ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA)

Transkript

Ek Rehber:
ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA) İÇ DENETİM MESLEKİ
UYGULAMALARI İÇİN ULUSLARARASI STANDARTLARI
GENEL MUHASEBE OFİSİ KAMU KESİMİ DENETİM STANDARTLARI
(GOVERMENT ACCOUNTABILITY OFFICE GOVERMENT AUDIT STANDARDS)
(GAGAS)
KARŞILAŞTIRMA
2. Baskı
ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ / Global
1
İçindekiler Tablosu
Yönetici Özeti
3
Giriş
3
Kurumlar ve Denetim Standartlarının Tarihçesi
3
Standartların Oluşturulma Süreci
5
Seçim Bölgeleri
6
Denetim Standartlarının Karşılaştırılmasına İlişkin Gözden Geçirme
7
Her İki Standartlar Dizisi Arasındaki Temel Farklılıklar ve Bunların Her İkisine Uyan
Kurumlar İçin Öneriler
9
Sonuç
19
EK – GAGAS Metninin UMUÇ Metni ile Uyumlaştırılması
20
Yazarlar ve Gözden Geçirenler
56
2
Yönetici Özeti
Amerika Birleşik Devletleri Genel Muhasebe Ofisi [(Goverment Accountability Office) (GAO)] ve Uluslararası İç Denetçiler Enstitüsü (IIA), denetim faaliyetlerinin yürütülmesi için
gerekli
çerçeveyi
oluşturan
mesleki
denetim
standartlarını
yayınlayarak
denetim
faaliyetlerinin yüksek kalitede olmasını teşvik eden ve ulusal ve uluslararası düzeyde
bilinirliği olan lider kurumlardır. Bu kurumların, birbirini tamamlayıcı nitelikte olan ve kamu
denetimleri için kullanılabilen standartları geliştirmek için birlikte çalışmaları esastır.
Bu dokümanın amacı, iki kurumsal standart arasındaki benzer prensipleri ve temel farklılıkları
tanımlamak ve denetim faaliyetleri sırasında bu kurumsal standartların her ikisine de uymak
zorunda olan ya da bunlardan her ikisine birden uymayı seçen bir kamu iç denetim
kurumunun dikkate alması gereken noktalara ilişkin öneriler sunmaktır.
Giriş
Bu karşılaştırma dokümanının ilk yayımlandığı 2009 yılından bu yana GAO’nun Kamu
Denetim Standartları [(Goverment Accountability Office Goverment Audit Standards)
-
(GAGAS)] ve IIA’in İç Denetim Mesleki Uygulamaları için Uluslararası Standartlar
(Standartlar) başlıklı belgelerinin her ikisi de revize edilmiştir. Bu belge GAGAS metninde
Aralık, 2011’de yapılan değişiklikleri ve Standartlar metninde Ekim, 2010’da yapılan
değişiklikleri yansıtacak şekilde güncellenmiştir.
Kurumların ve Denetim Standartlarının Tarihçesi
1921 tarihli ABD Bütçe ve Muhasebe kanunuyla kurulan GAO, ABD yönetiminin yasama
bölümünde yer alır ve Kongreye rapor vermekle yükümlüdür. Başlangıçta GAO’nun misyonu
Kongreye idari hesapların bağımsız denetimini sunmak ve mali kanunların uygulanması
sırasında gözlemlenen ihlalleri rapor etmekti. Ancak ilerleyen yıllarda kongrenin ihtiyaçları
doğrultusunda GAO da yeni roller üstlenmiştir. Günümüzde GAO misyonunu, anayasal
sorumlulukların yerine getirilmesinde Kongreye destek olma ve Amerikan halkının
menfaatleri bağlamında federal hükümetin performansını geliştirme ve hesap verebilir
olmasını sağlama olarak tanımlamaktadır.
1969 yılında bir grup kamu denetçisi Sayıştay Başkanı Elmer Staats ile bir araya gelmiş ve
kamu denetimi ve federal denetimin geliştirilmesi için standartların derlenmesi adına yardım
talep etmişlerdir. 1972 yılında Sayıştay Başkanı Kamu Kurumlarının, Programlarının,
3
Faaliyetlerinin & İşlevlerinin Denetimi için Standartlar adlı dokümanının ilk baskısını
yayımlamıştır. Sonraki yıllarda GAO bu dokümanın adını Kamu Denetim Standartları olarak
kısaltmış ve düzenli olarak güncellemiştir. 1972’de ilk yayımlandığı günden bu güne Genel
Kabul Görmüş Kamu Standartları (GAGAS) - daha yaygın atıf yapılan adıyla “GAGAS” sonuncusu Aralık, 2011’de olmak üzere altı büyük değişiklik geçirmiştir. Bu değişiklikler
kamu muhasebesi ve denetim ortamında gözlemlenen değişiklikler ve uluslararası standartlar
da dâhil olmak üzere başka mesleki standartlarda gözlemlenen değişikliklere karşılık olarak
yapılmıştır. GAGAS; finansal denetimler, performans denetimleri ve tasdik görevleri için
standartlar ve rehberler sunmaktadır.
1941 yılında kurulan IIA, büyüyen iç denetim faaliyetlerine ve kamu ve özel kurumlarının
artan sayısı ve karmaşık yapısından kaynaklanan yeni yönetim ihtiyaçlarına bir yanıt olarak
gelişmiştir. IIA; 1947 yılında bir sorumluluk beyanı yayımlamış, 1968 yılında da Etik
Kurallarını onaylamıştır.
İlk Sertifikalı İç Denetçi sınavı 1974 yılında yapılmış, IIA İç Denetim Mesleki Uygulamaları
için Standartlar dokümanının ilki 1978 yılında yayımlanmıştır. 1978 ile 1998 yılları arasında
orijinal beş genel standart ve 25 spesifik standart, İç Denetim Standartlarına İlişkin 18 Beyan
(SIAS) dikkate alınarak güncellenmiş ve yorumlanmıştır. 1998 yılında IIA Yönetim Kurulu,
standartlarının uygulanabilirliği ve geçerliliğinin sürekliliğini gözden geçirmesi için bir
Rehberlik Çalışma Kolu atamıştır. Yapılan bu çalışmanın neticesinde oluşturulan Çalışma
Kolu, İç Denetime ilişkin yeni bir tanım önermiş, iç denetim mesleki uygulamaları için bir
çerçeve oluşturmuş, iç denetim için yeni Nitelik ve Performans Standartları oluşturmuş ve
güvence ve danışma hizmetleri için uygulama standartları belirlemiştir.
1999 yılında yeni Etik Kurallar belirlenmiş ve İç Denetimin Tanımı yeniden yapılmıştır. 2009
yılında Uluslararası Mesleki Uygulamalar Çerçevesi [(International Professional Practices
Framework) - (IPPF) veya (UMUÇ)] yürürlüğe girmiş ve dünya çapında tüm iç denetçilere
uygulanmıştır. İç Denetime ilişkin IIA’nın Tanımı, Etik Kurallar, İç Denetim Mesleki
Uygulamaları için Uluslararası Standartlar, Uygulama Tavsiyeleri, Uygulama Rehberleri,
Görüş Belgeleri UMUÇ’ta yer almaktadır. Genel merkezi Altamonte Springs, Florida, ABD
adresinde bulunan IIA’nın dünya genelinde 175.000’den fazla üyesi bulunmaktadır.
Sertifikalandırma, eğitim, araştırma ve teknolojik rehberlik alanlarında IIA, iç denetim
mesleğinin lideri olarak tanınmaktadır.
4
Standartların Oluşturulma Süreci
Yeni ve revize edilmiş standartların oluşturulması sürecinde hem IIA hem de GAO hassas bir
süreç izlerler. Bu kurumlar, önerilen yeni standartlarının taslak metinlerini kamuoyunun
görüşüne açarlar. GAO’da bu süreç şöyle işler: GAGAS standartlarıyla ilgili konularda görüş
sunması için Sayıştay Başkanı Genel Muhasebe Standartları biriminde bir Tavsiye Konseyi
oluşturur. Konsey; fedaral, eyalet ve yerel hükümetlerden gelen denetim ve muhasebe
uzmanları, kullanıcılar ve finansal tablo düzenleyicileri, akademisyenler ve kamu
denetimlerini gerçekleştiren özel sektör CPA firmalarından oluşur. GAGAS için ise bu süreç
söyle işler: Sayıştay Başkanı büyük ölçüde Konseyin tavsiyelerine uyar ancak standartların
yayımlanmasına ilişkin nihai sorumluluk Sayıştay Başkanındadır. IIA’da yeni ya da revize
edilmiş Standartların yayımlanmasından tek sorumlu Uluslararası İç Denetim Standartlar
Kurulu [(International Internal Audit Standards Board) - (IIASB)]’dur. IIASB’nin şirketler ve
hizmet sağlayıcılardaki iç denetim kurumları, kamu kurumları ve üniversitelerden gelen
üyeler de dâhil olmak üzere hem özel sektörden hem de kamudan uluslararası üyeleri vardır.
Ek olarak, IIASB, şu diğer IIA komitelerini de koordine eder:

Mesleki Konular Komitesi [(The Professional Issues Committee) - (PIC)] iç denetim
mesleği mensupları ve paydaşlarına metodolojiler, teknikler ve UMUÇ’ta yer alan iç
denetim mesleğini etkileyen diğer konulara ilişkin yorumlar ve destekler de dâhil
emredici durumlara ilişkin düşünce liderliği ve zamanında mesleki rehberlik sunar.

Kamu Komitesi [(The Public Sector Committee) - (PSC)], kamu iç denetçilerini temsil
eder ve kamu denetçileri için bir uzmanlık göstergesi olan Sertifikalı Kamu Denetim
Mesleği [(Certified Goverment Auditing Professional) - (CGAP)] sınavının
gerçekleştirilmesine yardımcı olur.
2010 yılında IIA’nın talebiyle Uluslararası Mesleki Uygulama Çerçevesi Denetim Konseyi
[(International Professional Practices Framework Oversight Council) - (IPPFOC)]
oluşturulmuştur. IPPFOC, IIA standartlarının ve rehberlerinin oluşturulma süreçlerinin
yeterliliğine ve uygunluğuna ilişkin değerlendirmeler ve tavsiyeler sunan uluslararası
bağımsız bir organdır. IPPFOC’un misyonu, UMUÇ’a ilişkin IIA faaliyetlerinde küresel
paydaşların güvenini artırmaktır.
5
Seçim Bölgeleri
GAGAS, Amerika Birleşik Devletlerinin çeşitli seçim bölgeleri için yükümlülükler ve
rehberler içerir. Bu standartlar, ABD OMB Sirküler A-133, Eyalet, Yerel Hükümetler ve Kâr
Amacı
Gütmeyen
Kuruluşların
Denetimi
başlıklı
belgede
öngörülen
denetim
yükümlülüklerine tâbi federal fonları alan kamu kurumları ve kâr amacı gütmeyen kurumların
finansal denetimlerini gerçekleştiren tüm profesyonel denetçiler tarafından takip edilmesi
gereken standartlardır. Amerika Birleşik Devletlerinde bu standartların münferit denetimler
ya da başka kamu denetimlerinde yer alan federal genel müfettişler, birçok eyalet ve yerel
kamu denetçileri, bazı iç denetçiler ve CPA firmaları tarafından da kullanılması
gerekmektedir. Ek olarak, birçok denetçi ve denetim kurumu çalışmaları sırasında GAGAS’a
uymayı gönüllü olarak seçer. GAGAS; finansal denetimler, tasdik görevleri ve performans
denetimleri için yükümlülükler içerir. Ayrıca uluslararası düzeyde birçok kamu denetim
kurumu da herhangi bir yasal zorunluluk olmamasına karşın finansal ve performans
denetimlerinde GAGAS’ı rehber olarak kullanır.
Dünya genelinde iç denetçiler IIA Standartlarını kullanırlar. IIA üyeleri iç denetim, risk
yönetimi, yönetişim, iç kontrol, bilgi teknolojisi denetimi, eğitim ve güvenlik alanlarında
çalışırlar. Bazı kamu denetim kurumları denetimlerini hem IIA Standartları hem de
GAGAS’a uygun yapar. Ek olarak, bazı kurumlar her iki kurum tarafından çıkarılan denetim
standartlarını uygulama yönünde niyet beyan etmişlerdir ve standartlardaki farklılıklarının
nasıl ele alınacağı konusunda uygulama rehberlerinden yararlanabilirler. IIA Standartları
çoğu zaman Bölüm 1 ilâ 3, 6 ve 7’de yer alan GAGAS performans denetim yükümlülükleriyle
birlikte uygulanır. GAGAS hem iç hem de dış denetim kurumlarınca kamu denetimleri için
kullanılmasına rağmen iç denetçiler ve iç denetim kurumları için bazı spesifik koşullar ve
rehberler de içermektedir.
6
GAO Danışma Kurulu ve IIA Kurul ve Komitelerinde Temsil
GAO, tutarlı ve istikrarlı bir şekilde standartlarında iç denetçilerin işlerini tanımaya devam
etmektedir. Misyonuna uygun bir biçimde IIA Standartlar, Uygulama Tavsiyeleri, Görüş
Belgeleri ve Uygulama Rehberleri aracılığıyla iç denetim mesleğini dünya çapında
desteklemektedir. Geçen yıllar içerisinde Sayıştay Başkanı tarafından oluşturulan Danışma
Kuruluna, iç denetim standartlarının oluşturulmasına etkisi olan IIA komitelerinde çalışmış ve
aynı zamanda IIA üyesi olan birçok kamu denetçisi de katılmıştır. Hem Sayıştay Başkanının
hem de IIA Yönetim Kurulu Başkanının her iki grubunda ihtiyaçlarını karşılayacak
standartları oluşturacak konsey, kurul ve komitelerde her bir kurumdan üye olması yönünde
özenli çabaları olmuştur.
Denetim Standartlarının Karşılaştırılmasına İlişkin Gözden Geçirme
IIA Standartları ve GAGAS arasında birçok benzerlik vardır. Tablo 1; performans
denetimleri için GAGAS’ın Aralık, 2011 revizyonunda yer alan genel, saha çalışması ürünü
standartları ve raporlamaya ilişkin standartlarını tanımlamaktadır. Ayrıca Ekim, 2010 IIA
Standartlarında yer alan Nitelik ve Performans Standartları da tabloda kıyaslama amaçlı
gösterilmiştir. Her iki kurum da mesleki denetim kurumu ve onun denetçileri için etik
kuralları gerekli bir temel olarak görmektedir.
7
Tablo 1 – Karşılaştırma Gözden Geçirmesi
GAO Kamu Denetimi Standartları:
IIA Uluslararası Mesleki Uygulamaları
GAGAS
Çerçevesi (UMUÇ)
Kamu Denetimi:
İç Denetimin Tanımı*
Temel ve Etik Prensipler
Etik Kurallar*
GAGAS Kullanımı ve Uygulaması İçin Standartlar


Genel Standartlar:
Standartlar (Standartlar)*

o
Bağımsızlık
o
Mesleki Yargı
o
Amaç, Yetki ve Sorumluluk
o
Yeterlilik
o
Bağımsızlık ve Tarafsızlık
o
Kalite Kontrol ve Güvence
o
Yeterlilik ve Gerekli Mesleki Özen
Performans Denetimleri İçin Saha Ürünü
o
Kalite Güvence ve İyileştirme Programı
Standartlar

İç Denetim Mesleki Uygulamaları İçin Uluslararası

Nitelik Standartları:
Performans Standartları:
o
Makul Güvence
o
İç Denetim Faaliyetinin Yönetilmesi
o
Performans Denetiminde Önem
o
İşin Yapısı (Yönetişim, Risk Yönetimi
o
Denetim Riski
o
Planlama
o
Görev Planlaması
o
Gözetim
o
Görevin
o
Kanıt
Tanımlanması, Analiz ve Değerlendirme,
o
Denetimin Belgelendirilmesi
Bilgilerin Belgelendirilmesi ve Görevin
ve Kontrolü)
Performans Denetimlerine İlişkin Raporlama
Standartları
Yapılması
(Bilgilerin
Gözetimi)
o
Bildirim Sonuçları
o
Raporlama
o
Sürecin İzlenmesi
o
Rapor İzinleri
o
Üst Yönetimin Riskleri Kabul Kararı
o
Raporların Yayımı
Uygulama Tavsiyeleri**
Görüş Belgeleri**
Uygulama Rehberleri**
(Her ikisi de UMUÇ’un kısımlarıdır ancak IIA
Standartlarında yayımlanmamıştır.)
*Zorunlu Rehber
**Kuvvetle Tavsiye Edilen Rehber
8
Her İki Standartlar Dizisi Arasındaki Temel Farklılıklar ve Bunların Her İkisine Uyan
Kurumlar İçin Öneriler
Aşağıda yer alan yorumlar, hem GAGAS hem de IIA Standartlar metnine uymayı ve bunlara
atıf yapmayı tercih eden denetim kurumlarının göz önünde bulundurması gereken farklılıkları
vurgulamak ve bu tür farklıların nasıl ele alınması gerektiğine dair öneriler sunmak amacıyla
yapılmıştır.
A. Konu 1 – IIA Standartlar Metninde Yer Alan “Danışma” Terimine Kıyasla GAGAS
Metninde Yer Alan “Danışma” Terimi
IIA Standartlar metni iç denetimi kısmen “bir kurumun işlemlerine değer katmak için
tasarlanmış bağımsız, tarafsız bir güvence ve danışma faaliyeti” olarak tanımlar. IIA
tarafından tanımlandığı şekliyle “Danışma”, iç denetim kurumlarının sunduğu iki ana tür
denetim hizmetinden biridir. IIA danışma hizmetlerini “iç denetçinin yönetim sorumluluğunu
üstlenmeden yürüttüğü danışma ve bununla bağlantılı müşteri hizmeti faaliyetleri…” olarak
tanımlar. Buna kıyasla GAGAS metninin 2.12 ilâ 2.13 ve 3.33 ilâ 3.58 No.lu paragraflarında
denetimler ve tasdik görevlerinden başka profesyonel hizmet türleri de tanımlanmaktadır ve
bunlar bazen denetim faaliyeti içermeyen hizmetler ya da danışma hizmetleri olarak
adlandırılmaktadır. GAGAS ve IIA Standartlar metinlerinde “danışma” ya da “denetim
faaliyeti içermeyen hizmetler “ terimleri farklı hizmetleri tanımlamak için kullanılmaktadır.
IIA Standartlar metni “danışma” terimini iç denetim tanımı kapsamında kullanırken; GAGAS
metni denetim faaliyeti içermeyen ya da tasdik görevi olmayan herhangi bir hizmeti “denetim
faaliyeti içermeyen hizmet “ olarak sınıflandırmaktadır.
Öneri:
Denetim faaliyetlerinde hem IIA Standartlar hem de GAGAS metnini kullanan denetim
kurumları, faaliyetlerini her iki denetim standartları metnine uygun yürütmelidir. Denetçiler,
GAGAS’ın kavramsal çerçevesine ve 3.02 ilâ 3.26 ve 3.33 ilâ 3.58 No.lu paragraflarda
tanımlanan denetim faaliyeti içermeyen hizmetlere ilişkin yükümlülüklere uymalı ve
denetçiler,
IIA’nın
danışma
hizmetleri
tanımı
uyarınca
yönetim
sorumluluğunu
üstlenmemelidir. GAGAS metninin 1 ila 3, 6 ve 7. Bölümlerinde performans denetimlerine
ilişkin sunulan başka standartlarla birlikte GAGAS metninin bağımsızlık yükümlükleri
karşılandığında IIA danışma standartlarına uygun yürütülen bir iş, performans denetim
faaliyetine denk olabilir.
9
B. Konu 2 – Denetim Hizmetlerinin Uygulanmasında Bağımsızlık
IIA Standart metninin 1130. A1 kısmı, “iç denetçinin önceki yıldan sorumlu olduğu bir
faaliyet için güvence hizmetleri sunması halinde iç denetçinin bağımsızlığının zedelendiğinin
varsayıldığını“ belirtmektedir. IIA Standart metninin 1130. C1 kısmında “ iç denetçilerin
önceden sorumlu olduğu işlemlere ilişkin danışma hizmetleri verebilecekleri” beyan
edilmiştir. Bağımsızlık ve Tarafsızlık başlıklı IIA Uygulama Rehberi (Ekim, 2011) bu konuya
ilişkin ilave rehberlik sunmaktadır. Bunun tam tersi olarak GAGAS metninde iç denetçinin
bağımsız olması gerektiği belirtilmiş ve bağımsızlık kavramı “zihnen bağımsızlık” ve “şeklen
bağımsızlık” terimleri bağlamında tartışılmıştır. Denetçiler, bağımsızlıklarını tehdit eden
unsurları tanımlamak için kavramsal bir çerçeve uygulamalı, tanımlanan tehditlerin önemini
hem münferiden hem de bir bütün halinde değerlendirmeli ve bu tehditleri yok etmek ya da
kabul edilebilir bir düzeye indirmek için gerekli koruyucu unsurları uygulamalıdır. 3.14 No.lu
paragrafta tanımlanan kendi kendine değerlendirme tehdidi “denetim faaliyeti içermeyen
hizmetleri sunan bir denetçinin ya da denetim kurumunun, denetim faaliyeti içermeyen
hizmetler kapsamında önceden yürütülen hizmetlerin ya da varılan yargıların sonuçlarını
denetçi için önemli bir yargı oluştururken uygun şekilde değerlendirmemesi” olarak
tanımlanır. GAGAS metni, denetim konusunun başladığı dönem ile denetim görevinin
uygulandığı süreyi kapsayan süre arasında denetçilerin denetlenen kurumdan bağımsız olması
gerektiğini belirtir. Bu süre, denetçilerin işe başlama mektubunu ya da denetimi yapmayı ya
da denetime başlamayı kabul ettiğini gösteren başka belgeleri imzalaması durumlarından
hangisi önce gerçekleşirse o zaman başlar ve denetçiler ya da denetlenen kurum tarafından
mesleki ilişkinin sona erdiğine dair bir belge ya da rapor verilmesi durumlarından hangisi
sonra gerçekleşirse o zaman son bulur.
Öneri:
Denetim kurumları, denetçi olarak çalışan bir kişinin bunun akabinde daha önceden sorumlu
olduğu bir alanın denetimiyle görevlendirildiği durumlarda eksik bir bağımsızlık görüntüsü
oluşturmamak için GAGAS metninin 3.02 ilâ 3.26 No.lu paragraflarında bağımsızlığa ilişkin
yer alan kavramsal çerçeve, ilgili tehditler ve koruyucu unsurlara ilişkin tartışmaları gözden
geçirmelidir. Politikalarda yapılan değişiklerin, kurum ve yönetim yapısının gözden
geçirilmesi, ilgili şahsın şimdi denetlemekle görevli olduğu alandan ayrıldıktan sonra ne
kadar süreyle denetçilik yaptığı ve denetçinin bağımsızlığının başkaları tarafından nasıl
algılandığı gibi unsurlar bu koşullar altında yapılacak bir görevlendirmeden önce göz
10
önünde bulundurulması gereken unsurlardır. Bu örnekte görevlendirme yapılırken iç denetim
yöneticisi (İDY) ya da iç denetim kurumunun başkanına da denetim gerekçeleri, unsurları ve
standartlarına ilişkin hazırlanan dokümanda yer verilmelidir.
C. Konu 3 - Denetim Faaliyeti İçermeyen İşlerin Yapılması
IIA Standart metninin 1130: Bağımsızlık ya da Tarafsızlığın Zedelenmesi başlıklı kısmında
“bağımsızlık ya da tarafsızlık fiilen ya da görünüş itibariyle zedelenmişse buna ilişkin
detaylar ilgili taraflara iletilmelidir” cümlesine yer verilmektedir. Ek olarak, Uygulama
Tavsiyesi 1130.A2-1: Başka (Denetim Faaliyeti İçermeyen) İşlevler İçin İç Denetim
Faaliyetinin Sorumluluğu başlıklı metin, denetçinin hangi durumlarda “denetim faaliyeti
içermeyen hizmetler” yürütüyor olarak adlandırılabileceğini ele almaktadır. Bu metne göre
denetçiler bu tür bir sorumluluğu üstlenmişse o zaman onlar iç denetçi olarak faaliyet
göstermiyorlardır. Ayrıca denetim faaliyeti içermeyen işlerin iç denetçiler tarafından yapıldığı
durumların iç denetçinin kurula yaptığı standart bildirimlerde belirtilmesi gerektiği de bu
metinde yer almaktadır.
Buna kıyasla GAGAS metninin 3.33 ilâ 3.58 No.lu paragraflarında denetlenen kurumların
denetim faaliyeti içermeyen hizmetlerine ilişkin hükümler tartışılmaktadır. GAGAS metninin
3.34 No.lu paragrafında denetim faaliyeti içermeyen hizmetlerin yürütülmesi sırasında
bağımsızlık konusunda “ denetçi bu tür bir hizmeti vermesi halinde bu tür hizmetin tek başına
ya da sunulan diğer denetim faaliyeti içermeyen hizmetlerle bir bütün halinde bağımsızlığa bir
tehdit oluşturup oluşturmayacağını yürüttüğü GAGAS denetimi uyarınca belirlemelidir.”
hükmüne yer verilmektedir. Ek olarak, GAGAS metninin 3.44 No.lu paragrafında denetçinin
bağımsızlığını zedeleyecek bir denetim faaliyeti içermeyen hizmetini denetlenmesi
gerekiyorsa ve denetçi bu tehdidi yeterince azaltacak koruyucu unsurları uygulayamıyorsa
denetim faaliyeti içermeyen bu hizmetleri yürütmeyi ya reddetmeli ya da bunlara son
vermelidir ve denetçi, tehdidin yapısını beyan edip GAGAS uygunluk belgesini buna göre
değiştirmelidir.
Öneri:
Denetim kurumları, 3.02 ilâ 3.26 No.lu paragraflarda yer verilen GAGAS bağımsızlık
kavramsal çerçevesini dikkatlice gözden geçirmelidir. Denetim faaliyeti içermeyen bazı
hizmet türlerinin iç denetim kurumları ya da belirli bir personel tarafından yürütülmesi
verilen denetim görevinin bağımsızlığını zedeleyebileceği ve denetim kurumunun bu tür
11
denetimleri yürütme kabiliyetini anlamlı ölçüde etkileyebileceği için denetim kurumları, 3.33
ilâ 3.58 No.lu paragraflarda yer alan denetim faaliyeti içermeyen hizmetlere ilişkin
tartışmaları da dikkatlice gözden geçirmelidir. Denetim kurumları, tüm iş ve işlemlerini
GAGAS metninde yer alan daha detaylı yükümlülüklere uygun yürütmek için gerekli tüm
çabayı göstermelidir.
D. Konu 4 – Kurumun Etik Programının Gözden Geçirilmesi
IIA Standart metninin 2110.A1 kısmında “iç denetim faaliyeti, kurumun etik ile bağlantılı
amaçlarının, programlarının ve faaliyetlerinin tasarımını, uygulanmasını ve etkinliğini
değerlendirmelidir” ibaresi yer almaktadır. Buna karşılık, GAGAS metni denetim kurumunun
etik prensiplerini Bölüm 1’de toplar. Ayrıca bir denetim yükümlülüğü olmamasına rağmen
GAGAS metninin 1.01 No.lu paragrafı kamu yetkililerinin etik sorumluluğunu tartışır ve
bunların kamu işlevlerini etik değerlere uygun yürüteceğine dair bir beklenti oluşturur. IIA
Standartlar metni, bu konuda daha detaylı bir metin gibi gözükmektedir ve sadece denetim
kurumunun etik değerlerinin değil aynı zamanda tüm kurumun etik ile bağlantılı amaçlarının,
programlarının ve faaliyetlerinin periyodik olarak değerlendirilmesini gerektirmektedir.
Öneri:
IIA Standartlar metninin ek yükümlülüklerine uymak için kurumun etik programının periyodik
değerlendirilmesi yapılmalı ve bu değerlendirme, bir not ya da kısa bildiriyle dosyaya
işlenerek veya konuyla ilgili bir denetim vasıtasıyla belgelendirilmelidir.
E. Konu 5 – Genel Denetim Planına İlişkin Risk Değerlendirmesi
IIA Standart 2010: Planlama kısmında İDY “kurumun amaçlarına uygun olarak iç denetim
faaliyetinin önceliklerini belirleyecek risk temelli planları belirlemelidir.” hükmüne yer
verilmektedir. IIA Standart 2010. A1 ayrıca “iç denetim faaliyetine ilişkin görevlendirme
planı belgelendirilmiş bir risk değerlendirmesi esasında en az bir yıllık yapılmalıdır. Üst
yönetim ve kuruldan gelen bilgiler de bu süreçte göz önünde bulundurulmalıdır.” hükmüne de
yer vermektedir. Risk Yönetiminin Yeterliliğini Değerlendiren IIA Tavsiye Rehberi (Aralık,
2010) bu konuya ilişkin ilave bilgiler sunmaktadır. GAGAS metni, denetim kurumunun genel
denetim planlamasına ilişkin yükümlülükleri içermez ancak münferit denetimlerle bağlantılı
planlamaya odaklanır.
12
Öneri:
IIA
Standartlar
belgesinin
ilave
yükümlülüklerine
uymak
için
denetim
kurumu,
belgelendirilmiş risk değerlendirmesi esasında en az bir yıllık yapılmış bir görevlendirme
planını tamamlamalıdır.
F. Konu 6 – Dış Kalite Güvence Gözden Geçirmesi
IIA Standart 1312: Dış Değerlendirmeler kısmında “dış değerlendirmeler her beş yılda bir en
az bir kez kurum dışından kalifiye, bağımsız bir gözden geçiren ya da gözden geçirenler ekibi
tarafından incelenmelidir.” hükmüne yer verilmektedir. Buna karşılık GAGAS metninin 3.96
No.lu paragrafı işlerini GAGAS metnine uygun yürüten denetim kurumlarının her üç yılda bir
en az bir kez denetim kurumundan bağımsız gözden geçirenler tarafından yapılan bir dış
akran değerlendirmesine tâbi tutulması gerektiğini belirtir. GAGAS metninin 3.105 No.lu
paragrafı iç denetim kurumlarının dış akran değerlendirme raporlarının bir kopyasını
yönetişimle ilgili birime sunmasını da şart koşar. IIA Standart 1320: Kalite Güvence ve
İyileştirme Programına İlişkin Raporlama [(Quality Assurance and Improvement Program)
(QAIP)] kısmında İDY’nin “kalite güvence ve iyileştirme programına ilişkin sonuçları üst
yönetim ve kurula bildirmesi” şart koşulmaktadır.
Öneri:
IIA Standartlar ve GAGAS metinleri uyarınca denetimlerini yapan denetim kurumları, hem
IIA Standartlar metnine hem de GAGAS metnine uygun hareket ettiklerini göstermek için her
üç yılda bir yapılan bir akran değerlendirmesine ya da bir dış kalite güvence gözden
geçirmesine sahip olmalıdır. Bu yaklaşımın, her üç yılda bir yapılan GAGAS gözden
geçirmesine ve her beş yılda bir yapılan IIA Standartlar değerlendirmesine kıyasla daha etkili
olması olasıdır.
G. Konu 7 – Kalite Güvence Sistemleri
IIA Standart 1300: Kalite Güvence ve İyileştirme Programı, İDY’nin “iç denetim faaliyetinin
tüm yönlerini kapsayan bir QAIP geliştirmesi ve bunu sürdürmesini “ şart koşar. Standart
1310: Kalite Güvence ve İyileştirme Programına İlişkin Yükümlülükler kısmında “programın
hem iç hem de dış değerlendirmeler içermesi” gerektiği yer almaktadır. Standart 1311: İç
Değerlendirmeler kısmında “iç değerlendirmeler yürütülen iç denetim faaliyetinin sürekli
izlenmesini ve kurum içinde iç denetim uygulamalarına ilişkin yeterli bilgiye sahip başka
13
kişiler ya da kendi kendine değerlendirme yoluyla periyodik gözden geçirmeleri içermelidir. “
hükmüne yer vermektedir (Dış değerlendirmeler Konu 6 başlığı altında tartışılmaktadır).
Standart 1320 İDY’nin “QAIP sonuçlarını üst yönetim ve kurula bildirmesini” şart koşar. Son
olarak Uygulama Tavsiyesi 1311-1: İç Değerlendirmeler kısmı İDY’nin iç değerlendirmelere
ilişkin sonuçları en az bir yıllık rapor ettiği durumlarda dâhil iç denetim faaliyeti
kapsamındaki iç değerlendirmelerin yürütülmesine ilişkin tavsiye edilen bilgiler içermektedir.
Ek olarak, İç Denetimin Etkinliği ve Verimliliğini Ölçen IIA Uygulama Rehberi de bu konuya
ilişkin ilave bilgiler içermektedir.
GAGAS metninin 3.82 No.lu paragrafı “GAGAS metnine uygun denetim faaliyetleri yürüten
her bir denetim kurumu, kurumun ve kurum personelinin uyacağı mesleki standartlar ve cari
yasal ve düzenleyici koşulları sağlayacak makul güvenceyi denetim kurumuna sunacak
şekilde tasarlanmış bir kalite kontrol sistemini kurmalı ve sürdürmelidir." şeklindedir. Bu
kalite kontrol sistemi uyarınca 3.84 No.lu paragraf denetim kurumlarının kalite kontrol
politikaları ve prosedürlerini belgelendirmesi ve bildirmesini şart koşar. 3.85 No.lu paragraf
uyarınca bu politika ve prosedürler hep birlikte şunları ele almalıdır: Denetim kurumu
içerisinde kaliteye ilişkin liderlik sorumlulukları; bağımsızlık, yasal ve etik yükümlülükler;
denetimlerin başlatılması, kabulü ve sürdürülmesi; insan kaynakları; denetim performansı,
belgelendirme ve raporlama; kalitenin izlenmesi. Ayrıca 3.95 No.lu paragraf denetim
kurumunun izleme prosedürlerine ilişkin sonuçları en azından yıllık analiz etmesi ve
özetlemesi ve geliştirmeye ihtiyaç duyulan herhangi bir sistemik ya da tekrar eden konunun
tanımlanması ve buna ilişkin düzeltici adımlara ilişkin tavsiyelere yer verilmesi” gerektiğini
belirtir. Her iki standartlar dizisi de denetim kurumunun bir kalite güvence sistemi kurması
gerektiğine dair ihtiyacı tartışmaktadır. Ancak GAGAS metninde denetim kurumunun kalite
güvence sistemine ilişkin daha detaylı yükümlülüklere ve izleme prosedürleri sonuçlarının
analiz ve özetinin yıllık yapılmasına ilişkin yükümlülüğe yer verilmiştir.
Öneri:
Denetim kurumları,
denetim kurumunun kalite güvence sistemlerine ilişkin konularda
GAGAS metninin daha detaylı yükümlülüklerini ve IIA Uygulama Tavsiyesi 1311-1
kısmındaki tavsiyeleri takip etmeli ve izleme prosedürlerine ilişkin sonuçları en azından yıllık
olarak analiz etmeli ve özetlemelidir.
14
H. Konu 8 – Standartlara Uyumun Raporlanması
GAGAS metninin 7.30 No.lu paragrafı, denetçinin işin GAGAS ile uyumlu yürütüldüğünü
gösteren özgün bir dil kullanması gerektiğini söyler. Bu dil, denetimin GAGAS’a uygun
olduğunu gösteren bir uygunluk beyanı ve planlamaya ilişkin iş tanımı, işin yapımı ve kanıtlar
sunar ve toplanan kanıtların bulgu ve tavsiyelere ilişkin makul bir gerekçe sunduğuna dair
makul güvenceler sağlar.
Öneri:
Rapor yazarken GAGAS metninin dilini kullanınız ve aşağıda sunulan metne benzer şekilde
IIA Standartlar metnine atıf yapınız:
Bu denetim faaliyetini Genel Kabul Gören Kamu Denetim Standartlarına ve İç
Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara uygun yürüttük.
Bu standartlar uyarınca denetim amaçlarımız esasında elde edeceğimiz bulgu ve
sonuçlara ilişkin makul bir gerekçelendirme sunmak için yeterli ve uygun kanıtlar
bulacak şekilde denetimlerimizi planlamamız ve yürütmemiz gerekmektedir. Elde
edilen kanıtların denetim amaçlarımız esasında ulaştığımız bulgulara ve sonuçlara
ilişkin makul gerekçeler sunduğuna inanmaktayız.
Not: QAIP oluşturmayan iç denetim kurumları yukarıdaki açıklamayı yapamazlar. QAIP
sonuçları, hem iç hem de dış değerlendirmelere ilişkin sonuçları içermektedir. Bakınız: IIA
Standartları 1321: “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara
Uygunluk”, 2430: “İç Denetim Mesleki Uygulamalarına İlişkin Uluslararası Standartlara
Uygun Yürütülmüştür” İbaresinin Kullanımı, Uygulama Tavsiyesi 1321-1 “İç Denetim
Mesleki Uygulamalarına İlişkin Uluslararası Standartlara Uygunluk” Hükmünün Kullanımı.
I. Konu 9 – Standartlara Atıf Yapma
IIA Standart 1321 uyarınca İDY yalnızca QAIP sonuçları kendi beyanını destekliyorsa iç
denetim faaliyetinin Standartlara uygun olduğunu beyan edebilir. Ayrıca Uygulama
Tavsiyesi 1321-1 kısmı dış gözden geçirme, iç denetim faaliyetinin İç Denetim Faaliyeti
Tanımı, Etik Kurallar ve Standartlara uygunluğunu kanıtlayıncaya kadar uygunluk ifadesinin
kullanımının doğru olmayacağını söyler.
Buna karşılık GAGAS metninin 2.24 ve 7.30 No.lu paragraflarında iç denetçinin denetçi
raporuna bir GAGAS uygunluk beyanı eklemesini ifade eder. GAGAS metni, denetim
15
standartlarına uygunluğun rapor edilmesine ilişkin daha detaylı yükümlülükler içerir. Paragraf
3.97 henüz akran değerlendirme yükümlülüğüne tâbi olmayan bir denetim kurumu için
yapılacak ilk akran değerlendirmesinin gözden geçirme süresinin kurumun GAGAS uyarınca
yapılan ilk denetiminden üç sene geç olmamak şartıyla bir gözden geçirme süresini
kapsayacağını belirtir. 3.93 ilâ 3.95 No.lu paragraflar mesleki standartlar ve yasal ve
düzenleyici koşulların takip edilip edilmediğini, kalite kontrol sistemlerinin usulüne uygun
tasarlanıp tasarlanmadığını ve kalite kontrol ve politikaları ve prosedürlerinin etkin bir
biçimde çalışıp çalışmadığını ve pratikle uygun olup olmadığını değerlendirmek için izleme
faaliyetlerini kalite kontrol sisteminin bir parçası olarak tartışır.
Öneri:
Denetim faaliyeti, değerlendirmelerin denetim faaliyetinin IIA Standartlarına uygun olduğunu
kanıtlayıncaya kadar denetçiler, Standartlara uygun yürütülen faaliyetleri rapor etmemelidir
ancak denetçiler, GAGAS uyarınca izin verilen uygunluk beyanlarını yapabilirler. Denetim
faaliyeti her iki standarda uygun yapılıyorsa GAGAS uygunluk beyanı IIA standartlarına
uygunluğa dair bir atıf içerebilir.
J. Konu 10 – Suistimal
Hem IIA Standartları hem de GAGAS, gerekli bilgiler, planlama, ilave prosedürlerle ilgili
olduğu için yolsuzluğu çeşitli yönlerden ele alır ve şu şekilde rapor eder:

