Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Ek Rehber: KAMU KURUMLARINDA YENİ BİR İÇ DENETİM BİRİMİNİN OLUŞTURULMASI Yayın Tarihi: Nisan 2012 ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global 1 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İçindekiler Yöneticiler İçin Özet 3 Giriş 4 Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulmasında Karşılaşılan Zorluklar 5 Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite Modeli 6 Temel İş Modeli – Organizasyon, Yönetme ve Kontrol 7 Bir Kamu Kurum veya Kuruluşunda Bir İç Denetim Birimi Oluşturulurken İzlenmesi Önerilen Uygulama Adımları ve İlgili Süreç Takvimi 18 Varılan Sonuçlar 21 Yazarlar, Katkıda Bulunanlar ve Gözden Geçirenler 22 Ek – İç Denetim Birimi İçin Tüzük Örneği 23 Ek - Kamu Sektörü İçin İç Denetim Kapasite Modeli 27 2 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Yöneticiler İçin Özet Bu rehber, iç denetim departmanının yönetişim, risk yönetimi ve iç kontrol süreçlerini geliştirdiğinden ve bu sayede kamu kurumuna değer kattığından emin olmak için yeni atanmış bir iç denetim yöneticisinin (İDY) dikkate alması gereken kilit noktalar ve adımlarla ilgilidir. Bu rehberin bir diğer hedefi, kamu sektöründe faaliyet gösteren bir iç denetim biriminin İç Denetim Kapasite Modeli (IA-CM) 1 ve 2 düzeylerinden 3 düzeyine hızla çıkmasına olanak sağlamaktır. Bu amaç ve hedeflerin ışığında, dokümanda dile getirilen unsurlar yerine getirilirken üç önemli bileşenden müteşekkil temel bir iş modeli izlenmektedir: Organizasyon, Yönetme ve Kontrol. Organizasyon bileşeni aşağıda sayılan hedef ve görevlerle ilgilidir: İç denetimin ilgili ülke içerisindeki yasal zemininin araştırılması. Bir iç denetim tüzüğünün biçimlendirilmesi. İç denetim biriminin kurum içerisinde uygun mertebeye yerleştirilmesi. Bir stratejik plan oluşturulması. İzlenecek uygun denetim standartlarının seçilmesi. Denetin evreni/ufkunun tanımlanması. Personel alınması, gereken yeterliliklerin belirlenmesi, iş tanımlarının yaratılması ve uygun maaş/ücret seviyelerinin tayin edilmesi. İş modelinin ikinci bileşeni olan Yönetme, denetim ve danışma görevlerinin planlanması ve yerine getirilmesi, gözetim, çalışma kağıtlarının dokümantasyonu ve elde edilen sonuçların rapor edilmesiyle ilgili unsurları kapsar. Üçüncü bileşen olan Kontrol, bir kalite güvence ve geliştirme programı (QAIP) oluşturmasında İDY’ye yol gösterir. Son olarak, bu rehberin son bölümünde, bir kamu kurumunda yeni bir iç denetim birimi oluşturulurken izlenmesi gereken tavsiye niteliğindeki tatbiki adımlar ve konuyla ilgili bir takvim verilmektedir. Bu tavsiyeler, kamu sektörü denetimi alanında ilk elden tecrübe sahibi uzmanlardan alınan bilgilerle oluşturulmuştur. Önerilen program üç bölümden oluşur: ilk altı ay, altıncı aydan hemen hemen birinci yılın sonuna kadar ve daha sonra, kesintisiz/devamlı. 3 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Giriş Kamu sektöründe faaliyet gösteren herhangi bir tip veya seviye şube veya kuruluşta yakın zaman önce kurulmuş bir iç denetim birimine ya da kötü işleyen bir iç denetim birimine İDY1 unvanıyla atandınız. Bu durumda, bazen göz korkutucu bir şekle bürünen bir görev olarak, size bağlı departmanı tüm kamusal düzeylerde şeffaflık, hesap verebilirlik ve verimlilik açısından artan sayıda zorluk ve talebe karşı cevap vermeye hazırlamanız gerekir. (Rehberin yazarları, atanan İDY’nin sadece iç denetim standartlarını anlayan bir personel olmadığı, aynı zamanda bir kamu kurum veya kuruluşuna bağlı bir iç denetim biriminde etkili bir önderlik sergilemek için gereken becerilere sahip olduğu, konusunun uzmanı olduğu ve genel yönetim perspektifini taşıdığı varsayımıyla hareket etmektedirler.) Bu rehber, iç denetim departmanını kurumun yönetişim, risk yönetimi ve iç kontrol süreçlerini geliştirerek kuruma değer katmasını sağlayacak bir çerçevede hazır etmeye uğraşan bir İDY veya bir bölüm müdürünün bu süreçte analiz etmesi ve uygulamaya koyması gereken kilit noktalar ve adımlarla ilgilidir. Öte yandan, bu rehberde, kamu sektörü müdürleri ve İDY’lerin kendilerine bağlı iç denetim birimlerini asli öneme sahip araç ve kaynaklarla donatırken referans alabilecekleri, tanınmış yazar ve kurumlara/örgütlere ait araştırmalara ve yayınlara atıf yapılmaktadır. Bu rehberde ele alınan unsurlar, Uluslararası İç Denetçiler Enstitüsü Araştırma Vakfı’nca (IIARF) geliştirilen Kamu Sektörü için İç Denetim Kapasite Modeli’ne (IA-CM) bağlıdırlar. Bu dokümanda iç denetim departmanı için yeterli ve uygun bir altyapı tesisiyle ve departmana has işlevlerin kuruma entegrasyonuyla ilgili kilit faktörler de ele alındığı için, bu doküman aynı zamanda, iç denetim birimini IA-CM düzey 3’e taşımaları konusunda İDY’ler ve bölüm müdürlerine yardımcı olmak üzere hazırlanmış bir rehberi teşkil etmektedir.2 Günümüz mevcut literatürünün gözden geçirilmesine ve kilit adım ve süreçleri uygulamaya koymak için gereken eylemlerin bu literatür bilgileri çerçevesinde ilişkilendirilmesine ek olarak, farklı birkaç ülkede bulunan farklı tip ve seviye kamu sektörü kurum ve kuruluşlarına bağlı yeni iç denetim birimlerinin oluşturulmasında ve/veya mevcut birimlerin dönüştürülmesinde ilk elden tecrübe sahibi insanlarla yapılan görüşmelerden veya yazışmalardan toplanan, tatbiki deneyimle ilgili geniş çaplı bilgi ve veriler de sunulmaktadır. Bu süreçte görüşlerine başvurulan insanlar, belli başlı müşterek eylem ve faaliyetler konusunda genelde uzlaştılar. Bu eylem ve faaliyetlerin önemi veya uygulamaya konma sıralaması bakımından bazı görüş ayrılıkları da elbette vardı. Mevcut kaynaklarla (hem personel hem de finansman olarak) ilgili farklılıklardan ötürü de görüş ayrılıkları oluştu. Bu süreçte danışılan kamu sektörü iç denetim birimleri büyüklükleri açısından 1 ilâ 65 çalışan aralığında değişmektedir. Bu rehberin oluşturulmasında ilave katkıda bulunan diğer unsurlar, global denetim tecrübesine sahip uzmanlardan müteşekkil bir gruptan alınan PowerPoint sunumu kopyaları, görüşler, düzeltmeler, izahat ve açıklamalardır. 1 Bir İDY için tercih edilen kalifikasyonları öğrenmek için, “İç Denetim Yöneticileri: Tayin, Performans Değerlendirmesi ve Sözleşme Fesih İşlemleri” başlıklı Uluslararası İç Denetçiler Enstitüsü Uygulama Rehberi’ne bakınız. İDY kalifikasyonları hakkında daha fazla bilgi almak için, http://www.globaliia.org adresinde yer alan IIA internet sitesinde Yetkinlik Çerçevesi için arama yapınız. 2 Bakınız: Ek: Kamu Sektörü için İç Denetim Kapasite Modeli, “İç Denetim Kapasite Modeli Matrisi”. 4 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulmasında Karşılaşılan Zorluklar Bu rehberin hazırlık sürecinde danışılan uzmanlar, bir hukuk danışmanı, bir yönetici asistanı ve ilgili kurumun büyüklüğü için uygunsa, bir iç denetim yönetici yardımcısı gibi personel kaynaklarına yeterli düzeyde erişim sağlamanın ilk aşamada asli öneme sahip olduğu konusunda fikir birliğine varmışlardır. Bu gibi çalışanlar, ivedilikle ilgilenilmesi gereken en önemli örgütsel ve yönetimsel meselelerle ilgilenmesinde İDY’ye yardımcı olur ve İDY’nin yeni iç denetim birimini hazırlayıp tasarlamasına ve nihai olarak oluşturmasına olanak sağlarlar. Kamu sektöründe karşılaşılan en büyük güçlüklerden biri, iç denetim birimine ayrılan bütçenin yeterli düzeyde olup olmadığıdır. Sınırlı kaynaklar için sürdürülen yoğun rekabet, siyasi baskılar ve vergi mükelleflerinden gelen, devlet kurumlarının etkinlik ve verimliliğinin arttırılması, maliyetlerin kısılması ve vergilerin düşürülmesi yönündeki talepler olarak sıralanabilecek faktörlerin tümü aslında parasal zorlukları temsil ederler. İç denetim biriminin bağımsızlık ve nesnelliğini tehdit eder nitelikte siyasi baskılar da açığa çıkabilir. İDY’ler, bu gibi güçlükleri hafifletmek için, aşağıda sayılan faaliyetlerin üzerinde durmalıdırlar: Bir iç denetim biriminden ne beklediklerini öğrenmek için üst düzey yöneticiler, paydaşlar ve tayin otoriteleriyle görüşmelerde bulunmak. İç denetimin rolü konusunda üst düzey yöneticileri ve tayin otoritelerini bilgilendirmek. İç denetim biriminin kurum içerisinde yeteri kadar yüksek mertebe bir memura, denetim komitesine ya da başka bir yönetim organına rapor vermesini sağlamak. İç denetim programını kurum içerisinde pazarlamak. Kurumun tüm personeli için geçerli olmak üzere, çalışanlardan bilgi ve geribildirim talep etmek. Bölüm müdürü için sık ve düzenli aralıklarda hazırlanan yazılı raporlar ve yönetim kurulu ve/veya denetim komitesi için bir özet sunmak. Vatandaşların görüşlerini talep etmek ve toplamak. Değişime her zaman uyum sağlamaya hazır ve esnek bir yapıyı korumak. 