ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA)
Transkript
ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA)
Ek Rehber: ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA) İÇ DENETİM MESLEKİ UYGULAMALARI İÇİN ULUSLARARASI STANDARTLARI GENEL MUHASEBE OFİSİ KAMU KESİMİ DENETİM STANDARTLARI (GOVERMENT ACCOUNTABILITY OFFICE GOVERMENT AUDIT STANDARDS) (GAGAS) KARŞILAŞTIRMA 2. Baskı ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global 1 İçindekiler Tablosu Yönetici Özeti 3 Giriş 3 Kurumlar ve Denetim Standartlarının Tarihçesi 3 Standartların Oluşturulma Süreci 5 Seçim Bölgeleri 6 Denetim Standartlarının Karşılaştırılmasına İlişkin Gözden Geçirme 7 Her İki Standartlar Dizisi Arasındaki Temel Farklılıklar ve Bunların Her İkisine Uyan Kurumlar İçin Öneriler 9 Sonuç 19 EK – GAGAS Metninin UMUÇ Metni ile Uyumlaştırılması 20 Yazarlar ve Gözden Geçirenler 56 2 Yönetici Özeti Amerika Birleşik Devletleri Genel Muhasebe Ofisi [(Goverment Accountability Office) (GAO)] ve Uluslararası İç Denetçiler Enstitüsü (IIA), denetim faaliyetlerinin yürütülmesi için gerekli çerçeveyi oluşturan mesleki denetim standartlarını yayınlayarak denetim faaliyetlerinin yüksek kalitede olmasını teşvik eden ve ulusal ve uluslararası düzeyde bilinirliği olan lider kurumlardır. Bu kurumların, birbirini tamamlayıcı nitelikte olan ve kamu denetimleri için kullanılabilen standartları geliştirmek için birlikte çalışmaları esastır. Bu dokümanın amacı, iki kurumsal standart arasındaki benzer prensipleri ve temel farklılıkları tanımlamak ve denetim faaliyetleri sırasında bu kurumsal standartların her ikisine de uymak zorunda olan ya da bunlardan her ikisine birden uymayı seçen bir kamu iç denetim kurumunun dikkate alması gereken noktalara ilişkin öneriler sunmaktır. Giriş Bu karşılaştırma dokümanının ilk yayımlandığı 2009 yılından bu yana GAO’nun Kamu Denetim Standartları [(Goverment Accountability Office Goverment Audit Standards) - (GAGAS)] ve IIA’in İç Denetim Mesleki Uygulamaları için Uluslararası Standartlar (Standartlar) başlıklı belgelerinin her ikisi de revize edilmiştir. Bu belge GAGAS metninde Aralık, 2011’de yapılan değişiklikleri ve Standartlar metninde Ekim, 2010’da yapılan değişiklikleri yansıtacak şekilde güncellenmiştir. Kurumların ve Denetim Standartlarının Tarihçesi 1921 tarihli ABD Bütçe ve Muhasebe kanunuyla kurulan GAO, ABD yönetiminin yasama bölümünde yer alır ve Kongreye rapor vermekle yükümlüdür. Başlangıçta GAO’nun misyonu Kongreye idari hesapların bağımsız denetimini sunmak ve mali kanunların uygulanması sırasında gözlemlenen ihlalleri rapor etmekti. Ancak ilerleyen yıllarda kongrenin ihtiyaçları doğrultusunda GAO da yeni roller üstlenmiştir. Günümüzde GAO misyonunu, anayasal sorumlulukların yerine getirilmesinde Kongreye destek olma ve Amerikan halkının menfaatleri bağlamında federal hükümetin performansını geliştirme ve hesap verebilir olmasını sağlama olarak tanımlamaktadır. 1969 yılında bir grup kamu denetçisi Sayıştay Başkanı Elmer Staats ile bir araya gelmiş ve kamu denetimi ve federal denetimin geliştirilmesi için standartların derlenmesi adına yardım talep etmişlerdir. 1972 yılında Sayıştay Başkanı Kamu Kurumlarının, Programlarının, 3 Faaliyetlerinin & İşlevlerinin Denetimi için Standartlar adlı dokümanının ilk baskısını yayımlamıştır. Sonraki yıllarda GAO bu dokümanın adını Kamu Denetim Standartları olarak kısaltmış ve düzenli olarak güncellemiştir. 1972’de ilk yayımlandığı günden bu güne Genel Kabul Görmüş Kamu Standartları (GAGAS) - daha yaygın atıf yapılan adıyla “GAGAS” sonuncusu Aralık, 2011’de olmak üzere altı büyük değişiklik geçirmiştir. Bu değişiklikler kamu muhasebesi ve denetim ortamında gözlemlenen değişiklikler ve uluslararası standartlar da dâhil olmak üzere başka mesleki standartlarda gözlemlenen değişikliklere karşılık olarak yapılmıştır. GAGAS; finansal denetimler, performans denetimleri ve tasdik görevleri için standartlar ve rehberler sunmaktadır. 1941 yılında kurulan IIA, büyüyen iç denetim faaliyetlerine ve kamu ve özel kurumlarının artan sayısı ve karmaşık yapısından kaynaklanan yeni yönetim ihtiyaçlarına bir yanıt olarak gelişmiştir. IIA; 1947 yılında bir sorumluluk beyanı yayımlamış, 1968 yılında da Etik Kurallarını onaylamıştır. İlk Sertifikalı İç Denetçi sınavı 1974 yılında yapılmış, IIA İç Denetim Mesleki Uygulamaları için Standartlar dokümanının ilki 1978 yılında yayımlanmıştır. 1978 ile 1998 yılları arasında orijinal beş genel standart ve 25 spesifik standart, İç Denetim Standartlarına İlişkin 18 Beyan (SIAS) dikkate alınarak güncellenmiş ve yorumlanmıştır. 1998 yılında IIA Yönetim Kurulu, standartlarının uygulanabilirliği ve geçerliliğinin sürekliliğini gözden geçirmesi için bir Rehberlik Çalışma Kolu atamıştır. Yapılan bu çalışmanın neticesinde oluşturulan Çalışma Kolu, İç Denetime ilişkin yeni bir tanım önermiş, iç denetim mesleki uygulamaları için bir çerçeve oluşturmuş, iç denetim için yeni Nitelik ve Performans Standartları oluşturmuş ve güvence ve danışma hizmetleri için uygulama standartları belirlemiştir. 1999 yılında yeni Etik Kurallar belirlenmiş ve İç Denetimin Tanımı yeniden yapılmıştır. 2009 yılında Uluslararası Mesleki Uygulamalar Çerçevesi [(International Professional Practices Framework) - (IPPF) veya (UMUÇ)] yürürlüğe girmiş ve dünya çapında tüm iç denetçilere uygulanmıştır. İç Denetime ilişkin IIA’nın Tanımı, Etik Kurallar, İç Denetim Mesleki Uygulamaları için Uluslararası Standartlar, Uygulama Tavsiyeleri, Uygulama Rehberleri, Görüş Belgeleri UMUÇ’ta yer almaktadır. Genel merkezi Altamonte Springs, Florida, ABD adresinde bulunan IIA’nın dünya genelinde 175.000’den fazla üyesi bulunmaktadır. Sertifikalandırma, eğitim, araştırma ve teknolojik rehberlik alanlarında IIA, iç denetim mesleğinin lideri olarak tanınmaktadır. 4 Standartların Oluşturulma Süreci Yeni ve revize edilmiş standartların oluşturulması sürecinde hem IIA hem de GAO hassas bir süreç izlerler. Bu kurumlar, önerilen yeni standartlarının taslak metinlerini kamuoyunun görüşüne açarlar. GAO’da bu süreç şöyle işler: GAGAS standartlarıyla ilgili konularda görüş sunması için Sayıştay Başkanı Genel Muhasebe Standartları biriminde bir Tavsiye Konseyi oluşturur. Konsey; fedaral, eyalet ve yerel hükümetlerden gelen denetim ve muhasebe uzmanları, kullanıcılar ve finansal tablo düzenleyicileri, akademisyenler ve kamu denetimlerini gerçekleştiren özel sektör CPA firmalarından oluşur. GAGAS için ise bu süreç söyle işler: Sayıştay Başkanı büyük ölçüde Konseyin tavsiyelerine uyar ancak standartların yayımlanmasına ilişkin nihai sorumluluk Sayıştay Başkanındadır. IIA’da yeni ya da revize edilmiş Standartların yayımlanmasından tek sorumlu Uluslararası İç Denetim Standartlar Kurulu [(International Internal Audit Standards Board) - (IIASB)]’dur. IIASB’nin şirketler ve hizmet sağlayıcılardaki iç denetim kurumları, kamu kurumları ve üniversitelerden gelen üyeler de dâhil olmak üzere hem özel sektörden hem de kamudan uluslararası üyeleri vardır. Ek olarak, IIASB, şu diğer IIA komitelerini de koordine eder: Mesleki Konular Komitesi [(The Professional Issues Committee) - (PIC)] iç denetim mesleği mensupları ve paydaşlarına metodolojiler, teknikler ve UMUÇ’ta yer alan iç denetim mesleğini etkileyen diğer konulara ilişkin yorumlar ve destekler de dâhil emredici durumlara ilişkin düşünce liderliği ve zamanında mesleki rehberlik sunar. Kamu Komitesi [(The Public Sector Committee) - (PSC)], kamu iç denetçilerini temsil eder ve kamu denetçileri için bir uzmanlık göstergesi olan Sertifikalı Kamu Denetim Mesleği [(Certified Goverment Auditing Professional) - (CGAP)] sınavının gerçekleştirilmesine yardımcı olur. 2010 yılında IIA’nın talebiyle Uluslararası Mesleki Uygulama Çerçevesi Denetim Konseyi [(International Professional Practices Framework Oversight Council) - (IPPFOC)] oluşturulmuştur. IPPFOC, IIA standartlarının ve rehberlerinin oluşturulma süreçlerinin yeterliliğine ve uygunluğuna ilişkin değerlendirmeler ve tavsiyeler sunan uluslararası bağımsız bir organdır. IPPFOC’un misyonu, UMUÇ’a ilişkin IIA faaliyetlerinde küresel paydaşların güvenini artırmaktır. 5 Seçim Bölgeleri GAGAS, Amerika Birleşik Devletlerinin çeşitli seçim bölgeleri için yükümlülükler ve rehberler içerir. Bu standartlar, ABD OMB Sirküler A-133, Eyalet, Yerel Hükümetler ve Kâr Amacı Gütmeyen Kuruluşların Denetimi başlıklı belgede öngörülen denetim yükümlülüklerine tâbi federal fonları alan kamu kurumları ve kâr amacı gütmeyen kurumların finansal denetimlerini gerçekleştiren tüm profesyonel denetçiler tarafından takip edilmesi gereken standartlardır. Amerika Birleşik Devletlerinde bu standartların münferit denetimler ya da başka kamu denetimlerinde yer alan federal genel müfettişler, birçok eyalet ve yerel kamu denetçileri, bazı iç denetçiler ve CPA firmaları tarafından da kullanılması gerekmektedir. Ek olarak, birçok denetçi ve denetim kurumu çalışmaları sırasında GAGAS’a uymayı gönüllü olarak seçer. GAGAS; finansal denetimler, tasdik görevleri ve performans denetimleri için yükümlülükler içerir. Ayrıca uluslararası düzeyde birçok kamu denetim kurumu da herhangi bir yasal zorunluluk olmamasına karşın finansal ve performans denetimlerinde GAGAS’ı rehber olarak kullanır. Dünya genelinde iç denetçiler IIA Standartlarını kullanırlar. IIA üyeleri iç denetim, risk yönetimi, yönetişim, iç kontrol, bilgi teknolojisi denetimi, eğitim ve güvenlik alanlarında çalışırlar. Bazı kamu denetim kurumları denetimlerini hem IIA Standartları hem de GAGAS’a uygun yapar. Ek olarak, bazı kurumlar her iki kurum tarafından çıkarılan denetim standartlarını uygulama yönünde niyet beyan etmişlerdir ve standartlardaki farklılıklarının nasıl ele alınacağı konusunda uygulama rehberlerinden yararlanabilirler. IIA Standartları çoğu zaman Bölüm 1 ilâ 3, 6 ve 7’de yer alan GAGAS performans denetim yükümlülükleriyle birlikte uygulanır. GAGAS hem iç hem de dış denetim kurumlarınca kamu denetimleri için kullanılmasına rağmen iç denetçiler ve iç denetim kurumları için bazı spesifik koşullar ve rehberler de içermektedir. 6 GAO Danışma Kurulu ve IIA Kurul ve Komitelerinde Temsil GAO, tutarlı ve istikrarlı bir şekilde standartlarında iç denetçilerin işlerini tanımaya devam etmektedir. Misyonuna uygun bir biçimde IIA Standartlar, Uygulama Tavsiyeleri, Görüş Belgeleri ve Uygulama Rehberleri aracılığıyla iç denetim mesleğini dünya çapında desteklemektedir. Geçen yıllar içerisinde Sayıştay Başkanı tarafından oluşturulan Danışma Kuruluna, iç denetim standartlarının oluşturulmasına etkisi olan IIA komitelerinde çalışmış ve aynı zamanda IIA üyesi olan birçok kamu denetçisi de katılmıştır. Hem Sayıştay Başkanının hem de IIA Yönetim Kurulu Başkanının her iki grubunda ihtiyaçlarını karşılayacak standartları oluşturacak konsey, kurul ve komitelerde her bir kurumdan üye olması yönünde özenli çabaları olmuştur. Denetim Standartlarının Karşılaştırılmasına İlişkin Gözden Geçirme IIA Standartları ve GAGAS arasında birçok benzerlik vardır. Tablo 1; performans denetimleri için GAGAS’ın Aralık, 2011 revizyonunda yer alan genel, saha çalışması ürünü standartları ve raporlamaya ilişkin standartlarını tanımlamaktadır. Ayrıca Ekim, 2010 IIA Standartlarında yer alan Nitelik ve Performans Standartları da tabloda kıyaslama amaçlı gösterilmiştir. Her iki kurum da mesleki denetim kurumu ve onun denetçileri için etik kuralları gerekli bir temel olarak görmektedir. 7 Tablo 1 – Karşılaştırma Gözden Geçirmesi GAO Kamu Denetimi Standartları: IIA Uluslararası Mesleki Uygulamaları GAGAS Çerçevesi (UMUÇ) Kamu Denetimi: İç Denetimin Tanımı* Temel ve Etik Prensipler Etik Kurallar* GAGAS Kullanımı ve Uygulaması İçin Standartlar Genel Standartlar: Standartlar (Standartlar)* o Bağımsızlık o Mesleki Yargı o Amaç, Yetki ve Sorumluluk o Yeterlilik o Bağımsızlık ve Tarafsızlık o Kalite Kontrol ve Güvence o Yeterlilik ve Gerekli Mesleki Özen Performans Denetimleri İçin Saha Ürünü o Kalite Güvence ve İyileştirme Programı Standartlar İç Denetim Mesleki Uygulamaları İçin Uluslararası Nitelik Standartları: Performans Standartları: o Makul Güvence o İç Denetim Faaliyetinin Yönetilmesi o Performans Denetiminde Önem o İşin Yapısı (Yönetişim, Risk Yönetimi o Denetim Riski o Planlama o Görev Planlaması o Gözetim o Görevin o Kanıt Tanımlanması, Analiz ve Değerlendirme, o Denetimin Belgelendirilmesi Bilgilerin Belgelendirilmesi ve Görevin ve Kontrolü) Performans Denetimlerine İlişkin Raporlama Standartları Yapılması (Bilgilerin Gözetimi) o Bildirim Sonuçları o Raporlama o Sürecin İzlenmesi o Rapor İzinleri o Üst Yönetimin Riskleri Kabul Kararı o Raporların Yayımı Uygulama Tavsiyeleri** Görüş Belgeleri** Uygulama Rehberleri** (Her ikisi de UMUÇ’un kısımlarıdır ancak IIA Standartlarında yayımlanmamıştır.) *Zorunlu Rehber **Kuvvetle Tavsiye Edilen Rehber 8 Her İki Standartlar Dizisi Arasındaki Temel Farklılıklar ve Bunların Her İkisine Uyan Kurumlar İçin Öneriler Aşağıda yer alan yorumlar, hem GAGAS hem de IIA Standartlar metnine uymayı ve bunlara atıf yapmayı tercih eden denetim kurumlarının göz önünde bulundurması gereken farklılıkları vurgulamak ve bu tür farklıların nasıl ele alınması gerektiğine dair öneriler sunmak amacıyla yapılmıştır. A. Konu 1 – IIA Standartlar Metninde Yer Alan “Danışma” Terimine Kıyasla GAGAS Metninde Yer Alan “Danışma” Terimi IIA Standartlar metni iç denetimi kısmen “bir kurumun işlemlerine değer katmak için tasarlanmış bağımsız, tarafsız bir güvence ve danışma faaliyeti” olarak tanımlar. IIA tarafından tanımlandığı şekliyle “Danışma”, iç denetim kurumlarının sunduğu iki ana tür denetim hizmetinden biridir. IIA danışma hizmetlerini “iç denetçinin yönetim sorumluluğunu üstlenmeden yürüttüğü danışma ve bununla bağlantılı müşteri hizmeti faaliyetleri…” olarak tanımlar. Buna kıyasla GAGAS metninin 2.12 ilâ 2.13 ve 3.33 ilâ 3.58 No.lu paragraflarında denetimler ve tasdik görevlerinden başka profesyonel hizmet türleri de tanımlanmaktadır ve bunlar bazen denetim faaliyeti içermeyen hizmetler ya da danışma hizmetleri olarak adlandırılmaktadır. GAGAS ve IIA Standartlar metinlerinde “danışma” ya da “denetim faaliyeti içermeyen hizmetler “ terimleri farklı hizmetleri tanımlamak için kullanılmaktadır. IIA Standartlar metni “danışma” terimini iç denetim tanımı kapsamında kullanırken; GAGAS metni denetim faaliyeti içermeyen ya da tasdik görevi olmayan herhangi bir hizmeti “denetim faaliyeti içermeyen hizmet “ olarak sınıflandırmaktadır. Öneri: Denetim faaliyetlerinde hem IIA Standartlar hem de GAGAS metnini kullanan denetim kurumları, faaliyetlerini her iki denetim standartları metnine uygun yürütmelidir. Denetçiler, GAGAS’ın kavramsal çerçevesine ve 3.02 ilâ 3.26 ve 3.33 ilâ 3.58 No.lu paragraflarda tanımlanan denetim faaliyeti içermeyen hizmetlere ilişkin yükümlülüklere uymalı ve denetçiler, IIA’nın danışma hizmetleri tanımı uyarınca yönetim sorumluluğunu üstlenmemelidir. GAGAS metninin 1 ila 3, 6 ve 7. Bölümlerinde performans denetimlerine ilişkin sunulan başka standartlarla birlikte GAGAS metninin bağımsızlık yükümlükleri karşılandığında IIA danışma standartlarına uygun yürütülen bir iş, performans denetim faaliyetine denk olabilir. 9 B. Konu 2 – Denetim Hizmetlerinin Uygulanmasında Bağımsızlık IIA Standart metninin 1130. A1 kısmı, “iç denetçinin önceki yıldan sorumlu olduğu bir faaliyet için güvence hizmetleri sunması halinde iç denetçinin bağımsızlığının zedelendiğinin varsayıldığını“ belirtmektedir. IIA Standart metninin 1130. C1 kısmında “ iç denetçilerin önceden sorumlu olduğu işlemlere ilişkin danışma hizmetleri verebilecekleri” beyan edilmiştir. Bağımsızlık ve Tarafsızlık başlıklı IIA Uygulama Rehberi (Ekim, 2011) bu konuya ilişkin ilave rehberlik sunmaktadır. Bunun tam tersi olarak GAGAS metninde iç denetçinin bağımsız olması gerektiği belirtilmiş ve bağımsızlık kavramı “zihnen bağımsızlık” ve “şeklen bağımsızlık” terimleri bağlamında tartışılmıştır. Denetçiler, bağımsızlıklarını tehdit eden unsurları tanımlamak için kavramsal bir çerçeve uygulamalı, tanımlanan tehditlerin önemini hem münferiden hem de bir bütün halinde değerlendirmeli ve bu tehditleri yok etmek ya da kabul edilebilir bir düzeye indirmek için gerekli koruyucu unsurları uygulamalıdır. 3.14 No.lu paragrafta tanımlanan kendi kendine değerlendirme tehdidi “denetim faaliyeti içermeyen hizmetleri sunan bir denetçinin ya da denetim kurumunun, denetim faaliyeti içermeyen hizmetler kapsamında önceden yürütülen hizmetlerin ya da varılan yargıların sonuçlarını denetçi için önemli bir yargı oluştururken uygun şekilde değerlendirmemesi” olarak tanımlanır. GAGAS metni, denetim konusunun başladığı dönem ile denetim görevinin uygulandığı süreyi kapsayan süre arasında denetçilerin denetlenen kurumdan bağımsız olması gerektiğini belirtir. Bu süre, denetçilerin işe başlama mektubunu ya da denetimi yapmayı ya da denetime başlamayı kabul ettiğini gösteren başka belgeleri imzalaması durumlarından hangisi önce gerçekleşirse o zaman başlar ve denetçiler ya da denetlenen kurum tarafından mesleki ilişkinin sona erdiğine dair bir belge ya da rapor verilmesi durumlarından hangisi sonra gerçekleşirse o zaman son bulur. Öneri: Denetim kurumları, denetçi olarak çalışan bir kişinin bunun akabinde daha önceden sorumlu olduğu bir alanın denetimiyle görevlendirildiği durumlarda eksik bir bağımsızlık görüntüsü oluşturmamak için GAGAS metninin 3.02 ilâ 3.26 No.lu paragraflarında bağımsızlığa ilişkin yer alan kavramsal çerçeve, ilgili tehditler ve koruyucu unsurlara ilişkin tartışmaları gözden geçirmelidir. Politikalarda yapılan değişiklerin, kurum ve yönetim yapısının gözden geçirilmesi, ilgili şahsın şimdi denetlemekle görevli olduğu alandan ayrıldıktan sonra ne kadar süreyle denetçilik yaptığı ve denetçinin bağımsızlığının başkaları tarafından nasıl algılandığı gibi unsurlar bu koşullar altında yapılacak bir görevlendirmeden önce göz 10 önünde bulundurulması gereken unsurlardır. Bu örnekte görevlendirme yapılırken iç denetim yöneticisi (İDY) ya da iç denetim kurumunun başkanına da denetim gerekçeleri, unsurları ve standartlarına ilişkin hazırlanan dokümanda yer verilmelidir. C. Konu 3 - Denetim Faaliyeti İçermeyen İşlerin Yapılması IIA Standart metninin 1130: Bağımsızlık ya da Tarafsızlığın Zedelenmesi başlıklı kısmında “bağımsızlık ya da tarafsızlık fiilen ya da görünüş itibariyle zedelenmişse buna ilişkin detaylar ilgili taraflara iletilmelidir” cümlesine yer verilmektedir. Ek olarak, Uygulama Tavsiyesi 1130.A2-1: Başka (Denetim Faaliyeti İçermeyen) İşlevler İçin İç Denetim Faaliyetinin Sorumluluğu başlıklı metin, denetçinin hangi durumlarda “denetim faaliyeti içermeyen hizmetler” yürütüyor olarak adlandırılabileceğini ele almaktadır. Bu metne göre denetçiler bu tür bir sorumluluğu üstlenmişse o zaman onlar iç denetçi olarak faaliyet göstermiyorlardır. Ayrıca denetim faaliyeti içermeyen işlerin iç denetçiler tarafından yapıldığı durumların iç denetçinin kurula yaptığı standart bildirimlerde belirtilmesi gerektiği de bu metinde yer almaktadır. Buna kıyasla GAGAS metninin 3.33 ilâ 3.58 No.lu paragraflarında denetlenen kurumların denetim faaliyeti içermeyen hizmetlerine ilişkin hükümler tartışılmaktadır. GAGAS metninin 3.34 No.lu paragrafında denetim faaliyeti içermeyen hizmetlerin yürütülmesi sırasında bağımsızlık konusunda “ denetçi bu tür bir hizmeti vermesi halinde bu tür hizmetin tek başına ya da sunulan diğer denetim faaliyeti içermeyen hizmetlerle bir bütün halinde bağımsızlığa bir tehdit oluşturup oluşturmayacağını yürüttüğü GAGAS denetimi uyarınca belirlemelidir.” hükmüne yer verilmektedir. Ek olarak, GAGAS metninin 3.44 No.lu paragrafında denetçinin bağımsızlığını zedeleyecek bir denetim faaliyeti içermeyen hizmetini denetlenmesi gerekiyorsa ve denetçi bu tehdidi yeterince azaltacak koruyucu unsurları uygulayamıyorsa denetim faaliyeti içermeyen bu hizmetleri yürütmeyi ya reddetmeli ya da bunlara son vermelidir ve denetçi, tehdidin yapısını beyan edip GAGAS uygunluk belgesini buna göre değiştirmelidir. Öneri: Denetim kurumları, 3.02 ilâ 3.26 No.lu paragraflarda yer verilen GAGAS bağımsızlık kavramsal çerçevesini dikkatlice gözden geçirmelidir. Denetim faaliyeti içermeyen bazı hizmet türlerinin iç denetim kurumları ya da belirli bir personel tarafından yürütülmesi verilen denetim görevinin bağımsızlığını zedeleyebileceği ve denetim kurumunun bu tür 11 denetimleri yürütme kabiliyetini anlamlı ölçüde etkileyebileceği için denetim kurumları, 3.33 ilâ 3.58 No.lu paragraflarda yer alan denetim faaliyeti içermeyen hizmetlere ilişkin tartışmaları da dikkatlice gözden geçirmelidir. Denetim kurumları, tüm iş ve işlemlerini GAGAS metninde yer alan daha detaylı yükümlülüklere uygun yürütmek için gerekli tüm çabayı göstermelidir. D. Konu 4 – Kurumun Etik Programının Gözden Geçirilmesi IIA Standart metninin 2110.A1 kısmında “iç denetim faaliyeti, kurumun etik ile bağlantılı amaçlarının, programlarının ve faaliyetlerinin tasarımını, uygulanmasını ve etkinliğini değerlendirmelidir” ibaresi yer almaktadır. Buna karşılık, GAGAS metni denetim kurumunun etik prensiplerini Bölüm 1’de toplar. Ayrıca bir denetim yükümlülüğü olmamasına rağmen GAGAS metninin 1.01 No.lu paragrafı kamu yetkililerinin etik sorumluluğunu tartışır ve bunların kamu işlevlerini etik değerlere uygun yürüteceğine dair bir beklenti oluşturur. IIA Standartlar metni, bu konuda daha detaylı bir metin gibi gözükmektedir ve sadece denetim kurumunun etik değerlerinin değil aynı zamanda tüm kurumun etik ile bağlantılı amaçlarının, programlarının ve faaliyetlerinin periyodik olarak değerlendirilmesini gerektirmektedir. Öneri: IIA Standartlar metninin ek yükümlülüklerine uymak için kurumun etik programının periyodik değerlendirilmesi yapılmalı ve bu değerlendirme, bir not ya da kısa bildiriyle dosyaya işlenerek veya konuyla ilgili bir denetim vasıtasıyla belgelendirilmelidir. E. Konu 5 – Genel Denetim Planına İlişkin Risk Değerlendirmesi IIA Standart 2010: Planlama kısmında İDY “kurumun amaçlarına uygun olarak iç denetim faaliyetinin önceliklerini belirleyecek risk temelli planları belirlemelidir.” hükmüne yer verilmektedir. IIA Standart 2010. A1 ayrıca “iç denetim faaliyetine ilişkin görevlendirme planı belgelendirilmiş bir risk değerlendirmesi esasında en az bir yıllık yapılmalıdır. Üst yönetim ve kuruldan gelen bilgiler de bu süreçte göz önünde bulundurulmalıdır.” hükmüne de yer vermektedir. Risk Yönetiminin Yeterliliğini Değerlendiren IIA Tavsiye Rehberi (Aralık, 2010) bu konuya ilişkin ilave bilgiler sunmaktadır. GAGAS metni, denetim kurumunun genel denetim planlamasına ilişkin yükümlülükleri içermez ancak münferit denetimlerle bağlantılı planlamaya odaklanır. 