Bilgi – Aşağıda verilen IIA Standartları suistimal riskinin ele alınmasına rehberlik
eder:
o Standart 2120.A2 uyarınca iç denetim faaliyeti “yolsuzluğun gerçekleşme
olasılığını ve kurumun suistimal riskini nasıl ele aldığını değerlendirmelidir.”
o Standart 1210.A2 uyarınca iç denetçiler “suistimal riskini ve kurumun bunu
yönettiği yapıyı değerlendirmek için yeterli bilgiye sahip olmalıdır” ancak
birincil sorumluluğu yolsuzluğu saptamak ve incelemek olan bir kişinin sahip
olduğu uzmanlık bilgisini onlardan beklemez.
o Standart 1210.A1 uyarınca iç denetçiler “anlamlı hatalar, suistimal ya da
uygun
olmama
durumlarını
değerlendirirken
gerekli
mesleki
özeni
göstermelidir”.
16
Ek olarak, IIA İç Denetim ve Suistimal Uygulama Rehberi (2009) suistimal farkındalığı,
görev sırasındaki sorumluluklar, risk değerlendirme, önleme ve saptama, inceleme ve bildirim
gibi konularda iç denetçilere daha detaylı bilgiler sunmaktadır.
GAGAS metninin 3.69 No.lu paragrafı uyarınca “denetim faaliyetini yürütmekle görevli
personel, denetim amaçlarını karşılamak ve işi GAGAS metnine uygun gerçekleştirmek için
gerekli ve yeterli mesleki yetkinliğe birlikte sahip olmalıdır.” Bu durumda yeterlilik
kavramıyla yolsuzluğun saptanması ima edilmektedir.

Planlama – Her iki standart uyarıca risk olasılığı görev planlaması sırasında
değerlendirilmelidir. Bu konuya ilişkin birincil IIA Standartları 2120.A1 ve
2120.A2’dir. Bu konuya ilişkin birincil GAGAS paragrafları ise 6.30 ilâ 6.32’dir.

Ek Prosedürler – 6.30 No.lu paragrafta GAGAS metni denetim ekibi üyelerinin
kişilere suistimal yapma imkanı tanıyan unsurlar da dâhil olmak üzere suistimal
risklerini ekip arasında tartışmalarını ister. Ayrıca GAGAS metninin 6.31 ve 6.32
No.lu paragrafları denetçilerin gerçekleşmiş ya da gerçekleşme ihtimali olan suistimal
risklerini ya da unsurlarını tanımlarken ilave prosedürler de tasarlamalarını ister. Bu
denetim amaçları bağlamında anlanmalı bir işlemdir.