5 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Yeni İç Denetim Birimleri İçin Uygulanan İç Denetim Kapasite Modeli IA-CM, özel sektörde veya kamu sektöründe faaliyet gösteren iç denetim birimlerinin farklı düzeylerini tanımlar.3 Hangi düzeyde bulunulduğu, iç denetim biriminin ve onun bağlı bulunduğu kurumun olgunluğu ve kompleksliğiyle ilgili bir değerlendirme çerçevesinde belirlenir. IA-CM, iç denetim biriminin sahip olduğu kapasitelere göre ayrılan beş farklı iç denetim birimi düzeyini tanımlar. Alt düzeylerde (1 ve 2), iç denetim birimi kapasitelerinin karakterize edici özellikleri, altyapının bulunmaması, yerleşik mesleki uygulamalara bağlılığın yetersiz düzeyde olması veya mesleki standartlara ancak kısmi düzeyde uyulması, görevlerin yerine getirilmesinde kişisel becerilere bel bağlanması ve denetimin diğer faktörler dışında yönetimin öncelikleri temelinde planlanmasıdır. Üst düzeylerde (3, 4 ve 5), iç denetim birimi kapasitelerinin karakterize edici özellikleri, mesleki standartlara harfiyen uyulması, nesnellik ve bağımsızlığa odaklanılması, süreç, politika ve prosedürlerin belgelendirilmesi, kantitatif risk ölçümü ve yönetiminin icra edilmesi, kurumun yönetişim ve risk yönetimine katkıda bulunulması ve süreçlerin kesintisiz olarak geliştirilip yenilendiği, sürekli bir şeyler öğrenmeye devam eden bir teşkilat yapısı oluşturulmuş olmasıdır. Düzey 3 (entegrasyon) denetim birimleri spesifik olarak aşağıda verilen kapasiteler çerçevesinde karakterize edilirler: 3 – ENTEGRASYON İç denetim (IA) politika, süreç ve prosedürleri tanımlı, belgeli ve kurumun altyapısına entegre haldedir. IA yönetimi ve mesleki uygulamaları iyi yapılandırılmıştır ve IA birimi genelinde daima eşit ölçüde uygulanmaktadır. IA, kurumun faaliyet gösterdiği iş sektörü ve kurumun yüzleştiği risklerle aynı eksene gelmeye başlamaktadır. IA, sadece geleneksel denetimler gerçekleştiren bir yapıdan, bir takım oyuncusu olarak kuruma entegre olan bir yapıya evrilmekte ve performans ve risk yönetimi konusunda tavsiyelerde bulunmaktadır. IA biriminin kapasitesine ve ekip kurma sürecine ve yanı sıra birimin bağımsızlığına ve nesnelliğine odaklanılmaktadır. IIA Uluslararası İç Denetim Mesleki Uygulama Standartları’na (Standartlar) genelde uyulmaktadır. Bu dokümanda yer alan tavsiyeler, bir kamu sektörü iç denetim birimine 1 ve 2 düzeylerinden 3 düzeyine geçmesinde yardımcı olacak adımları teşkil etmektedirler. 3 IA-CM düzeyleri için, “Kamu Sektörü için İç Denetim Kapasite Modeli” başlıklı Ek B’ye bakınız. 6 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Temel İş Modeli – Organizasyon, Yönetme ve Kontrol İç denetim ve genel olarak denetimle ilgili literatürün büyük bir kısmının özel sektörde edinilen tecrübelerden elde edildiği ve kamu sektöründe edinilen tecrübelere dayanan literatürün az bulunur olduğu yaygın bilinen bir gerçektir. Kamu sektörünün kendine has özellikleri vardır. Gelgelelim özel sektörde edinilmiş tecrübelere odaklanan literatürün İDY’ler ve kamu kurum ve kuruluşlarında çalışan müdürlerin yeni denetim birimleri kurmalarında yol gösterici nitelikte bir rehber olarak kullanılıp buna göre adapte edilmesi mantıklı bir yaklaşımdır. Bunun gerekçesi, mevcut rehberlerin birçoğunun kamusal veya özel teşebbüs olsun, kâr amaçlı olsun veya olmasın gerçekte tüm kurum ve kuruluş tiplerine uygulanabilecek evrensel yönetim, iç kontrol ve yönetişim ilkelerine dayanıyor olmalarıdır. İlgili meseleleri düzenlemek ve İDY’lerin kendilerine bağlı denetim departmanları hakkında düşünmelerine yardımcı olmak için, rehberler üç temel kısım temelinde oluşturulurlar: 1. Organizasyon – iç denetim biriminin stratejisi ve yetkilendirmesiyle ilgilidir ve tüm birimi yönetmek için gerekli olan kaynakların çeşitleri ve boyutlarını tanımlar. 2. Yönetme – günlük operasyonlarla ilgilidir. 3. Kontrol – kurumun ihtiyaç ve beklentilerinin birim tarafından karşılandığının güvence altına alınmasıyla ilgilidir. Geniş ölçüde bilinen ve tanınan bu iş modeli (Dubrin, 1999, Dessler, 2000 ve Griffen, 2002), ilk olarak, IIARF sponsorluğunda gerçekleştirilen bir çalışma için Douglas Prawitt tarafından adapte edilmiştir.4 İç Denetim Biriminin Organizasyonu Yasal Zeminin Araştırılması Geniş ölçekli, uluslararası bir bakış açısına göre, iç denetim yetkisi bir dizi yasal enstrüman aracılığıyla oluşturulabilir. Kamu sektörü birimlerinin birçoğu için geçerli olduğu gibi, iç denetim de, genelde, İDY tarafından tam ve eksiksiz araştırılıp anlaşılması gereken, yasalara dayanan bir yetkiye sahiptir. Katı bir hukuk kültürüne sahip bazı ülkelerde, belirli kanunlar ilan edilmeden önce -ister federal anayasa isterse de eyalet anayasası olsun- anayasalarında iç denetim işlevine resmi bir dille atıf yapılır. Kara Avrupası hukuk sistemi ve Anglo-Sakson hukuk sisteminin geçerli olduğu ülkelerde, kamu sektörüne bağlı iç denetim birimleri genelde spesifik kanunlar çerçevesinde yetkilendirilirler. Bazı ülkelerde konuyla ilgili ilave yönetmelikler bulunur. Mahalli idareler seviyesinde, genelde iç denetime özel kanunlar vardır. 4 Prawitt, Douglas, “Managing the Internal Audit Function,” Research Opportunities in Internal Auditing, The Institute of Internal Auditors Research Foundation, 2003. 7 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Tüzük Gereksinimi İkinci adım, denetim departmanının kurumun misyon, hedef ve amaçlarını yerine getirmesinde aktif bir rol oynama şansını arttırmak için bir organizasyonel çerçeve oluşturmaktır. Kurumun faaliyet gösterdiği ülkeden bağımsız olarak (yani, Kara Avrupası hukuk sistemine tâbi ya da Anglo-Sakson hukuk sistemine tâbi ülkeler), iç denetim biriminin amaç, yetki ve sorumluluğunun bir tüzük kapsamında resmen tanımlanması önemli bir unsurdur. IIA Uluslararası Mesleki Uygulamalar Çerçevesi (UMUÇ) “Standart 1000: Amaç, Yetki ve Sorumluluk” başlıklı standardında şunlar belirtilir: “İç denetim biriminin amaç, yetki ve sorumlulukları, İç Denetimin Tanımı, Etik Kuralları ve Standartlarla tutarlı ve uyumlu olarak, bir iç denetim tüzüğünde resmen tanımlanmalıdırlar. İç denetim yöneticisi iç denetim tüzüğünü periyodik olarak gözden geçirmeli ve onay için üst düzey yönetim ve yönetim kuruluna sunmalıdır.” İç Denetim Birimi ve İDY, Kurum İçerisinde Kendisine Uygun bir Statüye Sahip Olmalı ve Kurum İçi ve Siyasal Bağımsızlığını Korumalıdır. İç denetim birim ve faaliyetlerinin kapsayıcılığı ve kompleksliği göz önünde tutulduğunda, departman kurum içerisinde gereken statüye sahip olmalıdır, aksi takdirde diğer departman veya birimler, iç denetim birimiyle işbirliği yapmayabilirler. İç denetim birimi için gereken uygun statünün sağlanması öncelikli bir konudur. Bu bağlamda, iç denetim birimi, doğrudan doğruya tayin otoritesine, kurum başkanına ya da denetim komitesi aracılığıyla yönetim kuruluna bağlı olmalıdır. Kamu kurum ve kuruluşlarında denetim komitelerinin genelde bulunmadıkları ya da kamu kurum ve kuruluşlarının genelde bir yönetim kurulunca idare edilmedikleri ülkelerde, iç denetim biriminin en azından kurum içerisindeki en üst düzey yönetici memura rapor vermesi zorunludur. İç denetim birimi, kurum operasyonlarının her türlüsünü ve her kısmını kapsamalı ve bu gereklilik doğrultusunda, kurumun tüm personel, belge, kayıt ve varlıklarına sınırsız erişim hakkına sahip olmalıdır. İç denetim departmanının kurum içerisinde uygun bir mertebede bulunmasının gerekmesinin yanı sıra, kurum içerisinde bağımsızlığa da sahip olmalıdır. Bunun anlamı, iç denetim birimi ile denetlediği departman ve/veya birimler arasında dolaysız herhangi bir çeşit ilişki bulunmamasının gerekmesidir. Başta İDY’nin yönetime veya bir yasama komitesi, belediye meclisi, vb. bir yapıya rapor verdiği siyasal idari kurumlar olmak üzere, İDY’nin görev süresi sınırlandırmamalıdır. Aksi takdirde, İDY görev süresinin sonunda kolayca azledilebilir. İlgili pozisyona atanan İDY’nin ancak ve sadece denetim veya yasama komitesinde nitelikte çoğunluk sağlanması halinde görevinden alınabileceği bir yapı oluşturulması tavsiye edilmektedir. 8 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İç denetim tüzüğü, iç denetim birimine, resmi nitelikli bir iş yapma yetkisi verir. Tüzükte, iç denetim birim ve işleviyle ilgili olarak aşağıdaki maddeler açıklığa kavuşturulmalıdır:5 İç denetim departmanının kurum içerisindeki pozisyonunu netleştirmeli ve iç denetim faaliyetlerinin kapsamı ve tabiatını açıklamalıdır. İç denetçilere diğer şeylerin yanı sıra, denetim ve danışmanlık projelerini yerine getirmeleri için gereken tüm kayıtlara, personele ve varlıklara erişim hakkı tanımalıdır. İDY’ye, yönetimin uygunsuz müdahalesine tâbi olmaksızın, kaynakları tahsis etme, plan ve programları oluşturma, denetim çalışmasının kapsamını tayin etme ve denetim hedeflerini belirleme yetkisi vermelidir. Departmanın raporlama yapısını açıkça ortaya koymalı ve İDY’nin denetim komitesine ya da kurumda görev alan en üst düzey memura sınırsız erişime sahip olmasını sağlamalıdır. İç denetim biriminin amacının risk yönetimi, kontrol ve yönetişim süreçlerinin etkinlik ve verimliliğini IIA İç Denetimin Tanımı, Standartlar ve Etik Kurallarıyla tutarlı bir çerçevede değerlendirerek kuruma hizmet etmek olduğunu açıkça söylemelidir. En etkili ve verimli sonuçlara ulaşmak için iç denetim birimi ve faaliyetlerinin diğerleriyle eşgüdümlenmesi de bu gerekliliğin kapsamına girer. Uygun bir risk-esaslı yöntem kullanılarak geliştirilmiş bir yıllık denetim planı oluşturmak ve bunu gözden geçirip onaylaması için yönetim kuruluna sunmak gibi, İDY ve ona bağlı iç denetim personeline ait spesifik sorumlulukları göstermelidir. Bir Stratejik Plan Oluşturulması Müdür ve yöneticilerin işletmenin sektör içerisinde bulunduğu pozisyonla ilgili kesin ve net, yapılandırılmış bir fikre sahip olmaları her türlü teşebbüs için son derece önemli bir unsurdur. Kamu kurum ve kuruluşlarında denetim departmanlarını idare eden İDY’ler için de bu durum geçerlidir. İç denetim birimi için uygun ve yeterli bir stratejik plan oluşturmalarında İDY’lere yardımı dokunabilecek birçok çerçeve bulunmaktadır. Bu zorlu görevde İDY’lere yardımcı olabilecek çeşitli araçlar piyasada mevcuttur.6 Bu araçlar, kamu kurum ve kuruluşlarının görev ve faaliyetlerini şekillendiren misyon, hedef, amaç ve sonuçlar hakkında yapısal olarak düşünmeye yardımcı olur ve dolayısıyla, iç denetim birimi için kurumun stratejik planıyla ahenkli bir stratejik plan geliştirme konusunda İDY’ye yardım ederler. İç denetim biriminin stratejik planı, ilk halinde, asgari olarak, ilerlemeyi belirlemek ve başarıya ulaşmak için gereken uygun önlemlerle birlikte, vizyon, misyon, temel değerler, hedefler ve amaçları içermelidir. İzlenecek Uygun Denetim Standartlarının Belirlenmesi İDY, iç denetim faaliyetlerinde yol göstermek için doğru denetim standartlarını seçmelidir. 