12 Öneri: IIA Standartlar belgesinin ilave yükümlülüklerine uymak için denetim kurumu, belgelendirilmiş risk değerlendirmesi esasında en az bir yıllık yapılmış bir görevlendirme planını tamamlamalıdır. F. Konu 6 – Dış Kalite Güvence Gözden Geçirmesi IIA Standart 1312: Dış Değerlendirmeler kısmında “dış değerlendirmeler her beş yılda bir en az bir kez kurum dışından kalifiye, bağımsız bir gözden geçiren ya da gözden geçirenler ekibi tarafından incelenmelidir.” hükmüne yer verilmektedir. Buna karşılık GAGAS metninin 3.96 No.lu paragrafı işlerini GAGAS metnine uygun yürüten denetim kurumlarının her üç yılda bir en az bir kez denetim kurumundan bağımsız gözden geçirenler tarafından yapılan bir dış akran değerlendirmesine tâbi tutulması gerektiğini belirtir. GAGAS metninin 3.105 No.lu paragrafı iç denetim kurumlarının dış akran değerlendirme raporlarının bir kopyasını yönetişimle ilgili birime sunmasını da şart koşar. IIA Standart 1320: Kalite Güvence ve İyileştirme Programına İlişkin Raporlama [(Quality Assurance and Improvement Program) (QAIP)] kısmında İDY’nin “kalite güvence ve iyileştirme programına ilişkin sonuçları üst yönetim ve kurula bildirmesi” şart koşulmaktadır. Öneri: IIA Standartlar ve GAGAS metinleri uyarınca denetimlerini yapan denetim kurumları, hem IIA Standartlar metnine hem de GAGAS metnine uygun hareket ettiklerini göstermek için her üç yılda bir yapılan bir akran değerlendirmesine ya da bir dış kalite güvence gözden geçirmesine sahip olmalıdır. Bu yaklaşımın, her üç yılda bir yapılan GAGAS gözden geçirmesine ve her beş yılda bir yapılan IIA Standartlar değerlendirmesine kıyasla daha etkili olması olasıdır. G. Konu 7 – Kalite Güvence Sistemleri IIA Standart 1300: Kalite Güvence ve İyileştirme Programı, İDY’nin “iç denetim faaliyetinin tüm yönlerini kapsayan bir QAIP geliştirmesi ve bunu sürdürmesini “ şart koşar. Standart 1310: Kalite Güvence ve İyileştirme Programına İlişkin Yükümlülükler kısmında “programın hem iç hem de dış değerlendirmeler içermesi” gerektiği yer almaktadır. Standart 1311: İç Değerlendirmeler kısmında “iç değerlendirmeler yürütülen iç denetim faaliyetinin sürekli izlenmesini ve kurum içinde iç denetim uygulamalarına ilişkin yeterli bilgiye sahip başka 13 kişiler ya da kendi kendine değerlendirme yoluyla periyodik gözden geçirmeleri içermelidir. “ hükmüne yer vermektedir (Dış değerlendirmeler Konu 6 başlığı altında tartışılmaktadır). Standart 1320 İDY’nin “QAIP sonuçlarını üst yönetim ve kurula bildirmesini” şart koşar. Son olarak Uygulama Tavsiyesi 1311-1: İç Değerlendirmeler kısmı İDY’nin iç değerlendirmelere ilişkin sonuçları en az bir yıllık rapor ettiği durumlarda dâhil iç denetim faaliyeti kapsamındaki iç değerlendirmelerin yürütülmesine ilişkin tavsiye edilen bilgiler içermektedir. Ek olarak, İç Denetimin Etkinliği ve Verimliliğini Ölçen IIA Uygulama Rehberi de bu konuya ilişkin ilave bilgiler içermektedir. GAGAS metninin 3.82 No.lu paragrafı “GAGAS metnine uygun denetim faaliyetleri yürüten her bir denetim kurumu, kurumun ve kurum personelinin uyacağı mesleki standartlar ve cari yasal ve düzenleyici koşulları sağlayacak makul güvenceyi denetim kurumuna sunacak şekilde tasarlanmış bir kalite kontrol sistemini kurmalı ve sürdürmelidir." şeklindedir. Bu kalite kontrol sistemi uyarınca 3.84 No.lu paragraf denetim kurumlarının kalite kontrol politikaları ve prosedürlerini belgelendirmesi ve bildirmesini şart koşar. 3.85 No.lu paragraf uyarınca bu politika ve prosedürler hep birlikte şunları ele almalıdır: Denetim kurumu içerisinde kaliteye ilişkin liderlik sorumlulukları; bağımsızlık, yasal ve etik yükümlülükler; denetimlerin başlatılması, kabulü ve sürdürülmesi; insan kaynakları; denetim performansı, belgelendirme ve raporlama; kalitenin izlenmesi. Ayrıca 3.95 No.lu paragraf denetim kurumunun izleme prosedürlerine ilişkin sonuçları en azından yıllık analiz etmesi ve özetlemesi ve geliştirmeye ihtiyaç duyulan herhangi bir sistemik ya da tekrar eden konunun tanımlanması ve buna ilişkin düzeltici adımlara ilişkin tavsiyelere yer verilmesi” gerektiğini belirtir. Her iki standartlar dizisi de denetim kurumunun bir kalite güvence sistemi kurması gerektiğine dair ihtiyacı tartışmaktadır. Ancak GAGAS metninde denetim kurumunun kalite güvence sistemine ilişkin daha detaylı yükümlülüklere ve izleme prosedürleri sonuçlarının analiz ve özetinin yıllık yapılmasına ilişkin yükümlülüğe yer verilmiştir. Öneri: Denetim kurumları, denetim kurumunun kalite güvence sistemlerine ilişkin konularda GAGAS metninin daha detaylı yükümlülüklerini ve IIA Uygulama Tavsiyesi 1311-1 kısmındaki tavsiyeleri takip etmeli ve izleme prosedürlerine ilişkin sonuçları en azından yıllık olarak analiz etmeli ve özetlemelidir. 14 H. Konu 8 – Standartlara Uyumun Raporlanması GAGAS metninin 7.30 No.lu paragrafı, denetçinin işin GAGAS ile uyumlu yürütüldüğünü gösteren özgün bir dil kullanması gerektiğini söyler. Bu dil, denetimin GAGAS’a uygun olduğunu gösteren bir uygunluk beyanı ve planlamaya ilişkin iş tanımı, işin yapımı ve kanıtlar sunar ve toplanan kanıtların bulgu ve tavsiyelere ilişkin makul bir gerekçe sunduğuna dair makul güvenceler sağlar. Öneri: Rapor yazarken GAGAS metninin dilini kullanınız ve aşağıda sunulan metne benzer şekilde IIA Standartlar metnine atıf yapınız: Bu denetim faaliyetini Genel Kabul Gören Kamu Denetim Standartlarına ve İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara uygun yürüttük. Bu standartlar uyarınca denetim amaçlarımız esasında elde edeceğimiz bulgu ve sonuçlara ilişkin makul bir gerekçelendirme sunmak için yeterli ve uygun kanıtlar bulacak şekilde denetimlerimizi planlamamız ve yürütmemiz gerekmektedir. Elde edilen kanıtların denetim amaçlarımız esasında ulaştığımız bulgulara ve sonuçlara ilişkin makul gerekçeler sunduğuna inanmaktayız. Not: QAIP oluşturmayan iç denetim kurumları yukarıdaki açıklamayı yapamazlar. QAIP sonuçları, hem iç hem de dış değerlendirmelere ilişkin sonuçları içermektedir. Bakınız: IIA Standartları 1321: “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygunluk”, 2430: “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygun Yürütülmüştür” İbaresinin Kullanımı, Uygulama Tavsiyesi 1321-1 “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygunluk” Hükmünün Kullanımı. I. Konu 9 – Standartlara Atıf Yapma IIA Standart 1321 uyarınca İDY yalnızca QAIP sonuçları kendi beyanını destekliyorsa iç denetim faaliyetinin Standartlara uygun olduğunu beyan edebilir. Ayrıca Uygulama Tavsiyesi 1321-1 kısmı dış gözden geçirme, iç denetim faaliyetinin İç Denetim Faaliyeti Tanımı, Etik Kurallar ve Standartlara uygunluğunu kanıtlayıncaya kadar uygunluk ifadesinin kullanımının doğru olmayacağını söyler. Buna karşılık GAGAS metninin 2.24 ve 7.30 No.lu paragraflarında iç denetçinin denetçi raporuna bir GAGAS uygunluk beyanı eklemesini ifade eder. GAGAS metni, denetim 15 standartlarına uygunluğun rapor edilmesine ilişkin daha detaylı yükümlülükler içerir. Paragraf 3.97 henüz akran değerlendirme yükümlülüğüne tâbi olmayan bir denetim kurumu için yapılacak ilk akran değerlendirmesinin gözden geçirme süresinin kurumun GAGAS uyarınca yapılan ilk denetiminden üç sene geç olmamak şartıyla bir gözden geçirme süresini kapsayacağını belirtir. 3.93 ilâ 3.95 No.lu paragraflar mesleki standartlar ve yasal ve düzenleyici koşulların takip edilip edilmediğini, kalite kontrol sistemlerinin usulüne uygun tasarlanıp tasarlanmadığını ve kalite kontrol ve politikaları ve prosedürlerinin etkin bir biçimde çalışıp çalışmadığını ve pratikle uygun olup olmadığını değerlendirmek için izleme faaliyetlerini kalite kontrol sisteminin bir parçası olarak tartışır. Öneri: Denetim faaliyeti, değerlendirmelerin denetim faaliyetinin IIA Standartlarına uygun olduğunu kanıtlayıncaya kadar denetçiler, Standartlara uygun yürütülen faaliyetleri rapor etmemelidir ancak denetçiler, GAGAS uyarınca izin verilen uygunluk beyanlarını yapabilirler. Denetim faaliyeti her iki standarda uygun yapılıyorsa GAGAS uygunluk beyanı IIA standartlarına uygunluğa dair bir atıf içerebilir. J. Konu 10 – Suistimal Hem IIA Standartları hem de GAGAS, gerekli bilgiler, planlama, ilave prosedürlerle ilgili olduğu için yolsuzluğu çeşitli yönlerden ele alır ve şu şekilde rapor eder: Bilgi – Aşağıda verilen IIA Standartları suistimal riskinin ele alınmasına rehberlik eder: o Standart 2120.A2 uyarınca iç denetim faaliyeti “yolsuzluğun gerçekleşme olasılığını ve kurumun suistimal riskini nasıl ele aldığını değerlendirmelidir.” o Standart 1210.A2 uyarınca iç denetçiler “suistimal riskini ve kurumun bunu yönettiği yapıyı değerlendirmek için yeterli bilgiye sahip olmalıdır” ancak birincil sorumluluğu yolsuzluğu saptamak ve incelemek olan bir kişinin sahip olduğu uzmanlık bilgisini onlardan beklemez. o Standart 1210.A1 uyarınca iç denetçiler “anlamlı hatalar, suistimal ya da uygun olmama durumlarını değerlendirirken gerekli mesleki özeni göstermelidir”. 16 Ek olarak, IIA İç Denetim ve Suistimal Uygulama Rehberi (2009) suistimal farkındalığı, görev sırasındaki sorumluluklar, risk değerlendirme, önleme ve saptama, inceleme ve bildirim gibi konularda iç denetçilere daha detaylı bilgiler sunmaktadır. GAGAS metninin 3.69 No.lu paragrafı uyarınca “denetim faaliyetini yürütmekle görevli personel, denetim amaçlarını karşılamak ve işi GAGAS metnine uygun gerçekleştirmek için gerekli ve yeterli mesleki yetkinliğe birlikte sahip olmalıdır.” Bu durumda yeterlilik kavramıyla yolsuzluğun saptanması ima edilmektedir. Planlama – Her iki standart uyarıca risk olasılığı görev planlaması sırasında değerlendirilmelidir. Bu konuya ilişkin birincil IIA Standartları 2120.A1 ve 2120.A2’dir. Bu konuya ilişkin birincil GAGAS paragrafları ise 6.30 ilâ 6.32’dir. Ek Prosedürler – 6.30 No.lu paragrafta GAGAS metni denetim ekibi üyelerinin kişilere suistimal yapma imkanı tanıyan unsurlar da dâhil olmak üzere suistimal risklerini ekip arasında tartışmalarını ister. Ayrıca GAGAS metninin 6.31 ve 6.32 No.lu paragrafları denetçilerin gerçekleşmiş ya da gerçekleşme ihtimali olan suistimal risklerini ya da unsurlarını tanımlarken ilave prosedürler de tasarlamalarını ister. Bu denetim amaçları bağlamında anlanmalı bir işlemdir. Raporlama – IIA Standart 2060: Üst Yönetime ve Kurula Rapor Etme ve GAGAS metninin 7.18, 7.21 ve 7.24 No.lu paragrafları yolsuzluğun rapor edilmesine ilişkin spesifik bilgiler sunar. GAGAS metninin 7.21 No.lu paragrafı denetçinin gerçekleşmiş ya da gerçekleşme ihtimali olan yolsuzluğu rapor etmesini şart koşar ve bu denetim amaçları bağlamında önemli bir işlemdir. Ek olarak, GAGAS metninin 7.22 No.lu paragrafı denetçinin denetim amaçları bağlamında anlamlı olmayan yolsuzluğu denetlenen kurum yetkililerine yazılı olarak bildirmesini ancak bu konuya ilişkin yönetişimden sorumlu birimlerin dikkatini de çekmesini istemektedir. Öneri: Hem IIA Standartlar hem de GAGAS metni yolsuzluğa ilişkin bilgiler sunmaktadır. Ancak GAGAS metni bu konuya ilişkin daha spesifik bilgiler sunmaktadır. Her bir denetim için suistimal konusunda bir beyin fırtınası yapılması, saptanacak suistimalle ilgili faktörler ve risklere ilişkin ilave denetim prosedürlerinin uygulanması GAGAS metninde bu konuya ilişkin yer alan spesifik yükümlülüklerdir. Bu yükümlülüklere mevcut IIA Standartlarında yer 17 verilmemiştir. Ek olarak, GAGAS yolsuzluğun rapor edilmesine ilişkin daha detaylı yükümlülükler içerir. Denetçiler, daha detaylı olan GAGAS yükümlülüklerini takip etmelidir. K. Konu 11 – Önceki Denetimlerin İzlenmesi IIA Standart 2500: İzleme Süreci, İDY’nin “yönetime bildirilen sonuçların izlenmesini sağlayacak bir sistem kurması ve bu sistemi sürdürmesini” öngörür. Ayrıca Standart 2500.A1 İDY’nin “yönetimin eylemlerinin etkin bir biçimde uygulanmasını ya da üst yönetimin eyleme geçmeme riskini kabul ettiğini sağlayacak ve izleyecek bir izleme süreci oluşturmasını” da öngörür. Buna karşılık, GAGAS metninin 6.36 No.lu paragrafı uyarınca “denetçiler, önceki görevler sırasında elde edilen ve denetim amaçları bağlamında anlamlı olan bulguların ve tavsiyelerin gerçekleştirilmesi için denetlenen kurumun uygun düzeltici adımları atıp atmadığını değerlendirmelidir.“ Denetim faaliyeti planlanırken, denetçiler, denetlenen kurumun yönetimine önceki denetimlere, tasdik görevlerine, performans denetimlerine ve denetim amaçlarıyla doğrudan bağlantılı başka çalışmalara ve tüm bunlar esnasında yapılan tavsiyelerin uygulanıp uygulanmadığı dair sorular sormalıdır. Denetçiler, mevcut denetim işine ilişkin riskleri değerlendirirken ve bu işin yapısını, süresini ve kapsamını belirlerken bu bilgileri kullanmalıdır. Uygulanacak düzenleyici eylemlerin mevcut denetim amaçlarına ne ölçüde uygulanabilir olup olmadığını belirlerken de bu bilgiler kullanılmalıdır. IIA Standartları, hesap verebilirliği sağlamak için her bir denetim faaliyeti için izleme faaliyetlerinin yürütülmesini öngörürken GAGAS metni, yönetim tarafından atılan bu tür adımların mevcut göreve ilişkin planlamayı etkileyeceği ölçüde önceki denetimlerin izlenmesini öngörür. Ek olarak GAGAS metninin A1. 08f paragrafında elde edilen bulguların ve yapılan tavsiyelerin izlenmesine ilişkin bir sürecin kurulma ve sürdürülme sorumluluğunun yönetime ait olduğu hükmüne yer verilmektedir. Öneri: Denetim kurumları, yönetim sorumluluklarını üstlenmeden IIA Standartlarında daha detaylı yer verilen yükümlülükleri karşılayacak bir izleme süreci kurmalıdır. L. Konu 12 – Sürekli Mesleki Eğitim [(Continuing Professional Education) - (CPE)] IIA Standart 1230: Sürekli Mesleki Eğitim uyarınca “iç denetçiler bilgi, beceri ve diğer yeteneklerini sürekli mesleki eğitim yoluyla artırmalıdır”. Uygulama Tavsiyesi 1230-1 18 uyarınca “mesleki sertifikalara sahip iç denetçiler, mesleki sertifikanın gerektirdiği yükümlülükleri karşılayacak yeterli CPE’yi almakla yükümlüdür”. Hâlihazırda bir sertifikaya sahip olmayan iç denetçiler, mesleki sertifika almaya yönelik çabaları destekleyecek bir CPE’ye katılmaya teşvik edilmelidir. IIA Standartları, sertifika sahibi olmayan denetçiler için yıllık ya da iki yılda bir tavsiye edilen belli bir eğitim saatini göstermez. GAGAS metninin 3.76 No.lu paragrafı denetçilerin doğrudan kamu denetimi, kamu ortamı ya da denetlenen kurumunun faaliyet gösterdiği spesifik ve benzersiz faaliyet ortamına ilişkin her iki yılda bir en az 24 saatten oluşan bir CPE almasını öngörür. GAGAS denetimlerinin planlama, yönlendirme veya raporlama aşamalarında herhangi bir şekilde yer alan denetçilerin ve bu denetimlerde yer almamakla birlikte zamanlarının yıllık en az yüzde yirmisini ya da daha fazlasını GAGAS denetimleriyle geçiren denetçilerin, bu denetimlere ilişkin mesleki yetkinliklerini artıracak ilave 56 saatlik bir CPE’ye (her iki yıllık dönemde toplam 80 saatlik bir CPE) katılmasını öngörülmektedir. GAGAS metni uyarınca çalışan denetim ekibinin bir parçası olarak görev yapan iç denetim uzmanlarının da bu CPE’yi alması gerekmektedir. Bu iç denetim uzmanlarının uzmanlık alanlarında 24 saatlik bir eğitim almaları gerekmektedir. GAGAS metninin CPE yükümlülüklerini tanımlayan kısmı sertifikalı personel ile sertifika sahibi olmayan personel arasında tavsiye edilen CPE’ye ilişkin bir ayrım yapmaz. Öneri: İç denetim kurumları, sertifika sahibi olsun ya da olmasın işlerini GAGAS metni uyarınca yürüten tüm denetçiler ve iç denetim uzmanları için CPE’ye ilişkin daha detaylı yükümlülükler sunan GAGAS metnini takip etmelilerdir. GAGAS metni CPE yükümlülüklerine uyum kısmına ilişkin daha detaylı bilgi için GAGAS Sürekli Mesleki Uyum Yükümlülükleri için Kamu Denetimi Standartları Rehberine bakınız. Sonuç GAGAS ya da IIA Standartlarına uyması gereken ya da bunların her ikisini de kullanmayı seçen kurumların bu karşılaştırmayı incelemesi iç denetim faaliyetlerinin kalitesini artırır. Standartlar arasında bir farklılık gözlemlendiğinde hangisinin üstün olduğuna dair kaçınılmaz olarak sorular ortaya çıkacaktır. Bu durumlara ilişkin atılacak uygun eylemlere dair öneriler sağlayan bu karşılaştırma metni konunun açıklığa kavuşması için kamu iç denetçilerine ilave bilgiler sunmakta ve bu standartların birbiriyle uyumlu olduğunu kanıtlamaktadır. 19 EK – GAGAS Metninin UMUÇ ile Uyumlulaştırılması 2011 GAGAS 2011 UMUÇ Bölüm 1 Kamu Denetimi: Temel ve Etik Prensipler – Giriş: 1.03 Kanun koyuculara, gözetim organlarına, yönetişimden sorumlu birimlere ve kamuoyuna karşı hesap verebilirliğin sağlaması için kamunun denetlenmesi esastır. Denetim faaliyetinin türü ve kapsamına bağlı olarak denetimler; yönetimin ve performansın ya da kamu politikaları, programlarının veya işlemlerinin maliyetinin bağımsız, tarafsız ve yansız bir biçimde değerlendirilmesini sağlarlar. İç Denetimin Tanımı İç denetim, kurum işlemlerine değer katmak ve bunları geliştirmek için tasarlanmış bağımsız ve tarafsız bir güvence ve danışma faaliyetidir. İç denetim risk yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve bunları geliştirmek için sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardım eder. Etik Kurallar İç denetçilerin şu prensipleri uygulaması ve koruması beklenir: Bütünlük, Tarafsızlık, Gizlilik ve Yetkinlik. 1000 – Amaç, Yetki ve Sorumluluk: İç denetim faaliyetinin amaç, yetki ve sorumluluğu; İç Denetim Tanımı, Etik Kurallar ve Standartlara uygun biçimde iç denetim sözleşmesinde önceden resmi olarak tanımlanmalıdır. İç denetim yöneticisi, iç denetim sözleşmesini düzenli aralıklarla gözden geçirmeli ve onay için üst yönetim ve kurula sunmalıdır. GAGAS Metninin Amacı ve Uygulanabilirliği 1.05 GAGAS metni uyarınca yapılan denetimler gözetim, hesap verebilirlik ve şeffaflık kriterleri için kullanılacak bilgiler sunar ve kamu programları ve işlemlerinin iyileştirilmesini sağlar. GAGAS denetçilerin yeterli ve uygun kanıtları tarafsız bir biçimde toplaması ve değerlendirmesi ve sonuçları rapor etmesine yardım edecek yükümlülükler ve rehberlik sağlar. Denetçiler işlerini bu şekilde yapar ve sonuçları GAGAS’a uygun rapor ederlerse yapılan bu işler kamu yönetiminin gelişmesini, karar alma ve gözetim sürecinin daha da iyileşmesini, işlerin etkin ve verimli olmasını ve kaynaklara ve sonuçlara ilişkin hesap verebilirlik ve şeffaflık kriterlerine ulaşılmasını sağlar. 1.06 Kanun, yönetmelik, sözleşmeler ve hibe anlaşmaları hükümleri veya politikalar denetimlerin GAGAS uyarınca yürütülmesini sıklıkla emrederler. Buna ek olarak, çoğu denetçi ve denetim kurumu işlerini GAGAS’a uygun yürütmeyi gönüllü olarak seçer. GAGAS metninin kullanımı emrediliyorsa ya da bu metin gönüllü seçilmişse GAGAS metninde yer alan yükümlülükler ve yol gösterici bilgiler; kamu kurumları, programları, faaliyetleri ve işlevlerinin denetimi ile yükleniciler, kâr amacı gütmeyen kuruluşlar ve diğer sivil toplum kuruluşları tarafından uygulanan devlet destekli programların denetimi için geçerlidir. Etik Prensipler – Kamu Çıkarı: 1.15 Kamu çıkarı, denetçilerin hizmet ettiği insanlar ve kurumlar topluluğunun müşterek iyi olma durumu olarak tanımlanır. Mesleki sorumluluklarını yerine getirirken denetçilerin bütünlük, tarafsızlık ve bağımsızlık prensiplerini gözetmesi onların kamu çıkarına hizmet etme ve kamuoyunun güvenini kazanma prensiplerine ulaşmalarına yardım eder. Kamu çıkarı prensibi, denetçi sorumlulukları için temel bir prensiptir ve kamu ortamında kritik öneme sahiptir. 1.16 Bir denetçinin ayırt edici özelliklerinden birisi kamu çıkarına hizmet etme sorumluluğunu kabul etmesidir. Kamu çevresinde denetim yapılırken bu sorumluluk kritik öneme sahiptir. GAGAS metni, kamu çıkarı için hizmet etmenin temel prensiplerden 20 biri olan kamu kaynaklarına karşı hesap verebilir olma kavramını içerir. Bütünlük: 1.18 Denetlenen programın ya da faaliyetin kamu çıkarlarıyla tutarlı kararlar alınması bütünlük prensibinin önemli bir parçasıdır. Mesleki sorumluluklarını ifa ederken denetçiler, denetlenen kurumun yönetim kademesinden, kamunun çeşitli birimlerinden ya da başka benzer kullanıcılardan gelen ve birbiriyle çelişen baskılara maruz kalabilirler. Denetçiler, kişisel ya da kurumsal kazanım elde etmek için yapılan uygun olmayan baskılara da maruz kalabilirler. Bu baskı ve ihtilafların çözümü için bütünlük prensibi dâhilinde hareket etme denetçinin kamu çıkarını gözeten sorumluluklara öncelik vermesi anlamına gelir. 