Raporlama – IIA Standart 2060: Üst Yönetime ve Kurula Rapor Etme ve GAGAS
metninin 7.18, 7.21 ve 7.24 No.lu paragrafları yolsuzluğun rapor edilmesine ilişkin
spesifik bilgiler sunar. GAGAS metninin 7.21 No.lu paragrafı denetçinin gerçekleşmiş
ya da gerçekleşme ihtimali olan yolsuzluğu rapor etmesini şart koşar ve bu denetim
amaçları bağlamında önemli bir işlemdir. Ek olarak, GAGAS metninin 7.22 No.lu
paragrafı denetçinin denetim amaçları bağlamında anlamlı olmayan yolsuzluğu
denetlenen kurum yetkililerine yazılı olarak bildirmesini ancak bu konuya ilişkin
yönetişimden sorumlu birimlerin dikkatini de çekmesini istemektedir.
Öneri:
Hem IIA Standartlar hem de GAGAS metni yolsuzluğa ilişkin bilgiler sunmaktadır. Ancak
GAGAS metni bu konuya ilişkin daha spesifik bilgiler sunmaktadır. Her bir denetim için
suistimal konusunda bir beyin fırtınası yapılması, saptanacak suistimalle ilgili faktörler ve
risklere ilişkin ilave denetim prosedürlerinin uygulanması GAGAS metninde bu konuya ilişkin
yer alan spesifik yükümlülüklerdir. Bu yükümlülüklere mevcut IIA Standartlarında yer
17
verilmemiştir. Ek olarak, GAGAS yolsuzluğun rapor edilmesine ilişkin daha detaylı
yükümlülükler içerir. Denetçiler, daha detaylı olan GAGAS yükümlülüklerini takip etmelidir.
K. Konu 11 – Önceki Denetimlerin İzlenmesi
IIA Standart 2500: İzleme Süreci, İDY’nin “yönetime bildirilen sonuçların izlenmesini
sağlayacak bir sistem kurması ve bu sistemi sürdürmesini” öngörür. Ayrıca Standart 2500.A1
İDY’nin “yönetimin eylemlerinin etkin bir biçimde uygulanmasını ya da üst yönetimin
eyleme geçmeme riskini kabul ettiğini sağlayacak ve izleyecek bir izleme süreci
oluşturmasını” da öngörür. Buna karşılık, GAGAS metninin 6.36 No.lu paragrafı uyarınca
“denetçiler, önceki görevler sırasında elde edilen ve denetim amaçları bağlamında anlamlı
olan bulguların ve tavsiyelerin gerçekleştirilmesi için denetlenen kurumun uygun düzeltici
adımları atıp atmadığını değerlendirmelidir.“
Denetim faaliyeti planlanırken, denetçiler,
denetlenen kurumun yönetimine önceki
denetimlere, tasdik görevlerine, performans denetimlerine ve denetim amaçlarıyla doğrudan
bağlantılı başka çalışmalara ve tüm bunlar esnasında yapılan tavsiyelerin uygulanıp
uygulanmadığı dair sorular sormalıdır.
Denetçiler, mevcut denetim işine ilişkin riskleri
değerlendirirken ve bu işin yapısını, süresini ve kapsamını belirlerken bu bilgileri
kullanmalıdır. Uygulanacak düzenleyici eylemlerin mevcut denetim amaçlarına ne ölçüde
uygulanabilir olup olmadığını belirlerken de bu bilgiler kullanılmalıdır.
IIA Standartları, hesap verebilirliği sağlamak için her bir denetim faaliyeti için izleme
faaliyetlerinin yürütülmesini öngörürken GAGAS metni, yönetim tarafından atılan bu tür
adımların mevcut göreve ilişkin planlamayı etkileyeceği ölçüde önceki denetimlerin
izlenmesini öngörür. Ek olarak GAGAS metninin A1. 08f paragrafında elde edilen bulguların
ve yapılan tavsiyelerin izlenmesine ilişkin bir sürecin kurulma ve sürdürülme sorumluluğunun
yönetime ait olduğu hükmüne yer verilmektedir.
Öneri:
Denetim kurumları, yönetim sorumluluklarını üstlenmeden IIA Standartlarında daha detaylı
yer verilen yükümlülükleri karşılayacak bir izleme süreci kurmalıdır.
L. Konu 12 – Sürekli Mesleki Eğitim [(Continuing Professional Education) - (CPE)]
IIA Standart 1230: Sürekli Mesleki Eğitim uyarınca “iç denetçiler bilgi, beceri ve diğer
yeteneklerini sürekli mesleki eğitim yoluyla artırmalıdır”. Uygulama Tavsiyesi 1230-1
18
uyarınca “mesleki sertifikalara sahip iç denetçiler, mesleki sertifikanın gerektirdiği
yükümlülükleri karşılayacak yeterli CPE’yi almakla yükümlüdür”. Hâlihazırda bir sertifikaya
sahip olmayan iç denetçiler, mesleki sertifika almaya yönelik çabaları destekleyecek bir
CPE’ye katılmaya teşvik edilmelidir. IIA Standartları, sertifika sahibi olmayan denetçiler için
yıllık ya da iki yılda bir tavsiye edilen belli bir eğitim saatini göstermez. GAGAS metninin
3.76 No.lu paragrafı denetçilerin doğrudan kamu denetimi, kamu ortamı ya da denetlenen
kurumunun faaliyet gösterdiği spesifik ve benzersiz faaliyet ortamına ilişkin her iki yılda bir
en az 24 saatten oluşan bir CPE almasını öngörür. GAGAS denetimlerinin planlama,
yönlendirme veya raporlama aşamalarında herhangi bir şekilde yer alan denetçilerin ve bu
denetimlerde yer almamakla birlikte zamanlarının yıllık en az yüzde yirmisini ya da daha
fazlasını GAGAS denetimleriyle geçiren denetçilerin, bu denetimlere ilişkin mesleki
yetkinliklerini artıracak ilave 56 saatlik bir CPE’ye (her iki yıllık dönemde toplam 80 saatlik
bir CPE) katılmasını öngörülmektedir. GAGAS metni uyarınca çalışan denetim ekibinin bir
parçası olarak görev yapan iç denetim uzmanlarının da bu CPE’yi alması gerekmektedir. Bu
iç denetim uzmanlarının uzmanlık alanlarında 24 saatlik bir eğitim almaları gerekmektedir.
GAGAS metninin CPE yükümlülüklerini tanımlayan kısmı sertifikalı personel ile sertifika
sahibi olmayan personel arasında tavsiye edilen CPE’ye ilişkin bir ayrım yapmaz.
Öneri:
İç denetim kurumları, sertifika sahibi olsun ya da olmasın işlerini GAGAS metni uyarınca
yürüten tüm denetçiler ve iç denetim uzmanları için CPE’ye ilişkin daha detaylı
yükümlülükler sunan GAGAS metnini takip etmelilerdir. GAGAS metni CPE yükümlülüklerine
uyum kısmına ilişkin daha detaylı bilgi için GAGAS Sürekli Mesleki Uyum Yükümlülükleri
için Kamu Denetimi Standartları Rehberine bakınız.
Sonuç
GAGAS ya da IIA Standartlarına uyması gereken ya da bunların her ikisini de kullanmayı
seçen kurumların bu karşılaştırmayı incelemesi iç denetim faaliyetlerinin kalitesini artırır.
Standartlar arasında bir farklılık gözlemlendiğinde hangisinin üstün olduğuna dair kaçınılmaz
olarak sorular ortaya çıkacaktır. Bu durumlara ilişkin atılacak uygun eylemlere dair öneriler
sağlayan bu karşılaştırma metni konunun açıklığa kavuşması için kamu iç denetçilerine ilave
bilgiler sunmakta ve bu standartların birbiriyle uyumlu olduğunu kanıtlamaktadır.
19
EK – GAGAS Metninin UMUÇ ile Uyumlulaştırılması
2011 GAGAS
2011 UMUÇ
Bölüm 1 Kamu Denetimi: Temel ve Etik Prensipler
– Giriş:
1.03 Kanun koyuculara, gözetim organlarına,
yönetişimden sorumlu birimlere ve kamuoyuna karşı
hesap verebilirliğin sağlaması için kamunun
denetlenmesi esastır. Denetim faaliyetinin türü ve
kapsamına bağlı olarak denetimler; yönetimin ve
performansın ya da kamu politikaları, programlarının
veya işlemlerinin maliyetinin bağımsız, tarafsız ve
yansız bir biçimde değerlendirilmesini sağlarlar.
İç Denetimin Tanımı
İç denetim, kurum işlemlerine değer katmak ve
bunları geliştirmek için tasarlanmış bağımsız ve
tarafsız bir güvence ve danışma faaliyetidir. İç
denetim risk yönetimi, kontrol ve yönetişim
süreçlerinin etkinliğini değerlendirmek ve bunları
geliştirmek için sistemli ve disiplinli bir yaklaşım
getirerek kurumun amaçlarına ulaşmasına yardım
eder.
Etik Kurallar
İç denetçilerin şu prensipleri uygulaması ve koruması
beklenir: Bütünlük, Tarafsızlık, Gizlilik ve Yetkinlik.
1000 – Amaç, Yetki ve Sorumluluk:
İç denetim faaliyetinin amaç, yetki ve sorumluluğu; İç
Denetim Tanımı, Etik Kurallar ve Standartlara uygun
biçimde iç denetim sözleşmesinde önceden resmi
olarak tanımlanmalıdır. İç denetim yöneticisi, iç
denetim sözleşmesini düzenli aralıklarla gözden
geçirmeli ve onay için üst yönetim ve kurula
sunmalıdır.
GAGAS Metninin Amacı ve Uygulanabilirliği
1.05 GAGAS metni uyarınca yapılan denetimler
gözetim, hesap verebilirlik ve şeffaflık kriterleri için
kullanılacak bilgiler sunar ve kamu programları ve
işlemlerinin
iyileştirilmesini
sağlar.
GAGAS
denetçilerin yeterli ve uygun kanıtları tarafsız bir
biçimde toplaması ve değerlendirmesi ve sonuçları
rapor etmesine yardım edecek yükümlülükler ve
rehberlik sağlar.
Denetçiler işlerini bu şekilde yapar ve sonuçları
GAGAS’a uygun rapor ederlerse yapılan bu işler
kamu yönetiminin gelişmesini, karar alma ve gözetim
sürecinin daha da iyileşmesini, işlerin etkin ve verimli
olmasını ve kaynaklara ve sonuçlara ilişkin hesap
verebilirlik ve şeffaflık kriterlerine ulaşılmasını sağlar.
1.06 Kanun, yönetmelik, sözleşmeler ve hibe
anlaşmaları hükümleri veya politikalar denetimlerin
GAGAS uyarınca yürütülmesini sıklıkla emrederler.
Buna ek olarak, çoğu denetçi ve denetim kurumu
işlerini GAGAS’a uygun yürütmeyi gönüllü olarak
seçer. GAGAS metninin kullanımı emrediliyorsa ya
da bu metin gönüllü seçilmişse GAGAS metninde yer
alan yükümlülükler ve yol gösterici bilgiler; kamu
kurumları, programları, faaliyetleri ve işlevlerinin
denetimi ile yükleniciler, kâr amacı gütmeyen
kuruluşlar ve diğer sivil toplum kuruluşları tarafından
uygulanan devlet destekli programların denetimi için
geçerlidir.
Etik Prensipler – Kamu Çıkarı:
1.15 Kamu çıkarı, denetçilerin hizmet ettiği insanlar
ve kurumlar topluluğunun müşterek iyi olma durumu
olarak tanımlanır. Mesleki sorumluluklarını yerine
getirirken denetçilerin bütünlük, tarafsızlık ve
bağımsızlık prensiplerini gözetmesi onların kamu
çıkarına hizmet etme ve kamuoyunun güvenini
kazanma prensiplerine ulaşmalarına yardım eder.
Kamu çıkarı prensibi, denetçi sorumlulukları için
temel bir prensiptir ve kamu ortamında kritik öneme
sahiptir.
1.16
Bir denetçinin ayırt edici özelliklerinden
birisi kamu çıkarına hizmet etme sorumluluğunu kabul
etmesidir. Kamu çevresinde denetim yapılırken bu
sorumluluk kritik öneme sahiptir. GAGAS metni,
kamu çıkarı için hizmet etmenin temel prensiplerden
20
biri olan kamu kaynaklarına karşı hesap verebilir olma
kavramını içerir. Bütünlük:
1.18 Denetlenen programın ya da faaliyetin kamu
çıkarlarıyla tutarlı kararlar alınması bütünlük
prensibinin
önemli
bir
parçasıdır.
Mesleki
sorumluluklarını ifa ederken denetçiler, denetlenen
kurumun yönetim kademesinden, kamunun çeşitli
birimlerinden ya da başka benzer kullanıcılardan gelen
ve birbiriyle çelişen baskılara maruz kalabilirler.
Denetçiler, kişisel ya da kurumsal kazanım elde etmek
için yapılan uygun olmayan baskılara da maruz
kalabilirler. Bu baskı ve ihtilafların çözümü için
bütünlük prensibi dâhilinde hareket etme denetçinin
kamu çıkarını gözeten sorumluluklara öncelik vermesi
anlamına gelir.
1.17 İdareye karşı kamuoyu güveni, denetçilerin
mesleki sorumluluklarını bütünlük ilkesi dâhilinde
yürütmeleriyle sağlanır ve güçlendirilir. Denetlenen
kurumlar ve denetçi raporlarını kullananlar
bakımından denetçilerin işlerini tarafsız, gerçeklere
dayalı, yansız ve ideolojik olmayan bir tutumla
yapmaları bütünlük ilkesinin bir gereğidir. Cari
gizlilik kanun, kural ya da politikalarında yer alan
kısıtlamalar uyarınca denetlenen kurum ve
yönetişimden sorumlu birim ve denetim sözleşmesini
imzalayan ya da denetimi talep eden şahıs ile yapılan
iletişimlerin dürüst, samimi ve yapıcı olmaları
beklenir.
Tarafsızlık: 1.19 Kamuda denetimin güvenirliği,
denetçinin
mesleki
sorumluluklarını
yerine
getirmedeki tarafsızlığına bağlıdır. Denetim yaparken
zihnen ve şeklen bağımsız olma, tarafsız bir yaklaşım
sergileme, entelektüel açıdan dürüst olma ve çıkar
çatışmasına sahip olmama tarafsızlık ilkesinin
unsurlarıdır. Denetçilerin kamuoyuna sorumlulukları
bağlamında denetlenen kurumlar ile diğer paydaşlarla
olan ilişkilerini sürekli değerlendirmeleri de
tarafsızlığın korunması için önemlidir. Tarafsızlık ve
bağımsızlık kavramları birbirleriyle yakinen bağlantılı
kavramlardır. Bağımsızlığın zedelenmesi tarafsızlığı
da etkiler (Dipnot gösterilmemiştir).
Kamu Bilgileri, Kaynakları ve Makamlarının
Usulüne Uygun Kullanımı
1.20 Kamu bilgileri, kaynakları ve makamları resmi
amaçlara uygun kullanılır ve bunlar, denetçinin şahsi
çıkarları için ya da kanuna aykırı ya da denetlenen
kurumun veya denetim kurumunun meşru çıkarlarına
zarar verecek şekilde kullanılamaz. Bu kavram, hassas
ya da gizli bilgi veya kaynakların usulüne uygun
Bütünlük (Etik Kurallar –Prensipler)
İç denetçilerin bütünlük ilkesine uygun hareket
etmeleri güven oluşturur ve böylece onların
kanaatlerine güvenilmesini sağlar.
1. Bütünlük (Etik kurallar – Davranış kuralları)
İç denetçiler;
1.1 işlerini dürüst, özenli ve sorumlu bir biçimde
yapmalıdır.
1.2 kanunlara uymalı ve kanunun ve mesleğin
öngördüğü açıklamaları yapmalıdırlar.
1.3 herhangi bir kanunsuz faaliyetin bilerek tarafı
olmamalı ve iç denetim mesleği ya da kurumun
itibarını zedeleyecek faaliyetlerde yer almamalıdır.
1.4 kurumun meşru ve etik amaçlarına saygı duymalı
ve bunlara katkı sağlamalıdırlar.
Tarafsızlık (Etik kurallar – Prensipler): İç
denetçiler incelenen faaliyet ya da sürece ilişkin
bilgileri toplarken, değerlendirirken ya da bildirirken
mesleki tarafsızlıkları en yüksek düzeyde olmalıdır. İç
denetçiler, bir kanaate varırken tüm ilgili koşulları
dengeli bir biçimde değerlendirmeli ve kendi çıkarları
ya
da
başkalarının
çıkarlarından
olumsuz
etkilenmemelidirler.
2. Tarafsızlık (Etik Kurallar – Davranış Kuralları)
İç denetçiler;
2.1 değerlendirmelerinin tarafsızlığını olumsuz
etkileyecek ya da öyle olduğunun düşünülmesine yol
açacak herhangi bir faaliyet ya da ilişki içerisinde yer
almamalıdırlar.
Kurumun
çıkarlarıyla
çelişen
faaliyetler veya ilişkiler de bunlara dâhildir.
2.2 mesleki kanaatlerini olumsuz etkileyecek ya da
öyle olduğunun düşünülmesine yol açacak herhangi
bir şeyi kabul etmemelidirler.
2.3 açıklanmaması halinde gözden geçirilen
faaliyetlere ilişkin raporun çarpıtılmasına neden
olabilecek bilgileri dâhilindeki tüm maddi gerçekleri
açıklamalıdırlar.
Gizlilik (Etik Kurallar –Prensipler): İç denetçiler,
aldıkları bilgilerin değerine ve sahibine saygı
göstermeli ve bunları yasal ya da mesleki bir
zorunluluk olmadıkça
yetkisiz kişilere ifşa
etmemelidir.
3. Gizlilik (Etik Kurallar - Davranış Kuralları)
İç denetçiler;
3.1 görevleri sırasında elde ettikleri bilgilerin
21
kullanımını da kapsar.
1.21 Kamu ortamında kamusal bilgilerin şeffaflığına
ilişkin kamunun hak sahibi olması ile bu tür bilgilerin
usulüne uygun kullanımı arasında bir denge
sağlanmalıdır. Ek olarak, birçok kamusal program
bilgi ifşasına ilişkin kanun ve yönetmeliklere tâbidir.
Denetçinin görevi sırasında elde ettiği bilgileri
kullanırken hassas ve dikkatli olması bu dengenin
sağlanmasında önemli bir role sahiptir. Bu tür
bilgilerin üçüncü şahıslara usulüne uygun olmayan
yollardan ifşa edilmesi kabul edilebilir bir uygulama
değildir.
1.22 Kamu kaynaklarının usulüne uygun kullanımı ve
ihtiyatlı yönetimi açısından kamuya karşı hesap
verebilir olma, denetçinin temel sorumluluklarından
biridir. Kamu kaynaklarının korunması ve muhafaza
edilmesi ve bunların yetkilendirilen faaliyetler için
usulüne
uygun
kullanılması,
kamuoyunun
denetçilerden beklediği en önemli unsurlardan biridir.
Mesleki Davranış:
1.24 İlgili tüm kanuni, düzenleyici ve mesleki
yükümlülüklere uyma ve ilgili bilgilere sahip tarafsız
üçüncü bir şahsın denetçinin işinin mesleki açıdan
zedelendiğini düşünmesine neden olabilecek eylemler
de dâhil olmak üzere denetçinin mesleğine zarar
verecek davranışlardan kaçınması denetim mesleğine
ilişkin
yüksek
beklentilerdendir.
Denetçilerin
görevlerini yerine getirirken dürüst bir çaba
göstermeleri ve ilgili teknik ve mesleki standartlara
uygun profesyonel hizmetler sunmaları da bu mesleki
davranışlara dâhildir.
Bölüm 2: GAGAS Metninin Kullanılması ve
Uygulanmasına İlişkin Standartlar
GAGAS Denetim ve Tasdik Görevi Türleri:
2.04 Bazı denetimlerde spesifik amaçlar için geçerli
standartlar belirgin bir biçimde mevcut olabilir ancak
bazı denetimler çoklu ya da mükerrer amaçlar
içerebilir. Örneğin amaç performans ölçütlerinin
güvenirliğini denetlemek ise bu iş tasdik görevi
standartları ya da performans denetimlerine uygun
yapılabilir. Cari standartlar arasında seçim yapma
imkânının olduğu durumlarda hangi standarttın
uygulanacağına karar verirken denetçiler, kullanıcının
ihtiyaçlarını ve denetçinin bilgi, beceri ve deneyimini
dikkate alarak değerlendirme yapmalıdır.
Performans
Denetimleri:
2.10
Performans
denetimleri, belirlenen kriterlere karşı yeterli, uygun
kanıtlar esas alınarak yapılan bir değerlendirme
sonucunda elde edilen bulgu ve sonuçlar sağlayan
denetimler olarak tanımlanır. Performans denetimleri,
yönetime ve yönetişimden sorumlu kişilere yardım
edecek
tarafsız
analizler
sağlar,
program
performansını ve işlemleri geliştirecek bilgilerin
kullanımına ilişkin denetim sağlar, maliyetleri azaltır,
düzeltici adımları denetlemek ya da başlatmakla
sorumlu tarafların karar almasını kolaylaştırır ve kamu
hesap verebilirliğine katkı sağlar. GAGAS metninde
geçen “program” terimine kamu kuruluşları,
kurumları, faaliyetleri ve işlevleri dâhildir.
kullanımı ve korunması hususunda hassas olmalıdır.
3.2 bu bilgileri şahsi çıkarları için ya da kanuna aykırı
ya da kurumun meşru ve etik amaçlarına zarar verecek
şekilde kullanmamalıdır.
1220 – Gerekli Mesleki Özen: İç denetçiler, dikkatli
ve yetkin bir iç denetçiden beklenen makul özen ve
becerileri sergilemelidir. Gerekli mesleki özeninin
gösterilmesi hatasızlık anlamına gelmez.
1000.A1 Kuruma sağlanacak güvence hizmetlerinin
yapısı iç denetim sözleşmesinde tanımlanmalıdır.
Güvence hizmetleri kurum dışındaki taraflara da
sunulacaksa bu güvence hizmetlerinin yapısı da iç
denetim sözleşmesinde tanımlanmalıdır.
2110 – Yönetişim: İç denetim faaliyeti şu amaçlara
ulaşılması için yönetişim sürecinin geliştirilmesine
yönelik değerlendirmeler yapmalı ve uygun önerilerde
bulunmalıdır: Kurum içinde uygun etik kurallar ve
değerlerin teşvik edilmesi; Etkili kurumsal performans
yönetimi ve hesap verebilirliğin sağlanması; Risklerin
ve kontrol bilgilerin kurumun ilgili birimlerine
bildirilmesi; Kurul, dış ve iç denetçiler ve yönetim
arasında faaliyetlerin koordine edilmesi ve bilgilerin
iletilmesi.
22
2.12 GAGAS metni, denetimlerin ya da tasdik
görevlerinin dışında kalan ve mesleki hizmetler olarak
tanımlanan denetim faaliyeti içermeyen hizmetleri
kapsamaz. Bu nedenle denetçiler, GAGAS metni
uyarınca yürütülen ve denetim faaliyeti içermeyen
hizmetleri rapor etmezler. Denetim kurumunun bir
GAGAS denetim faaliyeti yürüttüğü bir kuruluş için
denetim faaliyeti içermeyen bir hizmet verilirken
denetim kurumları verilen hizmetlerin GAGAS metni
uyarınca bir denetim faaliyeti oluşturmayacağını
açıklığa kavuşturmak için bu hizmeti talep edenlerle
ve yönetişimden sorumlu birimlerle iletişime
geçmelidir.
2.13 Denetim kurumları, GAGAS uyarınca denetim
hizmeti de verdikleri kurumlara denetim faaliyeti
içermeyen hizmetler sunduklarında denetim faaliyeti
içermeyen bu hizmetlerin denetçiler ve denetim
kurumunun
bağımsızlığı
üzerindeki
etkisini
değerlendirmeli ve GAGAS metninin bağımsızlık
standardı uyarınca bağımsızlığa karşı saptadıkları
tehditlere karşılık vermelidir.
GAGAS
Metninde
Mesleki
Yükümlükleri
Tanımlamak İçin Kullanılan Terminolojinin
Kullanımı
2.15 GAGAS metninde spesifik terimlerle tanımlanan
ve denetçiler ile denetim kurumlarına yüklenen
sorumluluğunun derecesini göstermek için iki tür
yükümlülük kullanılır. Bunlar şunlardır:
a. Şartsız yükümlülükler: Bu tür bir
yükümlülüğün ilgili olduğu tüm durumlarda
denetçiler ve denetim kurumları koşulsuz
şartsız bu yükümlülüğe uymak zorundadır.
GAGAS metninde “yapılmak zorundadır”
(İngilizce metinde “must”) ibaresi şartsız
yükümlülükleri göstermek için kullanılır.
b. Varsayımsal
olarak
zorunlu
olan
yükümlülükler: Paragrafta tartışılan istisnai
durumlar hariç bu tür bir yükümlülüğün
uygulanabilir olduğu tüm durumlarda
denetçiler ve denetim kurumları varsayımsal
olarak
zorunlu
olan
yükümlülüklere
uymalıdır.
2.16 GAGAS metninde “yapılmalıdır” (İngilizce
metinde “should”) ibaresi varsayımsal açıdan zorunlu
yükümlükleri göstermek için kullanılır.
GAGAS ile Diğer Mesleki Standartlar Arasındaki
İlişki
2.19 Denetçiler, başka yetkili organlar tarafından
yayımlanan mesleki standartlarla bağlantılı bir
biçimde GAGAS metnini kullanabilirler.
2.22 Denetçilerin hem GAGAS hem de 2.20 ve 2.21
No.lu paragraflarda listelenenler gibi başka
standartlara
uyulduğunu
belirtmeleri
halinde
denetçiler, atıf yükümlülükleri için GAGAS metninin
2.24 No.lu paragrafına başvurmalıdır. GAGAS’a atıfa
ek olarak denetçiler, başka standartların uygunluk
koşullarını karşıladıklarında başka standartların
kullanımına da raporlarında atıf yapabilirler. Başka
standartlara uyma gerekçesi için yapılacak atıflarda
denetçiler bahsi geçen bu başka standartlara atıf
1130.A1 – İç denetçiler daha önceden sorumlu
oldukları spesifik işlemlerin değerlendirilmesi
faaliyetlerinden uzak durmalıdır. İç denetçinin önceki
yıllarda sorumlu olduğu bir faaliyete ilişkin güvence
hizmetleri sunması halinde tarafsızlığın zedeleneceği