5 Tarr, Richard, “Built to Last,” Internal Auditor, Aralık 2002. Porter, Michael, “How Competitive Forces Shape Strategy,” Harvard Business Review, 1979. _____________, “Strategy and Society,” Harvard Business Review, 2006. _____________, “The Five Competitive Forces That Shape Strategy,” Harvard Business School Publishing Corporation, 2008. 6 9 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Standartlar, kalite güvence sürecinin ilk katmanını oluşturmalarından ötürü önemlidirler. Kamu sektöründe geçerli olan iç denetim standartları, genellikle kanun ve/veya yönetmelikler çerçevesinde ortaya konurlar; bu yüzden bu standartlara uymak zorunludur. Dünya genelindeki kültürel, sosyal, ekonomik, siyasal, yasal ve hatta dinsel farklılıklar göz önünde tutulduğunda, uygun denetim standartlarının nasıl seçileceği konusunda özgün bir rehber oluşturarak, her ülkeye ya da belirli bir ülkede bulunan her eyalet veya mahalli idareye özgü farklı durum ve koşulları karşılayacak bir çerçeve kurmak güç bir iştir. İç denetim biriminin görevlerini yerine getirirken yasal ve/veya evrensel mesleki kural ve kılavuzlara uygun hareket ettiğinin denetlenen merciler ve/veya bir bütün olarak kurum tarafından bilinip kabul edilmesi, iç denetim biriminin sunduğu raporların ve yaptığı çıkarımların güvenilirliğini ve inandırıcılığını arttırır. Dolayısıyla, iç denetim biriminin faaliyet gösterdiği mahalli ortam için uygun bir çerçeve araştırıp bulmak, İDY’lerin yerine getirmesi gereken kritik görevlerden birini teşkil etmektedir. Bazılarınca Kırmızı Kitap olarak bilinen IIA UMUÇ, uyulması zorunlu standartlarla çelişmediği ve uyulması zorunlu standartları tamamlayıcı bir nitelikte olduğu sürece, en iyi uygulamaları gösteren bir rehber olarak dikkate alınmalıdır. Herhangi bir ulusal iç denetim çerçevesi bulunmayan ülkelerde ve uyulması zorunlu iç denetim standartları şart koşmayan ülkelerde, UMUÇ standartları, kamu sektöründe çalışan iç denetçiler tarafından benimsenip tercih edilmesi gereken standartlar olarak görülmelidirler. Denetim Evreni/Ufkunun Tanımlanması Kamu sektöründe faaliyet gösteren iç denetim birimleriyle ilgili denetim evreni, bazen, Kara Avrupası hukuk sisteminin geçerli olduğu ülkelerde belirli kanunlar tahtında tanımlanabilir. Bu gibi durumlarda, denetim evreninin kanun ve yönetmeliklerce çizilmiş olmasından ötürü, denetim hedefleri arasında öncelik sıralaması yapmakla ilgili bir sorunla karşılaşılır. Dolayısıyla, denetim hedefleri arası öncelik sıralamasını yapmak için en uygun aşama, aşağıda “Denetim Birimini Yönetmek” başlıklı bölümde detaylandırılan planlama aşamasıdır. Yukarıda bahsedilen planlama aşamasında, denetim ufku meselesi de gereğine uygun ele alınmalıdır. Personel Alımı İç denetim biriminde görev alan çalışanlar, farklı alanlardan gelmiş olmalı ve farklı deneyimlere sahip olmalıdırlar. Richard Anderson (2001) tarafından da ortaya konduğu gibi,7 personel alım sürecine başlanmadan önce, iç denetim biriminin büyüklüğü kurum tarafından tanımlamış olmalıdır. Küçük departmanlarda ister istemez daha tecrübeli denetçilerin yer alması gerekirken, daha büyük departmanlarda, yeni denetçiler, kıdemli denetçiler ve farklı akademik ve mesleki özgeçmişlere sahip insanlardan oluşan bir ekip oluşturulabilir. 7 Anderson, Richard J., “Internal Auit Career Models: What Is Your Value Driver?” CFO Direct Network, PricewaterhouseCoopers, 2001. 10 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İç denetim birimince sunulan geniş hizmet aralığı göz önünde tutularak, IIA “Standart 1210: Yeterlilik” başlıklı standardında aşağıdaki gerekliliklerden bahsedilmektedir: “İç denetçiler, bireysel sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmalıdırlar. İç denetim birimi de, toplu olarak, kendi sorumluluklarını yerine getirmek için gereken bilgi, beceri ve diğer vasıflara sahip olmalı veya bunları edinmelidir.” IIA, İDY’lerin iç denetim faaliyetlerinde gerekli olan becerileri belirlemeleri için bir başlangıç noktası ya da referans olarak, İç Denetim Yetkinlik Çerçevesi (CFIA) olarak bilinen bir belge seti yayımlamıştır. Gereken yetkinliklere verilebilecek örnekler arasında şunlar bulunur: A. İç denetim standartları, prosedürleri ve tekniklerini uygulama konusunda yeterlilik. Burada geçen yeterlilik, karşılaşılması muhtemel durumlarda eldeki birikimi kullanabilmek ve bu gibi durumları kapsamlı teknik araştırma veya yardıma ihtiyaç duymaksızın halledebilmek anlamına gelir. B. Muhasebe ilke ve teknikleri konusunda yeterlilik. Geniş ölçüde finansal kayıt ve raporlar üzerinde çalışacak olan denetçiler, bu alanlarda yeterlilik sahibi olmalıdırlar. C. Denetçilerin akla uygun iş uygulama ve prosedürlerinden uzaklaşılmasının ne anlama geldiğini ve ciddiyetini anlamalarını ve değerlendirmelerini mümkün kılan yönetim ilkelerinin kavranması. Yönetim ilkelerini kavramak, karşılaşılması muhtemel durumlara geniş çaplı bir bilgi ve birikimle cevap verebilmeyi, önemli sapma ve uzaklaşmaların farkına varabilmeyi ve makul çözümlere ulaşmak için gereken araştırma ve incelemeleri gerçekleştirebilmeyi sağlar. D. Muhasebe, ekonomi, ticaret hukuku, vergi, finans, kantitatif yöntemler ve BT gibi alanlara ilişkin asli unsurların anlaşılması. Yukarıda sayılan ve benzeri alanlara ilişkin asli unsurları anlamak, mevcut problemlerin veya potansiyel problemlerin farkına varabilmeyi ve ek araştırma ve incelemeler yapılmasının gerektiği ya da uzman yardımına başvurulmasının gerektiği durumları ayırt edebilmeyi sağlar. E. Öte yandan, iç denetçiler, insanlarla iletişime geçme ve hem sözlü hem de yazılı olarak etkili bir iletişim kurma konularında becerikli olmalıdırlar. F. Özellikle kıymetli olan becerilerden bir diğeri, bilgisayar kullanma yeterliliğidir. Akreditasyon, Sertifikasyon Bir denetçinin teknik yeterliliğinin önemli göstergelerinden biri akreditasyon da olabilir. İç denetim alanı için faydalı teknik yeterlilikleri gösteren belgeler olarak kabul edilen sertifikasyonlar arasında şunlar bulunmaktadır: Sertifikalı İç Denetçi® (CIA®); Yeminli Mali Müşavir (CPA) ya da uluslararası muadili (örneğin, Yeminli Muhasebeci [Chartered Accountant]); Sertifikalı Yönetim Muhasebecisi (CMA), Risk Yönetimi Güvencesi SertifikasıTM (CRMATM), Sertifikalı Bilgi Sistemleri Denetçisi (CISA) ve özellikle kamu sektörü için, Sertifikalı Kamu Denetçisi® (CGAP®) ve Sertifikalı Kamu Sektörü Finans Yöneticisi (CGFM).8 8 CIA, CGAP ve CRMA sertifikaları hakkında daha fazla bilgi almak için, http://globaliia.org IIA global internet sitesine bakabilirsiniz. CPA için Amerika Sertifikalı Mali Müşavirler Enstitüsü, CCFM için Kamu Muhasebecileri Birliği, CMA için Faal Muhasebeciler ve Finans Çalışanları Birliği ve CISA için ISACA internet sitelerine bakınız. 11 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İş Tanımlarının Oluşturulması İşe alım sürecindeki önemli adımlardan bir diğeri, iç denetim departmanında mevcut olan her pozisyon için ayrıntılı iş tanımları oluşturmak, pozisyonlar için gereken bilgi, beceri ve kabiliyetleri tayin etmek ve ilgili maaş/ücret kademelerini belirlemektir. İş tanımlarının yapılandırılmasında yardımcı olabilecek mükemmel bir kaynak için “Birkett et al. (1999)” eserine bakınız.9 İç Denetim Biriminin Yönetimi İç denetim biriminin yetki, sorumluluk ve hedefleri belirlenip şekillendirildikten sonra, birimin büyüklüğü tayin edilmiş ve buna uygun olarak tecrübeli ve becerikli personel alımı yapılmıştır; şimdi sıra, günlük operasyon ve faaliyetlerde. Risk-Esaslı Denetim Planları ve Münferit Denetim Görevlerinin Planlanması Denetim faaliyetlerinin planlanmasının ilk adım olduğu açıktır. Gelgelelim küçük çaplı kurum ve kuruluşların iç denetim departmanlarında çalışan İDY’ler ve müdürler için, iç denetim faaliyetlerinin tümünün planlanması ile münferit denetim görevlerinin planlanması arasında bir ayrım yapmak her zaman o kadar da kolay olmaz. Bir denetim departmanının temel hedefi misyon, hedef ve amaçlarına ulaşmasında kuruma yardımcı olmak ise, o halde, kurum veya kuruluşun hedeflerine ulaşmasını önleyebilecek risklerin farkına varılması ve bu risklerle uğraşılması son derece önemlidir. Tüm İç Denetim Faaliyetleri İçin Yıllık Risk-Esaslı Denetim Planlarının Oluşturulması IIA “Standart 2010: Planlama” başlıklı standardında şöyle yazar: “İç denetim yöneticisi, kurumun hedeflerine uygun olarak, iç denetim biriminin önceliklerini belirleyen risk-esaslı planlar yapmalıdır.” Bir risk-esaslı denetim planını tasarlarken başarıya ulaşma şansını arttırmak için, resmi bir yaklaşımın uygulanması önerilir. IIA internet sitesi, daha iyi yapılandırılmış bir yaklaşımda kullanılabilecek araçları bulmak için önemli bir kaynaktır. Örneğin, bu başlık üzerine şekillenmiş bir dizi eğitim kursu bulunmaktadır. CGAP ve yakın zaman önce tanıtımı yapılmış olan CRMA sertifikaları, denetim yönetim ekibini risk-esaslı denetim planları geliştirmek için uygun becerilere sahip kişilerle donatmak için mükemmel araçlardır. Treadway Komisyonu Sponsorluk Kuruluşları Komitesi’ne (COSO) ait Kurumsal Risk Yönetimi – Entegre Çerçeve’ni anlayıp kavramak da, kurumun iç kontrol risklerinin farkına varılması ve denetlenmesi gereken alanların tayin edilmesi için faydalıdır. İDY ve yönetimin kurumun tüm risklerine yönelik kapsamlı bir değerlendirme yapması, denetime tahsis edilen kaynakların öncelikli olarak hangi alanlarda kullanılmalarının gerektiğini belirlemelerinde yardımcı olur. Oluşturulan denetim planı, yeni risk ve öncelikler açığa çıktıkça tekrar tekrar değerlendirilir. 