1.17 İdareye karşı kamuoyu güveni, denetçilerin mesleki sorumluluklarını bütünlük ilkesi dâhilinde yürütmeleriyle sağlanır ve güçlendirilir. Denetlenen kurumlar ve denetçi raporlarını kullananlar bakımından denetçilerin işlerini tarafsız, gerçeklere dayalı, yansız ve ideolojik olmayan bir tutumla yapmaları bütünlük ilkesinin bir gereğidir. Cari gizlilik kanun, kural ya da politikalarında yer alan kısıtlamalar uyarınca denetlenen kurum ve yönetişimden sorumlu birim ve denetim sözleşmesini imzalayan ya da denetimi talep eden şahıs ile yapılan iletişimlerin dürüst, samimi ve yapıcı olmaları beklenir. Tarafsızlık: 1.19 Kamuda denetimin güvenirliği, denetçinin mesleki sorumluluklarını yerine getirmedeki tarafsızlığına bağlıdır. Denetim yaparken zihnen ve şeklen bağımsız olma, tarafsız bir yaklaşım sergileme, entelektüel açıdan dürüst olma ve çıkar çatışmasına sahip olmama tarafsızlık ilkesinin unsurlarıdır. Denetçilerin kamuoyuna sorumlulukları bağlamında denetlenen kurumlar ile diğer paydaşlarla olan ilişkilerini sürekli değerlendirmeleri de tarafsızlığın korunması için önemlidir. Tarafsızlık ve bağımsızlık kavramları birbirleriyle yakinen bağlantılı kavramlardır. Bağımsızlığın zedelenmesi tarafsızlığı da etkiler (Dipnot gösterilmemiştir). Kamu Bilgileri, Kaynakları ve Makamlarının Usulüne Uygun Kullanımı 1.20 Kamu bilgileri, kaynakları ve makamları resmi amaçlara uygun kullanılır ve bunlar, denetçinin şahsi çıkarları için ya da kanuna aykırı ya da denetlenen kurumun veya denetim kurumunun meşru çıkarlarına zarar verecek şekilde kullanılamaz. Bu kavram, hassas ya da gizli bilgi veya kaynakların usulüne uygun Bütünlük (Etik Kurallar –Prensipler) İç denetçilerin bütünlük ilkesine uygun hareket etmeleri güven oluşturur ve böylece onların kanaatlerine güvenilmesini sağlar. 1. Bütünlük (Etik kurallar – Davranış kuralları) İç denetçiler; 1.1 işlerini dürüst, özenli ve sorumlu bir biçimde yapmalıdır. 1.2 kanunlara uymalı ve kanunun ve mesleğin öngördüğü açıklamaları yapmalıdırlar. 1.3 herhangi bir kanunsuz faaliyetin bilerek tarafı olmamalı ve iç denetim mesleği ya da kurumun itibarını zedeleyecek faaliyetlerde yer almamalıdır. 1.4 kurumun meşru ve etik amaçlarına saygı duymalı ve bunlara katkı sağlamalıdırlar. Tarafsızlık (Etik kurallar – Prensipler): İç denetçiler incelenen faaliyet ya da sürece ilişkin bilgileri toplarken, değerlendirirken ya da bildirirken mesleki tarafsızlıkları en yüksek düzeyde olmalıdır. İç denetçiler, bir kanaate varırken tüm ilgili koşulları dengeli bir biçimde değerlendirmeli ve kendi çıkarları ya da başkalarının çıkarlarından olumsuz etkilenmemelidirler. 2. Tarafsızlık (Etik Kurallar – Davranış Kuralları) İç denetçiler; 2.1 değerlendirmelerinin tarafsızlığını olumsuz etkileyecek ya da öyle olduğunun düşünülmesine yol açacak herhangi bir faaliyet ya da ilişki içerisinde yer almamalıdırlar. Kurumun çıkarlarıyla çelişen faaliyetler veya ilişkiler de bunlara dâhildir. 2.2 mesleki kanaatlerini olumsuz etkileyecek ya da öyle olduğunun düşünülmesine yol açacak herhangi bir şeyi kabul etmemelidirler. 2.3 açıklanmaması halinde gözden geçirilen faaliyetlere ilişkin raporun çarpıtılmasına neden olabilecek bilgileri dâhilindeki tüm maddi gerçekleri açıklamalıdırlar. Gizlilik (Etik Kurallar –Prensipler): İç denetçiler, aldıkları bilgilerin değerine ve sahibine saygı göstermeli ve bunları yasal ya da mesleki bir zorunluluk olmadıkça yetkisiz kişilere ifşa etmemelidir. 3. Gizlilik (Etik Kurallar - Davranış Kuralları) İç denetçiler; 3.1 görevleri sırasında elde ettikleri bilgilerin 21 kullanımını da kapsar. 1.21 Kamu ortamında kamusal bilgilerin şeffaflığına ilişkin kamunun hak sahibi olması ile bu tür bilgilerin usulüne uygun kullanımı arasında bir denge sağlanmalıdır. Ek olarak, birçok kamusal program bilgi ifşasına ilişkin kanun ve yönetmeliklere tâbidir. Denetçinin görevi sırasında elde ettiği bilgileri kullanırken hassas ve dikkatli olması bu dengenin sağlanmasında önemli bir role sahiptir. Bu tür bilgilerin üçüncü şahıslara usulüne uygun olmayan yollardan ifşa edilmesi kabul edilebilir bir uygulama değildir. 1.22 Kamu kaynaklarının usulüne uygun kullanımı ve ihtiyatlı yönetimi açısından kamuya karşı hesap verebilir olma, denetçinin temel sorumluluklarından biridir. Kamu kaynaklarının korunması ve muhafaza edilmesi ve bunların yetkilendirilen faaliyetler için usulüne uygun kullanılması, kamuoyunun denetçilerden beklediği en önemli unsurlardan biridir. Mesleki Davranış: 1.24 İlgili tüm kanuni, düzenleyici ve mesleki yükümlülüklere uyma ve ilgili bilgilere sahip tarafsız üçüncü bir şahsın denetçinin işinin mesleki açıdan zedelendiğini düşünmesine neden olabilecek eylemler de dâhil olmak üzere denetçinin mesleğine zarar verecek davranışlardan kaçınması denetim mesleğine ilişkin yüksek beklentilerdendir. Denetçilerin görevlerini yerine getirirken dürüst bir çaba göstermeleri ve ilgili teknik ve mesleki standartlara uygun profesyonel hizmetler sunmaları da bu mesleki davranışlara dâhildir. Bölüm 2: GAGAS Metninin Kullanılması ve Uygulanmasına İlişkin Standartlar GAGAS Denetim ve Tasdik Görevi Türleri: 2.04 Bazı denetimlerde spesifik amaçlar için geçerli standartlar belirgin bir biçimde mevcut olabilir ancak bazı denetimler çoklu ya da mükerrer amaçlar içerebilir. Örneğin amaç performans ölçütlerinin güvenirliğini denetlemek ise bu iş tasdik görevi standartları ya da performans denetimlerine uygun yapılabilir. Cari standartlar arasında seçim yapma imkânının olduğu durumlarda hangi standarttın uygulanacağına karar verirken denetçiler, kullanıcının ihtiyaçlarını ve denetçinin bilgi, beceri ve deneyimini dikkate alarak değerlendirme yapmalıdır. Performans Denetimleri: 2.10 Performans denetimleri, belirlenen kriterlere karşı yeterli, uygun kanıtlar esas alınarak yapılan bir değerlendirme sonucunda elde edilen bulgu ve sonuçlar sağlayan denetimler olarak tanımlanır. Performans denetimleri, yönetime ve yönetişimden sorumlu kişilere yardım edecek tarafsız analizler sağlar, program performansını ve işlemleri geliştirecek bilgilerin kullanımına ilişkin denetim sağlar, maliyetleri azaltır, düzeltici adımları denetlemek ya da başlatmakla sorumlu tarafların karar almasını kolaylaştırır ve kamu hesap verebilirliğine katkı sağlar. GAGAS metninde geçen “program” terimine kamu kuruluşları, kurumları, faaliyetleri ve işlevleri dâhildir. kullanımı ve korunması hususunda hassas olmalıdır. 3.2 bu bilgileri şahsi çıkarları için ya da kanuna aykırı ya da kurumun meşru ve etik amaçlarına zarar verecek şekilde kullanmamalıdır. 1220 – Gerekli Mesleki Özen: İç denetçiler, dikkatli ve yetkin bir iç denetçiden beklenen makul özen ve becerileri sergilemelidir. Gerekli mesleki özeninin gösterilmesi hatasızlık anlamına gelmez. 1000.A1 Kuruma sağlanacak güvence hizmetlerinin yapısı iç denetim sözleşmesinde tanımlanmalıdır. Güvence hizmetleri kurum dışındaki taraflara da sunulacaksa bu güvence hizmetlerinin yapısı da iç denetim sözleşmesinde tanımlanmalıdır. 2110 – Yönetişim: İç denetim faaliyeti şu amaçlara ulaşılması için yönetişim sürecinin geliştirilmesine yönelik değerlendirmeler yapmalı ve uygun önerilerde bulunmalıdır: Kurum içinde uygun etik kurallar ve değerlerin teşvik edilmesi; Etkili kurumsal performans yönetimi ve hesap verebilirliğin sağlanması; Risklerin ve kontrol bilgilerin kurumun ilgili birimlerine bildirilmesi; Kurul, dış ve iç denetçiler ve yönetim arasında faaliyetlerin koordine edilmesi ve bilgilerin iletilmesi. 22 2.12 GAGAS metni, denetimlerin ya da tasdik görevlerinin dışında kalan ve mesleki hizmetler olarak tanımlanan denetim faaliyeti içermeyen hizmetleri kapsamaz. Bu nedenle denetçiler, GAGAS metni uyarınca yürütülen ve denetim faaliyeti içermeyen hizmetleri rapor etmezler. Denetim kurumunun bir GAGAS denetim faaliyeti yürüttüğü bir kuruluş için denetim faaliyeti içermeyen bir hizmet verilirken denetim kurumları verilen hizmetlerin GAGAS metni uyarınca bir denetim faaliyeti oluşturmayacağını açıklığa kavuşturmak için bu hizmeti talep edenlerle ve yönetişimden sorumlu birimlerle iletişime geçmelidir. 2.13 Denetim kurumları, GAGAS uyarınca denetim hizmeti de verdikleri kurumlara denetim faaliyeti içermeyen hizmetler sunduklarında denetim faaliyeti içermeyen bu hizmetlerin denetçiler ve denetim kurumunun bağımsızlığı üzerindeki etkisini değerlendirmeli ve GAGAS metninin bağımsızlık standardı uyarınca bağımsızlığa karşı saptadıkları tehditlere karşılık vermelidir. GAGAS Metninde Mesleki Yükümlükleri Tanımlamak İçin Kullanılan Terminolojinin Kullanımı 2.15 GAGAS metninde spesifik terimlerle tanımlanan ve denetçiler ile denetim kurumlarına yüklenen sorumluluğunun derecesini göstermek için iki tür yükümlülük kullanılır. Bunlar şunlardır: a. Şartsız yükümlülükler: Bu tür bir yükümlülüğün ilgili olduğu tüm durumlarda denetçiler ve denetim kurumları koşulsuz şartsız bu yükümlülüğe uymak zorundadır. GAGAS metninde “yapılmak zorundadır” (İngilizce metinde “must”) ibaresi şartsız yükümlülükleri göstermek için kullanılır. b. Varsayımsal olarak zorunlu olan yükümlülükler: Paragrafta tartışılan istisnai durumlar hariç bu tür bir yükümlülüğün uygulanabilir olduğu tüm durumlarda denetçiler ve denetim kurumları varsayımsal olarak zorunlu olan yükümlülüklere uymalıdır. 2.16 GAGAS metninde “yapılmalıdır” (İngilizce metinde “should”) ibaresi varsayımsal açıdan zorunlu yükümlükleri göstermek için kullanılır. GAGAS ile Diğer Mesleki Standartlar Arasındaki İlişki 2.19 Denetçiler, başka yetkili organlar tarafından yayımlanan mesleki standartlarla bağlantılı bir biçimde GAGAS metnini kullanabilirler. 2.22 Denetçilerin hem GAGAS hem de 2.20 ve 2.21 No.lu paragraflarda listelenenler gibi başka standartlara uyulduğunu belirtmeleri halinde denetçiler, atıf yükümlülükleri için GAGAS metninin 2.24 No.lu paragrafına başvurmalıdır. GAGAS’a atıfa ek olarak denetçiler, başka standartların uygunluk koşullarını karşıladıklarında başka standartların kullanımına da raporlarında atıf yapabilirler. Başka standartlara uyma gerekçesi için yapılacak atıflarda denetçiler bahsi geçen bu başka standartlara atıf 1130.A1 – İç denetçiler daha önceden sorumlu oldukları spesifik işlemlerin değerlendirilmesi faaliyetlerinden uzak durmalıdır. İç denetçinin önceki yıllarda sorumlu olduğu bir faaliyete ilişkin güvence hizmetleri sunması halinde tarafsızlığın zedeleneceği varsayılmaktadır. 1000.C1 – Danışma hizmetlerinin yapısı iç denetim sözleşmesinde tanımlanmalıdır. Uluslararası Standartlara Giriş: Standartlar metni, Sözlük kısmında tanımlanan ve özel anlamlar içeren terimler içerir. Özel olarak belirtmek gerekirse Standartlar şartsız yükümlülükleri tanımlamak için “yapılmak zorundadır” ibaresini; mesleki kanaatler uygulanarak koşullar standartlardan sapmaya imkân tanımadıkça uygunluğun beklendiği durumlar için ise “yapılmalıdır” ibaresini kullanır. Standartları doğru ve düzgün anlayabilmek ve uygulayabilmek için Sözlükte verilen spesifik anlamlara ek olarak Beyanlar ve Yorumları da dikkate almak gereklidir. IIA yetkili rehberi… iki kategoriden oluşur: Paydaş girişleri için bir kamu maruziyeti dönemi de içeren belirlenmiş bir hassas değerlendirme sürecinin takip edilerek geliştirilen Zorunlu Rehber… Resmi onay süreciyle IIA tarafından onaylanan Kuvvetle Tavsiye Edilen Rehber. Bu rehber, IIA İç Denetim Tanımı, Etik Kurallar ve İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartların (Standartlar) etkili bir biçimde uygulanması için uygulamaları tanımlar. Uluslararası Standartlara Giriş: Standartlar başka yetkili organlar tarafından çıkarılan standartlarla bağlantılı bir biçimde kullanılacaksa iç denetim bildirimlerinde başka standartların kullanımına da uygun biçimde atıf yapılmalıdır. Böyle bir durumda Standartlar ile diğer standartlar arasında tutarsızlık varsa iç denetçiler ve iç denetim faaliyeti Standartlara uymalıdır. Diğer standartlar Standartlardan daha katıysa bunlara uyulmalıdır. 23 yapmalıdır. Denetçi Raporunda GAGAS’a Uygunluğun Belirtilmesi 2.23 Denetçilerin GAGAS uyarınca bir denetim yapmaları gerekiyorsa ya da böyle yaptıklarını başkalarına beyan ediyorlarsa 2.24 ilâ 2.25 No.lu paragraflarda belirtildiği şekilde denetim raporlarında GAGAS’a uygun hareket ettiklerini belirtmelidirler. 2.24 Denetçiler, GAGAS denetimlerine ilişkin raporlarında aşağıda sayılan GAGAS uygunluk beyanlarından hangisi geçerliyse ona yer vermelidir: a. Değiştirilmemiş GAGAS Uygunluk Beyanı: Denetçinin denetimini GAGAS uyarınca yürüttüğünü belirtir. Denetçiler; (1) şartsız yükümlülükler ve cari varsayımsal zorunlu GAGAS yükümlülüklerine uyduklarında ya da (2) şartsız yükümlüklere uyup varsayımsal zorunlu yükümlülüklere uymama gerekçelerini belgelendirdiklerinde ve u yükümlülüklerin öngördüğü denetim amaçlarını başka yollarla gerçekleştirdiklerinde, denetçi raporlarında değiştirilmemiş GAGAS Uygunluk Beyanına yer vermelidirler. b. Değiştirilmiş GAGAS Uygunluk Beyanı: Bu beyan (1) takip edilmeyen cari spesifik yükümlülükler hariç denetçinin denetimi GAGAS uyarınca yürüttüğünü ya da (2) yükümlülüklere uymama durumunun öneminden dolayı denetçinin denetimini GAGAS uyarınca yürütemediği ve yürütmediğini belirtir. Kayıtlara, kamu görevlilerine ya da denetimin yapılması için gerekli diğer şahıslara erişimin kısıtlandığı durumlar gibi kapsam kısıtlamaları değiştirilmiş uygunluk beyanının kullanıldığı durumlara dâhildir. Değiştirilmiş GAGAS uygunluk beyanını kullandıklarında denetçiler, raporlarında takip edilmeyen yükümlülük(ler)e, etkilenen ya da etkilenebilecek yükümlülük(ler)e, denetime ve sağlanan güvenceye yer vermelidir. 2.25 Denetçiler, cari yükümlülük(ler)e uymadıklarında (1) denetim amaçlarına uymamanın önemini değerlendirmeli (2) bu yükümlülüklere uyulmama sebepleriyle birlikte değerlendirmelerini belgelendirmeli ve (3) GAGAS uygunluk beyanı türünü belirlemelidirler. Denetçinin yapacağı belirleme, mesleki kanaatleriyle bağlantılıdır ve denetim amaçlarıyla bağlantılı uyulmayan yükümlülüklerin öneminden etkilenir. Bölüm 3: Genel Standartlar - Bağımsızlık 3.02 Denetim işiyle bağlantılı tüm konularda ister kamuda ister özel sektöre mensup olsunlar denetim kurumları ve iç denetçiler bağımsız olmalıdırlar. 3.04 Görüş, bulgu, sonuç, kanaat ve tavsiyelerinin tarafsız olması ya da makul ve bilgilendirilmiş üçüncü 1321-1 “İç Denetim Mesleki Uygulamaları için Uluslararası Standartlara Uygundur” İbaresinin Kullanımı İç denetim yöneticisi, iç denetim faaliyetinin Standartlara uygun olduğunu yalnızca kalite güvence ve iyileştirme programının sonuçları bu beyanını desteklediğinde belirtebilir. Yorum: İç denetim faaliyeti, İç Denetim Tanımı, Etik Kurallar ve Standartlarda tanımlanan çıktılara ulaşıldığında iç denetim faaliyeti Standartlara uygundur. Kalite güvence ve iyileştirme programı sonuçlarında hem iç hem de dış değerlendirme sonuçlarına yer verilmelidir. Tüm iç denetim faaliyetleri iç değerlendirmelerin sonuçlarına sahip olmalıdır. En az beş yıllık olan iç denetim faaliyetleri de dış değerlendirme sonuçlarına sahip olacaktır. 1322 – Standartlara Uyulmadığının ifşası İç Denetim Tanımına, Etik Kurallara ya da iç denetim faaliyetinin genel amaçlarını ya da işlemlerini etkileyen Standartlara uyulmadığında iç denetim yöneticisi bunu ve bunun etkisini üst yönetime ve kurula bildirmelidir. 1100 - Bağımsızlık ve Tarafsızlık: İç denetim faaliyeti bağımsız olmalıdır ve iç denetçiler işlerini yaparlarken tarafsız olmalıdırlar. 1110 – Kurumsal Bağımsızlık: İç denetim yöneticisi, iç denetim faaliyetinin sorumluluklarını tamamlamasına imkân veren kurum içi bir makama 24 şahıslar tarafından tarafsız olarak algılanabilmesi için denetçiler ve denetim kurumları bağımsızlıklarını korumalıdırlar. Denetçiler ve denetim kurumları, makul ve bilgilendirilmiş üçüncü şahıslar tarafından bağımsız olmadıkları ve bu nedenle denetim işinin yürütülmesi ve rapor edilmesiyle bağlantılı tüm konularda tarafsız ve yansız hareket edemeyecekleri yönünde bir düşünceye neden olabilecek hareketlerden kaçınmalıdırlar. 3.06 GAGAS metninin bağımsızlığa ilişkin uygulama değerlendirmesi birbiriyle bağlantılı dört bölümden oluşur. Bunlar; a. Çoğu zaman spesifik ortamlara ilişkin gerçekler ve koşullar esasında bağımsızlık belirlemesi yapmak için kavramsal bir çerçeve b. Yapısal olarak denetledikleri kurumların içinde yer alan denetim kurumların bağımsızlığına ilişkin yükümlülükler ve rehberlik c. Bağımsızlığa daima zarar veren spesifik denetim faaliyeti içermeyen hizmetlerin ve normalde bağımsızlığa zarar vermeyen başka hizmetlerinde gösterilmesi de dahil olmak üzere denetim faaliyeti içermeyen hizmetleri gerçekleştiren denetçilerin bağımsızlığına ilişkin yükümlülükler ve rehberlik d. Denetçi bağımsızlığına ilişkin yeterli değerlendirme yapmayı desteklemek için gerekli belgelere ilişkin yükümlülükler ve rehberlik Bağımsızlığa İlişkin GAGAS Kavramsal Çerçeve Yaklaşımı 3.07 Bağımsızlığa ilişkin tehditlerin değerlendirilmesiyle ilgili birçok farklı koşul ya koşul kombinasyonu vardır. Bu nedenle, GAGAS denetçilerin bağımsızlığa ilişkin tehditleri tanımlaması, değerlendirmesi ve bunlar için uygulanacak koruyucu unsurlar için bir kavramsal çerçeve belirler. Bu kavramsal çerçeve denetçilerin hem zihnen hem de şeklen bağımsızlıklarını korumalarına yardımcı olur. Bağımsızlığa tehdit oluşturan durumlar için birçok farklı değişken uygulanabilir ve bunlar GAGAS metni uyarınca spesifik olarak yasaklanmayan faaliyetlerden kaynaklanan ve bağımsızlığa tehdit oluşturan unsurların denetçiler tarafından ele alınmasına imkan verir. Bağımsızlığa ilişkin kavramsal çerçeve yaklaşımın uygulanmasına yardımcı olması için hazırlanan bir şema için EK II’ye bakınız. Kavramsal Çerçevenin Uygulanması 3.20 Denetçilerin işlerini yaptıkları durumlar ya da koşulların bağımsızlığa ilişkin tehditlere yol açtığı ya da bu tehditleri artırdığı durumlarda denetçiler, kavramsal çerçeveyi kullanarak bağımsızlığa ilişkin tehditleri değerlendirmelidir. Tehditler denetçi bağımsızlığı üzerinde toplu bir etkiye sahip olabileceği için denetçiler tehditleri hem bireysel hem de toplu halde değerlendirmelidir. rapor vermelidir. İç denetim yöneticisi, iç denetim faaliyetinin kurumsal bağımsızlığını en az yılda bir kez kurula teyit ettirmelidir. 1120 – Bireysel Tarafsızlık: İç denetçiler tarafsız ve önyargısız bir tutum sergilemeli ve çıkar çatışmasına neden olacak tutumlardan kaçınmalıdır. 25 Tehditler: 3.13 Bağımsızlığa ilişkin tehditler bağımsızlığı zedeleyebilecek koşullardır. Bağımsızlık zedelenmesi tehdidin yapısına - tehdit ya öyle bir öneme sahiptir ki denetçinin mesleki kanaatlerinden ödün vermesine neden olabilir ya da denetçinin mesleki kanaatlerinden ödün verebileceği izlenimi yaratır - ve tehdidi ortadan kaldırmak ya da onu kabul edilebilir bir düzeye indirmek için uygulanan spesifik koruyucu unsurlara bağlı olarak değişebilir. Tehditler kavramsal çerçeve kullanılarak değerlendirilecek koşullardır. Tehditlerin illa da bağımsızlığı zedelemesi gerekmez. 3.14 Bağımsızlığa ilişkin tehditler, çok çeşitli ilişkiler ve koşullar tarafından yaratılabilir. Tehditlerin tanımlanması ve değerlendirilmesi sırasında denetçiler bağımsızlığa ilişkin değerlendirmelerini aşağıda verilen geniş kategorileri kullanarak yapmalıdır: a. Kişisel çıkar sağlayan tehdit b. Kendi kendine gözden geçirme nedeniyle oluşan tehdit c. Ön yargı tehdidi d. Aşinalık tehdidi e. Haksız nüfuz tehdidi f. Yönetimin katılımından kaynaklanan tehdit g. Yapısal tehdit Koruyucu unsurlar: 3.16 Koruyucu unsurlar, bağımsızlığa ilişkin tehditleri ortadan kaldırmak ya da kabul edilebilir bir düzeye indirmek için tasarlanmış kontrollerdir. Kavramsal çerçeve uyarınca denetçiler, spesifik durumlar ve koşullar altında gözlemlenen bağımsızlık tehditlerini ele almak için koruyucu unsurları uygularlar. Bazı durumlarda bir tehdidi ele almak için çoklu koruyucuların uygulanması gerekebilir… 3.23 Denetçi bağımsızlığa ilişkin tehditleri saptadığında ve bu tehditlere ilişkin bir değerlendirme ışığında bunların kabul edilebilir seviyede olmadığını belirlediğinde denetçi, uygun koruyucu unsurların mevcut olup olmadığını ve bu tehditleri yok etmek ya da kabul edilebilir bir düzeye indirmek için uygulanıp uygulanamayacağını belirlemelidir. Denetçi bu değerlendirmeyi yaparken mesleki kanaatlerinden faydalanmalı ve hem zihnen hem de şeklen bağımsızlığını koruyup korumadığını değerlendirmelidir. Tehdidin önemini değerlendirirken denetçiler, niteliksel ve niceliksel unsurların her ikisini de değerlendirmelidir. 3.24 Bağımsızlığa ilişkin tehditlerin kabul edilebilir düzeyde olmadığı ve bu nedenle, koruyucu unsurların uygulanmasının gerektiği durumlarda denetçiler saptanan tehditleri ve bunları yok etmek ya da kabul edilebilir bir düzeye indirmek için uygulanan koruyucu unsurları belgelendirmelidir. 3.25 Koruyucu unsurlar uygulanarak yok edilemeyecek ya da kabul edilebilir düzeye indirilemeyecek önemde tehditlere neden olan ve bağımsızlığı zedeleyen bazı belirli durumlar olabilir. Böyle durumlarda denetçiler ileriye dönük yapacakları denetimleri reddetmeli veya mevcut devam eden denetimlerini sonlandırmalıdır. 1120 – Bireysel Tarafsızlık: İç denetçiler tarafsız ve yansız bir tutum sergilemeli ve çıkar çatışmasına neden olabilecek tutumlardan kaçınmalıdır. 1100 – Bağımsızlık ve Tarafsızlık: İç denetim faaliyeti bağımsız olmalı ve iç denetçiler işlerini yaparlarken tarafsız olmalıdır. 