varsayılmaktadır.
1000.C1 – Danışma hizmetlerinin yapısı iç denetim
sözleşmesinde tanımlanmalıdır.
Uluslararası Standartlara Giriş: Standartlar metni,
Sözlük kısmında tanımlanan ve özel anlamlar içeren
terimler içerir. Özel olarak belirtmek gerekirse
Standartlar şartsız yükümlülükleri tanımlamak için
“yapılmak zorundadır” ibaresini; mesleki kanaatler
uygulanarak koşullar standartlardan sapmaya imkân
tanımadıkça uygunluğun beklendiği durumlar için ise
“yapılmalıdır” ibaresini kullanır.
Standartları doğru ve düzgün anlayabilmek ve
uygulayabilmek için Sözlükte verilen spesifik
anlamlara ek olarak Beyanlar ve Yorumları da dikkate
almak gereklidir.
IIA yetkili rehberi… iki kategoriden oluşur: Paydaş
girişleri için bir kamu maruziyeti dönemi de içeren
belirlenmiş bir hassas değerlendirme sürecinin takip
edilerek geliştirilen Zorunlu Rehber… Resmi onay
süreciyle IIA tarafından onaylanan Kuvvetle Tavsiye
Edilen Rehber. Bu rehber, IIA İç Denetim Tanımı,
Etik Kurallar ve İç Denetim Mesleki Uygulamaları
İçin Uluslararası Standartların (Standartlar) etkili bir
biçimde uygulanması için uygulamaları tanımlar.
Uluslararası Standartlara Giriş: Standartlar başka
yetkili organlar tarafından çıkarılan standartlarla
bağlantılı bir biçimde kullanılacaksa iç denetim
bildirimlerinde başka standartların kullanımına da
uygun biçimde atıf yapılmalıdır. Böyle bir durumda
Standartlar ile diğer standartlar arasında tutarsızlık
varsa iç denetçiler ve iç denetim faaliyeti Standartlara
uymalıdır. Diğer standartlar Standartlardan daha
katıysa bunlara uyulmalıdır.
23
yapmalıdır.
Denetçi Raporunda GAGAS’a Uygunluğun
Belirtilmesi
2.23 Denetçilerin GAGAS uyarınca bir denetim
yapmaları gerekiyorsa ya da böyle yaptıklarını
başkalarına beyan ediyorlarsa 2.24 ilâ 2.25 No.lu
paragraflarda belirtildiği şekilde denetim raporlarında
GAGAS’a uygun hareket ettiklerini belirtmelidirler.
2.24 Denetçiler, GAGAS denetimlerine ilişkin
raporlarında aşağıda sayılan GAGAS uygunluk
beyanlarından hangisi geçerliyse ona yer vermelidir:
a. Değiştirilmemiş GAGAS Uygunluk Beyanı:
Denetçinin denetimini GAGAS uyarınca
yürüttüğünü belirtir. Denetçiler; (1) şartsız
yükümlülükler ve cari varsayımsal zorunlu
GAGAS yükümlülüklerine uyduklarında ya
da (2) şartsız yükümlüklere uyup varsayımsal
zorunlu
yükümlülüklere
uymama
gerekçelerini belgelendirdiklerinde ve u
yükümlülüklerin
öngördüğü
denetim
amaçlarını
başka
yollarla
gerçekleştirdiklerinde, denetçi raporlarında
değiştirilmemiş GAGAS Uygunluk Beyanına
yer vermelidirler.
b. Değiştirilmiş GAGAS Uygunluk Beyanı: Bu
beyan (1) takip edilmeyen cari spesifik
yükümlülükler hariç denetçinin denetimi
GAGAS uyarınca yürüttüğünü ya da (2)
yükümlülüklere
uymama
durumunun
öneminden dolayı denetçinin denetimini
GAGAS
uyarınca
yürütemediği
ve
yürütmediğini belirtir. Kayıtlara, kamu
görevlilerine ya da denetimin yapılması için
gerekli diğer şahıslara erişimin kısıtlandığı
durumlar
gibi
kapsam
kısıtlamaları
değiştirilmiş uygunluk beyanının kullanıldığı
durumlara dâhildir. Değiştirilmiş GAGAS
uygunluk
beyanını
kullandıklarında
denetçiler, raporlarında takip edilmeyen
yükümlülük(ler)e,
etkilenen
ya
da
etkilenebilecek yükümlülük(ler)e, denetime
ve sağlanan güvenceye yer vermelidir.
2.25 Denetçiler, cari yükümlülük(ler)e uymadıklarında
(1) denetim amaçlarına uymamanın önemini
değerlendirmeli (2) bu yükümlülüklere uyulmama
sebepleriyle
birlikte
değerlendirmelerini
belgelendirmeli ve (3) GAGAS uygunluk beyanı
türünü
belirlemelidirler.
Denetçinin
yapacağı
belirleme, mesleki kanaatleriyle bağlantılıdır ve
denetim
amaçlarıyla
bağlantılı
uyulmayan
yükümlülüklerin öneminden etkilenir.
Bölüm 3: Genel Standartlar - Bağımsızlık
3.02 Denetim işiyle bağlantılı tüm konularda ister
kamuda ister özel sektöre mensup olsunlar denetim
kurumları ve iç denetçiler bağımsız olmalıdırlar.
3.04 Görüş, bulgu, sonuç, kanaat ve tavsiyelerinin
tarafsız olması ya da makul ve bilgilendirilmiş üçüncü
1321-1 “İç Denetim Mesleki Uygulamaları için
Uluslararası Standartlara Uygundur” İbaresinin
Kullanımı
İç denetim yöneticisi, iç denetim faaliyetinin
Standartlara uygun olduğunu yalnızca kalite güvence
ve iyileştirme programının sonuçları bu beyanını
desteklediğinde belirtebilir.
Yorum: İç denetim faaliyeti, İç Denetim Tanımı, Etik
Kurallar ve Standartlarda tanımlanan çıktılara
ulaşıldığında iç denetim faaliyeti Standartlara
uygundur. Kalite güvence ve iyileştirme programı
sonuçlarında hem iç hem de dış değerlendirme
sonuçlarına yer verilmelidir. Tüm iç denetim
faaliyetleri iç değerlendirmelerin sonuçlarına sahip
olmalıdır. En az beş yıllık olan iç denetim faaliyetleri
de dış değerlendirme sonuçlarına sahip olacaktır.
1322 – Standartlara Uyulmadığının ifşası
İç Denetim Tanımına, Etik Kurallara ya da iç denetim
faaliyetinin genel amaçlarını ya da işlemlerini
etkileyen Standartlara uyulmadığında iç denetim
yöneticisi bunu ve bunun etkisini üst yönetime ve
kurula bildirmelidir.
1100 - Bağımsızlık ve Tarafsızlık: İç denetim
faaliyeti bağımsız olmalıdır ve iç denetçiler işlerini
yaparlarken tarafsız olmalıdırlar.
1110 – Kurumsal Bağımsızlık: İç denetim yöneticisi,
iç
denetim
faaliyetinin
sorumluluklarını
tamamlamasına imkân veren kurum içi bir makama
24
şahıslar tarafından tarafsız olarak algılanabilmesi için
denetçiler ve denetim kurumları bağımsızlıklarını
korumalıdırlar. Denetçiler ve denetim kurumları,
makul ve bilgilendirilmiş üçüncü şahıslar tarafından
bağımsız olmadıkları ve bu nedenle denetim işinin
yürütülmesi ve rapor edilmesiyle bağlantılı tüm
konularda tarafsız ve yansız hareket edemeyecekleri
yönünde
bir
düşünceye
neden
olabilecek
hareketlerden kaçınmalıdırlar.
3.06 GAGAS metninin bağımsızlığa ilişkin uygulama
değerlendirmesi birbiriyle bağlantılı dört bölümden
oluşur. Bunlar;
a. Çoğu zaman spesifik ortamlara ilişkin
gerçekler ve koşullar esasında bağımsızlık
belirlemesi yapmak için kavramsal bir
çerçeve
b. Yapısal olarak denetledikleri kurumların
içinde yer alan denetim kurumların
bağımsızlığına ilişkin yükümlülükler ve
rehberlik
c. Bağımsızlığa daima zarar veren spesifik
denetim faaliyeti içermeyen hizmetlerin ve
normalde bağımsızlığa zarar vermeyen başka
hizmetlerinde gösterilmesi de dahil olmak
üzere denetim faaliyeti içermeyen hizmetleri
gerçekleştiren denetçilerin bağımsızlığına
ilişkin yükümlülükler ve rehberlik
d. Denetçi bağımsızlığına ilişkin yeterli
değerlendirme yapmayı desteklemek için
gerekli belgelere ilişkin yükümlülükler ve
rehberlik
Bağımsızlığa İlişkin GAGAS Kavramsal Çerçeve
Yaklaşımı
3.07
Bağımsızlığa
ilişkin
tehditlerin
değerlendirilmesiyle ilgili birçok farklı koşul ya koşul
kombinasyonu vardır. Bu nedenle, GAGAS
denetçilerin
bağımsızlığa
ilişkin
tehditleri
tanımlaması, değerlendirmesi ve bunlar için
uygulanacak koruyucu unsurlar için bir kavramsal
çerçeve belirler. Bu kavramsal çerçeve denetçilerin
hem zihnen hem de şeklen bağımsızlıklarını
korumalarına yardımcı olur. Bağımsızlığa tehdit
oluşturan durumlar için birçok farklı değişken
uygulanabilir ve bunlar GAGAS metni uyarınca
spesifik
olarak
yasaklanmayan
faaliyetlerden
kaynaklanan ve bağımsızlığa tehdit oluşturan
unsurların denetçiler tarafından ele alınmasına imkan
verir.
Bağımsızlığa ilişkin kavramsal çerçeve yaklaşımın
uygulanmasına yardımcı olması için hazırlanan bir
şema için EK II’ye bakınız.
Kavramsal Çerçevenin Uygulanması
3.20 Denetçilerin işlerini yaptıkları durumlar ya da
koşulların bağımsızlığa ilişkin tehditlere yol açtığı ya
da bu tehditleri artırdığı durumlarda denetçiler,
kavramsal çerçeveyi kullanarak bağımsızlığa ilişkin
tehditleri değerlendirmelidir. Tehditler denetçi
bağımsızlığı üzerinde toplu bir etkiye sahip
olabileceği için denetçiler tehditleri hem bireysel hem
de toplu halde değerlendirmelidir.
rapor vermelidir. İç denetim yöneticisi, iç denetim
faaliyetinin kurumsal bağımsızlığını en az yılda bir
kez kurula teyit ettirmelidir.
1120 – Bireysel Tarafsızlık: İç denetçiler tarafsız ve
önyargısız bir tutum sergilemeli ve çıkar çatışmasına
neden olacak tutumlardan kaçınmalıdır.
25
Tehditler:
3.13 Bağımsızlığa ilişkin tehditler bağımsızlığı
zedeleyebilecek koşullardır. Bağımsızlık zedelenmesi
tehdidin yapısına - tehdit ya öyle bir öneme sahiptir ki
denetçinin mesleki kanaatlerinden ödün vermesine
neden olabilir ya da denetçinin mesleki kanaatlerinden
ödün verebileceği izlenimi yaratır - ve tehdidi ortadan
kaldırmak ya da onu kabul edilebilir bir düzeye
indirmek için uygulanan spesifik koruyucu unsurlara
bağlı olarak değişebilir. Tehditler kavramsal çerçeve
kullanılarak değerlendirilecek koşullardır. Tehditlerin
illa da bağımsızlığı zedelemesi gerekmez.
3.14 Bağımsızlığa ilişkin tehditler, çok çeşitli ilişkiler
ve koşullar tarafından yaratılabilir. Tehditlerin
tanımlanması ve değerlendirilmesi sırasında denetçiler
bağımsızlığa ilişkin değerlendirmelerini aşağıda
verilen geniş kategorileri kullanarak yapmalıdır:
a. Kişisel çıkar sağlayan tehdit
b. Kendi kendine gözden geçirme nedeniyle
oluşan tehdit
c. Ön yargı tehdidi
d. Aşinalık tehdidi
e. Haksız nüfuz tehdidi
f. Yönetimin katılımından kaynaklanan tehdit
g. Yapısal tehdit
Koruyucu unsurlar:
3.16 Koruyucu unsurlar, bağımsızlığa ilişkin tehditleri
ortadan kaldırmak ya da kabul edilebilir bir düzeye
indirmek için tasarlanmış kontrollerdir. Kavramsal
çerçeve uyarınca denetçiler, spesifik durumlar ve
koşullar altında gözlemlenen bağımsızlık tehditlerini
ele almak için koruyucu unsurları uygularlar. Bazı
durumlarda bir tehdidi ele almak için çoklu
koruyucuların uygulanması gerekebilir…
3.23 Denetçi bağımsızlığa ilişkin tehditleri
saptadığında ve bu tehditlere ilişkin bir değerlendirme
ışığında bunların kabul edilebilir seviyede olmadığını
belirlediğinde denetçi, uygun koruyucu unsurların
mevcut olup olmadığını ve bu tehditleri yok etmek ya
da kabul edilebilir bir düzeye indirmek için uygulanıp
uygulanamayacağını belirlemelidir. Denetçi bu
değerlendirmeyi yaparken mesleki kanaatlerinden
faydalanmalı ve hem zihnen hem de şeklen
bağımsızlığını
koruyup
korumadığını
değerlendirmelidir. Tehdidin önemini değerlendirirken
denetçiler, niteliksel ve niceliksel unsurların her
ikisini de değerlendirmelidir.
3.24 Bağımsızlığa ilişkin tehditlerin kabul edilebilir
düzeyde olmadığı ve bu nedenle, koruyucu unsurların
uygulanmasının gerektiği durumlarda denetçiler
saptanan tehditleri ve bunları yok etmek ya da kabul
edilebilir bir düzeye indirmek için uygulanan
koruyucu unsurları belgelendirmelidir.
3.25
Koruyucu
unsurlar
uygulanarak
yok
edilemeyecek ya da kabul edilebilir düzeye
indirilemeyecek önemde tehditlere neden olan ve
bağımsızlığı zedeleyen bazı belirli durumlar olabilir.
Böyle durumlarda denetçiler ileriye dönük yapacakları
denetimleri reddetmeli veya mevcut devam eden
denetimlerini sonlandırmalıdır.
1120 – Bireysel Tarafsızlık: İç denetçiler tarafsız ve
yansız bir tutum sergilemeli ve çıkar çatışmasına
neden olabilecek tutumlardan kaçınmalıdır.
1100 – Bağımsızlık ve Tarafsızlık: İç denetim
faaliyeti bağımsız olmalı ve iç denetçiler işlerini
yaparlarken tarafsız olmalıdır.
2. Tarafsızlık (Etik Kurallar – Davranış Kuralları)
İç denetçiler;
2.1 tarafsız ve önyargısız değerlendirmelerini
zedeleyebilecek ya da öyle algılanmasına yol
açabilecek herhangi bir ilişki ya da faaliyet içerisinde
olmamalıdırlar. Kurumun faaliyetleriyle çatışabilecek
ilişki ve faaliyetlerde bunlara dâhildir.
2.2 mesleki kanaatlerini zedeleyebilecek ya da öyle
algılanmasına yol açabilecek herhangi bir şeyi kabul
etmemelidirler.
2.3 açıklanmaması halinde denetim altındaki
faaliyetlere ilişkin raporların çarpıtılmasına neden
olabilecek bilgileri dâhilindeki tüm maddi gerçekleri
açıklamalıdırlar.
Uygulama Tavsiyesi 1130-1 Bağımsızlık ya da
Tarafsızlığın Zedelenmesi
İDY bağımsızlık ya da tarafsızlığın zedelendiğini
görüyorsa ya da böyle bir çıkarımda bulunuyorsa
denetçi(ler)i yeniden ataması gerekmektedir.
26
3.26 Bağımsızlığa ilişkin bir tehdit, denetçi raporu
yayımlandıktan sonra saptanırsa denetçi tehdidin
denetim ve GAGAS metnine uyum üzerindeki etkisini
değerlendirmelidir. Yeni saptanan riskin denetçilerin
raporunun önceki kullandıkları rapordan farklı
olmasına neden olacak şekilde denetim üzerinde bir
etkiye sahip olduğunun belirlenmesi halinde
denetçiler, daha önceden raporun dağıtımını yapan
yönetişimden sorumlu birimler, denetlenen kurumun
yetkili personeli ve diğer bilenen kullanıcıları ile aynı
şekilde iletişime geçmeli ve bağımsızlığa ilişkin
tehditten dolayı etkilenen bulgu ve sonuçlara artık
güvenmemeleri konusunda kendilerini uyarmalıdır.
Rapor denetçilerin kamuya açık websitesinde daha
önceden yayımlanmışsa denetçiler bu raporu
kaldırmalı ve raporun kaldırıldığına dair kamuoyuna
bir bilgilendirme yapmalıdırlar. Daha sonra denetçiler,
revize edilmiş bulgu veya sonuçlarda dâhil raporu
yeniden yayımlamak için ilave bir denetim faaliyetine
gerek olup olmadığını ve ilave denetim bulgularda ya
da sonuçlarda bir değişikliğe neden olmuyorsa orijinal
raporu
yeniden
yayımlayıp
yayımlamamayı
kararlaştırmalıdır.
Kamu Denetçileri ve Denetim Kurumu Yapısı
3.27 Kamu kurumları bünyesindeki denetim
kurumlarının denetim işini ve sonuçları tarafsız bir
biçimde rapor etme kabiliyeti, kamu bünyesindeki
yerleştirmelerden ve denetlenen kamu kurumunun
yapısından etkilenir. İster üçüncü şahıslara dışarıdan
rapor versinler (dış denetçiler) ister denetlenen kurum
içinde üst yönetime rapor versinler (iç denetçiler) ya
da her ikisini birlikte yapsınlar kamu kurumu
denetçileri için bağımsızlık standardı geçerlidir.
İç Denetçi Bağımsızlığı:
3.31 Bazı belirli kurumlar, kurum yönetimi için
çalışacak denetçiler istihdam edebilir. Bu denetçiler,
kurum yönetim sürecinde yer alan şahıslardan gelen
idari talimatlara tâbidirler. Bu tür denetim kurumları iç
denetim işlevlerini gerçekleştirir ve GAGAS metniyle
bağlantılı olarak Uluslararası İç Denetçiler Enstitüsü
(IIA) İç Denetim Mesleki Uygulamaları için
Uluslararası Standartlar metnini kullanmaları teşvik
edilir. GAGAS metni uyarınca denetim kurumu
başkanının aşağıda sayılan kriterleri karşıladığı
durumlarda denetlenen kurum yönetiminin talimatları
altında çalışan iç denetçilerin içeriden verdikleri rapor
hizmetlerinde bağımsız oldukları düşünülmektedir:
a. Kamu kurumu başkanı ya da başkan
yardımcısına ya da yönetişimden sorumlu
birimlere karşı sorumlu olma
b. Denetim sonuçlarının hem kamu kurumu
başkanı ya da başkan yardımcısına ve
yönetişimden sorumlu birimlere rapor
edilmesi
c. Denetim altındaki personelden ya da o
birimin yönetim kademesinden kurumsal
olarak ayrı bir konumda olma
d. Yönetişimden sorumlu birimlere erişim
imkânı olmak ve
e. Siyasi baskılardan yeterince uzak bir ortamda
1130 – Bağımsızlığın ya da Tarafsızlığın
Zedelenmesi: Bağımsızlık ya da tarafsızlığın şeklen
ya da fiziken zedelendiği durumlarda bu duruma
ilişkin detaylar uygun taraflara açıklanmalıdır. Bu
ifşanın nasıl olacağı bağımsızlık zedelenmesinin
seviyesine bağlıdır.
iç
denetim
faaliyetinin
sorumluluklarını
1110.A1 – İç denetim faaliyeti iç denetimin kapsamını
belirlerken, işi yaparken ve sonuçları bildirirken her
türlü müdahaleden uzak olmalıdır.
Uygulama Tavsiyesi 1110-1: Kurumsal Bağımsızlık
2060 – Üst Yönetime ve Kurula Rapor Verme: İç
denetim yöneticisi iç denetim faaliyetinin amacı,
yetkisi, sorumluluğu ve plana kıyasla performansı
hakkında düzenli olarak üst yönetime ve kurula rapor
vermelidir. Önemli risk maruziyetleri ve suistimal
riski, yönetişim konuları ve üst yönetim tarafından
gerek duyulan ya da talep edilen diğer konular da
dâhil olmak üzere kontrol konuları da bu rapor
faaliyetinin kapsamı dâhilindedir.
iç
denetim
faaliyetinin
sorumluluklarını
1111 – Kurul ile doğrudan etkileşim. İç denetim
yöneticisi kurul ile doğrudan iletişim ve etkileşime
sahip olmalıdır.
Uygulama Tavsiyesi 2060-1 Üst Yönetim ve Kurula
Rapor Verme
27
denetim faaliyetini yürütmek ve bulguları,
görüşleri ve sonuçları siyasi misilleme
korkusu olmadan tarafsız bir biçimde rapor
etmek.
3.32 İç denetim kurumlarının denetim firmaları ya da
dış taraf sözleşmeleri gibi dış taraf denetimlerini
yaptığı ve bağımsızlığı zedeleyecek herhangi bir
durumun söz konusu olmadığı durumlarda denetim
kurumları bu dış tarafların bağımsız bir dış denetim
kurumu olarak düşünülür.
Denetlenen Kurumlara Verilen Denetim Faaliyeti
İçermeyen Hizmetlere İlişkin Hüküm
3.33 Denetçiler, geleneksel olarak denetim faaliyetleri
sundukları kurumlara kendi beceri ve uzmanlıklarına
uygun çok çeşitli denetim faaliyeti içermeyen
hizmetler sunmaktadırlar. Bu tür bir denetim faaliyeti
içermeyen
hizmetin
sunulması
denetçinin
bağımsızlığını zedeleyebilir.
Denetim Faaliyeti İçermeyen Hizmetlere İlişkin
Yükümlülükler
3.34 Bir denetçi, denetlenen kuruma denetim faaliyeti
içermeyen bir hizmeti sunmayı kabul etmeden önce bu
tür bir hizmetin bireysel ya da diğer sunulan denetim
faaliyeti içermeyen hizmetlerle birlikte bağımsızlığa
ilişkin bir tehdit oluşturup oluşturmayacağını GAGAS
denetimi uyarınca belirlemelidir. Bu belirlemeye ilişin
kritik bileşenlerden birisi verilen denetim faaliyeti
içermeyen hizmetleri yönetimin etkin bir biçimde
denetleme kabiliyetine ilişkin değerlendirmedir.
Denetçi, denetlenen kurumun uygun bilgi, beceri veya
deneyime sahip şahsı atayıp atamadığını ve bu şahsın
bu hizmetleri denetleyecek ölçüde yeterince hizmetleri
anlayıp anlamadığını belirlemelidir. Şahsın hizmetleri
sunmak ya da yeniden sunmak için uzmanlığa sahip
olmasına gerek yoktur. Denetçi, verilen denetim
faaliyeti içermeyen hizmetleri yönetimin etkin bir
biçimde
denetleme
kabiliyetine
ilişkin
değerlendirmesini belgelendirmelidir.
3.35 Denetçinin denetlenen bir kurum için yönetim
sorumluklarını üstlenmesi halinde oluşan yönetimin
sürece katılım riski o kadar büyük olabilir ki hiçbir
koruyucu unsur bunu kabul edilebilir bir düzeye
indiremez. İnsan, finans, fiziki ve soyut kaynakların
alımı, dağıtımı ve kontrolüne ilişkin karar alma
süreçleri de dâhil olmak üzere bir kurumun idaresi ve
yönlendirilmesi yönetimin sorumluluklarındandır.
3.36 Bir faaliyetin yönetimin sorumluluğunda olup
olmadığı durum ve koşullara ve denetçinin bu
faaliyetleri
saptarken
faydalandığı
mesleki
kanaatlerine bağlıdır.
3.42 Mevcut bir denetimin konusu olan bir kuruluşa
daha önceden denetim faaliyeti içermeyen hizmetler
sunan bir denetçi, bu işi kabul etmeden önce denetim
faaliyeti içermeyen bu hizmetlerin bağımsızlığına
etkisini
değerlendirmelidir.
Denetim
faaliyeti
içermeyen hizmetler denetim dönemini kapsıyorsa
denetçiler (1) denetim faaliyeti içermeyen bu hizmetin
GAGAS
metni
uyarınca
açıkça
yasaklanıp
yasaklanmadığını belirlemeli, yasaklanmamışsa (2)
bağımsızlığa ilişkin bir tehdidin olup olmadığını ve
1130.A1 İç denetçiler, daha önceden sorumlu
oldukları spesifik operasyonların değerlendirmesi
işlemlerinden uzak durmalıdırlar. İç denetçinin önceki
yıl sorumlu olduğu bir faaliyete ilişkin güvence
hizmetleri sunması halinde tarafsızlığın zedelendiği
varsayılır.
1130.A2 İç denetim yöneticisinin sorumlu olduğu
işlevlere ilişkin güvence görevleri, iç denetçi
faaliyetinin dışındaki bir tarafça denetlenmelidir.
1130.C1 – İç denetçiler önceden sorumlu oldukları
işlemlerle ilgili danışma hizmetleri sunabilirler.
1130.C2 – Önerilen danışma hizmetlerine ilişkin iç
denetçilerin bağımsızlığı ya da tarafsızlığını
zedeleyecek olası durumların varlığı halinde bu durum
görevi kabul etmeden önce görev alacak tarafa
açıklanmalıdır.
Uygulama Tavsiyesi 1130.A1-1 İç Denetçilerin
Önceden
Sorumlu
Oldukları
İşlemlerin
Değerlendirilmesi
28
bildirilen tehditlerin kavramsal çerçeve uyarınca ele
alınıp alınmadığını belirlemelidir.
3.43 Denetçiler tarafından verilen denetim faaliyeti
içermeyen hizmetler, denetim faaliyeti içermeyen
hizmete müteakip dönemde fikri ve şekli bağımsızlık
üzerinde etkili olabilir... Denetçiler, koruyucu
unsurların bu tehditleri yeterince azaltıp azaltmadığını
belirlemek
için
mesleki
kanaatlerinden
faydalanmalıdırlar.
Belgelendirme: 3.59 Bağımsızlık değerlendirmelerine
ilişkin belgelendirme, bağımsızlık yükümlülüklerine
uyuma
ilişkin
sonuçların
oluşturulmasında
denetçilerin kanaatlerine dair kanıtlar sunar. GAGAS
metni, denetçilerin daha önceden korudukları
belgelendirmelere ek olarak bağımsızlığa ilişkin
spesifik yükümlülüklere dair belgelendirmeler sunar.
Denetçinin bağımsızlık standardına uyumuna ilişkin
yetersiz belgelendirmeler bağımsızlığı zedelemez
ancak GAGAS kalite kontrol ve güvence
yükümlülükleri uyarınca uygun belgelendirmenin
yapılması gerekmektedir…
3.46 (1) Denetim faaliyeti içermeyen hizmetler açıkça