9 Birkett, William P., M.R. Barbara, B.S. Leithead, M. Lower, and P.J. Roebuck, Competency: Best Practices and Competent Practitioners, The Institute of Internal Auditors Research Foundation, 1999. 12 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Bununla birlikte, hangi alan ve unsurların denetlenmesi gerektiği hakkında karar verilirken risk dışındaki başka faktörler de ele alınacaktır: İş, operasyonlar, programlar, sistemler veya kontrollerle ilgili ortam ve atmosferin değişmesi Risk ortamında yaşanan değişimler. Görev sonucunda ulaşılacak olası fayda(lar). Mevcut ekibin becerilerinde yaşanan değişimler, zira edinilen yeni beceriler, iç denetim biriminin farklı tip görevleri yerine getirmesini sağlayabilirler. Dış denetçiler, üst düzey yönetim veya diğer yönetim organlarından gelen talepler. Münferit Görev Planlarının Oluşturulması Risk-esaslı denetim planına ek olarak, IIA “Standart 2200: Görev Planlama” başlıklı standardında, “İç denetçiler görev hedefleri, amacı, takvimi ve kaynak tahsisleri dahil her görev için birer plan hazırlayıp belgelendirmelidirler.” ifadesi geçer. İç denetçiler, görev planlama sürecinde, “Standart 2201: Planlama Mülahazaları” başlıklı standart temelinde aşağıda sayılan unsurları dikkate almalıdırlar: İncelenen birimin hedefleri ve bu birimin performansını düzenlemek için yürürlükte bulunan kontroller. Birimle ve birimin hedefleri, kaynakları ve operasyonlarıyla ilgili önemli riskler ve yanı sıra, risk potansiyellerinin yarattığı etkileri kabul edilebilir bir seviyede tutmak için kullanılan araçlar. İlgili bir kontrol çerçevesi veya modeline kıyasen, ilgili birimin risk yönetimi ve kontrol süreçlerinin yeterlilik ve verimliliği. Birimin risk yönetimi ve kontrol süreçlerini önemli ve anlamlı düzeyde geliştirme fırsatları. IIA “Uygulama Önerisi 2200-1: Görev Planlama” altında, münferit görevlerde planlamayı yeterli düzeyde yerine getirmek için kullanılabilecek yöntem ve yaklaşım özetlenmektedir. Görevlerin Gerçekleştirilmesi: Yeterli, Güvenilir, İlgili ve Faydalı Bilgilerin Toplanması Planlama sürecinin doğal sonucu görevlerin yerine getirilmesidir. İlgili IIA standartları; "2300: Görevin Yapılması", "2310: Bilgilerin Tespiti ve Tanımlanması", "2320: Analiz ve Değerlendirme", "2330: Bilgilerin Kaydedilmesi" ve "2340: Görevin Gözetimi" başlıklı standartlardır. 2300 ve 2310 sayılı standartlara göre: İç denetçiler, görev hedeflerine ulaşmak için gerekli olan bilgileri tespit etmeli, analiz etmeli, değerlendirmeli ve kayıt altına almalıdırlar. İç denetçiler, görev hedeflerine ulaşmak gereken uygun, güvenilir, ilgili ve faydalı bilgileri belirlemelidirler. Denetim alanında, yeterli (sufficient) kanıt, "kafi miktarda" (enough) kanıt anlamına gelir. Denetçi, başka bir denetçinin denetim görevini tekrarlaması halinde yine kendisiyle aynı çıkarımlara ulaşmasını sağlayacak düzeyde, yeterli miktarda bilgi ve veri toplamalıdır. 13 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Bilginin ilgililiği (relevance), bilginin güvenilirliğiyle bağlantılı bir unsurdur. Kanıtların güvenilirliğini tanımlamak için kullanılabilecek en uygun kelime yeterliliktir. Yeter (competent) delil, elde edilen delillerin, destekledikleri çıkarım(lar)ı gerçekten doğruladıkları anlamına gelir. Kanıtların yeterliliğini (sufficiency) ve ilgililiğini belirleyen temel faktörlerden biri, bilgi kaynağının güvenilirliğidir. Temel kural olarak, en nesnel delil kaynağı denetçinin kendisidir. Şahsen denetçinin kendisi tarafından toplanan asıl kanıtlar genelde en güvenilir kanıtları teşkil ederler. Denetlenenin sunduğu kanıtlar, ilave kanıt ve bilgilerle doğrulanmalıdırlar. Toplanan kanıtların yeterliliği ve güvenilirliği ne kadar kuvvetliyse, görev neticesinde bir sonuca varmak için kullanılan bilgilerin inandırıcılığı da o kadar güçlüdür. İlgili kanıt, elde edilen kanıtın denetlenen unsurla ilgili olduğu ve görev planlama aşamasında ortaya atılan sorulara cevap verdiği anlamına gelir. Faydalı kanıt, kurumun hedeflerine ulaşmasını sağlar. Faydalı kanıt toplamakla ilgili bu süreç, iç denetim biriminin oynadığı en önemli rollerden birini teşkil eder. 2320 sayılı standartta, "İç denetçiler, vardıkları sonuçları ve görevlerinden elde ettikleri bulguları uygun analizlere ve değerlendirmelere dayandırmalıdırlar." ifadesi yer almaktadır. Bu standart, varılan sonuçları destekleyecek kanıtların toplanmasıyla ilgilidir. Bilgi toplamak için kullanılan iki temel denetim testi tipi, analitik prosedürler ve detay testleridir.10 Gözetimin Önemi Görev sürecinin kritik aşamalarından bir diğeri denetimin gözetimidir, zira bu aşamanın kanıt toplama aşamasının üzerinde dolaysız bir etkisi vardır. Gözetim ne denli etkiliyse, kanıt toplama aşaması da o denli etkili seyreder ve sonuca varma süreci de o denli düzgün ve sorunsuz devam eder. Uygulama Önerisi 2340-1'e göre, görev gözetimi, "planlama aşamasından başlayarak görev tamamlanana kadar devam eden bir süreçtir." Bu süreçte, diğer faaliyetlerin yanı sıra aşağıda sıralanan faaliyetlerde bulunulur: Atanan denetçilerin, toplu olarak, görevi yerine getirmek için gereken bilgi, beceri ve diğer yeterliliklere sahip olduklarından emin olunması. Görev planlama sırasında uygun talimatların verilmesi ve görev programının onaylanması. Gerekçelendirilmiş ve yetkilendirilmiş olası değişiklikler olmadığı sürece onaylı görev programının tamamlanmış olduğundan emin olunması. Görev çalışma kağıtlarının görevde yapılan gözlemler, varılan sonuçlar ve verilen tavsiyeleri yeterli ölçüde desteklediklerinin belirlenmesi. 10 Bakınız: Sawyer, Internal Auditing: The Practice of Modern Internal Auditing, 5th Edition, The Institute of Internal Auditors, 2003. 14 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Görevle ilgili rapor ve bildirimlerin doğru, nesnel, açık, net ve yapıcı olduklarından ve yanı sıra zamanında yapıldıklarından emin olunması. Görev hedeflerine ulaşıldığından emin olunması. İç denetçilerin bilgi, beceri ve diğer yeterliliklerini geliştirme fırsatlarının sunulması. Yeterli ve uygun bir gözetim süreci, oluşturulan belge ve kayıtların iç denetim standartlarını karşılamalarını sağlar. Çalışma Kağıtlarının İşlevleri Yerine getirilen görevin kayıt altına alınması, denetim çalışmasının temel bir parçasını teşkil eder, zira görev raporunda belirtilen tüm sonuç ve çıkarımlar, çalışma kağıtlarıyla desteklenmelidirler. "Uygulama Önerisi 2330-1: Bilgilerin Kaydedilmesi" başlıklı öneri maddesinde çalışma kağıtlarının işlevleri ana hatlarıyla özetlenmekte olup çalışma kağıtlarıyla ilgili şu gerekliliklerin üzerinde durulmaktadır: Görevlerin planlanma, gerçekleştirilme ve incelenme süreçlerine yardımcı olmalı. Görevde elde edilen bulgu ve sonuçları destekleyen ana unsur olmalı. Görev hedeflerine ulaşıp ulaşılamadığını belgelemeli. Gerçekleştirilen çalışmanın doğru, tam ve eksiksiz olduğunu desteklemeli. İç denetim birinin kalite güvence ve geliştirme programı için zemin hazırlamalı. Üçüncü şahıs incelemelerini kolaylaştırmalı. Sonuçların Rapor Edilmesi Görev sürecinde yer alan bir diğer adım, sonuçların rapor edilmesi ve bildirilmesidir. Bu konuyla ilgili standartlar 2400 ilâ 2440 C2 aralığında bulunan standartlardır. Standartların sonuçların raporlanmasıyla ilgili olarak gerektirdikleri en kritik unsurlar aşağıda ana hatlarıyla aktarılmaktadır: Standart 2420: Raporların Kalitesi - "Raporlar doğru, nesnel, açık, net, yapıcı ve eksiksiz olmalı ve zamanında sunulmalıdırlar." Yorum: Doğru iletişim ve raporlar, hata ve saptırma içermeyen ve altta yatan maddi olgulara ve olaylara sadık kalan raporlardır. Nesnel iletişim ve raporlar adil ve tarafsızdır ve tüm ilgili mevcut belge ve bulgular karşısında dürüst ve dengeli bir değerlendirmenin ürünüdür. Açık iletişim ve raporlar kolay anlaşılır ve mantıklıdır ve gereksiz teknik terimler ve dil kullanmaktan kaçınır ve ilgili önemli bilgilerin tümünü verir. Net ve özlü iletişim ve raporlar, konunun özüne inen, gereksiz ve fazla ayrıntılardan kaçınan ve laf kalabalığı yapmayan raporlardır. Yapıcı iletişim ve raporlar, denetlenenlere ve kuruma faydalı olan ve onların gereken iyileştirme ve geliştirmeleri yapmalarına yardımcı olan raporlardır. 