıkarmak için hızla ilgilenilebilecek olanların tespit edilmesi. b. Kurumun risk iştahının belirlenmesi. 11. Denetim tüzüğünün yazılması; yönetim ve konsey ya da denetim komitesinden onay alınması. 12. Misyon, vizyon, temel değerler ve stratejik planın geliştirilmesi 13. Başlangıç risk değerlendirmesi temelinde, denetim planı taslağının hazırlanması; taslak halindeki plan sunulabilir de sunulmayabilir de. Denetim planı taslağı en azından dış denetçilerle koordine edilerek, aynı çalışmaların lüzumsuz yere iki defa yapılmasının azami ölçüde önüne geçilmelidir. 14. Denetim kapasitesinin belirlenmesi ve bunun denetim çalışma planıyla ilişkilendirilmesi. Taslak halindeki denetim planını hayata geçirmek için gereken kaynakların (personel ve finansman) tahminen hesaplanması. Altıncı Aydan Birinci Yıl Sonuna Kadar Veya Daha Uzun Bir Süre Atılması Gereken Adımlar İlk yıl, temelde, yönetimin sizi denediği bir sınama periyodu dur. Bu süre zarfında İDY hazırladığı programı satar. Tayin otoritesi ve/veya denetim komitesi, aşağıda listelenen maddelerden bazılarının ilk altı ay içerisinde hayata geçirilmesini sağlayacak daha hızlı bir uygulama programına ihtiyaç duyabilir. 1. Onaylanan başlangıç bütçesinin açık ve kesin bir dille belirtilmesi ve alınması. 2. Tahsis edilen kaynaklar temelinde (personel sayısı, iş sınıflandırmaları, idare, denetim operasyonları, dışarıdan danışmanlık hizmeti alma ihtiyaçları, eğitim ihtiyaçları, vb.) bir tahmini yıllık bütçenin önerilmesi. 3. Bir denetim elkitabı yazmaya başlanması; kurumun büyüklüğü buna uygunsa, elkitabı geliştirme sürecinde yardımcının ve/veya bir kıdemli denetçinin yardımının alınması. 4. Belirtilen beceri ve tecrübe düzeylerine uygun ücretlerle birlikte detaylı iş tanımlarının oluşturulması. 5. Üst düzey ekip lideri pozisyonları için deneyimli denetim personeline yönelik araştırmaya başlanması. 6. Bir eğitim programı geliştirilmesi ve yeni personeli eğitecek ve ilk denetimlere önderlik edecek kıdemli personelin işe alınması. 7. İç denetim işlevlerini yerine getirmek için gereken araç ve ekipmanın (özellikle laptoplar ve yazılım) satın alınması. 8. İç denetimlere başlanması ve denetim planının uygulamaya konması. 9. Bir QAIP oluşturulması. 10. Olası sorunlu alanları hızla belirlemelerinde iç denetçilere yardımcı olması için veri analizi aplikasyonları gibi bilgisayar-tabanlı denetim yazılımlarını satın almak üzere zemin hazırlanması. 11. Yapılan beceri değerlendirmelerine göre, resmi nitelikli bir personel eğitim ve geliştirme planı uygulanması. 12. Yeteri kadar üst düzey bir memur, gözetim organı veya denetim komitesinin gözetiminde bir bağımsız iç denetim birimi oluşturmak için ortaya konan çabaların sürdürülmesi. 19

13. Günümüzde Avrupa Birliği genelinde benimsendiği gibi, bir CHU kurmaya dönük çabaların sürdürülmesi. 14. İç denetim birimi ile kamu sektörü yönetici ve çalışanları arasında kesintisiz ve devamlı erişim, girdi alışverişi ve iletişimin sağlanması. a. İç denetim programının kesintisiz ve devamlı olarak pazarlanmasının sağlanması. b. Kamu sektörü personelinden bilgi ve geribildirim talep edilmesi. c. Konsey ve/veya denetim komitesi için azami iki sayfalık bir özetle birlikte, bölüm müdürü için her ay bir yazılı rapor hazırlanması. d. Üst düzey müdürler için, her üç ayda bir iç denetim birimi hakkında bir bülten sunulması. e. Güncel denetim planını yayımlamak için bir internet sitesi oluşturulması ve nihai denetim raporlarının buraya aktarılması; vatandaşlardan gelen görüş ve geribildirimlerin alınması, vb. 15. Müdürler, konsey ve denetim komitesiyle kesintisiz devam eden ilişkilerin kurulması. 16. Dış denetçilerle ilişki kurulması. 17. Yapılan denetimlerle ilgili düzeltici adımların ve takip sürecinin durumunu izlemek için veritaban(lar)ı oluşturulması. Kesintisiz / Devamlı 1. Kurulan ilişkilerin korunması. 2. Yönetim kurulu toplantılarında hazır bulunulması. 3. Risk değerlendirmesinin devamlı güncellenmesi. 4. Denetim planının devamlı güncellenmesi. 5. İç denetim birimi ve İDY üzerindeki siyasi baskı ve nüfuzu asgari düzeye indirmeye çalışılması. 6. Esnek olunması ve değişime uyum sağlanması. 7. Bir dahili QAIP ve harici kalite güvence incelemesinin (QAR) uygulamaya konması. İç denetim birimini sürekli geliştirme yaklaşımının korunması. 8. Mesleki standartları karşılamak için devamlı gelişmeye açık olunması. 9. Geçerli en iyi uygulamaları araştırıp kullanmaya başlayarak ve dünya standardında kurumlarla kıyaslama yaparak, iyileştirme ve geliştirme çalışmalarına sürekli devam edilmesi. 20

Varılan Sonuçlar Bu dokümanın amacı, bir kamu kurum veya kuruluşunda yeni atanmış bir İDY ye, yeni bir iç denetim birimi kurması ya da kötü işleyen bir iç denetim birimini geliştirmesinde yardımcı olacak en iyi uygulamaları ve diğer bilgileri vermektir. Bu doküman, konuyla ilgili pratik, adım-adım sunulan, tavsiye niteliğindeki bilgi ve talimatları içermektedir. Kamu sektöründe bir iç denetim birimini ilk iki yıl ve takip eden periyot için başarıyla planlayıp oluşturmak veya geliştirmek için gereken standartları, işe alım sürecini ve personel kalifikasyon ve kaynaklarını özetlemektedir. Bu doküman sadece kapsamlı bir teorik çerçeve çizmekle kalmaz, aynı zamanda, İDY için, işlerin idealde ne sırada yerine getirilmesi gerektiğini gösteren bir kronolojik liste sunar. Bu doküman; mevcut literatüre yönelik bir değerlendirme, cari UMUÇ kılavuzları ve bu alanda deneyimli uzmanlardan alınan uygulama önerilerinden oluşan bir derlemedir. İDY lerin yanlış adımlar atma ve tuzağa düşme olasılıklarını ortadan kaldırmak maksadıyla oluşturulmuştur. İDY; organizasyon, yönetme ve kontrol olarak ayrılan üç temel kısımdan oluşan bir iş modelini izleyerek işe başlar. Son olarak, dikkate alınması ve/veya hayata geçirilmesi gereken adımlardan müteşekkil bir kronolojik liste verilmektedir. Önerilen adım ve standartların hepsine uyulursa, İDY, zamanı geldiğinde bir QAR için hazır, kapsamlı ve eksiksiz bir kamu sektörü iç denetim birimi kurmuş olacaktır. İDY, iç denetim birimini ilk iki yıl ve takip eden periyot içerisinde IA-CM 1 ve 2 düzeylerinden 3 düzeyine çıkarmak için hızlı davranmalıdır. 21