yasaklanmamışsa (2) denetçi 3.34 ilâ 3.44 No.lu
paragraflarda denetim faaliyeti içermeyen hizmetlerin
yürütülmesine ilişkin yükümlülüklerin karşılandığını
belirlemişse (3) bağımsızlığa ilişkin anlamlı tehditler,
koruyucu unsurların uygulanması yoluyla ortadan
kaldırılmış ya da kabul edilebilir bir düzeye
indirilmişse
denetçiler,
bağımsızlık
unsuru
zedelenmeden 3.49 ilâ 3.58 No.lu paragraflarda
gösterilen geniş kapsamlı alanlarda denetim faaliyeti
içermeyen hizmetler sunabilirler. Bu bölümde spesifik
olarak yasaklanmayan münferit hizmetlere ilişkin
gerçekler ve koşullar ışığında bağımsızlık unsuru
değerlendirilirken denetçiler kavramsal çerçeveyi
kullanmalıdır.
Bu geniş kapsamlı alanlara ilişkin tartışmalar için şu
bölümlere bakınız: 3.49 Yönetim Sorumluluğu
3.50-3.52 Muhasebe Kayıtları ve Finansal Beyanların
Hazırlanması 3.53-3.55 Dış Denetçiler Tarafından
Sunulan İç Denetim Destek Hizmetleri 3.57 Değer
Biçme Hizmetleri 3.58 Denetim Faaliyeti İçermeyen
Diğer Hizmetler
Uygulama Tavsiyesi 1130.A2-1: Diğer (Denetim
Faaliyeti İçermeyen) İşlevlere İlişkin İç Denetimin
Sorumluluğu
4. İç denetim faaliyetinin operasyonel sorumlulukları
kabul ettiği ve bu işlemin denetim planının bir parçası
olduğu durumlarda İDY şunlara ihtiyaç duyar:
 İDY’ye rapor edilecek alanların denetiminin
tamamlanması için sözleşmeli üçüncü şahıs
kuruluşları ya da dış denetçiler kullanılarak
tarafsızlığı zedeleyen unsurların azaltılması
 İDY’ye rapor edilecek alanlarda operasyonel
sorumluluğa sahip şahısların operasyonun iç
denetimine katılmadığının teyit edilmesi
 İDY’ye rapor edilecek alanlarda güvence
görevlerini
üstlenen
iç
denetçilerin
denetlenmesinin
ve
değerlendirme
raporlarına ait sonuçların üst yönetim ve
kurula sunulmasının sağlanması
 İşleve ilişkin iç denetçinin operasyonel
sorumluluklarının, bu işlemin kurum
açısından öneminin (gelir, masraf ya da diğer
ilgili bilgiler) ve bu işlevi denetleyenler
arasındaki ilişkinin açıklanması
5. İDY’ye rapor edilen denetim alanları ve iç
denetçinin kurula yaptığı standart bildirimlerde yer
alan alanlarla ilgili iç denetçinin operasyonel
sorumluluklarının açıklanması gerekir. İç denetim
faaliyetinin sonuçları yönetimle ve/veya diğer uygun
paydaşlarla da tartışılmalıdır. Bu açıklamanın
yapılmaması, İDY’nin sorumlu olduğu işlevlerin
güvence görevlerinin iç denetim faaliyetinin dışındaki
bir tarafça denetlenmesini öngören yükümlülüğü
ortadan kaldırmaz.
Belgelendirme: 3.59 Bağımsızlık değerlendirmelerine
ilişkin belgelendirme, bağımsızlık yükümlülüklerine
uyuma
ilişkin
sonuçların
oluşturulmasında
denetçilerin kanaatlerine dair kanıtlar sunar. GAGAS
metni, denetçilerin daha önceden korudukları
belgelendirmelere ek olarak bağımsızlığa ilişkin
29
spesifik yükümlülüklere dair belgelendirmeler sunar.
Denetçinin bağımsızlık standardına uyumuna ilişkin
yetersiz belgelendirmeler bağımsızlığı zedelemez
ancak GAGAS kalite kontrol ve güvence
yükümlülükleri uyarınca uygun belgelendirmenin
yapılması gerekmektedir…
Mesleki Kanaat: 3.60 Denetim faaliyetlerinin
planlanması ve yürütülmesi ve sonuçların rapor
edilmesi aşamalarında denetçiler mesleki kanaatlerden
faydalanmalıdır.
3.64 Bağımsızlık standartlarını ve ilgili kavramsal
çerçeveyi takip etmek; tarafsızlık ve güvenirliliğin
korunması; denetime yetkin personelin atanması; işin
kapsamının
belirlenmesi;
değerlendirme,
belgelendirme ve işe ilişkin sonuçların rapor edilmesi
ve denetim sürecine ilişkin uygun kalite kontrol
sürecinin sağlanması da dâhil olmak üzere mesleki
sorumluluklarına ilişkin tüm özellikleri yürüten
denetçilerin mesleki kanaatlerini kullanmaları
önemlidir.
Yetkinlik: 3.69 Denetimi yapmak için görevlendirilen
personelin denetim amaçlarını gerçekleştirmek ve işi
GAGAS’a uygun yürütmek için gerekli yeterli
mesleki yetkinliğe sahip olması gerekir.
1220 – Gerekli Mesleki Özen: İç denetçiler, dikkatli
ve yetkin bir iç denetçiden beklenen makul özen ve
becerileri sergilemelidir. Gerekli mesleki özen
hatasızlık anlamına gelmez.
1220.A1 İç denetçiler şu durumları dikkate alarak
gerekli mesleki özeni göstermelidirler.
 Görev amaçlarını başarmak için gerekli işin
boyutu
 Güvence
prosedürlerinin
uygulandığı
durumların bağıl karmaşıklığı, maddeselliği
ve önemi
 Yönetişim, risk yönetimi ve kontrol
süreçlerinin yeterliliği ve etkinliği
 Anlamlı hata, suistimal ya da uygun olmama
durumlarına ilişkin olasılık
 Olası faydalara kıyasla güvence hizmetinin
maliyeti
1220.A2 - Gerekli mesleki özeni gösterirken
denetçiler denetim ve diğer veri analiz teknikleri
esasında teknoloji kullanımını değerlendirmelidir.
1220.A3 – İç denetçiler, amaçları, işlemleri ya da
kaynakları etkileyebilecek anlamlı risklere karşı
uyanık olmalıdır. Ancak gerekli mesleki özen
gösterildiğinde bile tek başına güvence prosedürleri
anlamlı tüm risklerin saptanacağını garanti etmez.
2200 – Görev Planlaması: İç denetçiler görevin
amaçları, kapsamı, süresi ve kaynak tahsisleri de dâhil
olmak üzere her bir görev için bir plan geliştirmeli ve
bunu belgelendirmelidir.
2210 – Görev Amaçları: Her bir görev için amaçlar
belirlenmelidir.
2220 – Görev Kapsamı: Belirlenen amaç, görev
amaçlarını karşılayacak düzeyde olmalıdır.
2240 – Görev İş Programı: İç denetçiler, görev
amaçlarını
gerçekleştirecek
iş
programlarını
geliştirmeli ve bunları belgelendirmelidir.
1200 – Yeterlilik ve Gerekli Mesleki Özen: Görevler
yeterlilik prensibi ve gerekli mesleki özen gösterilerek
ifa edilmelidir.
1210 – Yeterlilik: İç denetçiler, münferit
sorumluluklarını yerine getirmek için gerekli bilgi,
beceri ve diğer yetkinliklere sahip olmalıdır. İç
denetim faaliyeti sorumlulukları yerine getirmek için
gerekli bilgi, beceri ve diğer yetkinliklere bir bütün
halinde sahip olmalı ya da bunları elde etmelidir.
1210.A1 – İç denetçiler görevi tümüyle ya da kısmen
yerine getirmek için gerekli bilgi, beceri ve diğer
yeterliliklere sahip değillerse iç denetim yöneticisi,
yetkin tavsiye ve yardımları elde etmelidir.
Yetkinlik (Etik Kurallar – Prensipler): İç
denetçiler, iç denetim hizmetlerinin gerçekleştirilmesi
için gerekli bilgi, beceri ve deneyimi uygulamalıdır.
4. Yetkinlik (Etik Kurallar – Davranış Kuralları)
İç denetçiler;
30
3.70 Denetim Kurumu yönetimi, mevcut denetim işini
gerçekleştirmek için kendi çalışma kolunun gerekli
temel becerilere sahip olup olmadığını değerlendirmek
için becerileri değerlendirmelidir. Buna göre denetim
kurumları etkili bir çalışma kolunu sürdürmek için işe
alma, istihdam etme, sürekli gelişim, atama ve
personel değerlendirme aşamaları için bir sürece sahip
olmalıdır. Sürecin yapısı, kapsamını ve resmiyet
düzeyi denetim kurumunun boyutu, yapısı ve
kurumun yaptığı iş gibi çeşitli unsurlara bağlıdır.
Teknik Bilgi:
3.72 GAGAS metnine uygun bir denetim
gerçekleştirmekle görevlendirilen personel, bu
denetim işinde çalışmaya başlamadan önce
gerçekleştirilecek işin türüne uygun teknik bilgi,
beceri ve deneyime bir bütün halinde sahip olmalıdır.
GAGAS denetimiyle görevlendirilen personel bir
bütün halinde şunlara sahip olmalıdır:
a. Yapmakla görevli oldukları işin türüne uygun
GAGAS bilgisi ve işin gerçekleşmesi için
uygulanması gereken eğitim, beceri ve
deneyim
b. Denetlenen kurumun faaliyet gösterdiği
ortam ve mevcut çalışma konusuna ilişkin
genel bilgi
c. Açık ve etkili bir biçimde hem yazılı hem de
sözlü iletişim kurmak için gerekli beceriler
d. Gerçekleştirilen işe uygun beceriler. Örneğin;
1) İş örnekleme yapılmasını gerektiriyorsa
istatistiki ve istatistiki olmayan örnekleme
becerileri,
2) İş bilgi sistemlerinin gözden geçirilmesini
gerektiriyorsa bilgi teknolojileri bilgisi,
3) İş karmaşık mühendislik verilerinin gözden
geçirilmesini içeriyorsa mühendislik bilgisi,
4) Karmaşık araştırma araçları, aktüerya temelli
hesaplamalar ya da istatistiksel analiz
testlerinin kullanımı gibi uzmanlaşmış
denetim metodolojileri ya da analitik
teknikler hangisi geçerliyse bunlara ilişkin
bilgi,
5) İşin gerektirdiği hallerde bilimsel, tıbbi,
çevresel ya da eğitimle ilgili alanlarda ya da
başka uzmanlık alanlarında uzmanlık bilgisi.
Sürekli Mesleki Eğitim:
3.76
Planlama,
yönlendirme
ve
denetim
prosedürlerinin uygulanması da dâhil olmak üzere
GAGAS uyarınca çalışan ya da GAGAS uyarınca
yapılmış bir denetime ilişkin rapor sunan denetçiler
sürekli mesleki eğitim (CPE) yoluyla mesleki
yetkinliklerini korumalıdır. Bu nedenle, GAGAS
uyarınca denetim işini yürüten her bir denetçi,
doğrudan kamu denetimi, kamu ortamı ya da
4.1
sadece bilgi, beceri ve deneyim sahibi
oldukları hizmetlerde görev almalıdırlar.
4.2
iç denetim hizmetlerini İç Denetim Mesleki
Uygulamaları için Uluslararası Standartlara uygun
yürütmelidirler.
4.3
yetkinliklerini ve hizmetlerin etkinliği ve
kalitesini sürekli geliştirmelidir.
2030 – Kaynak Yönetimi: İç denetim yöneticisi, iç
denetim kaynaklarının uygun ve yeterli olmasını ve
onaylanan planı gerçekleştirmek için verimli tahsis
edilmesini sağlamalıdır.
1210 – Yeterlilik: İç denetçiler, münferit
sorumluluklarını yerine getirmek için gerekli bilgi,
beceri ve diğer yetkinliklere sahip olmalıdır. İç
denetim faaliyeti sorumlulukları yerine getirmek için
gerekli bilgi, beceri ve diğer yetkinliklere bir bütün
halinde sahip olmalı ya da bunları elde etmelidir.
1210. A3 – İç denetçiler, kendilerine verilen işleri
yerine getirmek için temel bilgi teknolojisi risklerine
ve kontrollerine ve mevcut teknoloji temelli denetim
tekniklerine ilişkin yeterli bilgiye sahip olmalıdırlar.
Ancak bütün iç denetçilerin, temel sorumluluk alanı
bilgi teknolojilerinin denetimi olan bir iç denetçinin
uzmanlığına sahip olması beklenemez.
2230 – Görev Kaynak Tahsisi: İç denetçiler, her bir
görevin
yapısı
ve
karmaşıklığına,
zaman
kısıtlamalarına ve mevcut kaynaklara ilişkin
değerlendirmeler
temelinde
görev
amaçlarını
gerçekleştirmek için gerekli uygun ve yeterli
kaynakları belirlemelidir.
4. Yetkinlik ( Etik Kurallar – Davranış Kuralları)
İç denetçiler
4.1 Sadece gerekli bilgi, beceri, uzmanlık ve deneyime
sahip oldukları alanlarda hizmet vermelidir.
1230 – Sürekli Mesleki Gelişim: İç denetçiler bilgi,
beceri ve diğer yetkinliklerini sürekli mesleki gelişim
programları vasıtasıyla artırmalıdır.
Uygulama Tavsiyesi 1230-1 Sürekli Mesleki
Gelişim:
1. İç denetçiler, yetkinliklerini artırmak ve korumak
için eğitimlerine devam etmekle sorumludur. İç
denetçilerin IIA Uluslararası Mesleki Uygulama
Çerçevesi (UMUÇ) kılavuzu dâhil olmak üzere iç
31
denetlenen kurumunun faaliyet gösterdiği spesifik ve
benzersiz faaliyet ortamına ilişkin her iki yılda bir en
az 24 saatten oluşan bir CPE almalıdır. GAGAS
denetimlerinin planlama, yönlendirme veya raporlama
aşamalarında herhangi bir şekilde yer alan denetçiler
ve bu denetimlerde yer almamakla birlikte
zamanlarının yıllık en az yüzde yirmisini ya da daha
fazlasını GAGAS denetimleriyle geçiren denetçiler,
bu denetimlere ilişkin mesleki yetkinliklerini artıracak
ilave 56 saatlik bir CPE’ye (her iki yıllık dönemde
toplam 80 saatlik bir CPE) katılmalıdır. Toplam 80
saatlik bir CPE alması gereken denetçiler, 2 yıllık
dönemin her bir yılında en az 20 saatlik bir CPE
eğitimi almalıdır. Bir denetim kurumunun 2 yıllık
CPE döneminin başlamasından sonra işe başlayan ya
da GAGAS denetimleri için önceden görevlendirilen
denetçiler, eşit dağıtılmış saatlerden oluşan bir
CPE’ye tamamlamalıdır.
3.78 CPE yükümlülüklerinin karşılanması bireysel
denetçilerin temel sorumluluğudur. Denetim kurumu,
CPE’nin
tamamlandığına
dair
belgelendirme
faaliyetleri dâhil olmak üzere denetçilerin sürekli
eğitim yükümlülüklerini karşılamasına yardımcı
olacak kalite kontrol prosedürlerine sahip olmalıdır.
Uzmanlar için CPE Yükümlükleri
3.79
Denetim
ekibi
GAGAS
denetiminin
gerçekleştirilmesine yardımcı olan dış uzmanların
uzmanlık alanlarında kalifiye ve yetkin olup
olmadıklarını belirlemelidir. Ancak dış uzmanların
GAGAS
CPE
Yükümlülüklerini
karşılaması
gerekmez.
3.80 İç denetim ekibi, GAGAS denetiminin
yönlendirme ve gerçekleştirilme prosedürlerinde ya da
rapor verme sürecinde yer alan ve danışmanlık
hizmeti veren iç denetim uzmanlarının uzmanlık
alanlarında kalifiye ve yetkin olup olmadıklarını
belirlemelidir. Ancak bu iç denetim uzmanlarının
GAGAS CPE yükümlülüklerini karşılaması gerekmez.
3.81 Denetim ekibi,
GAGAS denetiminin
yönlendirme ve gerçekleştirilme prosedürleri ya da
rapor verme süreci de dâhil olmak üzere denetim
ekibinin bir parçası olarak GAGAS uyarınca işlerini
yürüten iç denetim uzmanlarının CPE yükümlülükleri
ile
birlikte
GAGAS’a
uyup
uymadıklarını
belirlemelidirler.
Kalite Kontrol ve Güvence:
3.82 GAGAS uyarınca denetimlerini gerçekleştiren
her bir denetim kurumu:
a. Kurumun ve personelin mesleki standartlar
ve cari yasal ve düzenleyici yükümlülüklere
uygun hareket ettiğine dair denetim
kurumuna makul güvenceler sağlayacak
şekilde tasarlanmış bir kalite kontrol sistemi
kurmalı ve bunu sürdürmeli ve
b. En azından her üç yılda bir denetim
kurumundan bağımsız gözden geçirenler
tarafından
yapılan
bir
dış
akran
değerlendirmesine tâbi tutulmalıdır.
denetim standartları, prosedürleri ve tekniklerinde
yapılan iyileştirmeler ve mevcut gelişmelerden
haberdar olması gerekir. Sürekli mesleki eğitim
(CPE); IIA gibi mesleki kurumlara üyelik, katılım ve
buralarda gönüllü olma yoluyla, konferans, seminer ve
kurum içi eğitim programlarına katılımla, üniversite
kurslarının ya da bireysel çalışma yoluyla takip edilen
kursların tamamlanması ve araştırma projelerinde yer
alınması yoluyla sağlanabilir.
3. İç denetçiler, kurumlarının benzersiz yapısına
ilişkin yönetişim, risk ve kontrol prosedürlerine dair
yetkinliklerini korumak için CPE’ye (kurum
faaliyetleri ve endüstrisiyle bağlantılı) katılmaya
teşvik edilmelidir.
1310 Kalite Güvence ve İyileştirme Programına
İlişkin Yükümlükler: Kalite güvence ve iyileştirme
programı hem iç hem de dış değerlendirmeleri
içermelidir.
Uygulama Tavsiyesi 1321-1 “İç Denetim Mesleki
Uygulamaları için Uluslararası Standartlara
Uygundur” İbaresinin Kullanımı
2. “Standartlara uygundur” ya da “Standartlara
uygunluk” kullanılacak ifadedir. Bu ifadelerden
birinin kullanılabilmesi için devam eden izleme
faaliyetleri ve periyodik iç değerlendirmelerle birlikte
her beş yıllık dönemde en az bir kez dış
değerlendirmenin yapılması ve bu faaliyetlerin
sonucunda iç denetim faaliyetinin İç Denetim Tanımı,
Etik Kurallar ve Standartlara uygun olması gerekir. İç
32
Kalite Kontrol Sistemi:
3.84 Her bir denetim kurumu kalite kontrol politikaları
ve prosedürlerini belgelendirmeli ve bu politika ve
prosedürleri personeline bildirmelidir. Denetim
kurumu kalite kontrol politikaları ve prosedürlerine
uyduğunu belgelendirmeli ve denetim kurumunun
kalite kontrol politikaları ve prosedürlerine ne ölçüde
uyduğunu değerlendirmek için izleme prosedürleri ve
akran gözden geçirmeleri gerçekleştirenlere yeterli
süreyi tanıyacak şekilde bu belgeleri saklamalıdır. Bu
tür belgelerin türü ve içeriği mesleki kanaatler sonucu
belirlenir ve denetim kurumunun koşullarına bağlı
olarak değişiklik gösterir.
3.85 Bir denetim kurumu, kalite kontrol sisteminde
aşağıdaki konuları bir bütün halinde ele alacak
politika ve prosedürlere yer vermelidir.
a. Kurum içinde kaliteye ilişkin liderlik
sorumlulukları
b. Bağımsızlık, yasal ve etik konulara ilişkin
yükümlülükler
c. Denetimlerin başlatılması, kabulü ve devamı
d. İnsan kaynakları
e. Denetimin
gerçekleştirilmesi,
belgelendirilmesi ve rapor edilmesi
f. Kalitenin izlenmesi
Dış Akran Gözden Geçirmesi
3.96 Denetim kurumu, denetim kurumunun cari
mesleki standartlara uygun hareket ettiğine dair makul
güvence sağlamak için denetlenen kurumun kalite
kontrol sisteminin – gözden geçirilen dönem için uygun tasarlanıp tasarlanmadığını ve denetim
kurumunun kendi kalite kontrol sistemine uygun
hareket edip etmediğini belirlemek için makul
güvenceler sunacak ve en az her üç yılda bir kez
yapılacak bir dış akran gözden geçirmesine sahip
olmalıdır.
3.98 Akran gözden geçirmesini yapan ekip, gözden
geçirmenin kapsamına şu unsurları katmalıdırlar:
a. Denetim
kurumunun
kalite
kontrol
politikalarının ve prosedürlerinin gözden
geçirilmesi,
b. Denetim
kurumunun
iç
izleme
prosedürlerinin yeterliliğinin ve sonuçlarının
değerlendirilmesi,
c. Seçilen denetçi raporlarının ve ilgili
dokümanların gözden geçirilmesi,
d. Bağımsızlık dokümanı, CPE kayıtları ve ilgili
insan kaynakları yönetim dosyaları gibi
standartlara uygunluğu değerlendirmek için
gerekli
diğer
dokümanların
gözden
geçirilmesi,
e. İlgili
kalite
kontrol politikaları
ve
prosedürlerini kavrayışları ve bunlara uyup
uymadıklarını değerlendirmek için gözden
geçirilen
denetim
kurumunun
çeşitli
seviyelerdeki
personeliyle
yapılan
denetim faaliyetinin İç Denetim Tanımı, Etik Kurallar
ve Standartlara uygun olduğu dış gözden geçirme ile
kanıtlanıncaya dek uygunluk ifadesinin kullanılması
uygun değildir.
1300 – Kalite Güvence ve İyileştirme Programı: İç
denetim yöneticisi, iç denetim faaliyetinin tüm
özelliklerini kapsayacak bir kalite güvence ve
iyileştirme
programı
geliştirmeli
ve
bunu
sürdürmelidir.
1311 – İç Değerlendirmeler: İç değerlendirmelerde
şu hususlar göz önünde bulundurulmalıdır:
 İç denetim faaliyetinin performansının
sürekli izlenmesi ve
 Kendi kendine gözden geçirme ya da iç
denetim uygulamalarına ilişkin yeterli bilgiye
sahip kurum içindeki başka şahıslar
tarafından yapılan gözden geçirmeler
vasıtasıyla gerçekleştirilen düzenli gözden
geçirmeler
1312 – Dış Değerlendirmeler: Dış değerlendirmeler,
her beş yılda bir en az bir kere kurum dışından
kalifiye, bağımsız bir gözden geçiren ya da gözden
geçirenler ekibi tarafından yapılmalıdır. İç denetim
yöneticisi kurul ile şu hususları tartışmalıdır:
 Daha sık dış değerlendirme yapılması
ihtiyacı ve
 Olası çıkar çatışmaları da dâhil olmak üzere
dış gözden geçiren ya da gözden geçirme
ekibinin bağımsızlığı ve nitelikleri
1320 – Kalite Güvence ve İyileştirme Programına
İlişkin Rapor: İç denetim yöneticisi, kalite güvence
ve iyileştirme programına ilişkin sonuçları üst
yönetime ve kurula bildirmelidir.
2040 – Politika ve Prosedürler: İç denetim
yöneticisi, iç denetim faaliyetine rehberlik edecek
politika ve prosedürleri oluşturmalıdır.
33
mülakatlar.
3.100 Akran gözden geçirmesini yapan ekip akran
gözden geçirmesine ilişkin sonuçları bildiren ve
aşağıdaki konuları içeren bir veya daha fazla yazılı
rapor hazırlamalıdır:
a. Kısıtlamalar da dâhil olmak üzere akran
gözden geçirmesinin kapsamına ilişkin
tanımlamalar,
b. Gözden
geçirilen
dönemde
denetim
kurumunun cari mesleki standartlara uyup
uymadığına dair makul güvenceler sunmak
için denetlenen denetim kurumunun denetim
uygulamalarına
ilişkin
kalite
kontrol
sisteminin yeterli düzeyde tasarlanıp
tasarlanmadığı ve buna uyulup uyulmadığına
dair bir görüş,
c. Denetlenen denetim kurumunun sahip olduğu
mesleki standartlara ilişkin bir spesifikasyon,
d. Akran gözden geçirmesi programı altında
yayımlanmışsa ayrı bir yazılı bildirime atıf.
3.101 Akran gözden geçirmesi ekibi, akran gözden
geçirme raporunun türüne karar verirken mesleki
kanaatlerini kullanır. Akran gözden geçirmesine
ilişkin rapor türleri şunlardır:
a. Geçme Dereceli Akran Gözden Geçirmesi…
b. Eksiklikleri İçeren Geçme Dereceli Akran
Gözden Geçirmesi...
c. Kalma Dereceli Akran Gözden Geçirmesi…
3.104 Akran gözden geçirme ekibi şu kriterleri
yerine getirmelidir:
a. Gözden geçirme ekibi bir bütün halinde
GAGAS ve kamu denetimlerine ilişkin bilgi
sahibi olmalıdır.
b. Akran gözden geçirmesini yürüten kurum ve
münferit gözden geçirme ekibi denetlenen
denetim kurumundan, onun personelinden ve
akran gözden geçirmesi için seçilen
denetimlerden (GAGAS’da tanımlandığı
şekilde) bağımsız olmalıdır.
c. Gözden geçirme ekibi, gözden geçirmenin
nasıl yapılacağına dair yeterli bilgiye sahip
olmalıdır. Bu tür bilgiler, görev başı
eğitimleri, eğitim kursları ya da her ikisinin
birleşimden oluşan eğitimlerle elde edilebilir.
Akran gözden geçirmesi ya da iç
incelemelere ilişkin önceden tecrübe sahibi
personelin akran gözden geçirmesi yapan
ekipte yer alması arzulanan bir durumdur.
3.105 Bir dış denetim kurumu, en son yaptığı akran
gözden geçirmesini kamuoyuyla paylaşmalıdır.
2120 – Risk Yönetimi: İç denetim faaliyeti,
etkinliğini değerlendirmeli ve risk yönetim sürecinin
iyileştirmesine katkı sağlamalıdır.
2120.A1 – İç denetim faaliyeti kurumun yönetişimi,
işlemleri ve bilgi sistemlerine ilişkin risk
maruziyetlerini şu bakımlardan değerlendirmelidir:
 Finansal ve operasyonel bilgilerin güvenirliği
ve bütünlüğünün değerlendirilmesi
 İşlemlerin
etkinliği
ve
verimliliğinin
değerlendirilmesi
34