15 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Tam iletişim ve raporlar, hedef okuyucu kitlesi için önemli olan hiçbir bilgiyi atlamayan ve tavsiye ve sonuçları desteklemek için gereken tüm bilgi ve tespitleri içeren raporlardır. Zamanında sunulan iletişim ve raporlar ise, konunun önemine bağlı olarak, tam zamanında ve uygun zamanda verilen raporlardır ve yönetimin gereken uygun düzeltici eylem ve tedbirleri almasına olanak sağlarlar. Görev sonuçlarının ilgili taraflara dağıtımı ve yayımı, iletişim aşamasının önemli bir safhasıdır (Standart 2440). Kapanış Görüşmesi Her ne kadar nihai raporu verecek veya bildirimi yapacak taraf İDY olsa da, iç denetçi, nihai rapor sunulmadan önce, görev neticesinde varılan çıkarımları ve verilen tavsiyeleri denetlenen müşteri/birim/merciinin uygun yönetim kademeleriyle son kez tartışmak için uygun en iyi yolu seçmelidir. Bu konuda tercih edilen yöntem bir bitiş görüşmesi düzenlemektir. Bu toplantının amaçlarından biri, ortada bir yanlış anlama veya yanlış yorumlama olmadığından emin olmaktır. Bitiş görüşmesinde yapılan tartışmalar belgelenmeli ve nihai rapora yansıtılmalıdırlar. Görevlerin Takibi ve İzlenmesi Görev süreciyle ilgili son -ama diğerlerine göre önemsiz olmayan- safha izleme aşamasıdır. İlgili IIA standardı "2500: İlerlemenin Gözlenmesi (İzlenmesi)" başlıklı standarttır. Bu sürecin ayrıntıları, 2500-1 ve 2500.A1-1 sayılı Uygulama Önerilerinde ortaya konmaktadır. 2500.A1-1 sayılı Uygulama Önerisinde, takip, "Dış denetçiler ve başka kaynaklardan gelenler de dahil, rapor edilen gözlemler ve verilen tavsiyeler konusunda yönetimin attığı adımların etkinliği ve yeterliliğini ve bu adımların zamanında atılıp atılmadığını değerlendirmek için iç denetçilerin izlediği bir süreç. Bu süreçte, üst düzey yönetim ve/veya yönetim kurulunun rapor edilen gözlem ve tespitler ışığında düzeltici adımlar atmadıkları takdirde oluşacak riski üstlenip üstlenmedikleri de belirlenir." olarak tanımlanmaktadır. Öte yandan, 2500.A1-1 sayılı Uygulama Önerisine göre, takip sürecinin tabiatı, zamanlaması ve kapsamı, aşağıda sayılan faktörlere yönelik mülahazalar temelinde İDY tarafından belirlenmelidir: Rapor edilen gözlemlerin veya verilen tavsiyelerin önemi. Rapor edilen durumu düzeltmek için gereken çaba ve maliyetin boyutları. Düzeltici adımların başarısız olması durumunda oluşabilecek etki. Düzeltici adımların kompleksliği. İlgili süre. 16 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İç Denetim Biriminin Kontrol Edilmesi Bir Kalite Güvence ve Geliştirme Programının (QAIP) Oluşturulması Bir Kalite Güvence ve Geliştirme Programının Önemi Griffen (2002) tarafından da belirtildiği gibi,11 "Kontrol, hedeflenen performans unsurlarının kabul edilebilir sınırlar içerisinde kalmasını sağlamak üzere, kurumların faaliyetlerinin düzenlenmesidir." İlgili Standartlar arasında “1300: Kalite Güvence ve Geliştirme Programı”, “1310: Kalite Güvence ve Geliştirme Programının Gereklilikleri”, “1311: İç Değerlendirmeler”, “1312: Dış Değerlendirmeler”, “1320: Kalite Güvence ve Geliştirme Programıyla İlgili Raporlamalar”, “1321: 'Uluslararası İç Denetim Mesleki Uygulama Standartlarına Uygun Yapılmıştır' İbaresinin Kullanımı” ve “1322: Aykırılıkların Açıklanması” başlıklı standartlar bulunur. Standartlar’a göre, "İDY, iç denetim birimiyle ilgili tüm unsurları kapsayan bir kalite güvence ve geliştirme programı geliştirmeli ve bu programı sürdürmelidir." Bu tip bir program, periyodik harici ve dahili kalite değerlendirmelerini ve sürekli devam eden dahili izleme sürecini kapsar. Program, kurumun operasyonlarına katkıda bulunması ve geliştirmesinde iç denetim birimine yardımcı olacak ve birimin Standartlar’a uygun hareket ettiği konusunda güvence sağlayacak şekilde tasarlanır. 1310-1 sayılı Uygulama Önerisi’ne göre, kalite programı değerlendirmelerinde aşağıdaki unsurlar dikkate alınmalıdır: Önemli aykırılık vakalarını tersine çevirmek için uygun düzeltici adımların zamanında atılması da dahil, İç Denetimin Tanımı, Etik Kuralları ve Standartlar'a uyum. İç denetim biriminin tüzük, hedefler, amaçlar, politikalar ve prosedürlerinin yeterliliği. Kurumun yönetişim, risk yönetimi ve kontrol süreçlerine katkı. Cari kanunlar, mevzuat ve diğer devlet veya sektör standartlarına uyum. Sürekli geliştirme faaliyetlerinin etkililiği ve en iyi uygulamaların benimsenip benimsenmediği. İç denetim biriminin kurumun operasyonlarını ne denli geliştirip katkıda bulunduğu.12 11 Griffen, Ricky W., Management, 7th Edition, Houghton Mifflin Publishing, 2002. Kalite güvence ve geliştirme programları hakkında daha fazla bilgi almak için, IIA'in http://www.theiia.org adresli internet sitesinde yer alan "Kalite" bölümüne bakınız. 12 17 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Kamu Kurum veya Kuruluşunda İç Denetim Birimi Oluşturulurken İzlenmesi Önerilen Uygulama Adımları ve İlgili Süreç Takvimi Bu bölümde verilen bilgilerin tek kaynağı, kamu kurum veya kuruluşlarında bir iç denetim birimi kurma konusunda ilk elden tecrübeye sahip kişilerle yapılan yüz yüze görüşmelerdir. İlk Altı Ay – Atılması Gereken Adımlar 1. 2. 3. Tüm görüşmeciler, katılımcılar ve denetçiler, İDY’nin mümkün olan en kısa sürede bir yönetici asistanını ve eğer kurumun büyüklüğü bunu gerektiriyorsa, bir iç denetim yönetici yardımcısını işe alması gerektiğini genellikle kabul ettiler. Bu aşamada, İDY’nin kendisine kamu kurumunda hizmet vermeye uygun herhangi bir hukuk müşaviriyle bir ilişki kurması ve bu ilişkiyi geliştirmesi de önemli bir husustur. İlk alınan personelin kullanımına sunmak için bazı temel ekipman, referans materyaller ve yazılımlar satın alınmalıdır. Aşağıda belirtilen faaliyetleri -belki de bir yardımcının desteğiyle- fiilen gerçekleştirmesi gereken kişinin İDY olduğunu görüşme yapılan herkes onayladı. İDY’nin toplanan bilgilere güven duyması önemlidir; yanı sıra, bu faaliyetler, iletişim kanallarının açılmasını, ilişkiler kurulmasını ve iç denetim biriminin geleceğini hazırlaması ve planlaması için İDY’ye bir zemin hazırlanmasını sağlayan faaliyetler olarak önem arz eden faaliyetlerdir. 4. 5. 6. 7. 8. İç denetim biriminin oluşturulması için yasal zeminin araştırılması ve İDY’nin atanması. Bu araştırmanın sadece mahalli kanunlar ve mevzuatla sınırlı kalmaması, ayrıca başka herhangi bir eyalet, şehir, bölge veya ülkeyle ilgili ya da uluslararası ölçekli cari kanunlar ve mevzuatı da kapsaması önemli bir husustur. Bu araştırmanın sonuçları; raporlama ilişkileri, İDY ve ekip için istenen kalifikasyonlar (örneğin, sertifikalar), işten çıkarma koşul ve şartları, bir denetim komitesi olsun ya da olmasın raporlama ilişkileri, denetim komitesinin kompozisyonu, vb. unsurları etkileyebilir/belirleyebilir. Kurumda izlenecek denetim standartlarının belirlenmesi. Örneğin, kamu denetimleri, Birleşik Devletler’de ABD Sayıştayı (GAO) Kamu Denetim Standartlarına (“Sarı Kitap”), Birleşik Krallık’ta Maliye Bakanlığı Kamuda İç Denetim Standartlarına ve Kanada Sayıştayı’nda Sayıştay’ın Kapsamlı Denetim Elkitabına göre gerçekleştirilmektedirler. Öte yandan, kamu sektöründe faaliyet gösteren denetim gruplarından birçoğu Uluslararası Yüksek Denetim Kurumları Örgütü’ne (INTOSAI) üye olmalarından dolayı INTOSAI’nın yayımladığı denetim standartlarına uygun hareket eder. Avrupa Birliği’nde, birçok ülke, Kamu İç Mali Kontrolü’nde (PIFC) ortaya konan ilkeleri izlemektedir. Denetim faaliyetlerinin dış denetçiyle eşgüdümlendiği odak noktası olarak merkezi iç denetim biriminde bir merkezi uyumlaştırma birimi (CHU) bulunan PIFC tarafından önerilen organizasyonel yapıyı benimseme fikrinin dikkate alınması. Ayrıca, CHU, iç denetim eğitimini merkezi olmayan iç denetim birimleriyle ve iç kontrol eğitimini kurum içerisindeki bölüm müdürleriyle eşgüdümlemekten sorumludur. Denetim evreninin tanımlanması. İç denetimler, Standartlar, farklı denetim tipleri, iç kontroller, vb. unsurların rol ve yöntemleri hakkında üst düzey yöneticiler ve tayin otoriteleriyle görüşülmesi. a. Kullanılmakta olan süreçlerin öğrenilmesi. b. İç kontrollerin değerlendirilmesi. 18 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması 9. 10. 11. 12. 13. 14. c. İlgili ortak konuların tespit edilmesi. Üst düzey yöneticiler ve tayin otoritelerinin iç denetimler, Standartlar, farklı denetim tipleri, iç kontroller, vb. unsurların rol ve yöntemleri hakkında eğitilmesi. Bir risk değerlendirmesinin gerçekleştirilmesi. a. Risklerin önceliklerine göre sıralanması ve iç denetim biriminin faydasını açığa çıkarmak için hızla ilgilenilebilecek olanların tespit edilmesi. b. Kurumun risk iştahının belirlenmesi. Denetim tüzüğünün yazılması; yönetim ve konsey ya da denetim komitesinden onay alınması. Misyon, vizyon, temel değerler ve stratejik planın geliştirilmesi Başlangıç risk değerlendirmesi temelinde, denetim planı taslağının hazırlanması; taslak halindeki plan sunulabilir de sunulmayabilir de. Denetim planı taslağı en azından dış denetçilerle koordine edilerek, aynı çalışmaların lüzumsuz yere iki defa yapılmasının azami ölçüde önüne geçilmelidir. Denetim kapasitesinin belirlenmesi ve bunun denetim çalışma planıyla ilişkilendirilmesi. Taslak halindeki denetim planını hayata geçirmek için gereken kaynakların (personel ve finansman) tahminen hesaplanması. Altıncı Aydan Birinci Yıl Sonuna Kadar Veya Daha Uzun Bir Süre – Atılması Gereken Adımlar İlk yıl, temelde, yönetimin sizi denediği bir “sınama periyodu”dur. Bu süre zarfında İDY hazırladığı programı “satar”. Tayin otoritesi ve/veya denetim komitesi, aşağıda listelenen maddelerden bazılarının ilk altı ay içerisinde hayata geçirilmesini sağlayacak daha hızlı bir uygulama programına ihtiyaç duyabilir. Onaylanan başlangıç bütçesinin açık ve kesin bir dille belirtilmesi ve alınması. Tahsis edilen kaynaklar temelinde (personel sayısı, iş sınıflandırmaları, idare, denetim operasyonları, dışarıdan danışmanlık hizmeti alma ihtiyaçları, eğitim ihtiyaçları, vb.) bir tahmini yıllık bütçenin önerilmesi. 