2. Tarafsızlık (Etik Kurallar – Davranış Kuralları) İç denetçiler; 2.1 tarafsız ve önyargısız değerlendirmelerini zedeleyebilecek ya da öyle algılanmasına yol açabilecek herhangi bir ilişki ya da faaliyet içerisinde olmamalıdırlar. Kurumun faaliyetleriyle çatışabilecek ilişki ve faaliyetlerde bunlara dâhildir. 2.2 mesleki kanaatlerini zedeleyebilecek ya da öyle algılanmasına yol açabilecek herhangi bir şeyi kabul etmemelidirler. 2.3 açıklanmaması halinde denetim altındaki faaliyetlere ilişkin raporların çarpıtılmasına neden olabilecek bilgileri dâhilindeki tüm maddi gerçekleri açıklamalıdırlar. Uygulama Tavsiyesi 1130-1 Bağımsızlık ya da Tarafsızlığın Zedelenmesi İDY bağımsızlık ya da tarafsızlığın zedelendiğini görüyorsa ya da böyle bir çıkarımda bulunuyorsa denetçi(ler)i yeniden ataması gerekmektedir. 26 3.26 Bağımsızlığa ilişkin bir tehdit, denetçi raporu yayımlandıktan sonra saptanırsa denetçi tehdidin denetim ve GAGAS metnine uyum üzerindeki etkisini değerlendirmelidir. Yeni saptanan riskin denetçilerin raporunun önceki kullandıkları rapordan farklı olmasına neden olacak şekilde denetim üzerinde bir etkiye sahip olduğunun belirlenmesi halinde denetçiler, daha önceden raporun dağıtımını yapan yönetişimden sorumlu birimler, denetlenen kurumun yetkili personeli ve diğer bilenen kullanıcıları ile aynı şekilde iletişime geçmeli ve bağımsızlığa ilişkin tehditten dolayı etkilenen bulgu ve sonuçlara artık güvenmemeleri konusunda kendilerini uyarmalıdır. Rapor denetçilerin kamuya açık websitesinde daha önceden yayımlanmışsa denetçiler bu raporu kaldırmalı ve raporun kaldırıldığına dair kamuoyuna bir bilgilendirme yapmalıdırlar. Daha sonra denetçiler, revize edilmiş bulgu veya sonuçlarda dâhil raporu yeniden yayımlamak için ilave bir denetim faaliyetine gerek olup olmadığını ve ilave denetim bulgularda ya da sonuçlarda bir değişikliğe neden olmuyorsa orijinal raporu yeniden yayımlayıp yayımlamamayı kararlaştırmalıdır. Kamu Denetçileri ve Denetim Kurumu Yapısı 3.27 Kamu kurumları bünyesindeki denetim kurumlarının denetim işini ve sonuçları tarafsız bir biçimde rapor etme kabiliyeti, kamu bünyesindeki yerleştirmelerden ve denetlenen kamu kurumunun yapısından etkilenir. İster üçüncü şahıslara dışarıdan rapor versinler (dış denetçiler) ister denetlenen kurum içinde üst yönetime rapor versinler (iç denetçiler) ya da her ikisini birlikte yapsınlar kamu kurumu denetçileri için bağımsızlık standardı geçerlidir. İç Denetçi Bağımsızlığı: 3.31 Bazı belirli kurumlar, kurum yönetimi için çalışacak denetçiler istihdam edebilir. Bu denetçiler, kurum yönetim sürecinde yer alan şahıslardan gelen idari talimatlara tâbidirler. Bu tür denetim kurumları iç denetim işlevlerini gerçekleştirir ve GAGAS metniyle bağlantılı olarak Uluslararası İç Denetçiler Enstitüsü (IIA) İç Denetim Mesleki Uygulamaları için Uluslararası Standartlar metnini kullanmaları teşvik edilir. GAGAS metni uyarınca denetim kurumu başkanının aşağıda sayılan kriterleri karşıladığı durumlarda denetlenen kurum yönetiminin talimatları altında çalışan iç denetçilerin içeriden verdikleri rapor hizmetlerinde bağımsız oldukları düşünülmektedir: a. Kamu kurumu başkanı ya da başkan yardımcısına ya da yönetişimden sorumlu birimlere karşı sorumlu olma b. Denetim sonuçlarının hem kamu kurumu başkanı ya da başkan yardımcısına ve yönetişimden sorumlu birimlere rapor edilmesi c. Denetim altındaki personelden ya da o birimin yönetim kademesinden kurumsal olarak ayrı bir konumda olma d. Yönetişimden sorumlu birimlere erişim imkânı olmak ve e. Siyasi baskılardan yeterince uzak bir ortamda 1130 – Bağımsızlığın ya da Tarafsızlığın Zedelenmesi: Bağımsızlık ya da tarafsızlığın şeklen ya da fiziken zedelendiği durumlarda bu duruma ilişkin detaylar uygun taraflara açıklanmalıdır. Bu ifşanın nasıl olacağı bağımsızlık zedelenmesinin seviyesine bağlıdır. 1110 – Kurumsal Bağımsızlık: İç denetim yöneticisi, iç denetim faaliyetinin sorumluluklarını tamamlamasına imkân veren kurum içi bir makama rapor vermelidir. İç denetim yöneticisi, iç denetim faaliyetinin kurumsal bağımsızlığını en az yılda bir kez kurula teyit ettirmelidir. 1110.A1 – İç denetim faaliyeti iç denetimin kapsamını belirlerken, işi yaparken ve sonuçları bildirirken her türlü müdahaleden uzak olmalıdır. Uygulama Tavsiyesi 1110-1: Kurumsal Bağımsızlık 2060 – Üst Yönetime ve Kurula Rapor Verme: İç denetim yöneticisi iç denetim faaliyetinin amacı, yetkisi, sorumluluğu ve plana kıyasla performansı hakkında düzenli olarak üst yönetime ve kurula rapor vermelidir. Önemli risk maruziyetleri ve suistimal riski, yönetişim konuları ve üst yönetim tarafından gerek duyulan ya da talep edilen diğer konular da dâhil olmak üzere kontrol konuları da bu rapor faaliyetinin kapsamı dâhilindedir. 1110 – Kurumsal Bağımsızlık: İç denetim yöneticisi, iç denetim faaliyetinin sorumluluklarını tamamlamasına imkân veren kurum içi bir makama rapor vermelidir. İç denetim yöneticisi, iç denetim faaliyetinin kurumsal bağımsızlığını en az yılda bir kez kurula teyit ettirmelidir. 1111 – Kurul ile doğrudan etkileşim. İç denetim yöneticisi kurul ile doğrudan iletişim ve etkileşime sahip olmalıdır. Uygulama Tavsiyesi 2060-1 Üst Yönetim ve Kurula Rapor Verme 27 denetim faaliyetini yürütmek ve bulguları, görüşleri ve sonuçları siyasi misilleme korkusu olmadan tarafsız bir biçimde rapor etmek. 3.32 İç denetim kurumlarının denetim firmaları ya da dış taraf sözleşmeleri gibi dış taraf denetimlerini yaptığı ve bağımsızlığı zedeleyecek herhangi bir durumun söz konusu olmadığı durumlarda denetim kurumları bu dış tarafların bağımsız bir dış denetim kurumu olarak düşünülür. Denetlenen Kurumlara Verilen Denetim Faaliyeti İçermeyen Hizmetlere İlişkin Hüküm 3.33 Denetçiler, geleneksel olarak denetim faaliyetleri sundukları kurumlara kendi beceri ve uzmanlıklarına uygun çok çeşitli denetim faaliyeti içermeyen hizmetler sunmaktadırlar. Bu tür bir denetim faaliyeti içermeyen hizmetin sunulması denetçinin bağımsızlığını zedeleyebilir. Denetim Faaliyeti İçermeyen Hizmetlere İlişkin Yükümlülükler 3.34 Bir denetçi, denetlenen kuruma denetim faaliyeti içermeyen bir hizmeti sunmayı kabul etmeden önce bu tür bir hizmetin bireysel ya da diğer sunulan denetim faaliyeti içermeyen hizmetlerle birlikte bağımsızlığa ilişkin bir tehdit oluşturup oluşturmayacağını GAGAS denetimi uyarınca belirlemelidir. Bu belirlemeye ilişin kritik bileşenlerden birisi verilen denetim faaliyeti içermeyen hizmetleri yönetimin etkin bir biçimde denetleme kabiliyetine ilişkin değerlendirmedir. Denetçi, denetlenen kurumun uygun bilgi, beceri veya deneyime sahip şahsı atayıp atamadığını ve bu şahsın bu hizmetleri denetleyecek ölçüde yeterince hizmetleri anlayıp anlamadığını belirlemelidir. Şahsın hizmetleri sunmak ya da yeniden sunmak için uzmanlığa sahip olmasına gerek yoktur. Denetçi, verilen denetim faaliyeti içermeyen hizmetleri yönetimin etkin bir biçimde denetleme kabiliyetine ilişkin değerlendirmesini belgelendirmelidir. 3.35 Denetçinin denetlenen bir kurum için yönetim sorumluklarını üstlenmesi halinde oluşan yönetimin sürece katılım riski o kadar büyük olabilir ki hiçbir koruyucu unsur bunu kabul edilebilir bir düzeye indiremez. İnsan, finans, fiziki ve soyut kaynakların alımı, dağıtımı ve kontrolüne ilişkin karar alma süreçleri de dâhil olmak üzere bir kurumun idaresi ve yönlendirilmesi yönetimin sorumluluklarındandır. 3.36 Bir faaliyetin yönetimin sorumluluğunda olup olmadığı durum ve koşullara ve denetçinin bu faaliyetleri saptarken faydalandığı mesleki kanaatlerine bağlıdır. 3.42 Mevcut bir denetimin konusu olan bir kuruluşa daha önceden denetim faaliyeti içermeyen hizmetler sunan bir denetçi, bu işi kabul etmeden önce denetim faaliyeti içermeyen bu hizmetlerin bağımsızlığına etkisini değerlendirmelidir. Denetim faaliyeti içermeyen hizmetler denetim dönemini kapsıyorsa denetçiler (1) denetim faaliyeti içermeyen bu hizmetin GAGAS metni uyarınca açıkça yasaklanıp yasaklanmadığını belirlemeli, yasaklanmamışsa (2) bağımsızlığa ilişkin bir tehdidin olup olmadığını ve 1130.A1 İç denetçiler, daha önceden sorumlu oldukları spesifik operasyonların değerlendirmesi işlemlerinden uzak durmalıdırlar. İç denetçinin önceki yıl sorumlu olduğu bir faaliyete ilişkin güvence hizmetleri sunması halinde tarafsızlığın zedelendiği varsayılır. 1130.A2 İç denetim yöneticisinin sorumlu olduğu işlevlere ilişkin güvence görevleri, iç denetçi faaliyetinin dışındaki bir tarafça denetlenmelidir. 1130.C1 – İç denetçiler önceden sorumlu oldukları işlemlerle ilgili danışma hizmetleri sunabilirler. 1130.C2 – Önerilen danışma hizmetlerine ilişkin iç denetçilerin bağımsızlığı ya da tarafsızlığını zedeleyecek olası durumların varlığı halinde bu durum görevi kabul etmeden önce görev alacak tarafa açıklanmalıdır. Uygulama Tavsiyesi 1130.A1-1 İç Denetçilerin Önceden Sorumlu Oldukları İşlemlerin Değerlendirilmesi 28 bildirilen tehditlerin kavramsal çerçeve uyarınca ele alınıp alınmadığını belirlemelidir. 3.43 Denetçiler tarafından verilen denetim faaliyeti içermeyen hizmetler, denetim faaliyeti içermeyen hizmete müteakip dönemde fikri ve şekli bağımsızlık üzerinde etkili olabilir... Denetçiler, koruyucu unsurların bu tehditleri yeterince azaltıp azaltmadığını belirlemek için mesleki kanaatlerinden faydalanmalıdırlar. Belgelendirme: 3.59 Bağımsızlık değerlendirmelerine ilişkin belgelendirme, bağımsızlık yükümlülüklerine uyuma ilişkin sonuçların oluşturulmasında denetçilerin kanaatlerine dair kanıtlar sunar. GAGAS metni, denetçilerin daha önceden korudukları belgelendirmelere ek olarak bağımsızlığa ilişkin spesifik yükümlülüklere dair belgelendirmeler sunar. Denetçinin bağımsızlık standardına uyumuna ilişkin yetersiz belgelendirmeler bağımsızlığı zedelemez ancak GAGAS kalite kontrol ve güvence yükümlülükleri uyarınca uygun belgelendirmenin yapılması gerekmektedir… 3.46 (1) Denetim faaliyeti içermeyen hizmetler açıkça yasaklanmamışsa (2) denetçi 3.34 ilâ 3.44 No.lu paragraflarda denetim faaliyeti içermeyen hizmetlerin yürütülmesine ilişkin yükümlülüklerin karşılandığını belirlemişse (3) bağımsızlığa ilişkin anlamlı tehditler, koruyucu unsurların uygulanması yoluyla ortadan kaldırılmış ya da kabul edilebilir bir düzeye indirilmişse denetçiler, bağımsızlık unsuru zedelenmeden 3.49 ilâ 3.58 No.lu paragraflarda gösterilen geniş kapsamlı alanlarda denetim faaliyeti içermeyen hizmetler sunabilirler. Bu bölümde spesifik olarak yasaklanmayan münferit hizmetlere ilişkin gerçekler ve koşullar ışığında bağımsızlık unsuru değerlendirilirken denetçiler kavramsal çerçeveyi kullanmalıdır. Bu geniş kapsamlı alanlara ilişkin tartışmalar için şu bölümlere bakınız: 3.49 Yönetim Sorumluluğu 3.50-3.52 Muhasebe Kayıtları ve Finansal Beyanların Hazırlanması 3.53-3.55 Dış Denetçiler Tarafından Sunulan İç Denetim Destek Hizmetleri 3.57 Değer Biçme Hizmetleri 3.58 Denetim Faaliyeti İçermeyen Diğer Hizmetler Uygulama Tavsiyesi 1130.A2-1: Diğer (Denetim Faaliyeti İçermeyen) İşlevlere İlişkin İç Denetimin Sorumluluğu 4. İç denetim faaliyetinin operasyonel sorumlulukları kabul ettiği ve bu işlemin denetim planının bir parçası olduğu durumlarda İDY şunlara ihtiyaç duyar: İDY’ye rapor edilecek alanların denetiminin tamamlanması için sözleşmeli üçüncü şahıs kuruluşları ya da dış denetçiler kullanılarak tarafsızlığı zedeleyen unsurların azaltılması İDY’ye rapor edilecek alanlarda operasyonel sorumluluğa sahip şahısların operasyonun iç denetimine katılmadığının teyit edilmesi İDY’ye rapor edilecek alanlarda güvence görevlerini üstlenen iç denetçilerin denetlenmesinin ve değerlendirme raporlarına ait sonuçların üst yönetim ve kurula sunulmasının sağlanması İşleve ilişkin iç denetçinin operasyonel sorumluluklarının, bu işlemin kurum açısından öneminin (gelir, masraf ya da diğer ilgili bilgiler) ve bu işlevi denetleyenler arasındaki ilişkinin açıklanması 5. İDY’ye rapor edilen denetim alanları ve iç denetçinin kurula yaptığı standart bildirimlerde yer alan alanlarla ilgili iç denetçinin operasyonel sorumluluklarının açıklanması gerekir. İç denetim faaliyetinin sonuçları yönetimle ve/veya diğer uygun paydaşlarla da tartışılmalıdır. Bu açıklamanın yapılmaması, İDY’nin sorumlu olduğu işlevlerin güvence görevlerinin iç denetim faaliyetinin dışındaki bir tarafça denetlenmesini öngören yükümlülüğü ortadan kaldırmaz. Belgelendirme: 3.59 Bağımsızlık değerlendirmelerine ilişkin belgelendirme, bağımsızlık yükümlülüklerine uyuma ilişkin sonuçların oluşturulmasında denetçilerin kanaatlerine dair kanıtlar sunar. GAGAS metni, denetçilerin daha önceden korudukları belgelendirmelere ek olarak bağımsızlığa ilişkin 29 spesifik yükümlülüklere dair belgelendirmeler sunar. Denetçinin bağımsızlık standardına uyumuna ilişkin yetersiz belgelendirmeler bağımsızlığı zedelemez ancak GAGAS kalite kontrol ve güvence yükümlülükleri uyarınca uygun belgelendirmenin yapılması gerekmektedir… Mesleki Kanaat: 3.60 Denetim faaliyetlerinin planlanması ve yürütülmesi ve sonuçların rapor edilmesi aşamalarında denetçiler mesleki kanaatlerden faydalanmalıdır. 3.64 Bağımsızlık standartlarını ve ilgili kavramsal çerçeveyi takip etmek; tarafsızlık ve güvenirliliğin korunması; denetime yetkin personelin atanması; işin kapsamının belirlenmesi; değerlendirme, belgelendirme ve işe ilişkin sonuçların rapor edilmesi ve denetim sürecine ilişkin uygun kalite kontrol sürecinin sağlanması da dâhil olmak üzere mesleki sorumluluklarına ilişkin tüm özellikleri yürüten denetçilerin mesleki kanaatlerini kullanmaları önemlidir. Yetkinlik: 3.69 Denetimi yapmak için görevlendirilen personelin denetim amaçlarını gerçekleştirmek ve işi GAGAS’a uygun yürütmek için gerekli yeterli mesleki yetkinliğe sahip olması gerekir. 1220 – Gerekli Mesleki Özen: İç denetçiler, dikkatli ve yetkin bir iç denetçiden beklenen makul özen ve becerileri sergilemelidir. Gerekli mesleki özen hatasızlık anlamına gelmez. 1220.A1 İç denetçiler şu durumları dikkate alarak gerekli mesleki özeni göstermelidirler. Görev amaçlarını başarmak için gerekli işin boyutu Güvence prosedürlerinin uygulandığı durumların bağıl karmaşıklığı, maddeselliği ve önemi Yönetişim, risk yönetimi ve kontrol süreçlerinin yeterliliği ve etkinliği Anlamlı hata, suistimal ya da uygun olmama durumlarına ilişkin olasılık Olası faydalara kıyasla güvence hizmetinin maliyeti 1220.A2 - Gerekli mesleki özeni gösterirken denetçiler denetim ve diğer veri analiz teknikleri esasında teknoloji kullanımını değerlendirmelidir. 1220.A3 – İç denetçiler, amaçları, işlemleri ya da kaynakları etkileyebilecek anlamlı risklere karşı uyanık olmalıdır. Ancak gerekli mesleki özen gösterildiğinde bile tek başına güvence prosedürleri anlamlı tüm risklerin saptanacağını garanti etmez. 2200 – Görev Planlaması: İç denetçiler görevin amaçları, kapsamı, süresi ve kaynak tahsisleri de dâhil olmak üzere her bir görev için bir plan geliştirmeli ve bunu belgelendirmelidir. 2210 – Görev Amaçları: Her bir görev için amaçlar belirlenmelidir. 2220 – Görev Kapsamı: Belirlenen amaç, görev amaçlarını karşılayacak düzeyde olmalıdır. 2240 – Görev İş Programı: İç denetçiler, görev amaçlarını gerçekleştirecek iş programlarını geliştirmeli ve bunları belgelendirmelidir. 1200 – Yeterlilik ve Gerekli Mesleki Özen: Görevler yeterlilik prensibi ve gerekli mesleki özen gösterilerek ifa edilmelidir. 1210 – Yeterlilik: İç denetçiler, münferit sorumluluklarını yerine getirmek için gerekli bilgi, beceri ve diğer yetkinliklere sahip olmalıdır. İç denetim faaliyeti sorumlulukları yerine getirmek için gerekli bilgi, beceri ve diğer yetkinliklere bir bütün halinde sahip olmalı ya da bunları elde etmelidir. 1210.A1 – İç denetçiler görevi tümüyle ya da kısmen yerine getirmek için gerekli bilgi, beceri ve diğer yeterliliklere sahip değillerse iç denetim yöneticisi, yetkin tavsiye ve yardımları elde etmelidir. Yetkinlik (Etik Kurallar – Prensipler): İç denetçiler, iç denetim hizmetlerinin gerçekleştirilmesi için gerekli bilgi, beceri ve deneyimi uygulamalıdır. 4. Yetkinlik (Etik Kurallar – Davranış Kuralları) İç denetçiler; 30 3.70 Denetim Kurumu yönetimi, mevcut denetim işini gerçekleştirmek için kendi çalışma kolunun gerekli temel becerilere sahip olup olmadığını değerlendirmek için becerileri değerlendirmelidir. Buna göre denetim kurumları etkili bir çalışma kolunu sürdürmek için işe alma, istihdam etme, sürekli gelişim, atama ve personel değerlendirme aşamaları için bir sürece sahip olmalıdır. Sürecin yapısı, kapsamını ve resmiyet düzeyi denetim kurumunun boyutu, yapısı ve kurumun yaptığı iş gibi çeşitli unsurlara bağlıdır. Teknik Bilgi: 3.72 GAGAS metnine uygun bir denetim gerçekleştirmekle görevlendirilen personel, bu denetim işinde çalışmaya başlamadan önce gerçekleştirilecek işin türüne uygun teknik bilgi, beceri ve deneyime bir bütün halinde sahip olmalıdır. GAGAS denetimiyle görevlendirilen personel bir bütün halinde şunlara sahip olmalıdır: a. Yapmakla görevli oldukları işin türüne uygun GAGAS bilgisi ve işin gerçekleşmesi için uygulanması gereken eğitim, beceri ve deneyim b. Denetlenen kurumun faaliyet gösterdiği ortam ve mevcut çalışma konusuna ilişkin genel bilgi c. Açık ve etkili bir biçimde hem yazılı hem de sözlü iletişim kurmak için gerekli beceriler d. Gerçekleştirilen işe uygun beceriler. Örneğin; 1) İş örnekleme yapılmasını gerektiriyorsa istatistiki ve istatistiki olmayan örnekleme becerileri, 2) İş bilgi sistemlerinin gözden geçirilmesini gerektiriyorsa bilgi teknolojileri bilgisi, 3) İş karmaşık mühendislik verilerinin gözden geçirilmesini içeriyorsa mühendislik bilgisi, 4) Karmaşık araştırma araçları, aktüerya temelli hesaplamalar ya da istatistiksel analiz testlerinin kullanımı gibi uzmanlaşmış denetim metodolojileri ya da analitik teknikler hangisi geçerliyse bunlara ilişkin bilgi, 5) İşin gerektirdiği hallerde bilimsel, tıbbi, çevresel ya da eğitimle ilgili alanlarda ya da başka uzmanlık alanlarında uzmanlık bilgisi. Sürekli Mesleki Eğitim: 3.76 Planlama, yönlendirme ve denetim prosedürlerinin uygulanması da dâhil olmak üzere GAGAS uyarınca çalışan ya da GAGAS uyarınca yapılmış bir denetime ilişkin rapor sunan denetçiler sürekli mesleki eğitim (CPE) yoluyla mesleki yetkinliklerini korumalıdır. Bu nedenle, GAGAS uyarınca denetim işini yürüten her bir denetçi, doğrudan kamu denetimi, kamu ortamı ya da 4.1 sadece bilgi, beceri ve deneyim sahibi oldukları hizmetlerde görev almalıdırlar. 4.2 iç denetim hizmetlerini İç Denetim Mesleki Uygulamaları için Uluslararası Standartlara uygun yürütmelidirler. 4.3 yetkinliklerini ve hizmetlerin etkinliği ve kalitesini sürekli geliştirmelidir. 2030 – Kaynak Yönetimi: İç denetim yöneticisi, iç denetim kaynaklarının uygun ve yeterli olmasını ve onaylanan planı gerçekleştirmek için verimli tahsis edilmesini sağlamalıdır. 1210 – Yeterlilik: İç denetçiler, münferit sorumluluklarını yerine getirmek için gerekli bilgi, beceri ve diğer yetkinliklere sahip olmalıdır. İç denetim faaliyeti sorumlulukları yerine getirmek için gerekli bilgi, beceri ve diğer yetkinliklere bir bütün halinde sahip olmalı ya da bunları elde etmelidir. 1210. A3 – İç denetçiler, kendilerine verilen işleri yerine getirmek için temel bilgi teknolojisi risklerine ve kontrollerine ve mevcut teknoloji temelli denetim tekniklerine ilişkin yeterli bilgiye sahip olmalıdırlar. Ancak bütün iç denetçilerin, temel sorumluluk alanı bilgi teknolojilerinin denetimi olan bir iç denetçinin uzmanlığına sahip olması beklenemez. 2230 – Görev Kaynak Tahsisi: İç denetçiler, her bir görevin yapısı ve karmaşıklığına, zaman kısıtlamalarına ve mevcut kaynaklara ilişkin değerlendirmeler temelinde görev amaçlarını gerçekleştirmek için gerekli uygun ve yeterli kaynakları belirlemelidir. 4. Yetkinlik ( Etik Kurallar – Davranış Kuralları) İç denetçiler 4.1 Sadece gerekli bilgi, beceri, uzmanlık ve deneyime sahip oldukları alanlarda hizmet vermelidir. 1230 – Sürekli Mesleki Gelişim: İç denetçiler bilgi, beceri ve diğer yetkinliklerini sürekli mesleki gelişim programları vasıtasıyla artırmalıdır. Uygulama Tavsiyesi 1230-1 Sürekli Mesleki Gelişim: 1. İç denetçiler, yetkinliklerini artırmak ve korumak için eğitimlerine devam etmekle sorumludur. İç denetçilerin IIA Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) kılavuzu dâhil olmak üzere iç 31 denetlenen kurumunun faaliyet gösterdiği spesifik ve benzersiz faaliyet ortamına ilişkin her iki yılda bir en az 24 saatten oluşan bir CPE almalıdır. GAGAS denetimlerinin planlama, yönlendirme veya raporlama aşamalarında herhangi bir şekilde yer alan denetçiler ve bu denetimlerde yer almamakla birlikte zamanlarının yıllık en az yüzde yirmisini ya da daha fazlasını GAGAS denetimleriyle geçiren denetçiler, bu denetimlere ilişkin mesleki yetkinliklerini artıracak ilave 56 saatlik bir CPE’ye (her iki yıllık dönemde toplam 80 saatlik bir CPE) katılmalıdır. Toplam 80 saatlik bir CPE alması gereken denetçiler, 2 yıllık dönemin her bir yılında en az 20 saatlik bir CPE eğitimi almalıdır. Bir denetim kurumunun 2 yıllık CPE döneminin başlamasından sonra işe başlayan ya da GAGAS denetimleri için önceden görevlendirilen denetçiler, eşit dağıtılmış saatlerden oluşan bir CPE’ye tamamlamalıdır. 3.78 CPE yükümlülüklerinin karşılanması bireysel denetçilerin temel sorumluluğudur. Denetim kurumu, CPE’nin tamamlandığına dair belgelendirme faaliyetleri dâhil olmak üzere denetçilerin sürekli eğitim yükümlülüklerini karşılamasına yardımcı olacak kalite kontrol prosedürlerine sahip olmalıdır. Uzmanlar için CPE Yükümlükleri 3.79 Denetim ekibi GAGAS denetiminin gerçekleştirilmesine yardımcı olan dış uzmanların uzmanlık alanlarında kalifiye ve yetkin olup olmadıklarını belirlemelidir. Ancak dış uzmanların GAGAS CPE Yükümlülüklerini karşılaması gerekmez. 