Varlıkların korunması ve
Kanun, yönetmelik, politika, prosedürler ve
sözleşmelere uygunluk
2110 – Yönetişim: İç denetim faaliyeti aşağıdaki
amaçların gerçekleştirilmesi için yönetişim sürecini
geliştirici değerlendirmeler yapmalı ve uygun
tavsiyelerde bulunmalıdır:
 Kurum içinde uygun etik kuralların ve
değerlerin teşvik edilmesi
 Etkili kurumsal performans yönetimi ve
hesap verebilirliğinin sağlanması
 Risk ve kontrol bilgilerinin kurumun uygun
birimlerine iletilmesi ve
 Kurul, dış ve iç denetçiler ve yönetim
arasında faaliyetlerin koordine edilmesi ve
bilgilerin iletilmesi
2110.A1 – İç denetim faaliyeti, kurumun etik
değerleriyle bağlantılı amaçlarının, programlarının ve
faaliyetlerinin
tasarımını,
uygulanmasını
ve
verimliliğini değerlendirmelidir.
2110.A2 - İç denetim faaliyeti, kurumun bilgi
teknolojisi yönetişiminin kurumsal stratejileri ve
amaçları sürdürüp sürdürmediğini ve bunları
destekleyip desteklemediğini değerlendirmelidir.
Uygulama Tavsiyesi 2110-1: Yönetişim: Tanım
Uygulama Tavsiyesi 2110-2: Yönetişim: Risk ve
Kontrollerle Bağlantılı İlişkiler
Uygulama
Tavsiyesi
Değerlendirmeler
2110-3:Yönetişim:
A1.08 Kamu işlevlerinin yürütülmesinde temel
sorumluluk yönetime aittir. Denetlenen kurumun
yönetimi şunlardan sorumludur:
d. uygun amaç ve hedeflere ulaşılmasını
kolaylaştıracak etkili iç kontrolün kurulması ve
sürdürülmesi, kanun ve yönetmeliklere uyulması;
yönetim ve mali bilgilerin kontrolünün güvenilir
olması ve usulüne uygun rapor edilmesi
e. kamu programlarını ve bu programlara ilişkin
amaçları gerçekleştirmek için kullanılan kaynak ve
yetkilere ilişkin hesap verilebilirliği kanıtlamak için
eylemlerini denetleyenlere ve kamuoyuna uygun
raporları sunmak .
Bölüm 6: Performans Denetimleri için Alan İş
Standartları – Planlama:
6.06 Denetçiler, denetim amaçlarını gerçekleştirmek
için gerekli işleri yeterince planlamalı ve bu planları
belgelendirmelidir.
6.07 Denetçiler, kanıtların denetçilerin bulgu ve
sonuçlarını destekleyecek düzeyde yeterli ve uygun
2010 – Planlama: İç denetim yöneticisi kurumsal
amaçlara uygun olarak iç denetim faaliyetinin
önceliklerini belirlemek için risk temelli planlar
yapmalıdır.
2010.A1 – İç denetim faaliyetinin görev planları
belgelendirilmiş bir risk değerlendirmesi esas alınarak
ve en az bir yıllık yapılmalıdır. Üst yönetim ve
kuruldan
alınan
girdiler
bu
süreçte
değerlendirilmelidir.
2200 – Görev Planlaması: İç denetçiler görevin
amaçları, kapsamı, süresi ve kaynak tahsisleri de dâhil
olmak üzere her bir görev için bir plan geliştirmeli ve
bunu belgelendirmelidir.
2210.A1 – İç denetçiler, gözden geçirilen faaliyetle
35
olduğuna dair makul güvenceler elde etmek için
denetim riskini denetçiler için uygun bir seviyeye
indirecek bir denetim planlamalıdır. Bu planlama
sırasında mesleki kanaatlerden faydalanılmalıdır.
Denetim planlanırken denetçiler, işin önemini ve
denetim riskini değerlendirmeli ve bu amaçları ele
alacak denetim amaçlarını, kapsamı ve metodolojiyi
tanımlarken bu değerlendirmeleri uygulamalıdırlar…
6.08 Amaçlar, denetimin gerçekleştirmek istediği
şeylerdir. Denetimin konusunu ve performans
özelliklerini belirlerler ve denetçilerin geliştirmeyi
bekledikleri olası bulgu ve rapor unsurlarını da
içerebilirler. Denetim amaçları, kriterlere kıyasla elde
edilen ve değerlendirilen kanıtlar esasında denetçilerin
cevap bulmaya çalıştığı programa ilişkin soruların
değerlendirilmesi
olabilir.
GAGAS
metninde
kullanılan “program” terimi, kamu kuruluşlarını,
kurumlarını, programlarını, faaliyetlerini ve işlevlerini
kapsar.
6.09 Kapsam denetimin sınırıdır ve doğrudan doğruya
denetim amaçlarına bağlıdır. Kapsam; denetçilerin
değerlendireceği ve rapor edeceği konuyu – özel bir
program ya da bir programın özellikleri – gerekli
doküman ya da kayıtlar, gözden geçirme süresi ve
denetime dâhil edilecek bölgeleri tanımlar.
bağlantılı risklere ilişkin bir ön değerlendirme
yapmalıdır. Görev amaçları, bu değerlendirmenin
sonuçlarını yansıtmalıdır.
Uygulama
Tavsiyesi
2210.A1-1:
Görev
Planlamasında Risk Değerlendirmesi
4. İç denetçiler, yönetimin risk değerlendirme gözden
geçirmeleri, arka plan bilgileri ve yapılan herhangi bir
araştırma çalışmasından elde edilen sonuçları
özetlemelidir. Bu özet şu hususları içermelidir:
 Göreve ilişkin önemli konular ve bunların
neden
seçildiğinin
derinlemesine
incelenmesi,
 Görev amaçları ve prosedürleri,
 Teknoloji temelli denetimler ve örnekleme
teknikleri gibi kullanılacak yöntemler,
 Olası kritik kontrol noktaları, kontrol
noksanları ve/veya uç kontroller
 Geçerli olduğu durumlarda göreve neden
devam edilmediğinin veya görev amaçlarının
anlamlı ölçüde neden değiştirildiğine dair
sebepler
2210 – Görev Amaçları: Her bir görev için amaçlar
belirlenmelidir.
2210.A2 – İç denetçiler, görev amaçlarını
oluştururken anlamlı hata, suistimal, uygun olmama
ve diğer maruziyetlerin gerçekleşme olasılığını
2220 – Görev Kapsamı: Belirlenen kapsam, görev
amaçlarını karşılayacak düzeyde olmalıdır.
2220.A1 – Görev kapsamı; ilgili sistemlere, kayıtlara,
personele ve üçüncü şahısların kontrolü altındakiler de
dâhil olmak üzere fiziki özelliklere ilişkin
değerlendirmeleri içermelidir.
2220.A2 – Güvence görevi sırasında önemli bir
danışma hizmeti fırsatı ortaya çıkarsa amaçlara,
kapsama, ilgili sorumluluklara ve diğer beklentilere
dair yazılı bir mutabakat sağlanmalı ve danışma
görevinin sonuçları danışma hizmeti standartlarına
uygun olarak bildirilmelidir.
Uygulama Tavsiyesi: 2200-2: Bir İç Denetim
Görevinde
Değerlendirilecek
Kontrollerin
Saptanması İçin Yukarıdan Aşağıya Risk Temelli
bir Yaklaşımın Kullanılması
5. İç denetim amaçlarının risklerin etkili bir biçimde
yönetildiğini gösteren makul güvenceler sağlayacak
tüm kontrolleri içermesi gerekir (aşağıda 9 No.lu
paragrafta yapılan yorumlar uyarınca). Bu kontroller
kritik ticari amaçlarla bağlantılı risklerin yönetilmesi
için gerekli olan ve ana kontroller olarak adlandırılan
kontrollerdir.
Sadece
ana
kontrollerin
değerlendirilmesi gerekir. Bu tür bir güvencenin ticari
bir değer yaratması halinde iç denetçi ana olmayan
kontrollerin (yani gereksiz, tekrar eden kontroller)
değerlendirilmesini de tercih edebilir. İç denetçiler ana
olmayan kontrollerin gerekli olup olmadığını
36
6.10 Metodoloji, denetim amaçlarını ele almak için
kanıtların toplanması ve analiz edilmesi için
gerçekleştirilecek denetim prosedürlerinin yapısını ve
kapsamını tanımlar. Denetim prosedürleri, denetim
amaçlarını gerçekleştirmek için spesifik aşama ve
testlerdir. Denetçiler, kanıtların denetim amaçlarıyla
bağlantılı denetçi bulgu ve sonuçlarını destekleyecek
düzeyde yeterli ve uygun olduğuna dair makul
güvenceler elde edecek ve denetim riskini kabul
edilebilir bir düzeye indirecek metodolojiyi
tasarlamalıdır.
6.11 Denetçiler, aşağıdaki hususları kavrayarak
denetim amaçları bağlamında denetim riskini ve
önemini değerlendirmelidir:
a. Programların yapısı ve profili ve denetim
raporlarının olası kullanıcılarının ihtiyaçları,
b. Denetimin spesifik amaçları ve kapsamıyla
bağlantılı iç kontrol,
c. Denetim amaçları bağlamında denetim
riskinin değerlendirilmesi ve denetimin
planlanma amaçlarına ilişkin bilgi sistemleri
kontrolleri,
d. Kanun, yönetmelik, sözleşme ve hibe
anlaşması hükümleri ve denetim amaçları
bağlamında anlamlı olan olası suistimal ve
kötüye kullanım,
e. Denetim amaçları bağlamında devam eden
incelemeler ya da yasal takipler ve
f. Doğrudan
doğruya
mevcut
denetim
amaçlarıyla bağlantılı önceki denetimlerin ve
tasdik görevlerinin sonuçları.
6.12 Planlama sırasında denetçiler;
a. Denetime tabi konuları değerlendirmek için
gerekli olası kriterleri tanımlamalıdır.
b. Denetime kanıt olan kaynakları tanımlamalı
ve denetim riski ve önemi dikkate alındığında
gerekli olan kanıt türü ve miktarını
belirlemelidir.
c. Bazı denetim amaçlarını gerçekleştirmek için
diğer denetçiler ve uzmanların işlerinin
kullanılıp
kullanılmayacağını
d. Yeterli kolektif yetkinliğe sahip uygun sayıda
personel ve uzmanı tahsis etmeli ve
denetimin gerçekleştirilmesi için gerekli
diğer kaynakları belirlemelidir.
e. Denetim planlanması ve gerçekleştirilmesi
için yönetimdeki yetkililer, yönetişimden
sorumlu birimler ve varsa diğer yetkililerle
iletişim halinde olmalıdır.
f. Yazılı bir denetim planı hazırlamalıdır.
Programın Yapısı, Profili ve Kullanıcı İhtiyaçları
6.13 Denetçiler bir performans denetimini planlarken
programın yapısı veya denetim altındaki programın
bileşenleri ve denetim sonuçları ve raporlarının olası
kullanımına dair bir kavrayış kazanmalıdır. Program
yapısı ve profili şunları içermelidir:
a. Görünürlük, hassaslık ve denetim altındaki
programla bağlantılı riskler,
yönetimle tartışa da bilirler.
2300 - Görevin Gerçekleştirilmesi: İç denetçiler,
görev amaçlarının gerçekleştirilmesi için yeterli
düzeyde bilgiyi tanımlamalı, analiz etmeli,
değerlendirmeli ve belgelendirmelidir.
2310 – Bilgilerin Tanımlanması: İç denetçiler görev
amaçlarının gerçekleştirilmesi için yeterli, güvenilir,
konuyla alakalı ve kullanışlı bilgiyi tanımlamalıdır.
Uygulama
Tavsiyesi:
2300-1:
Görevlerin
Yürütülmesi Esnasında Kişisel Bilgilerin Kullanımı
2201 – Planlamaya İlişkin Değerlendirmeler:
Görevin planlanması aşamasında iç denetçiler şu
hususları dikkate almalıdır:
 Gözden geçirilen faaliyetin amaçları ve
faaliyetin performansını kontrol ettiği araçlar,
 Faaliyete, faaliyetin amaçları ve kaynaklarına
ilişkin anlamlı riskler ve risklerin olası
etkilerinin kabul edilebilir bir düzeyde
tutulduğu işlemler ve araçlar,
 İlgili bir kontrol çerçevesi ya da modeline
kıyasla faaliyetin risk yönetimi ve kontrol
süreçlerinin yeterliliği ve verimliliği,
 Faaliyetin risk yönetimi ve kontrol
süreçlerine ilişkin önemli iyileştirmeler
yapma fırsatı
2210.A3 Kontrolleri değerlendirmek için yeterli
kriterler gereklidir. İç denetçiler, amaçlara ve
hedeflere ulaşılıp ulaşılmadığını belirlemek için
yeterli kriterlerin yönetim tarafından ne ölçüde
kurulduğunu belirlemelidir. Şayet bunlar yeterli
düzeydeyse iç denetçiler değerlendirmelerinde bu tür
kriterleri kullanmalıdır. Şayet bunlar yetersiz durumda
ise iç denetçiler uygun denetim kriterlerini geliştirmek
için yönetimle birlikte çalışmalıdır.
37
Programın yaşı ve koşullarında yapılan
değişiklikler,
c. Dolar cinsinden programın toplam boyutu,
etkilenen vatandaş sayısı ya da diğer
ölçümler,
d. Gözden geçirme ve diğer bağımsızlık
gözetimlerinin seviye ve boyutu,
e. Programa ilişkin stratejik plan ve amaçlar ve
f. Programı doğrudan doğruya etkileyen dış
unsurlar ve koşullar
İç Kontrol:
6.16 Denetçiler, denetim amaçları bağlamında önemli
olan iç kontrole ilişkin bir kavrayış kazanmalıdır.
Denetim amaçları bağlamında önemli olan iç kontrol
bakımından denetçiler, iç kontrolün usulüne uygun
tasarlanıp
tasarlanmadığını
ve
uygulanıp
uygulanmadığını ve bu kontrollerin verimliliğine
ilişkin değerlendirmelerini destekleyecek yeterli ve
uygun kanıtları elde edecek şekilde tasarlanan
prosedürlerin
uygulayıp
uygulamadığını
değerlendirmelidir… Bu nedenle, denetim amaçları
bakımından önemli iç kontrollere ilişkin bir kavrayış
kazanırken denetçiler, bilgi sistemleri kontrollerinin
değerlendirilmesinin gerekli olup olmadığını da
6.22 İç denetim; genel yönetişim, hesap verebilirlik ve
iç kontrol süreçlerinin önemli bir parçasıdır. Birçok iç
denetim kurumunun esas rolü, iç kontrollerin riskleri
yeterince azaltmak ve program amaç ve hedeflerini
gerçekleştirmek için yerinde kurulduğuna dair
güvence sağlamaktadır. Denetçi, denetim amaçları
bağlamında önemli olan iç kontrollerin tasarım ve
işleyişinin
verimliliğine
ilişkin
denetçilerin
değerlendirmelerinde
iç
denetçilerin
işlerinin
kullanılmasının uygun olup olmadığını belirlemelidir.
6.24 Bir kurumun bilgi sistemleri kontrollerini
kullanım oranı yoğun olabilir ancak denetçiler, esasen
denetim amaçları bağlamında önemli olan bu bilgi
sistemleri kontrolleriyle ilgilidir. Denetçiler, yeterli ve
uygun kanıtlar elde etmek için bilgi sistemleri
kontrollerinin verimliliğinin değerlendirilmesinin
gerekli olduğuna karar verirlerse bilgi sistemleri
kontrolleri denetim amaçları bakımından önemlidir.
Bilgi sistemleri kontrollerinin denetim amaçları
bakımından önemli olduğu ya da önemli kontrollerin
verimliliğinin
bilgi
sistemleri
kontrollerinin
verimliliğine bağlı olduğu durumlarda denetçiler, bu
tür kontrollerin tasarım ve işleyiş verimliliğini
değerlendirmelidir. Önemli kontrollerin verimliliğini
etkileyen diğer bilgi sistemleri kontrollerinin ve
önemli kontrollerin işleyişinde kullanılan bilgilerin
güvenirliliğinin
değerlendirilmesi
de
bu
değerlendirmenin kapsamında olabilir. Denetim
amaçları bağlamında denetçiler, denetim risklerini
değerlendirmek ve denetimi planlamak için gerekli
bilgi sistemleri kontrollerine ilişkin yeterli bir
kavrayışa sahip olmalıdır.
6.27 Denetçiler, denetim bulguları ve sonuçlarını
destekleyici yeterli ve uygun kanıtları elde etmek için
bilgi sistemleri kontrolleriyle bağlantılı hangi denetim
b.
2130 – Kontrol: İç denetim faaliyeti, kontrollerin
etkinlik ve verimliliğini değerlendiren ve bunların
sürekli gelişimini sağlayan etkili kontroller sunma
konusunda kuruma yardımcı olmalıdır.
2130.A1 – İç denetim faaliyeti; kurumun yönetişim,
işlemler ve bilgi sistemlerine ilişkin risklerine cevap
veren kontrollerin yeterlilik ve verimliliğini şu
bakımlardan değerlendirmelidir:
 Finansal ve operasyonel bilgilerin güvenirliği
ve verimliliği,
 Operasyonların ve programların etkinliği ve
verimliliği,
 Değerlerin korunması ve
 Kanun, yönetmelik, politika, prosedür ve
sözleşmelere uygunluk.
1210.A3 İç denetçiler, atandıkları görevleri yerine
getirmek için gerekli temel bilgi teknolojileri
risklerine ve kontrollere ve mevcut teknoloji temelli
denetim tekniklerine ilişkin yeterli bilgiye sahip
olmalıdır. Ancak tüm iç denetçilerin, temel
sorumluluğu bilgi teknolojilerinin denetimi olan bir iç
denetçinin uzmanlığına sahip olması beklenemez.
38
prosedürlerinin gerekli olduğunu belirlemelidir.
Denetçilerin bu konuda yapacağı belirlemeler için
aşağıdaki unsurlar faydalı olabilir:
d. Bir denetim amacı olarak bilgi sistemleri
kontrollerinin
verimliliğinin
değerlendirilmesi:
Doğrudan doğruya denetim amacının bir parçası
olarak bilgi sistemleri kontrollerinin verimliliğinin
değerlendirildiği durumlarda denetçiler, denetim
amaçlarını ele almak için gerekli bilgi sistemleri
kontrollerini test etmelidir…
Kanun, Yönetmelik, Sözleşme ve Hibe Anlaşması
Hükümleri:
kanun, yönetmelik, sözleşme ve hibe anlaşması
hükümlerini saptamalı ve bu kanun, yönetmelik,
sözleşme ve hibe anlaşması hükümlerine olası
uyamama risklerini değerlendirmelidir. Bu risk
değerlendirmesi esasında denetçiler, denetim amaçları
bağlamında önemli kanun, yönetmelik, sözleşme ve
hibe anlaşması hükümlerine uymama durumlarını
saptamaya ilişkin makul güvenceler sunacak
prosedürleri tasarlamalı ve uygulamalıdır.
Suistimal:
6.30 Denetim planını oluştururken denetçiler, denetim
amaçları bağlamında önemli olan suistimal riskleri
olasılığını değerlendirmelidir. Suistimal eylemi,
değerli bir şeyin bilinçli olarak yapılan gerçeğe aykırı
beyanlarla elde edilmesidir. Bir eylem olsun ya da
olmasın suistimal aslında adli ve diğer yasal sistemler
aracılığıyla yapılacak ve denetçilerin mesleki
sorumluluğunu aşan bir belirlemedir. Denetim ekibi
üyeleri, bireylerin suistimal işleme güdüleri ya da
bireyler üzerindeki suistimal yapma baskısı, suistimal
yapma imkânı, bireylere suistimal yapma imkânı
veren gerekçeler ya da davranışlar da dâhil olmak
üzere
suistimal
risklerini
kendi
aralarında
tartışmalıdır. Denetçiler, denetim amaçları bağlamında
önemli olan veya bulgu ve sonuçları etkileyen
suistimal risklerini tanımlamak için bilgileri toplamalı
ve değerlendirmelidir.
A.10 Bazı durumlarda aşağıda sayılan durumların
varlığı suistimal riskinin artığını gösterebilir:
a. Kurumun finansal istikrarını, kapasitesini ya
da bütçesini tehdit eden ekonomik, programa
ait ya da kurum işleyişine ait koşullar,
b. Suistimal yapma fırsatı veren kurum
operasyonlarının yapısı,
c. Yönetimin kanun, yönetmelik ve politikalara
uyumu izleyişinin yetersizliği,
d. Kurumsal yapının istikrarsız ya da gereksiz
biçimde karmaşık oluşu,
e. Yönetimin etik standartlara ilişkin bildirim
ve/veya desteğinin eksik olması
f. Önemli kararları alırken yönetimin alışık
olmadık düzeyde yüksek riskleri almayı
kabul etmeye gönüllü olması,
g. Geçmiş konularda suistimal, israf, kötüye
kullanım ya da sorgulanır uygulamaların
olması ya da geçmiş denetim ya da
incelemelerde sorgulanabilir ya da adli
1210.A2 – İç denetçiler, suistimal riskini ve bunun
kurum tarafından nasıl yönetildiğini değerlendirmek
için yeterli bilgiye sahip olmalıdır. Ancak iç
denetçilerin, esas sorumluluğu yolsuzluğu saptamak
ve incelemek olan bir şahsın uzmanlık bilgisine sahip
olması beklenemez.
2120.A2 – İç denetim faaliyeti, yolsuzluğun
gerçekleşme olasılığını ve kurumun suistimal riskini
nasıl yönettiğini değerlendirmelidir.
39
faaliyetler
Geliştirilmeyen ya da güncelliğini yitiren
işletme politikaları ya da prosedürleri
i. Eksik ya da hiç olmayan temel belgeler
j. Varlıklara
ilişkin
hesap
verebilirlik
prensibinin ve koruyucu unsurların eksikliği
k. Hatalı ödemeler
l. Yanlış ya da yanıltıcı bilgiler
m. “Mevcut kaynakların tümünün kullanımı”
amacıyla sene sonunda kalan bütçeyle yüklü
alımların yapılması
n. Sözleşme, tedarik, alım ve diğer faaliyetlerde
alışılmadık durum ya da eğilimlerin olması
olduğunu düşündükleri suistimalle bağlantılı risklerin
ya da unsurların gerçekleştiğini ya da gerçekleşme
ihtimalinin olduğunu saptarlarsa bu tür suistimallerin
saptanması için makul güvenceler sağlayacak
prosedürleri tasarlamalıdırlar. Suistimal riskinin
değerlendirilmesi denetim süreci boyunca devam eden
bir süreçtir ve sadece denetimin planlanmasıyla değil
aynı zamanda denetim sırasında elde edilen kanıtların
değerlendirilmesiyle de ilgilidir.
6.32 Denetim amaçları bağlamında önemli olabilecek
bir yolsuzluğun gerçekleştiğine dair bir bilgi
geldiğinde denetçiler, (1) yolsuzluğun gerçekleşip
gerçekleşmediğini belirlemek (2) gerçeklemişse bunun
denetim bulguları üzerindeki sonuçlarını belirlemek
için denetim aşamalarını ve prosedürlerini gerekli
biçimde genişletmelidir…
Kötüye Kullanım:
6.34 ……..GAGAS denetimi uyarınca denetçiler,
denetlenen program uyarınca nitelik ya da nicelik
açısından önemli olabilecek düzeyde kötüye kullanımı
fark ettiklerinde, bunun denetlenen program üzerinde
denetim amaçları bağlamında olası etkilerini
belirlemek için özel olarak denetim prosedürlerini
uygulamalıdırlar. İlave işlerin gerçekleştirilmesinden
sonra denetçiler bu kötüye kullanımın olası suistimal
veya kanun, yönetmelik, sözleşme ya da hibe
anlaşması hükümlerine uymama durumu içerdiğini
görebilirler.
Devam Eden İncelemeler ve Yasal Takipler:
6.35 …İnceleme ya da yasal takipler başladığında ya
da sürdürüldüğünde denetçiler bunların mevcut
denetim üzerindeki etkilerini değerlendirmelidir. Bazı
durumlarda denetçilerin müfettişler ya da yasal
otoritelerle birlikte çalışması ya da devam eden
inceleme ya da yasal takiplere müdahaleyi
engelleyecek miktarda denetim işinden ya da ilave
denetim işinden çekilmesi ya da bunları ertelemesi
uygun olabilir.
Önceki Denetimler ve Tasdik Görevleri:
6.36 Denetçiler, denetlenen kurumun önceki
görevlerden elde edilen ve denetim amaçları
bağlamında önemli olan bulgu ve tavsiyeleri ele
alacak uygun düzeltici adımları atıp atmadığını
Denetim
planı
yapılırken
denetçiler, denetlenen kuruma önceki denetimlerin,
tasdik görevlerinin, performans denetimlerinin ya da
h.
Uygulama
Tavsiyesi
2400-1
Sonuçların
bildirilmesine ilişkin yasal mülahazalar:
1. İç denetçiler, kanun, yönetmelik ya da başka yasal
konulara uygun olmama durumlarını bildirirken
dikkatli davranmalıdır. Bu konuların ele alınmasına
ilişkin politika ve prosedürler geliştirilirken diğer
uygun birimlerle (yani yasal danışmanlık ve
uygunluk) mümkün olduğunca yakın bir çalışma
ilişkisi kurulması kuvvetle tavsiye edilir.
2500 – İzleme Süreci: İç denetim yöneticisi,
yönetime bildirilen sonuçların kullanımını izlemek
için bir sistem kurmalı ve bu sistemi sürdürmelidir.
2500.A1 – İç denetim yöneticisi, yönetimin
eylemlerinin etkili bir biçimde uygulandığını ya da üst
yönetimin harekete geçmeme riskini kabul ettiğini
izlemek ve sağlamak için takip süreci oluşturmalıdır.
40
ilgili tavsiyelerin uygulanıp uygulanmadığı da dâhil
olmak üzere doğrudan doğruya denetim amaçlarıyla
bağlantılı başka çalışmaları saptamak için sorular
sormalıdır. Denetçiler, riskleri değerlendirmek ve
mevcut denetim amaçları için geçerli düzeltici
adımların uygulama sınanmasının ne ölçüde uygun
olduğunun belirlenmesi de dâhil olmak üzere mevcut
denetim işinin yapısı, süresi ve kapsamını belirlemek
için bu bilgilerden faydalanmalıdır.
Tanımlayıcı Denetim Kriterleri:
6.37 Denetçiler, kriterleri tanımlamalıdır. Kanunlar,
yönetmelikler,
sözleşmeler,
hibe
anlaşmaları,
standartlar, spesifik yükümlülükler, ölçütler, beklenen
performans, tanımlanan ticari uygulamalar ve
performansın karşılaştırıldığı ya da değerlendirildiği
ölçütlerin tümü kriterleridir. Kriterler; program ya da
işlem uyarınca ulaşılması gerekli ya da arzulanan
durum ya da beklentileri tanımlar. Kriterler; kanıtların
değerlendirilmesi ve raporda yer alan bulgu, sonuç ya
da tavsiyelerin anlaşılması için bir bağlam sunar.
Denetçiler, denetim amaçlarıyla bağlantılı olan
kriterleri kullanmalı ve denetim konusunun tutarlı bir
biçimde değerlendirilmesine imkân vermelidir.
Kanıt Kaynaklarının ve Gerekli Kanıt Miktarı ve
Türünün Belirlenmesi
6.38 Denetçiler, kanıt olarak kullanılabilecek olası
bilgi kaynaklarını belirlemelidir. Denetçiler, denetim
amaçlarını ele almak ve denetim işini yeterli düzeyde
planlamak için gerekli olan yeterli ve uygun kanıt
miktarı ve türünü belirlemelidir.
6.39 Denetçiler, yeterli ve uygun kanıtların elde
edilmesinin mümkün olmadığını düşünüyorlarsa,
denetim amaçlarını gözden geçirebilir ya da kapsam
ve metodolojiyi değiştirebilirler ve mevcut denetim
amaçlarını ele alacak ilave kanıtlar veya başka tür
kanıtları elde edecek alternatif prosedürleri
belirlemelidir. Denetçiler, iç kontrol eksikliklerine
bağlı yeterli ve uygun kanıt eksikliği olup olmadığını
ve bu eksikliğin denetim bulgularının gerekçesi olup
olmadığını değerlendirmelidir.
Başkalarının İşlerinin Kullanımı:
6.40 Denetçiler, mevcut denetim amaçlarıyla
bağlantılı olabilecek programların denetimlerinin
başka denetçiler tarafından daha önce yapılıp
yapılmadığını veya şu anda yapılıp yapılmadığını
belirlemelidir.
6.41 … Denetçiler başka denetçilerin işlerini
kullandıklarında bu işi kullanmalarına ilişkin yeterli
bir gerekçe sunan prosedürleri uygulamalıdır.
Denetçiler, başka denetçilerin niteliklerine ve
bağımsızlığına ilişkin kanıtlar elde etmeli ve başka
denetçiler tarafından yapılan denetim işinin kapsam,
kalite ve süre bakımından mevcut denetim amaçları
bağlamında yeterince güvenilecek düzeyde bir
denetim olup olmadığını belirlemelidir.
2210.A3 Kontrolleri değerlendirmek için yeterli
kriterler gereklidir. İç denetçiler, amaçlara ve
hedeflere ulaşılıp ulaşılmadığını belirlemek için
yeterli kriterlerin yönetim tarafından ne ölçüde
kurulduğunu belirlemelidir. Şayet bunlar yeterli
düzeydeyse iç denetçiler değerlendirmelerinde bu tür
kriterleri kullanmalıdır. Şayet bunlar yetersiz durumda
ise iç denetçiler uygun denetim kriterlerini geliştirmek
için yönetimle birlikte çalışmalıdır.
2310 – Tanımlayıcı Bilgi: İç denetçiler, görev
amaçlarını gerçekleştirmek için yeterli, güvenilir, ilgili
ve kullanışlı bilgiyi tanımlamalıdır.
2050 – Koordinasyon: İç denetim yöneticisi,
kapsamın usulüne uygun olması ve çabaların mükerrer
olmaması için güvence ve danışma hizmeti sunan
diğer iç ve dış denetçilerle bilgi paylaşımında
bulunmalı ve faaliyetleri koordine etmelidir.
Uygulama Tavsiyesi 2050 – 3 Başka Güvence
Sağlayanların İşine Güvenme:
10. Başka güvence sağlayanlar tarafından yapılan
işlere güvenme düzeyi daha önceden bahsedilen
unsurlara bağlıdır: bağımsızlık, tarafsızlık, yeterlilik,
uygulama unsurlar, denetim işinin icrasının yeterliliği