3. Bir denetim elkitabı yazmaya başlanması; kurumun büyüklüğü buna uygunsa, elkitabı geliştirme sürecinde yardımcının ve/veya bir kıdemli denetçinin yardımının alınması. 4. Belirtilen beceri ve tecrübe düzeylerine uygun ücretlerle birlikte detaylı iş tanımlarının oluşturulması. 5. Üst düzey ekip lideri pozisyonları için deneyimli denetim personeline yönelik araştırmaya başlanması. 6. Bir eğitim programı geliştirilmesi ve yeni personeli eğitecek ve ilk denetimlere önderlik edecek kıdemli personelin işe alınması. 7. İç denetim işlevlerini yerine getirmek için gereken araç ve ekipmanın (özellikle laptoplar ve yazılım) satın alınması. 8. İç denetimlere başlanması ve denetim planının uygulamaya konması. 9. Bir QAIP oluşturulması. 10. Olası sorunlu alanları hızla belirlemelerinde iç denetçilere yardımcı olması için veri analizi aplikasyonları gibi bilgisayar-tabanlı denetim yazılımlarını satın almak üzere zemin hazırlanması. 11. Yapılan beceri değerlendirmelerine göre, resmi nitelikli bir personel eğitim ve geliştirme planı uygulanması. 12. Yeteri kadar üst düzey bir memur, gözetim organı veya denetim komitesinin gözetiminde bir bağımsız iç denetim birimi oluşturmak için ortaya konan çabaların sürdürülmesi. 1. 2. 19 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması 13. Günümüzde Avrupa Birliği genelinde benimsendiği gibi, bir CHU kurmaya dönük çabaların sürdürülmesi. 14. İç denetim birimi ile kamu sektörü yönetici ve çalışanları arasında kesintisiz ve devamlı erişim, girdi alışverişi ve iletişimin sağlanması. a. İç denetim programının kesintisiz ve devamlı olarak pazarlanmasının sağlanması. b. Kamu sektörü personelinden bilgi ve geribildirim talep edilmesi. c. Konsey ve/veya denetim komitesi için azami iki sayfalık bir özetle birlikte, bölüm müdürü için her ay bir yazılı rapor hazırlanması. d. Üst düzey müdürler için, her üç ayda bir iç denetim birimi hakkında bir bülten sunulması. e. Güncel denetim planını yayımlamak için bir internet sitesi oluşturulması ve nihai denetim raporlarının buraya aktarılması; vatandaşlardan gelen görüş ve geribildirimlerin alınması, vb. 15. Müdürler, konsey ve denetim komitesiyle kesintisiz devam eden ilişkilerin kurulması. 16. Dış denetçilerle ilişki kurulması. 17. Yapılan denetimlerle ilgili düzeltici adımların ve takip sürecinin durumunu izlemek için veritaban(lar)ı oluşturulması. Kesintisiz / Devamlı 1. 2. 3. 4. 5. 6. 7. 8. 9. Kurulan ilişkilerin korunması. Yönetim kurulu toplantılarında hazır bulunulması. Risk değerlendirmesinin devamlı güncellenmesi. Denetim planının devamlı güncellenmesi. İç denetim birimi ve İDY üzerindeki siyasi baskı ve nüfuzu asgari düzeye indirmeye çalışılması. Esnek olunması ve değişime uyum sağlanması. Bir dahili QAIP ve harici kalite güvence incelemesinin (QAR) uygulamaya konması. İç denetim birimini sürekli geliştirme yaklaşımının korunması. Mesleki standartları karşılamak için devamlı gelişmeye açık olunması. Geçerli en iyi uygulamaları araştırıp kullanmaya başlayarak ve dünya standardında kurumlarla kıyaslama yaparak, iyileştirme ve geliştirme çalışmalarına sürekli devam edilmesi. 20 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Varılan Sonuçlar Bu dokümanın amacı, bir kamu kurum veya kuruluşunda yeni atanmış bir İDY’ye, yeni bir iç denetim birimi kurması ya da kötü işleyen bir iç denetim birimini geliştirmesinde yardımcı olacak en iyi uygulamaları ve diğer bilgileri vermektir. Bu doküman, konuyla ilgili pratik, adım-adım sunulan, tavsiye niteliğindeki bilgi ve talimatları içermektedir. Kamu sektöründe bir iç denetim birimini ilk iki yıl ve takip eden periyot için başarıyla planlayıp oluşturmak veya geliştirmek için gereken standartları, işe alım sürecini ve personel kalifikasyon ve kaynaklarını özetlemektedir. Bu doküman sadece kapsamlı bir teorik çerçeve çizmekle kalmaz, aynı zamanda, İDY için, işlerin idealde ne sırada yerine getirilmesi gerektiğini gösteren bir kronolojik liste sunar. Bu doküman; mevcut literatüre yönelik bir değerlendirme, cari UMUÇ kılavuzları ve bu alanda deneyimli uzmanlardan alınan uygulama önerilerinden oluşan bir derlemedir. İDY’lerin yanlış adımlar atma ve tuzağa düşme olasılıklarını ortadan kaldırmak maksadıyla oluşturulmuştur. İDY; organizasyon, yönetme ve kontrol olarak ayrılan üç temel kısımdan oluşan bir iş modelini izleyerek işe başlar. Son olarak, dikkate alınması ve/veya hayata geçirilmesi gereken adımlardan müteşekkil bir kronolojik liste verilmektedir. Önerilen adım ve standartların hepsine uyulursa, İDY, zamanı geldiğinde bir QAR için hazır, kapsamlı ve eksiksiz bir kamu sektörü iç denetim birimi kurmuş olacaktır. İDY, iç denetim birimini ilk iki yıl ve takip eden periyot içerisinde IA-CM 1 ve 2 düzeylerinden 3 düzeyine çıkarmak için hızlı davranmalıdır. 21 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Yazarlar, Katkıda Bulunanlar ve Gözden Geçirenler Yazarlar Gualter Portella, CIA, CGAP Christie J. O’Loughlin, CGAP Katkıda Bulunanlar ve Gözden Geçirenler Paul J. Duggan, CA, CIA, CISA (Denetim Hizmetleri Direktörü, York Bölge Belediyesi, Ontario Eyaleti, Kanada) Scottie Nix, CIA (Belediye Denetçisi, Tacoma, Washington) Harriet Richardson, CPA, CIA, CGAP (Eski Belediye Denetçisi Yardımcısı, Atlanta; şimdi, San Francisco Belediye Denetçisi ve ayrıca, yeni bir performans denetim işlevini yerine getirmek üzere Washington Eyaleti Denetim Bürosu’nda görevli) Susan Cohen (Eski Belediye Denetçisi, Seattle) Jesse W. Hughes, Ph.D., CPA, CIA, CGFM (Uluslararası denetim alanında kapsamlı bir tecrübeye sahip Fahri Profesör, Old Dominion University, Norfolk, Virginia) Daniela Danescu, CIA, CGAP (Eskiden Romanya devleti için de çalışmış olan Hollandalı bir iç denetim danışmanı) Steve Goodson, CIA, CISA (Texas Kamu Güvenliği Dairesi’nde İDY) Elizabeth (Libby) MacRae, CGAP Kenneth J. Mory, CIA, CPA, CISA (Belediye Denetçisi, Austin, Texas) Greg Hollyman, CGAP, CFSA, CFE, CISA, CCSA, CIA (Johannesburg Belediyesi Eski İDY’si, Güney Afrika Posta Ofisi’nin Eski İDY’si, Port Philip Belediyesi Eski İDY’si ve Whitehorse Belediyesi’nde Denetim Komitesi Azası) Josh Richardson, CIA, CFE, CISA (İç Denetim Direktörü, Oklahoma Öğretmen Emeklilik Sistemi) 22 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Ek – İç Denetim Birimi İçin Tüzük Örneği13 Misyon ve İşin Kapsamı İç denetim departmanının misyonu, kurumun operasyonlarına değer katıp onları geliştirmek için tasarlanmış bağımsız ve nesnel güvence ve danışmanlık hizmetleri sağlamaktır. Yönetişim, risk yönetimi ve kontrol süreçlerinin verimliliğini değerlendirip arttırmak için sistematik ve disiplinli bir yaklaşım getirerek, kurumun hedeflerine ulaşmasına yardımcı olur. İç denetim departmanının iş kapsamı, kurumun yönetişim, risk yönetimi ve kontrol süreçleri ağının, yönetim tarafından öngörülüp tasarlandığı gibi, aşağıda sayılan unsurların yerine getirilmesini sağlayacak yeterlilikte ve işlerlikte olup olmadığının belirlenmesidir: Riskler gereğine uygun tespit edilip yönetiliyorlar. Çeşitli yönetişim gruplarıyla sürdürülen iletişimler gereğine uygun gerçekleştiriliyorlar. Önemli finansal, yönetimsel ve operasyonel bilgiler zamanında sunuluyorlar ve doğruluk ve güvenilirliklerini koruyorlar. Çalışanlar; politikalar, standartlar, prosedürler ve cari kanunlar ve mevzuata uygun hareket ediyorlar. Yükleniciler ve ortak girişimler dahil, üçüncü şahıslarla içine girilen etkileşimler ve yapılan düzenlemeler; politikalar, standartlar, prosedürler ve cari kanunlar ve mevzuata uygun bir çerçevede sürdürülüyorlar. Kaynaklar ekonomik ve verimli kullanılıyor ve yeterli düzeyde korunuyorlar. Programlar, planlar ve hedefler yerine getiriliyorlar. Kurumun kontrol sürecinde kalite ve kesintisiz gelişim teşvik ediliyor. Kurumu etkileyen, kanunlara ve mevzuata uyumla ilgili meseleler zamanında fark edilip gereğine uygun tarzda çözüme kavuşturuluyorlar. İç denetim departmanının misyonuyla tutarlı ve uyumlu oldukları sürece ek danışmanlık hizmetleri de verilebilir. Bu gibi danışmanlık hizmetleri, genelde, kurumun risk yönetimi, kontrol ve yönetişim süreçlerinde yapılması düşünülen ya da yapılan değişikliklerin etkilerinin değerlendirilmesiyle ilgili olacaklardır. Denetimler sırasında, yönetimin kontrolünü, kârlılığı ve kurumun imajını yükselten fırsatlarla da karşılaşılabilir. Bu fırsatlar, uygun yönetim seviyesine rapor edileceklerdir. 13 İç denetim birimi için tüzük örneği IIA tarafından hazırlanmıştır; IIA’in internet sitesinde, denetim komiteleri için ikinci bir denetim tüzüğü örneği bulunmaktadır. 