3.80 İç denetim ekibi, GAGAS denetiminin yönlendirme ve gerçekleştirilme prosedürlerinde ya da rapor verme sürecinde yer alan ve danışmanlık hizmeti veren iç denetim uzmanlarının uzmanlık alanlarında kalifiye ve yetkin olup olmadıklarını belirlemelidir. Ancak bu iç denetim uzmanlarının GAGAS CPE yükümlülüklerini karşılaması gerekmez. 3.81 Denetim ekibi, GAGAS denetiminin yönlendirme ve gerçekleştirilme prosedürleri ya da rapor verme süreci de dâhil olmak üzere denetim ekibinin bir parçası olarak GAGAS uyarınca işlerini yürüten iç denetim uzmanlarının CPE yükümlülükleri ile birlikte GAGAS’a uyup uymadıklarını belirlemelidirler. Kalite Kontrol ve Güvence: 3.82 GAGAS uyarınca denetimlerini gerçekleştiren her bir denetim kurumu: a. Kurumun ve personelin mesleki standartlar ve cari yasal ve düzenleyici yükümlülüklere uygun hareket ettiğine dair denetim kurumuna makul güvenceler sağlayacak şekilde tasarlanmış bir kalite kontrol sistemi kurmalı ve bunu sürdürmeli ve b. En azından her üç yılda bir denetim kurumundan bağımsız gözden geçirenler tarafından yapılan bir dış akran değerlendirmesine tâbi tutulmalıdır. denetim standartları, prosedürleri ve tekniklerinde yapılan iyileştirmeler ve mevcut gelişmelerden haberdar olması gerekir. Sürekli mesleki eğitim (CPE); IIA gibi mesleki kurumlara üyelik, katılım ve buralarda gönüllü olma yoluyla, konferans, seminer ve kurum içi eğitim programlarına katılımla, üniversite kurslarının ya da bireysel çalışma yoluyla takip edilen kursların tamamlanması ve araştırma projelerinde yer alınması yoluyla sağlanabilir. 3. İç denetçiler, kurumlarının benzersiz yapısına ilişkin yönetişim, risk ve kontrol prosedürlerine dair yetkinliklerini korumak için CPE’ye (kurum faaliyetleri ve endüstrisiyle bağlantılı) katılmaya teşvik edilmelidir. 1310 Kalite Güvence ve İyileştirme Programına İlişkin Yükümlükler: Kalite güvence ve iyileştirme programı hem iç hem de dış değerlendirmeleri içermelidir. Uygulama Tavsiyesi 1321-1 “İç Denetim Mesleki Uygulamaları için Uluslararası Standartlara Uygundur” İbaresinin Kullanımı 2. “Standartlara uygundur” ya da “Standartlara uygunluk” kullanılacak ifadedir. Bu ifadelerden birinin kullanılabilmesi için devam eden izleme faaliyetleri ve periyodik iç değerlendirmelerle birlikte her beş yıllık dönemde en az bir kez dış değerlendirmenin yapılması ve bu faaliyetlerin sonucunda iç denetim faaliyetinin İç Denetim Tanımı, Etik Kurallar ve Standartlara uygun olması gerekir. İç 32 Kalite Kontrol Sistemi: 3.84 Her bir denetim kurumu kalite kontrol politikaları ve prosedürlerini belgelendirmeli ve bu politika ve prosedürleri personeline bildirmelidir. Denetim kurumu kalite kontrol politikaları ve prosedürlerine uyduğunu belgelendirmeli ve denetim kurumunun kalite kontrol politikaları ve prosedürlerine ne ölçüde uyduğunu değerlendirmek için izleme prosedürleri ve akran gözden geçirmeleri gerçekleştirenlere yeterli süreyi tanıyacak şekilde bu belgeleri saklamalıdır. Bu tür belgelerin türü ve içeriği mesleki kanaatler sonucu belirlenir ve denetim kurumunun koşullarına bağlı olarak değişiklik gösterir. 3.85 Bir denetim kurumu, kalite kontrol sisteminde aşağıdaki konuları bir bütün halinde ele alacak politika ve prosedürlere yer vermelidir. a. Kurum içinde kaliteye ilişkin liderlik sorumlulukları b. Bağımsızlık, yasal ve etik konulara ilişkin yükümlülükler c. Denetimlerin başlatılması, kabulü ve devamı d. İnsan kaynakları e. Denetimin gerçekleştirilmesi, belgelendirilmesi ve rapor edilmesi f. Kalitenin izlenmesi Dış Akran Gözden Geçirmesi 3.96 Denetim kurumu, denetim kurumunun cari mesleki standartlara uygun hareket ettiğine dair makul güvence sağlamak için denetlenen kurumun kalite kontrol sisteminin – gözden geçirilen dönem için uygun tasarlanıp tasarlanmadığını ve denetim kurumunun kendi kalite kontrol sistemine uygun hareket edip etmediğini belirlemek için makul güvenceler sunacak ve en az her üç yılda bir kez yapılacak bir dış akran gözden geçirmesine sahip olmalıdır. 3.98 Akran gözden geçirmesini yapan ekip, gözden geçirmenin kapsamına şu unsurları katmalıdırlar: a. Denetim kurumunun kalite kontrol politikalarının ve prosedürlerinin gözden geçirilmesi, b. Denetim kurumunun iç izleme prosedürlerinin yeterliliğinin ve sonuçlarının değerlendirilmesi, c. Seçilen denetçi raporlarının ve ilgili dokümanların gözden geçirilmesi, d. Bağımsızlık dokümanı, CPE kayıtları ve ilgili insan kaynakları yönetim dosyaları gibi standartlara uygunluğu değerlendirmek için gerekli diğer dokümanların gözden geçirilmesi, e. İlgili kalite kontrol politikaları ve prosedürlerini kavrayışları ve bunlara uyup uymadıklarını değerlendirmek için gözden geçirilen denetim kurumunun çeşitli seviyelerdeki personeliyle yapılan denetim faaliyetinin İç Denetim Tanımı, Etik Kurallar ve Standartlara uygun olduğu dış gözden geçirme ile kanıtlanıncaya dek uygunluk ifadesinin kullanılması uygun değildir. 1300 – Kalite Güvence ve İyileştirme Programı: İç denetim yöneticisi, iç denetim faaliyetinin tüm özelliklerini kapsayacak bir kalite güvence ve iyileştirme programı geliştirmeli ve bunu sürdürmelidir. 1311 – İç Değerlendirmeler: İç değerlendirmelerde şu hususlar göz önünde bulundurulmalıdır: İç denetim faaliyetinin performansının sürekli izlenmesi ve Kendi kendine gözden geçirme ya da iç denetim uygulamalarına ilişkin yeterli bilgiye sahip kurum içindeki başka şahıslar tarafından yapılan gözden geçirmeler vasıtasıyla gerçekleştirilen düzenli gözden geçirmeler 1312 – Dış Değerlendirmeler: Dış değerlendirmeler, her beş yılda bir en az bir kere kurum dışından kalifiye, bağımsız bir gözden geçiren ya da gözden geçirenler ekibi tarafından yapılmalıdır. İç denetim yöneticisi kurul ile şu hususları tartışmalıdır: Daha sık dış değerlendirme yapılması ihtiyacı ve Olası çıkar çatışmaları da dâhil olmak üzere dış gözden geçiren ya da gözden geçirme ekibinin bağımsızlığı ve nitelikleri 1320 – Kalite Güvence ve İyileştirme Programına İlişkin Rapor: İç denetim yöneticisi, kalite güvence ve iyileştirme programına ilişkin sonuçları üst yönetime ve kurula bildirmelidir. 2040 – Politika ve Prosedürler: İç denetim yöneticisi, iç denetim faaliyetine rehberlik edecek politika ve prosedürleri oluşturmalıdır. 33 mülakatlar. 3.100 Akran gözden geçirmesini yapan ekip akran gözden geçirmesine ilişkin sonuçları bildiren ve aşağıdaki konuları içeren bir veya daha fazla yazılı rapor hazırlamalıdır: a. Kısıtlamalar da dâhil olmak üzere akran gözden geçirmesinin kapsamına ilişkin tanımlamalar, b. Gözden geçirilen dönemde denetim kurumunun cari mesleki standartlara uyup uymadığına dair makul güvenceler sunmak için denetlenen denetim kurumunun denetim uygulamalarına ilişkin kalite kontrol sisteminin yeterli düzeyde tasarlanıp tasarlanmadığı ve buna uyulup uyulmadığına dair bir görüş, c. Denetlenen denetim kurumunun sahip olduğu mesleki standartlara ilişkin bir spesifikasyon, d. Akran gözden geçirmesi programı altında yayımlanmışsa ayrı bir yazılı bildirime atıf. 3.101 Akran gözden geçirmesi ekibi, akran gözden geçirme raporunun türüne karar verirken mesleki kanaatlerini kullanır. Akran gözden geçirmesine ilişkin rapor türleri şunlardır: a. Geçme Dereceli Akran Gözden Geçirmesi… b. Eksiklikleri İçeren Geçme Dereceli Akran Gözden Geçirmesi... c. Kalma Dereceli Akran Gözden Geçirmesi… 3.104 Akran gözden geçirme ekibi şu kriterleri yerine getirmelidir: a. Gözden geçirme ekibi bir bütün halinde GAGAS ve kamu denetimlerine ilişkin bilgi sahibi olmalıdır. b. Akran gözden geçirmesini yürüten kurum ve münferit gözden geçirme ekibi denetlenen denetim kurumundan, onun personelinden ve akran gözden geçirmesi için seçilen denetimlerden (GAGAS’da tanımlandığı şekilde) bağımsız olmalıdır. c. Gözden geçirme ekibi, gözden geçirmenin nasıl yapılacağına dair yeterli bilgiye sahip olmalıdır. Bu tür bilgiler, görev başı eğitimleri, eğitim kursları ya da her ikisinin birleşimden oluşan eğitimlerle elde edilebilir. Akran gözden geçirmesi ya da iç incelemelere ilişkin önceden tecrübe sahibi personelin akran gözden geçirmesi yapan ekipte yer alması arzulanan bir durumdur. 3.105 Bir dış denetim kurumu, en son yaptığı akran gözden geçirmesini kamuoyuyla paylaşmalıdır. 2120 – Risk Yönetimi: İç denetim faaliyeti, etkinliğini değerlendirmeli ve risk yönetim sürecinin iyileştirmesine katkı sağlamalıdır. 2120.A1 – İç denetim faaliyeti kurumun yönetişimi, işlemleri ve bilgi sistemlerine ilişkin risk maruziyetlerini şu bakımlardan değerlendirmelidir: Finansal ve operasyonel bilgilerin güvenirliği ve bütünlüğünün değerlendirilmesi İşlemlerin etkinliği ve verimliliğinin değerlendirilmesi 34 Varlıkların korunması ve Kanun, yönetmelik, politika, prosedürler ve sözleşmelere uygunluk 2110 – Yönetişim: İç denetim faaliyeti aşağıdaki amaçların gerçekleştirilmesi için yönetişim sürecini geliştirici değerlendirmeler yapmalı ve uygun tavsiyelerde bulunmalıdır: Kurum içinde uygun etik kuralların ve değerlerin teşvik edilmesi Etkili kurumsal performans yönetimi ve hesap verebilirliğinin sağlanması Risk ve kontrol bilgilerinin kurumun uygun birimlerine iletilmesi ve Kurul, dış ve iç denetçiler ve yönetim arasında faaliyetlerin koordine edilmesi ve bilgilerin iletilmesi 2110.A1 – İç denetim faaliyeti, kurumun etik değerleriyle bağlantılı amaçlarının, programlarının ve faaliyetlerinin tasarımını, uygulanmasını ve verimliliğini değerlendirmelidir. 2110.A2 - İç denetim faaliyeti, kurumun bilgi teknolojisi yönetişiminin kurumsal stratejileri ve amaçları sürdürüp sürdürmediğini ve bunları destekleyip desteklemediğini değerlendirmelidir. Uygulama Tavsiyesi 2110-1: Yönetişim: Tanım Uygulama Tavsiyesi 2110-2: Yönetişim: Risk ve Kontrollerle Bağlantılı İlişkiler Uygulama Tavsiyesi Değerlendirmeler 2110-3:Yönetişim: A1.08 Kamu işlevlerinin yürütülmesinde temel sorumluluk yönetime aittir. Denetlenen kurumun yönetimi şunlardan sorumludur: d. uygun amaç ve hedeflere ulaşılmasını kolaylaştıracak etkili iç kontrolün kurulması ve sürdürülmesi, kanun ve yönetmeliklere uyulması; yönetim ve mali bilgilerin kontrolünün güvenilir olması ve usulüne uygun rapor edilmesi e. kamu programlarını ve bu programlara ilişkin amaçları gerçekleştirmek için kullanılan kaynak ve yetkilere ilişkin hesap verilebilirliği kanıtlamak için eylemlerini denetleyenlere ve kamuoyuna uygun raporları sunmak . Bölüm 6: Performans Denetimleri için Alan İş Standartları – Planlama: 6.06 Denetçiler, denetim amaçlarını gerçekleştirmek için gerekli işleri yeterince planlamalı ve bu planları belgelendirmelidir. 6.07 Denetçiler, kanıtların denetçilerin bulgu ve sonuçlarını destekleyecek düzeyde yeterli ve uygun 2010 – Planlama: İç denetim yöneticisi kurumsal amaçlara uygun olarak iç denetim faaliyetinin önceliklerini belirlemek için risk temelli planlar yapmalıdır. 2010.A1 – İç denetim faaliyetinin görev planları belgelendirilmiş bir risk değerlendirmesi esas alınarak ve en az bir yıllık yapılmalıdır. Üst yönetim ve kuruldan alınan girdiler bu süreçte değerlendirilmelidir. 2200 – Görev Planlaması: İç denetçiler görevin amaçları, kapsamı, süresi ve kaynak tahsisleri de dâhil olmak üzere her bir görev için bir plan geliştirmeli ve bunu belgelendirmelidir. 2210.A1 – İç denetçiler, gözden geçirilen faaliyetle 35 olduğuna dair makul güvenceler elde etmek için denetim riskini denetçiler için uygun bir seviyeye indirecek bir denetim planlamalıdır. Bu planlama sırasında mesleki kanaatlerden faydalanılmalıdır. Denetim planlanırken denetçiler, işin önemini ve denetim riskini değerlendirmeli ve bu amaçları ele alacak denetim amaçlarını, kapsamı ve metodolojiyi tanımlarken bu değerlendirmeleri uygulamalıdırlar… 6.08 Amaçlar, denetimin gerçekleştirmek istediği şeylerdir. Denetimin konusunu ve performans özelliklerini belirlerler ve denetçilerin geliştirmeyi bekledikleri olası bulgu ve rapor unsurlarını da içerebilirler. Denetim amaçları, kriterlere kıyasla elde edilen ve değerlendirilen kanıtlar esasında denetçilerin cevap bulmaya çalıştığı programa ilişkin soruların değerlendirilmesi olabilir. GAGAS metninde kullanılan “program” terimi, kamu kuruluşlarını, kurumlarını, programlarını, faaliyetlerini ve işlevlerini kapsar. 6.09 Kapsam denetimin sınırıdır ve doğrudan doğruya denetim amaçlarına bağlıdır. Kapsam; denetçilerin değerlendireceği ve rapor edeceği konuyu – özel bir program ya da bir programın özellikleri – gerekli doküman ya da kayıtlar, gözden geçirme süresi ve denetime dâhil edilecek bölgeleri tanımlar. bağlantılı risklere ilişkin bir ön değerlendirme yapmalıdır. Görev amaçları, bu değerlendirmenin sonuçlarını yansıtmalıdır. Uygulama Tavsiyesi 2210.A1-1: Görev Planlamasında Risk Değerlendirmesi 4. İç denetçiler, yönetimin risk değerlendirme gözden geçirmeleri, arka plan bilgileri ve yapılan herhangi bir araştırma çalışmasından elde edilen sonuçları özetlemelidir. Bu özet şu hususları içermelidir: Göreve ilişkin önemli konular ve bunların neden seçildiğinin derinlemesine incelenmesi, Görev amaçları ve prosedürleri, Teknoloji temelli denetimler ve örnekleme teknikleri gibi kullanılacak yöntemler, Olası kritik kontrol noktaları, kontrol noksanları ve/veya uç kontroller Geçerli olduğu durumlarda göreve neden devam edilmediğinin veya görev amaçlarının anlamlı ölçüde neden değiştirildiğine dair sebepler 2210 – Görev Amaçları: Her bir görev için amaçlar belirlenmelidir. 2210.A2 – İç denetçiler, görev amaçlarını oluştururken anlamlı hata, suistimal, uygun olmama ve diğer maruziyetlerin gerçekleşme olasılığını değerlendirmelidir. 2220 – Görev Kapsamı: Belirlenen kapsam, görev amaçlarını karşılayacak düzeyde olmalıdır. 2220.A1 – Görev kapsamı; ilgili sistemlere, kayıtlara, personele ve üçüncü şahısların kontrolü altındakiler de dâhil olmak üzere fiziki özelliklere ilişkin değerlendirmeleri içermelidir. 2220.A2 – Güvence görevi sırasında önemli bir danışma hizmeti fırsatı ortaya çıkarsa amaçlara, kapsama, ilgili sorumluluklara ve diğer beklentilere dair yazılı bir mutabakat sağlanmalı ve danışma görevinin sonuçları danışma hizmeti standartlarına uygun olarak bildirilmelidir. Uygulama Tavsiyesi: 2200-2: Bir İç Denetim Görevinde Değerlendirilecek Kontrollerin Saptanması İçin Yukarıdan Aşağıya Risk Temelli bir Yaklaşımın Kullanılması 5. İç denetim amaçlarının risklerin etkili bir biçimde yönetildiğini gösteren makul güvenceler sağlayacak tüm kontrolleri içermesi gerekir (aşağıda 9 No.lu paragrafta yapılan yorumlar uyarınca). Bu kontroller kritik ticari amaçlarla bağlantılı risklerin yönetilmesi için gerekli olan ve ana kontroller olarak adlandırılan kontrollerdir. Sadece ana kontrollerin değerlendirilmesi gerekir. Bu tür bir güvencenin ticari bir değer yaratması halinde iç denetçi ana olmayan kontrollerin (yani gereksiz, tekrar eden kontroller) değerlendirilmesini de tercih edebilir. İç denetçiler ana olmayan kontrollerin gerekli olup olmadığını 36 6.10 Metodoloji, denetim amaçlarını ele almak için kanıtların toplanması ve analiz edilmesi için gerçekleştirilecek denetim prosedürlerinin yapısını ve kapsamını tanımlar. Denetim prosedürleri, denetim amaçlarını gerçekleştirmek için spesifik aşama ve testlerdir. Denetçiler, kanıtların denetim amaçlarıyla bağlantılı denetçi bulgu ve sonuçlarını destekleyecek düzeyde yeterli ve uygun olduğuna dair makul güvenceler elde edecek ve denetim riskini kabul edilebilir bir düzeye indirecek metodolojiyi tasarlamalıdır. 6.11 Denetçiler, aşağıdaki hususları kavrayarak denetim amaçları bağlamında denetim riskini ve önemini değerlendirmelidir: a. Programların yapısı ve profili ve denetim raporlarının olası kullanıcılarının ihtiyaçları, b. Denetimin spesifik amaçları ve kapsamıyla bağlantılı iç kontrol, c. Denetim amaçları bağlamında denetim riskinin değerlendirilmesi ve denetimin planlanma amaçlarına ilişkin bilgi sistemleri kontrolleri, d. Kanun, yönetmelik, sözleşme ve hibe anlaşması hükümleri ve denetim amaçları bağlamında anlamlı olan olası suistimal ve kötüye kullanım, e. Denetim amaçları bağlamında devam eden incelemeler ya da yasal takipler ve f. Doğrudan doğruya mevcut denetim amaçlarıyla bağlantılı önceki denetimlerin ve tasdik görevlerinin sonuçları. 6.12 Planlama sırasında denetçiler; a. Denetime tabi konuları değerlendirmek için gerekli olası kriterleri tanımlamalıdır. b. Denetime kanıt olan kaynakları tanımlamalı ve denetim riski ve önemi dikkate alındığında gerekli olan kanıt türü ve miktarını belirlemelidir. c. Bazı denetim amaçlarını gerçekleştirmek için diğer denetçiler ve uzmanların işlerinin kullanılıp kullanılmayacağını değerlendirmelidir. d. Yeterli kolektif yetkinliğe sahip uygun sayıda personel ve uzmanı tahsis etmeli ve denetimin gerçekleştirilmesi için gerekli diğer kaynakları belirlemelidir. e. Denetim planlanması ve gerçekleştirilmesi için yönetimdeki yetkililer, yönetişimden sorumlu birimler ve varsa diğer yetkililerle iletişim halinde olmalıdır. f. Yazılı bir denetim planı hazırlamalıdır. Programın Yapısı, Profili ve Kullanıcı İhtiyaçları 6.13 Denetçiler bir performans denetimini planlarken programın yapısı veya denetim altındaki programın bileşenleri ve denetim sonuçları ve raporlarının olası kullanımına dair bir kavrayış kazanmalıdır. Program yapısı ve profili şunları içermelidir: a. Görünürlük, hassaslık ve denetim altındaki programla bağlantılı riskler, yönetimle tartışa da bilirler. 2300 - Görevin Gerçekleştirilmesi: İç denetçiler, görev amaçlarının gerçekleştirilmesi için yeterli düzeyde bilgiyi tanımlamalı, analiz etmeli, değerlendirmeli ve belgelendirmelidir. 2310 – Bilgilerin Tanımlanması: İç denetçiler görev amaçlarının gerçekleştirilmesi için yeterli, güvenilir, konuyla alakalı ve kullanışlı bilgiyi tanımlamalıdır. Uygulama Tavsiyesi: 2300-1: Görevlerin Yürütülmesi Esnasında Kişisel Bilgilerin Kullanımı 2201 – Planlamaya İlişkin Değerlendirmeler: Görevin planlanması aşamasında iç denetçiler şu hususları dikkate almalıdır: Gözden geçirilen faaliyetin amaçları ve faaliyetin performansını kontrol ettiği araçlar, Faaliyete, faaliyetin amaçları ve kaynaklarına ilişkin anlamlı riskler ve risklerin olası etkilerinin kabul edilebilir bir düzeyde tutulduğu işlemler ve araçlar, İlgili bir kontrol çerçevesi ya da modeline kıyasla faaliyetin risk yönetimi ve kontrol süreçlerinin yeterliliği ve verimliliği, Faaliyetin risk yönetimi ve kontrol süreçlerine ilişkin önemli iyileştirmeler yapma fırsatı 2210.A3 Kontrolleri değerlendirmek için yeterli kriterler gereklidir. İç denetçiler, amaçlara ve hedeflere ulaşılıp ulaşılmadığını belirlemek için yeterli kriterlerin yönetim tarafından ne ölçüde kurulduğunu belirlemelidir. Şayet bunlar yeterli düzeydeyse iç denetçiler değerlendirmelerinde bu tür kriterleri kullanmalıdır. Şayet bunlar yetersiz durumda ise iç denetçiler uygun denetim kriterlerini geliştirmek için yönetimle birlikte çalışmalıdır. 37 Programın yaşı ve koşullarında yapılan değişiklikler, c. Dolar cinsinden programın toplam boyutu, etkilenen vatandaş sayısı ya da diğer ölçümler, d. Gözden geçirme ve diğer bağımsızlık gözetimlerinin seviye ve boyutu, e. Programa ilişkin stratejik plan ve amaçlar ve f. Programı doğrudan doğruya etkileyen dış unsurlar ve koşullar İç Kontrol: 6.16 Denetçiler, denetim amaçları bağlamında önemli olan iç kontrole ilişkin bir kavrayış kazanmalıdır. Denetim amaçları bağlamında önemli olan iç kontrol bakımından denetçiler, iç kontrolün usulüne uygun tasarlanıp tasarlanmadığını ve uygulanıp uygulanmadığını ve bu kontrollerin verimliliğine ilişkin değerlendirmelerini destekleyecek yeterli ve uygun kanıtları elde edecek şekilde tasarlanan prosedürlerin uygulayıp uygulamadığını değerlendirmelidir… Bu nedenle, denetim amaçları bakımından önemli iç kontrollere ilişkin bir kavrayış kazanırken denetçiler, bilgi sistemleri kontrollerinin değerlendirilmesinin gerekli olup olmadığını da değerlendirmelidir. 6.22 İç denetim; genel yönetişim, hesap verebilirlik ve iç kontrol süreçlerinin önemli bir parçasıdır. Birçok iç denetim kurumunun esas rolü, iç kontrollerin riskleri yeterince azaltmak ve program amaç ve hedeflerini gerçekleştirmek için yerinde kurulduğuna dair güvence sağlamaktadır. Denetçi, denetim amaçları bağlamında önemli olan iç kontrollerin tasarım ve işleyişinin verimliliğine ilişkin denetçilerin değerlendirmelerinde iç denetçilerin işlerinin kullanılmasının uygun olup olmadığını belirlemelidir. 6.24 Bir kurumun bilgi sistemleri kontrollerini kullanım oranı yoğun olabilir ancak denetçiler, esasen denetim amaçları bağlamında önemli olan bu bilgi sistemleri kontrolleriyle ilgilidir. Denetçiler, yeterli ve uygun kanıtlar elde etmek için bilgi sistemleri kontrollerinin verimliliğinin değerlendirilmesinin gerekli olduğuna karar verirlerse bilgi sistemleri kontrolleri denetim amaçları bakımından önemlidir. Bilgi sistemleri kontrollerinin denetim amaçları bakımından önemli olduğu ya da önemli kontrollerin verimliliğinin bilgi sistemleri kontrollerinin verimliliğine bağlı olduğu durumlarda denetçiler, bu tür kontrollerin tasarım ve işleyiş verimliliğini değerlendirmelidir. Önemli kontrollerin verimliliğini etkileyen diğer bilgi sistemleri kontrollerinin ve önemli kontrollerin işleyişinde kullanılan bilgilerin güvenirliliğinin değerlendirilmesi de bu değerlendirmenin kapsamında olabilir. Denetim amaçları bağlamında denetçiler, denetim risklerini değerlendirmek ve denetimi planlamak için gerekli bilgi sistemleri kontrollerine ilişkin yeterli bir kavrayışa sahip olmalıdır. 