ve bahsedilen güvence düzeyini destekleyecek
denetim kanıtlarının yeterliliği. Başka güvence
sağlayıcılar tarafından gözden geçirilen faaliyetlerin
önemi ya da risk düzeyi artıkça iç denetçi bu unsurlara
ilişkin daha fazla bilgi toplamalı ve başka güvence
sağlayıcılar tarafından yapılan bu işi destekleyecek
ilave denetim kanıtları elde etmelidir. Sonuçlara
ilişkin güven düzeyini artırmak için iç denetim
41
6.42 … Denetçiler uzmanların işlerini kullanmaya
niyetliyse bu uzmanların mesleki niteliklerini ve
bağımsızlığını değerlendirmelidirler.
6.43 Denetçilerin uzmanların mesleki niteliklerine
ilişkin yapacağı değerlendirme şu unsurları
içermelidir:
a. Mesleki sertifika, lisans ya da uzmanın
alanında tanınırlığını gösteren diğer yeterlilik
belgeleri
b. Akranlarının görüşlerinde ya da uzmanın
kapasitesi ve performansını bilen diğerlerinin
görüşlerinde uzmanın bilinirliği ve itibarı
c. Uzmanın mevcut denetim konusunda
deneyimi ve önceki işleri
d. Denetçilerin uzmanın işini kullanmaya ilişkin
önceki deneyimleri
6.44 Denetim işlerini gerçekleştiren uzmanların
bağımsızlığına ilişkin denetçi değerlendirmelerine,
denetimleri gerçekleştiren denetçilerin yapacağı
biçimde tehditlerin saptanması ve gerekli koruyucu
unsurların uygulanması dâhildir.
6.46 Bir uzmanın işinin kullanılması planlanıyorsa
denetçiler, uzman tarafından yapılacak işin yapısı ve
kapsamını aşağıdaki unsurları dikkate alarak
belgelendirmelidir.
a. Uzmanın işinin amaçları ve kapsamı
b. Denetim amaçlarını destekleyecek biçimde
uzmanının işinin kullanım amacı
c. Değerlendirilebilmesi ve planlanan başka
denetim
prosedürleriyle
bağlantı
kurulabilmesi için uzmana ait prosedürler ve
bulgular
d. Uzman tarafından kullanılan varsayımlar ve
faaliyeti başka güvence sağlayıcılar tarafından elde
edilen sonuçları yeniden test etmelidir.
1210.A1 İç denetim yöneticisi, iç denetçiler görevin
tümü ya da bir kısmını gerçekleştirmek için gerekli
bilgi, beceri ya da diğer yeterliliklere sahip değilse
uygun tavsiye ve yardımları almalıdır.
Uygulama Tavsiyesi 1210.A1-1 İç Denetim
Faaliyetini Destekleyecek ya da Tamamlayacak Dış
Hizmet Sağlayıcıların Elde Edilmesi:
4. İDY’nin dış hizmet sağlayıcıların işlerini kullanmak
ya da bunlara güvenmek istemesi durumunda İDY dış
hizmet sağlayıcının yeterliliğini, bağımsızlığını ve
tarafsızlığını gerçekleştirilecek mevcut iş bakımından
Yeterlilik,
bağımsızlık
ve
tarafsızlık değerlendirmesi dış hizmet sağlayıcıların
üst yönetim ya da kurul tarafından seçildiği ve
iDY’nin dış hizmet sağlayıcının işini kullanmayı ve
buna güvenmeyi tercih ettiği durumlar için de
geçerlidir. Seçimin başkaları tarafından yapıldığı ve
İDY’nin dış hizmet sağlayıcının işini kullanamayacağı
ve buna güvenemeyeceğini tespit ettiği durumlarda bu
sonuçlara ilişkin bildirimler üst yönetim ya da kurula
uygun biçimde yapılmalıdır.
5. İDY dış hizmet sağlayıcının görevi gerçekleştirmek
için gerekli bilgi, beceri ve diğer yeterliliklere sahip
olduğunu şu unsurları göz önünde bulundurarak
belirler:
 Mesleki sertifika, lisans ya da dış hizmet
sağlayıcının ilgili alanda yeterliliğini
gösteren diğer belgeler,
 Dış hizmet sağlayıcının uygun bir mesleki
kuruma üye olması ve bu kurumun etik
kurallarına bağlı kalması,
 Dış hizmet sağlayıcının itibarı, Buna dış
hizmet sağlayıcının işini bilen başkalarıyla
iletişim kurulması da dâhildir.
 Yapılması düşünülen iş türünde dış hizmet
sağlayıcının deneyimi,
 Mevcut göreve ilişkin alanlarda dış hizmet
sağlayıcının aldığı eğitim ve kursların
kapsamı,
 Kurumun faaliyet gösterdiği alanda dış
hizmet sağlayıcının bilgisi ve deneyimi
Uygulama Tavsiyesi 1210.A1-1 İç Denetim
Faaliyetini Destekleyecek ya da Tamamlayacak Dış
Hizmet Sağlayıcıların Elde Edilmesi:
9. İç denetim faaliyeti amaçları için işin kapsamının
yeterli olduğunu belirlemek için İDY, dış hizmet
sağlayıcının işinin kapsamına ilişkin yeterli bilgileri
elde etmelidir. Bunları ve diğer konuları, bir görev
mektubu ya da sözleşmeyle belgelendirme konusunda
ihtiyatlı olmalıdır…
42
yöntemler
Personel ve Diğer Kaynakların Tahsisi:
6.45 Denetim yönetimi, denetimleri gerçekleştirmek
için yeterli kolektif mesleki yetkinliğe sahip yeterli
sayıda personel ve uzmanı tahsis etmelidir. Diğer
konulara ek olarak bir denetim faaliyetine personel
tahsisi şu hususlar içerir:
a. Uygun iş için kolektif bilgi, beceri ve
deneyime sahip personel ve uzmanın tahsis
edilmesi
b. Denetim faaliyeti için yeterli sayıda personel
ve müfettişin tahsis edilmesi
c. Personele görev başı eğitimlerin verilmesi
d. Gerekli
durumlarda
uzmanların
görevlendirilmesi
Yönetimle, Yönetişimden Sorumlu Birimlerle ve
Diğerleriyle İletişim:
6.47 Denetçilerin yolsuzluğu gösteren durumlara
ilişkin prosedürleri uygulamayı ya da açıklanmamış
kasa sayımlarını yapmayı planladığı durumlar gibi
denetim amaçlarını ele almasını sağlayacak yeterli ve
uygun kanıtları elde etme yeteneğine anlamlı ölçüde
zarar vermediği sürece denetçiler, performans
denetimlerinin amaçları, kapsamı, metodolojisi ve
süresine ve planlanan raporlamaya (olası rapor
kısıtlamaları da dâhil) bir gözden geçirmeyi
sunmalıdır. Denetçiler, aşağıdaki taraflarla uygun
biçimde iletişime geçmelidir:
a. Programda ya da denetlenen faaliyette
uygulanacak düzeltici adımları atmak için
yeterli yetki ve sorumluluğa sahip olanlar
dâhil olmak üzere denetlenen kurumun
yönetimi
b. Yönetişimden sorumlu olanlar
c. Sözleşme görevlileri ya da hibe alanlar gibi
denetim hizmetleri sözleşmelerini imzalayan
ya da talep eden şahıslar ve
d. Denetçiler denetimlerini bir yasa ya da
yönetmelik uyarınca yaptıklarında ya da işi
denetlenen kurumu denetlemiş bir yasama
komitesi için yaptıklarında sürecin farkında
bir yasama komitesi
6.48 Hem denetlenen kurumun stratejik yönünü
inceleyen ve hem de onun hesap verme
yükümlülüklerini karşılayan tek bir şahsın ya da
grubun olmadığı bu gibi durumlarda ya da
yönetiminden sorumlu olanların kimliğinin yeterince
açık olmadığı diğer durumlarda denetçiler, izlenen
prosedürleri ve gerekli denetçi bildirimlerini alması
uygun şahısları belirlemek için ulaştıkları sonuçları
belgelendirmelidir.
6.49 Yazılı bildirim tercih edilmesine rağmen
bildirimin türünün, içeriğinin ve ne sıklıkla
yapılacağının belirlenmesi mesleki yargılara bağlıdır.
Denetçiler, bilgileri iletmek için bir görev mektubu
kullanabilirler.
Denetçiler,
bu
bildirimi
belgelendirmelidir.
2030 – Kaynakların Yönetimi: İç denetim yöneticisi,
iç denetim kaynaklarının onaylanan planın
gerçekleşmesini sağlayacak biçimde uygun, yeterli ve
etkili bir şekilde tahsis edilmesini sağlamalıdır.
Uygulama Tavsiyesi 2030-1: Kaynak Yönetimi
Uygulama Tavsiyesi 2200-1: Görev Planlaması:
4. İç denetçiler, görev hakkında bilgi sahibi olması
gereken yönetimdeki şahısları bilgilendirmeli, gözden
geçirilen faaliyetten
sorumlu olan yönetim
kademesiyle toplantılar yapmalı, toplantılarda yapılan
tartışmaları ve sonuçları özetlemeli ve dağıtmalı ve
görev çalışma evraklarında yer alan bilgileri muhafaza
etmelidir.
Tartışma konuları şunlar olabilir:
 Planlanan görev amaçları ve işin kapsamı
 Görevlendirilen işe ilişkin kaynaklar ve işin
süresi
 İç ve dış ortamda gerçekleşen yeni
değişiklikler de dâhil olmak üzere gözden
geçirilen işin koşullarını ve iş alanlarını
etkileyen temel unsurlar
 Yönetimin konuya ilişkin endişeleri ya da
talepleri
2440 – Sonuçların Yayımlanması: İç denetim
yöneticisi, sonuçları uygun taraflara bildirmelidir.
2440.A1- İç denetim yöneticisi, sonuçlara gereken
önemin verilmesini sağlayacak taraflara nihai
sonuçları bildirmekle sorumludur.
Uygulama Tavsiyesi 2200-1: Görev Planlaması:
5. İDY; görev sonuçlarının nasıl, ne zaman ve kimlere
bildireceğini belirler. İç denetçi, görevin planlanması
esnasında bunu uygun görülen biçimde belgelendirir
ve yönetime bildirir. İç denetçi, görev sonuçlarının
süresini ya da raporlanmasını etkileyebilecek
müteakip değişiklikleri yönetime bildirir.
6.50 Bir denetim tamamlanmadan bitirilir ve denetim
raporu yayımlanmazsa denetçiler, denetimin bitirildiği
43
tarihe kadar yapılan işlerin sonuçlarını ve denetimin
neden bitirildiğini edildiğini belgelendirmelidir…
Yazılı Denetim Planının Hazırlanması:
6.51 Denetçiler, her bir denetim için yazılı bir denetim
planı hazırlamalıdır… Denetçiler, denetim sırasında
yapılan önemli değişiklikleri yansıtacak şekilde
denetim planında gerekli güncellemeleri yapmalıdır.
Teftiş: 6.53 Denetim müfettişleri ya da denetçileri
teftiş etmek için görevlendirilmiş şahıslar denetim
personelini usulüne uygun biçimde teftiş etmelidir.
Yeterli ve Uygun Kanıtların Elde Edilmesi:
6.56 Denetçiler, bulgu ve sonuçlarına ilişkin makul bir
güvence sağlayacak yeterli ve uygun kanıtları elde
etmelidir.
6.57 …Uygunluk; kanıtların konuya alakasını,
geçerliliğini ve denetim amaçlarıyla bağlantılı bulgu
ve sonuçları destek sağlamada güvenirliğini de
kapsayacak şekilde kanıtların kalitesinin ölçülmesidir.
Kanıtlarının genel uygunluğunu değerlendirirken
denetçiler, kanıtın ilgili, geçerli ve güvenilir olup
olmadığını değerlendirmelidir. Yeterlilik; denetim
amaçlarına ilişkin bulgu ve sonuçları desteklemek için
kullanılan kanıt miktarını ölçümüdür. Kanıtın
yeterliliği değerlendirilirken denetçiler, konuya ilişkin
bilgi sahibi bir şahsın bulguların makul olduğuna ikna
edilmesine yetecek miktarda kanıtın elde edilip
edilmediğini belirlemelidir.
6.58 Kanıtlar değerlendirilirken denetçiler, bir bütün
olarak kanıtın denetim amaçlarını ele almak ve bulgu
ve sonuçlara ilişkin destek sunmak için yeterli ve
uygun olup olmadığını değerlendirmelidir…
2240- Görev İş Programı: İç denetçiler, görev
amaçlarının gerçekleştirilmesi için gerekli iş
programlarını geliştirmeli ve belgelendirmelidir.
2240.A1 İş programları, görev sırasında bilgilerin
saptanması, analiz edilmesi, değerlendirilmesi ve
belgelendirilmesi için prosedürler içermelidir. İş
programı, uygulanmadan önce onaylanmalı ve bu
programa ilişkin onaylanmış değişiklikler derhal
uygulanmalıdır.
Uygulama Tavsiyesi 2200-1 Görev Planlaması:
1. İç denetçiler, görevi müfettiş gözden geçirmesi ve
onayının ardından planlamalı ve icra etmelidir.
Göreve başlamadan önce iç denetçi şu hususları içeren
bir görev programı hazırlar:
 Görev amaçlarını belirtir
 Teknik yükümlülükler, amaçlar, riskler,
prosedürler ve incelenecek işlemleri tanımlar
 Gerekli testin yapısı ve kapsamını belirtir
 Görev sırasında bilgi toplanması, analizi,
yorumu ve bunların belgelendirilmesine
ilişkin iç denetçi prosedürlerini belgelendirir.
 Görev sırasında iç denetim yöneticisinin
(İDY) ya da onun görevlendirdiği kişi
tarafından onaylanarak değiştirilir.
2340 – Görevin teftişi:
Amaçlara ulaşıldığını,
kalitenin sağlandığını ve personelin geliştiğini
gösterecek biçimde görevler teftiş edilmelidir.
Uygulama Tavsiyesi 2340-1: Görevin Teftişi
2300 – Görevin İcrası: İç denetçiler, görev
amaçlarını gerçekleştirmek için gerekli olan yeterli
bilgiyi tanımlamalı, analiz etmeli, değerlendirmeli ve
belgelendirmelidir.
2310 – Tanımlayıcı Bilgi: İç denetçiler, görev
amaçlarını gerçekleştirmek için gerekli olan yeterli,
güvenilir, ilgili ve kullanışlı bilgileri tanımlamadır.
2320 – Analiz ve Değerlendirme: İç denetçiler,
uygun analiz ve değerlendirmelerden elde edilen
sonuçları ve görev sonuçlarını esas almalıdır.
Uygulama Tavsiyesi: 2320-1: Analitik Prosedürler
Uygulama Tavsiyesi: 2320-2: Temel Neden Analizi
6.62 Tanık ifadesine dayalı kanıtlar, yazılı ya da fiziki
bilgilerin yorumlanması ya da bunların doğrulanması
için yararlı olabilir. Denetçiler, tanık ifadesine dayalı
kanıtların tarafsızlığını, doğruluğunu ve güvenirliğini
değerlendirmelidir. Yazılı kanıtlar, tanıdık ifadesine
dayalı, sözlü kanıtları teyit etmek, desteklemek ya da
bunlara itiraz etmek için kullanılabilir.
44
6.65 Denetçiler denetlenen kurumun yetkilileri
tarafından sunulan bilgileri kanıt olarak kullandıkları
durumlarda, denetlenen kurumun yetkililerinin ya da
diğer denetçilerin eldeki bilgilerin güvenirliğine dair
güvence sağlamak için neler yaptığını belirmelidir…
6.66 Denetçiler, bilgisayar tarafından işlenen bilgilerin
yeterliliği ve uygunluğunu, bu bilgilerin denetçilere
sunulup sunulmadığına ya da denetçilerin bu bilgileri
bağımsız bir biçimde elde edip etmediğine
bakmaksızın değerlendirmelidir…
Yeterlilik:
6.67 …Kanıtın yeterliliği belirlenirken denetçiler,
denetim amaçlarını ve bulguları ve sonuçları
desteklemek için yeteri miktarda uygun verinin olup
olmadığını belirlemelidir.
Kanıtlara İlişkin Genel Değerlendirme:
6.69 Denetçiler, denetim amaçları bağlamında
bulguların ve sonuçlar için makul bir gerekçe
sağlamak için kanıtların genel yeterliliği ve
uygunluğunu belirlemelidir… Denetçiler, spesifik
kanıtların geçerliliği ve güvenirliliğine karar vermek
için yapılan spesifik değerlendirmeler de dahil olmak
üzere bulgu ve sonuçları desteklemek için kullanılan
kolektif kanıtların genel değerlendirmesi yapılmalı ve
belgelendirilmelidir.
6.71
Kanıtların
yeterlilik
ve
uygunluğu
değerlendirilirken denetçiler, denetim amaçları,
bulgular ve sonuçlar, mevcut destekleyici kanıtlar ve
denetim riski düzeyi bakımından kanıtların beklenen
önemini
Kanıtların
değerlendirilmesine ilişkin aşamalar kanıtların
yapısına, kanıtların denetimde ya da raporlarda nasıl
kullanıldığına ve denetim amaçlarına bağlıdır.
a. Denetim amaçları bağlamında bulguları veya
sonuçları destekleyici makul gerekçeler
sunduğunda kanıtlar yeterli ve uygundur.
b. (1) denetçinin yanlış ya da hatalı bir sonuca
ulaşmasına neden olabilecek kabul edilemez
derece yüksek risk taşıyan kanıtların
kullanılması (2) Denetim amaçları ve
kanıtların kullanım amacı dikkate alındığında
kanıtların önemli kısıtlamalar içermesi (3)
denetim amaçlarının ele alınması ya da bulgu
ve sonuçların desteklenmesi için kanıtların
yeterli gerekçe sağlamaması durumlarında,
kanıtlar yeterli ve uygun değildir.
6.72 …Denetçiler, denetim bulguları ve sonuçları
bakımından kanıtlarda anlamlı kısıtlamalar ya da
belirsizlikler saptarlarsa ek prosedürleri uygun
biçimde uygulamalıdırlar. Bu prosedürler şunlardır:
a. Başka kaynaklardan bağımsız, destekleyici
bilgilerin araştırılması,
b. Kanıt kullanımına olan ihtiyacı ortadan
kaldıracak biçimde denetim amaçlarının
yeniden tanımlanması ya da denetimin
kapsamının sınırlandırılması,
c. Destekleyici kanıtın yeterli ve uygun
olduğunu gösterecek şekilde bulgu ve
sonuçların
açıklanması
ve
rapor
45
kullanıcılarının bulgu ve ya sonuçlara ilişkin
yanlış yönlendirilmesini önlemek için
gerekliyse
kanıtların geçerliliği
veya
güvenilirliğiyle birlikte kısıtlamalar ya da
belirsizliklerin raporda tanımlanması
d. Bağlantılı, anlamlı iç kontrol eksiklikleri de
dâhil kısıtlamalar ya da belirsizliklerin bir
bulgu olarak rapor edilip edilmeyeceğinin
belirlenmesi
Bir Bulguya İlişkin Unsurların Geliştirilmesi
6.73 Denetçiler, denetim amaçlarını ele almak için
gerekli bir bulguya ilişkin unsurları geliştirmek için
prosedürleri planlamalı ve bunları uygulamalıdır. Ek
olarak, denetçiler bir bulguya ilişkin unsurları
yeterince geliştirebilecek durumdaysa denetim
amaçları bağlamında önemli düzeltici adımlara ilişkin
tavsiyeler geliştirmelidir. Bir bulgu için gerekli
unsurlar, denetim amaçlarıyla bağlantılıdır. Bu
nedenle, bir bulgu ya da bulgular dizisi denetim
amaçlarını ele aldığı ve rapor, bu amaçlar ile bulguya
ilişkin unsurları açık ve belirgin bir biçimde bağladığı
sürece tamdır. Örneğin bir denetim amacı, yasama
yükümlülüklerinin uygulanmasına ilişkin program
işlemleri ya da süreçlerinin mevcut durumu ya da
koşulunu belirleyebilir ve neden ya da sonuç ile
bağlantılı olmayabilir. Bu durumda geliştirilen koşul,
denetim amacını ele alacaktır ve bulguya ilişkin diğer
unsurların geliştirilmesine gerek kalmayacaktır.
6.74 Kritere ilişkin unsur, 6.37 No.lu paragrafta
tartışılmıştır. Bir bulguya ilişkin diğer unsurlar –
koşul, etki ve neden – 6.75 ilâ 6.77 No.lu
paragraflarda tartışılmıştır.
6.75 Koşul: Koşul, mevcut olan bir duruma verilen
isimdir. Koşul, denetim sırasında belirlenir ve
belgelendirilir.
6.76 Neden: Neden, mevcut durum (koşul) ile gerekli
olan ya da istenilen durum (kriterler) arasındaki
farklılıklara neden olan unsur veya unsurların ya da
koşulun ardında yatan nedeni ya da açıklamayı
tanımlar ve düzeltici adımlar için yapılacak tavsiyelere
ilişkin gerekçeler sunar. Kötü tasarlanmış politika,
prosedür ya da kriterler; tutarsız, eksik ya da hatalı
uygulama; program yönetiminin kontrolü dışındaki
unsurlar ortak unsurlardır. Denetçiler, kanıtların
belirlenen nedenin koşul ile kriterler arasındaki
farklılıklara niçin katkı sağlayan temel unsur ya da
unsurlar olduğuna dair makul ve ikna edici bir gerekçe
sunup sunmadığını değerlendirmelidir.
6.77 Etki ve Olası Etki: Etki, mevcut durum (koşul) ve
gerekli olan ya da arzulanan durum (kriterler)
arasındaki farklılıklara dair etkileri ya da olası etkileri
gösteren açık ve mantıklı bağlantıdır. Etki ya da olası
etki, koşulun çıktıları ya da sonuçlarını tanımlar.
Denetim sırasında tanımlanan kriterlere göre değişen
(olumlu ya da olumsuz) bir koşula ait fiili ya da olası
sonuçların tanımlanmasının denetim amaçlarına dâhil
olduğu durumlarda “etki” bunlara ilişkin sonuçların
ölçümüdür. Etki ya da olası etki, tanımlanan
problemler ya da ilgili risklere karşılık atılacak
düzeltici adımlara olan ihtiyacı belirlemek için
Uygulama Tavsiyesi 2410-1 Bildirim Kriterleri:
6. Gözlemler, durumu izah eden konuyla ilgili
görüşlerdir. İç denetçiler, iç denetçilerin sonuç ya da
tavsiyelerini desteklemek ya da bunların yanlış
anlaşılmasını önlemek için gerekli olan bu gözlemleri
bildirmelidir. İç denetçiler, daha az önem sahip
gözlem ya da tavsiyeleri gayri resmi yollarla
bildirebilirler.
7. Göreve ilişkin gözlem ve tavsiyeler, kriterlerin
(doğru olan durum) koşul (mevcut durum) ile
karşılaştırma sürecinde ortaya çıkar. Bir farklılık olsun
ya da olmasın iç denetçinin raporunu inşa edeceği bir
temel vardır. Koşullar kriterleri karşıladığında tatmin
edici performansa ilişkin bildirim yapılması uygun
olabilir. Gözlem ve tavsiyeler şu özelliklere dayalıdır:
 Kriterler: Bir değerlendirme ve/veya
doğrulama (doğru durum) yapmak için
kullanılan standartlar, ölçütler ya da
beklentiler
 Koşul: İç denetçinin inceleme (mevcut
durum) sırasında bulduğu fiili kanıtlar
 Neden: Beklenen ve fiili durum arasındaki
farklılığın nedeni
 Etki: Koşulun kriterlerle uyumlu olmaması
(farkın etkisi) nedeniyle kurum ve/veya
başkalarının karşılaştığı risk ya da maruziyet.
Risk ya da maruziyetin derecesini belirlerken
iç denetçiler, göreve ilişkin yapacakları
gözlem ya da tavsiyelerin kurumun işlemleri
ve finansal beyanları üzerindeki etkilerini
8. Sonuç ve görüşler, gözden geçirilen faaliyete ilişkin
iç denetçinin gözlem ve tavsiyelerinin etkisinin
değerlendirilmesidir.
Genellikle
gözlem
ve
tavsiyelerini genel çıkarımları esasında yaparlar.
Görev
sonuçlarını
görev
raporunda
açıkça
tanımlayınız. Sonuçlar, bir görevin tüm kapsamını
içerebileceği gibi belirli yanlarını da içerebilir...
9. İç denetçiler iyileştirme tavsiyeleri, tatmin edici
performans için teşekkür ve düzeltici adımları
bildirmelidir. Tavsiyeler, iç denetçinin gözlem ve
sonuçlarına dayanır…
46
kullanılabilir.
Eksiklerin Erkenden Bildirimi:
6.78 Denetçiler; iç kontroldeki eksikleri, yolsuzluğu,
kanun, yönetmelik, sözleşme veya hibe anlaşmasına
uymama durumunu ya da kötüye kullanımı rapor
etmelidir. Bazı konuların yönetişimden sorumlu
birimlere ya da yönetime erkenden bildirilmesi, bu
konuların ilgili önemi ve düzeltici takip adımlarının
aciliyeti dikkate alındığında önemli olabilir. Ayrıca bir
kontrolün eksikliğine ilişkin sonuçların kanun,
yönetmelik, sözleşme ya da hibe anlaşması
hükümlerine uymamaya yol açtığı durumlarda
erkenden yapılan bildirim, yönetimin ilerleyen
günlerde meydana gelebilecek uymama durumlarını
önleyici düzeltici adımları derhal atmasına imkân
vermesi bakımından önemlidir. Eksikliğin erkenden
bildirildiği durumlarda 7.18 ilâ 7.23 No.lu
paragraflarda anlatılan raporlama yükümlülükleri hâlâ
geçerlidir.
Denetimin Belgelendirilmesi:
6.79 Denetçiler, her bir denetimin planlama, uygulama
ve
raporlama
aşamalarını
belgelendirmelidir.
Denetçiler; denetimle önceden bağlantısı olmayan
tecrübeli bir denetçinin denetim dokümanından
denetimin yapısını, süresini, kapsamını ve uygulanan
denetim prosedürlerinin sonuçlarını, elde edilen
denetim kanıtlarını ve denetçiler için önemli kanaatler
ve sonuçlar da dâhil olmak üzere ulaşılan kaynakları
ve sonuçları anlamasını sağlayacak seviyede yeterli
detaya sahip bir denetim dokümanı hazırlamalıdır.
Deneyimli denetçi ifadesiyle kast edilen performans
denetimini gerçekleştirmek için gerekli yetkinlik ve
becerilere sahip şahıslardır (denetim kurumun içinden
ya da dışından). Aşağıdaki unsurlara ait bir kavrayış
bu yetkinlik ve becerilere dâhildir:
1) Performans denetim süreçleri,
2) GAGAS ve cari yasal ve düzenleyici
yükümlülükler,
3) Denetim
amaçlarını
gerçekleştirmeyle
bağlantılı denetim konusu,
4) Denetlenen kurumun ortamıyla ilgili konular
6.81 Denetçiler, mevcut denetimin koşullarını
karşılayacak denetim dokümanı şeklini ve içeriğini
tasarlamalıdır. Denetim dokümanı, denetçilerin
standartlar uyarınca yaptıkları işe ve ulaştıkları
sonuçlara ait temel kayıtlardan oluşur.
6.83 Denetçiler şunları belgelendirmelidir:
a. Denetimin amaçları, kapsamı ve metodolojisi
b. İncelenen işlem ve kayıtların tanımları da
dahil olmak üzere önemli kanaatleri ve
sonuçları desteklemek için yapılan iş ve elde
edilen kanıtlar (örneğin dosya numarası, olay
numarası ya da incelenen spesifik
dokümanları tanımlamak için kullanılan diğer
araçlar, ancak incelenen dokümanların
kopyaları ya da bu dokümanlara ilişkin
detaylı liste bilgileri gerekli değildir).
c. Denetim raporu yayımlanmadan önce
kanıtların denetim raporunda yer alan bulgu,
sonuçlar ve tavsiyeleri desteklediğine dair
Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri
14. Geçici raporlar, yazılı veya sözlü olabilir ve resmi
ya da gayri resmi yollardan bildirilebilir. Gereğinin
yapılmasının gerektiği durumların bildirimi için geçici
raporları kullanınız…
2330 – Bilginin Belgelendirilmesi: İç denetçiler
sonuçları ve görev sonuçlarını destekleyecek ilgili
bilgileri belgelendirmelidir.
Uygulama Tavsiyesi 2330-1: Bilginin
Belgelendirilmesi
Uygulama Tavsiyesi 2330-1: Bilginin
Belgelendirilmesi
1. İç denetçiler, çalışma belgeleri hazırlamalıdır.
Çalışma belgeleri, elde edilen bilgileri, analiz edilen
verileri ve sonuç ve görev sonuçlarına ilişkin
destekleri belgelendirmelidir. İç denetim yönetimi,
hazırlanan çalışma belgelerini gözden geçirmelidir.
2. Görev çalışma belgeleri genelde şu işlere yarar:
 Görevlerin planlanması, uygulanması ve
gözden geçirilmesine yardım etmek,
 Görev sonuçlarına ilişkin temel destek
sağlamak,
 Görev sonuçlarına ulaşılıp ulaşılmadığını
belgelendirmek,
 Yapılan işin doğruluğu ve tamlığına dair
destek sunmak,
 İç denetim faaliyetinin kalite güvence ve
iyileştirme programına ilişkin bir gerekçe
sunmak,
47
teftiş gözden geçirmesi.
6.84 Denetçiler,
kanun, yönetmelik, kapsam
kısıtlamaları, kayıtlara erişiminin kısıtlanması veya
denetimi etkileyen başka konulardan dolayı cari
GAGAS yükümlülüklerine uyamazlarsa iç denetçiler,
GAGAS yükümlülüklerine bu uyamama durumunu ve
bunun denetim ve denetçinin sonuçları üzerindeki
etkisini belgelendirmelidir. Uygulanan alternatif
prosedürlerin standart amaçlarını karşılamak için
yeterli olmadığı durumlarda, şartsız yükümlülüklere
ve varsayımsal zorunlu yükümlülüklere uymama
durumları içinde bu uygulanır.
3.92 GAGAS denetimleri yapılırken denetim
kurumları kayıtların saklanması için gerekli
yasal, düzenleyici ve idari yükümlülükleri
karşılayan yeterli bir süre boyunca denetim
dokümanlarını saklamak ve muhafaza etmek için
politika
ve
prosedürler
uygulamalıdır…
Elektronik
ortamda
saklanan
denetim
dokümanları için denetim kurumları, denetim
dokümanlarına
erişim
ve
bunların
güncellenmesiyle ilgili etkili bilgi sistemleri
yöntemleri kurmalıdır.
Bölüm 7 Performans Denetimlerinin
Raporlanmasına İlişkin Standartlar:
Raporlama:
7.03 Denetçiler, tamamlanan her bir performans
denetiminin sonuçlarını bildiren denetim raporlarını
yayımlamalıdır.