23 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Hesap Verebilirlik İç denetim yöneticisi (İDY), görevlerini yerine getirirken, aşağıda sayılan hususlarda yönetime ve denetim komitesine karşı sorumluluk taşır: Misyon ve işin kapsamı altında ortaya konan alanlarda gerçekleştirilen faaliyetlerin kontrolü ve açığa çıkan risklerin yönetilmesiyle ilgili kurumsal süreçlerin yeterlilik ve verimliliği konusunda güvence sağlanması. Kurum ve onun iştiraklerine ait faaliyetlerin kontrol edilmesiyle ve risklerin yönetilmesiyle ilgili süreçlerde açığa çıkan -bu süreçleri geliştirme fırsatları dahilönemli meselelerin rapor edilmesi ve çözüm sürecinde bu meseleler hakkında bilgi vermeye devam edilmesi. Bunun kapsamına, risk yönetimi ve yönetişim uygulamaları da girer. Yıllık denetim planının durumu ve sonuçları ve departman kaynaklarının yeterliliği hakkında periyodik olarak bilgi sunulması. Yıllık denetim planında geçen riskleri de karşılamak için, şirket-içi personel ve eş-kaynak kullanımı aracılığıyla, kaynakların miktar ve yetkinlik açısından yeterli oldukları yönünde güvence verilmesi de buna dahildir. Dış denetçiyle eşgüdüm sağlanması ve diğer kontrol ve izleme işlevleri (risk yönetimi, yönetişim, uyum, güvenlik, hukuk, etik, ortam) hakkında güvence sağlanması. Yönetimin önemli mesele ve tavsiyelerle ilgili olarak attığı adımların etkili bir uygulama çerçevesinde sürdürülüp sürdürülmediğini izlemek ve gözlemek için bir takip sürecinin oluşturulması Bağımsızlık ve Nesnellik İç denetim departmanının kurum içerisinde bağımsızlığa sahip olmasını ve iç denetim personelinin nesnelliğini korumasını sağlamak için, iç denetim personelinin doğrudan doğruya İDY’ye, İDY’nin ise işlevsel olarak denetim komitesine ve idari olarak CEO’ya rapor vermesi gerekir. İDY, kuruma bağlı bir memur olmalıdır. İç denetim birimi, denetim komitesine sunduğu raporların bir parçası olarak, iç denetimin bağımsızlığıyla ve iç denetim kapsamı, iletişimler ve raporlar, erişim ve kaynaklarda (kurum personeli ve dışarıdan alınan kaynaklar dahil) karşılaşılan yersiz kısıtlamalarla ilgili bir yıllık rapor da sunacaktır. İç denetim biriminin bağımsızlık ve nesnelliğinin desteklenmesi için denetim komitesinin iç denetim alanında görünür olması önemli bir husustur ve bundan dolayı, denetim komitesi, aşağıda sayılan konularda rol oynamalıdır: İç denetim tüzüğünün onaylanması. Risk-esaslı iç denetim planının onaylanması. İç denetim departmanının iç denetim planı ve diğer konularla ilgili performansı hakkında İDY’den gelen raporların alınması. İDY’nin tayini ve azliyle ilgili kararların onaylanması. İDY’nin performans değerlendirmesi ve maaşı hakkında karar verilmesi. İşin kapsamıyla ilgisiz faaliyetler yürütülüp yürütülmediğini ya da lüzumsuz kaynak 24 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması kısıtlamaları olup olmadığını belirlemek için, yönetim ve İDY’ye yönelik uygun soruşturmaların yapılması. Sorumluluk İDY’nin sorumlulukları şunlardır: Yönetim tarafından tespit edilen herhangi bir risk veya kontrol meselesi de dahil, uygun bir risk-esaslı metodoloji kullanarak esnek bir yıllık denetim planı geliştirmek ve takip eden periyodik değişiklik ve düzeltmelerle birlikte bu planı, gözden geçirip onaylaması için üst düzey yönetim ve denetim komitesine sunmak. İç denetim kapsamını, yeni risklerin açığa çıktığı önemli alanlar dahil, kurumun stratejik, operasyonel, uyumla ilgili ve finansal riskleriyle uyumlulaştırmak. Uygunsa ve uygun olduğunda yönetim ve denetim komitesince talep edilen özel görev veya projeler de dahil, onaylanmış haliyle yıllık denetim planını uygulamak. İç denetim personeli dahil mesleki iç denetim kaynaklarını ve uygunsa ve uygun olduğunda, iç denetim tüzüğünün gerekliliklerini karşılamak için gereken yeterli bilgi, beceri, deneyim ve mesleki sertifikalara sahip diğer iç veya dış kaynakları korumak. Birleştirilen/konsolide edilen önemli işlevleri ve yeni veya değişen hizmetleri, iş birimlerini, süreçleri, sistemleri ve operasyonları ve bunların geliştirilmesi, uygulamaya konması ve/veya genişletilmesiyle paralel kontrol süreçlerini ölçmek ve değerlendirmek. Denetim komitesi ve yönetime, denetim faaliyetlerinin sonuçlarını özetleyen periyodik raporlar sunmak. İç denetim alanında yeni ortaya çıkan trendler ve başarılı uygulamalar hakkında denetim komitesini bilgilendirmek. İç denetim ölçümlerinin hedeflerini ve sonuçlarını denetim komitesine sunmak. Kurum içerisinde hileli olduğu yönünde şüphe çeken faaliyetler görülmesi halinde bunların soruşturulmasına uygun görülen şekilde yardımcı olmak ve elde edilen sonuçları yönetime ve denetim komitesine bildirmek. Makul bir toplam maliyet karşılığında kuruma optimal denetim kapsamını kazandırmak amacıyla, dış denetçiler ve düzenleyici kurumlarca gerçekleştirilen denetim faaliyetlerinin kapsamını uygun görülen şekilde değerlendirmek. Yönetimsel bir sorumluluğun altına girmeksizin, uygun görülen hallerde ve durumlarda yönetime danışmanlık ve müşavirlik hizmetleri vererek, kurumun yönetişim, risk yönetimi ve kontrol süreçlerine değer katmak ve bunları geliştirmek. Bir kalite güvence ve geliştirme programını (QAIP) tatbik ederek, İDY'nin iç denetim faaliyetlerinin etkin ve etkili bir çerçevede süregelmesini güvence altına almasını ve yılda bir defa olmak üzere, ilgili programdan alınan sonuçlar hakkında denetim komitesine rapor sunmasını sağlamak. 25 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Yetki İDY, aşağıda sayılanları yapmaya yetkilidir: İç denetim personeli ve sözleşmeli kaynaklar için tüm kurumsal birimler, kayıtlar, mülkiyet ve personele sınırsız erişim sağlamak. Denetim komitesine tam ve serbest erişime sahip olmak. Kaynakları tahsis etmek, denetim sıklığını ayarlamak, denetim konularını seçmek, işin kapsamını belirlemek ve denetim hedeflerine ulaşmak için gereken teknikleri uygulamak. Kurum birimlerindeki veya kurumla sözleşmeli, denetimin gerçekleştirildiği kurum veya kuruluşlardaki personelin ve yanı sıra, kurum içi veya dışı, diğer uzman hizmet sağlayıcılarına bağlı personelin gerektiğinde yardımını almak. Uygun görüldüğü takdirde, yönetime danışmanlık hizmetleri vermek. İDY ve iç denetim personeli, aşağıda sayılanları yapmaya yetkili değildirler: Kurum veya onun iştirakleri için herhangi bir operasyonel görevi yerine getirmek. İç denetim departmanıyla ilgili olmayan muhasebe işlemleri başlatmak veya onaylamak. İç denetim departmanında çalışmayan herhangi bir kurum personelinin faaliyetlerini yönlendirmek (bu personelin iç denetim ekiplerine atanmasının uygun görüldüğü ya da iç denetçilere yardımcı olmasının gerektiği haller dışında). İç Denetim Standartları İç denetim mesleği, İç Denetçiler Enstitüsü Uluslararası Mesleki Uygulamalar Çerçevesi kapsamında standardize edilen bir meslektir. Bu çerçeve, İç Denetimin Tanımı, Etik Kuralları ve Uluslararası İç Denetim Mesleki Uygulama Standartları'ndan oluşan uyulması zorunlu unsurları içerir. İç denetim departmanı, mesleğin icra edilebilmesi için uyulması zorunlu olan bu gereklilikleri ya karşımalı ya da daha iyisini yapmalıdır. İDY, iç denetim faaliyetlerinin etkili bir çerçevede süregeldiğini güvence altına almasına yarayan iç denetim QAIP programından alınan sonuçları her yıl belirli bir tarihte denetim komitesiyle tartışacaktır. İç Denetim Yöneticisi _______________________________________________________ CEO ____________________________________________________________________ Denetim Komitesi Başkanı ___________________________________________________ Tarih ____________________________________________________________________ 26 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Ek - Kamu Sektörü İçin İç Denetim Kapasite Modeli İç Denetim Kapasite Modeli (IA-CM) fikri, ilk olarak IIA Kamu Sektörü Komitesi tarafından dile getirilmiştir. İlgili araştırmayı IIA Araştırma Vakfı (IIARF) finanse etmiş ve model 2009 senesinde yayımlanmıştır. IA-CM, devlet kurumlarında ve daha geniş olarak tüm kamu sektöründe etkili bir iç denetim mekanizması kurmak için gereken esasların ortaya konduğu bir çerçevedir. Bu model, bir iç denetim (IA) biriminin kendisiyle ilgili süreçleri ve uygulamaları tanımlayarak, uygulamaya koyarak, ölçerek, kontrol ederek ve geliştirerek izleyebileceği düzeyleri ve aşamaları göstermektedir. Bir IA biriminin temel unsurlarının her biri için toplam beş kapasite düzeyi bulunmaktadır. Her düzeyin, bağlantılı anahtar süreç alanlarıyla (Key Process Areas-KPA'lar) ilgili kendine has ayırt edici özellikleri vardır. Aşağıdaki grafik ve çizelge, her düzey için IA biriminin karakteristiklerini göstermektedir. İç Denetim Kapasite Modeli Düzeyleri 27 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması 5 – OPTİMİZASYON 4 - YÖNETİM 3 – ENTEGRASYON IA, süreçleri sürekli geliştirip yenileyen, her daim öğrenmeye açık bir birim haline gelmiştir. IA, stratejik hedeflere ulaşma konusunda yardımcı olmak için, kurum içinden ve dışından gelen bilgileri kullanmaktadır. Dünya standardında/önerilen/en iyi uygulamalar gerçekleştirilmektedir. IA, kurumsal yönetişim yapısının kritik bir parçasını teşkil etmektedir. Belirli alanlarda uzmanlaşmış, becerikli, üst düzey iç denetçilerden oluşan bir ekip bulunmaktadır. Performans artışlarını sürdürmek ve yönlendirmek üzere belirlenen bireysel, birim çapında ve kurumsal performans ölçütlerinin entegrasyonu tamamlanmıştır. IA ve kilit paydaşların beklentileri uyumludur. IA süreçleri ve sonuçlarını ölçmek ve izlemek için gereken performans ölçütleri bulunmaktadır. IA, kuruma önemli ve anlamlı katkılar sağlayan bir birim olarak tanınmaktadır. IA, kurumun yönetişim ve risk yönetiminin tamamlayıcı, değişmez bir parçası olarak işlev göstermektedir. IA, iyi yönetilen bir işletme birimidir. Riskler kantitatif olarak ölçülüp yönetilmektedirler. Sürekli yenilenme ve bilgi paylaşma (hem IA içinde hem de kurum genelinde) kapasitesiyle birlikte gereken beceriler ve yeterlilikler sağlanmış durumdadır. İç denetim (IA) politika, süreç ve prosedürleri tanımlı, belgeli ve kurumun altyapısına entegre haldedir. IA yönetimi ve mesleki uygulamaları iyi yapılandırılmıştır ve IA birimi genelinde daima eşit ölçüde uygulanmaktadır. IA, kurumun faaliyet gösterdiği iş sektörü ve kurumun yüzleştiği risklerle aynı eksene gelmeye başlamaktadır. IA, sadece geleneksel denetimler gerçekleştiren bir yapıdan, bir takım oyuncusu olarak kuruma entegre olan bir yapıya çevrilmekte ve performans ve risk yönetimi konusunda tavsiyelerde bulunmaktadır. IA biriminin kapasitesine ve ekip kurma sürecine ve yanı sıra birimin bağımsızlığına ve nesnelliğine odaklanılmaktadır. Standartlar'a genelde uyulmaktadır. 