6.27 Denetçiler, denetim bulguları ve sonuçlarını destekleyici yeterli ve uygun kanıtları elde etmek için bilgi sistemleri kontrolleriyle bağlantılı hangi denetim b. 2130 – Kontrol: İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendiren ve bunların sürekli gelişimini sağlayan etkili kontroller sunma konusunda kuruma yardımcı olmalıdır. 2130.A1 – İç denetim faaliyeti; kurumun yönetişim, işlemler ve bilgi sistemlerine ilişkin risklerine cevap veren kontrollerin yeterlilik ve verimliliğini şu bakımlardan değerlendirmelidir: Finansal ve operasyonel bilgilerin güvenirliği ve verimliliği, Operasyonların ve programların etkinliği ve verimliliği, Değerlerin korunması ve Kanun, yönetmelik, politika, prosedür ve sözleşmelere uygunluk. 1210.A3 İç denetçiler, atandıkları görevleri yerine getirmek için gerekli temel bilgi teknolojileri risklerine ve kontrollere ve mevcut teknoloji temelli denetim tekniklerine ilişkin yeterli bilgiye sahip olmalıdır. Ancak tüm iç denetçilerin, temel sorumluluğu bilgi teknolojilerinin denetimi olan bir iç denetçinin uzmanlığına sahip olması beklenemez. 38 prosedürlerinin gerekli olduğunu belirlemelidir. Denetçilerin bu konuda yapacağı belirlemeler için aşağıdaki unsurlar faydalı olabilir: d. Bir denetim amacı olarak bilgi sistemleri kontrollerinin verimliliğinin değerlendirilmesi: Doğrudan doğruya denetim amacının bir parçası olarak bilgi sistemleri kontrollerinin verimliliğinin değerlendirildiği durumlarda denetçiler, denetim amaçlarını ele almak için gerekli bilgi sistemleri kontrollerini test etmelidir… Kanun, Yönetmelik, Sözleşme ve Hibe Anlaşması Hükümleri: 6.28 Denetçiler, denetim amaçları bağlamında önemli kanun, yönetmelik, sözleşme ve hibe anlaşması hükümlerini saptamalı ve bu kanun, yönetmelik, sözleşme ve hibe anlaşması hükümlerine olası uyamama risklerini değerlendirmelidir. Bu risk değerlendirmesi esasında denetçiler, denetim amaçları bağlamında önemli kanun, yönetmelik, sözleşme ve hibe anlaşması hükümlerine uymama durumlarını saptamaya ilişkin makul güvenceler sunacak prosedürleri tasarlamalı ve uygulamalıdır. Suistimal: 6.30 Denetim planını oluştururken denetçiler, denetim amaçları bağlamında önemli olan suistimal riskleri olasılığını değerlendirmelidir. Suistimal eylemi, değerli bir şeyin bilinçli olarak yapılan gerçeğe aykırı beyanlarla elde edilmesidir. Bir eylem olsun ya da olmasın suistimal aslında adli ve diğer yasal sistemler aracılığıyla yapılacak ve denetçilerin mesleki sorumluluğunu aşan bir belirlemedir. Denetim ekibi üyeleri, bireylerin suistimal işleme güdüleri ya da bireyler üzerindeki suistimal yapma baskısı, suistimal yapma imkânı, bireylere suistimal yapma imkânı veren gerekçeler ya da davranışlar da dâhil olmak üzere suistimal risklerini kendi aralarında tartışmalıdır. Denetçiler, denetim amaçları bağlamında önemli olan veya bulgu ve sonuçları etkileyen suistimal risklerini tanımlamak için bilgileri toplamalı ve değerlendirmelidir. A.10 Bazı durumlarda aşağıda sayılan durumların varlığı suistimal riskinin artığını gösterebilir: a. Kurumun finansal istikrarını, kapasitesini ya da bütçesini tehdit eden ekonomik, programa ait ya da kurum işleyişine ait koşullar, b. Suistimal yapma fırsatı veren kurum operasyonlarının yapısı, c. Yönetimin kanun, yönetmelik ve politikalara uyumu izleyişinin yetersizliği, d. Kurumsal yapının istikrarsız ya da gereksiz biçimde karmaşık oluşu, e. Yönetimin etik standartlara ilişkin bildirim ve/veya desteğinin eksik olması f. Önemli kararları alırken yönetimin alışık olmadık düzeyde yüksek riskleri almayı kabul etmeye gönüllü olması, g. Geçmiş konularda suistimal, israf, kötüye kullanım ya da sorgulanır uygulamaların olması ya da geçmiş denetim ya da incelemelerde sorgulanabilir ya da adli 1210.A2 – İç denetçiler, suistimal riskini ve bunun kurum tarafından nasıl yönetildiğini değerlendirmek için yeterli bilgiye sahip olmalıdır. Ancak iç denetçilerin, esas sorumluluğu yolsuzluğu saptamak ve incelemek olan bir şahsın uzmanlık bilgisine sahip olması beklenemez. 2120.A2 – İç denetim faaliyeti, yolsuzluğun gerçekleşme olasılığını ve kurumun suistimal riskini nasıl yönettiğini değerlendirmelidir. 39 faaliyetler Geliştirilmeyen ya da güncelliğini yitiren işletme politikaları ya da prosedürleri i. Eksik ya da hiç olmayan temel belgeler j. Varlıklara ilişkin hesap verebilirlik prensibinin ve koruyucu unsurların eksikliği k. Hatalı ödemeler l. Yanlış ya da yanıltıcı bilgiler m. “Mevcut kaynakların tümünün kullanımı” amacıyla sene sonunda kalan bütçeyle yüklü alımların yapılması n. Sözleşme, tedarik, alım ve diğer faaliyetlerde alışılmadık durum ya da eğilimlerin olması 6.31 Denetçiler, denetim amaçları bağlamında önemli olduğunu düşündükleri suistimalle bağlantılı risklerin ya da unsurların gerçekleştiğini ya da gerçekleşme ihtimalinin olduğunu saptarlarsa bu tür suistimallerin saptanması için makul güvenceler sağlayacak prosedürleri tasarlamalıdırlar. Suistimal riskinin değerlendirilmesi denetim süreci boyunca devam eden bir süreçtir ve sadece denetimin planlanmasıyla değil aynı zamanda denetim sırasında elde edilen kanıtların değerlendirilmesiyle de ilgilidir. 6.32 Denetim amaçları bağlamında önemli olabilecek bir yolsuzluğun gerçekleştiğine dair bir bilgi geldiğinde denetçiler, (1) yolsuzluğun gerçekleşip gerçekleşmediğini belirlemek (2) gerçeklemişse bunun denetim bulguları üzerindeki sonuçlarını belirlemek için denetim aşamalarını ve prosedürlerini gerekli biçimde genişletmelidir… Kötüye Kullanım: 6.34 ……..GAGAS denetimi uyarınca denetçiler, denetlenen program uyarınca nitelik ya da nicelik açısından önemli olabilecek düzeyde kötüye kullanımı fark ettiklerinde, bunun denetlenen program üzerinde denetim amaçları bağlamında olası etkilerini belirlemek için özel olarak denetim prosedürlerini uygulamalıdırlar. İlave işlerin gerçekleştirilmesinden sonra denetçiler bu kötüye kullanımın olası suistimal veya kanun, yönetmelik, sözleşme ya da hibe anlaşması hükümlerine uymama durumu içerdiğini görebilirler. Devam Eden İncelemeler ve Yasal Takipler: 6.35 …İnceleme ya da yasal takipler başladığında ya da sürdürüldüğünde denetçiler bunların mevcut denetim üzerindeki etkilerini değerlendirmelidir. Bazı durumlarda denetçilerin müfettişler ya da yasal otoritelerle birlikte çalışması ya da devam eden inceleme ya da yasal takiplere müdahaleyi engelleyecek miktarda denetim işinden ya da ilave denetim işinden çekilmesi ya da bunları ertelemesi uygun olabilir. Önceki Denetimler ve Tasdik Görevleri: 6.36 Denetçiler, denetlenen kurumun önceki görevlerden elde edilen ve denetim amaçları bağlamında önemli olan bulgu ve tavsiyeleri ele alacak uygun düzeltici adımları atıp atmadığını değerlendirmelidir. Denetim planı yapılırken denetçiler, denetlenen kuruma önceki denetimlerin, tasdik görevlerinin, performans denetimlerinin ya da h. Uygulama Tavsiyesi 2400-1 Sonuçların bildirilmesine ilişkin yasal mülahazalar: 1. İç denetçiler, kanun, yönetmelik ya da başka yasal konulara uygun olmama durumlarını bildirirken dikkatli davranmalıdır. Bu konuların ele alınmasına ilişkin politika ve prosedürler geliştirilirken diğer uygun birimlerle (yani yasal danışmanlık ve uygunluk) mümkün olduğunca yakın bir çalışma ilişkisi kurulması kuvvetle tavsiye edilir. 2500 – İzleme Süreci: İç denetim yöneticisi, yönetime bildirilen sonuçların kullanımını izlemek için bir sistem kurmalı ve bu sistemi sürdürmelidir. 2500.A1 – İç denetim yöneticisi, yönetimin eylemlerinin etkili bir biçimde uygulandığını ya da üst yönetimin harekete geçmeme riskini kabul ettiğini izlemek ve sağlamak için takip süreci oluşturmalıdır. 40 ilgili tavsiyelerin uygulanıp uygulanmadığı da dâhil olmak üzere doğrudan doğruya denetim amaçlarıyla bağlantılı başka çalışmaları saptamak için sorular sormalıdır. Denetçiler, riskleri değerlendirmek ve mevcut denetim amaçları için geçerli düzeltici adımların uygulama sınanmasının ne ölçüde uygun olduğunun belirlenmesi de dâhil olmak üzere mevcut denetim işinin yapısı, süresi ve kapsamını belirlemek için bu bilgilerden faydalanmalıdır. Tanımlayıcı Denetim Kriterleri: 6.37 Denetçiler, kriterleri tanımlamalıdır. Kanunlar, yönetmelikler, sözleşmeler, hibe anlaşmaları, standartlar, spesifik yükümlülükler, ölçütler, beklenen performans, tanımlanan ticari uygulamalar ve performansın karşılaştırıldığı ya da değerlendirildiği ölçütlerin tümü kriterleridir. Kriterler; program ya da işlem uyarınca ulaşılması gerekli ya da arzulanan durum ya da beklentileri tanımlar. Kriterler; kanıtların değerlendirilmesi ve raporda yer alan bulgu, sonuç ya da tavsiyelerin anlaşılması için bir bağlam sunar. Denetçiler, denetim amaçlarıyla bağlantılı olan kriterleri kullanmalı ve denetim konusunun tutarlı bir biçimde değerlendirilmesine imkân vermelidir. Kanıt Kaynaklarının ve Gerekli Kanıt Miktarı ve Türünün Belirlenmesi 6.38 Denetçiler, kanıt olarak kullanılabilecek olası bilgi kaynaklarını belirlemelidir. Denetçiler, denetim amaçlarını ele almak ve denetim işini yeterli düzeyde planlamak için gerekli olan yeterli ve uygun kanıt miktarı ve türünü belirlemelidir. 6.39 Denetçiler, yeterli ve uygun kanıtların elde edilmesinin mümkün olmadığını düşünüyorlarsa, denetim amaçlarını gözden geçirebilir ya da kapsam ve metodolojiyi değiştirebilirler ve mevcut denetim amaçlarını ele alacak ilave kanıtlar veya başka tür kanıtları elde edecek alternatif prosedürleri belirlemelidir. Denetçiler, iç kontrol eksikliklerine bağlı yeterli ve uygun kanıt eksikliği olup olmadığını ve bu eksikliğin denetim bulgularının gerekçesi olup olmadığını değerlendirmelidir. Başkalarının İşlerinin Kullanımı: 6.40 Denetçiler, mevcut denetim amaçlarıyla bağlantılı olabilecek programların denetimlerinin başka denetçiler tarafından daha önce yapılıp yapılmadığını veya şu anda yapılıp yapılmadığını belirlemelidir. 6.41 … Denetçiler başka denetçilerin işlerini kullandıklarında bu işi kullanmalarına ilişkin yeterli bir gerekçe sunan prosedürleri uygulamalıdır. Denetçiler, başka denetçilerin niteliklerine ve bağımsızlığına ilişkin kanıtlar elde etmeli ve başka denetçiler tarafından yapılan denetim işinin kapsam, kalite ve süre bakımından mevcut denetim amaçları bağlamında yeterince güvenilecek düzeyde bir denetim olup olmadığını belirlemelidir. 2210.A3 Kontrolleri değerlendirmek için yeterli kriterler gereklidir. İç denetçiler, amaçlara ve hedeflere ulaşılıp ulaşılmadığını belirlemek için yeterli kriterlerin yönetim tarafından ne ölçüde kurulduğunu belirlemelidir. Şayet bunlar yeterli düzeydeyse iç denetçiler değerlendirmelerinde bu tür kriterleri kullanmalıdır. Şayet bunlar yetersiz durumda ise iç denetçiler uygun denetim kriterlerini geliştirmek için yönetimle birlikte çalışmalıdır. 2310 – Tanımlayıcı Bilgi: İç denetçiler, görev amaçlarını gerçekleştirmek için yeterli, güvenilir, ilgili ve kullanışlı bilgiyi tanımlamalıdır. 2050 – Koordinasyon: İç denetim yöneticisi, kapsamın usulüne uygun olması ve çabaların mükerrer olmaması için güvence ve danışma hizmeti sunan diğer iç ve dış denetçilerle bilgi paylaşımında bulunmalı ve faaliyetleri koordine etmelidir. Uygulama Tavsiyesi 2050 – 3 Başka Güvence Sağlayanların İşine Güvenme: 10. Başka güvence sağlayanlar tarafından yapılan işlere güvenme düzeyi daha önceden bahsedilen unsurlara bağlıdır: bağımsızlık, tarafsızlık, yeterlilik, uygulama unsurlar, denetim işinin icrasının yeterliliği ve bahsedilen güvence düzeyini destekleyecek denetim kanıtlarının yeterliliği. Başka güvence sağlayıcılar tarafından gözden geçirilen faaliyetlerin önemi ya da risk düzeyi artıkça iç denetçi bu unsurlara ilişkin daha fazla bilgi toplamalı ve başka güvence sağlayıcılar tarafından yapılan bu işi destekleyecek ilave denetim kanıtları elde etmelidir. Sonuçlara ilişkin güven düzeyini artırmak için iç denetim 41 6.42 … Denetçiler uzmanların işlerini kullanmaya niyetliyse bu uzmanların mesleki niteliklerini ve bağımsızlığını değerlendirmelidirler. 6.43 Denetçilerin uzmanların mesleki niteliklerine ilişkin yapacağı değerlendirme şu unsurları içermelidir: a. Mesleki sertifika, lisans ya da uzmanın alanında tanınırlığını gösteren diğer yeterlilik belgeleri b. Akranlarının görüşlerinde ya da uzmanın kapasitesi ve performansını bilen diğerlerinin görüşlerinde uzmanın bilinirliği ve itibarı c. Uzmanın mevcut denetim konusunda deneyimi ve önceki işleri d. Denetçilerin uzmanın işini kullanmaya ilişkin önceki deneyimleri 6.44 Denetim işlerini gerçekleştiren uzmanların bağımsızlığına ilişkin denetçi değerlendirmelerine, denetimleri gerçekleştiren denetçilerin yapacağı biçimde tehditlerin saptanması ve gerekli koruyucu unsurların uygulanması dâhildir. 6.46 Bir uzmanın işinin kullanılması planlanıyorsa denetçiler, uzman tarafından yapılacak işin yapısı ve kapsamını aşağıdaki unsurları dikkate alarak belgelendirmelidir. a. Uzmanın işinin amaçları ve kapsamı b. Denetim amaçlarını destekleyecek biçimde uzmanının işinin kullanım amacı c. Değerlendirilebilmesi ve planlanan başka denetim prosedürleriyle bağlantı kurulabilmesi için uzmana ait prosedürler ve bulgular d. Uzman tarafından kullanılan varsayımlar ve faaliyeti başka güvence sağlayıcılar tarafından elde edilen sonuçları yeniden test etmelidir. 1210.A1 İç denetim yöneticisi, iç denetçiler görevin tümü ya da bir kısmını gerçekleştirmek için gerekli bilgi, beceri ya da diğer yeterliliklere sahip değilse uygun tavsiye ve yardımları almalıdır. Uygulama Tavsiyesi 1210.A1-1 İç Denetim Faaliyetini Destekleyecek ya da Tamamlayacak Dış Hizmet Sağlayıcıların Elde Edilmesi: 4. İDY’nin dış hizmet sağlayıcıların işlerini kullanmak ya da bunlara güvenmek istemesi durumunda İDY dış hizmet sağlayıcının yeterliliğini, bağımsızlığını ve tarafsızlığını gerçekleştirilecek mevcut iş bakımından değerlendirmelidir. Yeterlilik, bağımsızlık ve tarafsızlık değerlendirmesi dış hizmet sağlayıcıların üst yönetim ya da kurul tarafından seçildiği ve iDY’nin dış hizmet sağlayıcının işini kullanmayı ve buna güvenmeyi tercih ettiği durumlar için de geçerlidir. Seçimin başkaları tarafından yapıldığı ve İDY’nin dış hizmet sağlayıcının işini kullanamayacağı ve buna güvenemeyeceğini tespit ettiği durumlarda bu sonuçlara ilişkin bildirimler üst yönetim ya da kurula uygun biçimde yapılmalıdır. 5. İDY dış hizmet sağlayıcının görevi gerçekleştirmek için gerekli bilgi, beceri ve diğer yeterliliklere sahip olduğunu şu unsurları göz önünde bulundurarak belirler: Mesleki sertifika, lisans ya da dış hizmet sağlayıcının ilgili alanda yeterliliğini gösteren diğer belgeler, Dış hizmet sağlayıcının uygun bir mesleki kuruma üye olması ve bu kurumun etik kurallarına bağlı kalması, Dış hizmet sağlayıcının itibarı, Buna dış hizmet sağlayıcının işini bilen başkalarıyla iletişim kurulması da dâhildir. Yapılması düşünülen iş türünde dış hizmet sağlayıcının deneyimi, Mevcut göreve ilişkin alanlarda dış hizmet sağlayıcının aldığı eğitim ve kursların kapsamı, Kurumun faaliyet gösterdiği alanda dış hizmet sağlayıcının bilgisi ve deneyimi Uygulama Tavsiyesi 1210.A1-1 İç Denetim Faaliyetini Destekleyecek ya da Tamamlayacak Dış Hizmet Sağlayıcıların Elde Edilmesi: 9. İç denetim faaliyeti amaçları için işin kapsamının yeterli olduğunu belirlemek için İDY, dış hizmet sağlayıcının işinin kapsamına ilişkin yeterli bilgileri elde etmelidir. Bunları ve diğer konuları, bir görev mektubu ya da sözleşmeyle belgelendirme konusunda ihtiyatlı olmalıdır… 42 yöntemler Personel ve Diğer Kaynakların Tahsisi: 6.45 Denetim yönetimi, denetimleri gerçekleştirmek için yeterli kolektif mesleki yetkinliğe sahip yeterli sayıda personel ve uzmanı tahsis etmelidir. Diğer konulara ek olarak bir denetim faaliyetine personel tahsisi şu hususlar içerir: a. Uygun iş için kolektif bilgi, beceri ve deneyime sahip personel ve uzmanın tahsis edilmesi b. Denetim faaliyeti için yeterli sayıda personel ve müfettişin tahsis edilmesi c. Personele görev başı eğitimlerin verilmesi d. Gerekli durumlarda uzmanların görevlendirilmesi Yönetimle, Yönetişimden Sorumlu Birimlerle ve Diğerleriyle İletişim: 6.47 Denetçilerin yolsuzluğu gösteren durumlara ilişkin prosedürleri uygulamayı ya da açıklanmamış kasa sayımlarını yapmayı planladığı durumlar gibi denetim amaçlarını ele almasını sağlayacak yeterli ve uygun kanıtları elde etme yeteneğine anlamlı ölçüde zarar vermediği sürece denetçiler, performans denetimlerinin amaçları, kapsamı, metodolojisi ve süresine ve planlanan raporlamaya (olası rapor kısıtlamaları da dâhil) bir gözden geçirmeyi sunmalıdır. Denetçiler, aşağıdaki taraflarla uygun biçimde iletişime geçmelidir: a. Programda ya da denetlenen faaliyette uygulanacak düzeltici adımları atmak için yeterli yetki ve sorumluluğa sahip olanlar dâhil olmak üzere denetlenen kurumun yönetimi b. Yönetişimden sorumlu olanlar c. Sözleşme görevlileri ya da hibe alanlar gibi denetim hizmetleri sözleşmelerini imzalayan ya da talep eden şahıslar ve d. Denetçiler denetimlerini bir yasa ya da yönetmelik uyarınca yaptıklarında ya da işi denetlenen kurumu denetlemiş bir yasama komitesi için yaptıklarında sürecin farkında bir yasama komitesi 6.48 Hem denetlenen kurumun stratejik yönünü inceleyen ve hem de onun hesap verme yükümlülüklerini karşılayan tek bir şahsın ya da grubun olmadığı bu gibi durumlarda ya da yönetiminden sorumlu olanların kimliğinin yeterince açık olmadığı diğer durumlarda denetçiler, izlenen prosedürleri ve gerekli denetçi bildirimlerini alması uygun şahısları belirlemek için ulaştıkları sonuçları belgelendirmelidir. 6.49 Yazılı bildirim tercih edilmesine rağmen bildirimin türünün, içeriğinin ve ne sıklıkla yapılacağının belirlenmesi mesleki yargılara bağlıdır. Denetçiler, bilgileri iletmek için bir görev mektubu kullanabilirler. Denetçiler, bu bildirimi belgelendirmelidir. 2030 – Kaynakların Yönetimi: İç denetim yöneticisi, iç denetim kaynaklarının onaylanan planın gerçekleşmesini sağlayacak biçimde uygun, yeterli ve etkili bir şekilde tahsis edilmesini sağlamalıdır. Uygulama Tavsiyesi 2030-1: Kaynak Yönetimi Uygulama Tavsiyesi 2200-1: Görev Planlaması: 4. İç denetçiler, görev hakkında bilgi sahibi olması gereken yönetimdeki şahısları bilgilendirmeli, gözden geçirilen faaliyetten sorumlu olan yönetim kademesiyle toplantılar yapmalı, toplantılarda yapılan tartışmaları ve sonuçları özetlemeli ve dağıtmalı ve görev çalışma evraklarında yer alan bilgileri muhafaza etmelidir. Tartışma konuları şunlar olabilir: Planlanan görev amaçları ve işin kapsamı Görevlendirilen işe ilişkin kaynaklar ve işin süresi İç ve dış ortamda gerçekleşen yeni değişiklikler de dâhil olmak üzere gözden geçirilen işin koşullarını ve iş alanlarını etkileyen temel unsurlar Yönetimin konuya ilişkin endişeleri ya da talepleri 2440 – Sonuçların Yayımlanması: İç denetim yöneticisi, sonuçları uygun taraflara bildirmelidir. 2440.A1- İç denetim yöneticisi, sonuçlara gereken önemin verilmesini sağlayacak taraflara nihai sonuçları bildirmekle sorumludur. Uygulama Tavsiyesi 2200-1: Görev Planlaması: 5. İDY; görev sonuçlarının nasıl, ne zaman ve kimlere bildireceğini belirler. İç denetçi, görevin planlanması esnasında bunu uygun görülen biçimde belgelendirir ve yönetime bildirir. İç denetçi, görev sonuçlarının süresini ya da raporlanmasını etkileyebilecek müteakip değişiklikleri yönetime bildirir. 6.50 Bir denetim tamamlanmadan bitirilir ve denetim raporu yayımlanmazsa denetçiler, denetimin bitirildiği 43 tarihe kadar yapılan işlerin sonuçlarını ve denetimin neden bitirildiğini edildiğini belgelendirmelidir… Yazılı Denetim Planının Hazırlanması: 6.51 Denetçiler, her bir denetim için yazılı bir denetim planı hazırlamalıdır… Denetçiler, denetim sırasında yapılan önemli değişiklikleri yansıtacak şekilde denetim planında gerekli güncellemeleri yapmalıdır. Teftiş: 6.53 Denetim müfettişleri ya da denetçileri teftiş etmek için görevlendirilmiş şahıslar denetim personelini usulüne uygun biçimde teftiş etmelidir. Yeterli ve Uygun Kanıtların Elde Edilmesi: 6.56 Denetçiler, bulgu ve sonuçlarına ilişkin makul bir güvence sağlayacak yeterli ve uygun kanıtları elde etmelidir. 6.57 …Uygunluk; kanıtların konuya alakasını, geçerliliğini ve denetim amaçlarıyla bağlantılı bulgu ve sonuçları destek sağlamada güvenirliğini de kapsayacak şekilde kanıtların kalitesinin ölçülmesidir. Kanıtlarının genel uygunluğunu değerlendirirken denetçiler, kanıtın ilgili, geçerli ve güvenilir olup olmadığını değerlendirmelidir. Yeterlilik; denetim amaçlarına ilişkin bulgu ve sonuçları desteklemek için kullanılan kanıt miktarını ölçümüdür. Kanıtın yeterliliği değerlendirilirken denetçiler, konuya ilişkin bilgi sahibi bir şahsın bulguların makul olduğuna ikna edilmesine yetecek miktarda kanıtın elde edilip edilmediğini belirlemelidir. 6.58 Kanıtlar değerlendirilirken denetçiler, bir bütün olarak kanıtın denetim amaçlarını ele almak ve bulgu ve sonuçlara ilişkin destek sunmak için yeterli ve uygun olup olmadığını değerlendirmelidir… 2240- Görev İş Programı: İç denetçiler, görev amaçlarının gerçekleştirilmesi için gerekli iş programlarını geliştirmeli ve belgelendirmelidir. 