Üçüncü
şahıs
gözden
geçirmelerini
kolaylaştırmak.
3. Görev çalışma belgelerinin tertibi, tasarımı ve
içeriği görevin yapısı ve amaçlarına ve kurum
ihtiyaçlarına bağlıdır. Görev çalışma kağıtları;
planlama aşamasından sonuçların bildirim aşamasına
kadar
görev
sürecinin
tüm
özelliklerini
belgelendirmelidir. İç denetim faaliyeti, çalışma
belgelerini basmak ve saklamak için kullanılacak
araçları belirlemelidir.
4. İç denetim yöneticisi, gerçekleştirilen çeşitli
görevler
için
çalışma
belgesi
politikaları
oluşturmalıdır. Anketler ya da denetim programları
gibi belli bir standarda kavuşturulmuş görev çalışma
belgeleri görevin etkinliğini artırabilir ve göreve
personel seçimini kolaylaştırabilir. Görev çalışma
belgeleri geçiçi görev dosyaları ya da sürekli öneme
sahip bilgiler içeren ileriye dönük kalıcı görev
dosyaları olarak sınıflandırılabilir.
1322 – Standartlara Uyulmadığının İfşası
İç Denetim Tanımına, Etik Kurallara ya da iç denetim
faaliyetinin genel amaçlarını ya da işlemlerini
etkileyen Standartlara uyulmadığında iç denetim
yöneticisi bunu ve bunun etkisini üst yönetime ve
kurula bildirmelidir.
2330.A2 İç denetim yöneticisi, kaydın saklandığı
ortama bakılmaksızın görev kayıtları için saklama
yükümlülükleri
geliştirmelidir.
Bu
saklama
yükümlülükleri kurum rehberlerine ve ilgili
düzenleyici ya da başka yükümlülüklere uygun
olmalıdır.
Uygulama
Tavsiyesi
2330.A2-1:
Kayıtların
Saklanması:
1.
Görev
kayıtlarının
saklanmasına
ilişkin
yükümlülükler yargı sistemleri ve yasal mevzuatlara
göre değişkenlik gösterir.
2. İç denetim yöneticisi, kurumsal ihtiyaçları
karşılayan ve kurumun tâbi olduğu yargı sisteminin
yasal yükümlülüklerini yazılı bir saklama politikası
geliştirmelidir.
3. Kayıt saklama politikası, dış hizmet sağlayıcılar
tarafından yapılan görevlerle bağlantılı kayıtların
saklanmasına ilişkin uygun düzenlemeler içermelidir.
2330.A1 İç denetim yöneticisi, görev kayıtlarına
erişimi kontrol etmelidir. İç denetim yöneticisi, bu
kayıtları dış taraflara yayımlarken üst yönetiminin
ve/veya yasal danışmanın onayını almalıdır.
Uygulama Tavsiyesi: 2330.A1-2: Görev Kayıtlarına
Erişim İzni
2400 – Sonuçların Bildirimi: İç denetçiler, görev
sonuçlarını bildirmelidir.
48
Uygulama
Tavsiyesi:
2400-1:
Bildirimine İlişkin Yasal Mülahazalar
7.04 Denetçiler, kullanım amacına uygun, yazılı ya da
geri kazanılabilir türde bir denetim raporu
kullanmalıdır.
7.06 Bir denetim tamamlanmadan ve denetim raporu
yayımlanmadan sonlandırılırsa denetçiler, 6.50 No.lu
paragrafta yer alan rehber bilgileri izlemelidir.
7.07 Rapor yayımlandıktan sonra denetçiler, rapor
edilen bulgu veya sonuçları destekleyici yeterli ve
uygun kanıtlara sahip olmadıklarını fark ederlerse,
yönetişimden sorumlu birim, denetlenen kurumun
uygun yetkilileri, denetimin yapılmasını isteyen ya da
denetimi organize eden kurumun uygun yetkililerine
ve bilinen diğer kullanıcılar ile aynı şekilde iletişime
geçmeli ve desteklenmeyen bu bulgu ve sonuçlara
artık
güvenmemeleri
konusunda
kendilerini
uyarmalıdır. Rapor denetçilerin kamuya açık
websitesinde daha önceden yayımlanmışsa denetçiler
bu raporu kaldırmalı ve raporun kaldırıldığına dair
kamuoyuna bir bilgilendirme yapmalıdırlar. Daha
sonra denetçiler, revize edilmiş bulgu veya sonuçlarda
dâhil raporu yeniden yayımlamak için ilave bir
denetim faaliyetine gerek olup olmadığını ve ilave
denetim bulgularda ya da sonuçlarda bir değişikliğe
neden olmuyorsa orijinal raporu yeniden yayımlayıp
yayımlamamayı kararlaştırmalıdır.
Rapor İçerikleri:
7.08 Denetçiler, aşağıda sayılan hususları içeren
denetim raporları hazırlamalıdır:
1) Denetim amaçları, kapsamı ve metodolojisi
2) Bulgu, tavsiye ve sonuçlar da dâhil olmak
üzere denetim sonuçları hangisi uygunsa
3) Denetçilerin GAGAS metnine uyduğuna dair
bir beyan
4) Sorumlu yetkililerin görüşlerine ilişkin bir
özet
5) Şayet varsa çıkarılan gizli ya da hassas
bilgilerin yapısı
Amaçlar, Kapsam ve Metodoloji:
7.09 Denetçiler, denetim amaçlarının ele alınması için
kullanılan metodoloji ve denetim amaçları ve
denetimin kapsamına ilişkin bir tanıma raporlarında
yer vermelidir.
7.10 …Denetçiler, denetim amaçlarını denetim
raporunda ilgili varsayımlarda dâhil olmak üzere açık,
özgün, tarafsız ve ön yargısız bir biçimde
bildirmelidir.
7.11 Bulgu, sonuç ve tavsiyelerin olası kullanıcılar
için herhangi bir yanlış anlaşılmaya yol açmayacak
şekilde raporda makul bir biçimde yorumlanmasını
sağlamak için denetçiler, olası kullanıcılar için ilgili
olabilecek konular da dâhil olmak üzere
gerçekleştirilen işin kapsamı ve kısıtlamalarını
tanımlamalıdır. Denetçiler, bazı belirli kayıtlar ya da
şahıslara erişimin reddedilmesi ya da bu konuda
yaşanan aşırı gecikmeler de dâhil olmak üzere bilgi
kısıtlamaları ya da kapsam noksanlıkları uyarınca
denetim yaklaşımı üzerinde uygulanan herhangi bir
anlamlı kısıtlamayı da rapor etmelidir.
Sonuçların
2421 – Hata ve Atlamalar: Nihai rapor önemli bir
hata ya da atlama içeriyorsa iç denetim yöneticisi,
orijinal bildirimi alan tüm taraflara düzeltilmiş
bilgileri iletmelidir.
2410- Bildirim Kriterleri: bildirimler; cari sonuçlar,
tavsiyeler ve eylem planlarına ek olarak görev
amaçları ve kapsamını da içermelidir.
2410-1 Görev sonuçlarına ilişkin nihai bildirim,
uygunsa iç denetçinin genel görüş ve/veya sonuçlarını
içermelidir. Bir görüş veya sonuç yayımlanırken üst
yönetimin, kurulun ve diğer paydaşların beklentileri
dikkate alınmalı ve yeterli, güvenilir, ilgili ve
kullanışlı bilgilerle desteklenmelidir.
2410.A2 İç denetçiler, görev bildirimlerinde tatmin
edici performansa teşekkür etmeye teşvik edilmelidir.
3. Amaç beyanları, görev amaçlarını tanımlamalı ve
görevin neden yapıldığı ve görevden nelerin
beklendiği konusunda okuyucuyu bilgilendirmelidir.
Uygulama Tavsiyesi 2410-1: Bildirim Kriterleri:
4. Kapsam beyanları denetlenen faaliyetleri
tanımlamalı ve gözden geçirme süresi görevin
sınırlarını tasvir etmek için gözden geçirilmeyen ilgili
faaliyetler gibi destekleyici bilgileri içermelidir.
Bunlar, gerçekleştirilen görevin yapısı ve kapsamını
tanımlayabilir.
49
7.12 Denetim amaçlarını ele almak ve rapor edilen
bulgu ve sonuçları desteklemek için yapılan işi
tanımlarken denetçiler, test edilen kitle ve öğeler
arasındaki ilişkileri açıklamalı; bunların uygulandığı
kurumları, coğrafi bölgeleri ve süreyi tanımlamalı;
kanıt türleri ve kaynaklarını rapor etmeli; kanıtların
bir bütün olarak yeterliliği ve uygunluğuna ilişkin
denetçilerin
genel
değerlendirmesi
esasında
gözlemlenen herhangi bir önemli kısıtlama veya
belirsizliği açıklamalıdır.
7.13 Denetim yapılırken izlenen metodolojiyi rapor
ederken denetçiler, tamamlanan denetim işinin
kanıtların toplanması ve analiz teknikleri de dâhil
olmak üzere denetim amaçlarını nasıl desteklediğini
konuyla ilgili bilgi sahibi kullanıcıların denetçilerin
raporlarında denetim amaçlarını nasıl ele aldığını
anlamasına yetecek ölçüde detaylı açıklamalıdır.
Denetçiler, denetim kanıtı olarak kullanılan bilgilerin
yeterliliği ve uygunluğuna ilişkin yapacakları
değerlendirmenin bir parçası olarak uygulanan
prosedürlerin bir tanımını da yapabilirler. Denetçiler,
denetim sırasında yapılan anlamlı varsayımları
tanımlamalı; uygulanan karşılaştırmalı teknikleri
tanımlamalı; kullanılan kriterleri tanımlamalı ve
denetçilerin bulgu, sonuç ve tavsiyelerini anlamlı
ölçüde
destekleyen
örneklemeleri
yaparken
kullandıkları örnekleme tasarımını tanımlamalı ve
sonuçların
hedeflenen
kitleye
uygulanıp
uygulanmayacağı da dâhil olmak üzere neden bu
tasarımın seçildiğini belirtmelidir.
Rapor Bulguları: 7.14: Denetim raporlarında
denetçiler, denetim amaçlarıyla bağlantılı bulgu ve
sonuçlarını destekleyecek yeterli ve uygun kanıtlar
sunmalıdır… Denetçiler, bir bulguya ilişkin unsurları
yeterince geliştirebiliyorlarsa o zaman denetim
amaçları bağlamında önemli olabilecek düzeltici
adımlara ilişkin tavsiyeler sunmalıdır…
7.15 Denetçiler, (1) kanıtlar denetim amaçları
bağlamında bulgu ve sonuçlar açısından anlamlıysa
(2) rapor kullanıcılarının bulgu ve sonuçlara ilişkin
yanlış yönlendirilmesini önlemek için gerekliyse
raporlarında kanıtların doğruluğu ve güvenirliliği ile
birlikte kısıtlamaları ve belirsizlikleri tanımlamalıdır...
Denetçiler; amaçlar, kapsam ve metodolojinin bir
parçası olarak kısıtlamalar veya belirsizlikleri
tanımlamalarına ek olarak bulgu ve sonuçlarla
bağlantılı kanıtlara ilişkin kısıtlamalar veya
belirsizlikleri de tanımlamalıdır…
7.16 Denetçiler, rapor edilen konuların yapısı ve
kapsamı ve bulgulara yol açan işin kapsamını
tanımlayarak bulgularını belli bir perspektife
yerleştirmelidir. Bu bilgilerin yaygınlığı ve sonuçlarını
değerlendirmeleri için okuyuculara bir temel
oluşturabilmek için denetçiler, kitle bazında
tanımlanan olaylar ya da incelenen vaka sayısı
arasında uygun biçimde bağlantı kurmalı ve sonuçları
dolar cinsinden ya da uygun diğer ölçütlerle
belirtmelidir.
Sonuçlar
belli
bir
gruba
uygulanamıyorsa denetçiler sonuçlarını uygun
biçimde kısıtlandırmalıdır.
2420 – Bildirimlerin Kalitesi: Bildirimler; doğru,
tarafsız, açık, kısa, yapıcı ve tam olmalı ve vaktinde
yapılmalıdır.
50
7.17 …İşlerinin sonuçlarını rapor ederken denetçiler,
yaptıkları iş açısından anlamlı gerçekleri ve bilgileri
dâhilinde olan ve açıklanmaması halinde bilgi sahibi
kullanıcıların yanlış yönlendirilmesine, sonuçların
yanlış gösterilmesine ya da anlamlı düzeyde hatalı ya
da gayri kanuni uygulamaların saklanmasına yol
açacak anlamlı gerçekleri açıklamalıdır.
7.18 Denetçiler, iç kontroldeki eksiklikleri, suistimal
olaylarını, kanun, yönetmelik, sözleşme ya da hibe
anlaşması hükümlerine uymama durumlarını ya da
gerçekleşen veya gerçekleşme ihtimali olan ve
denetim amaçları bağlamında önemli olan kötüye
kullanım durumlarını da rapor etmelidir.
İç Kontrol Eksiklikleri:
7.19 Denetçiler, (1) iç kontrole ilişkin işlerinin
kapsamına ve (2) denetim amaçları bağlamında
anlamlı olan ve yapılan denetim işine dayanan iç
kontrole ilişkin eksikliklere denetim raporunda yer
vermelidir. Denetçiler, denetim amacı bağlamında
önemli olmayan ancak yönetişimden sorumlu
birimlerin haberdar olması gereken iç kontrol
eksikliklerini saptadıklarında bu tür eksiklikleri ya
raporlarına eklemeli ya da denetlenen kurumun
yetkililerine yazılı olarak bildirmelidir. Yazılı bildirim
denetim raporundan ayrıysa denetçiler, denetim
raporlarında o yazılı bildirime atıf yapmalıdır.
Denetçiler, yönetişimden sorumlu birimlerin haberdar
olması gereken eksiklikleri saptadıklarında bu tür
eksikliklerin denetlenen kurum yetkililerine bildirilip
bildirilmeyeceğini, bildirilecekse nasıl bildirileceğini
mesleki kanaatlerle belirlenir.
Suistimal, Kanun, Yönetmelik, Sözleşme ve Hibe
Anlaşması Hükümlerine Uymama ve Kötüye
Kullanım
bir suistimal, kanun, yönetmelik, sözleşme ya da hibe
anlaşmasına uymama ya da kötüye kullanım
durumlarının gerçekleştiğini ya da gerçekleşme
ihtimalinin olduğunu yeterli ve uygun kanıtlar
esasında belirlerseler bu konuyu bir bulgu halinde
rapor etmelidir. Özel bir eylem olsun ya da olmasın
suistimal veya kanun, yönetmelik, sözleşme ya da
hibe anlaşması hükümlerine uymama durumlarında
mahkeme ya da diğer yasal organlar tarafından nihai
karar verilinceye kadar beklenmelidir.
7.22 Denetçiler, denetim amacı bağlamında önemli
olmayan ancak yönetişimden sorumlu birimlerinin
haberdar olması gereken suistimal vakası, kanun,
yönetmelik, sözleşme veya hibe anlaşmasına uymama
ya da kötüye kullanım durumlarını saptadıklarında
bunları denetlenen kurumun yetkililerine yazılı olarak
bildirmelidir. Denetçiler, suistimal vakası, kanun,
yönetmelik, sözleşme veya hibe anlaşmasına uymama
ya da kötüye kullanım durumlarını saptadıklarında
bunların denetlenen kurum yetkililerine bildirilip
bildirilmeyeceği, bildirilecekse nasıl bildirileceğini
mesleki kanaatlerle belirlenir.
Rapor Bulgularının Doğrudan Doğruya
Denetlenen Kurum Dışındaki Taraflara
Bildirilmesi
Uygulama Tavsiyesi 2440.A2-1: Kurum Dışına
Yapılan Bildirimler
51
7.24 Denetçiler, gerçekleşen ya da gerçekleşme
ihtimali olan suistimal, kanun, yönetmelik, sözleşme
veya hibe anlaşması ya da kötüye kullanım
durumlarını
aşağıda belirtilen iki durumun
gerçekleşmesi halinde doğrudan doğruya denetlenen
kurum dışındaki taraflara bildirmelidir.
a. Kurum yönetiminin bu tür bilgilerin kanun ya
da yönetmeliklerde tanımlanan dış taraflara
rapor edilmesine ilişkin yasal ya da
düzenleyici
yükümlülükleri
yerine
getirememesi halinde denetçiler, ilk önce bu
durumu yönetişimden sorumlu birimlere
bildirmelidir.
Denetçinin
yönetişimden
sorumlu birime yaptığı bildirimin ardından
geçen makul süre zarfında denetlenen
kurumun bu tür bilgileri belirlenen dış
taraflara
hâlâ
bildirmemesi
halinde
denetçiler, bu bilgileri doğrudan doğruya
belirlenen taraflara bildirmelidir.
b. Denetlenen kurumun gerçekleşen ya da
gerçekleşme ihtimali olan suistimal, kanun,
yönetmelik, sözleşme veya hibe anlaşması
hükümlerine uymama ya da kötüye kullanım
durumlarına yanıt verecek vakitli ve uygun
adımları atmaması halinde
(1) Bulgu ve sonuçlar açısından anlamlı,
(2) Doğrudan doğruya ya da dolayı bir
biçimde bir kamu kurumundan alınan
fonların olduğu durumlarda denetçiler,
ilk önce bu durumu yönetişimden
sorumlu
birimlere
bildirmelidir.
Denetçinin yönetişimden sorumlu birime
yaptığı bildirimin ardından geçen makul
süre zarfında denetlenen kurumun bu tür
bilgileri belirlenen dış taraflara hâlâ
bildirmemesi halinde denetçiler, bu
bilgileri doğrudan doğruya belirlenen
taraflara bildirmelidir.
7.25 Raporlamaya ilişkin 7.24 No.lu paragraf, bu tür
bilgilerin denetlenen kurum dışındaki taraflara
doğrudan doğruya bildirilmesine ilişkin raporlarda
denetçilerin uyması gereken yasal yükümlülüklere
ektir. Denetim tamamlanmadan önce denetçiler,
görevi bıraksalar ya da görevden alınsalar bile bu
yükümlülüklere
uymalıdırlar.
Kanun,
kural,
yönetmelik ya da politikalar uyarınca gerekli
olmadıkça denetçiler denetlenen kurum dışına rapor
vermekle görevli değildir.
Dış taraflara rapor verilirken iç denetim kurumlarının
uyması gereken rapor standartları için 7.44b No.lu
paragrafa bakınız.
7.26 Denetçiler, bu tür bulguların kanun, yönetmelik
ya da fon anlaşmalarına uygun rapor edildiğine dair
denetlenen kurum yönetimi tarafından yapılan
varsayımları doğrulamak için dış taraflardan alınan
teyitler gibi yeterli ve uygun kanıtlar elde etmelidir.
Denetçilerin bunu yapmasının mümkün olmadığı
durumlarda denetçiler, bu tür bilgileri 7.24 ve 7.25
No.lu paragraflarda tartışıldığı şekilde doğrudan
doğruya rapor etmelidir.
Uygulama Tavsiyesi: 2440-2 Hassas Bilgilerin Emir
Komuta Zinciri İçinde ve Dışında Bildirimi
11. Bir denetçi, kararlarına ilişkin tüm kanıt ve
gerekçeleri dikkatlice değerlendirmek ve kurum
çıkarları ve paydaşları, dışarıdaki topluluğu ve
topluma ait kurumları korumak için gerekli ek
adımların atılıp atılmasına gerek olup olmadığına
karar vermekle yükümlü olduğu profesyonel bir görev
ve ahlaki sorumluluklara sahiptir. Ayrıca denetçiler,
bilgilerin değeri ve sahibi bakımından IIA Etik
Kuralları uyarınca gizliliğe riayet etmekle ve yasal ya
da mesleki bir zorunluluk olmadıkça bunları yetkisiz
makamlara ifşa etmemekle de yükümlüdürler. Bu
değerlendirme sürecinde denetçiler, yasal danışmanın
ya da uygunsa başka uzmanların tavsiyelerine ihtiyaç
duyabilirler. Bu tartışma, olası eylemlerin potansiyel
etkileri ve sonuçları hakkında fikir vermekle birlikte
koşullara ilişkin farklı bir bakış açısı sunması
bakımından da faydalı olabilir. İç denetçinin bu
karmaşık ve hassas durumu çözmek için uygulayacağı
davranışlar, misilleme ya da olası sorumluklara neden
olabilir.
12. Nihayetinde iç denetçi, işverene karşı kendi
yükümlülükleri konusunda profesyonel bir karara
varır. Normal emir komuta zincirinin dışında hareket
etmek; yanlış davranmanın önemli, güvenilir
kanıtlarla ya da yasal ya da düzenleyici bir emirle ya
da mesleki veya etik standartlarla desteklendiği iyi
bilgilendirilmiş bir görüş gerektirir ve ilave adımların
atılmasını gerektirir.
52
Sonuç: 7.27 Denetçiler, denetim amaçları ve denetim
bulguları esasında sonuçları rapor etmelidir.
Tavsiyeler:
7.28 Denetçiler, denetim esnasında saptanan
eksiklikleri ve diğer bulguları düzeltecek adımları ve
rapor edilen bulgu ve sonuçlarda öngörülen olası
program, işlem ve performans gelişmelerini
sağlayacak iyileştirici adımları ilişkin tavsiyeler
vermelidir. Denetçiler, bulgu ve sonuçlarla tutarlı ve
doğrudan doğruya saptanan eksikliklerin ve bulguların
nedenlerini çözmeyi hedefleyen tavsiyeler yapmalı ve
atılacak adımları açıkça beyan etmelidir.
Denetçilerin GAGAS Metnine Uygun Hareket
Edip Etmediğinin Rapor Edilmesi
7.30 Denetçiler, cari GAGAS yükümlülüklerinin
tümüne uyduklarında, denetimlerini GAGAS uyarınca
yürüttüklerini gösteren ve değiştirilmemiş bir GAGAS
uygunluk beyanı içeren aşağıdaki metni denetim
raporlarında kullanmalıdırlar.
Bu denetim faaliyetini Genel Kabul Gören Kamu
Denetim Standartlarına uygun yürüttük. Bu standartlar
uyarınca denetim amaçlarımız esasında elde
edeceğimiz bulgu ve sonuçlara ilişkin makul bir
gerekçelendirme sunmak için yeterli ve uygun kanıtlar
bulacak şekilde denetimlerimizi planlamamız ve
yürütmemiz gerekmektedir. Elde edilen kanıtların
denetim amaçlarımız esasında ulaştığımız bulgulara
ve sonuçlara ilişkin makul gerekçeler sunduğuna
inanmaktayız.
7.31 Denetçiler, cari GAGAS yükümlülüklerinin
tümüne
uymadıklarında
denetim
raporlarında
değiştirilmiş bir GAGAS uygunluk beyanına yer
vermelidirler. Performans denetimleri için denetçiler
şu hususları içeren bir beyan kullanmalıdır:
1) İzlenmeyen yükümlülükleri göstermek için
değiştirilen 7.30 Numaralı paragrafta sunulan
beyan
2) Denetçinin GAGAS uyarınca hareket
etmediğine dair beyan
Sorumlu Yetkililerin Görüşlerinin Rapor Edilmesi:
7.34 Denetçiler, sorumlu yetkililerden yazılı yorumlar
aldıklarında raporlarında bunların bir kopyasına ya da
bunların bir özetine yer vermelidir. Sorumlu
yetkililerin sadece sözlü yorumlar yaptığı durumlarda
denetçiler, sözlü yorumlara ilişkin bir özet hazırlamalı
ve bu yorumların doğru aktarıldığını teyit etmek için
bu özetin bir kopyasını sorumlu yetkililere vermelidir.
7.35 Denetçiler, yorumlara ilişkin bir değerlendirmeye
de raporlarında uygun biçimde yer vermelidir…
7.37 Denetlenen kurumun yorumları, taslak raporda
yer alan bulgu, sonuç ya da tavsiyelerle tutarlı değilse
ya da çelişiyorsa ya da planlanan düzeltici adımlar
denetçilerin tavsiyelerini yeterince ele almıyorsa
denetçiler,
denetlenen
kurumun
yorumlarının
geçerliliğini değerlendirmelidir. Denetçiler bu
9. İç denetçi, iyileştirme tavsiyeleri, tatmin edici
performansa teşekkür ve düzeltici adımlar için
bildirimlerde bulunabilir. Tavsiyeler, iç denetçinin
gözlem ve kanaatlerine dayalıdır. Mevcut durumların
düzeltilmesi ya da işlemlerin geliştirilmesi için adım
atılmasını talep edebilirler, bir rehber olarak
yönetimin arzuladığı sonuçlara ulaşmasını sağlayacak
performans düzeltici ya da geliştirici yaklaşımlar
önerebilirler. Tavsiyeler genel ya da özel olabilir.
Örneğin bazı koşullarda iç denetçi, genel bir hareket
tarzının ve spesifik önerilerin uygulanmasını tavsiye
edebilir. Bazı durumlarda ise ilave inceleme ve
araştırmaların yapılmasını isteyebilir.
1321-1 “İç Denetim Mesleki Uygulamaları için
Uluslararası Standartlara Uygundur” İbaresinin
Kullanımı: İç denetim yöneticisi, iç denetim
faaliyetinin İç Denetim Mesleki Uygulamaları İçin
Uluslararası Standartlara uygun olduğunu sadece
kalite güvence ve iyileştirme programının sonuçları bu
beyanı desteklediğinde belirtebilir.
2430: “İç Denetim Mesleki Uygulamalarına İlişkin
Uluslararası Standartlara Uygun Yürütme”
İbaresinin Kullanımı: İç denetçiler, iç denetim
faaliyetinin “İç Denetim Mesleki Uygulamalarına
İlişkin
Uluslararası
Standartlara
Uygun
Yürütüldüğünü” sadece kalite güvence ve iyileştirme
programının sonuçları bu beyanı desteklediğinde rapor
edebilirler.
2431 – Görevin Standartlara Uymadığının İfşası: İç
Denetim Tanımı, Etik Kurallar veya Standartlara
uymama durumunun spesifik bir görevi etkilediği
durumlarda sonuç şu hususları içerecek şekilde
bildirilmelidir:
 Tam uyumun sağlanamadığı Etik Kurallar ya
da Standart(lar) prensibi ya da kuralı,
 Uymama neden(ler)i,
 Uymama durumunun göreve ve bildirilen
görev sonuçlarına etkileri
12. İç denetçilerin görev müşterileriyle yaptıkları
tartışmaların bir parçası olarak iç denetçiler, görev
sonuçları ve işlemlerini geliştirmek için gerekli
hareket planı üzerinde anlaşma sağlamalıdır. İç
denetçi ve görev müşterileri görev sonuçları üzerinde
anlaşamazlarsa görev bildirimleri bu itilafa ilişkin
durumu ve bunun nedenleri içermelidir. Görev
müşterilerine ait yazılı yorumlar görev raporuna ek
olarak, raporun ana metninde ya da kapak mektubunda
sunulabilir.
53
yorumlarla aynı fikirde değillerse neden aynı fikirde
olmadıklarını raporlarında açıklamalıdır. Buna karşın
denetçiler, yorumları geçerli buluyor ve bunu
destekleyici yeterli ve uygun kanıta sahiplerse
raporlarını gerekli biçimde değiştirmelidirler.
7.38 Denetlenen kurum yorum yapmayı reddediyor ya
da makul bir süre içerisinde yorum yapması mümkün
değilse denetçiler, denetlenen kurumdan yorum
almadan raporlarını yayımlayabilirler. Bu durumlarda
denetçiler, denetlenen kurumun yorum yapmadığını
raporlarında göstermelidirler.
Gizli ve Hassas Bilgilerin Rapor Edilmesi
7.39 Bazı belirli bilgilerin kamuoyuna açıklanması
yasaklanmışsa ya da bu tür bilgiler gizli ya da hassas
bilgi olmaları nedeniyle rapor dışında bırakılmışsa
denetçiler bazı belirli bilgilerin atıldığını ve bunu
gerekli kılan neden ya da diğer koşulları raporlarında
açıklamalıdır.
7.42 Bazı belirli bilgilerin kamuya açık raporlardan
çıkarılıp çıkarılmayacağına karar verirken denetim
altındaki program ya da faaliyete ait geniş kapsamlı
kamu çıkarlarının düşünülmesi denetçilere yardım
eder. Bazı belirli bilgilerin atılmasının gerektiği
durumlarda denetçiler, bu atma eyleminin denetim
sonuçlarını çarpıtıp çarpıtmayacağını ya da hatalı veya
gayri kanuni uygulamaların saklanmasına yol açıp
açmayacağını değerlendirmelidir.
7.43 Denetim kurumlarının devlet arşivleri
kanunlarına tâbi olduğu durumlarda denetçiler, bu
kanunun gizli ya da sınırlı kullanıma sahip raporlara
erişimi etkileyip etkilemediğini, yönetim ve
yönetişimden sorumlu diğer birimlerle başka iletişim
yollarının
daha
uygun
olup
olmadığını
belirlemelidir…
Raporların Dağıtımı
7.44 GAGAS uyarınca tamamlanan raporların
dağıtımı, denetçilerin denetlenen kurumla ilişkilerine
ve raporda yer alan bilgilerin yapısına bağlıdır.
Denetçiler, rapor dağıtımına ilişkin kısıtlamaları
belgelendirmelidir. Aşağıda yer alan tartışma,
GAGAS uyarınca tamamlanan raporların dağıtımına
ilişkin süreci özetler:
a. Kamuda faaliyet gösteren denetim kurumları
denetim raporlarını yönetişimden sorumlu
birimlere, denetlenen kurumun uygun
yetkililerine ve denetimin yapılmasını isteyen
ya da denetimi organize eden uygun gözetim
organları ya da kurumlarına vermelidir.
Denetçiler, yasal gözetim yetkisi olan diğer
yetkililer veya denetim bulguları ve
tavsiyeleri uyarınca harekete geçmekle
yükümlü olan diğer yetkilere ve bu tür
raporları almakla yetkili diğer kişilere de
raporların kopyalarını uygun biçimde
vermelidir.
b. Kamuda faaliyet gösteren iç denetim
kurumları İç Denetim Enstitüsü (IIA) İç
Denetim
Mesleki
Uygulamaları
İçin
Uluslararası Standartlar metnini de takip
edebilirler. GAGAS ve Standartlar uyarınca
13. Bazı belirli bilgilerin alıcıların tümüne ifşa
edilmesi uygun değildir çünkü bu bilgiler gizli, kişiye
özel ya da hatalı veya gayri kanuni eylemlerle
bağlantılı olabilir. Bu tür bilgileri ayrı bir raporda
açıklayınız. Rapor edilen konular üst yönetimi
ilgilendiriyorsa raporu kurul üyelerine de yayınız.
2440 – Sonuçların Yayımı: İç denetim yöneticisi,
sonuçları uygun taraflara bildirmelidir.
2440.A1- İç denetim yöneticisi, sonuçlara gereken
önemin verilmesini sağlayacak taraflara nihai
sonuçları bildirmekle sorumludur.
2440.A2 – Kanuni, düzenleyici ya da idari
yükümlülüklerde aksi öngörülmedikçe sonuçlar kurum
dışı taraflara bildirilmeden önce iç denetim yöneticisi
şu hususları yerine getirmelidir:
 Kuruma
karşı
olası
riskleri
 Üst yönetim ya da yasal danışmana konuyu
danışmalıdır.
 Raporun
hedeflenen
kullanıcılarını
kısıtlayarak yayımını kontrol etmelidir.
2201.A1 Kurum dışı taraflar için görev planlaması
yapılırken iç denetçiler, bu taraflar ile görev
sonuçlarının dağıtımı ve görev kayıtlarına erişime
ilişkin riskler de dâhil olmak üzere amaçlar, kapsam,
ilgili sorumluluklar ve diğer beklentilere ilişkin yazılı
bir anlaşma sağlamalıdır.
2410.A3 Görev sonuçları kurum dışı taraflara
dağıtılırken yapılan bildirimde sonuçların kullanımı ve
yayımına ilişkin kısıtlamalara yer verilmelidir.
54
iç denetim kurumunun başkanı sonuçların
gerekli şekilde ele alındığını sağlayacak
taraflara sonuçları bildirmelidir. Kanuni ya
da
idari
yükümlülüklerde
aksi
öngörülmedikçe sonuçlar kurum dışı taraflara
bildirilmeden önce iç denetim kurumunun
başkanı şu hususları yerine getirmelidir:
1) Kuruma
karşı
olası
riskleri
2) Üst yönetime ya da yasal danışmana konuyu
danışmalıdır.
3) Raporun
hedeflenen
kullanıcılarını
göstererek raporun dağıtımını kontrol
etmelidir.
c. GAGAS
uyarınca
bir
denetim
gerçekleştirmeyi
taahhüt
eden
kamu
muhasebesi firmaları, görevli kurumla rapor
yayım
sorumluluklarını
açıklığa
kavuşturmalıdır.
Raporun
yayımından
yüklenici firma sorumluysa raporu hangi
kurum ve yetkililerin alacağı ve raporu
kamuoyuna açıklamak için hangi adımların
atılacağı konularını denetim işini veren
tarafla görüşüp anlaşmalıdır.
Yönetimin Sorumluluğu:
A1.08 Kamu işlevlerinin yürütülmesinde temel
sorumluluk yöneticilere aittir. Denetlenen kurum
yöneticileri denetçilerin bulgu ve tavsiyelerinin ele
alınmasından ve bu tür bulgu ve tavsiyelere ilişkin
durumun izlenmesi için bir süreç kurulması ve
sürdürülmesinden sorumludur.
Bağımsızlığa İlişkin Tehditler: Örnekler: A3.02A3.09
Rapor Kalite Unsurları: A7.02 Konunun imkân
tanıdığı denetim raporlarını hazırlarken ve yazarken
denetçiler; tam, doğru, tarafsız, ikna edici, açık, kısa
ve vaktinde uygulanan rapor kalite unsurlarını
kullanmalıdır.
Uygulama Tavsiyesi 2440-1 Sonuçların Yayımı
2500 – İzleme Süreci: İç denetim yöneticisi,
yönetime bildirilen sonuçların kullanımını izlemek
için bir sistem kurmalı ve bu sistemi sürdürmelidir.
2500.A1 – İç denetim yöneticisi, yönetimin
eylemlerinin etkili bir biçimde uygulandığını ya da üst
yönetimin harekete geçmeme riskini kabul ettiğini
izlemek ve sağlamak için bir takip süreci
oluşturmalıdır.
2600 - Üst Yönetimin Riskleri Kabul Kararı
İç denetim yöneticileri, üst yönetimin kurum için
kabul edilemez olan bir artık risk düzeyini kabul
ettiğini düşünüyorlarsa bu konuyu üst yönetimle
tartışmalıdır. Artık riske ilişkin karar konusunda
anlaşma sağlanamıyorsa, iç denetim yöneticisi çözüm
için konuyu kurula bildirmelidir.
2420 – Kalite Bildirimleri: Bildirimler doğru,
tarafsız, açık, kısa, yapıcı ve tam olmalı ve vaktinde
yapılmalıdır.
Uygulama Tavsiyesi 2420-1 Bildirimlerin Kalitesi
55
Yazarlar ve Gözden Geçirenler
Yazarlar
Tina Kim, CIA, CGAP, CPA, CITP, CFF, CFE, CFrA, CGMA
Ken Shulman, CPA
Warren A. Hersh, CIA, CPA, CCSA, CISA, CFE
Heather I. Keister, CIA, CPA
Gözden Geçirenler
Gregory Hollyman, CIA, CCSA, CFSA, CGAP
Kenneth J. Mory, CIA, CPA, CISA
56
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet
gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur.
IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel
eğitmenidir.
Ek Rehber Hakkında
Ek Rehber, IIA’ya ait UMUÇ’un parçası değildir. UMUÇ’a uygun, IIA tarafından geçerliliği
kabul edilen bir referans metindir ve UMUÇ’un uygulanması ve iç denetim faaliyetleri
sırasında uygulamacılara yararlı olabileceği düşünülmektedir. Rehberin, uygulamacının
kurumuna ve iç denetim faaliyetinin güvence ve danışma amaçlarına uygun ölçüde
kullanılması tavsiye edilir. Bu tür tüm materyallerin içerik geliştirilmesi sırasında IIA’in tam
ya da kısmi katılımı gereklidir. Bu kategori, başka kurum ya da bireyler tarafından oluşturulan
materyalleri desteklemek ya da teşvik etmek için hazırlanmamıştır.
IIA
tarafından
yayımlanan
diğer
kabul
görmüş
rehberlere
ulaşmak
için
lütfen
www.globaliia.org internet sayfamızı ziyaret ediniz.
Sorumluluk Reddi
Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit
koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya
belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu
rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez.
Telif Hakkı
Copyright
©
2012
The
Institute
of
Internal
Auditors.
Çoğaltmak
için
lütfen
guidance[at]theiia.org e-posta adresine başvurunuz.
57
Uluslararası İç Denetçiler Enstitüsü / Global
Genel Merkez:
247 Maitland Ave.
Altamonte Springs, FL 32701, ABD
Tel: +1-407-937-1111
Fax: +1-407-937-1101
Web: www.theiia.org
58

ULUSLARARARASI İÇ DENETÇİLER ENSTİTÜSÜ (IIA)

Transkript

Benzer belgeler

kgk.gov.tr

Letter to care recipient advising of visit

değişim için denetim

General Procurement Notice (Türkçe Tercümesi)

European CV Template

ULTRAPROBE 10,000

buradan - PODEM | Kamusal Politika ve Demokrasi Çalışmaları

Advanced Chemical Process Control

2011 - Türkiye İç Denetim Enstitüsü