28 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması 2 – ALTYAPI 1 - BAŞLANGIÇ Düzey 2 ile ilgili kilit soru veya güçlüklerden biri, süreçlerin tekrarlanabilirliğinin ve dolayısıyla tekrarlanabilir bir kapasitenin nasıl sağlanıp korunabileceğidir. IA raporlama ilişkileri, yönetimsel ve idari altyapılar ve mesleki uygulama ve süreçler kurulmuştur (IA kılavuzu, süreçleri ve prosedürleri). Denetim planlaması, esasen yönetimin önceliklerine dayanmaktadır. Belirli kişilerin becerilerine ve yetkinliklerine duyulan güven temelinde ilerleme devam etmektedir. Standartlar'a kısmen de olsa uyum sağlanmıştır. Henüz planlaması veya yapılandırması tamamlanmamıştır. Belirli belge ve işlemlerin doğruluk ve uygunluğunun değerlendirildiği izole münferit denetimler veya incelemeler yapılmaktadır. Yapılan çalışmalar, temelde belirli personelin becerilerine dayanmaktadır. Meslek örgütlerinin şart koştuğu uygulama ve prosedürler dışında oluşturulmuş herhangi bir mesleki uygulama bulunmamaktadır. Yönetimden alınması gereken finansman onayı alınmıştır. Altyapı yoktur. Çalışmakta olan denetçiler büyük ihtimalle esasen daha büyük bir kurumsal birime bağlı personeli teşkil etmektedir. Kurumsal kapasite henüz geliştirilmemiştir. Bir IA birimiyle ilgili altı adet asli unsur bulunmaktadır. Bunların ilk dördü temelde IA biriminin kendisinin yönetimi ve uygulamalarıyla ilgilidir. Son iki unsur, IA biriminin desteklediği kurumla ve iç ve dış ortamla kurduğu ilişkiyle ilgilidir. Bu altı asli unsur şunlardır: İç Denetimin Hizmetleri ve Oynadığı Roller - İç denetim biriminin verdiği hizmetler arasında, güvence ve danışmanlık hizmetleri ve yanı sıra, dış hizmet sağlayıcılarıyla eş-kaynak kullanımı çerçevesinde yerine getirilen hizmetler bulunmaktadır. İç denetim biriminin oynadığı rol, hedeflerine ulaşmasında ve operasyonlarını geliştirmesinde kuruma yardımcı olmak maksadıyla bağımsız ve nesnel değerlendirmeler hazırlayıp sunmaktır. İnsan Yönetimi - İnsanların sahip oldukları kabiliyetleri en iyi düzeyde sergilemelerini mümkün kılan bir çalışma ortamı yaratma sürecidir. İnsan yönetimi sürecinin kapsamında, iş tanımları, işe alım, performans standartları, mesleki gelişim, eğitim, sürekli rehberlik ve kariyer geliştirme bulunmaktadır. 29 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Mesleki Uygulamalar - İç denetim faaliyetlerinin gereken mesleki özen ve hassasiyet gösterilerek, ustalıkla ve etkili bir çerçevede gerçekleştirilmelerini mümkün kılan tam ve eksiksiz bir politika, süreç ve uygulama zeminini yansıtmaktadır. Performans Yönetimi ve Hesap Verebilirlik - İç denetim birimiyle ilgili operasyonları yönetmek, gerçekleştirmek ve kontrol etmek ve iç denetim faaliyetlerinin performansı ve sonuçlarını izah etmek için gereken bilgilerle ilgilidir. Kurum İçi İlişkiler ve Kültürler - İç denetim biriminin içerisindeki kurumsal yapı ile dahili yönetim ve ilişkileri ve yanı sıra iç denetim yöneticisinin üst düzey yönetimle kurduğu ilişkiyi kapsamaktadır. Yönetişim Yapıları - İç denetim yöneticisinin raporlama ilişkileriyle (idari ve işlevsel) ve iç denetim biriminin kurumun örgütsel yapısı ve yönetişim yapısı içerisinde nasıl konumlandığıyla ilgilidir. IA birimiyle ilgili bu altı asli unsurun her birinin dahilinde birkaç KPA bulunur. Bu yapı blokları, bir IA biriminin kapasitesini belirlerler. KPA'lar, bir sonraki kapasite düzeyine çıkmak için atılması gereken adımlar veya bulunması gereken öğelerdir. KPA'ların her biri, bir amaç, temel faaliyetler, çıktılar, sonuçlar ve kurumsallaştırma uygulamalarından oluşur. KPA'lar, her asli unsur kapsamında ve her kapasite düzeyinde olmak üzere, bir diğer KPA temelinde kurulur ve daha yüksek düzeydeki KPA'nın uygulamaya konması için zemin oluştururlar. Bir sonraki sayfada, tüm kapasite düzeyleri, IA asli unsurları ve bağlantılı KPA'ların bulunduğu IA-CM matrisi gösterilmektedir. 30 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması İç Denetim Kapasite Modeli Matrisi IA HİZMETLERİ VE OYNADIĞI ROL Düzey 5 Optimizasyon IA, Değişim İçin Kilit Unsur Olarak Tanınıyor. Düzey 4 Yönetim Yönetişim, Risk Yönetimi ve Kontrol Hakkında Genel Güvence Düzey 3 Entegrasyon Düzey 2 Altyapı Düzey 1 Başlangıç Danışmanlık Hizmetleri Performans / Paranın Değerinin Karşılığı Denetimi Uyum Denetimi PERFORMANS YÖNETİMİ VE HESAP VEREBİLİRLİK KURUM İÇİ İLİŞKİLER VE KÜLTÜRLER YÖNETİŞİM YAPILARI Etkili ve Kesintisiz İlişkiler IA Biriminin Bağımsızlığı, Gücü ve Yetkisi İNSAN YÖNETİMİ MESLEKİ UYGULAMALAR Mesleki Kurum ve Kuruluşlarla Liderlik İlişkisi Mesleki Uygulamalarda Sürekli Gelişim İşgücü Projeksiyonu Stratejik IA Planlaması IA Verimliliği Konusunda Kamu Raporlaması Denetim Stratejisi, Kurumun Risk Yönetimini Güçlendiriyor Kalitatif ve Kantitatif Performans Ölçütlerinin Entegrasyonu İDY, Üst Düzey Yönetime Tavsiye Veriyor ve Onu Etkiliyor Kalite Yönetimi Çerçevesi Performans Ölçütleri Diğer İnceleme Gruplarıyla Eşgüdüm IA Birimi Üzerinde Yönetimin Gözetimi İşgücü Eşgüdümü Risk-Esaslı Denetim Planları IA Yönetim Raporları Yönetim Ekibinin Tamamlayıcı Parçası Finansman Mekanizmaları Bireysel Mesleki Gelişim Mesleki Uygulamalar ve Süreçler Çerçevesi IA Birimi İçerisinde Yönetim Kurumun Bilgilerine, Varlıklarına ve Çalışanlarına Tam Erişim IA Yönetimin Gelişmesine Katkıda Bulunuyor IA Birimi, Mesleki Kurum ve Kuruluşları Destekliyor İşgücü Planlaması Ekip Kurma ve Yetkinlik Mesleki Olarak Kalifiye Ekip Becerikli İnsanlar Tespit Edilip İşe Alınıyor Yönetim / Paydaş Önceliklerine Dayanan Denetim Planı Maliyet Bilgileri IA Operasyon Bütçesi IA İş Planı IA Biriminin Bağımsız Gözetimi İDY, Üst Düzey Otoriteye Rapor Veriyor Raporlama İlişkileri Kurulmuş Henüz planlaması ve yapılandırması tamamlanmamış; belirli belge ve işlemlerin doğruluk ve uygunluğunun değerlendirildiği izole münferit denetimler veya incelemeler yapılıyor; yapılan çalışmalar, temelde belirli personelin becerilerine dayanıyor; meslek örgütlerinin şart koştuğu uygulama ve prosedürler dışında oluşturulmuş herhangi bir mesleki uygulama bulunmuyor; yönetimden alınması gereken finansman onayı alınmış; altyapı yok; çalışmakta olan denetçiler büyük ihtimalle esasen daha büyük bir kurumsal birime bağlı personeli teşkil ediyorlar; yerleşik kapasiteler yok; dolayısıyla spesifik kilit süreç alanları yok. 31 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Enstitü Hakkında 1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet gösteren bir meslek örgütüdür ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur. IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, baş savunucusu ve baş eğitmenidir. Ek Rehber Hakkında Ek Rehber, IIA’e ait UMUÇ’un parçası değildir. UMUÇ’a uygun, IIA tarafından geçerliliği kabul edilen bir referans metindir ve UMUÇ’un uygulanması ve iç denetim faaliyetleri sırasında uygulayıcılar için yararlı olabileceği düşünülmektedir. Rehberin, uygulayıcının kurumuna ve iç denetim faaliyetinin güvence ve danışma amaçlarına uygun ölçüde kullanılması tavsiye edilir. Bu tür tüm materyallerin içerikleri oluşturulurken IIA tam ya da kısmi katılım göstermelidir. Bu kategori, başka kurum ya da bireyler tarafından oluşturulan materyalleri desteklemek ya da teşvik etmek için hazırlanmamıştır. IIA tarafından yayımlanan diğer yol gösterici www.globaliia.org internet sayfamızı ziyaret ediniz. rehberlere ulaşmak için lütfen Sorumluluk Reddi Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanılmalıdır. IIA, her zaman, doğrudan doğruya belirli durumlarla ilgili bilgi almak için bağımsız uzmanlara danışmanızı tavsiye eder. IIA, yalnızca bu rehber esas alınarak alınan kararlar veya atılan adımlardan doğabilecek zararlar için hiçbir sorumluluk kabul etmez. Telif Hakkı Telif Hakkı © 2012 İç Denetçiler Enstitüsü. Çoğaltmak için lütfen [email protected] eposta adresi üzerinden IIA ile iletişime geçiniz. 32 Ek Rehber: Kamu Kurumlarında Yeni Bir İç Denetim Biriminin Oluşturulması Uluslararası İç Denetçiler Enstitüsü Global GENEL MERKEZ T: +1-407-937-1111 247 Maitland Ave. F: +1-407-937-1101 Altamonte Springs, FL 32701 ABD İ: www.theiia.org 33