2240.A1 İş programları, görev sırasında bilgilerin saptanması, analiz edilmesi, değerlendirilmesi ve belgelendirilmesi için prosedürler içermelidir. İş programı, uygulanmadan önce onaylanmalı ve bu programa ilişkin onaylanmış değişiklikler derhal uygulanmalıdır. Uygulama Tavsiyesi 2200-1 Görev Planlaması: 1. İç denetçiler, görevi müfettiş gözden geçirmesi ve onayının ardından planlamalı ve icra etmelidir. Göreve başlamadan önce iç denetçi şu hususları içeren bir görev programı hazırlar: Görev amaçlarını belirtir Teknik yükümlülükler, amaçlar, riskler, prosedürler ve incelenecek işlemleri tanımlar Gerekli testin yapısı ve kapsamını belirtir Görev sırasında bilgi toplanması, analizi, yorumu ve bunların belgelendirilmesine ilişkin iç denetçi prosedürlerini belgelendirir. Görev sırasında iç denetim yöneticisinin (İDY) ya da onun görevlendirdiği kişi tarafından onaylanarak değiştirilir. 2340 – Görevin teftişi: Amaçlara ulaşıldığını, kalitenin sağlandığını ve personelin geliştiğini gösterecek biçimde görevler teftiş edilmelidir. Uygulama Tavsiyesi 2340-1: Görevin Teftişi 2300 – Görevin İcrası: İç denetçiler, görev amaçlarını gerçekleştirmek için gerekli olan yeterli bilgiyi tanımlamalı, analiz etmeli, değerlendirmeli ve belgelendirmelidir. 2310 – Tanımlayıcı Bilgi: İç denetçiler, görev amaçlarını gerçekleştirmek için gerekli olan yeterli, güvenilir, ilgili ve kullanışlı bilgileri tanımlamadır. 2320 – Analiz ve Değerlendirme: İç denetçiler, uygun analiz ve değerlendirmelerden elde edilen sonuçları ve görev sonuçlarını esas almalıdır. Uygulama Tavsiyesi: 2320-1: Analitik Prosedürler Uygulama Tavsiyesi: 2320-2: Temel Neden Analizi 6.62 Tanık ifadesine dayalı kanıtlar, yazılı ya da fiziki bilgilerin yorumlanması ya da bunların doğrulanması için yararlı olabilir. Denetçiler, tanık ifadesine dayalı kanıtların tarafsızlığını, doğruluğunu ve güvenirliğini değerlendirmelidir. Yazılı kanıtlar, tanıdık ifadesine dayalı, sözlü kanıtları teyit etmek, desteklemek ya da bunlara itiraz etmek için kullanılabilir. 44 6.65 Denetçiler denetlenen kurumun yetkilileri tarafından sunulan bilgileri kanıt olarak kullandıkları durumlarda, denetlenen kurumun yetkililerinin ya da diğer denetçilerin eldeki bilgilerin güvenirliğine dair güvence sağlamak için neler yaptığını belirmelidir… 6.66 Denetçiler, bilgisayar tarafından işlenen bilgilerin yeterliliği ve uygunluğunu, bu bilgilerin denetçilere sunulup sunulmadığına ya da denetçilerin bu bilgileri bağımsız bir biçimde elde edip etmediğine bakmaksızın değerlendirmelidir… Yeterlilik: 6.67 …Kanıtın yeterliliği belirlenirken denetçiler, denetim amaçlarını ve bulguları ve sonuçları desteklemek için yeteri miktarda uygun verinin olup olmadığını belirlemelidir. Kanıtlara İlişkin Genel Değerlendirme: 6.69 Denetçiler, denetim amaçları bağlamında bulguların ve sonuçlar için makul bir gerekçe sağlamak için kanıtların genel yeterliliği ve uygunluğunu belirlemelidir… Denetçiler, spesifik kanıtların geçerliliği ve güvenirliliğine karar vermek için yapılan spesifik değerlendirmeler de dahil olmak üzere bulgu ve sonuçları desteklemek için kullanılan kolektif kanıtların genel değerlendirmesi yapılmalı ve belgelendirilmelidir. 6.71 Kanıtların yeterlilik ve uygunluğu değerlendirilirken denetçiler, denetim amaçları, bulgular ve sonuçlar, mevcut destekleyici kanıtlar ve denetim riski düzeyi bakımından kanıtların beklenen önemini değerlendirmelidir. Kanıtların değerlendirilmesine ilişkin aşamalar kanıtların yapısına, kanıtların denetimde ya da raporlarda nasıl kullanıldığına ve denetim amaçlarına bağlıdır. a. Denetim amaçları bağlamında bulguları veya sonuçları destekleyici makul gerekçeler sunduğunda kanıtlar yeterli ve uygundur. b. (1) denetçinin yanlış ya da hatalı bir sonuca ulaşmasına neden olabilecek kabul edilemez derece yüksek risk taşıyan kanıtların kullanılması (2) Denetim amaçları ve kanıtların kullanım amacı dikkate alındığında kanıtların önemli kısıtlamalar içermesi (3) denetim amaçlarının ele alınması ya da bulgu ve sonuçların desteklenmesi için kanıtların yeterli gerekçe sağlamaması durumlarında, kanıtlar yeterli ve uygun değildir. 6.72 …Denetçiler, denetim bulguları ve sonuçları bakımından kanıtlarda anlamlı kısıtlamalar ya da belirsizlikler saptarlarsa ek prosedürleri uygun biçimde uygulamalıdırlar. Bu prosedürler şunlardır: a. Başka kaynaklardan bağımsız, destekleyici bilgilerin araştırılması, b. Kanıt kullanımına olan ihtiyacı ortadan kaldıracak biçimde denetim amaçlarının yeniden tanımlanması ya da denetimin kapsamının sınırlandırılması, c. Destekleyici kanıtın yeterli ve uygun olduğunu gösterecek şekilde bulgu ve sonuçların açıklanması ve rapor 45 kullanıcılarının bulgu ve ya sonuçlara ilişkin yanlış yönlendirilmesini önlemek için gerekliyse kanıtların geçerliliği veya güvenilirliğiyle birlikte kısıtlamalar ya da belirsizliklerin raporda tanımlanması d. Bağlantılı, anlamlı iç kontrol eksiklikleri de dâhil kısıtlamalar ya da belirsizliklerin bir bulgu olarak rapor edilip edilmeyeceğinin belirlenmesi Bir Bulguya İlişkin Unsurların Geliştirilmesi 6.73 Denetçiler, denetim amaçlarını ele almak için gerekli bir bulguya ilişkin unsurları geliştirmek için prosedürleri planlamalı ve bunları uygulamalıdır. Ek olarak, denetçiler bir bulguya ilişkin unsurları yeterince geliştirebilecek durumdaysa denetim amaçları bağlamında önemli düzeltici adımlara ilişkin tavsiyeler geliştirmelidir. Bir bulgu için gerekli unsurlar, denetim amaçlarıyla bağlantılıdır. Bu nedenle, bir bulgu ya da bulgular dizisi denetim amaçlarını ele aldığı ve rapor, bu amaçlar ile bulguya ilişkin unsurları açık ve belirgin bir biçimde bağladığı sürece tamdır. Örneğin bir denetim amacı, yasama yükümlülüklerinin uygulanmasına ilişkin program işlemleri ya da süreçlerinin mevcut durumu ya da koşulunu belirleyebilir ve neden ya da sonuç ile bağlantılı olmayabilir. Bu durumda geliştirilen koşul, denetim amacını ele alacaktır ve bulguya ilişkin diğer unsurların geliştirilmesine gerek kalmayacaktır. 6.74 Kritere ilişkin unsur, 6.37 No.lu paragrafta tartışılmıştır. Bir bulguya ilişkin diğer unsurlar – koşul, etki ve neden – 6.75 ilâ 6.77 No.lu paragraflarda tartışılmıştır. 6.75 Koşul: Koşul, mevcut olan bir duruma verilen isimdir. Koşul, denetim sırasında belirlenir ve belgelendirilir. 6.76 Neden: Neden, mevcut durum (koşul) ile gerekli olan ya da istenilen durum (kriterler) arasındaki farklılıklara neden olan unsur veya unsurların ya da koşulun ardında yatan nedeni ya da açıklamayı tanımlar ve düzeltici adımlar için yapılacak tavsiyelere ilişkin gerekçeler sunar. Kötü tasarlanmış politika, prosedür ya da kriterler; tutarsız, eksik ya da hatalı uygulama; program yönetiminin kontrolü dışındaki unsurlar ortak unsurlardır. Denetçiler, kanıtların belirlenen nedenin koşul ile kriterler arasındaki farklılıklara niçin katkı sağlayan temel unsur ya da unsurlar olduğuna dair makul ve ikna edici bir gerekçe sunup sunmadığını değerlendirmelidir. 6.77 Etki ve Olası Etki: Etki, mevcut durum (koşul) ve gerekli olan ya da arzulanan durum (kriterler) arasındaki farklılıklara dair etkileri ya da olası etkileri gösteren açık ve mantıklı bağlantıdır. Etki ya da olası etki, koşulun çıktıları ya da sonuçlarını tanımlar. Denetim sırasında tanımlanan kriterlere göre değişen (olumlu ya da olumsuz) bir koşula ait fiili ya da olası sonuçların tanımlanmasının denetim amaçlarına dâhil olduğu durumlarda “etki” bunlara ilişkin sonuçların ölçümüdür. Etki ya da olası etki, tanımlanan problemler ya da ilgili risklere karşılık atılacak düzeltici adımlara olan ihtiyacı belirlemek için Uygulama Tavsiyesi 2410-1 Bildirim Kriterleri: 6. Gözlemler, durumu izah eden konuyla ilgili görüşlerdir. İç denetçiler, iç denetçilerin sonuç ya da tavsiyelerini desteklemek ya da bunların yanlış anlaşılmasını önlemek için gerekli olan bu gözlemleri bildirmelidir. İç denetçiler, daha az önem sahip gözlem ya da tavsiyeleri gayri resmi yollarla bildirebilirler. 7. Göreve ilişkin gözlem ve tavsiyeler, kriterlerin (doğru olan durum) koşul (mevcut durum) ile karşılaştırma sürecinde ortaya çıkar. Bir farklılık olsun ya da olmasın iç denetçinin raporunu inşa edeceği bir temel vardır. Koşullar kriterleri karşıladığında tatmin edici performansa ilişkin bildirim yapılması uygun olabilir. Gözlem ve tavsiyeler şu özelliklere dayalıdır: Kriterler: Bir değerlendirme ve/veya doğrulama (doğru durum) yapmak için kullanılan standartlar, ölçütler ya da beklentiler Koşul: İç denetçinin inceleme (mevcut durum) sırasında bulduğu fiili kanıtlar Neden: Beklenen ve fiili durum arasındaki farklılığın nedeni Etki: Koşulun kriterlerle uyumlu olmaması (farkın etkisi) nedeniyle kurum ve/veya başkalarının karşılaştığı risk ya da maruziyet. Risk ya da maruziyetin derecesini belirlerken iç denetçiler, göreve ilişkin yapacakları gözlem ya da tavsiyelerin kurumun işlemleri ve finansal beyanları üzerindeki etkilerini değerlendirmelidir. 8. Sonuç ve görüşler, gözden geçirilen faaliyete ilişkin iç denetçinin gözlem ve tavsiyelerinin etkisinin değerlendirilmesidir. Genellikle gözlem ve tavsiyelerini genel çıkarımları esasında yaparlar. Görev sonuçlarını görev raporunda açıkça tanımlayınız. Sonuçlar, bir görevin tüm kapsamını içerebileceği gibi belirli yanlarını da içerebilir... 9. İç denetçiler iyileştirme tavsiyeleri, tatmin edici performans için teşekkür ve düzeltici adımları bildirmelidir. Tavsiyeler, iç denetçinin gözlem ve sonuçlarına dayanır… 46 kullanılabilir. Eksiklerin Erkenden Bildirimi: 6.78 Denetçiler; iç kontroldeki eksikleri, yolsuzluğu, kanun, yönetmelik, sözleşme veya hibe anlaşmasına uymama durumunu ya da kötüye kullanımı rapor etmelidir. Bazı konuların yönetişimden sorumlu birimlere ya da yönetime erkenden bildirilmesi, bu konuların ilgili önemi ve düzeltici takip adımlarının aciliyeti dikkate alındığında önemli olabilir. Ayrıca bir kontrolün eksikliğine ilişkin sonuçların kanun, yönetmelik, sözleşme ya da hibe anlaşması hükümlerine uymamaya yol açtığı durumlarda erkenden yapılan bildirim, yönetimin ilerleyen günlerde meydana gelebilecek uymama durumlarını önleyici düzeltici adımları derhal atmasına imkân vermesi bakımından önemlidir. Eksikliğin erkenden bildirildiği durumlarda 7.18 ilâ 7.23 No.lu paragraflarda anlatılan raporlama yükümlülükleri hâlâ geçerlidir. Denetimin Belgelendirilmesi: 6.79 Denetçiler, her bir denetimin planlama, uygulama ve raporlama aşamalarını belgelendirmelidir. Denetçiler; denetimle önceden bağlantısı olmayan tecrübeli bir denetçinin denetim dokümanından denetimin yapısını, süresini, kapsamını ve uygulanan denetim prosedürlerinin sonuçlarını, elde edilen denetim kanıtlarını ve denetçiler için önemli kanaatler ve sonuçlar da dâhil olmak üzere ulaşılan kaynakları ve sonuçları anlamasını sağlayacak seviyede yeterli detaya sahip bir denetim dokümanı hazırlamalıdır. Deneyimli denetçi ifadesiyle kast edilen performans denetimini gerçekleştirmek için gerekli yetkinlik ve becerilere sahip şahıslardır (denetim kurumun içinden ya da dışından). Aşağıdaki unsurlara ait bir kavrayış bu yetkinlik ve becerilere dâhildir: 1) Performans denetim süreçleri, 2) GAGAS ve cari yasal ve düzenleyici yükümlülükler, 3) Denetim amaçlarını gerçekleştirmeyle bağlantılı denetim konusu, 4) Denetlenen kurumun ortamıyla ilgili konular 6.81 Denetçiler, mevcut denetimin koşullarını karşılayacak denetim dokümanı şeklini ve içeriğini tasarlamalıdır. Denetim dokümanı, denetçilerin standartlar uyarınca yaptıkları işe ve ulaştıkları sonuçlara ait temel kayıtlardan oluşur. 6.83 Denetçiler şunları belgelendirmelidir: a. Denetimin amaçları, kapsamı ve metodolojisi b. İncelenen işlem ve kayıtların tanımları da dahil olmak üzere önemli kanaatleri ve sonuçları desteklemek için yapılan iş ve elde edilen kanıtlar (örneğin dosya numarası, olay numarası ya da incelenen spesifik dokümanları tanımlamak için kullanılan diğer araçlar, ancak incelenen dokümanların kopyaları ya da bu dokümanlara ilişkin detaylı liste bilgileri gerekli değildir). c. Denetim raporu yayımlanmadan önce kanıtların denetim raporunda yer alan bulgu, sonuçlar ve tavsiyeleri desteklediğine dair Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri 14. Geçici raporlar, yazılı veya sözlü olabilir ve resmi ya da gayri resmi yollardan bildirilebilir. Gereğinin yapılmasının gerektiği durumların bildirimi için geçici raporları kullanınız… 2330 – Bilginin Belgelendirilmesi: İç denetçiler sonuçları ve görev sonuçlarını destekleyecek ilgili bilgileri belgelendirmelidir. Uygulama Tavsiyesi 2330-1: Bilginin Belgelendirilmesi Uygulama Tavsiyesi 2330-1: Bilginin Belgelendirilmesi 1. İç denetçiler, çalışma belgeleri hazırlamalıdır. Çalışma belgeleri, elde edilen bilgileri, analiz edilen verileri ve sonuç ve görev sonuçlarına ilişkin destekleri belgelendirmelidir. İç denetim yönetimi, hazırlanan çalışma belgelerini gözden geçirmelidir. 2. Görev çalışma belgeleri genelde şu işlere yarar: Görevlerin planlanması, uygulanması ve gözden geçirilmesine yardım etmek, Görev sonuçlarına ilişkin temel destek sağlamak, Görev sonuçlarına ulaşılıp ulaşılmadığını belgelendirmek, Yapılan işin doğruluğu ve tamlığına dair destek sunmak, İç denetim faaliyetinin kalite güvence ve iyileştirme programına ilişkin bir gerekçe sunmak, 47 teftiş gözden geçirmesi. 6.84 Denetçiler, kanun, yönetmelik, kapsam kısıtlamaları, kayıtlara erişiminin kısıtlanması veya denetimi etkileyen başka konulardan dolayı cari GAGAS yükümlülüklerine uyamazlarsa iç denetçiler, GAGAS yükümlülüklerine bu uyamama durumunu ve bunun denetim ve denetçinin sonuçları üzerindeki etkisini belgelendirmelidir. Uygulanan alternatif prosedürlerin standart amaçlarını karşılamak için yeterli olmadığı durumlarda, şartsız yükümlülüklere ve varsayımsal zorunlu yükümlülüklere uymama durumları içinde bu uygulanır. 3.92 GAGAS denetimleri yapılırken denetim kurumları kayıtların saklanması için gerekli yasal, düzenleyici ve idari yükümlülükleri karşılayan yeterli bir süre boyunca denetim dokümanlarını saklamak ve muhafaza etmek için politika ve prosedürler uygulamalıdır… Elektronik ortamda saklanan denetim dokümanları için denetim kurumları, denetim dokümanlarına erişim ve bunların güncellenmesiyle ilgili etkili bilgi sistemleri yöntemleri kurmalıdır. Bölüm 7 Performans Denetimlerinin Raporlanmasına İlişkin Standartlar: Raporlama: 7.03 Denetçiler, tamamlanan her bir performans denetiminin sonuçlarını bildiren denetim raporlarını yayımlamalıdır. Üçüncü şahıs gözden geçirmelerini kolaylaştırmak. 3. Görev çalışma belgelerinin tertibi, tasarımı ve içeriği görevin yapısı ve amaçlarına ve kurum ihtiyaçlarına bağlıdır. Görev çalışma kağıtları; planlama aşamasından sonuçların bildirim aşamasına kadar görev sürecinin tüm özelliklerini belgelendirmelidir. İç denetim faaliyeti, çalışma belgelerini basmak ve saklamak için kullanılacak araçları belirlemelidir. 4. İç denetim yöneticisi, gerçekleştirilen çeşitli görevler için çalışma belgesi politikaları oluşturmalıdır. Anketler ya da denetim programları gibi belli bir standarda kavuşturulmuş görev çalışma belgeleri görevin etkinliğini artırabilir ve göreve personel seçimini kolaylaştırabilir. Görev çalışma belgeleri geçiçi görev dosyaları ya da sürekli öneme sahip bilgiler içeren ileriye dönük kalıcı görev dosyaları olarak sınıflandırılabilir. 1322 – Standartlara Uyulmadığının İfşası İç Denetim Tanımına, Etik Kurallara ya da iç denetim faaliyetinin genel amaçlarını ya da işlemlerini etkileyen Standartlara uyulmadığında iç denetim yöneticisi bunu ve bunun etkisini üst yönetime ve kurula bildirmelidir. 2330.A2 İç denetim yöneticisi, kaydın saklandığı ortama bakılmaksızın görev kayıtları için saklama yükümlülükleri geliştirmelidir. Bu saklama yükümlülükleri kurum rehberlerine ve ilgili düzenleyici ya da başka yükümlülüklere uygun olmalıdır. Uygulama Tavsiyesi 2330.A2-1: Kayıtların Saklanması: 1. Görev kayıtlarının saklanmasına ilişkin yükümlülükler yargı sistemleri ve yasal mevzuatlara göre değişkenlik gösterir. 2. İç denetim yöneticisi, kurumsal ihtiyaçları karşılayan ve kurumun tâbi olduğu yargı sisteminin yasal yükümlülüklerini yazılı bir saklama politikası geliştirmelidir. 3. Kayıt saklama politikası, dış hizmet sağlayıcılar tarafından yapılan görevlerle bağlantılı kayıtların saklanmasına ilişkin uygun düzenlemeler içermelidir. 2330.A1 İç denetim yöneticisi, görev kayıtlarına erişimi kontrol etmelidir. İç denetim yöneticisi, bu kayıtları dış taraflara yayımlarken üst yönetiminin ve/veya yasal danışmanın onayını almalıdır. Uygulama Tavsiyesi: 2330.A1-2: Görev Kayıtlarına Erişim İzni 2400 – Sonuçların Bildirimi: İç denetçiler, görev sonuçlarını bildirmelidir. 48 Uygulama Tavsiyesi: 2400-1: Bildirimine İlişkin Yasal Mülahazalar 7.04 Denetçiler, kullanım amacına uygun, yazılı ya da geri kazanılabilir türde bir denetim raporu kullanmalıdır. 7.06 Bir denetim tamamlanmadan ve denetim raporu yayımlanmadan sonlandırılırsa denetçiler, 6.50 No.lu paragrafta yer alan rehber bilgileri izlemelidir. 7.07 Rapor yayımlandıktan sonra denetçiler, rapor edilen bulgu veya sonuçları destekleyici yeterli ve uygun kanıtlara sahip olmadıklarını fark ederlerse, yönetişimden sorumlu birim, denetlenen kurumun uygun yetkilileri, denetimin yapılmasını isteyen ya da denetimi organize eden kurumun uygun yetkililerine ve bilinen diğer kullanıcılar ile aynı şekilde iletişime geçmeli ve desteklenmeyen bu bulgu ve sonuçlara artık güvenmemeleri konusunda kendilerini uyarmalıdır. Rapor denetçilerin kamuya açık websitesinde daha önceden yayımlanmışsa denetçiler bu raporu kaldırmalı ve raporun kaldırıldığına dair kamuoyuna bir bilgilendirme yapmalıdırlar. Daha sonra denetçiler, revize edilmiş bulgu veya sonuçlarda dâhil raporu yeniden yayımlamak için ilave bir denetim faaliyetine gerek olup olmadığını ve ilave denetim bulgularda ya da sonuçlarda bir değişikliğe neden olmuyorsa orijinal raporu yeniden yayımlayıp yayımlamamayı kararlaştırmalıdır. Rapor İçerikleri: 7.08 Denetçiler, aşağıda sayılan hususları içeren denetim raporları hazırlamalıdır: 1) Denetim amaçları, kapsamı ve metodolojisi 2) Bulgu, tavsiye ve sonuçlar da dâhil olmak üzere denetim sonuçları hangisi uygunsa 3) Denetçilerin GAGAS metnine uyduğuna dair bir beyan 4) Sorumlu yetkililerin görüşlerine ilişkin bir özet 5) Şayet varsa çıkarılan gizli ya da hassas bilgilerin yapısı Amaçlar, Kapsam ve Metodoloji: 7.09 Denetçiler, denetim amaçlarının ele alınması için kullanılan metodoloji ve denetim amaçları ve denetimin kapsamına ilişkin bir tanıma raporlarında yer vermelidir. 7.10 …Denetçiler, denetim amaçlarını denetim raporunda ilgili varsayımlarda dâhil olmak üzere açık, özgün, tarafsız ve ön yargısız bir biçimde bildirmelidir. 7.11 Bulgu, sonuç ve tavsiyelerin olası kullanıcılar için herhangi bir yanlış anlaşılmaya yol açmayacak şekilde raporda makul bir biçimde yorumlanmasını sağlamak için denetçiler, olası kullanıcılar için ilgili olabilecek konular da dâhil olmak üzere gerçekleştirilen işin kapsamı ve kısıtlamalarını tanımlamalıdır. Denetçiler, bazı belirli kayıtlar ya da şahıslara erişimin reddedilmesi ya da bu konuda yaşanan aşırı gecikmeler de dâhil olmak üzere bilgi kısıtlamaları ya da kapsam noksanlıkları uyarınca denetim yaklaşımı üzerinde uygulanan herhangi bir anlamlı kısıtlamayı da rapor etmelidir. Sonuçların 2421 – Hata ve Atlamalar: Nihai rapor önemli bir hata ya da atlama içeriyorsa iç denetim yöneticisi, orijinal bildirimi alan tüm taraflara düzeltilmiş bilgileri iletmelidir. 2410- Bildirim Kriterleri: bildirimler; cari sonuçlar, tavsiyeler ve eylem planlarına ek olarak görev amaçları ve kapsamını da içermelidir. 2410-1 Görev sonuçlarına ilişkin nihai bildirim, uygunsa iç denetçinin genel görüş ve/veya sonuçlarını içermelidir. Bir görüş veya sonuç yayımlanırken üst yönetimin, kurulun ve diğer paydaşların beklentileri dikkate alınmalı ve yeterli, güvenilir, ilgili ve kullanışlı bilgilerle desteklenmelidir. 2410.A2 İç denetçiler, görev bildirimlerinde tatmin edici performansa teşekkür etmeye teşvik edilmelidir. Uygulama Tavsiyesi 2410-1 Bildirim Kriterleri: 3. Amaç beyanları, görev amaçlarını tanımlamalı ve görevin neden yapıldığı ve görevden nelerin beklendiği konusunda okuyucuyu bilgilendirmelidir. Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri: 4. Kapsam beyanları denetlenen faaliyetleri tanımlamalı ve gözden geçirme süresi görevin sınırlarını tasvir etmek için gözden geçirilmeyen ilgili faaliyetler gibi destekleyici bilgileri içermelidir. Bunlar, gerçekleştirilen görevin yapısı ve kapsamını tanımlayabilir. 49 7.12 Denetim amaçlarını ele almak ve rapor edilen bulgu ve sonuçları desteklemek için yapılan işi tanımlarken denetçiler, test edilen kitle ve öğeler arasındaki ilişkileri açıklamalı; bunların uygulandığı kurumları, coğrafi bölgeleri ve süreyi tanımlamalı; kanıt türleri ve kaynaklarını rapor etmeli; kanıtların bir bütün olarak yeterliliği ve uygunluğuna ilişkin denetçilerin genel değerlendirmesi esasında gözlemlenen herhangi bir önemli kısıtlama veya belirsizliği açıklamalıdır. 7.13 Denetim yapılırken izlenen metodolojiyi rapor ederken denetçiler, tamamlanan denetim işinin kanıtların toplanması ve analiz teknikleri de dâhil olmak üzere denetim amaçlarını nasıl desteklediğini konuyla ilgili bilgi sahibi kullanıcıların denetçilerin raporlarında denetim amaçlarını nasıl ele aldığını anlamasına yetecek ölçüde detaylı açıklamalıdır. Denetçiler, denetim kanıtı olarak kullanılan bilgilerin yeterliliği ve uygunluğuna ilişkin yapacakları değerlendirmenin bir parçası olarak uygulanan prosedürlerin bir tanımını da yapabilirler. Denetçiler, denetim sırasında yapılan anlamlı varsayımları tanımlamalı; uygulanan karşılaştırmalı teknikleri tanımlamalı; kullanılan kriterleri tanımlamalı ve denetçilerin bulgu, sonuç ve tavsiyelerini anlamlı ölçüde destekleyen örneklemeleri yaparken kullandıkları örnekleme tasarımını tanımlamalı ve sonuçların hedeflenen kitleye uygulanıp uygulanmayacağı da dâhil olmak üzere neden bu tasarımın seçildiğini belirtmelidir. Rapor Bulguları: 7.14: Denetim raporlarında denetçiler, denetim amaçlarıyla bağlantılı bulgu ve sonuçlarını destekleyecek yeterli ve uygun kanıtlar sunmalıdır… Denetçiler, bir bulguya ilişkin unsurları yeterince geliştirebiliyorlarsa o zaman denetim amaçları bağlamında önemli olabilecek düzeltici adımlara ilişkin tavsiyeler sunmalıdır… 7.15 Denetçiler, (1) kanıtlar denetim amaçları bağlamında bulgu ve sonuçlar açısından anlamlıysa (2) rapor kullanıcılarının bulgu ve sonuçlara ilişkin yanlış yönlendirilmesini önlemek için gerekliyse raporlarında kanıtların doğruluğu ve güvenirliliği ile birlikte kısıtlamaları ve belirsizlikleri tanımlamalıdır... Denetçiler; amaçlar, kapsam ve metodolojinin bir parçası olarak kısıtlamalar veya belirsizlikleri tanımlamalarına ek olarak bulgu ve sonuçlarla bağlantılı kanıtlara ilişkin kısıtlamalar veya belirsizlikleri de tanımlamalıdır… 7.16 Denetçiler, rapor edilen konuların yapısı ve kapsamı ve bulgulara yol açan işin kapsamını tanımlayarak bulgularını belli bir perspektife yerleştirmelidir. Bu bilgilerin yaygınlığı ve sonuçlarını değerlendirmeleri için okuyuculara bir temel oluşturabilmek için denetçiler, kitle bazında tanımlanan olaylar ya da incelenen vaka sayısı arasında uygun biçimde bağlantı kurmalı ve sonuçları dolar cinsinden ya da uygun diğer ölçütlerle belirtmelidir. Sonuçlar belli bir gruba uygulanamıyorsa denetçiler sonuçlarını uygun biçimde kısıtlandırmalıdır. 2420 – Bildirimlerin Kalitesi: Bildirimler; doğru, tarafsız, açık, kısa, yapıcı ve tam olmalı ve vaktinde yapılmalıdır. 50 7.17 …İşlerinin sonuçlarını rapor ederken denetçiler, yaptıkları iş açısından anlamlı gerçekleri ve bilgileri dâhilinde olan ve açıklanmaması halinde bilgi sahibi kullanıcıların yanlış yönlendirilmesine, sonuçların yanlış gösterilmesine ya da anlamlı düzeyde hatalı ya da gayri kanuni uygulamaların saklanmasına yol açacak anlamlı gerçekleri açıklamalıdır. 7.18 Denetçiler, iç kontroldeki eksiklikleri, suistimal olaylarını, kanun, yönetmelik, sözleşme ya da hibe anlaşması hükümlerine uymama durumlarını ya da gerçekleşen veya gerçekleşme ihtimali olan ve denetim amaçları bağlamında önemli olan kötüye kullanım durumlarını da rapor etmelidir. İç Kontrol Eksiklikleri: 7.19 Denetçiler, (1) iç kontrole ilişkin işlerinin kapsamına ve (2) denetim amaçları bağlamında anlamlı olan ve yapılan denetim işine dayanan iç kontrole ilişkin eksikliklere denetim raporunda yer vermelidir. Denetçiler, denetim amacı bağlamında önemli olmayan ancak yönetişimden sorumlu birimlerin haberdar olması gereken iç kontrol eksikliklerini saptadıklarında bu tür eksiklikleri ya raporlarına eklemeli ya da denetlenen kurumun yetkililerine yazılı olarak bildirmelidir. Yazılı bildirim denetim raporundan ayrıysa denetçiler, denetim raporlarında o yazılı bildirime atıf yapmalıdır. Denetçiler, yönetişimden sorumlu birimlerin haberdar olması gereken eksiklikleri saptadıklarında bu tür eksikliklerin denetlenen kurum yetkililerine bildirilip bildirilmeyeceğini, bildirilecekse nasıl bildirileceğini mesleki kanaatlerle belirlenir. Suistimal, Kanun, Yönetmelik, Sözleşme ve Hibe Anlaşması Hükümlerine Uymama ve Kötüye Kullanım 7.21 Denetçiler, denetim amaçları bağlamında önemli bir suistimal, kanun, yönetmelik, sözleşme ya da hibe anlaşmasına uymama ya da kötüye kullanım durumlarının gerçekleştiğini ya da gerçekleşme ihtimalinin olduğunu yeterli ve uygun kanıtlar esasında belirlerseler bu konuyu bir bulgu halinde rapor etmelidir. Özel bir eylem olsun ya da olmasın suistimal veya kanun, yönetmelik, sözleşme ya da hibe anlaşması hükümlerine uymama durumlarında mahkeme ya da diğer yasal organlar tarafından nihai karar verilinceye kadar beklenmelidir. 7.22 Denetçiler, denetim amacı bağlamında önemli olmayan ancak yönetişimden sorumlu birimlerinin haberdar olması gereken suistimal vakası, kanun, yönetmelik, sözleşme veya hibe anlaşmasına uymama ya da kötüye kullanım durumlarını saptadıklarında bunları denetlenen kurumun yetkililerine yazılı olarak bildirmelidir. Denetçiler, suistimal vakası, kanun, yönetmelik, sözleşme veya hibe anlaşmasına uymama ya da kötüye kullanım durumlarını saptadıklarında bunların denetlenen kurum yetkililerine bildirilip bildirilmeyeceği, bildirilecekse nasıl bildirileceğini mesleki kanaatlerle belirlenir. Rapor Bulgularının Doğrudan Doğruya Denetlenen Kurum Dışındaki Taraflara Bildirilmesi Uygulama Tavsiyesi 2440.A2-1: Kurum Dışına Yapılan Bildirimler 51 7.24 Denetçiler, gerçekleşen ya da gerçekleşme ihtimali olan suistimal, kanun, yönetmelik, sözleşme veya hibe anlaşması ya da kötüye kullanım durumlarını aşağıda belirtilen iki durumun gerçekleşmesi halinde doğrudan doğruya denetlenen kurum dışındaki taraflara bildirmelidir. a. Kurum yönetiminin bu tür bilgilerin kanun ya da yönetmeliklerde tanımlanan dış taraflara rapor edilmesine ilişkin yasal ya da düzenleyici yükümlülükleri yerine getirememesi halinde denetçiler, ilk önce bu durumu yönetişimden sorumlu birimlere bildirmelidir. Denetçinin yönetişimden sorumlu birime yaptığı bildirimin ardından geçen makul süre zarfında denetlenen kurumun bu tür bilgileri belirlenen dış taraflara hâlâ bildirmemesi halinde denetçiler, bu bilgileri doğrudan doğruya belirlenen taraflara bildirmelidir. b. Denetlenen kurumun gerçekleşen ya da gerçekleşme ihtimali olan suistimal, kanun, yönetmelik, sözleşme veya hibe anlaşması hükümlerine uymama ya da kötüye kullanım durumlarına yanıt verecek vakitli ve uygun adımları atmaması halinde (1) Bulgu ve sonuçlar açısından anlamlı, (2) Doğrudan doğruya ya da dolayı bir biçimde bir kamu kurumundan alınan fonların olduğu durumlarda denetçiler, ilk önce bu durumu yönetişimden sorumlu birimlere bildirmelidir. Denetçinin yönetişimden sorumlu birime yaptığı bildirimin ardından geçen makul süre zarfında denetlenen kurumun bu tür bilgileri belirlenen dış taraflara hâlâ bildirmemesi halinde denetçiler, bu bilgileri doğrudan doğruya belirlenen taraflara bildirmelidir. 7.25 Raporlamaya ilişkin 7.24 No.lu paragraf, bu tür bilgilerin denetlenen kurum dışındaki taraflara doğrudan doğruya bildirilmesine ilişkin raporlarda denetçilerin uyması gereken yasal yükümlülüklere ektir. Denetim tamamlanmadan önce denetçiler, görevi bıraksalar ya da görevden alınsalar bile bu yükümlülüklere uymalıdırlar. Kanun, kural, yönetmelik ya da politikalar uyarınca gerekli olmadıkça denetçiler denetlenen kurum dışına rapor vermekle görevli değildir. Dış taraflara rapor verilirken iç denetim kurumlarının uyması gereken rapor standartları için 7.44b No.lu paragrafa bakınız. 7.26 Denetçiler, bu tür bulguların kanun, yönetmelik ya da fon anlaşmalarına uygun rapor edildiğine dair denetlenen kurum yönetimi tarafından yapılan varsayımları doğrulamak için dış taraflardan alınan teyitler gibi yeterli ve uygun kanıtlar elde etmelidir. Denetçilerin bunu yapmasının mümkün olmadığı durumlarda denetçiler, bu tür bilgileri 7.24 ve 7.25 No.lu paragraflarda tartışıldığı şekilde doğrudan doğruya rapor etmelidir. Uygulama Tavsiyesi: 2440-2 Hassas Bilgilerin Emir Komuta Zinciri İçinde ve Dışında Bildirimi 11. Bir denetçi, kararlarına ilişkin tüm kanıt ve gerekçeleri dikkatlice değerlendirmek ve kurum çıkarları ve paydaşları, dışarıdaki topluluğu ve topluma ait kurumları korumak için gerekli ek adımların atılıp atılmasına gerek olup olmadığına karar vermekle yükümlü olduğu profesyonel bir görev ve ahlaki sorumluluklara sahiptir. Ayrıca denetçiler, bilgilerin değeri ve sahibi bakımından IIA Etik Kuralları uyarınca gizliliğe riayet etmekle ve yasal ya da mesleki bir zorunluluk olmadıkça bunları yetkisiz makamlara ifşa etmemekle de yükümlüdürler. Bu değerlendirme sürecinde denetçiler, yasal danışmanın ya da uygunsa başka uzmanların tavsiyelerine ihtiyaç duyabilirler. Bu tartışma, olası eylemlerin potansiyel etkileri ve sonuçları hakkında fikir vermekle birlikte koşullara ilişkin farklı bir bakış açısı sunması bakımından da faydalı olabilir. İç denetçinin bu karmaşık ve hassas durumu çözmek için uygulayacağı davranışlar, misilleme ya da olası sorumluklara neden olabilir. 12. Nihayetinde iç denetçi, işverene karşı kendi yükümlülükleri konusunda profesyonel bir karara varır. Normal emir komuta zincirinin dışında hareket etmek; yanlış davranmanın önemli, güvenilir kanıtlarla ya da yasal ya da düzenleyici bir emirle ya da mesleki veya etik standartlarla desteklendiği iyi bilgilendirilmiş bir görüş gerektirir ve ilave adımların atılmasını gerektirir. 52 Sonuç: 7.27 Denetçiler, denetim amaçları ve denetim bulguları esasında sonuçları rapor etmelidir. Tavsiyeler: 7.28 Denetçiler, denetim esnasında saptanan eksiklikleri ve diğer bulguları düzeltecek adımları ve rapor edilen bulgu ve sonuçlarda öngörülen olası program, işlem ve performans gelişmelerini sağlayacak iyileştirici adımları ilişkin tavsiyeler vermelidir. Denetçiler, bulgu ve sonuçlarla tutarlı ve doğrudan doğruya saptanan eksikliklerin ve bulguların nedenlerini çözmeyi hedefleyen tavsiyeler yapmalı ve atılacak adımları açıkça beyan etmelidir. Denetçilerin GAGAS Metnine Uygun Hareket Edip Etmediğinin Rapor Edilmesi 7.30 Denetçiler, cari GAGAS yükümlülüklerinin tümüne uyduklarında, denetimlerini GAGAS uyarınca yürüttüklerini gösteren ve değiştirilmemiş bir GAGAS uygunluk beyanı içeren aşağıdaki metni denetim raporlarında kullanmalıdırlar. Bu denetim faaliyetini Genel Kabul Gören Kamu Denetim Standartlarına uygun yürüttük. Bu standartlar uyarınca denetim amaçlarımız esasında elde edeceğimiz bulgu ve sonuçlara ilişkin makul bir gerekçelendirme sunmak için yeterli ve uygun kanıtlar bulacak şekilde denetimlerimizi planlamamız ve yürütmemiz gerekmektedir. Elde edilen kanıtların denetim amaçlarımız esasında ulaştığımız bulgulara ve sonuçlara ilişkin makul gerekçeler sunduğuna inanmaktayız. 7.31 Denetçiler, cari GAGAS yükümlülüklerinin tümüne uymadıklarında denetim raporlarında değiştirilmiş bir GAGAS uygunluk beyanına yer vermelidirler. Performans denetimleri için denetçiler şu hususları içeren bir beyan kullanmalıdır: 1) İzlenmeyen yükümlülükleri göstermek için değiştirilen 7.30 Numaralı paragrafta sunulan beyan 2) Denetçinin GAGAS uyarınca hareket etmediğine dair beyan Sorumlu Yetkililerin Görüşlerinin Rapor Edilmesi: 7.34 Denetçiler, sorumlu yetkililerden yazılı yorumlar aldıklarında raporlarında bunların bir kopyasına ya da bunların bir özetine yer vermelidir. Sorumlu yetkililerin sadece sözlü yorumlar yaptığı durumlarda denetçiler, sözlü yorumlara ilişkin bir özet hazırlamalı ve bu yorumların doğru aktarıldığını teyit etmek için bu özetin bir kopyasını sorumlu yetkililere vermelidir. 7.35 Denetçiler, yorumlara ilişkin bir değerlendirmeye de raporlarında uygun biçimde yer vermelidir… 7.37 Denetlenen kurumun yorumları, taslak raporda yer alan bulgu, sonuç ya da tavsiyelerle tutarlı değilse ya da çelişiyorsa ya da planlanan düzeltici adımlar denetçilerin tavsiyelerini yeterince ele almıyorsa denetçiler, denetlenen kurumun yorumlarının geçerliliğini değerlendirmelidir. Denetçiler bu Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri: 9. İç denetçi, iyileştirme tavsiyeleri, tatmin edici performansa teşekkür ve düzeltici adımlar için bildirimlerde bulunabilir. Tavsiyeler, iç denetçinin gözlem ve kanaatlerine dayalıdır. Mevcut durumların düzeltilmesi ya da işlemlerin geliştirilmesi için adım atılmasını talep edebilirler, bir rehber olarak yönetimin arzuladığı sonuçlara ulaşmasını sağlayacak performans düzeltici ya da geliştirici yaklaşımlar önerebilirler. Tavsiyeler genel ya da özel olabilir. Örneğin bazı koşullarda iç denetçi, genel bir hareket tarzının ve spesifik önerilerin uygulanmasını tavsiye edebilir. Bazı durumlarda ise ilave inceleme ve araştırmaların yapılmasını isteyebilir. 1321-1 “İç Denetim Mesleki Uygulamaları için Uluslararası Standartlara Uygundur” İbaresinin Kullanımı: İç denetim yöneticisi, iç denetim faaliyetinin İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartlara uygun olduğunu sadece kalite güvence ve iyileştirme programının sonuçları bu beyanı desteklediğinde belirtebilir. 2430: “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygun Yürütme” İbaresinin Kullanımı: İç denetçiler, iç denetim faaliyetinin “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygun Yürütüldüğünü” sadece kalite güvence ve iyileştirme programının sonuçları bu beyanı desteklediğinde rapor edebilirler. 2431 – Görevin Standartlara Uymadığının İfşası: İç Denetim Tanımı, Etik Kurallar veya Standartlara uymama durumunun spesifik bir görevi etkilediği durumlarda sonuç şu hususları içerecek şekilde bildirilmelidir: Tam uyumun sağlanamadığı Etik Kurallar ya da Standart(lar) prensibi ya da kuralı, Uymama neden(ler)i, Uymama durumunun göreve ve bildirilen görev sonuçlarına etkileri Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri: 12. İç denetçilerin görev müşterileriyle yaptıkları tartışmaların bir parçası olarak iç denetçiler, görev sonuçları ve işlemlerini geliştirmek için gerekli hareket planı üzerinde anlaşma sağlamalıdır. İç denetçi ve görev müşterileri görev sonuçları üzerinde anlaşamazlarsa görev bildirimleri bu itilafa ilişkin durumu ve bunun nedenleri içermelidir. Görev müşterilerine ait yazılı yorumlar görev raporuna ek olarak, raporun ana metninde ya da kapak mektubunda sunulabilir. 53 yorumlarla aynı fikirde değillerse neden aynı fikirde olmadıklarını raporlarında açıklamalıdır. Buna karşın denetçiler, yorumları geçerli buluyor ve bunu destekleyici yeterli ve uygun kanıta sahiplerse raporlarını gerekli biçimde değiştirmelidirler. 7.38 Denetlenen kurum yorum yapmayı reddediyor ya da makul bir süre içerisinde yorum yapması mümkün değilse denetçiler, denetlenen kurumdan yorum almadan raporlarını yayımlayabilirler. Bu durumlarda denetçiler, denetlenen kurumun yorum yapmadığını raporlarında göstermelidirler. Gizli ve Hassas Bilgilerin Rapor Edilmesi 7.39 Bazı belirli bilgilerin kamuoyuna açıklanması yasaklanmışsa ya da bu tür bilgiler gizli ya da hassas bilgi olmaları nedeniyle rapor dışında bırakılmışsa denetçiler bazı belirli bilgilerin atıldığını ve bunu gerekli kılan neden ya da diğer koşulları raporlarında açıklamalıdır. 7.42 Bazı belirli bilgilerin kamuya açık raporlardan çıkarılıp çıkarılmayacağına karar verirken denetim altındaki program ya da faaliyete ait geniş kapsamlı kamu çıkarlarının düşünülmesi denetçilere yardım eder. Bazı belirli bilgilerin atılmasının gerektiği durumlarda denetçiler, bu atma eyleminin denetim sonuçlarını çarpıtıp çarpıtmayacağını ya da hatalı veya gayri kanuni uygulamaların saklanmasına yol açıp açmayacağını değerlendirmelidir. 7.43 Denetim kurumlarının devlet arşivleri kanunlarına tâbi olduğu durumlarda denetçiler, bu kanunun gizli ya da sınırlı kullanıma sahip raporlara erişimi etkileyip etkilemediğini, yönetim ve yönetişimden sorumlu diğer birimlerle başka iletişim yollarının daha uygun olup olmadığını belirlemelidir… Raporların Dağıtımı 7.44 GAGAS uyarınca tamamlanan raporların dağıtımı, denetçilerin denetlenen kurumla ilişkilerine ve raporda yer alan bilgilerin yapısına bağlıdır. Denetçiler, rapor dağıtımına ilişkin kısıtlamaları belgelendirmelidir. Aşağıda yer alan tartışma, GAGAS uyarınca tamamlanan raporların dağıtımına ilişkin süreci özetler: a. Kamuda faaliyet gösteren denetim kurumları denetim raporlarını yönetişimden sorumlu birimlere, denetlenen kurumun uygun yetkililerine ve denetimin yapılmasını isteyen ya da denetimi organize eden uygun gözetim organları ya da kurumlarına vermelidir. Denetçiler, yasal gözetim yetkisi olan diğer yetkililer veya denetim bulguları ve tavsiyeleri uyarınca harekete geçmekle yükümlü olan diğer yetkilere ve bu tür raporları almakla yetkili diğer kişilere de raporların kopyalarını uygun biçimde vermelidir. b. Kamuda faaliyet gösteren iç denetim kurumları İç Denetim Enstitüsü (IIA) İç Denetim Mesleki Uygulamaları İçin Uluslararası Standartlar metnini de takip edebilirler. GAGAS ve Standartlar uyarınca Uygulama Tavsiyesi 2410-1 Bildirim Kriterleri: 13. Bazı belirli bilgilerin alıcıların tümüne ifşa edilmesi uygun değildir çünkü bu bilgiler gizli, kişiye özel ya da hatalı veya gayri kanuni eylemlerle bağlantılı olabilir. Bu tür bilgileri ayrı bir raporda açıklayınız. Rapor edilen konular üst yönetimi ilgilendiriyorsa raporu kurul üyelerine de yayınız. 2440 – Sonuçların Yayımı: İç denetim yöneticisi, sonuçları uygun taraflara bildirmelidir. 2440.A1- İç denetim yöneticisi, sonuçlara gereken önemin verilmesini sağlayacak taraflara nihai sonuçları bildirmekle sorumludur. 2440.A2 – Kanuni, düzenleyici ya da idari yükümlülüklerde aksi öngörülmedikçe sonuçlar kurum dışı taraflara bildirilmeden önce iç denetim yöneticisi şu hususları yerine getirmelidir: Kuruma karşı olası riskleri değerlendirmelidir. Üst yönetim ya da yasal danışmana konuyu danışmalıdır. Raporun hedeflenen kullanıcılarını kısıtlayarak yayımını kontrol etmelidir. 2201.A1 Kurum dışı taraflar için görev planlaması yapılırken iç denetçiler, bu taraflar ile görev sonuçlarının dağıtımı ve görev kayıtlarına erişime ilişkin riskler de dâhil olmak üzere amaçlar, kapsam, ilgili sorumluluklar ve diğer beklentilere ilişkin yazılı bir anlaşma sağlamalıdır. 2410.A3 Görev sonuçları kurum dışı taraflara dağıtılırken yapılan bildirimde sonuçların kullanımı ve yayımına ilişkin kısıtlamalara yer verilmelidir. 54 iç denetim kurumunun başkanı sonuçların gerekli şekilde ele alındığını sağlayacak taraflara sonuçları bildirmelidir. Kanuni ya da idari yükümlülüklerde aksi öngörülmedikçe sonuçlar kurum dışı taraflara bildirilmeden önce iç denetim kurumunun başkanı şu hususları yerine getirmelidir: 1) Kuruma karşı olası riskleri değerlendirmelidir. 2) Üst yönetime ya da yasal danışmana konuyu danışmalıdır. 3) Raporun hedeflenen kullanıcılarını göstererek raporun dağıtımını kontrol etmelidir. c. GAGAS uyarınca bir denetim gerçekleştirmeyi taahhüt eden kamu muhasebesi firmaları, görevli kurumla rapor yayım sorumluluklarını açıklığa kavuşturmalıdır. Raporun yayımından yüklenici firma sorumluysa raporu hangi kurum ve yetkililerin alacağı ve raporu kamuoyuna açıklamak için hangi adımların atılacağı konularını denetim işini veren tarafla görüşüp anlaşmalıdır. Yönetimin Sorumluluğu: A1.08 Kamu işlevlerinin yürütülmesinde temel sorumluluk yöneticilere aittir. Denetlenen kurum yöneticileri denetçilerin bulgu ve tavsiyelerinin ele alınmasından ve bu tür bulgu ve tavsiyelere ilişkin durumun izlenmesi için bir süreç kurulması ve sürdürülmesinden sorumludur. Bağımsızlığa İlişkin Tehditler: Örnekler: A3.02A3.09 Rapor Kalite Unsurları: A7.02 Konunun imkân tanıdığı denetim raporlarını hazırlarken ve yazarken denetçiler; tam, doğru, tarafsız, ikna edici, açık, kısa ve vaktinde uygulanan rapor kalite unsurlarını kullanmalıdır. Uygulama Tavsiyesi 2440-1 Sonuçların Yayımı 2500 – İzleme Süreci: İç denetim yöneticisi, yönetime bildirilen sonuçların kullanımını izlemek için bir sistem kurmalı ve bu sistemi sürdürmelidir. 2500.A1 – İç denetim yöneticisi, yönetimin eylemlerinin etkili bir biçimde uygulandığını ya da üst yönetimin harekete geçmeme riskini kabul ettiğini izlemek ve sağlamak için bir takip süreci oluşturmalıdır. 2600 - Üst Yönetimin Riskleri Kabul Kararı İç denetim yöneticileri, üst yönetimin kurum için kabul edilemez olan bir artık risk düzeyini kabul ettiğini düşünüyorlarsa bu konuyu üst yönetimle tartışmalıdır. Artık riske ilişkin karar konusunda anlaşma sağlanamıyorsa, iç denetim yöneticisi çözüm için konuyu kurula bildirmelidir. 2420 – Kalite Bildirimleri: Bildirimler doğru, tarafsız, açık, kısa, yapıcı ve tam olmalı ve vaktinde yapılmalıdır. Uygulama Tavsiyesi 2420-1 Bildirimlerin Kalitesi 55 Yazarlar ve Gözden Geçirenler Yazarlar Tina Kim, CIA, CGAP, CPA, CITP, CFF, CFE, CFrA, CGMA Ken Shulman, CPA Warren A. Hersh, CIA, CPA, CCSA, CISA, CFE Heather I. Keister, CIA, CPA Gözden Geçirenler Gregory Hollyman, CIA, CCSA, CFSA, CGAP Kenneth J. Mory, CIA, CPA, CISA 56 Enstitü Hakkında 1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur. IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel eğitmenidir. Ek Rehber Hakkında Ek Rehber, IIA’ya ait UMUÇ’un parçası değildir. UMUÇ’a uygun, IIA tarafından geçerliliği kabul edilen bir referans metindir ve UMUÇ’un uygulanması ve iç denetim faaliyetleri sırasında uygulamacılara yararlı olabileceği düşünülmektedir. Rehberin, uygulamacının kurumuna ve iç denetim faaliyetinin güvence ve danışma amaçlarına uygun ölçüde kullanılması tavsiye edilir. Bu tür tüm materyallerin içerik geliştirilmesi sırasında IIA’in tam ya da kısmi katılımı gereklidir. Bu kategori, başka kurum ya da bireyler tarafından oluşturulan materyalleri desteklemek ya da teşvik etmek için hazırlanmamıştır. IIA tarafından yayımlanan diğer kabul görmüş rehberlere ulaşmak için lütfen www.globaliia.org internet sayfamızı ziyaret ediniz. Sorumluluk Reddi Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez. Telif Hakkı Copyright © 2012 The Institute of Internal Auditors. Çoğaltmak için lütfen guidance[at]theiia.org e-posta adresine başvurunuz. 57 Uluslararası İç Denetçiler Enstitüsü / Global Genel Merkez: 247 Maitland Ave. Altamonte Springs, FL 32701, ABD Tel: +1-407-937-1111 Fax: +1-407-937-1101 Web: www.theiia.org 58